Las empresas pueden aprovechar la salida segura de Internet local mediante el uso de VMware SD-WAN integrado con Zscaler. Con VMware SD-WAN, el administrador de red puede decidir qué tráfico se debe reenviar a Zscaler mediante túneles de IPsec (con cifrado NULL).

Requisitos previos

Los requisitos previos para aprovisionar un nuevo servicio con Zscaler y VMware SD-WAN son:
  • Acceso a Internet de Zscaler (ZIA)
    • Una instancia de trabajo de ZIA (cualquier nube)
    • Credenciales de inicio de sesión de administrador
  • VMware SD-WAN Orchestrator
    • Acceso de cuenta empresarial a VMware SD-WAN Orchestrator
    • Credenciales de inicio de sesión de administrador
    • Uno o varios dispositivos de VMware SD-WAN Edge con el estado "En línea" en VMware SD-WAN Orchestrator

Comportamiento de selección y enrutamiento de SD-WAN Gateway y Zscaler

VMware SD-WAN solo admite el uso de túneles de IPsec (NULL) en Zscaler. VMware SD-WAN no admite GRE ni túneles de IPsec cifrados. El proceso de configuración de VMware SD-WAN Orchestrator para crear túneles de IPsec (NULL) en Zscaler no requiere la selección manual de Instancias de VMware SD-WAN Gateway específicas. Mediante un proceso de búsqueda de direcciones IP geográficas, las Instancias de VMware SD-WAN Gateway se eligen de forma dinámica en función de la proximidad al endpoint de IP de Zscaler proporcionado. Los administradores de operadores y socios con permisos suficientes pueden anular manualmente las selecciones de puerta de enlace predeterminada de SD-WAN Orchestrator. Por lo general, no es necesario y la práctica recomendada consiste en aceptar el valor de Instancias de SD-WAN Gateway como ha elegido el sistema. Después de que la configuración de Zscaler se haya completado en SD-WAN Orchestrator y los túneles estén activos y en funcionamiento, los administradores de operadores y socios (con permisos suficientes pueden verificar qué Instancias de SD-WAN Gateway se eligieron). Para comprobar qué Instancias de SD-WAN Gateway se seleccionaron, inicie sesión en Orchestrator y vaya a Operador (Operator) > Puertas de enlace (Gateways). Haga clic en una SD-WAN Gateway específica y busque "Puerta de enlace de VPN segura" (Secure VPN Gateway). Junto a "Puerta de enlace de VPN segura" (Secure VPN Gateway), aparecerá el nombre de la configuración de Zscaler como se estableció durante el proceso de configuración. La instancia de SD-WAN Gateway principal se indicará con Zscaler_Name y la instancia de SD-WAN Gateway redundante se indicará como Zscaler_Name [redundant].

Para establecer el túnel de Zscaler en una instancia de SD-WAN Gateway específica, primero debe localizar qué SD-WAN Gateway tiene el túnel siguiendo el proceso anterior. Desde allí, puede hacer clic en "Puerta de enlace de VPN segura" (Secure VPN Gateway) y mover o asignar el túnel a otra instancia de SD-WAN Gateway.

  1. Localice la ubicación actual del túnel.
  2. Haga clic en Puerta de enlace de VPN segura (Secure VPN Gateway).
  3. Seleccione una instancia de SD-WAN Gateway.
    Nota: La asignación o transferencia de un túnel a otra instancia de SD-WAN Gateway afecta al servicio. La conexión de túnel existente finalizará y se establecerá un nuevo túnel desde la instancia de SD-WAN Gateway recién asignada.

    Durante el proceso de configuración o activación de VMware SD-WAN Edge, a cada instancia de Edge se le asigna un par de Instancias de SD-WAN Gateway en la nube o un conjunto de Instancias de SD-WAN Gateway de socio, de acuerdo con la configuración del dispositivo. Si las Instancias de SD-WAN Gateway utilizadas por la instancia de Edge no son las mismas Instancias de SD-WAN Gateway que contienen los túneles de Zscaler, la instancia de Edge creará automáticamente túneles de VCMP a las Instancias de SD-WAN Gateway que se conectan a Zscaler además de las Instancias de SD-WAN Gateway que se seleccionan durante el proceso de activación. Esto garantiza que la instancia de Edge tenga una ruta de acceso para acceder a Zscaler.

Ejemplos de configuración de Zscaler

Ejemplo 1: túnel principal de Zscaler a 1.1.1.1 con la opción VPN de nube de VeloCloud redundante (Redundant Velocloud Cloud VPN) NO seleccionada

En este ejemplo, solo se crea un túnel VPN de Zscaler y la casilla de verificación VPN de nube de VeloCloud redundante (Redundant Velocloud Cloud VPN) no está seleccionada. Una sola puerta de enlace (SD-WAN Gateway principal en este caso) seleccionada en función de la proximidad a la puerta de enlace de VPN remota (como se determina a través de la búsqueda de direcciones IP geográficas) creará un túnel de IPsec al endpoint de VPN de Zscaler. Dependiendo de la configuración de la directiva empresarial, el tráfico fluirá desde la instancia de SD-WAN Edge a la instancia principal de SD-WAN Gateway y, a continuación, a Zscaler. A pesar de que SD-WAN Edge siempre tiene túneles VCMP a al menos dos Instancias de SD-WAN Gateway, no hay redundancia en este diseño. Dado que la casilla de verificación VPN de nube de VeloCloud redundante (Redundant Velocloud Cloud VPN) no está seleccionada, no habrá un túnel de copia de seguridad de SD-WAN Gateway hasta Zscaler. Si se produce un error en Zscaler o en la instancia de SD-WAN Gateway principal, o bien si el túnel de IPsec entre los dos se desactiva por algún motivo, se descartará el tráfico a Zscaler.

Ejemplo 2: túnel principal de Zscaler a 1.1.1.1 con la opción VPN de nube de VeloCloud redundante (Redundant Velocloud Cloud VPN) seleccionada

En este ejemplo, solo se crea un túnel VPN de Zscaler y la casilla de verificación VPN de nube de VeloCloud redundante (Redundant Velocloud Cloud VPN) está seleccionada. Dos Instancias de SD-WAN Gateway seleccionadas en función de la proximidad a la puerta de enlace de VPN remota (como se determina a través de la búsqueda de direcciones IP geográficas) que sean las más cercanas a la ubicación de Zscaler crearán túneles de IPsec a Zscaler. Ambos túneles están activos; sin embargo, todo el tráfico a Zscaler pasará a través de la instancia de SD-WAN Gateway principal. Si se produce un error en la instancia de SD-WAN Gateway principal, el tráfico cambiará a la instancia de SD-WAN Gateway secundaria. Dado que solo se define un único endpoint de Zscaler, si deja de funcionar, se descartará el tráfico a Zscaler.

Ejemplo 3: túnel principal de Zscaler a 1.1.1.1, túnel secundario de Zscaler a 2.2.2.2 con la opción VPN de nube de VeloCloud redundante (Redundant Velocloud Cloud VPN) NO seleccionada

En este ejemplo, los túneles de IPsec redundantes a Zscaler se configuran en SD-WAN Orchestrator mediante la adición de una dirección IP de Zscaler secundaria. Sin embargo, no se activa la casilla de verificación VPN de nube de VeloCloud redundante (Redundant Velocloud Cloud VPN). Una sola instancia de SD-WAN Gateway seleccionada en función de la proximidad a la puerta de enlace de VPN remota (como se determina a través de la búsqueda de direcciones IP geográficas) creará un túnel de IPsec a ambos endpoint de VPN de Zscaler. Ambos túneles están activos, pero, mediante los ajustes de configuración, SD-WAN Gateway sabe qué túnel de IPsec a Zscaler es la ruta principal y enviará el tráfico a través de ese túnel. Zscaler no marca los túneles de IPsec como pr principal o de copia de seguridad. Zscaler simplemente devolverá el tráfico a través de la instancia de SD-WAN Gateway que originó la solicitud. Si la ubicación principal de Zscaler deja de funcionar, el tráfico desde la instancia de SD-WAN Gateway se desplazará al túnel de IPsec de Zscaler secundario. Dado que la casilla de verificación VPN de nube de VeloCloud redundante (Redundant Velocloud Cloud VPN) no está seleccionada, no hay conexiones de SD-WAN Gateway redundantes a Zscaler. Si se produce un error en SD-WAN Gateway, se descartará el tráfico a Zscaler.

Ejemplo 4: túnel principal de Zscaler a 1.1.1.1, túnel secundario de Zscaler a 2.2.2.2 con la opción VPN de nube de VeloCloud redundante (Redundant Velocloud Cloud VPN) seleccionada

En este ejemplo, los túneles de IPsec redundantes a Zscaler se configuran en SD-WAN Orchestrator mediante la adición de una dirección IP de Zscaler secundaria. La casilla de verificación VPN de nube de VeloCloud redundante (Redundant Velocloud Cloud VPN) sí está activada. Dos Instancias de SD-WAN Gateway seleccionadas en función de la proximidad a la puerta de enlace de VPN remota (como se determina a través de la búsqueda de direcciones IP geográficas) crearán túneles de IPsec a ambos endpoint de VPN de Zscaler. Todos estos túneles están activos, pero, mediante los ajustes de configuración, las Instancias de SD-WAN Gateway saben cuál de los dos es la instancia de SD-WAN Gateway principal y cuál es la secundaria. Las Instancias de SD-WAN Gateway también saben cuál de sus túneles de IPsec a Zscaler es la ruta principal y cuál es la ruta secundaria. Zscaler no marca los túneles de IPsec como pr principal o de copia de seguridad. Zscaler simplemente devolverá el tráfico a través de la instancia de SD-WAN Gateway que originó la solicitud. Si la ubicación principal de Zscaler deja de funcionar, el tráfico desde la instancia de SD-WAN Gateway principal se desplazará al túnel de IPsec de Zscaler secundario. Dado que la casilla de verificación VPN de nube de VeloCloud redundante (Redundant Velocloud Cloud VPN) está seleccionada, si se produce un error en la instancia de SD-WAN Gateway principal, el tráfico se desplazará a la instancia de SD-WAN Gateway secundaria. La instancia de SD-WAN Gateway secundaria utilizará el túnel de IPsec principal siempre que la ruta esté disponible. Si no es así, utilizará el túnel de IPsec secundario para llegar a Zscaler.

Comprobaciones de estado de capa 7

Cuando se establece un túnel de IPsec/GRE a un centro de datos de Zscaler determinado para Acceso a Internet de Zscaler (ZIA), el túnel se establece entre la instancia de SD-WAN Edge o SD-WAN Gateway hasta una IP virtual (VIP) en un equilibrador de carga de Zscaler para ZIA. Cuando el tráfico del usuario final de la sucursal llega al equilibrador de carga, este distribuye el tráfico a las instancias de Edge de servicio público de ZIA. Dead peer Detection (DPD) y las conexiones persistentes de GRE solo pueden detectar la disponibilidad para la VIP pública en el equilibrador de carga (ya que es el destino del túnel). La VIP pública es un endpoint de alta disponibilidad y no refleja la disponibilidad de una instancia de Edge de servicio público de ZIA determinada. La comprobación de estado de capa 7 permite supervisar el rendimiento y la disponibilidad de las instancias de Edge de ZIA en función de los sondeos HTTP y permite realizar una conmutación por error a un túnel alternativo en función de los resultados. La instancia de SD-WAN Edge o SD-WAN Gateway envía solicitudes de sondeo periódicamente a la URL de sondeo HTTP (en el siguiente formato) si el sondeo está habilitado.

http://gateway.<zscaler_cloud>.net/vpntest

La URL de sondeo se puede configurar en SD-WAN Orchestrator, pero los valores para el intervalo de sondeo y el número de reintentos no se pueden editar en SD-WAN Orchestrator. Si se produce un error en el sondeo de forma consecutiva durante el número de reintentos definido, el túnel se marcará como inactivo y el tráfico se conmutará por error al túnel secundario, si se ha definido. El error de sondeo puede deberse a que no se recibe la respuesta https (200 OK) o a que la latencia es mayor que el umbral definido. Si se configura una red de retorno condicional en una instancia de Edge, los errores de sondeo en el túnel principal y secundario activarán la conmutación por error del tráfico al hub de red de retorno configurado. Cuando el sondeo vuelva a estar activo, el tráfico volverá al túnel de CSS. Si la opción VPN de nube redundante (Redundant Cloud VPN) está configurada para Destino que no es de SD-WAN (NSD) a través de la puerta de enlace, los errores de sondeo en el túnel principal y secundario desde la puerta de enlace principal activarán la conmutación por error del tráfico a la puerta de enlace secundaria. Cuando el sondeo en la puerta de enlace principal vuelva a estar activo, el tráfico volverá al túnel de CSS en la puerta de enlace principal.

Configuraciones de implementación de Zscaler y VMware SD-WAN

Describe los pasos de configuración para integrar Zscaler Internet Access (ZIA) y VMware SD-WAN:

  1. Configure Acceso a Internet de Zscaler (ZIA): cree una cuenta, agregue credenciales de VPN, agregue una ubicación.
  2. Cree y configure un destino que no sea de SD-WAN.
  3. Agregue un destino que no sea de SD-WAN al perfil de configuración.
  4. Configure las reglas de prioridad empresarial.

Para obtener más información, consulte https://www.zscaler.com/resources/solution-briefs/partner-vmware-sdwan-deployment-guide.pdf. Esta guía proporcionará ejemplos de GUI para configurar el acceso a Internet de Zscaler y VMware SD-WAN Orchestrator.

Eventos de comprobación de estado de capa 7

Evento Se muestra en la interfaz de usuario de Orchestrator como Gravedad Notificación configurable Generado por Generado cuando
EDGE_NVS_TUNNEL_UP Túnel de IPSec directo de Edge activo INFORMACIÓN N SD-WAN Orchestrator Un túnel del servicio de seguridad de nube o un túnel de NSD a través de Edge está activo.
EDGE_NVS_TUNNEL_DOWN Túnel de IPSec directo de Edge inactivo INFORMACIÓN N SD-WAN Orchestrator Un túnel del servicio de seguridad de nube o un túnel de NSD a través de Edge está inactivo.
VPN_DATACENTER_STATUS Cambio de estado de túnel de VPN AVISO N SD-WAN Gateway Se cambia el estado del túnel de VPN.
Para obtener información sobre eventos relacionados con los servicios de seguridad de nube, consulte Supervisar eventos del servicio de seguridad de nube.