En este tema se explica la configuración de Zscaler y los pasos necesarios para configurar una instancia de Destino que no es de SD-WAN de tipo Zscaler en SD-WAN Orchestrator.

Configurar Zscaler

Realice los siguientes pasos en el sitio web de Zscaler:
  1. En el sitio web de Zscaler, cree una cuenta de seguridad web de Zscaler.

    complementary-config-zscaler-cloud-portal

  2. Configure las credenciales de VPN:
    1. En la parte superior de la pantalla de Zscaler, desplace el ratón sobre la opción Administración (Administration) para mostrar el menú desplegable (consulte la imagen de abajo).
    2. En Recursos (Resources), haga clic en Credenciales de VPN (VPN Credentials).

      complementary-configuration-zscaler-administration-drop-down

    3. Haga clic en la opción Agregar credenciales de VPN (Add VPN Credentials), ubicada en la esquina superior izquierda.

      complementary-config-zscaler-add-location

    4. En el cuadro de diálogo Agregar credencial de VPN (Add VPN Credential):
      1. Elija FQDN como tipo de autenticación.
      2. Escriba el identificador de usuario y la clave precompartida (PSK). Esta información se puede obtener desde el cuadro de diálogo de Destino que no es de SD-WAN en SD-WAN Orchestrator.
      3. Si es necesario, escriba cualquier comentario en la sección Comentarios (Comments).

        complementary-config-add-vpn-credentials

      4. Haga clic en Guardar (Save).
  3. Asignar una ubicación:
    1.  En la parte superior de la pantalla de Zscaler, desplace el ratón sobre la opción Administración (Administration) para mostrar el menú desplegable.
    2.  En Recursos (Resources), haga clic en Ubicaciones (Locations).
    3.  Haga clic en la opción Agregar ubicación (Add Location), ubicada en la esquina superior izquierda.
    4. En el cuadro de diálogo Agregar ubicación (Add Location)
      1. Rellene los cuadros de texto en el área de ubicación (nombre, país, estado/provincia, zona horaria).
      2. Elija Ninguna (None) en el menú desplegable Direcciones IP públicas (Public IP Addresses).
      3. En el menú desplegable de Credenciales de VPN (VPN Credentials), seleccione la credencial que acaba de crear.
        complementary-config-zscaler-location2
      4. Haga clic en Listo (Done).
      5. Haga clic en Guardar (Save).

Configurar una instancia de Destino que no es de SD-WAN de tipo Zscaler

Una vez que se haya creado una configuración de Destino que no es de SD-WAN de tipo Zscaler, se le redirigirá a una página de opciones de configuración adicional:
Puede configurar las siguientes opciones de túnel y hacer clic en Guardar cambios (Save Changes):
Opción Descripción
General
Nombre Puede editar el nombre introducido anteriormente para Destino que no es de SD-WAN.
Tipo Muestra el tipo como Zscaler. No puede editar esta opción.
Habilitar túneles Haga clic en el botón de alternancia para iniciar el túnel o túneles desde SD-WAN Gateway a la puerta de enlace de VPN de Zscaler.
Modo de túnel (Tunnel Mode) Muestra Activo/En espera en caliente (Active/Hot-Standby), que indica que si el túnel activo deja de estar activo, el túnel en espera en caliente toma el control y se convierte en el túnel activo.
Puerta de enlace VPN principal (Primary VPN Gateway)
IP pública (Public IP) Muestra la dirección IP de la puerta de enlace de VPN principal.
PSK La clave compartida previamente (Pre-Shared Key, PSK), que es la clave de seguridad para la autenticación en el túnel. SD-WAN Orchestrator genera una PSK de forma predeterminada. Si desea usar su propia PSK o contraseña, puede introducirla en el cuadro de texto.
VPN de nube de VMware redundante Seleccione la casilla de verificación para agregar túneles redundantes para cada puerta de enlace de VPN. Los cambios que se realicen en Cifrado (Encryption), Grupo DH (DH Group) o PFS de la puerta de enlace de VPN principal también se aplican a los túneles VPN redundantes, si están configurados.
Puerta de enlace VPN secundaria (Secondary VPN Gateway) Haga clic en el botón Agregar (Add) e introduzca la dirección IP de la puerta de enlace de VPN secundaria. Haga clic en Guardar cambios (Save Changes).

La puerta de enlace de VPN secundaria se crea inmediatamente para este sitio y aprovisiona un túnel VPN de VMware a esta puerta de enlace.

Identificador de autenticación local El identificador de autenticación local define el formato y la identificación de la puerta de enlace local. En el menú desplegable, elija entre los siguientes tipos e introduzca un valor:
  • FQDN: el nombre de dominio completo o el nombre de host. Por ejemplo: vmware.com
  • FQDN de usuario (User FQDN): el nombre de dominio completo del usuario en forma de dirección de correo electrónico. Por ejemplo: user@vmware.com
  • IPv4: la dirección IP utilizada para comunicarse con la puerta de enlace local.
  • IPv6: la dirección IP utilizada para comunicarse con la puerta de enlace local.
Nota: Para la instancia de Destino que no es de SD-WAN de tipo Zscaler, se recomienda utilizar los valores de FQDN o FQDN de usuario (User FQDN) como identificador de autenticación local.
IKE/IPsec de muestra Haga clic para ver la información necesaria para configurar la puerta de enlace de Destino que no es de SD-WAN. El administrador de puerta de enlace debe utilizar esta información para configurar los túneles de VPN de puerta de enlace.
Ubicación Haga clic en Editar (Edit) para establecer la ubicación del Destino que no es de SD-WAN configurado. Se utilizan los detalles de latitud y longitud para determinar la mejor instancia de Edge o puerta de enlace a la que conectarse en la red.
Configuración de Zscaler
URL de inicio de sesión de Zscaler (Zscaler Login URL) Para iniciar sesión en el portal de Zscaler desde aquí, introduzca la URL de inicio de sesión en el cuadro de texto y, a continuación, haga clic en Iniciar sesión en Zscaler (Login to Zscaler). Se le redirige al portal de administración de Zscaler de la nube Zscaler seleccionada. El botón Iniciar sesión en Zscaler (Login to Zscaler) solo se activa si ha introducido la URL de inicio de sesión de Zscaler. Para obtener más información, consulte Configurar credenciales de API.
Comprobación de estado de capa 7 (L7 Health Check) Seleccione la casilla de verificación para activar la comprobación de estado de capa 7 para el proveedor del Servicio de seguridad de nube (Cloud Security Service) de Zscaler, con los detalles de sondeo predeterminados (intervalo de sondeo HTTP = 5 segundos, número de reintentos = 3, umbral de RTT = 3000 milisegundos). De forma predeterminada, la comprobación de estado de L7 está desactivada.
Nota: No se admite la configuración de los detalles del sondeo de comprobación de estado.

Se establece un túnel de Zscaler con el algoritmo de cifrado de IPsec como NULO (NULL) y el algoritmo de autenticación como SHA-256, independientemente de si la restricción de exportación de clientes está activada o desactivada.