Para crear y configurar una instancia de Destino que no es de SD-WAN de tipo Zscaler, realice los siguientes pasos:
- En el panel de navegación de SASE Orchestrator, vaya a Configurar (Configure) > Servicios de red (Network Services). Se mostrará la pantalla Servicios (Services).
- En el área Destinos que no son de SD-WAN a través de puerta de enlace (Non SD-WAN Destinations via Gateway), haga clic en el botón +Nuevo (+New).
Aparece el cuadro de diálogo Nuevos destinos que no son de SD-WAN a través de puerta de enlace (New Non SD-WAN Destinations via Gateway).
- En el cuadro de texto Nombre (Name), introduzca el nombre para Destino que no es de SD-WAN.
- En el menú desplegable Tipo (Type), seleccione Zscaler.
- Introduzca la dirección IP de la puerta de enlace VPN principal (y la puerta de enlace VPN secundaria, si es necesario) y haga clic en Siguiente (Next). Se creará una instancia de Destino que no es de SD-WAN de tipo Zscaler y aparecerá un cuadro de diálogo para Destino que no es de SD-WAN.
- Si desea configurar los ajustes de túnel para la puerta de enlace de VPN principal de Destino que no es de SD-WAN, haga clic en el botón de expansión Configuración avanzada (Advanced Settings).
- En el área Puerta de enlace de VPN principal (Primary VPN Gateway), en Configuración de túnel (Tunnel Settings), puede configurar la clave compartida previamente (PSK), que es la clave de seguridad para la autenticación en el túnel. Orchestrator genera una PSK de forma predeterminada. Si desea utilizar su propia PSK o contraseña, puede introducirla en el cuadro de texto.
Nota: A partir de la versión 4.5, ya no se admite el uso del carácter especial "<" en la contraseña. En los casos en los que los usuarios ya hayan utilizado "<" en sus contraseñas en versiones anteriores, deben eliminar el carácter para guardar los cambios en la página.
- Si desea crear una puerta de enlace de VPN secundaria para este sitio, haga clic en el botón +Agregar (+Add) junto a Puerta de enlace VPN secundaria (Secondary VPN Gateway). En la ventana emergente, introduzca la dirección IP de la puerta de enlace de VPN secundaria y haga clic en Guardar cambios (Save Changes). La puerta de enlace de VPN secundaria se creará inmediatamente para este sitio y aprovisionará un túnel VPN de VMware a esta puerta de enlace.
- Seleccione la casilla de verificación VPN de nube de VMware redundante (Redundant VMware Cloud VPN) para agregar túneles redundantes en cada puerta de enlace de VPN. Los cambios que se realicen en la PSK de la puerta de enlace VPN principal también se aplicarán a los túneles VPN redundantes, si están configurados. Después de modificar la configuración del túnel de la puerta de enlace de VPN principal, guarde los cambios y, a continuación, haga clic en IKE/IPsec de muestra (Sample IKE/IPSec) para ver la configuración de túnel actualizada.
- En el área Ubicación (Location), haga clic en el vínculo Editar (Edit) para actualizar la ubicación de la instancia de Destino que no es de SD-WAN configurada. Se utilizan los detalles de latitud y longitud para determinar la mejor instancia de Edge o puerta de enlace a la que conectarse en la red.
- El identificador de autenticación local define el formato y la identificación de la puerta de enlace local. En el menú desplegable Identificador de autenticación local (Local Auth Id), seleccione uno de los siguientes tipos e introduzca un valor determinado:
- FQDN: el nombre de dominio completo o el nombre de host. Por ejemplo, google.com.
- FQDN de usuario (User FQDN): el nombre de dominio completo del usuario en forma de dirección de correo electrónico. Por ejemplo, [email protected].
- IPv4: la dirección IPv4 utilizada para comunicarse con la puerta de enlace local.
- IPv6: la dirección IPv6 utilizada para comunicarse con la puerta de enlace local.
Nota:Para la instancia de Destino que no es de SD-WAN de tipo Zscaler, se recomienda utilizar el FQDN o el FQDN de usuario como identificador de autenticación local.
- Cuando se selecciona Servicio de seguridad de nube Zscaler (Zscaler Cloud Security Service) como tipo de servicio, para determinar y supervisar el estado del servidor Zscaler, puede configurar opciones adicionales, como Nube Zscaler (Zscaler Cloud) y Comprobación de estado de capa 7 (L7 Health Check).
- Active la casilla Comprobación de estado de capa 7 (L7 Health Check) para habilitar la comprobación de estado de L7 para el proveedor del servicio de seguridad de nube Zscaler, con detalles de sondeo predeterminados (intervalo de sondeo HTTP = 5 segundos, número de reintentos = 3, umbral de RTT = 3000 milisegundos). De forma predeterminada, la comprobación de estado de L7 está desactivada.
Nota: No se admite la configuración de los detalles del sondeo de comprobación de estado.
- En el menú desplegable Nube Zscaler (Zscaler Cloud), seleccione un servicio de nube Zscaler o introduzca el nombre del servicio de nube Zscaler en el cuadro de texto.
- Active la casilla Comprobación de estado de capa 7 (L7 Health Check) para habilitar la comprobación de estado de L7 para el proveedor del servicio de seguridad de nube Zscaler, con detalles de sondeo predeterminados (intervalo de sondeo HTTP = 5 segundos, número de reintentos = 3, umbral de RTT = 3000 milisegundos). De forma predeterminada, la comprobación de estado de L7 está desactivada.
- Para iniciar sesión en el portal de Zscaler desde aquí, introduzca la URL de inicio de sesión en el cuadro de texto URL de inicio de sesión de Zscaler (Zscaler Login URL) y, a continuación, haga clic en Iniciar sesión en Zscaler (Login to Zscaler). Se le redirigirá al portal de administración de Zscaler de la nube Zscaler seleccionada. El botón Iniciar sesión en Zscaler (Login to Zscaler) estará activado si introdujo la URL de inicio de sesión de Zscaler.
Para obtener más información, consulte Configurar un servicio de seguridad de nube.
- Seleccione la casilla de verificación Habilitar túneles (Enable Tunnels) una vez que esté listo para iniciar el túnel desde SD-WAN Gateway hasta las puertas de enlace VPN de Zscaler.
- Haga clic en Guardar cambios (Save Changes).
Nota: Se establece un túnel de Zscaler con el algoritmo de cifrado de IPsec como NULO (NULL) y el algoritmo de autenticación como SHA-256, independientemente de si la restricción de exportación de clientes está activada o desactivada.
El servicio de red configurado aparece en el área Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations via Gateway) en la ventana Servicios de red (Network Services). Puede asociar el servicio de red a un perfil. Para obtener más información, consulte Asociar una instancia de Destino que no es de SD-WAN a un perfil de configuración.