Une fois que vous avez attribué un profil à un dispositif Edge, celui-ci hérite automatiquement du service de sécurité cloud (CSS) et des attributs configurés dans le profil. Vous pouvez remplacer les paramètres pour sélectionner un autre fournisseur de sécurité du cloud ou modifier les attributs de chaque dispositif Edge.

Pour remplacer la configuration CSS d'un dispositif Edge spécifique, procédez comme suit :

  1. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Sélectionnez un dispositif Edge dont vous souhaitez remplacer les paramètres CSS, puis cliquez sur l'icône située sous la colonne Périphérique (Device). La page Paramètres du périphérique (Device Settings) du dispositif Edge sélectionné s'affiche.
  3. Dans la zone Service de sécurité cloud (Cloud Security Service), les paramètres CSS du profil associé s'affichent. Sélectionnez Activer le remplacement au niveau du dispositif Edge (Enable Edge Override) pour sélectionner un autre CSS ou pour modifier les attributs hérités du profil associé au dispositif Edge. Pour plus d'informations sur les attributs, reportez-vous à la section Configurer les services de sécurité cloud pour les profils.

    Configurer les paramètres IPsec

    Note : Pour les services de sécurité cloud avec l'URL de connexion Zscaler configurée, le bouton Connexion à Zscaler (Login à Zscaler) s'affiche dans la zone Service de sécurité cloud (Cloud Security Service). Si vous cliquez sur Connexion à Zscaler (Login to Zscaler), vous serez redirigé vers le portail d'administration de Zscaler du cloud Zscaler sélectionné.
  4. Si vous choisissez de configurer un tunnel IPsec au niveau du dispositif Edge, indépendamment des attributs hérités, vous devez configurer un nom de domaine complet (FQDN) et une clé prépartagée (PSK) pour la session IPsec.
    Note : Pour le CSS de type Zscaler et Generic, vous devez créer des informations d'identification VPN. Pour le type de CSS Symantec, les informations d'identification VPN ne sont pas nécessaires.
  5. Si vous choisissez de configurer un tunnel GRE au niveau du dispositif Edge, cliquez sur Ajouter un tunnel (Add Tunnel).
  6. Dans la fenêtre Ajouter un tunnel (Add Tunnel) qui s'affiche, configurez les paramètres de tunnel GRE suivants et cliquez sur OK.
    Option Description
    Liaisons WAN (WAN Links) Sélectionnez l'interface WAN à utiliser comme source par le tunnel GRE.
    Adresse IP publique source du tunnel (Tunnel Source Public IP) Choisissez l'adresse IP à utiliser comme adresse IP publique par le tunnel. Vous pouvez choisir l'adresse IP de liaison WAN ou une adresse IP WAN personnalisée. Si vous choisissez l'adresse IP WAN personnalisée, entrez l'adresse IP à utiliser comme adresse IP publique.
    Point de présence principal (Primary Point-of-Presence) Entrez l'adresse IP publique principale du centre de données Zscaler.
    Point de présence secondaire (Secondary Point-of-Presence) Entrez l'adresse IP publique secondaire du centre de données Zscaler.
    Adresse IP principale/masque du routeur (Primary Router IP/Mask) Entrez l'adresse IP principale du routeur.
    Adresse IP secondaire/masque du routeur (Secondary Router IP/Mask) Entrez l'adresse IP secondaire du routeur.
    Adresse IP principale/masque de ZEN (Primary ZEN IP/Mask) Entrez l'adresse IP principale du dispositif Edge de service public Zscaler interne.
    Adresse IP secondaire/masque de ZEN (Secondary ZEN IP/Mask) Entrez l'adresse IP secondaire du dispositif Edge de service public Zscaler interne.
    Note : L'adresse IP/le masque du routeur et l'adresse IP/le masque de ZEN sont fournis par Zscaler.
    Note : Seul un CSS avec GRE est autorisé par dispositif Edge. Vous ne pouvez pas associer plusieurs segments à un dispositif Edge avec l'automatisation Zscaler GRE activée.
    Note : Limitations d'échelle :
    • GRE-WAN : le dispositif Edge prend en charge 4 liens WAN publics au maximum pour une destination non-SD-WAN (NSD). Sur chaque lien, il peut disposer alors de jusqu'à 2 tunnels (principal/secondaire) par NSD. Pour chaque NSD, vous pouvez disposer donc de 8 tunnels et de 8 connexions BGP au maximum à partir d'un dispositif Edge.
    • GRE-LAN : le dispositif Edge prend en charge 1 lien vers la passerelle de transit (TGW) et peut disposer de jusqu'à 2 tunnels (principal/secondaire) par TGW. Pour chaque TGW, vous pouvez donc disposer de 2 tunnels et de 4 connexions BGP au maximum à partir d'un dispositif Edge (2 sessions BGP par tunnel).
  7. Cliquez sur Enregistrer les modifications (Save Changes) dans la fenêtre Dispositifs Edge (Edges) pour enregistrer les paramètres modifiés.

Configuration du fournisseur CSS Zscaler automatisé pour les dispositifs Edge

Pour un fournisseur CSS Zscaler automatisé sélectionné au niveau du dispositif Edge, vous pouvez remplacer les paramètres hérités du profil, créer des sous-emplacements, configurer des options de passerelle et des contrôles de bande passante pour les sous-emplacements.

Avant de créer un sous-emplacement, assurez-vous que le dispositif Edge sélectionné est activé et que les informations d'identification VPN sont configurées pour le dispositif Edge. Pour créer des sous-emplacements sur un dispositif Edge sélectionné, procédez comme suit :

  1. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Sélectionnez un dispositif Edge pour lequel vous souhaitez remplacer les paramètres CSS et créer un sous-emplacement.
  3. Cliquez sur l'icône sous la colonne Périphérique (Device). La page Paramètres du périphérique (Device Settings) du dispositif Edge sélectionné s'affiche.
  4. Dans la section Service de sécurité cloud (Cloud Security Service), sélectionnez Activer le remplacement au niveau du dispositif Edge (Enable Edge Override).
  5. Dans le menu déroulant Service de sécurité cloud (Cloud Security Service), pour le fournisseur CSS automatisé sélectionné, modifiez les attributs (Hachage [Hash], Chiffrement [Encryption] et Protocole d'échange de clés [Key Exchange Protocol]) hérités du profil, si nécessaire. L'automatisation crée un tunnel dans le segment pour le lien WAN public de chaque dispositif Edge avec une adresse IPv4 valide. Dans un déploiement de liens à plusieurs WAN, seul un lien WAN est utilisé pour l'envoi de paquets de données utilisateur. Le dispositif Edge choisit le lien WAN avec le meilleur score de qualité de service (QoS) en utilisant la bande passante, la gigue, la perte et la latence comme critères. L'emplacement est automatiquement créé après l'établissement du tunnel. Pour plus d'informations sur les attributs, reportez-vous à la section Configurer les services de sécurité cloud pour les profils.
    Note : Le remplacement d'un fournisseur de services Zscaler automatisé par un autre fournisseur CSS n'est pas autorisé sur un segment. Pour le dispositif Edge sélectionné sur un segment, vous devez désactiver explicitement le service de sécurité cloud, puis réactiver le CSS si vous souhaitez remplacer le fournisseur de services Zscaler automatisé par un autre fournisseur CSS.

  6. Pour créer un sous-emplacement, cliquez sur l'icône sous la colonne Action.
    Note : Vous n'êtes pas autorisé à créer un sous-emplacement si les informations d'identification VPN ne sont pas configurées pour le dispositif Edge. Avant de configurer des sous-emplacements, assurez-vous de bien comprendre le concept de sous-emplacement et ses limitations. Reportez-vous à la section https://help.zscaler.com/zia/about-sub-locations.
    1. Dans la zone de texte Nom du sous-emplacement (Sub-Location Name), entrez un nom unique pour le sous-emplacement. Le nom du sous-emplacement doit être unique dans tous les segments pour le dispositif Edge. Le nom ne doit pas dépasser 32 caractères et peut contenir des caractères alphanumériques.
    2. Dans le menu déroulant Réseaux LAN (LAN Networks), sélectionnez un VLAN configuré pour le dispositif Edge. Le sous-réseau du réseau LAN sélectionné est automatiquement renseigné.
      Note : Pour un dispositif Edge sélectionné, les sous-emplacements ne doivent pas disposer d'adresses IP de sous-réseau qui se chevauchent sur tous les segments.
    3. Pour configurer les options de passerelle et les contrôles de bande passante pour le sous-emplacement, cliquez sur Modifier (Edit). La fenêtre Options de passerelle Zscaler et contrôle de bande passante (Zscaler Gateway Options and Bandwidth Control) s'affiche.
    4. Configurez les options de passerelle et les contrôles de bande passante pour le sous-emplacement, si nécessaire, puis cliquez sur Enregistrer les modifications (Save Changes). Un sous-emplacement est créé dans SD-WAN Orchestrator.
      Note : Actuellement, les options de passerelle suivantes ne sont pas prises en charge pour la configuration du sous-emplacement :
      • Utiliser XFF à partir d'une demande client (Use XFF from Client Request)
      • Activer un avertissement (Enable Caution)
      • Activer AUP (Enable AUP)
      Note : Une fois que vous avez créé au moins un sous-emplacement dans Orchestrator, Zscaler crée automatiquement un « autre » sous-emplacement côté Zscaler. La fonctionnalité de configuration des options de passerelle de l'« autre » sous-emplacement à partir d'Orchestrator n'est pas prise en charge.
      Option Description
      Options de passerelle
      Inspection SSL (SSL Inspection) Activez cette option pour appliquer votre stratégie d'inspection SSL au trafic HTTPS dans le sous-emplacement et recherchez une fuite de données, un contenu malveillant et des virus éventuels dans les transactions HTTPS.
      Authentification (Authentication) Activez cette option pour exiger que les utilisateurs du sous-emplacement s'authentifient auprès du service.
      Substitut d'adresse IP (IP Surrogate) Si vous avez activé l'authentification, sélectionnez cette option si vous souhaitez mapper des utilisateurs à des adresses IP de périphériques.
      Durée d'inactivité pour la dissociation (Idle Time for Dissociation) Si vous avez activé l'option Substitut d'adresse IP (IP Surrogate), spécifiez la durée de rétention du mappage adresse IP-utilisateur après une transaction terminée. Vous pouvez spécifier la durée d'inactivité pour la dissociation en minutes (par défaut), en heures ou en jours.
      • Si l'utilisateur sélectionne l'unité Minutes, la plage autorisée est comprise entre 1 et 43 200.
      • Si l'utilisateur sélectionne l'unité Heures, la plage autorisée est comprise entre 1 et 720.
      • Si l'utilisateur sélectionne l'unité Jours, la plage autorisée est comprise entre 1 et 30.
      Adresse IP de substitution pour les navigateurs connus (Surrogate IP for Known Browsers) Activez cette option pour utiliser le mappage adresse IP-utilisateur existant à l'utilisateur (obtenu à partir de l'adresse IP de substitution) pour authentifier les utilisateurs qui envoient du trafic à partir de navigateurs connus.
      Durée d'actualisation de la revalidation de la substitution (Refresh Time for re-validation of Surrogacy) Si vous avez activé l'option Adresse IP de substitution pour les navigateurs connus (Surrogate IP for Known Browsers), spécifiez la durée pendant laquelle le service Zscaler peut utiliser le mappage adresse IP-utilisateur pour authentifier les utilisateurs qui envoient du trafic à partir de navigateurs connus. Une fois la période définie écoulée, le service actualise et revalide le mappage adresse IP-utilisateur existant afin qu'il puisse continuer à utiliser le mappage pour authentifier les utilisateurs sur les navigateurs. Vous pouvez spécifier la durée d'actualisation de la revalidation de la substitution en minutes (par défaut), en heures ou en jours.
      • Si l'utilisateur sélectionne l'unité Minutes, la plage autorisée est comprise entre 1 et 43 200.
      • Si l'utilisateur sélectionne l'unité Heures, la plage autorisée est comprise entre 1 et 720.
      • Si l'utilisateur sélectionne l'unité Jours, la plage autorisée est comprise entre 1 et 30.
      Contrôle de bande passante (Bandwidth Control)
      Contrôle de bande passante (Bandwidth Control) Activez cette option pour appliquer les contrôles de bande passante du sous-emplacement.
      Télécharger (Download) Si vous avez activé l'option Contrôle de bande passante (Bandwidth Control), spécifiez les limites de bande passante maximales pour le téléchargement en Mbits/s. La plage autorisée est comprise entre 0,1 et 99 999.
      Charger (Upload) Si vous avez activé l'option Contrôle de bande passante (Bandwidth Control), spécifiez les limites de bande passante maximales pour le chargement en Mbits/s. La plage autorisée est comprise entre 0,1 et 99 999.
      Note : Les options de passerelle des sous-emplacements sont les mêmes que celles que vous pouvez configurer sur le portail Zscaler. Pour plus d'informations sur les options de passerelle Zscaler et les paramètres de contrôle de bande passante, reportez-vous à la section https://help.zscaler.com/zia/configuring-locations
  7. Après avoir créé un sous-emplacement, vous pouvez mettre à jour la configuration du sous-emplacement à partir de la même page, puis cliquer sur Enregistrer les modifications (Save Changes). Le sous-emplacement côté Zscaler est automatiquement mis à jour.
  8. Pour supprimer un sous-emplacement, cliquez sur l'icône sous la colonne Action.
  9. Cliquez sur Enregistrer les modifications (Save Changes).