Cette rubrique explique la configuration de Zscaler et les étapes de configuration d'une Destination non-SD-WAN de type Zscaler dans SD-WAN Orchestrator.

Configurer Zscaler

Procédez comme suit sur le site Web de Zscaler :
  1. Sur le site Web de Zscaler, créez un compte de sécurité Web Zscaler.

    complementary-config-zscaler-cloud-portal

  2. Configurez vos informations d'identification VPN :
    1. En haut de l'écran Zscaler, placez le curseur de la souris sur l'option Administration pour afficher le menu déroulant. (voir l'image ci-dessous).
    2. Sous Ressources (Resources), cliquez sur Informations d'identification VPN (VPN Credentials).

      complementary-configuration-zscaler-administration-drop-down

    3. Cliquez sur l'option Ajouter des informations d'identification VPN (Add VPN Credentials) située dans le coin supérieur gauche.

      complementary-config-zscaler-add-location

    4. Dans la boîte de dialogue Ajouter des informations d'identification VPN (Add VPN Credential) :
      1. Choisissez Nom de domaine complet (FQDN) comme type d'authentification.
      2. Entrez l'ID d'utilisateur et la clé prépartagée (PSK). Vous pouvez obtenir ces informations dans la boîte de dialogue de votre instance de Destination non-SD-WAN dans SD-WAN Orchestrator.
      3. Si nécessaire, entrez des commentaires dans la section Commentaires (Comments).

        complementary-config-add-vpn-credentials

      4. Cliquez sur Enregistrer (Save).
  3. Attribuer un emplacement :
    1.  En haut de l'écran Zscaler, placez le curseur de la souris sur l'option Administration pour afficher le menu déroulant.
    2.  Sous Ressources (Resources), cliquez sur Emplacements (Locations).
    3.  Cliquez sur l'option Ajouter un emplacement (Add Location) située dans le coin supérieur gauche.
    4. Dans la boîte de dialogue Ajouter un emplacement (Add Location) :
      1. Renseignez les zones de texte dans la zone Emplacement [Location] (Nom, Pays, État/Province, Fuseau horaire).
      2. Choisissez Aucun (None) dans le menu déroulant Adresses IP publiques (Public IP Addresses).
      3. Dans le menu déroulant Informations d'identification VPN (VPN Credentials), sélectionnez celles que vous venez de créer.
        complementary-config-zscaler-location2
      4. Cliquez sur Terminé (Done).
      5. Cliquez sur Enregistrer (Save).

Configurer une instance de Destination non-SD-WAN de type Zscaler

Une fois que vous avez créé une configuration Destination non-SD-WAN de type Zscaler, vous êtes redirigé vers une page d'options de configuration supplémentaires :
Vous pouvez configurer les paramètres de tunnel suivant, puis cliquer sur Enregistrer les modifications (Save Changes) :
Option Description
Général (General)
Nom (Name) Vous pouvez modifier le nom entré précédemment pour Destination non-SD-WAN.
Type Affiche le type Zscaler. Vous ne pouvez pas modifier cette option.
Activer le ou les tunnels (Enable Tunnel[s]) Cliquez sur le bouton bascule pour initier le ou les tunnels depuis SD-WAN Gateway vers la passerelle VPN Zscaler.
Mode tunnel (Tunnel Mode) Affiche Actif/passif à chaud, indiquant par là même que si le tunnel actif tombe en panne, le tunnel passif (passif à chaud) prend le relais et devient le tunnel actif.
Passerelle VPN principale (Primary VPN Gateway)
Adresse IP publique (Public IP) Affiche l'adresse IP de la passerelle VPN principale.
PSK La clé prépartagée (PSK) est la clé de sécurité pour l'authentification sur le tunnel. Par défaut, SD-WAN Orchestrator génère un PSK. Si vous souhaitez utiliser votre propre PSK ou mot de passe, entrez-le dans la zone de texte.
VPN VMware Cloud redondant (Redundant VMware Cloud VPN) Cochez cette case pour ajouter des tunnels redondants pour chaque passerelle VPN. Les modifications apportées à Chiffrement (Encryption), à Groupe DH (DH Group) ou à PFS de la passerelle VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés.
Passerelle VPN secondaire (Secondary VPN Gateway) Cliquez sur le bouton Ajouter (Add), puis entrez l'adresse IP de la passerelle VPN secondaire. Cliquez sur Enregistrer les modifications (Save Changes).

La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel VPN de VMware vers cette passerelle.
ID d'authentification locale L'ID d'authentification locale définit le format et l'identification de la passerelle locale. Dans le menu déroulant, choisissez parmi les types suivants et entrez une valeur :
  • Nom de domaine complet (FQDN) : nom de domaine complet ou nom d'hôte. Par exemple : vmware.com
  • Nom de domaine complet de l'utilisateur (User FQDN) : nom de domaine complet de l'utilisateur sous la forme d'une adresse e-mail. Par exemple : [email protected]
  • IPv4 : adresse IP utilisée pour communiquer avec la passerelle locale.
  • IPv6 : adresse IP utilisée pour communiquer avec la passerelle locale.
Note : Pour Destination non-SD-WAN Zscaler, il est recommandé d'utiliser le Nom de domaine complet (FQDN) ou le Nom de domaine complet de l'utilisateur (User FQDN) comme ID d'authentification locale.
Exemple IKE/IPSec (Sample IKE / IPsec) Cliquez pour afficher les informations nécessaires à la configuration de la passerelle Destination non-SD-WAN. L'administrateur de passerelle doit utiliser ces informations pour configurer le ou les tunnels VPN de passerelle.
Emplacement (Location) Cliquez sur Modifier (Edit) pour définir l'emplacement de l'instance de Destination non-SD-WAN configurée. Les détails de la latitude et de la longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à connecter au réseau.
Paramètres de Zscaler (Zscaler Settings)
URL de connexion Zscaler (Zscaler Login URL) Pour vous connecter au portail Zscaler à partir de cet emplacement, entrez l'URL de connexion dans la zone de texte, puis cliquez sur le bouton Connexion à Zscaler (Login to Zscaler). Cela vous redirige vers le portail d'administration de Zscaler du cloud Zscaler sélectionné. Le bouton Connexion à Zscaler (Login à Zscaler) est uniquement activé si vous avez entré l'URL de connexion Zscaler. Pour plus d'informations, reportez-vous à la section Configurer des informations d'identification de l'API.
Contrôle de santé L7 (L7 Health Check) Cochez cette case pour activer le contrôle de santé L7 du fournisseur du service de sécurité cloud Zscaler, avec les détails de la sonde par défaut (Intervalle de sonde HTTP = 5 secondes, Nombre de nouvelles tentatives = 3, Seuil RTT = 3 000 millisecondes). Par défaut, le contrôle de santé L7 est désactivé.
Note : La configuration des détails de la sonde de contrôle de santé n'est pas prise en charge.

Un tunnel Zscaler est établi avec l'algorithme de chiffrement IPsec NULL et l'algorithme d'authentification SHA-256, que l'option Restriction d'exportation du client (Customer Export Restriction) soit activée ou désactivée.