Pour créer et configurer une instance de Destination non-SD-WAN de type Zscaler, procédez comme suit :
- Dans le panneau de navigation de SASE Orchestrator, accédez à Configurer (Configure) > Services réseau (Network Services). L'écran Services s'affiche.
- Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway), cliquez sur le bouton + Nouveau (+ New).
La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non SD-WAN Destinations via Gateway) s'affiche.
- Dans la zone de texte Nom (Name), entrez le nom du Destination non-SD-WAN.
- Dans le menu déroulant Type, sélectionnez Zscaler.
- Entrez l'adresse IP de la passerelle VPN principale (et celle de la passerelle VPN secondaire si nécessaire), puis cliquez sur Suivant (Next). Une instance de Destination non-SD-WAN de type Zscaler est créée et une boîte de dialogue pour votre Destination non-SD-WAN s'affiche.
- Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Destination non-SD-WAN, cliquez sur le bouton de développement de Paramètres avancés (Advanced Settings).
- Dans la zone Passerelle VPN principale (Primary VPN Gateway), sous Paramètres de tunnel (Tunnel Settings), vous pouvez configurer la clé prépartagée (PSK), qui est la clé de sécurité pour l'authentification dans le tunnel. Par défaut, Orchestrator génère une clé prépartagée (PSK). Si vous souhaitez utiliser votre propre PSK ou mot de passe, vous pouvez l'entrer dans la zone de texte.
Note : À partir de la version 4.5, l'utilisation du caractère spécial « < » dans le mot de passe n'est plus prise en charge. Si les utilisateurs ont déjà utilisé « < » dans leurs mots de passe dans les versions précédentes, ils doivent le supprimer pour enregistrer les modifications sur la page.
- Si vous souhaitez créer une passerelle VPN secondaire pour ce site, cliquez sur le bouton + Ajouter (+ Add) en regard de l'option Passerelle VPN secondaire (Secondary VPN Gateway). Dans la fenêtre contextuelle, entrez l'adresse IP de la passerelle VPN secondaire et cliquez sur Enregistrer les modifications (Save Changes). La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel VPN de VMware vers cette passerelle.
- Cochez la case VPN VMware Cloud redondant (Redundant VMware Cloud VPN) pour ajouter des tunnels redondants à chaque passerelle VPN. Les modifications apportées à la PSK de la passerelle VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés. Après avoir modifié les paramètres de tunnel de la passerelle VPN principale, enregistrez les modifications, puis cliquez sur Exemple IKE/IPsec (Sample IKE/IPsec) pour afficher la configuration de tunnel mise à jour.
- Sous la zone Emplacement (Location), cliquez sur le lien Modifier (Edit) pour mettre à jour l'emplacement de l'instance de Destination non-SD-WAN configurée. Les détails de la latitude et de la longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à connecter au réseau.
- L'ID d'authentification locale définit le format et l'identification de la passerelle locale. Dans le menu déroulant ID d'authentification locale (Local Auth Id), choisissez l'un des types suivants et entrez une valeur que vous déterminez :
- Nom de domaine complet (FQDN) : nom de domaine complet ou nom d'hôte. Par exemple, google.com.
- Nom de domaine complet de l'utilisateur (User FQDN) : nom de domaine complet de l'utilisateur sous la forme d'une adresse e-mail. Par exemple, [email protected].
- IPv4 : adresse IPv4 utilisée pour communiquer avec la passerelle locale.
- IPv6 : adresse IPv6 utilisée pour communiquer avec la passerelle locale.
Note :Pour Destination non-SD-WAN Zscaler, il est recommandé d'utiliser le nom de domaine complet ou le nom de domaine complet de l'utilisateur comme ID d'authentification locale.
- Lorsque le service de sécurité cloud Zscaler est sélectionné comme type de service, vous pouvez configurer des paramètres supplémentaires tels que le cloud Zscaler et le contrôle de santé de couche 7 (L7) pour déterminer et surveiller la santé du serveur Zscaler.
- Cochez la case Contrôle de santé L7 (L7 Health Check) pour activer le contrôle de santé L7 du fournisseur du service de sécurité cloud Zscaler, avec les détails de la sonde par défaut (Intervalle de sonde HTTP = 5 secondes, Nombre de nouvelles tentatives = 3, Seuil RTT = 3 000 millisecondes). Par défaut, le contrôle de santé L7 est désactivé.
Note : La configuration des détails de la sonde de contrôle de santé n'est pas prise en charge.
- Dans le menu déroulant Cloud Zscaler (Zscaler Cloud), sélectionnez un service cloud Zscaler ou entrez le nom du service cloud Zscaler dans la zone de texte.
- Cochez la case Contrôle de santé L7 (L7 Health Check) pour activer le contrôle de santé L7 du fournisseur du service de sécurité cloud Zscaler, avec les détails de la sonde par défaut (Intervalle de sonde HTTP = 5 secondes, Nombre de nouvelles tentatives = 3, Seuil RTT = 3 000 millisecondes). Par défaut, le contrôle de santé L7 est désactivé.
- Pour vous connecter au portail Zscaler à partir d'ici, entrez l'URL de connexion dans la zone de texte URL de connexion Zscaler (Zscaler Login URL), puis cliquez sur Connexion à Zscaler (Login à Zscaler). Cela vous redirigera vers le portail d'administration de Zscaler du cloud Zscaler sélectionné. Le bouton Connexion à Zscaler (Login à Zscaler) sera activé si vous avez entré l'URL de connexion Zscaler.
Pour plus d'informations, reportez-vous à la section Configurer un service de sécurité cloud.
- Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt à initier le tunnel depuis l'instance de SD-WAN Gateway vers les passerelles VPN de Zscaler.
- Cliquez sur Enregistrer les modifications (Save Changes).
Note : Un tunnel Zscaler est établi avec l'algorithme de chiffrement IPsec NULL et l'algorithme d'authentification SHA-256, que l'option Restriction d'exportation du client (Customer Export Restriction) soit activée ou désactivée.
Le service réseau configuré s'affiche sous la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway) dans la fenêtre Services réseau (Network Services). Vous pouvez associer le service réseau à un profil. Pour plus d'informations, reportez-vous à la section Associer une instance de Destination non-SD-WAN à un profil de configuration.