Αυτό το θέμα εξηγεί τη διαμόρφωση Zscaler και τα βήματα για τη διαμόρφωση ενός στοιχείου Προορισμός μη SD-WAN τύπου Zscaler στο SD-WAN Orchestrator.
Διαμόρφωση Zscaler
Ολοκληρώστε τα παρακάτω βήματα στην τοποθεσία του Zscaler:
- Από τον ιστότοπο του Zscaler, δημιουργήστε έναν λογαριασμό ασφάλειας web Zscaler.
- Ρυθμίστε τα δικά σας διαπιστευτήρια VPN:
- Στο επάνω μέρος της οθόνης Zscaler, αφήστε το ποντίκι σας πάνω από την επιλογή Διαχείριση (Administration) για να εμφανιστεί το αναπτυσσόμενο μενού. (Ανατρέξτε στην παρακάτω εικόνα).
- Κάτω από την επιλογή Πόροι (Resources), κάντε κλικ στην επιλογή Διαπιστευτήρια VPN (VPN Credentials).
- Κάντε κλικ στην επιλογή Προσθήκη διαπιστευτηρίων VPN (Add VPN Credentials) στην επάνω αριστερή γωνία.
- Από το πλαίσιο διαλόγου Προσθήκη διαπιστευτηρίων VPN (Add VPN Credential):
- Επιλέξτε FQDN (FQDN) ως τύπο ελέγχου ταυτότητας.
- Πληκτρολογήστε το αναγνωριστικό χρήστη και το ήδη κοινόχρηστο κλειδί (PSK). Αποκτήσατε αυτές τις πληροφορίες από το πλαίσιο διαλόγου του στοιχείου Προορισμός μη SD-WAN στο SD-WAN Orchestrator.
- Εάν είναι απαραίτητο, πληκτρολογήστε τυχόν σχόλια στην ενότητα Σχόλια (Comments).
- Κάντε κλικ στην επιλογή Αποθήκευση (Save).
- Αντιστοίχιση τοποθεσίας:
- Στο επάνω μέρος της οθόνης Zscaler, αφήστε το ποντίκι σας πάνω από την επιλογή Διαχείριση (Administration) για να εμφανιστεί το αναπτυσσόμενο μενού.
- Κάτω από την επιλογή Πόροι (Resources), κάντε κλικ στην επιλογή Τοποθεσίες (Locations).
- Κάντε κλικ στην επιλογή Προσθήκη τοποθεσίας (Add Location), που βρίσκεται στην επάνω αριστερή γωνία.
- Στο παράθυρο διαλόγου Προσθήκη τοποθεσίας (Add Location):
- Συμπληρώστε τα πλαίσια κειμένου στην περιοχή Τοποθεσία (Όνομα, Χώρα, Πολιτεία/Επαρχία, Ζώνη Ώρας).
- Επιλέξτε Καμία (None) από το αναπτυσσόμενο μενού Δημόσιες Διευθύνσεις IP (Public IP Addresses).
- Στο αναπτυσσόμενο μενού Διαπιστευτήρια VPN (VPN Credentials), επιλέξτε το διαπιστευτήριο που μόλις δημιουργήσατε.
- Κάντε κλικ στην επιλογή Τέλος (Done).
- Κάντε κλικ στην επιλογή Αποθήκευση (Save).
Διαμόρφωση στοιχείου Προορισμός μη SD-WAN τύπου Zscaler
Αφού δημιουργήσετε μια διαμόρφωση
Προορισμός μη SD-WAN τύπου
Zscaler, ανακατευθύνεστε σε μια σελίδα πρόσθετων επιλογών διαμόρφωσης:
Μπορείτε να διαμορφώσετε τις ακόλουθες ρυθμίσεις διοχέτευσης και να κάνετε κλικ στην επιλογή
Αποθήκευση αλλαγών (Save Changes):
Επιλογή | Περιγραφή |
---|---|
Γενικά | |
Όνομα | Μπορείτε να επεξεργαστείτε το όνομα που είχε εισαχθεί προηγουμένως για το Προορισμός μη SD-WAN. |
Τύπος (Type) | Εμφανίζει τον τύπο ως Zscaler. Δεν μπορείτε να επεξεργαστείτε αυτήν την επιλογή. |
Ενεργοποίηση διοχέτευσης | Κάντε κλικ στο κουμπί εναλλαγής για να ξεκινήσετε τη διοχέτευση από την πύλη SD-WAN στην πύλη VPN Zscaler. |
Λειτουργία διοχέτευσης (Tunnel Mode) | Εμφανίζεται η ένδειξη Ενεργό/Αναμονή άμεσης ενέργειας (Active/Hot-Standby), υποδεικνύοντας ότι, εάν σταματήσει η λειτουργία της ενεργής διοχέτευσης, η διοχέτευση αναμονής (αναμονή άμεσης ενέργειας) αναλαμβάνει και γίνεται η ενεργή διοχέτευση. |
Πρωτεύουσα πύλη VPN (Primary VPN Gateway) | |
Δημόσια IP (Public IP) | Εμφανίζεται η διεύθυνση IP της πρωτεύουσας πύλης VPN. |
PSK | Το ήδη κοινόχρηστο κλειδί (PSK) είναι το κλειδί ασφαλείας για έλεγχο ταυτότητας σε όλη τη διοχέτευση. Το SD-WAN Orchestrator δημιουργεί ένα PSK από προεπιλογή. Εάν θέλετε να χρησιμοποιήσετε το δικό σας PSK ή κωδικό πρόσβασης, εισαγάγετέ τα στο πλαίσιο κειμένου. |
Πλεονάζον VMware Cloud VPN | Επιλέξτε το πλαίσιο ελέγχου για να προσθέσετε πλεονάζουσες διοχετεύσεις για κάθε πύλη VPN. Οι αλλαγές που γίνονται στην Κρυπτογράφηση (Encryption), στην Ομάδα DH (DH Group) ή στο PFS της πρωτεύουσας πύλης VPN θα εφαρμοστούν επίσης στις πλεονάζουσες διοχετεύσεις VPN, αν έχουν διαμορφωθεί. |
Δευτερεύουσα πύλη VPN (Secondary VPN Gateway) | Κάντε κλικ στο κουμπί Προσθήκη (Add) και, στη συνέχεια, πληκτρολογήστε τη διεύθυνση IP της δευτερεύουσας πύλης VPN. Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes). Η δευτερεύουσα πύλη VPN δημιουργείται αμέσως για αυτήν την τοποθεσία και παρέχει μια διοχέτευση VPN VMware σε αυτήν την πύλη. |
Αναγνωριστικό τοπικού ελέγχου ταυτότητας | Το τοπικό αναγνωριστικό ελέγχου ταυτότητας προσδιορίζει τη μορφή και την αναγνώριση της τοπικής πύλης. Από το αναπτυσσόμενο μενού, επιλέξτε από τους ακόλουθους τύπους και εισαγάγετε μια τιμή:
Σημείωση: Για το στοιχείο
Προορισμός μη SD-WAN Zscaler, συνιστάται να χρησιμοποιήσετε το
FQDN ή το
FQDN χρήστη (User FQDN) ως τοπικό αναγνωριστικό ελέγχου ταυτότητας.
|
Δείγμα IKE / IPSec | Κάντε κλικ για να προβάλετε τις πληροφορίες που απαιτούνται για τη διαμόρφωση της πύλης Προορισμός μη SD-WAN. Ο διαχειριστής πύλης θα πρέπει να χρησιμοποιήσει αυτές τις πληροφορίες για να διαμορφώσει την ή τις διοχετεύσεις πύλης VPN. |
Τοποθεσία (Location) | Κάντε κλικ στην επιλογή Επεξεργασία (Edit) για να ορίσετε τη θέση για τη διαμορφωμένη Προορισμός μη SD-WAN. Οι λεπτομέρειες γεωγραφικού πλάτους και μήκους χρησιμοποιούνται για τον προσδιορισμό του καλύτερου Edge ή της καλύτερης πύλης για σύνδεση στο δίκτυο. |
Ρυθμίσεις Zscaler | |
URL σύνδεσης Zscaler (Zscaler Login URL) | Για να συνδεθείτε στην πύλη Zscaler από εδώ, εισαγάγετε τη διεύθυνση URL σύνδεσης στο πλαίσιο κειμένου και κάντε κλικ στο κουμπί Σύνδεση σε Zscaler (Login to Zscaler). Αυτό σας ανακατευθύνει στην πύλη διαχείρισης Zscaler του επιλεγμένου Zscaler Cloud. Το κουμπί Σύνδεση σε Zscaler (Login to Zscaler) ενεργοποιείται μόνο εάν εισαγάγετε τη διεύθυνση URL σύνδεσης Zscaler. Για περισσότερες πληροφορίες, δείτε Ρύθμιση παραμέτρων διαπιστευτηρίων API. |
Έλεγχος εύρυθμης λειτουργίας L7 (L7 Health Check) | Επιλέξτε το πλαίσιο ελέγχου για να ενεργοποιήσετε τον έλεγχο εύρυθμης λειτουργίας L7 για τον πάροχο Υπηρεσίας ασφαλείας Cloud Zscaler, με προεπιλεγμένα στοιχεία διερεύνησης (διάστημα διερεύνησης HTTP = 5 δευτερόλεπτα, αριθμός επαναλήψεων = 3, όριο RTT = 3000 χιλιοστά του δευτερολέπτου). Από προεπιλογή, ο έλεγχος εύρυθμης λειτουργίας L7 είναι απενεργοποιημένος.
Σημείωση: Η διαμόρφωση των στοιχείων της διερεύνησης ελέγχου εύρυθμης λειτουργίας δεν υποστηρίζεται.
|
Δημιουργείται μια διοχέτευση Zscaler με αλγόριθμο κρυπτογράφησης IPsec NULL και αλγόριθμο ελέγχου ταυτότητας SHA-256, ανεξάρτητα από το αν ο περιορισμός εξαγωγής πελατών είναι ενεργοποιημένος ή απενεργοποιημένος.