Οι επιχειρήσεις μπορούν να επωφεληθούν από την ασφαλή τοπική απόδραση στο Διαδίκτυο χρησιμοποιώντας το VMware SD-WAN που ενοποιημένο με το Zscaler. Χρησιμοποιώντας το VMware SD-WAN, ο διαχειριστής του δικτύου μπορεί να αποφασίσει ποια κυκλοφορία θα πρέπει να προωθείται στο Zscaler, χρησιμοποιώντας διοχετεύσεις IPsec (με μηδενική κρυπτογράφηση).

Προϋποθέσεις

Οι προϋποθέσεις για την παροχή νέας υπηρεσίας με Zscaler και VMware SD-WAN είναι:
  • Πρόσβαση στο Internet με Zscaler (ZIA)
    • Μια λειτουργική παρουσία του ZIA (οποιοδήποτε cloud)
    • Διαπιστευτήρια σύνδεσης διαχειριστή
  • VMware SASE Orchestrator
    • Πρόσβαση εταιρικού λογαριασμού στον VMware SASE Orchestrator
    • Διαπιστευτήρια σύνδεσης διαχειριστή
    • Μία η περισσότερες συσκευές VMware SD-WAN Edge με κατάσταση “Online” στο VMware SASE Orchestrator

Συμπεριφορά επιλογής και δρομολόγησης Zscaler Πύλη SD-WAN

Η διαδικασία διαμόρφωσης του VMware SASE Orchestrator για την κατασκευή διοχετεύσεων στο Zscaler δεν απαιτεί τη μη αυτόματη επιλογή συγκεκριμένων Πύλες VMware SD-WAN Gateways. Χρησιμοποιώντας διαδικασία αναζήτησης geo-IP, οι Πύλες VMware SD-WAN Gateways επιλέγονται δυναμικά με βάση την εγγύτητα στο παρεχόμενο τελικό σημείο IP Zscaler. Οι διαχειριστές-χειριστές και οι διαχειριστές-συνεργάτες με επαρκή δικαιώματα μπορούν να παρακάμψουν με μη αυτόματο τρόπο τις προεπιλεγμένες επιλογές πύλης SASE Orchestrator. Κανονικά, αυτό δεν είναι απαραίτητο και η συνιστώμενη βέλτιστη πρακτική είναι να αποδεχτείτε τις Πύλες SD-WAN όπως επιλέγονται από το σύστημα. Αφού ολοκληρωθεί η διαμόρφωση Zscaler στο SASE Orchestrator και οι διοχετεύσεις είναι ενεργοποιημένες και ενεργές, οι διαχειριστές-χειριστές και οι διαχειριστές-συνεργάτες (με επαρκή δικαιώματα μπορούν να επαληθεύσουν ποιες Πύλες SD-WAN επιλέχθηκαν. Για να επαληθεύσετε ποιες Πύλες SD-WAN επιλέχθηκαν, συνδεθείτε στο Orchestrator και μεταβείτε στο Χειριστής > Πύλες. Κάντε κλικ σε μια συγκεκριμένη Πύλη SD-WAN και αναζητήστε την «Ασφαλή πύλη VPN». Δίπλα στην επιλογή «Ασφαλής πύλη VPN» εμφανίζεται το όνομα της ρύθμισης Zscaler όπως έχει οριστεί κατά τη διαδικασία διαμόρφωσης. Η κύρια Πύλη SD-WAN θα επισημαίνεται ως Zscaler_Name και η πλεονάζουσα Πύλη SD-WAN θα επισημαίνεται ως Zscaler_Name[πλεονάζουσα].

Για να ορίσετε τη διοχέτευση Zscaler σε συγκεκριμένη Πύλη SD-WAN, πρέπει πρώτα να εντοπίσετε ποια Πύλη SD-WAN έχει τη διοχέτευση ακολουθώντας την παραπάνω διαδικασία. Από εκεί μπορείτε να κάνετε κλικ στην «Ασφαλή πύλη VPN» και να μετακινήσετε/αντιστοιχίσετε τη διοχέτευση σε διαφορετική Πύλη SD-WAN.

  1. Εντοπίστε την τρέχουσα θέση της διοχέτευσης.
  2. Κάντε κλικ στην Ασφαλή πύλη VPN.
  3. Επιλέξτε μια Πύλη SD-WAN.
    Σημείωση: Η αντιστοίχιση/μετακίνηση μιας διοχέτευσης σε διαφορετική Πύλη SD-WAN επηρεάζει την υπηρεσία. Η υπάρχουσα σύνδεση της διοχέτευσης τερματίζεται και εδραιώνεται μια νέα διοχέτευση από την πρόσφατα αντιστοιχισμένη Πύλη SD-WAN.

    Κατά τη διάρκεια της διαδικασίας διαμόρφωσης/ενεργοποίησης VMware SD-WAN Edge, σε κάθε Edge αντιστοιχίζεται ένα ζεύγος Πύλες SD-WAN cloud ή ένα σύνολο συνεργατικών Πύλες SD-WAN, σύμφωνα με τη διαμόρφωση της συσκευής. Εάν οι Πύλες SD-WAN που χρησιμοποιούνται από το Edge δεν είναι οι ίδιες Πύλες SD-WAN που περιέχουν τις διοχετεύσεις Zscaler, το Edge κατασκευάζει αυτόματα διοχετεύσεις VCMP στις Πύλες SD-WAN που συνδέονται με το Zscaler επιπρόσθετα προς τις Πύλες SD-WAN που επιλέγονται κατά τη διαδικασία ενεργοποίησης. Αυτό εξασφαλίζει ότι το Edge έχει μια διαδρομή για να φτάσει στο Zscaler.

Παραδείγματα εγκατάστασης Zscaler

Παράδειγμα 1: Κύρια διοχέτευση Zscaler προς το 1.1.1.1 χωρίς να επιλεγεί ΚΑΝΕΝΑ πλεονάζον Velocloud Cloud VPN

Σε αυτό το παράδειγμα, δημιουργείται μόνο μία διοχέτευση VPN Zscaler και δεν είναι επιλεγμένο το πλαίσιο ελέγχου πλεονάζοντος Velocloud Cloud VPN. Μια μεμονωμένη πύλη (κύρια Πύλη SD-WAN σε αυτήν την περίπτωση) που επιλέγεται με βάση την εγγύτητα στην απομακρυσμένη πύλη VPN (όπως καθορίζεται μέσω της αναζήτησης Geo-IP), δημιουργεί μια διοχέτευση IPsec στο τελικό σημείο του Zscaler VPN. Ανάλογα με τη διαμόρφωση της πολιτικής επιχείρησης, η κυκλοφορία ρέει από το SD-WAN Edge, στην πρωτεύουσα Πύλη SD-WAN και, στη συνέχεια, στο Zscaler. Παρόλο που το SD-WAN Edge έχει πάντα διοχετεύσεις VCMP προς τουλάχιστον δύο Πύλες SD-WAN, δεν υπάρχει πλεονασμός σε αυτόν τον σχεδιασμό. Δεδομένου ότι το πλαίσιο ελέγχου πλεονάζοντος Velocloud Cloud VPN δεν είναι επιλεγμένο, δεν υπάρχει διοχέτευση εφεδρικής Πύλη SD-WAN προς το Zscaler. Εάν αποτύχει είτε το Zscaler είτε η πρωτεύουσα Πύλη SD-WAN ή εάν η διοχέτευση IPsec μεταξύ των δύο απενεργοποιηθεί για οποιονδήποτε λόγο, η κυκλοφορία προς το Zscaler διακόπτεται.

Παράδειγμα 2: Πρωτεύουσα διοχέτευση Zscaler προς το 1.1.1.1 με επιλεγμένο το πλεονάζον VeloCloud Cloud VPN

Σε αυτό το παράδειγμα, δημιουργείται μόνο μία διοχέτευση VPN Zscaler και επιλέγεται το πλαίσιο ελέγχου πλεονάζον VeloCloud Cloud VPN. Δύο Πύλες SD-WAN επιλεγμένες με βάση την εγγύτητα στην απομακρυσμένη πύλη VPN (όπως καθορίζεται μέσω της αναζήτησης Geo-IP) που είναι οι πιο κοντινές στην τοποθεσία Zscaler κατασκευάζουν διοχετεύσεις IPsec προς το Zscaler. Και οι δύο αυτές διοχετεύσεις είναι ενεργές, ωστόσο όλη η κυκλοφορία προς το Zscaler διασχίζει την πρωτεύουσα Πύλη SD-WAN. Εάν η πρωτεύουσα Πύλη SD-WAN αποτύχει, η κυκλοφορία μεταφέρεται μετά στη δευτερεύουσα Πύλη SD-WAN. Δεδομένου ότι μόνο ένα μεμονωμένο τελικό σημείο Zscaler ορίζεται εάν απενεργοποιηθεί η κυκλοφορία προς το Zscaler διακόπτεται.

Παράδειγμα 3: Πρωτεύουσα διοχέτευση Zscaler προς το 1.1.1.1, δευτερεύουσα διοχέτευση Zscaler προς το 2.2.2.2 ΧΩΡΙΣ επιλεγμένο πλεονάζον VeloCloud Cloud VPN

Σε αυτό το παράδειγμα, οι πλεονάζουσες διοχετεύσεις IPsec προς το Zscaler διαμορφώνονται στο SASE Orchestrator προσθέτοντας μια δευτερεύουσα διεύθυνση IP Zscaler, ωστόσο δεν είναι επιλεγμένο το πλαίσιο ελέγχου πλεονάζον Velocloud Cloud VPN. Μια μεμονωμένη Πύλη SD-WAN επιλεγμένη με βάση την εγγύτητα στην απομακρυσμένη πύλη VPN (όπως καθορίζεται μέσω της αναζήτησης Geo-IP), δημιουργία μια διοχέτευση IPsec και προς τα δύο τελικά σημεία του Zscaler VPN. Και οι δύο αυτές διοχετεύσεις είναι ενεργές, αλλά βάσει των ρυθμίσεων διαμόρφωσης η Πύλη SD-WAN γνωρίζει ποια διοχέτευση IPsec προς το Zscaler είναι η κύρια διαδρομή και στέλνει την κυκλοφορία μέσω αυτής της διοχέτευσης. Το Zscaler δεν επισημαίνει πρωτεύουσες ή εφεδρικές διοχετεύσεις IPsec. Το Zscaler απλά επιστρέφει την κυκλοφορία μέσω της Πύλη SD-WAN που απηύθυνε το αίτημα. Σε περίπτωση απενεργοποίησης της πρωτεύουσας τοποθεσίας του Zscaler, η κυκλοφορία από την Πύλη SD-WAN μετατοπίζεται στη δευτερεύουσα διοχέτευση IPSec Zscaler. Δεδομένου ότι το πλαίσιο ελέγχου πλεονάζον Velocloud Cloud VPN δεν είναι επιλεγμένο, δεν υπάρχουν πλεονάζουσες συνδέσεις Πύλη SD-WAN με το Zscaler. Εάν η Πύλη SD-WAN αποτύχει, τότε η κυκλοφορία προς το Zscaler διακόπτεται.

Παράδειγμα 4: Πρωτεύουσα διοχέτευση Zscaler προς το 1.1.1.1, δευτερεύουσα διοχέτευση Zscaler προς το 2.2.2.2 με επιλεγμένο το πλεονάζον VPN Velocloud

Σε αυτό το παράδειγμα, οι πλεονάζουσες διοχετεύσεις IPsec προς το Zscaler διαμορφώνονται στο SASE Orchestrator προσθέτοντας δευτερεύουσα διεύθυνση IP Zscaler και το πλαίσιο ελέγχου Πλεονάζοντος VeloCloud Cloud VPN είναι επιλεγμένο. Δύο Πύλες SD-WAN επιλεγμένες με βάση την εγγύτητα στην απομακρυσμένη πύλη VPN (όπως καθορίζεται μέσω της αναζήτησης Geo-IP), δημιουργούν διοχετεύσεις IPsec και στα δύο τελικά σημεία του VPN Zscaler. Όλες αυτές οι διοχετεύσεις είναι ενεργές, αλλά βάσει των ρυθμίσεων διαμόρφωσης οι Πύλες SD-WAN γνωρίζουν ποια από τις δύο είναι η πρωτεύουσα Πύλη SD-WAN και ποια είναι η δευτερεύουσα. Οι Πύλες SD-WAN γνωρίζουν επίσης ποια από τις διοχετεύσεις τους IPsec προς το Zscaler είναι η πρωτεύουσα διαδρομή και ποια είναι η δευτερεύουσα διαδρομή. Το Zscaler δεν επισημαίνει πρωτεύουσες ή εφεδρικές διοχετεύσεις IPsec. Το Zscaler απλά επιστρέφει την κυκλοφορία μέσω της Πύλη SD-WAN που απηύθυνε το αίτημα. Σε περίπτωση απενεργοποίησης της κύριας τοποθεσίας του Zscaler, η κυκλοφορία από την πρωτεύουσα Πύλη SD-WAN μετατοπίζεται στη δευτερεύουσα διοχέτευση IPsec Zscaler. Δεδομένου ότι είναι επιλεγμένο το πλαίσιο ελέγχου πλεονάζοντος Velocloud Cloud VPN, εάν η πρωτεύουσα Πύλη SD-WAN αποτύχει η κυκλοφορία θα μετατοπιστεί στη δευτερεύουσα Πύλη SD-WAN. Η δευτερεύουσα Πύλη SD-WAN θα χρησιμοποιήσει την πρωτεύουσα διοχέτευση IPsec υπό την προϋπόθεση ότι η διαδρομή είναι διαθέσιμη. Εάν όχι, θα χρησιμοποιήσει τη δευτερεύουσα διοχέτευση IPSec για να φτάσει στο Zscaler.

Έλεγχοι εύρυθμης λειτουργίας επιπέδου 7

Όταν δημιουργείτε μια διοχέτευση IPsec/GRE σε ένα συγκεκριμένο κέντρο δεδομένων Zscaler για την πρόσβαση στο Internet με Zscaler (ZIA), η διοχέτευση δημιουργείται μεταξύ SD-WAN Edge ή Πύλη SD-WAN, προς μια εικονική IP (VIP) σε μια συσκευή εξισορρόπησης φόρτου Zscaler για ZIA. Όταν η κυκλοφορία τελικού χρήστη από τη διακλάδωση φτάσει στη συσκευή εξισορρόπησης φόρτου, η συσκευή εξισορρόπησης φόρτου διανέμει την κυκλοφορία στα Edge δημόσιας υπηρεσίας ZIA. Η ανίχνευση νεκρού ομότιμου (DPD) και τα GRE keepalives μπορούν να ανιχνεύσουν μόνο τη διαθεσιμότητα προς τη δημόσια VIP στη συσκευή εξισορρόπησης φόρτου (δεδομένου ότι είναι ο προορισμός της διοχέτευσης). Η δημόσια VIP είναι ένα εξαιρετικά διαθέσιμο τελικό σημείο και δεν αντικατοπτρίζει τη διαθεσιμότητα ενός συγκεκριμένου Edge δημόσιας υπηρεσίας ZIA. Ο έλεγχος εύρυθμης λειτουργίας επιπέδου 7 σάς παρέχει τη δυνατότητα να παρακολουθείτε την απόδοση και τη διαθεσιμότητα των Edge ZIA με βάση ανιχνευτές HTTP και σας παρέχει τη δυνατότητα ανακατεύθυνσης σε εναλλακτική διοχέτευση βάσει αποτελεσμάτων. Το SD-WAN Edge ή η Πύλη SD-WAN στέλνει περιοδικά αιτήσεις διερεύνησης στη διεύθυνση URL του ανιχνευτή HTTP (με την ακόλουθη μορφή) εάν είναι ενεργοποιημένος ο ανιχνευτής.

http://gateway.<zscaler_cloud>.net/vpntest

Η διεύθυνση URL του ανιχνευτή διερεύνησης έχει τη δυνατότητα διαμόρφωσης στο SASE Orchestrator, αλλά το διάστημα μεταξύ των διαδοχικών διερευνήσεων και ο αριθμός επαναλήψεων δεν είναι προς το παρόν επεξεργάσιμα στο SASE Orchestrator. Εάν ο ανιχνευτής αποτύχει διαδοχικά για τον αριθμό των επαναλήψεων που έχει καθοριστεί, η διοχέτευση επισημαίνει ως απενεργοποιημένη και η κυκλοφορία ανακατευθύνεται προς τη δευτερεύουσα διοχέτευση, εάν έχει οριστεί. Η αποτυχία του αισθητήρα θα μπορούσε να οφείλεται είτε στο γεγονός ότι δεν έχει ληφθεί η απόκριση https (200 OK), είτε στο ότι η καθυστέρηση είναι μεγαλύτερη από το καθορισμένο όριο. Εάν σε κάποιο Edge έχει διαμορφωθεί η οπισθόζευξη υπό όρους, οι αποτυχίες του ανιχνευτή τόσο στην πρωτεύουσα όσο και στη δευτερεύουσα διοχέτευση προκαλούν ανακατεύθυνση της κυκλοφορίας προς τον διανομέα οπισθόζευξης που έχει διαμορφωθεί. Όταν ο ανιχνευτής ενεργοποιηθεί εκ νέου, η κυκλοφορία επανέρχεται στη διοχέτευση CSS. Αν το Πλεονάζον Cloud VPN έχει διαμορφωθεί για Προορισμός μη SD-WAN (NSD) μέσω πύλης, οι αποτυχίες του αισθητήρα τόσο προς την πρωτεύουσα όσο και προς τη δευτερεύουσα διοχέτευση από την πρωτεύουσα πύλη προκαλούν ανακατεύθυνση της κυκλοφορίας προς τη δευτερεύουσα πύλη. Όταν ο ανιχνευτής στην κύρια πύλη ενεργοποιηθεί εκ νέου, η κυκλοφορία επανέρχεται στη διοχέτευση CSS στην πρωτεύουσα πύλη.

Διαμορφώσεις ανάπτυξης Zscaler και VMware SD-WAN

Περιγράφει τα βήματα διαμόρφωσης για την ενοποίηση της πρόσβασης στο Internet Zscaler (ZIA) και του VMware SD-WAN:

  1. Διαμόρφωση πρόσβασης στο Internet Zscaler (ZIA): Δημιουργία λογαριασμού, προσθήκη διαπιστευτηρίων VPN, προσθήκη τοποθεσίας.
  2. Δημιουργία και διαμόρφωση ενός μη SD-WAN προορισμού.
  3. Προσθήκη μη SD-WAN προορισμού στο προφίλ διαμόρφωσης.
  4. Διαμόρφωση κανόνων επιχειρηματικής προτεραιότητας.

Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα https://www.zscaler.com/resources/solution-briefs/partner-vmware-sdwan-deployment-guide.pdf. Αυτός ο οδηγός παρέχει παραδείγματα GUI για τη διαμόρφωση της πρόσβασης στο Internet Zscaler και του VMware SASE Orchestrator.

Συμβάντα ελέγχου εύρυθμης λειτουργίας επιπέδου 7

Συμβάν (Event) Εμφανίζεται στο περιβάλλον εργασίας χρήστη του Orchestrator ως Σοβαρότητα (Severity) Ειδοποίηση με δυνατότητα διαμόρφωσης Δημιουργήθηκε από Δημιουργείται όταν
EDGE_NVS_TUNNEL_UP Ενεργή διοχέτευση Edge Direct IPsec ΠΛΗΡΟΦΟΡΙΕΣ N SASE Orchestrator Μια διοχέτευση υπηρεσίας ασφαλείας cloud ή NSD μέσω Edge είναι ενεργή.
EDGE_NVS_TUNNEL_DOWN Ανενεργή διοχέτευση Edge Direct IPsec ΠΛΗΡΟΦΟΡΙΕΣ N SASE Orchestrator Μια διοχέτευση υπηρεσίας ασφαλείας cloud ή NSD μέσω Edge είναι ανενεργή.
VPN_DATACENTER_STATUS Αλλαγή κατάστασης διοχέτευσης VPN ΠΑΡΑΤΗΡΗΣΗ N Πύλη SD-WAN Η κατάσταση της διοχέτευσης VPN έχει αλλάξει.
Για πληροφορίες σχετικά με συμβάντα που σχετίζονται με υπηρεσίες ασφαλείας cloud, ανατρέξτε στο θέμα Παρακολούθηση συμβάντων υπηρεσιών ασφαλείας Cloud.