Per creare e configurare un destinazione non SD-WAN di tipo Zscaler, eseguire i passaggi seguenti:
- Nel riquadro di spostamento in SD-WAN Orchestrator, passare a Configura (Configure) > Servizi di rete (Network Services). Viene visualizzata la schermata Servizi (Services).
- Nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), fare clic sul pulsante Nuovo (New).
Viene visualizzata la finestra di dialogo Nuova destinazione non SD-WAN tramite gateway (New Non SD-WAN Destination via Gateway).
- Nella casella di testo Nome (Name) immettere il nome per il destinazione non SD-WAN.
- Dal menu a discesa Tipo (Type), selezionare Zscaler.
- Immettere l'indirizzo IP per il Gateway VPN primario (e il Gateway VPN secondario se necessario) e fare clic su Avanti (Next). Viene creato un destinazione non SD-WAN di tipo Zscaler e viene visualizzata una finestra di dialogo per il destinazione non SD-WAN.
- Per configurare le impostazioni del tunnel per il gateway VPN primario del destinazione non SD-WAN, fare clic sul pulsante Avanzate (Advanced).
- Nell'area Gateway VPN primario (Primary VPN Gateway), in Impostazioni tunnel (Tunnel Settings), è possibile configurare la chiave PSK (Pre-Shared Key), che rappresenta la chiave di sicurezza per l'autenticazione attraverso il tunnel. Orchestrator genera una chiave PSK per impostazione predefinita. Se si desidera utilizzare la propria chiave PSK o password, è possibile immetterla nella casella di testo.
- Se si desidera creare un gateway VPN secondario per questo sito, fare clic sul pulsante Aggiungi (Add) accanto a Gateway VPN secondario (Secondary VPN Gateway). Nella finestra popup, immettere l'indirizzo IP del gateway VPN secondario e fare clic su Salva modifiche (Save Changes). Verrà creato immediatamente il gateway VPN secondario per questo sito e verrà eseguito il provisioning di un tunnel VPN VMware in questo gateway.
- Selezionare la casella di controllo VPN cloud VeloCloud ridondante (Redundant VeloCloud Cloud VPN) per aggiungere tunnel ridondanti per ogni gateway VPN. Tutte le modifiche apportate alla chiave PSK del gateway VPN primario verranno applicate anche ai tunnel VPN ridondanti, se sono configurati. Dopo aver modificato le impostazioni del tunnel del gateway VPN primario, salvare le modifiche e quindi fare clic su Visualizza modello IKE/IPSec (View IKE/IPSec Template) per visualizzare la configurazione del tunnel aggiornata.
- Fare clic sul link Aggiorna posizione (Update Location) per impostare la posizione del destinazione non SD-WAN configurato. I dettagli di latitudine e longitudine vengono utilizzati per determinare l'Edge o il gateway migliore a cui connettersi nella rete.
- L'ID di autenticazione locale definisce il formato e l'identificazione del gateway locale. Dal menu a discesa ID autenticazione locale (Local Auth Id), scegliere tra i tipi seguenti e immettere il valore desiderato:
- FQDN: nome di dominio completo o nome host. Ad esempio, google.com.
- FQDN utente (User FQDN): nome di dominio completo dell'utente sotto forma di indirizzo e-mail. Ad esempio, [email protected].
- IPv4: indirizzo IP utilizzato per comunicare con il gateway locale.
Nota:Per il destinazione non SD-WAN Zscaler è consigliabile utilizzare FQDN o FQDN utente (User FQDN) come ID di autenticazione locale.
- Quando si seleziona Servizio di sicurezza cloud Zscaler (Zscaler Cloud Security Service) come tipo di servizio, per determinare e monitorare l'integrità del server Zscaler, è possibile configurare impostazioni aggiuntive come il controllo dell'integrità del cloud Zscaler e del livello 7 (L7).
- Selezionare la casella di controllo Controllo integrità L7 (L7 Health Check) per abilitare il controllo dell'integrità di L7 per il provider del servizio di sicurezza cloud di Zscaler con i dettagli del probe predefinito (Intervallo probe HTTP (HTTP Probe Interval) = 5 secondi, Numero di tentativi (Number of Retries) = 3, Soglia RTT (RTT Threshold) = 3000 millisecondi). Per impostazione predefinita, il controllo dello stato L7 è disattivato.
Nota: La configurazione dei dettagli del probe del controllo dello stato non è supportata.
- Dal menu a discesa Cloud Zscaler (Zscaler Cloud), selezionare un servizio cloud Zscaler o immettere il nome del servizio cloud Zscaler nella casella di testo.
- Selezionare la casella di controllo Controllo integrità L7 (L7 Health Check) per abilitare il controllo dell'integrità di L7 per il provider del servizio di sicurezza cloud di Zscaler con i dettagli del probe predefinito (Intervallo probe HTTP (HTTP Probe Interval) = 5 secondi, Numero di tentativi (Number of Retries) = 3, Soglia RTT (RTT Threshold) = 3000 millisecondi). Per impostazione predefinita, il controllo dello stato L7 è disattivato.
- Per accedere al portale Zscaler da qui, immettere l'URL di accesso nella casella di testo URL di accesso a Zscaler (Zscaler Login URL) e quindi fare clic su Accedi a Zscaler (Login to Zscaler). Si verrà reindirizzati al portale di amministrazione di Zscaler del cloud Zscaler selezionato. Il pulsante Accedi a Zscaler (Login to Zscaler) è abilitato quando viene immesso l'URL di accesso a Zscaler.
Per ulteriori informazioni, vedere Configurazione di un provider di sicurezza cloud.
- Selezionare la casella di controllo Abilita tunnel (Enable Tunnel(s)) quando si è pronti per avviare il tunnel da SD-WAN Gateway ai gateway VPN Zscaler.
- Fare clic su Salva modifiche (Save Changes).
Nota: Viene stabilito un tunnel Zscaler con l'algoritmo di crittografia IPSec NULL e l'algoritmo di autenticazione SHA-256 indipendentemente dal fatto che la limitazione dell'esportazione del cliente sia attivata o disattivata.
Il servizio di rete configurato viene visualizzato nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway) nella finestra Servizi di rete (Network Services). È possibile associare il servizio di rete a un profilo. Per ulteriori informazioni, vedere Associazione di un destinazione non SD-WAN a un profilo di configurazione.