Dopo aver assegnato un profilo a un Edge, l'Edge eredita automaticamente il servizio di sicurezza cloud (CSS) e gli attributi configurati nel profilo. È possibile sostituire le impostazioni per selezionare un provider di sicurezza cloud diverso o modificare gli attributi per ogni Edge.

Per sostituire la configurazione di CSS per un Edge specifico, eseguire i passaggi seguenti:

  1. Nel portale dell'azienda, fare clic su Configura (Configure) > Edge (Edges).
  2. Selezionare l'Edge in cui si desidera sostituire le impostazioni di CSS e fare clic sull'icona sotto la colonna Dispositivo (Device). Viene visualizzata la pagina Impostazioni dispositivo (Device Settings) per l'Edge selezionato.
  3. Nell'area Servizio di sicurezza cloud (Cloud Security Service), vengono visualizzati i parametri di CSS del profilo associato. Selezionare Abilita sostituzione Edge (Enable Edge Override) per selezionare un CSS diverso o per modificare gli attributi ereditati dal profilo associato all'Edge. Per ulteriori informazioni sugli attributi, vedere Configurazione dei servizi di sicurezza cloud per i profili.

    Configurare le impostazioni di IPSec

    Nota: Per i servizi di sicurezza cloud con l'URL di accesso a Zscaler configurato, nell'area Servizio di sicurezza cloud (Cloud Security Service) viene visualizzato il pulsante Accedi a Zscaler (Login to Zscaler). Se si fa clic sul pulsante Accedi a Zscaler (Login to Zscaler), si viene reindirizzati al portale di amministrazione di Zscaler del cloud Zscaler selezionato.
  4. Se si sceglie di configurare un tunnel IPSec a livello di Edge, oltre agli attributi ereditati, è necessario configurare un nome di dominio completo (FQDN) e una chiave PSK (Pre-Shared Key) per la sessione IPSec.
    Nota: Per i CSS di tipo Zscaler e generico, è necessario creare credenziali VPN. Per il tipo Symantec CSS, le credenziali VPN non sono necessarie.
  5. Se si sceglie di configurare un tunnel GRE a livello di Edge, fare clic su Aggiungi tunnel (Add Tunnel).
  6. Nella finestra Aggiungi tunnel (Add Tunnel), configurare i seguenti parametri del tunnel GRE e fare clic su OK.
    Opzione Descrizione
    Link WAN (WAN Links) Selezionare l'interfaccia WAN che il tunnel GRE deve utilizzare come origine.
    IP pubblico origine tunnel (Tunnel Source Public IP) Scegliere l'indirizzo IP che il tunnel deve utilizzare come indirizzo IP pubblico. È possibile scegliere l'IP link WAN o l'IP WAN personalizzato. Se si sceglie l'IP WAN personalizzato, immettere l'indirizzo IP da utilizzare come IP pubblico.
    Punto di presenza primario (Primary Point-of-Presence) Immettere l'indirizzo IP pubblico primario del data center Zscaler.
    Punto di presenza secondario (Secondary Point-of-Presence) Immettere l'indirizzo IP pubblico secondario del data center Zscaler.
    IP/maschera router primario (Primary Router IP/Mask) Immettere l'indirizzo IP primario del router.
    IP/maschera router secondario (Secondary Router IP/Mask) Immettere l'indirizzo IP secondario del router.
    IP/maschera ZEN primario (Primary ZEN IP/Mask) Immettere l'indirizzo IP primario dell'Edge del servizio pubblico Zscaler interno.
    IP/maschera ZEN secondario (Secondary ZEN IP/Mask) Immettere l'indirizzo IP secondario dell'Edge del servizio pubblico Zscaler interno.
    Nota: L'IP/maschera router e l'IP/maschera ZEN vengono forniti da Zscaler.
    Nota: Per ogni Edge è consentito un solo CSS con GRE. Un Edge non può avere più di un segmento con l'automazione GRE Zscaler abilitata.
    Nota: Limitazioni di scalabilità:
    • GRE-WAN: l'Edge supporta al massimo 4 link WAN pubblici per una destinazione non SD-WAN (NSD) e in ogni link può avere fino a 2 tunnel (primario/secondario) per NSD. Pertanto, per ogni NSD, è possibile disporre di un massimo di 8 tunnel e 8 connessioni BGP da un Edge.
    • GRE-LAN: Edge supporta 1 link al gateway di transito (TGW) e può avere fino a 2 tunnel (primario/secondario) per TGW. Pertanto, per ogni TGW, è possibile disporre di un massimo di 2 tunnel e 4 connessioni BGP da un Edge (2 sessioni BGP per tunnel).
  7. Fare clic su Salva modifiche (Save Changes) nella finestra Edge (Edges) per salvare le impostazioni modificate.

Configurazione del provider CSS Zscaler automatizzato per gli Edge

A livello di Edge, per un provider CSS Zscaler automatizzato selezionato è possibile sostituire le impostazioni ereditate dal profilo, creare posizioni secondarie, nonché configurare le opzioni del gateway e i controlli della larghezza di banda per le posizioni secondarie.

Prima di creare una posizione secondaria, verificare che l'Edge selezionato sia attivato e che le credenziali VPN siano configurate per l'Edge. Per creare posizioni secondarie in un Edge selezionato, eseguire i passaggi seguenti:

  1. Nel portale dell'azienda, fare clic su Configura (Configure) > Edge (Edges).
  2. Selezionare un Edge in cui si desidera sostituire le impostazioni CSS e creare la posizione secondaria.
  3. Fare clic sull'icona sotto la colonna Dispositivo (Device). Viene visualizzata la pagina Impostazioni dispositivo (Device Settings) per l'Edge selezionato.
  4. Nella sezione Servizio di sicurezza cloud (Cloud Security Service), selezionare Abilita sostituzione Edge (Enable Edge Override).
  5. Nel menu a discesa Servizio di sicurezza cloud (Cloud Security Service), per il provider CSS automatizzato selezionato, modificare gli attributi (hash, crittografia e protocollo di scambio chiavi) ereditati dal profilo, se necessario. L'automazione creerà un tunnel nel segmento per ogni link WAN pubblico dell'Edge con indirizzo IPv4 valido. In una distribuzione di link multi-WAN, viene utilizzato solo uno dei link WAN per l'invio dei pacchetti di dati degli utenti. L'Edge sceglie il link WAN con il punteggio QoS (Quality of Service) migliore utilizzando larghezza di banda, jitter, perdita e latenza come criteri. La posizione viene creata automaticamente dopo che il tunnel è stato stabilito. Per ulteriori informazioni sugli attributi, vedere Configurazione dei servizi di sicurezza cloud per i profili.
    Nota: Il passaggio a un altro provider CSS da un provider di servizi Zscaler automatizzato non è consentito in un segmento. Per l'Edge selezionato in un segmento, è necessario disattivare esplicitamente il servizio di sicurezza cloud (CSS) e quindi riattivarlo se si desidera passare a un nuovo provider CSS da un provider di servizi Zscaler automatizzato.

  6. Per creare una posizione secondaria, fare clic sull'icona sotto la colonna Azione (Action).
    Nota: Non sarà possibile creare una posizione secondaria se le credenziali VPN non sono configurate per l'Edge. Prima di configurare le posizioni secondarie, assicurarsi di conoscere la posizione secondaria e i relativi limiti. Vedere https://help.zscaler.com/zia/about-sub-locations.
    1. Nella casella di testo Nome posizione secondaria (Sub-Location Name) immettere un nome univoco per la posizione secondaria. Il nome della posizione secondaria deve essere univoco in tutti i segmenti per l'Edge. Il nome può contenere caratteri alfanumerici. La lunghezza massima della parola è 32 caratteri.
    2. Nel menu a discesa Reti LAN (LAN Networks), selezionare una VLAN configurata per l'Edge. La subnet della rete LAN selezionata verrà compilata automaticamente.
      Nota: Per un Edge selezionato, le posizioni secondarie non devono avere indirizzi IP di subnet sovrapposti in tutti i segmenti.
    3. Per configurare le opzioni del gateway e i controlli della larghezza di banda per la posizione secondaria, fare clic su Modifica (Edit). Viene visualizzata la finestra Opzioni gateway Zscaler e controllo della larghezza di banda (Zscaler Gateway Options and Bandwidth Control).
    4. Configurare le opzioni del gateway e i controlli della larghezza di banda per la posizione secondaria nel modo desiderato e fare clic su Salva modifiche (Save Changes). In SD-WAN Orchestrator viene creata una posizione secondaria.
      Nota: Attualmente, le seguenti opzioni del gateway non sono supportate per la configurazione delle posizioni secondarie:
      • Usa XFF da richiesta client (Use XFF from Client Request)
      • Abilita Attenzione (Enable Caution)
      • Abilita AUP (Enable AUP)
      Nota: Dopo aver creato almeno una posizione secondaria in Orchestrator, Zscaler crea automaticamente un'altra posizione secondaria sul lato Zscaler. La funzionalità per configurare le opzioni del gateway dell'altra posizione secondaria da Orchestrator non è supportata.
      Opzione Descrizione
      Opzioni gateway (Gateway Options)
      Ispezione SSL (SSL Inspection) Abilitare questa opzione per applicare il criterio dell'ispezione SSL al traffico HTTPS nella posizione secondaria e controllare le transazioni HTTPS per individuare eventuali perdite di dati, contenuti dannosi e virus.
      Autenticazione (Authentication) Abilitare questa opzione per richiedere agli utenti della posizione secondaria di eseguire l'autenticazione nel servizio.
      IP sostitutivo (IP Surrogate) Se è stata abilitata l'autenticazione, selezionare questa opzione se si desidera mappare gli utenti agli indirizzi IP del dispositivo.
      Tempo di inattività per annullamento associazione (Idle Time for Dissociation) Se è stato abilitato l'IP sostitutivo, specificare per quanto tempo dopo una transazione completata il servizio conserva la mappatura da indirizzo IP a utente. È possibile specificare il tempo di inattività per l'annullamento dell'associazione in minuti (impostazione predefinita), ore o giorni.
      • Se l'utente seleziona l'unità Minuti (Mins), l'intervallo consentito è compreso tra 1 e 43200.
      • Se l'utente seleziona l'unità Ore (Hours), l'intervallo consentito è compreso tra 1 e 720.
      • Se l'utente seleziona l'unità Giorni (Days), l'intervallo consentito è compreso tra 1 e 30.
      IP sostitutivo per i browser noti (Surrogate IP for Known Browsers) Consente di utilizzare la mappatura esistente da indirizzo IP a utente (acquisita dall'IP sostitutivo) per eseguire l'autenticazione degli utenti che inviano traffico da browser noti.
      Tempo di aggiornamento per la nuova convalida della sostituzione (Refresh Time for re-validation of Surrogacy) Se è stato abilitato l'IP sostitutivo per i browser noti, specificare il periodo di tempo per cui il servizio Zscaler può utilizzare la mappatura da indirizzo IP a utente per eseguire l'autenticazione degli utenti che inviano traffico da browser noti. Dopo che il periodo di tempo definito sarà trascorso, il servizio aggiornerà e convaliderà nuovamente la mappatura esistente da IP a utente in modo da poter continuare a utilizzare la mappatura per l'autenticazione degli utenti nei browser. È possibile specificare il tempo di aggiornamento per la nuova convalida della sostituzione in minuti (impostazione predefinita), ore o giorni.
      • Se l'utente seleziona l'unità Minuti (Mins), l'intervallo consentito è compreso tra 1 e 43200.
      • Se l'utente seleziona l'unità Ore (Hours), l'intervallo consentito è compreso tra 1 e 720.
      • Se l'utente seleziona l'unità Giorni (Days), l'intervallo consentito è compreso tra 1 e 30.
      Controllo larghezza di banda (Bandwidth Control)
      Controllo larghezza di banda (Bandwidth Control) Abilitare questa opzione per imporre i controlli della larghezza di banda per la posizione secondaria.
      Scarica (Download) Se è stato abilitato il controllo della larghezza di banda, specificare il limite massimo della larghezza di banda per il download in Mbps. L'intervallo consentito è compreso tra 0,1 e 99999.
      Carica (Upload) Se è stato abilitato il controllo della larghezza di banda, specificare il limite massimo della larghezza di banda per il caricamento in Mbps. L'intervallo consentito è compreso tra 0,1 e 99999.
      Nota: Le opzioni del gateway per le posizioni secondarie sono uguali a quelle che possono essere configurare nel portale di Zscaler. Per ulteriori informazioni sulle opzioni del gateway Zscaler e i parametri di controllo della larghezza di banda, vedere https://help.zscaler.com/zia/configuring-locations
  7. Dopo aver creato una posizione secondaria, è possibile aggiornare la configurazione della posizione secondaria dalla stessa pagina e fare clic su Salva modifiche (Save Changes). La posizione secondaria sul lato Zscaler verrà aggiornata automaticamente.
  8. Per eliminare una posizione secondaria, fare clic sull'icona sotto la colonna Azione (Action).
  9. Fare clic su Salva modifiche (Save Changes).