Questo argomento illustra la configurazione di Zscaler e i passaggi per configurare un destinazione non SD-WAN di tipo Zscaler in SD-WAN Orchestrator.
Configurazione di Zscaler
Completare i seguenti passaggi nel sito Web di Zscaler:
Dal sito Web di Zscaler, creare un account di sicurezza Web Zscaler.
Configurare le credenziali VPN:
Nella parte superiore della schermata Zscaler, passare il puntatore del mouse sull'opzione Amministrazione (Administration) per visualizzare il menu a discesa. (Vedere l'immagine seguente).
In Risorse (Resources), fare clic su Credenziali VPN (VPN Credentials).
Fare clic su Aggiungi credenziali VPN (Add VPN Credentials) nell'angolo in alto a sinistra.
Dalla finestra di dialogo Aggiungi credenziali VPN (Add VPN Credentials):
Scegliere FQDN come tipo di autenticazione.
Digitare l'ID utente e la chiave precondivisa (PSK). È possibile ottenere queste informazioni dalla finestra di dialogo del destinazione non SD-WAN in SD-WAN Orchestrator.
Se necessario, digitare i commenti nella sezione Commenti (Comments).
Fare clic su Salva (Save).
Assegnare una posizione:
Nella parte superiore della schermata Zscaler, passare il puntatore del mouse sull'opzione Amministrazione (Administration) per visualizzare il menu a discesa.
In Risorse (Resources), fare clic su Posizioni (Locations).
Fare clic su Aggiungi posizione (Add Location) nell'angolo in alto a sinistra.
Nella finestra di dialogo Aggiungi posizione (Add Location):
Completare le caselle di testo nell'area della posizione (Nome [Name], Paese [Country], Stato/provincia [State/Province], Fuso orario [Time Zone]).
Scegliere Nessuno (None) dal menu a discesa Indirizzi IP pubblici (Public IP Addresses).
Nel menu a discesa Credenziali VPN (VPN Credentials), selezionare la credenziale appena creata.
Fare clic su Fine (Done).
Fare clic su Salva (Save).
Configurazione di un destinazione non SD-WAN di tipo Zscaler
Dopo aver creato una configurazione
destinazione non SD-WAN di tipo
Zscaler si viene reindirizzati a una pagina di opzioni di configurazione aggiuntive:
È possibile configurare le seguenti impostazioni del tunnel, quindi fare clic su
Salva modifiche (Save Changes):
Opzione
Descrizione
Generale
Nome (Name)
È possibile modificare il nome immesso in precedenza per destinazione non SD-WAN.
Tipo
Visualizza il tipo come Zscaler. Non è possibile modificare questa opzione.
Abilita tunnel
Fare clic sull'interruttore per avviare il tunnel dal gateway SD-WAN al Gateway VPN Zscaler.
Modalità tunnel (Tunnel Mode)
Visualizza Attivo/Hot standby (Active/Hot-Standby) per indicare che se il tunnel attivo diventa inattivo, il tunnel di standby (hot standby) subentra e diventa il tunnel attivo.
Gateway VPN primario (Primary VPN Gateway)
IP pubblico (Public IP)
Visualizza l'indirizzo IP del gateway VPN primario.
PSK
Pre-Shared Key (PSK) è la chiave di sicurezza per l'autenticazione attraverso il tunnel. SD-WAN Orchestrator genera una chiave PSK per impostazione predefinita. Se si desidera utilizzare una chiave PSK o una password personalizzata, immetterla nella casella di testo.
VPN VMware Cloud ridondante
Selezionare la casella di controllo per aggiungere tunnel ridondanti per ogni gateway VPN. Tutte le modifiche apportate a Crittografia (Encryption), Gruppo DH (DH Group) o PFS del gateway VPN primario verranno applicate anche ai tunnel VPN ridondanti, se sono configurati.
Gateway VPN secondario (Secondary VPN Gateway)
Fare clic sul pulsante Aggiungi (Add) e quindi immettere l'indirizzo IP del gateway VPN secondario. Fare clic su Salva modifiche (Save Changes).
Il gateway VPN secondario per questo sito viene creato immediatamente e viene eseguito il provisioning di un tunnel VPN VMware in questo gateway.
ID autenticazione locale
L'ID di autenticazione locale definisce il formato e l'identificazione del gateway locale. Nel menu a discesa scegliere tra i tipi seguenti e immettere un valore:
FQDN: nome di dominio completo o nome host. Ad esempio: vmware.com
FQDN utente (User FQDN): nome di dominio completo dell'utente sotto forma di indirizzo e-mail. Ad esempio: [email protected]
IPv4: indirizzo IP utilizzato per comunicare con il gateway locale.
IPv6: indirizzo IP utilizzato per comunicare con il gateway locale.
Nota: Per il
destinazione non SD-WAN Zscaler è consigliabile utilizzare
FQDN o
FQDN utente (User FQDN) come ID di autenticazione locale.
IKE/IPSec di esempio
Fare clic per visualizzare le informazioni necessarie per configurare il gateway destinazione non SD-WAN. L'amministratore del gateway deve utilizzare queste informazioni per configurare i tunnel VPN del gateway.
Posizione
Fare clic su Modifica (Edit) per impostare la posizione per il destinazione non SD-WAN configurato. I dettagli di latitudine e longitudine vengono utilizzati per determinare l'Edge o il gateway migliore a cui connettersi nella rete.
Impostazioni Zscaler
URL di accesso a Zscaler
Per accedere al portale di Zscaler da questa posizione, immettere l'URL di accesso nella casella di testo, quindi fare clic sul pulsante Accedi a Zscaler (Login to Zscaler). Si verrà reindirizzati al portale di amministrazione di Zscaler del cloud Zscaler selezionato. Il pulsante Accedi a Zscaler (Login to Zscaler) viene attivato solo se si immette l'URL di accesso a Zscaler. Per ulteriori informazioni, vedere Configurazione delle credenziali API.
Controllo integrità L7 (L7 Health Check)
Selezionare la casella di controllo per attivare il controllo integrità L7 per il provider del servizio di sicurezza cloud Zscaler con i dettagli del probe predefinito (Intervallo probe HTTP (HTTP Probe interval) = 5 secondi, Numero di tentativi (Number of Retries) = 3, Soglia RTT (RTT Threshold) = 3000 millisecondi). Per impostazione predefinita, il controllo dello stato L7 è disattivato.
Nota: La configurazione dei dettagli del probe del controllo dello stato non è supportata.
Viene stabilito un tunnel Zscaler con l'algoritmo di crittografia IPSec NULL e l'algoritmo di autenticazione SHA-256, indipendentemente dal fatto che la limitazione dell'esportazione del cliente sia attivata o disattivata.
