Per creare e configurare un destinazione non SD-WAN di tipo Zscaler, eseguire i passaggi seguenti:
- Nel riquadro di spostamento in SASE Orchestrator, passare a Configura (Configure) > Servizi di rete (Network Services). Viene visualizzata la schermata Servizi (Services).
- Nell'area Destinazioni non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), fare clic sul pulsante +Nuovo (+New).
Viene visualizzata la finestra di dialogo Nuova destinazione non SD-WAN tramite gateway (New Non SD-WAN Destination via Gateway).
- Nella casella di testo Nome (Name) immettere il nome per il destinazione non SD-WAN.
- Dal menu a discesa Tipo (Type), selezionare Zscaler.
- Immettere l'indirizzo IP per il Gateway VPN primario (e il Gateway VPN secondario se necessario) e fare clic su Avanti (Next). Viene creato un destinazione non SD-WAN di tipo Zscaler e viene visualizzata una finestra di dialogo per il destinazione non SD-WAN.
- Per configurare le impostazioni del tunnel per il gateway VPN primario del destinazione non SD-WAN, fare clic sul pulsante Impostazioni avanzate (Advanced Settings).
- Nell'area Gateway VPN primario (Primary VPN Gateway), in Impostazioni tunnel (Tunnel Settings), è possibile configurare la chiave PSK (Pre-Shared Key), che rappresenta la chiave di sicurezza per l'autenticazione attraverso il tunnel. Orchestrator genera una chiave PSK per impostazione predefinita. Se si desidera utilizzare la propria chiave PSK o password, è possibile immetterla nella casella di testo.
Nota: A partire dalla versione 4.5, l'uso del carattere speciale "<" nella password non è più supportato. Se gli utenti hanno già utilizzato "<" nelle loro password nelle versioni precedenti, devono rimuoverlo per salvare le modifiche nella pagina.
- Se si desidera creare un gateway VPN secondario per questo sito, fare clic sul pulsante +Aggiungi (+Add) accanto a Gateway VPN 1 (VPN Gateway 1). Nella finestra popup, immettere l'indirizzo IP del Gateway VPN 1 e fare clic su Salva modifiche (Save Changes). Verrà creato immediatamente il Gateway VPN 2 (VPN Gateway 2) per questo sito e verrà eseguito il provisioning di un tunnel VPN VMware in questo gateway.
- Selezionare la casella di controllo VPN VMware Cloud ridondante (Redundant VMware Cloud VPN) per aggiungere tunnel ridondanti per ogni gateway VPN. Tutte le modifiche apportate alla chiave PSK del gateway VPN primario verranno applicate anche ai tunnel VPN ridondanti, se sono configurati. Dopo aver modificato le impostazioni del tunnel del Gateway VPN 1, salvare le modifiche e quindi fare clic su Esempio IKE/IPSec (Sample IKE/IPSec) per visualizzare la configurazione del tunnel aggiornata.
- Nell'area Posizione (Location), fare clic sul link Modifica (Edit) per aggiornare la posizione del destinazione non SD-WAN configurato. I dettagli di latitudine e longitudine vengono utilizzati per determinare l'Edge o il gateway migliore a cui connettersi nella rete.
- L'ID di autenticazione locale definisce il formato e l'identificazione del gateway locale. Dal menu a discesa ID autenticazione locale (Local Auth Id), scegliere tra i tipi seguenti e immettere il valore desiderato:
- FQDN: nome di dominio completo o nome host. Ad esempio, google.com.
- FQDN utente (User FQDN): nome di dominio completo dell'utente sotto forma di indirizzo e-mail. Ad esempio, [email protected].
- IPv4: indirizzo IPv4 utilizzato per comunicare con il gateway locale.
- IPv6: indirizzo IPv6 utilizzato per comunicare con il gateway locale.
Nota:Per il destinazione non SD-WAN Zscaler è consigliabile utilizzare FQDN o FQDN utente (User FQDN) come ID di autenticazione locale.
- Quando si seleziona Servizio di sicurezza cloud Zscaler (Zscaler Cloud Security Service) come tipo di servizio, per determinare e monitorare l'integrità del server Zscaler, è possibile configurare impostazioni aggiuntive come il controllo dell'integrità del cloud Zscaler e del livello 7 (L7).
- Selezionare la casella di controllo Controllo integrità L7 (L7 Health Check) per abilitare il controllo dell'integrità di L7 per il provider del servizio di sicurezza cloud di Zscaler con i dettagli del probe predefinito (Intervallo probe HTTP (HTTP Probe Interval) = 5 secondi, Numero di tentativi (Number of Retries) = 3, Soglia RTT (RTT Threshold) = 3000 millisecondi). Per impostazione predefinita, il controllo dello stato L7 è disattivato.
Nota: La configurazione dei dettagli del probe del controllo dello stato non è supportata.
- Dal menu a discesa Cloud Zscaler (Zscaler Cloud), selezionare un servizio cloud Zscaler o immettere il nome del servizio cloud Zscaler nella casella di testo.
- Selezionare la casella di controllo Controllo integrità L7 (L7 Health Check) per abilitare il controllo dell'integrità di L7 per il provider del servizio di sicurezza cloud di Zscaler con i dettagli del probe predefinito (Intervallo probe HTTP (HTTP Probe Interval) = 5 secondi, Numero di tentativi (Number of Retries) = 3, Soglia RTT (RTT Threshold) = 3000 millisecondi). Per impostazione predefinita, il controllo dello stato L7 è disattivato.
- Per accedere al portale Zscaler da qui, immettere l'URL di accesso nella casella di testo URL di accesso a Zscaler (Zscaler Login URL) e quindi fare clic su Accedi a Zscaler (Login to Zscaler). Si verrà reindirizzati al portale di amministrazione di Zscaler del cloud Zscaler selezionato. Il pulsante Accedi a Zscaler (Login to Zscaler) è abilitato quando viene immesso l'URL di accesso a Zscaler.
Per ulteriori informazioni, vedere Configurazione di un servizio di sicurezza cloud.
- Selezionare la casella di controllo Abilita tunnel (Enable Tunnel(s)) quando si è pronti per avviare il tunnel da SD-WAN Gateway ai gateway VPN Zscaler.
- Fare clic su Salva modifiche (Save Changes).
Nota: Viene stabilito un tunnel Zscaler con l'algoritmo di crittografia IPSec NULL e l'algoritmo di autenticazione SHA-256 indipendentemente dal fatto che la limitazione dell'esportazione del cliente sia attivata o disattivata.
Il servizio di rete configurato viene visualizzato nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway) nella finestra Servizi di rete (Network Services). È possibile associare il servizio di rete a un profilo. Per ulteriori informazioni, vedere Associazione di un destinazione non SD-WAN a un profilo di configurazione.