プロファイルを Edge に割り当てると、Edge がプロファイルに構成されたクラウド セキュリティ サービス (CSS) と属性を自動的に継承します。設定をオーバーライドして、別のクラウド セキュリティ プロバイダを選択したり、各 Edge の属性を変更したりできます。
特定の Edge の CSS 構成をオーバーライドするには、次の手順を実行します。
- エンタープライズ ポータルで、 をクリックします。
- CSS 設定をオーバーライドする Edge を選択し、[デバイス (Device)] 列の下にあるアイコンをクリックします。選択した Edge の [デバイス設定 (Device Settings)] ページが表示されます。
- [クラウド セキュリティ サービス (Cloud Security Service)] セクションには、関連付けられたプロファイルの CSS パラメータが表示されます。[Edge のオーバーライドを有効化 (Enable Edge Override)] をオンにして、別の CSS を選択するか、Edge に関連付けられているプロファイルから継承された属性を変更します。属性の詳細については、プロファイル用のクラウド セキュリティ サービスの構成を参照してください。
- 継承された属性とは別に IPsec トンネルを Edge レベルで構成する場合は、IPsec セッションの完全修飾ドメイン名 (FQDN) と事前共有キー (PSK) を構成する必要があります。
注: タイプが Zscaler および汎用の CSS の場合、VPN 認証情報を作成する必要があります。Symantec CSS タイプの場合、VPN 認証情報は必要ありません。
- Edge レベルで GRE トンネルを構成することを選択した場合は、[トンネルの追加 (Add Tunnel)] をクリックします。
- [トンネルの追加 (Add Tunnel)] ウィンドウが表示されたら、次の GRE トンネル パラメータを構成し、[OK] をクリックします。
オプション 説明 WAN リンク (WAN Links) GRE トンネルによって送信元として使用される WAN インターフェイスを選択します。 トンネル送信元パブリック IP アドレス (Tunnel Source Public IP) トンネルによってパブリック IP アドレスとして使用する IP アドレスを選択します。[WAN リンク IP アドレス (WAN Link IP)] または [カスタム WAN IP アドレス (Custom WAN IP)] のいずれかを選択できます。[カスタム WAN IP アドレス (Custom WAN IP)] を選択した場合は、パブリック IP アドレスとして使用する IP アドレスを入力します。 プライマリ ルーターの IP アドレス/マスク (Primary Router IP/Mask) ルーターのプライマリ IP アドレスを入力します。 セカンダリ ルーターの IP アドレス/マスク (Secondary Router IP/Mask) ルーターのセカンダリ IP アドレスを入力します。 プライマリ ZEN の IP アドレス/マスク (Primary ZEN IP/Mask) 内部 Zscaler パブリック サービス Edge のプライマリ IP アドレスを入力します。 セカンダリ ZEN の IP アドレス/マスク Secondary ZEN IP/Mask 内部 Zscaler パブリック サービス Edge のセカンダリ IP アドレスを入力します。 注: ルーターの IP アドレス/マスクと ZEN の IP アドレス/マスクは、Zscaler によって提供されます。 - 変更した設定を保存するには、[ Edge (Edges)] ウィンドウで、[変更の保存 (Save Changes)] をクリックします。
Edge の Zscaler CSS プロバイダの自動構成
Edge レベルでは、選択した自動 Zscaler CSS プロバイダに対して、プロファイルから継承された設定をオーバーライドしたり、サブロケーションを作成したり、サブロケーションのゲートウェイ オプションと帯域制御を構成したりできます。
サブロケーションを作成する前に、選択した Edge がアクティベーションされており、Edge の VPN 認証情報が設定されていることを確認します。選択した Edge にサブロケーションを作成するには、次の手順を実行します。
- エンタープライズ ポータルで、 をクリックします。
- CSS 設定をオーバーライドする Edge を選択し、サブロケーションを作成します。
- [デバイス (Device)] 列のアイコンをクリックします。選択した Edge の [デバイス設定 (Device Settings)] ページが表示されます。
- [クラウド セキュリティ サービス (Cloud Security Service)] セクションで [Edge のオーバーライドを有効化 (Enable Edge Override)] を選択します。
- [クラウド セキュリティ サービス (Cloud Security Service)] ドロップダウン メニューで、選択した自動 CSS プロバイダに対して、プロファイルから継承された属性(ハッシュ、暗号化、およびキー交換プロトコル)を必要に応じて変更します。属性の詳細については、プロファイル用のクラウド セキュリティ サービスの構成を参照してください。
注: セグメントでは、自動 Zscaler サービス プロバイダから別の CSS プロバイダへの変更は許可されていません。セグメントで選択した Edge の場合、自動 Zscaler サービス プロバイダから新しい CSS プロバイダに変更するには、クラウド セキュリティ サービスを明示的に無効にしてから CSS を再度有効にする必要があります。
- サブロケーションを作成するには、[アクション (Action)] 列の下の アイコンをクリックします。
注: Edge の VPN 認証情報が設定されていない場合、サブロケーションの作成は許可されません。サブロケーションを構成する前に、サブロケーションとその制限について理解しておく必要があります。 https://help.zscaler.com/zia/about-sub-locationsを参照してください。
- [サブロケーション名 (Sub-Location Name)] テキスト ボックスに、サブロケーションの一意の名前を入力します。サブロケーション名は、Edge のすべてのセグメントで一意にする必要があります。名前には、長さが最大 32 文字の英数字を含めることができます。
- [LAN ネットワーク (LAN Networks)] ドロップダウン メニューから、Edge 用に構成された VLAN を選択します。選択した LAN ネットワークのサブネットが自動的に入力されます。
注: 選択した Edge について、すべてのセグメントでサブロケーションのサブネット IP アドレスが重複してはなりません。
- サブロケーションのゲートウェイ オプションと帯域制御を構成するには、[編集 (Edit)] をクリックします。[Zscaler のゲートウェイ オプションと帯域制御 (Zscaler Gateway Options and Bandwidth Control)] ウィンドウが表示されます。
- 必要に応じて、サブロケーションのゲートウェイ オプションと帯域制御を構成し、[変更の保存 (Save Changes)] をクリックします。SD-WAN Orchestrator でサブロケーションが作成されます。
注: Orchestrator 内に少なくとも 1 つのサブロケーションを作成すると、Zscaler によって Zscaler 側に「もう一方」のサブロケーションが自動的に作成されます。Orchestrator から「もう一方」のサブロケーションのゲートウェイ オプションを構成する機能はサポートされていません。
オプション 説明 [ゲートウェイ オプション (Gateway Options)] SSL 検査 (SSL Inspection) 有効にすると、サブロケーションの HTTPS トラフィックに SSL 検査ポリシーを適用し、HTTPS トランザクションにデータ漏洩、悪意のあるコンテンツ、およびウイルスがないかを検査します。 認証 (Authentication) 有効にすると、サブロケーションのユーザーにサービスへの認証を要求します。 IP アドレスの代理 (IP Surrogate) [認証 (Authentication)] を有効にした場合、ユーザーをデバイスの IP アドレスにマッピングするには、このオプションをオンにします。 関連付け解除のアイドル時間 (Idle Time for Dissociation) [IP アドレスの代理 (IP Surrogate)] を有効にした場合は、トランザクションが完了した後、サービスが IP アドレスからユーザーへのマッピングを保持する時間を指定します。[関連付け解除のアイドル時間 (Idle Time for Dissociation)] は、[分 (Mins)](デフォルト)、[時間 (Hours)]、[日 (Days)] で指定できます。 - ユーザーが単位に [分 (Mins)] を選択した場合、許容範囲は 1 ~ 43200 です。
- ユーザーが単位に [時間 (Hours)] を選択した場合、許容範囲は 1 ~ 720 です。
- ユーザーが単位に [日 (Days)] を選択した場合、許容範囲は 1 ~ 30 です。
既知のブラウザの代理 IP アドレス (Surrogate IP for Known Browsers) 有効にすると、IP アドレスからユーザーへの既存のマッピング(代理 IP アドレスから取得)を使用して、既知のブラウザからトラフィックを送信するユーザーを認証します。 代理の再検証の更新時間 (Refresh Time for re-validation of Surrogacy) [既知のブラウザの代理 IP アドレス (Surrogate IP for Known Browsers)] を有効にした場合は、Zscaler サービスが、既知のブラウザからトラフィックを送信するユーザーを認証するために IP アドレスからユーザーへのマッピングを使用できる時間を指定します。定義した時間が経過すると、サービスは IP アドレスからユーザーへの既存のマッピングを更新して再検証します。これにより、ブラウザでユーザーを認証するためのマッピングを引き続き使用できるようになります。[代理の再検証の更新時間 (Refresh Time for re-validation of Surrogacy)] は、[分 (Mins)](デフォルト)、[時間 (Hours)]、[日 (Days)] で指定できます。 - ユーザーが単位に [分 (Mins)] を選択した場合、許容範囲は 1 ~ 43200 です。
- ユーザーが単位に [時間 (Hours)] を選択した場合、許容範囲は 1 ~ 720 です。
- ユーザーが単位に [日 (Days)] を選択した場合、許容範囲は 1 ~ 30 です。
[帯域制御 (Bandwidth Control)] 帯域制御 (Bandwidth Control) 有効にすると、サブロケーションの帯域制御を適用します。 ダウンロード (Download) [帯域制御 (Bandwidth Control)] を有効にした場合は、ダウンロードの最大帯域幅制限を Mbps 単位で指定します。許容範囲は 0.1 ~ 99999 です。 アップロード (Upload) [帯域制御 (Bandwidth Control)] を有効にした場合は、アップロードの最大帯域幅制限を Mbps 単位で指定します。許容範囲は 0.1 ~ 99999 です。 注: サブロケーションのゲートウェイ オプションは、Zscaler ポータルで構成できるものと同じです。Zscaler ゲートウェイ オプションと帯域制御パラメータの詳細については、 https://help.zscaler.com/zia/configuring-locationsを参照してください。
- サブロケーションを作成した後、同じページからサブロケーション構成を更新し、[変更の保存 (Save Changes)] をクリックします。Zscaler 側のサブディレクトリが自動的に更新されます。
- サブロケーションを削除するには、[アクション (Action)] 列の下の アイコンをクリックします。
- [変更の保存 (Save Changes)] をクリックします。