プロファイルを Edge に割り当てると、Edge がプロファイルに設定されたクラウド セキュリティ サービス (CSS) と属性を自動的に継承します。設定をオーバーライドして、別のクラウド セキュリティ プロバイダを選択したり、各 Edge の属性を変更したりできます。

特定の Edge の CSS 設定をオーバーライドするには、次の手順を実行します。

  1. エンタープライズ ポータルで、[設定 (Configure)] > [Edge (Edges)] をクリックします。
  2. CSS 設定をオーバーライドする Edge を選択し、[デバイス (Device)] 列の下にあるアイコンをクリックします。選択した Edge の [デバイス設定 (Device Settings)] ページが表示されます。
  3. [クラウド セキュリティ サービス (Cloud Security Service)] 領域には、関連付けられたプロファイルの CSS パラメータが表示されます。[Edge 固有設定の上書きを有効化 (Enable Edge Override)] をオンにして、別の CSS を選択するか、Edge に関連付けられているプロファイルから継承された属性を変更します。属性の詳細については、プロファイル用のクラウド セキュリティ サービスの構成を参照してください。

    IPsec の設定

    注: Zscaler ログイン URL が設定されたクラウド セキュリティ サービスの場合、 [Zscaler にログイン (Login to Zscaler)] ボタンが [クラウド セキュリティ サービス (Cloud Security Service)] 領域に表示されます。 [Zscaler にログイン (Login to Zscaler)] ボタンをクリックすると、選択した Zscaler クラウドの Zscaler 管理ポータルにリダイレクトされます。
  4. 継承された属性とは別に IPsec トンネルを Edge レベルで設定する場合は、IPsec セッションの完全修飾ドメイン名 (FQDN) と事前共有キー (PSK) を設定する必要があります。
    注: タイプが Zscaler および汎用の CSS の場合、VPN 認証情報を作成する必要があります。Symantec CSS タイプの場合、VPN 認証情報は必要ありません。
  5. Edge レベルで GRE トンネルを設定することを選択した場合は、[トンネルの追加 (Add Tunnel)] をクリックします。
  6. [トンネルの追加 (Add Tunnel)] ウィンドウが表示されたら、次の GRE トンネル パラメータを設定し、[OK] をクリックします。
    オプション 説明
    WAN リンク (WAN Links) GRE トンネルによって送信元として使用される WAN インターフェイスを選択します。
    トンネルの送信元パブリック IP (Tunnel Source Public IP) トンネルによってパブリック IP アドレスとして使用する IP アドレスを選択します。[WAN リンク IP アドレス (WAN Link IP)] または [カスタム WAN IP アドレス (Custom WAN IP)] のいずれかを選択できます。[カスタム WAN IP アドレス (Custom WAN IP)] を選択した場合は、パブリック IP アドレスとして使用する IP アドレスを入力します。
    プライマリ ポイント オブ プレゼンス (Primary Point-of-Presence) Zscaler データセンターのプライマリ パブリック IP アドレスを入力します。
    セカンダリ ポイント オブ プレゼンス (Secondary Point-of-Presence) Zscaler データセンターのセカンダリ パブリック IP アドレスを入力します。
    プライマリ ルーターの IP アドレス/マスク (Primary Router IP/Mask) ルーターのプライマリ IP アドレスを入力します。
    セカンダリ ルーターの IP アドレス/マスク (Secondary Router IP/Mask) ルーターのセカンダリ IP アドレスを入力します。
    プライマリ ZEN の IP アドレス/マスク (Primary ZEN IP/Mask) 内部 Zscaler パブリック サービス Edge のプライマリ IP アドレスを入力します。
    セカンダリ ZEN の IP アドレス/マスク Secondary ZEN IP/Mask 内部 Zscaler パブリック サービス Edge のセカンダリ IP アドレスを入力します。
    注: ルーターの IP アドレス/マスクと ZEN の IP アドレス/マスクは、Zscaler によって提供されます。
    注: GRE を備えた CSS は Edge ごとに 1 つのみ許可されます。1 つの Edge で、Zscaler GRE 自動化が有効になっているセグメントを複数設定することはできません。
    注: スケールの制限:
    • GRE-WAN:Edge は、Non SD-WAN Destination (NSD) に対して最大 4 つのパブリック WAN リンクをサポートし、各リンクでは NSD ごとに最大 2 つのトンネル(プライマリ/セカンダリ)を持つことができます。したがって、NSD ごとに、1 つの Edge から最大 8 つのトンネルと 8 つの BGP 接続を設定できます。
    • GRE-LAN:Edge はトランジット Gateway (TGW) への 1 つのリンクをサポートし、TGW ごとに最大 2 つのトンネル(プライマリ/セカンダリ)を持つことができます。したがって、TGW ごとに、1 つの Edge から最大 2 つのトンネルと 4 つの BGP 接続(トンネルあたり 2 つの BGP セッション)を設定できます。
  7. 変更した設定を保存するには、[ Edge (Edges)] ウィンドウで、[変更の保存 (Save Changes)] をクリックします。

Edge の Zscaler CSS プロバイダの自動設定

Edge レベルでは、選択した自動 Zscaler CSS プロバイダに対して、プロファイルから継承された設定をオーバーライドしたり、サブロケーションを作成したり、サブロケーションの Gateway オプションと帯域制御を設定したりできます。

サブロケーションを作成する前に、選択した Edge がアクティベーションされており、Edge の VPN 認証情報が設定されていることを確認します。選択した Edge にサブロケーションを作成するには、次の手順を実行します。

  1. エンタープライズ ポータルで、[設定 (Configure)] > [Edge (Edges)] をクリックします。
  2. CSS 設定をオーバーライドする Edge を選択し、サブロケーションを作成します。
  3. [デバイス (Device)] 列のアイコンをクリックします。選択した Edge の [デバイス設定 (Device Settings)] ページが表示されます。
  4. [クラウド セキュリティ サービス (Cloud Security Service)] セクションで [Edge 固有設定の上書きを有効化 (Enable Edge Override)] を選択します。
  5. [クラウド セキュリティ サービス (Cloud Security Service)] ドロップダウン メニューで、選択した自動 CSS プロバイダに対して、プロファイルから継承された属性(ハッシュ、暗号化、およびキー交換プロトコル)を必要に応じて変更します。自動化により、有効な IPv4 アドレスを持つ各 Edge のパブリック WAN リンクのトンネルがセグメントに作成されます。マルチ WAN リンクの展開では、ユーザー データ パケットの送信に使用される WAN リンクは 1 つのみです。Edge は、帯域幅、ジッター、ロス、遅延を基準として、サービス品質 (QoS) スコアが最適な WAN リンクを選択します。ロケーションは、トンネルが確立された後に自動的に作成されます。属性の詳細については、プロファイル用のクラウド セキュリティ サービスの構成を参照してください。
    注: セグメントでは、自動 Zscaler サービス プロバイダから別の CSS プロバイダへの変更は許可されていません。セグメントで選択した Edge の場合、自動 Zscaler サービス プロバイダから新しい CSS プロバイダに変更するには、クラウド セキュリティ サービスを明示的に無効にしてから CSS を再度有効にする必要があります。

  6. サブロケーションを作成するには、[アクション (Action)] 列の下の アイコンをクリックします。
    注: Edge の VPN 認証情報が設定されていない場合、サブロケーションの作成は許可されません。サブロケーションを設定する前に、サブロケーションとその制限について理解しておく必要があります。 https://help.zscaler.com/zia/about-sub-locationsを参照してください。
    1. [サブロケーション名 (Sub-Location Name)] テキスト ボックスに、サブロケーションの一意の名前を入力します。サブロケーション名は、Edge のすべてのセグメントで一意にする必要があります。名前には、長さが最大 32 文字の英数字を含めることができます。
    2. [LAN ネットワーク (LAN Networks)] ドロップダウン メニューから、Edge 用に設定された VLAN を選択します。選択した LAN ネットワークのサブネットが自動的に入力されます。
      注: 選択した Edge について、すべてのセグメントでサブロケーションのサブネット IP アドレスが重複してはなりません。
    3. サブロケーションの Gateway オプションと帯域制御を設定するには、[編集 (Edit)] をクリックします。[Zscaler の Gateway オプションと帯域幅制御 (Zscaler Gateway Options and Bandwidth Control)] ウィンドウが表示されます。
    4. 必要に応じて、サブロケーションの Gateway オプションと帯域制御を設定し、[変更の保存 (Save Changes)] をクリックします。SD-WAN Orchestrator でサブロケーションが作成されます。
      注: 現在、次の Gateway オプションはサブロケーション設定ではサポートされていません。
      • クライアント要求からの XFF の使用 (Use XFF from Client Request)
      • 注意の有効化 (Enable Caution)
      • AUP の有効化 (Enable AUP)
      注: Orchestrator 内に少なくとも 1 つのサブロケーションを作成すると、Zscaler によって Zscaler 側に「もう一方」のサブロケーションが自動的に作成されます。Orchestrator から「もう一方」のサブロケーションの Gateway オプションを設定する機能はサポートされていません。
      オプション 説明
      [Gateway オプション (Gateway Options)]
      SSL インスペクション (SSL Inspection) 有効にすると、サブロケーションの HTTPS トラフィックに SSL インスペクション ポリシーを適用し、HTTPS トランザクションにデータ漏洩、悪意のあるコンテンツ、およびウイルスがないかを検査します。
      認証 (Authentication) 有効にすると、サブロケーションのユーザーにサービスへの認証を要求します。
      IP アドレスの代理 (IP Surrogate) [認証 (Authentication)] を有効にした場合、ユーザーをデバイスの IP アドレスにマッピングするには、このオプションをオンにします。
      関連付け解除のアイドル時間 (Idle Time for Dissociation) [IP アドレスの代理 (IP Surrogate)] を有効にした場合は、トランザクションが完了した後、サービスが IP アドレスからユーザーへのマッピングを保持する時間を指定します。[関連付け解除のアイドル時間 (Idle Time for Dissociation)] は、[分 (Mins)](デフォルト)、[時間 (Hours)]、[日 (Days)] で指定できます。
      • ユーザーが単位に [分 (Mins)] を選択した場合、許容範囲は 1 ~ 43200 です。
      • ユーザーが単位に [時間 (Hours)] を選択した場合、許容範囲は 1 ~ 720 です。
      • ユーザーが単位に [日 (Days)] を選択した場合、許容範囲は 1 ~ 30 です。
      既知のブラウザの代理 IP アドレス (Surrogate IP for Known Browsers) 有効にすると、IP アドレスからユーザーへの既存のマッピング(代理 IP アドレスから取得)を使用して、既知のブラウザからトラフィックを送信するユーザーを認証します。
      代理の再検証の更新時間 (Refresh Time for re-validation of Surrogacy) [既知のブラウザの代理 IP アドレス (Surrogate IP for Known Browsers)] を有効にした場合は、Zscaler サービスが、既知のブラウザからトラフィックを送信するユーザーを認証するために IP アドレスからユーザーへのマッピングを使用できる時間を指定します。定義した時間が経過すると、サービスは IP アドレスからユーザーへの既存のマッピングを更新して再検証します。これにより、ブラウザでユーザーを認証するためのマッピングを引き続き使用できるようになります。[代理の再検証の更新時間 (Refresh Time for re-validation of Surrogacy)] は、[分 (Mins)](デフォルト)、[時間 (Hours)]、[日 (Days)] で指定できます。
      • ユーザーが単位に [分 (Mins)] を選択した場合、許容範囲は 1 ~ 43200 です。
      • ユーザーが単位に [時間 (Hours)] を選択した場合、許容範囲は 1 ~ 720 です。
      • ユーザーが単位に [日 (Days)] を選択した場合、許容範囲は 1 ~ 30 です。
      [帯域制御 (Bandwidth Control)]
      帯域制御 (Bandwidth Control) 有効にすると、サブロケーションの帯域制御を適用します。
      ダウンロード (Download) [帯域制御 (Bandwidth Control)] を有効にした場合は、ダウンロードの最大帯域幅制限を Mbps 単位で指定します。許容範囲は 0.1 ~ 99999 です。
      アップロード (Upload) [帯域制御 (Bandwidth Control)] を有効にした場合は、アップロードの最大帯域幅制限を Mbps 単位で指定します。許容範囲は 0.1 ~ 99999 です。
      注: サブロケーションの Gateway オプションは、Zscaler ポータルで設定できるものと同じです。Zscaler の Gateway オプションと帯域幅制御パラメータの詳細については、 https://help.zscaler.com/zia/configuring-locationsを参照してください。
  7. サブロケーションを作成した後、同じページからサブロケーション設定を更新し、[変更の保存 (Save Changes)] をクリックします。Zscaler 側のサブディレクトリが自動的に更新されます。
  8. サブロケーションを削除するには、[アクション (Action)] 列の下の アイコンをクリックします。
  9. [変更の保存 (Save Changes)] をクリックします。