このトピックでは、Zscaler の設定について、および SD-WAN Orchestrator[Zscaler] タイプの Non SD-WAN Destination を設定する手順について説明します。

Zscaler の設定

Zscaler の Web サイトで次の手順を実行してください。
  1. Zscaler の Web サイトで、Zscaler Web セキュリティ アカウントを作成します。

    complementary-config-zscaler-cloud-portal

  2. VPN 認証情報を設定します。
    1. [Zscaler] 画面の上部にある [管理 (Administration)] オプションの上にカーソルを置いて、ドロップダウン メニューを表示します。(次の図を参照してください)。
    2. [リソース (Resources)] の下にある [VPN 認証情報 (VPN Credentials)] をクリックします。

      complementary-configuration-zscaler-administration-drop-down

    3. 左上隅にある [VPN 認証情報の追加 (Add VPN Credentials)] をクリックします。

      complementary-config-zscaler-add-location

    4. [VPN 認証情報の追加 (Add VPN Credential)] ダイアログ ボックスで、次の手順を実行します。
      1. 認証タイプとして [FQDN] を選択します。
      2. ユーザー ID と事前共有キー (PSK) を入力します。この情報は、SD-WAN OrchestratorNon SD-WAN Destination のダイアログ ボックスから入手できます。
      3. 必要に応じて、[コメント (Comments)] セクションにコメントを入力します。

        complementary-config-add-vpn-credentials

      4. [保存 (Save)] をクリックします。
  3. 次のようにして、場所を割り当てます。
    1.  [Zscaler] 画面の上部にある [管理 (Administration)] オプションの上にカーソルを置いて、ドロップダウン メニューを表示します。
    2.  [リソース (Resources)] の下にある [場所 (Locations)] をクリックします。
    3.  左上隅にある [場所の追加 (Add Location)] をクリックします。
    4. [場所の追加 (Add Location)] ダイアログ ボックスで、次のようにします。
      1. [場所 (Locations)] 領域のテキスト ボックス(名前、国、都道府県、タイムゾーン)に入力します。
      2. [パブリック IP アドレス (Public IP Addresses)] ドロップダウン メニューで [なし (None)] を選択します。
      3. [VPN 認証情報 (VPN Credentials)] ドロップダウン メニューで、先ほど作成した認証情報を選択します。
        complementary-config-zscaler-location2
      4. [完了 (Done)] をクリックします。
      5. [保存 (Save)] をクリックします。

Zscaler タイプの Non SD-WAN Destination の設定

[Zscaler] タイプの Non SD-WAN Destination 設定を作成すると、追加の設定オプション ページにリダイレクトされます。
次のトンネル設定を行ってから、 [変更の保存 (Save Changes)] をクリックします。
オプション 説明
全般
名前 (Name) 以前に入力した Non SD-WAN Destination の名前を編集できます。
タイプ (Type) タイプとして [Zscaler] が表示されます。このオプションは編集できません。
トンネルの有効化 (Enable Tunnel(s)) トグル ボタンをクリックして、SD-WAN Gateway から Zscaler VPN Gateway へのトンネルを開始します。
トンネル モード (Tunnel Mode) [アクティブ/ホットスタンバイ]が表示され、アクティブなトンネルがダウンした場合、スタンバイ(ホットスタンバイ)トンネルが引き継いで Active トンネルになることを示します。
プライマリ VPN Gateway (Primary VPN Gateway)
パブリック IP アドレス (Public IP) プライマリ VPN Gateway の IP アドレスを表示します。
PSK 事前共有キー (PSK) は、トンネル全体の認証のためのセキュリティ キーです。デフォルトで、SD-WAN Orchestrator によって PSK が生成されます。独自の PSK またはパスワードを使用する場合は、テキスト ボックスに入力します。
冗長 VMware Cloud VPN (Redundant VMware Cloud VPN) チェック ボックスをオンにして、各 VPN Gateway に冗長トンネルを追加します。プライマリ VPN Gateway の [暗号化 (Encryption)][DH グループ (DH Group)]、または [PFS] に加えられた変更は、冗長 VPN トンネルにも適用されます(設定されている場合)。
セカンダリ VPN Gateway [追加 (Add)] ボタンをクリックし、セカンダリ VPN Gateway の IP アドレスを入力します。[変更の保存 (Save Changes)] をクリックします。

セカンダリ VPN Gateway がこのサイトに直ちに作成され、このゲートウェイへの VMware VPN トンネルをプロビジョニングします。
ローカル認証 ID ローカル認証 ID は、ローカル Gateway の形式と ID を定義します。ドロップダウン メニューから、次のタイプから選択し、値を入力します。
  • [FQDN] - 完全修飾ドメイン名またはホスト名。たとえば、vmware.com
  • [ユーザーの FQDN (User FQDN)] - メール アドレス形式のユーザーの完全修飾ドメイン名。たとえば、[email protected]
  • [IPv4] - ローカル Gateway との通信に使用される IP アドレス。
  • [IPv6] - ローカル Gateway との通信に使用される IP アドレス。
注: Zscaler Non SD-WAN Destination の場合は、ローカル認証 ID として [FQDN] または [ユーザーの FQDN (User FQDN)] を使用することをお勧めします。
IKE/IPsec の例 クリックすると、Non SD-WAN Destination Gateway の設定に必要な情報が表示されます。Gateway 管理者は、この情報を使用して Gateway VPN トンネルを設定する必要があります。
場所 (Location) [編集 (Edit)] をクリックして、設定された Non SD-WAN Destination の場所を設定します。緯度と経度の詳細を使用して、ネットワークでの接続先となる最適な Edge または Gateway を決定します。
Zscaler 設定
Zscaler ログイン URL (Zscaler Login URL) ここから Zscaler ポータルにログインするには、テキスト ボックスにログイン URL を入力し、[Zscaler にログイン (Login to Zscaler)] ボタンをクリックします。これにより、選択した Zscaler クラウドの Zscaler 管理ポータルにリダイレクトされます。Zscaler ログイン URL を入力すると、[Zscaler にログイン (Login to Zscaler)] ボタンが有効になります。詳細については、API 認証情報の設定を参照してください。
L7 健全性チェック (L7 Health Check) このチェックボックスをオンにして、Zscaler クラウド セキュリティ サービス プロバイダの L7 健全性チェックを有効にします。デフォルトのプローブ詳細(HTTP プローブ間隔 = 5 秒、再試行回数 = 3、RTT しきい値 = 3,000 ミリ秒)が使用されます。デフォルトでは、[L7 健全性チェック (L7 Health Check)] は無効になっています。
注: 健全性チェック プローブの詳細の設定はサポートされていません。

Zscaler トンネルは、カスタマーのエクスポート制限が有効化されたか無効化されたかに関係なく、IPsec 暗号化アルゴリズムを NULL、認証アルゴリズムを SHA-256 として確立されます。