このトピックでは、Zscaler の設定について、および SD-WAN Orchestrator で [Zscaler] タイプの Non SD-WAN Destination を設定する手順について説明します。
Zscaler の設定
Zscaler の Web サイトで次の手順を実行してください。
- Zscaler の Web サイトで、Zscaler Web セキュリティ アカウントを作成します。
- VPN 認証情報を設定します。
- [Zscaler] 画面の上部にある [管理 (Administration)] オプションの上にカーソルを置いて、ドロップダウン メニューを表示します。(次の図を参照してください)。
- [リソース (Resources)] の下にある [VPN 認証情報 (VPN Credentials)] をクリックします。
- 左上隅にある [VPN 認証情報の追加 (Add VPN Credentials)] をクリックします。
- [VPN 認証情報の追加 (Add VPN Credential)] ダイアログ ボックスで、次の手順を実行します。
- 認証タイプとして [FQDN] を選択します。
- ユーザー ID と事前共有キー (PSK) を入力します。この情報は、SD-WAN Orchestrator で Non SD-WAN Destination のダイアログ ボックスから入手できます。
- 必要に応じて、[コメント (Comments)] セクションにコメントを入力します。
- [保存 (Save)] をクリックします。
- 次のようにして、場所を割り当てます。
- [Zscaler] 画面の上部にある [管理 (Administration)] オプションの上にカーソルを置いて、ドロップダウン メニューを表示します。
- [リソース (Resources)] の下にある [場所 (Locations)] をクリックします。
- 左上隅にある [場所の追加 (Add Location)] をクリックします。
- [場所の追加 (Add Location)] ダイアログ ボックスで、次のようにします。
- [場所 (Locations)] 領域のテキスト ボックス(名前、国、都道府県、タイムゾーン)に入力します。
- [パブリック IP アドレス (Public IP Addresses)] ドロップダウン メニューで [なし (None)] を選択します。
- [VPN 認証情報 (VPN Credentials)] ドロップダウン メニューで、先ほど作成した認証情報を選択します。
- [完了 (Done)] をクリックします。
- [保存 (Save)] をクリックします。
Zscaler タイプの Non SD-WAN Destination の設定
[Zscaler] タイプの
Non SD-WAN Destination 設定を作成すると、追加の設定オプション ページにリダイレクトされます。
次のトンネル設定を行ってから、
[変更の保存 (Save Changes)] をクリックします。
オプション | 説明 |
---|---|
全般 | |
名前 (Name) | 以前に入力した Non SD-WAN Destination の名前を編集できます。 |
タイプ (Type) | タイプとして [Zscaler] が表示されます。このオプションは編集できません。 |
トンネルの有効化 (Enable Tunnel(s)) | トグル ボタンをクリックして、SD-WAN Gateway から Zscaler VPN Gateway へのトンネルを開始します。 |
トンネル モード (Tunnel Mode) | [アクティブ/ホットスタンバイ]が表示され、アクティブなトンネルがダウンした場合、スタンバイ(ホットスタンバイ)トンネルが引き継いで Active トンネルになることを示します。 |
プライマリ VPN Gateway (Primary VPN Gateway) | |
パブリック IP アドレス (Public IP) | プライマリ VPN Gateway の IP アドレスを表示します。 |
PSK | 事前共有キー (PSK) は、トンネル全体の認証のためのセキュリティ キーです。デフォルトで、SD-WAN Orchestrator によって PSK が生成されます。独自の PSK またはパスワードを使用する場合は、テキスト ボックスに入力します。 |
冗長 VMware Cloud VPN (Redundant VMware Cloud VPN) | チェック ボックスをオンにして、各 VPN Gateway に冗長トンネルを追加します。プライマリ VPN Gateway の [暗号化 (Encryption)]、[DH グループ (DH Group)]、または [PFS] に加えられた変更は、冗長 VPN トンネルにも適用されます(設定されている場合)。 |
セカンダリ VPN Gateway | [追加 (Add)] ボタンをクリックし、セカンダリ VPN Gateway の IP アドレスを入力します。[変更の保存 (Save Changes)] をクリックします。 セカンダリ VPN Gateway がこのサイトに直ちに作成され、このゲートウェイへの VMware VPN トンネルをプロビジョニングします。 |
ローカル認証 ID | ローカル認証 ID は、ローカル Gateway の形式と ID を定義します。ドロップダウン メニューから、次のタイプから選択し、値を入力します。
注: Zscaler
Non SD-WAN Destination の場合は、ローカル認証 ID として
[FQDN] または
[ユーザーの FQDN (User FQDN)] を使用することをお勧めします。
|
IKE/IPsec の例 | クリックすると、Non SD-WAN Destination Gateway の設定に必要な情報が表示されます。Gateway 管理者は、この情報を使用して Gateway VPN トンネルを設定する必要があります。 |
場所 (Location) | [編集 (Edit)] をクリックして、設定された Non SD-WAN Destination の場所を設定します。緯度と経度の詳細を使用して、ネットワークでの接続先となる最適な Edge または Gateway を決定します。 |
Zscaler 設定 | |
Zscaler ログイン URL (Zscaler Login URL) | ここから Zscaler ポータルにログインするには、テキスト ボックスにログイン URL を入力し、[Zscaler にログイン (Login to Zscaler)] ボタンをクリックします。これにより、選択した Zscaler クラウドの Zscaler 管理ポータルにリダイレクトされます。Zscaler ログイン URL を入力すると、[Zscaler にログイン (Login to Zscaler)] ボタンが有効になります。詳細については、API 認証情報の設定を参照してください。 |
L7 健全性チェック (L7 Health Check) | このチェックボックスをオンにして、Zscaler クラウド セキュリティ サービス プロバイダの L7 健全性チェックを有効にします。デフォルトのプローブ詳細(HTTP プローブ間隔 = 5 秒、再試行回数 = 3、RTT しきい値 = 3,000 ミリ秒)が使用されます。デフォルトでは、[L7 健全性チェック (L7 Health Check)] は無効になっています。
注: 健全性チェック プローブの詳細の設定はサポートされていません。
|
Zscaler トンネルは、カスタマーのエクスポート制限が有効化されたか無効化されたかに関係なく、IPsec 暗号化アルゴリズムを NULL、認証アルゴリズムを SHA-256 として確立されます。