Zscaler タイプの Non SD-WAN Destination を作成して設定するには、次の手順を実行します。
- SASE Orchestrator のナビゲーション パネルから、[設定 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動します。[サービス (Services)] 画面が表示されます。
- [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] 領域で、[+新規 (+New)] ボタンをクリックします。
[新しい Gateway 経由の Non SD-WAN Destination (New Non SD-WAN Destinations via Gateway)] ダイアログ ボックスが表示されます。
- [名前 (Name)] テキスト ボックスに、Non SD-WAN Destination の名前を入力します。
- [タイプ (Type)] ドロップダウン メニューから、[Zscaler] を選択します。
- プライマリ VPN Gateway(および必要に応じてセカンダリ VPN Gateway)の IP アドレスを入力し、[次へ (Next)] をクリックします。Zscaler タイプの Non SD-WAN Destination が作成され、Non SD-WAN Destination のダイアログ ボックスが表示されます。
- Non SD-WAN Destination のプライマリ VPN Gateway のトンネル設定を行うには、[詳細設定 (Advanced Settings)] 展開ボタンをクリックします。
- [プライマリ VPN Gateway (Primary VPN Gateway)] 領域の [トンネル設定 (Tunnel Settings)] で、トンネル全体の認証のためのセキュリティ キーである事前共有キー (PSK) を設定できます。デフォルトで、Orchestrator によって PSK が生成されます。独自の PSK またはパスワードを使用する場合は、テキスト ボックスに入力します。
注: 4.5 リリース以降では、パスワードに特殊文字「<」を使用することはサポートされなくなりました。ユーザーが以前のリリースでパスワードに「<」を使用している場合、ページでの変更を保存するにはこの文字を削除する必要があります。
- このサイトにセカンダリ VPN Gateway を作成する場合は、[セカンダリ VPN Gateway (Secondary VPN Gateway)] の横にある [+追加 (+Add)] ボタンをクリックします。ポップアップ ウィンドウで、セカンダリ VPN Gateway の IP アドレスを入力し、[変更の保存 (Save Changes)] をクリックします。セカンダリ VPN Gateway はこのサイトに直ちに作成され、このゲートウェイへの VMware VPN トンネルをプロビジョニングします。
- 各 VPN Gateway に冗長トンネルを追加するには、[冗長 VMware Cloud VPN (Redundant VMware Cloud VPN)] チェックボックスをオンにします。プライマリ VPN Gateway の PSK に加えられた変更は、冗長 VPN トンネルにも適用されます(設定されている場合)。プライマリ VPN Gateway のトンネル設定を変更した後、変更を保存してから、[IKE/IPsec の例 (Sample IKE/IPsec)] をクリックして、更新されたトンネル設定を表示します。
- [場所 (Location)] 領域で、[編集 (Edit)] リンクをクリックして、設定された Non SD-WAN Destination の場所を更新します。緯度と経度の詳細を使用して、ネットワークでの接続先となる最適な Edge または Gateway を決定します。
- ローカル認証 ID は、ローカル Gateway の形式 ID を定義します。[ローカル認証 ID (Local Auth Id)] ドロップダウン メニューから、次のタイプのいずれかを選択し、決めた値を入力します。
- [FQDN] - 完全修飾ドメイン名またはホスト名。たとえば、google.com。
- [ユーザーの FQDN (User FQDN)] - メール アドレス形式のユーザーの完全修飾ドメイン名。たとえば、[email protected]。
- [IPv4] - ローカル Gateway との通信に使用される IPv4 アドレス。
- [IPv6] - ローカル Gateway との通信に使用される IPv6 アドレス。
注:Zscaler Non SD-WAN Destination の場合は、ローカル認証 ID として FQDN またはユーザーの FQDN を使用することをお勧めします。
- サービス タイプとして Zscaler クラウド セキュリティ サービスが選択されている場合、Zscaler サーバの健全性を判断および監視するために、Zscaler クラウドやレイヤー 7 (L7) 健全性チェックなどをさらに設定できます。
- [L7 健全性チェック (L7 Health Check)] チェックボックスをオンにして、Zscaler クラウド セキュリティ サービス プロバイダの L7 健全性チェックを有効にします。デフォルトのプローブ詳細(HTTP プローブ間隔 = 5 秒、再試行回数 = 3、RTT しきい値 = 3000 ミリ秒)が使用されます。デフォルトでは、[L7 健全性チェック (L7 Health Check)] は無効になっています。
注: 健全性チェック プローブの詳細の設定はサポートされていません。
- [Zscaler クラウド (Zscaler Cloud)] ドロップダウン メニューから Zscaler クラウド サービスを選択するか、Zscaler クラウド サービス名をテキスト ボックスに入力します。
- [L7 健全性チェック (L7 Health Check)] チェックボックスをオンにして、Zscaler クラウド セキュリティ サービス プロバイダの L7 健全性チェックを有効にします。デフォルトのプローブ詳細(HTTP プローブ間隔 = 5 秒、再試行回数 = 3、RTT しきい値 = 3000 ミリ秒)が使用されます。デフォルトでは、[L7 健全性チェック (L7 Health Check)] は無効になっています。
- ここから Zscaler ポータルにログインするには、[Zscaler ログイン URL (Zscaler Login URL)] テキスト ボックスにログイン URL を入力し、[Zscaler にログイン (Login to Zscaler)] をクリックします。これにより、選択した Zscaler クラウドの Zscaler 管理ポータルにリダイレクトされます。Zscaler ログイン URL を入力すると、[Zscaler にログイン (Login to Zscaler)] ボタンが有効になります。
詳細については、クラウド セキュリティ サービスの設定を参照してください。
- SD-WAN Gateway から Zscaler VPN Gateway へのトンネルを開始する準備ができたら、[トンネルの有効化 (Enable Tunnel(s))] チェックボックスをオンにします。
- [変更の保存 (Save Changes)] をクリックします。
注: Zscaler トンネルは、カスタマーのエクスポート制限が有効化されたか無効化されたかに関係なく、IPsec 暗号化アルゴリズムを NULL、認証アルゴリズムを SHA-256 として確立されます。
設定済みのネットワーク サービスは、[ネットワーク サービス (Network Services)] ウィンドウの [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] 領域の下に表示されます。ネットワーク サービスをプロファイルに関連付けできます。詳細については、設定プロファイルへの Non SD-WAN Destination の関連付けを参照してください。
L7 健全性の状態と L7 健全性チェック RTT は、
で確認できます。