엔터프라이즈는 Zscaler와 통합된 VMware SD-WAN을 사용하여 보안 로컬 인터넷 중단을 활용할 수 있습니다. 네트워크 관리자는 VMware SD-WAN을 사용하여 IPsec 터널(NULL 암호화)을 통해 Zscaler로 전달할 트래픽을 결정할 수 있습니다.
사전 요구 사항
- ZIA(Zscaler Internet Access)
- 작동 중인 ZIA 인스턴스(모든 클라우드)
- 관리자 로그인 자격 증명
- VMware SD-WAN Orchestrator
- VMware SD-WAN Orchestrator에 대한 엔터프라이즈 계정 액세스
- 관리자 로그인 자격 증명
- VMware SD-WAN Orchestrator에서 "온라인" 상태인 하나 이상의 VMware SD-WAN Edge 장치
Zscaler SD-WAN Gateway 선택 및 라우팅 동작
Zscaler 터널을 특정 SD-WAN Gateway로 설정하려면 먼저 위의 프로세스에 따라 터널이 있는 SD-WAN Gateway를 찾아야 합니다. 여기에서 "보안 VPN 게이트웨이(Secure VPN Gateway)"를 클릭하고 터널을 다른 SD-WAN Gateway로 이동/할당할 수 있습니다.
- 현재 터널 위치를 찾습니다.
- 보안 VPN 게이트웨이(Secure VPN Gateway)를 클릭합니다.
- SD-WAN Gateway를 선택합니다.
참고: 다른 SD-WAN Gateway에 터널을 할당/이동하면 서비스에 영향을 미칩니다. 기존 터널 연결이 종료되고 새로 할당된 SD-WAN Gateway에서 새 터널이 설정됩니다.
VMware SD-WAN Edge 구성/활성화 프로세스 동안 디바이스 구성에 따라 각 Edge에 클라우드 SD-WAN Gateways 쌍 또는 파트너 SD-WAN Gateways 집합이 할당됩니다. Edge에서 사용하는 SD-WAN Gateways가 Zscaler 터널이 포함된 SD-WAN Gateways와 동일하지 않으면 Edge는 활성화 프로세스 중에 선택된 SD-WAN Gateways 외에 Zscaler에 연결하는 SD-WAN Gateways에 대한 VCMP 터널을 자동으로 구축합니다. 이렇게 하면 Edge가 Zscaler에 연결할 수 있습니다.
Zscaler 설정 예
예 1: 중복 Velocloud 클라우드 VPN이 선택되지 않은 1.1.1.1에 대한 기본 Zscaler 터널
이 예에서는 Zscaler VPN 터널이 하나만 생성되고 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란이 선택되지 않습니다. 원격 VPN 게이트웨이에 대한 근접성을 기준으로 단일 게이트웨이(이 경우 기본 SD-WAN Gateway)를 선택하면(Geo-IP 조회를 통해 결정됨) Zscaler VPN 끝점에 대한 IPsec 터널이 생성됩니다. 비즈니스 정책 구성에 따라 SD-WAN Edge에서 기본 SD-WAN Gateway로, 다시 Zscaler로 트래픽이 흐릅니다. SD-WAN Edge에 항상 두 개 이상의 SD-WAN Gateways에 대한 VCMP 터널이 있지만, 이 설계에는 이중화가 나타나지 않습니다. 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란을 선택하지 않았으므로 Zscaler에 대한 백업 SD-WAN Gateway 터널이 없습니다. Zscaler 또는 기본 SD-WAN Gateway가 실패하거나 어떤 이유로든 둘 사이의 IPsec 터널이 종료되면 Zscaler 방향의 트래픽이 삭제됩니다.
예 2: 중복 Velocloud 클라우드 VPN이 선택된 1.1.1.1에 대한 기본 Zscaler 터널
이 예에서는 Zscaler VPN 터널이 하나만 생성되고 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란이 선택됩니다. Zscaler 위치에 가장 가까운 원격 VPN 게이트웨이에 대한 근접성을 기준으로 두 개의 SD-WAN Gateways를 선택하면(Geo-IP 조회를 통해 결정됨) Zscaler에 대한 IPsec 터널이 구축됩니다. 이러한 두 터널은 모두 활성 상태입니다. 그러나 Zscaler로 전송되는 모든 트래픽은 기본 SD-WAN Gateway를 통과합니다. 기본 SD-WAN Gateway가 실패하면 트래픽이 보조 SD-WAN Gateway로 전환됩니다. 단일 Zscaler 끝점만 정의되므로 이 끝점이 종료되면 Zscaler로의 트래픽은 삭제됩니다.
예 3: 중복 Velocloud 클라우드 VPN이 선택되지 않은 1.1.1.1에 대한 기본 Zscaler 터널, 2.2.2.2에 대한 보조 Zscaler 터널
이 예에서는 보조 Zscaler IP 주소를 추가하여 SD-WAN Orchestrator에서 Zscaler에 대한 중복 IPsec 터널을 구성하지만, 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란은 선택되지 않습니다. 원격 VPN 게이트웨이에 대한 근접성을 기준으로 단일 SD-WAN Gateway를 선택하면(Geo-IP 조회를 통해 결정됨) 두 Zscaler VPN 끝점에 대한 IPsec 터널이 생성됩니다. 이러한 두 터널은 모두 활성 상태이지만 구성 설정에 따라 SD-WAN Gateway에서 Zscaler에 대한 기본 경로가 어떤 IPsec 터널인지 알고 해당 터널을 통해 트래픽을 전송하게 됩니다. Zscaler는 기본 또는 백업 IPsec 터널을 표시하지 않습니다. Zscaler는 요청을 시작한 SD-WAN Gateway를 통해 트래픽을 반환하기만 합니다. 기본 Zscaler 위치가 종료되면 SD-WAN Gateway의 트래픽이 보조 Zscaler IPsec 터널로 전환됩니다. 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란이 선택되지 않았으므로 Zscaler에 대한 중복 SD-WAN Gateway 연결이 없습니다. SD-WAN Gateway가 실패하면 Zscaler로 전송되는 트래픽이 삭제됩니다.
예 4: 중복 Velocloud VPN이 선택된 1.1.1.1에 대한 기본 Zscaler 터널, 2.2.2.2에 대한 보조 Zscaler 터널
이 예에서는 보조 Zscaler IP 주소를 추가하여 SD-WAN Orchestrator에서 Zscaler에 대한 중복 IPsec 터널을 구성하며 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란이 선택됩니다. 원격 VPN 게이트웨이에 대한 근접성을 기준으로 두 SD-WAN Gateways를 선택하면(Geo-IP 조회를 통해 결정됨) 두 Zscaler VPN 끝점에 대한 IPsec 터널이 생성됩니다. 이러한 모든 터널은 활성 상태이지만 구성 설정에 따라 SD-WAN Gateways에서는 둘 중 어떤 것이 기본 SD-WAN Gateway이고 어떤 것이 보조 게이트웨이인지 알 수 있습니다. 또한 SD-WAN Gateways는 Zscaler에 대한 IPsec 터널 중 어떤 것이 기본 경로이고 어떤 것이 보조 경로인지도 알고 있습니다. Zscaler는 기본 또는 백업 IPsec 터널을 표시하지 않습니다. Zscaler는 요청을 시작한 SD-WAN Gateway를 통해 트래픽을 반환하기만 합니다. 기본 Zscaler 위치가 종료되면 기본 SD-WAN Gateway의 트래픽이 보조 Zscaler IPsec 터널로 전환됩니다. 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란을 선택했으므로 기본 SD-WAN Gateway가 실패하면 트래픽이 보조 SD-WAN Gateway로 전환됩니다. 보조 SD-WAN Gateway는 해당 경로를 사용할 수 있는 경우 기본 IPsec 터널을 활용합니다. 그렇지 않다면 보조 IPsec 터널을 사용하여 Zscaler에 연결합니다.
계층 7 상태 점검
ZIA(Zscaler Internet Access)용으로 지정된 Zscaler 데이터 센터에 대한 IPsec/GRE 터널을 설정하면 ZIA용 Zscaler 로드 밸런서의 VIP(가상 IP)에 대한 SD-WAN Edge 또는 SD-WAN Gateway 간에 터널이 설정됩니다. 분기의 최종 사용자 트래픽이 로드 밸런서에 도달하면 로드 밸런서는 ZIA 공용 서비스 Edge로 트래픽을 분산합니다. DPD(Dead Peer Detection) 및 GRE 킵얼라이브는 로드 밸런서의 공용 VIP에 대한 가용성만 감지할 수 있습니다(터널 대상이기 때문). 공용 VIP는 고가용성 끝점이며 지정된 ZIA 공용 서비스 Edge의 가용성을 반영하지 않습니다. 계층 7 상태 점검을 사용하면 HTTP 프로브를 기준으로 ZIA Edge의 성능 및 가용성을 모니터링할 수 있으며 결과를 기준으로 대체 터널로 페일오버할 수 있습니다. 프로브를 사용하도록 설정한 경우 SD-WAN Edge 또는 SD-WAN Gateway는 HTTP 프로브 URL(다음 형식)으로 검색 요청을 주기적으로 전송합니다.
" http://gateway.<zscaler_cloud>.net/vpntest"프로브 URL은 SD-WAN Orchestrator에서 구성할 수 있지만, 현재 검색 간격 및 재시도 횟수는 SD-WAN Orchestrator에서 편집할 수 없습니다. 정의된 재시도 횟수에 대해 프로브가 연속적으로 실패하면 터널이 종료된 것으로 표시되고 트래픽이 정의된 경우 보조 터널로 페일오버됩니다. https 응답(200 OK)이 수신되지 않았거나 지연 시간이 정의된 임계값보다 크면 검색 실패가 발생할 수 있습니다. Edge에 조건부 백홀이 구성된 경우 기본 및 보조 터널에 대한 검색이 실패하면 구성된 백홀 허브로의 트래픽 페일오버가 트리거됩니다. 프로브가 다시 실행되면 트래픽이 CSS 터널로 폴백됩니다. 게이트웨이를 통한 NSD(비 SD-WAN 대상)에 대해 중복 클라우드 VPN이 구성된 경우 기본 게이트웨이에서 기본 및 보조 터널로의 검색이 실패하면 보조 게이트웨이로의 트래픽 페일오버가 트리거됩니다. 기본 게이트웨이의 프로브가 다시 실행되면 트래픽이 기본 게이트웨이의 CSS 터널로 폴백됩니다.
Zscaler 및 VMware SD-WAN 배포 구성
ZIA(Zscaler Internet Access) 및 VMware SD-WAN을 통합하기 위한 구성 단계를 설명합니다.
- ZIA(Zscaler Internet Access) 구성: 계정을 생성하고, VPN 자격 증명을 추가하고, 위치를 추가합니다.
- 비 SD-WAN 대상을 생성하고 구성합니다.
- 구성 프로필에 비 SD-WAN 대상을 추가합니다.
- 비즈니스 우선 순위 규칙을 구성합니다.
자세한 내용은 https://www.zscaler.com/resources/solution-briefs/partner-vmware-sdwan-deployment-guide.pdf를 참조하십시오. 이 가이드에서는 Zscaler Internet Access 및 VMware SD-WAN Orchestrator를 구성하기 위한 GUI 예를 제공합니다.
계층 7 상태 점검 이벤트
이벤트(Event) | Orchestrator UI에 다음으로 표시 | 심각도 | 알림 구성 가능 | 생성자 | 생성일 |
EDGE_NVS_TUNNEL_UP | Edge 직접 IPsec 터널 실행 중 | 정보 | N | SD-WAN Orchestrator | 클라우드 보안 서비스 터널 또는 Edge를 통한 NSD 터널이 실행 중입니다. |
EDGE_NVS_TUNNEL_DOWN | Edge 직접 IPsec 터널 종료 | 정보 | N | SD-WAN Orchestrator | 클라우드 보안 서비스 터널 또는 Edge를 통한 NSD 터널이 종료되었습니다. |
VPN_DATACENTER_STATUS | VPN 터널 상태 변경 | 알림 | N | SD-WAN Gateway | VPN 터널 상태가 변경되었습니다. |