As empresas podem aproveitar a descentralização da Internet local segura utilizando o VMware SD-WAN integrado com o Zscaler. Ao utilizar o VMware SD-WAN, o administrador de rede pode decidir qual o tráfego que deve ser encaminhado para o Zscaler, utilizando túneis IPsec (com encriptação NULA).
Pré-requisitos
- Acesso à Internet do Zscaler (ZIA)
- Uma instância de trabalho ZIA (qualquer cloud)
- Credenciais de início de sessão do administrador
- VMware SD-WAN Orchestrator
- Acesso da conta da empresa ao VMware SD-WAN Orchestrator
- Credenciais de início de sessão do administrador
- Uma ou mais aplicações VMware SD-WAN Edge com o estado “Online” no VMware SD-WAN Orchestrator
Comportamento de seleção e routing do SD-WAN Gateway do Zscaler
Para definir o túnel do Zscaler para um SD-WAN Gateway específico, primeiro tem de localizar qual é o SD-WAN Gateway que tem o túnel seguindo o processo acima. Em seguida, pode clicar em “Gateway VPN Seguro” (Secure VPN Gateway) e mover/atribuir o túnel a um SD-WAN Gateway diferente.
- Encontre a localização atual do túnel.
- Clique em Gateway VPN Seguro (Secure VPN Gateway).
- Selecione um SD-WAN Gateway.
Nota: Atribuir/mover um túnel para um SD-WAN Gateway diferente afetará o serviço. A ligação do túnel existente terminará e será estabelecido um novo túnel no SD-WAN Gateway recém-designado.
Durante o processo de configuração/ativação do VMware SD-WAN Edge, a cada Edge é atribuído um par de SD-WAN Gateways de cloud ou um conjunto de SD-WAN Gateways de parceiro, de acordo com a configuração do dispositivo. Se os SD-WAN Gateways utilizados pelo Edge não forem os mesmos SD-WAN Gateways que contêm os túneis do Zscaler, o Edge criará automaticamente túneis VCMP para os SD-WAN Gateways que se ligam ao Zscaler, além dos SD-WAN Gateways que são selecionados durante o processo de ativação. Este procedimento garante que o Edge tem um caminho para chegar ao Zscaler.
Exemplos de configuração do Zscaler
Exemplo 1: Túnel principal do Zscaler para 1.1.1.1 SEM VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) selecionada
Neste exemplo, apenas um túnel VPN do Zscaler é criado e a caixa de verificação VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) não está selecionada. Um único gateway (SD-WAN Gateway principal neste caso), selecionado com base na proximidade ao gateway VPN remoto (conforme determinado através da procura de IPs de geolocalização), criará um túnel IPsec para o ponto final VPN do Zscaler. Dependendo da configuração da Política empresarial, o tráfego fluirá do SD-WAN Edge para o SD-WAN Gateway principal e, em seguida, para o Zscaler. Embora o SD-WAN Edge tenha sempre túneis VCMP para, pelo menos, dois SD-WAN Gateways, não há redundância nesta estrutura. Uma vez que a caixa de verificação VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) não está selecionada, não haverá nenhum túnel do SD-WAN Gateway de backup para o Zscaler. Se o Zscaler ou o SD-WAN Gateway principal falharem ou se o túnel IPsec entre os dois ficar inativo por qualquer motivo, o tráfego para o Zscaler será interrompido.
Exemplo 2: Túnel principal do Zscaler para 1.1.1.1 com VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) selecionada
Neste exemplo, apenas um túnel VPN do Zscaler é criado e a caixa de verificação VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) está selecionada. Os dois SD-WAN Gateways, selecionados com base na proximidade ao gateway VPN remoto (conforme determinado através da procura de IPs de geolocalização), que estão mais próximos da localização do Zscaler criarão túneis IPsec para o Zscaler. Ambos os túneis estão ativos. No entanto, todo o tráfego para o Zscaler atravessará o SD-WAN Gateway principal. Se o SD-WAN Gateway principal falhar, o tráfego passará para o SD-WAN Gateway secundário. Uma vez que é definido um único ponto final do Zscaler, se este falhar, o tráfego para o Zscaler será interrompido.
Exemplo 3: Túnel principal do Zscaler para 1.1.1.1, túnel secundário do Zscaler para 2.2.2.2 SEM VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) selecionada
Neste exemplo, os túneis IPsec redundantes para o Zscaler são configurados no SD-WAN Orchestrator adicionando um endereço IP do Zscaler secundário. No entanto, a caixa de verificação VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) não está selecionada. Um único SD-WAN Gateway, selecionado com base na proximidade ao gateway VPN remoto (conforme determinado através da procura de IPs de geolocalização), criará um túnel IPsec para ambos os pontos finais VPN do Zscaler. Ambos os túneis estão ativos, mas devido às definições de configuração, o SD-WAN Gateway sabe qual é o túnel IPsec do Zscaler que é o caminho principal e enviará o tráfego através desse túnel. O Zscaler não marca túneis IPsec principais ou de backup. O Zscaler simplesmente devolve o tráfego através do SD-WAN Gateway que originou o pedido. Se a localização primária do Zscaler falhar, o tráfego do SD-WAN Gateway mudará para o túnel IPsec secundário do Zscaler. Uma vez que a caixa de verificação VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) não está selecionada, não existem ligações redundantes do SD-WAN Gateway para o Zscaler. Se o SD-WAN Gateway falhar, o tráfego para o Zscaler será interrompido.
Exemplo 4: Túnel principal do Zscaler para 1.1.1.1, túnel secundário do Zscaler para 2.2.2.2 com VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) selecionada
Neste exemplo, os túneis IPsec redundantes para o Zscaler são configurados no SD-WAN Orchestrator adicionando um endereço IP do Zscaler secundário e a caixa de verificação VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) está selecionada. Os dois SD-WAN Gateways, selecionados com base na proximidade ao gateway VPN remoto (conforme determinado através da procura de IPs de geolocalização), criarão túneis IPsec para ambos os pontos finais VPN do Zscaler. Todos estes túneis estão ativos, mas devido às definições de configuração, o SD-WAN Gateways sabe qual dos dois é o SD-WAN Gateway principal e qual é o secundário. Os SD-WAN Gateways também sabem qual dos seus túneis IPsec do Zscaler é o caminho principal e qual é o caminho secundário. O Zscaler não marca túneis IPsec principais ou de backup. O Zscaler simplesmente devolve o tráfego através do SD-WAN Gateway que originou o pedido. Se a localização primária do Zscaler falhar, o tráfego do SD-WAN Gateway principal mudará para o túnel IPsec secundário do Zscaler. Uma vez que a caixa de verificação VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) está selecionada, se o SD-WAN Gateway principal falhar, o tráfego mudará para o SD-WAN Gateway secundário. O SD-WAN Gateway secundário utilizará o túnel IPsec principal desde que esse caminho esteja disponível. Caso contrário, utilizará o túnel IPsec secundário para chegar ao Zscaler.
Verificações do estado de funcionamento da camada 7
Quando estabelece um túnel IPsec/GRE com um centro de dados Zscaler para Acesso à Internet do Zscaler (ZIA), o túnel é estabelecido entre o SD-WAN Edge ou o SD-WAN Gateway, para um IP virtual (VIP) num balanceador de carga do Zscaler para ZIA. Quando o tráfego do utilizador final do ramo chega ao balanceador de carga, este último distribui o tráfego para os Edges de serviço público ZIA. A Deteção de pares mortos (DPD) e GRE Keepalives só podem detetar a disponibilidade para o VIP público no balanceador de carga (uma vez que é o destino do túnel). O VIP público é um ponto final altamente disponível e não reflete a disponibilidade de um determinado Edge de serviço público ZIA. A verificação do estado de funcionamento da camada 7 permite monitorizar o desempenho e a disponibilidade dos Edges ZIA com base em pesquisas HTTP e permite fazer a recuperação automática para um túnel alternativo com base nos resultados. O SD-WAN Edge ou o SD-WAN Gateway enviará pedidos de pesquisa periodicamente ao URL da pesquisa HTTP (no seguinte formato) se a pesquisa estiver ativada.
http://gateway.<zscaler_cloud>.net/vpntestO URL da pesquisa é configurável no SD-WAN Orchestrator, mas atualmente o intervalo da pesquisa e o número de novas tentativas não podem ser editados no SD-WAN Orchestrator. Se a pesquisa falhar consecutivamente para o número de novas tentativas definido, o túnel será assinalado como desativado e o tráfego será recuperado para o túnel secundário, se definido. A falha na pesquisa pode ser causada pela não receção da resposta https (200 OK) ou porque a latência é superior ao limiar definido. Se o backhaul condicional estiver configurado num Edge, as falhas na pesquisa para o túnel principal e secundário acionarão a recuperação automática do tráfego para o hub de backhaul configurado. Quando a pesquisa estiver novamente ativa, o tráfego voltará para o túnel CSS. Se a VPN de cloud redundante estiver configurada para Destino Não-SD-WAN (NSD) via gateway, as falhas na pesquisa para os túneis principal e secundário no gateway principal acionarão a recuperação automática do tráfego para o gateway secundário. Quando a pesquisa no gateway principal estiver novamente ativa, o tráfego voltará ao túnel CSS no gateway principal.
Configurações da implementação do Zscaler e do VMware SD-WAN
Descreve os passos de configuração para integrar o Acesso à Internet do Zscaler (ZIA) e o VMware SD-WAN:
- Configurar o Acesso à Internet do Zscaler (ZIA): criar uma conta, adicionar as credenciais da VPN, adicionar uma localização.
- Criar e configurar um Destino Não-SD-WAN.
- Adicionar um Destino Não-SD-WAN ao perfil de configuração.
- Configurar as regras de prioridade empresarial.
Para obter mais informações, consulte https://www.zscaler.com/resources/solution-briefs/partner-vmware-sdwan-deployment-guide.pdf. Este guia apresentará exemplos da GUI para configurar o Acesso à Internet do Zscaler e o VMware SD-WAN Orchestrator.
Eventos de verificação do estado de funcionamento da camada 7
Evento | Apresentado na IU do Orchestrator como | Gravidade | Notificação configurável | Gerado por | Gerado quando |
EDGE_NVS_TUNNEL_UP | Túnel IPsec direto Edge ativo | INFORMAÇÃO | N | SD-WAN Orchestrator | Um túnel do serviço de segurança na cloud ou túnel do NSD via Edge está ativo. |
EDGE_NVS_TUNNEL_DOWN | Túnel IPsec direto Edge inativo | INFORMAÇÃO | N | SD-WAN Orchestrator | Um túnel do serviço de segurança na cloud ou túnel do NSD via Edge está inativo. |
VPN_DATACENTER_STATUS | Alteração de estado de túnel VPN | AVISO (NOTICE) | N | SD-WAN Gateway | O estado do túnel VPN foi alterado. |