Configurar um Destino Não-SD-WAN do tipo Zscaler

Este tópico explica a configuração do Zscaler e os passos para configurar um Destino Não-SD-WAN do tipo Zscaler no SD-WAN Orchestrator.

Configurar o Zscaler

Complete os seguintes passos no site do Zscaler:

No site do Zscaler, crie uma conta de segurança Web do Zscaler.
Configure as credenciais VPN:
1. Na parte superior do ecrã do Zscaler, paire o rato sobre a opção Administração (Administration) para apresentar o menu pendente. (Consulte a imagem abaixo).
2. Em Recursos (Resources), clique em Credenciais VPN (VPN Credentials).
3. Clique em Adicionar credenciais VPN (Add VPN Credentials) no canto superior esquerdo.
4. Na caixa de diálogo Adicionar credencial VPN (Add VPN Credential):
  1. Escolha FQDN como o tipo de autenticação.
  2. Digite o ID do utilizador e chave pré-partilhada (PSK). Pode obter esta informação na caixa de diálogo do Destino Não-SD-WAN no SD-WAN Orchestrator.
  3. Se necessário, digite quaisquer comentários na secção Comentários (Comments).
  4. Clique em Guardar (Save).
Atribuir uma localização:
1. No topo do ecrã do Zscaler, paire sobre a opção Administração (Administration) para apresentar o menu pendente.
2. Em Recursos (Resources), clique em Localizações (Locations).
3. Clique em Adicionar localização (Add Location) no canto superior esquerdo.
4. Na caixa de diálogo Adicionar localização (Add Location):
  1. Preencha as caixas de texto na área de localização (nome, país, estado, fuso horário).
  2. Escolha Nenhum (None) no menu pendente Endereços IP públicos (Public IP Addresses).
  3. No menu Credenciais VPN (VPN Credentials), selecione a credencial que acabou de criar.
  4. Clique em Concluído (Done).
  5. Clique em Guardar (Save).

Configurar um Destino Não-SD-WAN do tipo Zscaler

Depois de criar uma configuração Destino Não-SD-WAN do tipo Zscaler, será redirecionado para uma página de opções de configuração adicionais:

Pode configurar as seguintes definições de túneis e, em seguida, clicar em Guardar alterações (Save Changes):


Opção	Descrição
Geral
Nome (Name)	Pode editar o nome anteriormente introduzido para o Destino Não-SD-WAN.
Tipo (Type)	Apresenta o tipo como Zscaler. Não é possível editar esta opção.
Ativar Túnel(eis) (Enable Tunnel(s))	Clique no botão de alternar para iniciar o túnel no SD-WAN Gateway para o gateway VPN Zscaler.
Modo de túnel (Tunnel Mode)	O modo Ativo/Reserva Dinâmica (Active/Hot-Standby) aparece a indicar que, se o túnel Ativo ficar inativo, será assumido o túnel Standby [Reserva dinâmica (Hot-Standby)], que se tornará no túnel ativo.
Gateway VPN Principal (Primary VPN Gateway)
IP público (Public IP)	Apresenta o endereço IP do gateway VPN principal.
PSK	A chave pré-partilhada (PSK) é a chave de segurança para autenticação através do túnel. Por predefinição, o SD-WAN Orchestrator gera um PSK. Se quiser criar a sua própria PSK ou palavra-passe, introduza-a na caixa de texto.
VPN VMware Cloud redundante (Redundant VMware Cloud VPN)	Selecione a caixa de verificação para adicionar túneis redundantes a cada gateway VPN. As alterações feitas à Encriptação (Encryption), ao Grupo DH (DH Group) ou ao PFS do gateway VPN principal também serão aplicadas aos túneis VPN redundantes, se configurados.
Gateway VPN secundário (Secondary VPN Gateway)	Clique no botão Adicionar (Add) e, em seguida, introduza o endereço IP do gateway VPN secundário. Clique em Guardar alterações (Save Changes). O gateway VPN secundário será criado imediatamente para este site e aprovisionará um túnel VPN do VMware a este gateway.
ID de autenticação local	O ID de autenticação local define o formato e identificação do gateway local. No menu pendente, escolha um dos tipos seguintes e introduza um valor: FQDN – O nome de domínio totalmente qualificado ou o nome de anfitrião. Por exemplo: vmware.com Utilizador FQDN (User FQDN) – O nome de domínio totalmente qualificado do utilizador na forma de endereço de e-mail. Por exemplo, [email protected] IPv4 – O endereço IP utilizado para comunicar com o gateway local. IPv6 – O endereço IP utilizado para comunicar com o gateway local. Nota: Para o Destino Não-SD-WAN Zscaler, recomenda-se a utilização do FQDN ou Utilizador FQDN (User FQDN) como o ID de autenticação local.
IKE/IPsec de exemplo	Clique para ver as informações necessárias para configurar o gateway Destino Não-SD-WAN. O administrador do gateway deve utilizar estas informações para configurar os túneis VPN do gateway.
Localização (Location)	Clique em Editar (Edit) para definir a localização para o Destino Não-SD-WAN configurado. Os detalhes de latitude e longitude são utilizados para determinar o melhor Edge ou gateway para se ligar à rede.
Definições do Zscaler
URL de início de sessão do Zscaler (Zscaler Login URL)	Para iniciar sessão no portal Zscaler a partir deste local, introduza o URL de início de sessão na caixa de texto e, em seguida, clique no botão Iniciar sessão no Zscaler (Login to Zscaler). Será, assim, redirecionado para o portal de administração do Zscaler da cloud Zscaler selecionada. O botão Iniciar sessão no Zscaler (Login to Zscaler) apenas será ativado se introduzir o URL de início de sessão do Zscaler. Para obter mais informações, consulte Configurar as credenciais da API.
Verificação de estado de funcionamento de L7 (L7 Health Check)	Selecione a caixa de verificação para ativar a Verificação de estado de funcionamento de L7 (L7 Health check) para o fornecedor do Serviço de Segurança na Cloud Zscaler, com detalhes de pesquisa predefinidos (Intervalo da pesquisa HTTP = 5 segundos, Número de novas tentativas = 3, Limiar RTT = 3000 milissegundos). Por predefinição, a verificação de estado de funcionamento de L7 está desativada. Nota: A configuração dos detalhes da verificação de estado de funcionamento não é suportada.

Um túnel Zscaler é estabelecido com o algoritmo de encriptação IPsec como NULL e o algoritmo de autenticação como SHA-256 independentemente de a restrição de exportação de clientes estar ativada ou desativada.