當您將設定檔指派給 Edge 後,Edge 會自動繼承雲端安全服務 (CSS) 和設定檔中設定的屬性。您可以覆寫設定以選取不同的雲端安全性提供者,或修改每個 Edge 的屬性。
若要覆寫特定 Edge 的 CSS 組態,請執行下列步驟:
- 在企業入口網站中,按一下 。
- 選取要覆寫 CSS 設定的 Edge,然後按一下裝置 (Device) 資料行下的圖示。所選 Edge 的裝置設定 (Device Settings) 頁面隨即出現。
- 在雲端安全服務 (Cloud Security Service) 區域中,系統會顯示相關聯設定檔的 CSS 參數。選取啟用 Edge 覆寫 (Enable Edge Override),以選取不同的 CSS 或修改從與 Edge 相關聯的設定檔繼承的屬性。如需屬性的詳細資訊,請參閱為設定檔設定雲端安全性服務。
備註: 對於已設定 Zscaler 登入 URL 的雲端安全服務, 登入 Zscaler (Login to Zscaler) 按鈕會顯示在 雲端安全服務 (Cloud Security Service) 區域中。按一下 登入 Zscaler (Login to Zscaler) 按鈕之後,系統會將您重新導向至所選 Zscaler 雲端的 Zscaler 管理入口網站。
- 如果您選擇在 Edge 層級設定 IPSec 通道,則除了繼承的屬性之外,您必須為 IPSec 工作階段設定完整網域名稱 (FQDN) 和預先共用金鑰 (PSK)。
備註: 對於類型為 Zscaler 和 Generic 的 CSS,您必須建立 VPN 認證。對於 Symantec CSS 類型,不需要 VPN 認證。
- 如果您選擇在 Edge 層級設定 GRE 通道,請按一下新增通道 (Add Tunnel)。
- 在顯示的新增通道 (Add Tunnel) 視窗中,設定下列 GRE 通道參數,然後按一下確定 (OK)。
選項 說明 WAN 連結 (WAN Links) 選取要由 GRE 通道用作來源的 WAN 介面。 通道來源公用 IP (Tunnel Source Public IP) 選擇要由通道用作公用 IP 位址的 IP 位址。您可以選擇 WAN 連結 IP 或自訂 WAN IP。如果您選擇自訂 WAN IP,請輸入要用作公用 IP 的 IP 位址。 主要存在點 (Primary Point-of-Presence) 輸入 Zscaler 資料中心的主要公用 IP 位址。 次要存在點 (Secondary Point-of-Presence) 輸入 Zscaler 資料中心的次要公用 IP 位址。 主要路由器 IP/遮罩 (Primary Router IP/Mask) 輸入路由器的主要 IP 位址。 次要路由器 IP/遮罩 (Secondary Router IP/Mask) 輸入路由器的次要 IP 位址。 主要 ZEN IP/遮罩 (Primary ZEN IP/Mask) 輸入內部 Zscaler 公用服務 Edge 的主要 IP 位址。 次要 ZEN IP/遮罩 (Secondary ZEN IP/Mask) 輸入內部 Zscaler 公用服務 Edge 的次要 IP 位址。 備註: 路由器 IP/遮罩和 ZEN IP/遮罩是由 Zscaler 提供。備註: 針對每一個 Edge,只能有一個 CSS 使用 GRE。一個 Edge 不能有多個區段啟用了 Zscaler GRE 自動化。備註: 規模限制:- GRE-WAN:對於非 SD-WAN 目的地 (NSD),Edge 最多支援 4 個公用 WAN 連結,而在每個連結上,最多可以有 2 個通道 (主要/次要通道)。因此,對於每個 NSD,最多可以從一個 Edge 建立 8 個通道和 8 條 BGP 連線。
- GRE-LAN:Edge 支援一條指向傳輸閘道 (TGW) 的連結,且每個 TGW 最多可以有 2 個通道 (主要/次要通道)。因此,對於每個 TGW,最多可以從一個 Edge 建立 2 個通道和 4 條 BGP 連線 (一個通道有 2 個 BGP 工作階段)。
- 在 Edge 視窗中,按一下儲存變更 (Save Changes),以儲存修改的設定。
Edge 的自動化 Zscaler CSS 提供者組態
在 Edge 層級,針對所選的自動化 Zscaler CSS 提供者,您可以覆寫從設定檔繼承的設定、建立子位置,以及設定子位置的 [閘道選項 (Gateway Options)] 與 [頻寬控制 (Bandwidth Control)]。
在建立子位置之前,請確保選取的 Edge 已啟動,並且已針對 Edge 設定 VPN 認證。若要在所選取 Edge 上建立子位置,請執行下列步驟:
- 在企業入口網站中,按一下 。
- 選取要覆寫 CSS 設定和建立子位置的 Edge。
- 按一下裝置 (Device) 資料行下的圖示。所選 Edge 的裝置設定 (Device Settings) 頁面隨即出現。
- 在雲端安全服務 (Cloud Security Service) 區段中,選取啟用 Edge 覆寫 (Enable Edge Override)。
- 從雲端安全服務 (Cloud Security Service) 下拉式功能表,如果需要,請針對選取的自動 CSS 提供者,修改從設定檔繼承的屬性 (雜湊、加密和金鑰交換通訊協定)。自動化會在區段中使用有效的 IPv4 位址,為每個 Edge 的公用 WAN 連結建立一個通道。在多 WAN 連結部署中,只會使用其中一個 WAN 連結來傳送使用者資料封包。Edge 會使用頻寬、抖動、遺失和延遲作為準則,來選擇服務品質 (QoS) 評分最高的 WAN 連結。建立通道之後,就會自動建立位置。如需屬性的詳細資訊,請參閱為設定檔設定雲端安全性服務。
備註: 在區段上,不允許從自動化 Zscaler 服務提供者變更為其他 CSS 提供者。對於在區段上選取的 Edge,如果您想要從自動化 Zscaler 服務提供者變更為新的 CSS 提供者,您必須明確停用雲端安全服務,然後重新啟用 CSS。
- 若要建立子位置,請按一下動作 (Action) 資料行下的 圖示。
備註: 如果未針對 Edge 設定 VPN 認證,則系統將不允許您建立子位置。設定子位置之前,請確定您瞭解子位置及其限制。請參閱 https://help.zscaler.com/zia/about-sub-locations。
- 在子位置名稱 (Sub-Location Name) 文字方塊中,輸入子位置的唯一名稱。子位置名稱在 Edge 的所有區段中應是唯一的。名稱可包含長度上限為 32 個字元的英數字元。
- 從 LAN 網路 (LAN Networks) 下拉式功能表,選取為 Edge 設定的 VLAN。所選取 LAN 網路的子網路將會自動填入。
備註: 對於選取的 Edge,子位置在所有區段之間不應有重疊的子網路 IP。
- 若要設定子位置的 [閘道選項 (Gateway Options)] 與 [頻寬控制 (Bandwidth Control)],請按一下編輯 (Edit)。Zscaler 閘道選項和頻寬控制 (Zscaler Gateway Options and Bandwidth Control) 視窗隨即顯示。
- 視需要設定子位置的 [閘道選項 (Gateway Options)] 與 [頻寬控制 (Bandwidth Control)],然後按一下儲存變更 (Save Changes)。隨即會在 SD-WAN Orchestrator 中建立子位置。
備註: 目前,子位置組態不支援下列閘道選項:
- 使用來自用戶端要求的 XFF
- 啟用注意
- 啟用 AUP
備註: 在 Orchestrator 中建立至少一個子位置後,Zscaler 會在 Zscaler 端自動建立一個「其他 (other)」子位置。不支援從 Orchestrator 設定「其他 (other)」子位置的 [閘道選項 (Gateway Options)] 的功能。選項 說明 閘道選項 (Gateway Options) SSL 檢查 (SSL Inspection) 啟用此選項,即可將 SSL 檢查原則套用至子位置中的 HTTPS 流量,並檢查 HTTPS 交易資料是否有資料洩漏、惡意內容和病毒。 驗證 (Authentication) 啟用此選項,以要求來自子位置的使用者向服務進行驗證。 IP 代理 (IP Surrogate) 如果您已啟用驗證,若您想要將使用者與裝置 IP 位址對應,請選取此選項。 解除關聯的閒置時間 (Idle Time for Dissociation) 如果您已啟用 IP 代理,請指定完成交易後,服務保留 IP 位址至使用者對應的時間長度。您可以使用分鐘 (預設值)、小時或天數來指定解除關聯的閒置時間。 - 如果使用者選取分鐘作為單位,則允許的範圍為 1 到 43200。
- 如果使用者選取小時作為單位,則允許的範圍為 1 到 720。
- 如果使用者選取天作為單位,則允許的範圍為 1 到 30。
已知瀏覽器的代理 IP (Surrogate IP for Known Browsers) 啟用此選項,以使用現有的 IP 位址至使用者對應 (從代理 IP 取得),來驗證從已知瀏覽器傳送流量的使用者。 代理重新驗證的重新整理時間 (Refresh Time for re-validation of Surrogacy) 如果您已啟用已知瀏覽器的代理 IP,請指定 Zscaler 服務可使用 IP 位址至使用者對應,來驗證從已知瀏覽器傳送流量的使用者的時間長度。在經過定義的時段之後,服務會重新整理並重新驗證現有的 IP 至使用者對應,以便在瀏覽器上繼續使用該對應來驗證使用者。您可以使用分鐘 (預設值)、小時或天數來指定代理重新驗證的重新整理時間。 - 如果使用者選取分鐘作為單位,則允許的範圍為 1 到 43200。
- 如果使用者選取小時作為單位,則允許的範圍為 1 到 720。
- 如果使用者選取天作為單位,則允許的範圍為 1 到 30。
頻寬控制 (Bandwidth Control) 頻寬控制 (Bandwidth Control) 啟用此選項可對子位置強制執行頻寬控制。 下載 (Download) 如果您已啟用 [頻寬控制 (Bandwidth Control)],請指定下載的頻寬限制上限 (以 Mbps 為單位)。允許的範圍為 0.1 到 99999。 上傳 (Upload) 如果您已啟用 [頻寬控制 (Bandwidth Control)],請指定上傳的頻寬限制上限 (以 Mbps 為單位)。允許的範圍為 0.1 到 99999。 備註: 子位置的閘道選項與可在 Zscaler 入口網站上設定的相同。如需有關 [Zscaler 閘道選項和頻寬控制 (Zscaler Gateway Options and Bandwidth Control)] 參數的詳細資訊,請參閱 https://help.zscaler.com/zia/configuring-locations
- 建立子位置後,您可以從相同的頁面更新子位置組態,然後按一下儲存變更 (Save Changes)。Zscaler 端上的子位置將會自動更新。
- 若要刪除子位置,請按一下動作 (Action) 資料行下的 圖示。
- 按一下儲存變更 (Save Changes)。