雲端安全服務 (CSS) 會建立從 Edge 到雲端安全服務站台的安全通道。這可確保通往雲端安全服務的流量安全無虞。

若要設定雲端安全服務,請執行下列步驟。

程序

  1. 在企業入口網站中,按一下設定 (Configure) > 網路服務 (Network Services)
  2. 雲端安全服務 (Cloud Security Service) 區段中,按一下新增 (New)
  3. 新增雲端安全性提供者 (New Cloud Security Provider) 視窗中,從下拉式功能表中,選取服務類型。VMware SD-WAN 支援以下 CSS 類型:
    • 一般雲端安全服務
    • Symantec/Palo Alto 雲端安全服務
      備註: 從 5.0.0 版開始,可在新服務類型範本「Symantec/Palo Alto 雲端安全服務」下設定 Palo Alto CSS。在 [一般雲端安全服務 (Generic Cloud Security Service)] 下設定了現有 Palo Alto CSS 的所有客戶,必須移到新範本「Symantec/Palo Alto 雲端安全服務」。
    • Zscaler 雲端安全服務
    1. 如果您選取 [一般 (Generic)] 或 [Symantec/Palo Alto] 雲端安全服務作為服務類型,請設定下列必要詳細資料,然後按一下新增 (Add)
      選項 說明
      服務名稱 (Service Name) 輸入雲端安全服務的描述性名稱。
      主要存在點/伺服器 (Primary Point-of-Presence/Server) 輸入主要伺服器的 IP 位址或主機名稱。
      次要存在點/伺服器 (Secondary Point-of-Presence/Server) 輸入次要伺服器的 IP 位址或主機名稱。此為選用操作。
    2. 如果您選取 Zscaler 雲端安全服務作為服務類型,則可以選取自動化雲端服務部署 (Automate Cloud Service Deployment) 核取方塊,從手動部署和自動化部署之間選擇。此外,您還可以設定其他設定 (例如 Zscaler 雲端和第 7 層 (L7) 健全狀況檢查詳細資料),以判斷和監控 Zscaler 伺服器的健全狀況。
    設定從 SD-WAN Edge 指向 Zscaler 的自動通道
    本節說明如何自動建立從 SD-WAN Edge 指向 Zscaler 服務提供者的 GRE 或 IPsec 通道。
    1. 新增雲端安全性提供者 (New Cloud Security Provider) 視窗中,輸入服務名稱。
    2. 選取自動化雲端服務部署 (Automate Cloud Service Deployment) 核取方塊。
    3. 選取 GRE 或 IPsec 通訊協定,以建立通道。
      備註: 每位客戶所能設定的 CSS Zscaler GRE 通道總數,取決於客戶在 Zscaler 中的訂閱。預設值為 100。
    4. 設定其他詳細資料,例如:家庭的喜好設定、Zscaler 雲端、合作夥伴管理員使用者名稱、密碼、合作夥伴金鑰和網域,如下表所述。
      選項 說明
      家庭的喜好設定 啟用這個選項時,會優先使用位於 IP 位址來源國家/地區的 Zscaler 資料中心,即使它們距離其他 Zscaler 資料中心較遠也是如此。
      備註: 只有在選取 GRE 來建立通道時,才能設定此選項。
      Zscaler 雲端 (Zscaler Cloud) 從下拉式功能表中選取一項 Zscaler 雲端服務,或在文字方塊中輸入 Zscaler 雲端服務名稱。
      合作夥伴管理員使用者名稱 (Partner Admin Username) 輸入合作夥伴管理員的已佈建使用者名稱。
      合作夥伴管理員密碼 (Partner Admin Password) 輸入合作夥伴管理員的已佈建密碼。
      合作夥伴金鑰 (Partner Key) 輸入已佈建的合作夥伴金鑰。
      網域 (Domain) 輸入將在其中部署雲端服務的網域名稱。
    5. 按一下驗證認證 (Validate Credentials)。如果驗證成功,將啟用新增 (Add) 按鈕。
      備註: 您必須驗證認證,才能新增 CSS 提供者。
    6. 設定下列 L7 健全狀況檢查詳細資料,以監控 Zscaler 伺服器的健全狀況。
      選項 說明
      L7 健全狀況檢查 (L7 Health Check) 選取此核取方塊,以啟用 Zscaler 雲端安全服務提供者的 L7 健全狀況檢查,並使用預設探查詳細資料 (HTTP 探查間隔 = 5 秒,重試次數 = 3,RTT 臨界值 = 3000 毫秒)。依預設,不會啟用 L7 健全狀況檢查。
      備註: 不支援健全狀況檢查探查詳細資料的組態。
      備註: 對於指定的 Edge/設定檔,使用者無法覆寫在 [網路服務 (Network Service)] 中設定的 L7 健全狀況檢查參數。
      HTTP 探查間隔 (HTTP Probe Interval) 個別 HTTP 探查之間隔的持續時間。預設探查間隔為 5 秒。
      重試次數 (Number of Retries) 指定將雲端服務標記為「關閉」之前允許的探查重試次數。預設值為 3。
      RTT 臨界值 (RTT Threshold) 以毫秒表示的來回行程時間 (RTT) 臨界值,用以計算雲端服務狀態。如果測量的 RTT 高於已設定的臨界值,則系統會將雲端服務標記為「關閉」。預設值為 3000 毫秒。
      Zscaler 登入 URL (Zscaler Login URL) 輸入登入 URL,然後按一下登入 Zscaler (Login to Zscaler)。這會將您重新導向至所選 Zscaler 雲端的 Zscaler 管理入口網站。
      備註: 如果您已輸入 Zscaler 登入 URL,則 登入 Zscaler (Login to Zscaler) 按鈕將會啟用。
    7. 若要從 Orchestrator 登入 Zscaler 管理入口網站,請輸入 Zscaler 登入 URL,然後按一下登入 Zscaler (Login to Zscaler)。這會將您重新導向至所選 Zscaler 雲端的 Zscaler 管理入口網站。
      備註: 如果您已輸入 Zscaler 登入 URL,則 登入 Zscaler (Login to Zscaler) 按鈕將會啟用。
    備註: 如需有關 Zscaler CSS 自動化的詳細資訊,請參閱 Zscaler 和 VMware SD-WAN 部署指南
    備註: 如需 Zscaler 如何判斷用於建立 IPsec VPN 通道的最佳資料中心虛擬 IP 位址 (VIP) 的具體詳細資料,請參閱 適用於 IPSec VPN 通道佈建的 SD-WAN API 整合
    設定從 SD-WAN Edge 指向 Zscaler 的手動通道
    本節說明如何手動建立從 SD-WAN Edge 指向 Zscaler 服務提供者的 GRE 或 IPsec 通道。不同於自動通道,設定手動通道時需要指定通道目的地,才能啟動通道。
    1. 新增雲端安全性提供者 (New Cloud Security Provider) 視窗中,輸入服務名稱。
    2. 輸入主要伺服器的 IP 位址或主機名稱。
    3. 您可以選擇性地輸入次要伺服器的 IP 位址或主機名稱。
    4. 從下拉式功能表中選取一項 Zscaler 雲端服務,或在文字方塊中輸入 Zscaler 雲端服務名稱。
    5. 視需要設定其他參數,然後按一下新增 (Add)
    備註: 如果您已選取 Zscaler 雲端安全服務作為服務類型,並計劃要指派 GRE 通道,則建議您僅在主要和次要伺服器中輸入 IP 位址,而非主機名稱,因為 GRE 不支援主機名稱。

結果

已設定的雲端安全服務會顯示在 網路服務 (Network Services) 視窗的 雲端安全服務 (Cloud Security Service) 區域下。

下一步

將雲端安全服務與設定檔或 Edge 建立關聯: