本主題說明 Zscaler 組態,以及在 SD-WAN Orchestrator 中設定 Zscaler 類型的非 SD-WAN 目的地的步驟。

設定 Zscaler

請在 Zscaler 網站上完成下列步驟:
  1. 在 Zscaler 網站中,建立 Zscaler Web 安全性帳戶。

    complementary-config-zscaler-cloud-portal

  2. 設定您的 VPN 認證:
    1. 在 Zscaler 畫面頂端,將游標暫留在管理 (Administration) 選項上方,以顯示下拉式功能表。(請參閱下圖)。
    2. 資源 (Resources) 下,按一下 VPN 認證 (VPN Credentials)

      complementary-configuration-zscaler-administration-drop-down

    3. 按一下左上角的新增 VPN 認證 (Add VPN Credentials)

      complementary-config-zscaler-add-location

    4. 新增 VPN 認證 (Add VPN Credential) 對話方塊中:
      1. 選擇 FQDN 作為驗證類型。
      2. 輸入使用者識別碼和預先共用金鑰 (PSK)。您可以從 SD-WAN Orchestrator非 SD-WAN 目的地對話方塊中取得這項資訊。
      3. 如有必要,請在註解 (Comments) 區段中輸入任何註解。

        complementary-config-add-vpn-credentials

      4. 按一下儲存 (Save)
  3. 指派位置:
    1.  在 Zscaler 畫面頂端,將游標暫留在管理 (Administration) 選項上方,以顯示下拉式功能表。
    2.  在資源 (Resources) 下,按一下位置 (Locations)
    3.  按一下左上角的新增位置 (Add Location)
    4. 新增位置 (Add Location) 對話方塊中:
      1. 填寫 [位置 (Location)] 區域中的文字方塊 (名稱、國家/地區、州/省、時區)。
      2. 公用 IP 位址 (Public IP Addresses) 下拉式功能表中,選擇無 (None)
      3. VPN 認證 (VPN Credentials) 下拉式功能表中,選取您剛才建立的認證。
        complementary-config-zscaler-location2
      4. 按一下完成 (Done)
      5. 按一下儲存 (Save)

設定 Zscaler 類型的非 SD-WAN 目的地

建立 Zscaler 類型的 非 SD-WAN 目的地組態之後,您會被重新導向至其他組態選項頁面:
您可以設定以下通道設定,然後按一下 儲存變更 (Save Changes)
選項 說明
一般
名稱 (Name) 您可以編輯先前針對非 SD-WAN 目的地所輸入的名稱。
類型 (Type) 將類型顯示為 Zscaler。您無法編輯此選項。
啟用通道 (Enable Tunnels) 按一下切換按鈕,可起始從 SD-WAN 閘道至 Zscaler VPN 閘道的通道。
通道模式 (Tunnel Mode) 顯示作用中/熱待命 (Active/Hot-Standby),指示如果作用中通道關閉,待命 (熱待命) 通道即會接管而成為作用中通道。
主要 VPN 閘道 (Primary VPN Gateway)
公用 IP (Public IP) 顯示主要 VPN 閘道的 IP 位址。
PSK 預先共用的金鑰 (PSK) 是在通道間進行驗證時所使用的安全性金鑰。依預設,SD-WAN Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,請在文字方塊中輸入。
備援 VMware Cloud VPN (Redundant VMware Cloud VPN) 選取此核取方塊,可為每個 VPN 閘道新增備援通道。對主要 VPN 閘道的加密 (Encryption)DH 群組 (DH Group)PFS 所做的任何變更,也會套用至備援 VPN 通道 (如果已設定)。
次要 VPN 閘道 (Secondary VPN Gateway) 按一下新增 (Add) 按鈕,然後輸入次要 VPN 閘道的 IP 位址。按一下儲存變更 (Save Changes)

系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。

本機驗證識別碼 (Local Auth Id) 本機驗證識別碼會定義本機閘道的格式和識別。從下拉式功能表中,從下列下類型中挑選,然後輸入一值:
  • FQDN - 完整網域名稱或主機名稱。例如:vmware.com
  • 使用者 FQDN (User FQDN) - 電子郵件地址形式的使用者完整網域名稱。例如:[email protected]
  • IPv4 - 用來與本機閘道進行通訊的 IP 位址。
  • IPv6 - 用來與本機閘道進行通訊的 IP 位址。
備註: 對於 Zscaler 非 SD-WAN 目的地,建議使用 FQDN使用者 FQDN (User FQDN) 作為本機驗證識別碼。
範例 IKE/IPSec 按一下以檢視設定非 SD-WAN 目的地閘道所需的資訊。閘道管理員應使用這項資訊來設定閘道 VPN 通道。
位置 (Location) 按一下編輯 (Edit),可為所設定的非 SD-WAN 目的地設定位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 Edge 或閘道。
Zscaler 設定
Zscaler 登入 URL (Zscaler Login URL) 若要從此處登入 Zscaler 入口網站,請在文字方塊中輸入登入 URL,然後按一下登入 Zscaler (Login to Zscaler) 按鈕。這會將您重新導向至所選 Zscaler 雲端的 Zscaler 管理入口網站。僅當輸入 Zscaler 登入 URL 時,才會啟用登入 Zscaler (Login to Zscaler) 按鈕。如需詳細資訊,請參閱設定 API 認證
L7 健全狀況檢查 (L7 Health Check) 選取此核取方塊,以啟用 Zscaler 雲端安全服務提供者的 L7 健全狀況檢查,並使用預設探查詳細資料 (HTTP 探查間隔 = 5 秒,重試次數 = 3,RTT 臨界值 = 3000 毫秒)。依預設,會停用 L7 健全狀況檢查。
備註: 不支援健全狀況檢查探查詳細資料的組態。

無論客戶匯出限制是已啟用或已停用都會建立 Zscaler 通道,並將 IPSec 加密演算法設為 NULL,以及將驗證演算法設為 SHA-256