啟用雲端安全服務 (CSS),以建立從 Edge 到雲端安全服務站台的安全通道。這可讓流量安全地重新導向至第三方雲端安全性站台。在設定檔層級,VMware SD-WAN 與 Zscaler 整合支援 IPsec 和 GRE 通道的自動化。
備註: 針對每一個設定檔,只能有一個 CSS 使用 GRE。
開始之前:
- 確定您具有設定網路服務的權限。
- 確定您的 SASE Orchestrator 具有 3.3.x 版或更高版本。
- 您應具有第三方雲端安全服務中設定的雲端安全服務閘道端點 IP 和 FQDN 認證。
- 在企業入口網站的 SD-WAN 服務中,按一下 。設定檔 (Profiles) 頁面即會顯示現有的設定檔。
- 按一下設定檔的連結,或按一下設定檔的裝置 (Device) 資料行中的檢視 (View) 連結。所選設定檔的組態選項會顯示在裝置 (Device) 索引標籤中。
- 在 VPN 服務 (VPN Services) 類別之下,按一下雲端安全服務 (Cloud Security Service),然後將切換按鈕切換到開啟 (On),以啟用雲端安全服務 (Cloud Security Service)。
- 進行下列設定:
選項 說明 雲端安全服務 從下拉式功能表中選取要與設定檔建立關聯的雲端安全服務。您也可以從下拉式功能表中按一下新增雲端安全服務 (New Cloud Security Service),以建立新的服務類型。如需如何建立新 CSS 的詳細資訊,請參閱設定雲端安全服務。 備註: 對於已設定 Zscaler 登入 URL 的雲端安全服務, 登入 Zscaler (Login to Zscaler) 按鈕會顯示在 雲端安全服務 (Cloud Security Service) 區域中。按一下 登入 Zscaler (Login to Zscaler) 按鈕之後,系統會將您重新導向至所選 Zscaler 雲端的 Zscaler 管理入口網站。通道通訊協定 (Tunneling Protocol) 此選項僅適用於 Zscaler 雲端安全服務提供者。如果您選取手動 Zscaler 服務提供者,請選擇 IPsec 或 GRE 作為通道通訊協定。依預設會選取 IPsec。 備註: 如果您選取自動化 Zscaler 服務提供者,則 通道通訊協定 (Tunneling Protocol) 欄位將無法設定,但會顯示該服務提供者使用的通訊協定名稱。雜湊 (Hash) 從下拉式清單中選取雜湊函數 SHA 1 或 SHA 256。依預設會選取 SHA 1。 加密 (Encryption) 從下拉式清單中選取加密演算法 AES 128 或 AES 256。依預設會選取 [無 (None)]。 金鑰交換通訊協定 (Key Exchange Protocol) 選取金鑰交換方法,如 IKEv1 或 IKEv2。依預設會選取 IKEv2。
此選項不適用於 Symantec 雲端安全服務。
登入 Zscaler (Login to Zscaler) 按一下登入 Zscaler (Login to Zscaler) 以登入所選 Zscaler 雲端的 Zscaler 管理入口網站。 - 按一下儲存變更 (Save Changes)。
當您在設定檔中啟用雲端安全服務並加以設定時,該設定將會自動套用至與設定檔相關聯的 Edge。如有需要,您可以覆寫特定 Edge 的組態。請參閱為 Edge 設定雲端安全服務。
若設定檔是透過 3.3.1 版之前所啟用並設定的雲端安全服務而建立,則您可以選擇以下列方式重新導向流量:
- 僅將 Web 流量重新導向至雲端安全服務
- 將所有網際網路繫結流量重新導向至雲端安全服務
- 根據商務原則設定重新導向流量 - 此選項只能從 3.3.1 版使用。如果您選擇此選項,則其他兩個選項將不再提供使用。
備註: 對於您為 3.3.1 版或更新版本建立的新設定檔,依預設會根據商務原則設定來重新導向流量。請參閱
設定雲端安全服務的商務原則。