使用整合了 Zscaler 的 VMware SD-WAN,企業就可以利用安全的本機網際網路分流。利用 VMware SD-WAN,網路管理員可以決定應透過 IPsec 通道 (具有 NULL 加密) 將哪些流量轉送到 Zscaler。
必要條件
- Zscaler Internet Access (ZIA)
- 正常運作的 ZIA 執行個體 (任何雲端)
- 管理員登入認證
- VMware SASE Orchestrator
- VMware SASE Orchestrator 的企業帳戶存取權
- 管理員登入認證
- 在 VMware SASE Orchestrator 中,有一或多個 VMware SD-WAN Edge 應用裝置處於「線上」狀態
Zscaler SD-WAN 閘道選取和路由行為
若要設定指向特定 SD-WAN 閘道的 Zscaler 通道,您必須先依照上述程序找出具有該通道的 SD-WAN 閘道。在該處,您可以按一下 [安全 VPN 閘道 (Secure VPN Gateway)],然後將通道移動/指派至不同的 SD-WAN 閘道。
- 找出目前的通道位置。
- 按一下 [安全 VPN 閘道 (Secure VPN Gateway)]。
- 選取一個 SD-WAN 閘道。
備註: 如果將通道指派/移動至不同的 SD-WAN 閘道,會影響服務。現有的通道連線將會終止,且會從新指派的 SD-WAN 閘道中建立一個新通道。
在 VMware SD-WAN Edge 組態/啟用過程中,將遵循裝置組態,為每個 Edge 指派一對雲端 SD-WAN 閘道或一組合作夥伴 SD-WAN 閘道。如果 Edge 使用的 SD-WAN 閘道並非包含 Zscaler 通道的相同 SD-WAN 閘道,則 Edge 還會自動組建 VCMP 通道,此 VCMP 通道除了指向您在啟用過程中選取的 SD-WAN 閘道,還會指向連線至 Zscaler 的 SD-WAN 閘道。這可確保 Edge 具有連線至 Zscaler 的路徑。
Zscaler 設定範例
範例 1:建立指向 1.1.1.1 的主要 Zscaler 通道,且不選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)]
在本例中,只建立了一條 Zscaler VPN 通道,且不選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊。根據與遠端 VPN 閘道的鄰近程度 (透過「地理 IP 查閱」來判斷) 選取的單一閘道 (在本例中是主要 SD-WAN 閘道),將建立指向 Zscaler VPN 端點的 IPsec 通道。根據「商務原則」組態,流量將從 SD-WAN Edge 流向主要 SD-WAN 閘道,然後再流向 Zscaler。儘管 SD-WAN Edge 始終都有 VCMP 通道指向至少兩個 SD-WAN 閘道,但這項設計中並沒有提供備援。由於沒有選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊,因此並沒有備份 SD-WAN 閘道通道指向 Zscaler。如果 Zscaler 或主要 SD-WAN 閘道故障,或者兩者之間的 IPsec 通道因任何原因而關閉,則將捨棄指向 Zscaler 的流量。
範例 2:建立指向 1.1.1.1 的主要 Zscaler 通道,並且選取了 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)]
在本例中,只建立一條 Zscaler VPN 通道,並選取了 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊。根據與遠端 VPN 閘道的鄰近程度 (透過「地理 IP 查閱」來判斷) 選取的兩個 SD-WAN 閘道 (距離 Zscaler 位置最近),將會組建指向 Zscaler 的 IPsec 通道。這兩條通道均處於作用中,不過,指向 Zscaler 的所有流量都會流經主要 SD-WAN 閘道。如果主要 SD-WAN 閘道故障,則流量將轉移到次要 SD-WAN 閘道。由於只定義一個 Zscaler 端點,如果該端點關閉,則將捨棄指向 Zscaler 的流量。
範例 3:建立指向 1.1.1.1 的主要 Zscaler 通道,以及指向 2.2.2.2 的次要 Zscaler 通道,且不選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)]
在本例中,藉由新增次要 Zscaler IP 位址,以在 SASE Orchestrator 中設定指向 Zscaler 的備援 IPsec 通道,但是不選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊。根據與遠端 VPN 閘道的鄰近程度 (透過「地理 IP 查閱」來判斷) 選取的單一 SD-WAN 閘道,將會建立指向兩個 Zscaler VPN 端點的 IPsec 通道。這兩個通道均處於作用中,但 SD-WAN 閘道可根據組態設定,知道哪一個指向 Zscaler 的 IPsec 通道是主要路徑,且會透過該通道傳送流量。Zscaler 不會標記主要 IPsec 通道或備份 IPsec 通道。Zscaler 會直接透過發起要求的 SD-WAN 閘道來傳回流量。如果主要 Zscaler 位置關閉,則會將來自 SD-WAN 閘道的流量轉移到次要 Zscaler IPsec 通道。由於沒有選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊,因此不會有指向 Zscaler 的備援 SD-WAN 閘道連線。如果 SD-WAN 閘道故障,則將捨棄指向 Zscaler 的流量。
範例 4:建立指向 1.1.1.1 的主要 Zscaler 通道,以及指向 2.2.2.2 的次要 Zscaler 通道,並選取 [備援 Velocloud VPN (Redundant Velocloud VPN)]
在本例中,藉由新增次要 Zscaler IP 位址,以在 SASE Orchestrator 中設定了指向 Zscaler 的備援 IPsec 通道,並且選取了 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊。根據與遠端 VPN 閘道的鄰近程度 (透過「地理 IP 查閱」來判斷) 選取的兩個 SD-WAN 閘道,將建立指向兩個 Zscaler VPN 端點的 IPsec 通道。所有這些通道均處於作用中,但 SD-WAN 閘道可以根據組態設定,知道這兩個閘道當中,哪一個是主要 SD-WAN 閘道,哪個是次要閘道。SD-WAN 閘道也能知道這兩個閘道的 IPsec 通道 (指向 Zscaler) 哪一個是主要路徑,哪個是次要路徑。Zscaler 不會標記主要 IPsec 通道或備份 IPsec 通道。Zscaler 會直接透過發起要求的 SD-WAN 閘道來傳回流量。如果主要 Zscaler 位置關閉,來自主要 SD-WAN 閘道的流量將轉移到次要 Zscaler IPsec 通道。由於已選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊,因此,如果主要 SD-WAN 閘道故障,流量將轉移到次要 SD-WAN 閘道。次要 SD-WAN 閘道會利用主要 IPsec 通道,但前提是該路徑是可用的。否則,它會使用次要 IPsec 通道來連線至 Zscaler。
第 7 層健全狀況檢查
在為 Zscaler Internet Access (ZIA) 建立指向給定 Zscaler 資料中心的 IPsec/GRE 通道時,會在 SD-WAN Edge 或 SD-WAN 閘道之間,建立指向 Zscaler 負載平衡器上的虛擬 IP (Virtual IP, VIP) 的通道,以用於 ZIA。當來自分支的使用者流量連線至負載平衡器時,負載平衡器會將流量分配給一些 ZIA 公用服務 Edge。「無作用對等偵測 (DPD)」和「GRE 保持運作」只能偵測負載平衡器上公用 VIP 的可用性 (因為它是通道目的地)。公用 VIP 是高度可用的端點,不會反映給定 ZIA 公用服務 Edge 的可用性。第 7 層健全狀況檢查可讓您根據 HTTP 探查,來監控 ZIA Edge 的效能和可用性,並且可讓您根據結果,容錯移轉到替代通道。若啟用了探查,SD-WAN Edge 或 SD-WAN 閘道會定期傳送探查要求到 HTTP 探查 URL (該 URL 採用以下格式)。
http://gateway.<zscaler_cloud>.net/vpntest探查 URL 可在 SASE Orchestrator 中設定,但目前無法在 SASE Orchestrator 中編輯探查間隔和重試次數。如果探查連續失敗的次數達到所定義的重試次數,會將該通道標記為關閉,且會將流量容錯移轉到次要通道 (如果已定義)。探查失敗可能是因為未收到 HTTPS 回應 (200 OK),或者延遲超過了所定義的臨界值。如果在 Edge 中設定了條件式回傳,當對主要通道和次要通道的探查皆失敗時,會觸發容錯移轉,而將流量移轉至所設定的回傳中樞。當探查再次啟動時,流量將回復到 CSS 通道。如果為透過閘道的非 SD-WAN 目的地 (NSD) 部署了 [備援雲端 VPN (Redundant Cloud VPN)],當對主要閘道中的主要通道和次要通道的探查皆失敗時,就會觸發容錯移轉,而將流量移轉到次要閘道。當主要閘道中的探查再次啟動時,流量將回復到主要閘道上的 CSS 通道。
Zscaler 和 VMware SD-WAN 部署組態
說明用來整合 Zscaler Internet Access (ZIA) 與 VMware SD-WAN 的組態步驟:
- 設定 Zscaler Internet Access (ZIA):建立一個帳戶,新增 VPN 認證,並新增一個位置。
- 建立及設定「非 SD-WAN 目的地」。
- 將「非 SD-WAN 目的地」新增到組態設定檔中。
- 設定商務優先順序規則。
如需詳細資訊,請參閱 https://www.zscaler.com/resources/solution-briefs/partner-vmware-sdwan-deployment-guide.pdf。本指南提供一些 GUI 範例,可用來設定 Zscaler Internet Access 和 VMware SASE Orchestrator。
第 7 層健全狀況檢查事件
事件 | 在 Orchestrator UI 上顯示為 | 嚴重性 | 是否可設定通知 | 產生者 | 產生時機 |
EDGE_NVS_TUNNEL_UP | Edge 直接 IPsec 通道啟動 (Edge Direct IPsec tunnel up) | 資訊 | N | SASE Orchestrator | 「雲端安全服務」通道或「透過 Edge 的 NSD」通道啟動時。 |
EDGE_NVS_TUNNEL_DOWN | Edge 直接 IPsec 通道關閉 (Edge Direct IPsec tunnel down) | 資訊 | N | SASE Orchestrator | 「雲端安全服務」通道或「透過 Edge 的 NSD」通道關閉時。 |
VPN_DATACENTER_STATUS | VPN 通道狀態變更 (VPN Tunnel state change) | 注意 | N | SD-WAN 閘道 | VPN 通道狀態已變更時。 |