當您將設定檔指派給 Edge 後,Edge 會自動繼承雲端安全服務 (CSS) 和設定檔中設定的屬性。您可以覆寫設定以選取不同的雲端安全性提供者,或修改每個 Edge 的屬性。

若要覆寫特定 Edge 的 CSS 組態,請執行下列步驟:

  1. 在企業入口網站的 SD-WAN 服務中,按一下設定 (Configure) > EdgeEdge 頁面會顯示現有的設定檔。
  2. 按一下 Edge 的連結,或按一下 Edge 的裝置 (Device) 資料行中的檢視 (View) 連結。所選 Edge 的組態選項會顯示在裝置 (Device) 索引標籤中。
  3. VPN 服務 (VPN Services) 類別下的雲端安全服務 (Cloud Security Service) 區域中,會顯示相關聯設定檔的 CSS 參數。
  4. 雲端安全服務 (Cloud Security Service) 區域中,選取覆寫 (Override) 核取方塊,以選取不同的 CSS 或修改繼承自 Edge 相關聯設定檔的屬性。如需屬性的詳細資訊,請參閱為設定檔設定雲端安全服務
  5. Edge 視窗中,按一下儲存變更 (Save Changes),以儲存修改的設定。
    備註: 對於類型為 Zscaler 和 Generic 的 CSS,您必須建立 VPN 認證。對於 Symantec CSS 類型,不需要 VPN 認證。

Edge 的手動 Zscaler CSS 提供者組態

在 Edge 層級,針對所選的手動 Zscaler CSS 提供者,您可以覆寫從設定檔繼承的設定,並且可以根據選取用來建立通道的通道通訊協定,手動設定其他參數。

如果您選擇手動設定 IPsec 通道,則除了繼承的屬性之外,您必須為 IPsec 工作階段設定完整網域名稱 (FQDN) 和預先共用的金鑰 (PSK)。
備註: 您應具有第三方雲端安全服務中設定的雲端安全服務閘道端點 IP 和 FQDN 認證,這是必要條件。
設定 IPSec 設定
備註: 對於已設定 Zscaler 登入 URL 的雲端安全服務, 登入 Zscaler (Login to Zscaler) 按鈕會顯示在 雲端安全服務 (Cloud Security Service) 區域中。按一下 登入 Zscaler (Login to Zscaler) 按鈕之後,系統會將您重新導向至所選 Zscaler 雲端的 Zscaler 管理入口網站。

如果您選擇手動設定 GRE 通道,則必須依照下列步驟,針對要作為 GRE 通道來源的所選 WAN 介面,手動設定 GRE 通道參數。

  1. GRE 通道 (GRE Tunnels) 下,按一下 +新增 (+Add)
  2. 在顯示的設定通道 (Configure Tunnel) 視窗中,設定下列 GRE 通道參數,然後按一下更新 (Update)
    選項 說明
    WAN 連結 (WAN Links) 選取要由 GRE 通道用作來源的 WAN 介面。
    通道來源公用 IP (Tunnel Source Public IP) 選擇要由通道用作公用 IP 位址的 IP 位址。您可以選擇 WAN 連結 IP 或自訂 WAN IP。如果您選擇自訂 WAN IP,請輸入要用作公用 IP 的 IP 位址。如果在多個區段上設定了雲端安全服務 (CSS),則每個區段的來源公用 IP 必須不同。
    主要存在點 (Primary Point-of-Presence) 輸入 Zscaler 資料中心的主要公用 IP 位址。
    次要存在點 (Secondary Point-of-Presence) 輸入 Zscaler 資料中心的次要公用 IP 位址。
    主要路由器 IP/遮罩 (Primary Router IP/Mask) 輸入路由器的主要 IP 位址。
    次要路由器 IP/遮罩 (Secondary Router IP/Mask) 輸入路由器的次要 IP 位址。
    主要內部 ZEN IP/遮罩 (Primary Internal ZEN IP/Mask) 輸入內部 Zscaler 公用服務 Edge 的主要 IP 位址。
    次要內部 ZEN IP/遮罩 (Secondary Internal ZEN IP/Mask) 輸入內部 Zscaler 公用服務 Edge 的次要 IP 位址。
    備註:
    • 路由器 IP/遮罩和 ZEN IP/遮罩是由 Zscaler 提供。
    • 每個企業僅支援一個 Zscaler 雲端和網域。
    • 針對每一個 Edge,只能有一個 CSS 使用 GRE。一個 Edge 不能有多個區段啟用了 Zscaler GRE 自動化。
    • 規模限制:
      • GRE-WAN:對於非 SD-WAN 目的地 (NSD),Edge 最多支援 4 個公用 WAN 連結,而在每個連結上,最多可以有 2 個通道 (主要/次要通道)。因此,對於每個 NSD,最多可以從一個 Edge 建立 8 個通道和 8 條 BGP 連線。
      • GRE-LAN:Edge 支援一條指向傳輸閘道 (TGW) 的連結,且每個 TGW 最多可以有 2 個通道 (主要/次要通道)。因此,對於每個 TGW,最多可以從一個 Edge 建立 2 個通道和 4 條 BGP 連線 (一個通道有 2 個 BGP 工作階段)。

Edge 的自動化 Zscaler CSS 提供者組態

在 Edge 層級,VMware SD-WAN 與 Zscaler 整合可支援: 針對在 Edge 層級上所選的自動化 Zscaler CSS 提供者,您可以覆寫從設定檔繼承的 CSS 設定,為每個 Edge 區段建立自動 IPsec/GRE 通道、建立子位置,以及設定位置和子位置的 [閘道選項 (Gateway Options)] 和 [頻寬控制 (Bandwidth Control)]。

IPsec/GRE 通道自動化

可以為每個 Edge 區段設定 IPsec/GRE 通道自動化。執行以下步驟,從 Edge 建立自動通道。
  1. 在企業入口網站的 SD-WAN 服務中,按一下設定 (Configure) > Edge
  2. 選取您要建立自動通道的 Edge。
  3. 按一下 Edge 的連結,或按一下 Edge 的裝置 (Device) 資料行中的檢視 (View) 連結。所選 Edge 的組態選項會顯示在裝置 (Device) 索引標籤中。
  4. VPN 服務 (VPN Services) 類別下的雲端安全服務 (Cloud Security Service) 區域中,會顯示相關聯設定檔的 CSS 參數。
  5. 雲端安全服務 (Cloud Security Service) 區域中,選取覆寫 (Override) 核取方塊,以選取不同的 CSS 或修改繼承自 Edge 相關聯設定檔的屬性。如需屬性的詳細資訊,請參閱為設定檔設定雲端安全服務
  6. 雲端安全服務 (Cloud Security Service) 下拉式功能表中,選取一個自動化 CSS 提供者,然後按一下儲存變更 (Save Changes)

    自動化會在區段中使用有效的 IPv4 位址,為每個 Edge 的公用 WAN 連結建立一個通道。在多 WAN 連結部署中,只會使用其中一個 WAN 連結來傳送使用者資料封包。Edge 會使用頻寬、抖動、遺失和延遲作為準則,來選擇服務品質 (QoS) 評分最高的 WAN 連結。建立通道之後,就會自動建立位置。您可以在雲端安全服務 (Cloud Security Service) 區段中檢視通道建立和 WAN 連結的詳細資料

    備註: 建立自動通道之後,就不允許在區段上,從自動化 Zscaler 服務提供者變更為其他 CSS 提供者。對於區段上已選取的 Edge,如果您想要從自動化 Zscaler 服務提供者變更為新的 CSS 提供者,您必須明確停用雲端安全服務,然後重新啟用 CSS。

Zscaler 位置/子位置組態

為 Edge 區段建立自動 IPsec/GRE 通道後,位置將自動建立,並顯示在 [Edge 裝置 (Edge Device)] 頁面的 Zscaler 區段中。
備註: 在 4.5.0 版之前,子位置組態位於每個區段的 雲端安全服務 (Cloud Security Service) 區段中。目前,Orchestrator 允許您從 裝置設定 (Device Settings) 頁面的 Zscaler 區段中為整個 Edge 的位置和子位置設定 Zscaler 組態。對於 CSS 子位置自動化的現有使用者,資料會在 Orchestrator 升級過程中移轉。
Zscaler 區段中,如果您要為選取的 Edge 更新位置或建立子位置,請確定:
  • 已檢查並確認已從選取的 Edge 建立通道,並且已自動建立位置。如果未針對 Edge 設定 VPN 認證或 GRE 選項,則系統將不允許您建立子位置。設定子位置之前,請確定您瞭解子位置及其限制。請參閱https://help.zscaler.com/zia/about-sub-locations
  • 已選取用於建立自動 CSS 的同一雲端訂閱。
若要為選取的 Edge 更新位置或建立子位置,請執行以下步驟:
  1. 在企業入口網站的 SD-WAN 服務中,按一下設定 (Configure) > Edge
  2. 選取 Edge,然後按一下裝置 (Device) 資料行之下的圖示。所選 Edge 的裝置設定 (Device Settings) 頁面隨即出現。
  3. 移至 Zscaler 區段,然後開啟切換按鈕。
  4. 雲端訂閱 (Cloud Subscription) 下拉式功能表中,選取您用來建立自動 CSS 的同一雲端訂閱。此時會自動顯示與所選雲端訂閱相關聯的雲端名稱。
    備註: 雲端訂閱的雲端名稱和網域名稱必須與 CSS 相同。
    備註: 如果您要變更「雲端訂閱」的提供者,您必須先停用 CSS 和 Zscaler 來移除「位置」,然後使用新提供者來執行建立步驟。

    位置 (Location) 資料表中,當您按一下動作詳細資料 (Action Details) 資料行之下的檢視 (View) 時,會顯示從 Zscaler 擷取的組態實際值 (若有的話)。如果您要為位置設定閘道選項和頻寬控制,請按一下閘道選項 (Gateway Options) 之下的編輯 (Edit) 按鈕。如需詳細資訊,請參閱設定 Zscaler 閘道選項和頻寬控制

  5. 若要建立子位置,請在子位置 (Sub-Locations) 表格中,按一下動作 (Action) 資料行下方的 圖示。
    1. 子位置名稱 (Sub-Location Name) 文字方塊中,輸入子位置的唯一名稱。子位置名稱在 Edge 的所有區段中應是唯一的。名稱可包含長度上限為 32 個字元的英數字元。
    2. LAN 網路 (LAN Networks) 下拉式功能表,選取為 Edge 設定的 VLAN。所選取 LAN 網路的子網路將會自動填入。
      備註: 對於選取的 Edge,子位置不應有重疊的子網路 IP。
    3. 按一下儲存變更 (Save Changes)
      備註: 在 Orchestrator 中建立至少一個子位置之後,會在 Zscaler 端自動建立一個「其他」子位置,該子位置會出現在 Orchestrator UI 中。您也可以在 子位置 (Sub-Locations) 表格中,按一下 閘道選項 (Gateway Options) 下方的 編輯 (Edit) 按鈕,來設定「其他」子位置的閘道選項。如需詳細資訊,請參閱 設定 Zscaler 閘道選項和頻寬控制
    4. 建立子位置後,您可以從相同的 Orchestrator 頁面來更新子位置的組態。按一下儲存變更 (Save Changes) 之後,會自動更新 Zscaler 端的子位置組態。
    5. 若要刪除子位置,請按一下動作 (Action) 資料行下的 圖示。
      備註: 當從表格中刪除最後一個子位置時,也會自動刪除「其他」子位置。

設定 Zscaler 閘道選項和頻寬控制

若要針對位置和子位置設定 [閘道選項 (Gateway Options)] 和 [頻寬控制 (Bandwidth Control)],請在個別的表格中,按一下閘道選項 (Gateway Options) 下方的編輯 (Edit) 按鈕。

Zscaler 閘道選項和頻寬控制 (Zscaler Gateway Options and Bandwidth Control) 視窗隨即顯示。

視需要設定位置和子位置的 [閘道選項 (Gateway Options)] 與 [頻寬控制 (Bandwidth Control)],然後按一下儲存變更 (Save Changes)

備註: 可以為位置和子位置設定的 [Zscaler 閘道選項和頻寬控制 (Zscaler Gateway Options and Bandwidth Control)] 參數略有不同;不過,位置和子位置的 [閘道選項 (Gateway Options)] 和 [頻寬控制 (Bandwidth Control)] 參數與可以在 Zscaler 入口網站上設定的參數相同。如需有關 [Zscaler 閘道選項和頻寬控制 (Zscaler Gateway Options and Bandwidth Control)] 參數的詳細資訊,請參閱 https://help.zscaler.com/zia/configuring-locations
選項 說明
位置/子位置的閘道選項 (Gateway Options for Location/Sub-Location)
使用來自用戶端要求的 XFF 如果位置使用 Proxy 鏈結將流量轉送到 Zscaler 服務,且您希望該服務是從內部部署 Proxy 伺服器在輸出 HTTP 要求中插入的 X-Forwarded-For (XFF) 標頭中,找到用戶端 IP 位址,請啟用此選項。XFF 標頭用來識別用戶端 IP 位址,以供服務用來標識用戶端的子位置。利用 XFF 標頭,服務可以將適當的子位置原則套用於交易,如果針對位置或子位置開啟了啟用 IP 代理 (Enable IP Surrogate),則會將適當的使用者原則套用於交易。當服務將流量轉送到其目的地時,它會移除原始 XFF 標頭,並以包含用戶端閘道 IP 位址 (組織的公用 IP 位址) 的 XFF 標頭取代,從而確保組織的內部 IP 位址絕不會對外公開。
備註: 這個閘道選項只能設定給父位置。
啟用注意 (Enable Caution) 如果尚未啟用驗證 (Authentication),則可以啟用此功能,以便向未經驗證的使用者顯示注意通知。
啟用 AUP (Enable AUP) 如果尚未啟用驗證 (Authentication),則可以啟用此功能來,以針對未經驗證的流量顯示「可接受使用原則 (Acceptable Use Policy, AUP)」,並要求使用者接受該原則。如果開啟此功能:
  • 自訂 AUP 頻率 (天) (Custom AUP Frequency (Days)) 中,指定向使用者顯示 AUP 的頻率 (以天為單位)。
  • 隨即會出現第一次 AUP 行為 (First Time AUP Behavior) 區段,其中包含下列設定:
    • 封鎖網際網路存取 (Block Internet Access) - 啟用此功能,會停用所有對網際網路的存取 (包括非 HTTP 流量),直到使用者接受向其顯示的 AUP 為止。
    • 強制執行 SSL 檢查 (Force SSL Inspection) - 啟用此功能,可讓 SSL 檢查對 HTTPS 流量強制執行 AUP。
強制執行防火牆控制 (Enforce Firewall Control) 選取此選項,會啟用服務的防火牆控制。
備註: 啟用此選項之前,使用者必須確定其 Zscaler 帳戶是否訂閱了「防火牆基本設定」。
啟用 IPS 控制 (Enable IPS Control) 如果已啟用強制執行防火牆控制 (Enforce Firewall Control),請選取此選項,以啟用服務的 IPS 控制。
備註: 啟用此選項之前,使用者必須確定其 Zscaler 帳戶是否訂閱了「防火牆基本設定」和「防火牆雲端 IPS」。
驗證 (Authentication) 啟用此選項,以要求來自位置或子位置的使用者向服務進行驗證。
IP 代理 (IP Surrogate) 如果您已啟用驗證 (Authentication),若您想要將使用者對應至裝置 IP 位址,請選取此選項。
解除關聯的閒置時間 (Idle Time for Dissociation) 如果您已啟用 IP 代理 (IP Surrogate),請指定完成交易後,服務保留 IP 位址至使用者對應的時間長度。您可以使用分鐘 (預設值)、小時或天數來指定解除關聯的閒置時間。
  • 如果使用者選取分鐘作為單位,則允許的範圍為 1 到 43200。
  • 如果使用者選取小時作為單位,則允許的範圍為 1 到 720。
  • 如果使用者選取天作為單位,則允許的範圍為 1 到 30。
已知瀏覽器的代理 IP (Surrogate IP for Known Browsers) 啟用此選項,以使用現有的 IP 位址至使用者對應 (從代理 IP 取得),來驗證從已知瀏覽器傳送流量的使用者。
代理重新驗證的重新整理時間 (Refresh Time for re-validation of Surrogacy) 如果您已啟用已知瀏覽器的代理 IP (Surrogate IP for Known Browsers),請指定 Zscaler 服務可使用 IP 位址至使用者對應,來驗證從已知瀏覽器傳送流量的使用者的時間長度。在經過定義的時段之後,服務會重新整理並重新驗證現有的 IP 至使用者對應,以便在瀏覽器上繼續使用該對應來驗證使用者。您可以使用分鐘 (預設值)、小時或天數來指定代理重新驗證的重新整理時間。
  • 如果使用者選取分鐘作為單位,則允許的範圍為 1 到 43200。
  • 如果使用者選取小時作為單位,則允許的範圍為 1 到 720。
  • 如果使用者選取天作為單位,則允許的範圍為 1 到 30。
位置的頻寬控制選項 (Bandwidth Control Options for Location)
頻寬控制 (Bandwidth Control) 啟用此選項,可對位置強制執行頻寬控制。若已啟用,請指定 [下載 (Download)] 和 [上傳 (Upload)] 的頻寬限制上限 (Mbps)。所有子位置都將共用指派給此位置的頻寬限制。
下載 (Download) 如果您已啟用 [頻寬控制 (Bandwidth Control)],請指定下載的頻寬限制上限 (以 Mbps 為單位)。允許的範圍為 0.1 到 99999。
上傳 (Upload) 如果您已啟用 [頻寬控制 (Bandwidth Control)],請指定上傳的頻寬限制上限 (以 Mbps 為單位)。允許的範圍為 0.1 到 99999。
子位置的頻寬控制選項 (Bandwidth Control Options for Sub-Location) - 如果對父位置啟用了頻寬控制
備註: 只有當已對父位置啟用頻寬控制時,才能為子位置設定下列頻寬控制選項。如果沒有對父位置啟用頻寬控制,則子位置的頻寬控制選項會與位置相同 (頻寬控制 (Bandwidth Control)、下載 (Download)、上傳 (Upload))。
使用位置頻寬 (Use Location Bandwidth) 如果對父位置啟用了頻寬控制,選取此選項,可對子位置啟用頻寬控制,且會使用指定給父位置的下載和上傳頻寬限制上限。
覆寫 (Override) 選取此選項,可對子位置啟用頻寬控制,然後指定 [下載 (Download)] 和 [上傳 (Upload)] 的頻寬限制上限 (Mbps)。此頻寬專用於子位置,且不與其他子位置共用。
已停用 (Disabled) 選取此選項,可使流量不受任何頻寬管理原則約束。啟用此選項的子位置在任何給定時間,所能使用的可用共用頻寬有其上限。

限制 (Limitations)

  • 在 4.5.0 版本中,當建立子位置之後,Orchestrator 會自動儲存「其他」子位置。在 Orchestrator 的早期版本中,Zscaler 的「其他」子位置不會儲存在 Orchestrator 中。將 Orchestrator 升級到 4.5.0 版本後,只有在使用自動化來建立新的一般 (非「其他」) 子位置後,才會自動匯入「其他」子位置。
  • Zscaler 子位置不能有重疊的 IP 位址 (子網路 IP 範圍)。如果嘗試編輯 (新增、更新或刪除) IP 位址發生衝突的多個子位置,可能導致自動化失敗。
  • 使用者無法同時更新位置和子位置的頻寬。
  • 啟用父位置頻寬控制之後,子位置支援頻寬控制的使用位置頻寬 (Use Location Bandwidth) 選項。當使用者對父位置關閉了位置頻寬控制時,Orchestrator 不會主動檢查或更新子位置的頻寬控制選項。

相關連結