若要建立和設定 Zscaler 類型的非 SD-WAN 目的地,請執行下列步驟:
- 在 SASE Orchestrator 的導覽面板中,移至設定 (Configure) > 網路服務 (Network Services)。服務 (Services) 畫面隨即出現。
- 在透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,按一下 +新增 (+New) 按鈕。
隨即顯示新增透過閘道的非 SD-WAN 目的地 (New Non SD-WAN Destinations via Gateway)。
- 在名稱 (Name) 文字方塊中,輸入 非 SD-WAN 目的地 的名稱。
- 在類型 (Type) 下拉式功能表中,選取 Zscaler。
- 輸入主要 VPN 閘道的 IP 位址 (必要時也輸入次要 VPN 閘道的位址),然後按下一步 (Next)。此時會建立 Zscaler 類型的非 SD-WAN 目的地,並顯示非 SD-WAN 目的地的對話方塊。
- 若要為非 SD-WAN 目的地的主要 VPN 閘道進行通道設定,請按一下進階設定 (Advanced Settings) 展開按鈕。
- 在主要 VPN 閘道 (Primary VPN Gateway) 區域中的通道設定 (Tunnel Settings) 下方,您可以設定預先共用金鑰 (PSK),這是在通道間進行驗證時所使用的安全性金鑰。依預設,Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,可以在文字方塊中輸入。
備註: 從 4.5 版開始,不再支援在密碼中使用特殊字元「<」。如果使用者已在先前版本的密碼中使用「<」,必須將其移除,才能儲存頁面上的任何變更。
- 如果您要為此站台建立次要 VPN 閘道,請按一下 VPN 閘道 1 (VPN Gateway 1) 旁的 +新增 (+Add) 按鈕。在快顯視窗中,輸入 VPN 閘道 2 的 IP 位址,然後按一下儲存變更 (Save Changes)。系統會立即為此站台建立 VPN 閘道 2 (VPN Gateway 2),並將 VMware VPN 通道佈建至此閘道。
- 選取備援 VMware Cloud VPN (Redundant VMware Cloud VPN) 核取方塊,為每個 VPN 閘道新增備援通道。對主要 VPN 閘道的 PSK 所做的任何變更,也將套用至備援 VPN 通道 (如果已設定)。在修改 VPN 閘道 1 的通道設定後儲存變更,然後按一下範例 IKE/IPSec (Sample IKE/IPSec),以檢視更新的通道組態。
- 在位置 (Location) 區域下,按一下編輯 (Edit) 連結,以更新所設定的非 SD-WAN 目的地的位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 Edge 或閘道。
- 本機驗證識別碼會定義本機閘道的格式和識別。從本機驗證識別碼 (Local Auth Id) 下拉式功能表中,選擇下列其中一種類型,然後輸入您決定的值:
- FQDN - 完整網域名稱或主機名稱。例如 google.com。
- 使用者 FQDN (User FQDN) - 電子郵件地址形式的使用者完整網域名稱。例如 [email protected]。
- IPv4 - 用來與本機閘道進行通訊的 IPv4 位址。
- IPv6 - 用來與本機閘道進行通訊的 IPv6 位址。
備註:對於 Zscaler 非 SD-WAN 目的地,建議使用 FQDN 或使用者 FQDN 作為本機驗證識別碼。
- 選取 Zscaler 雲端安全服務作為服務類型時,若要判斷和監控 Zscaler 伺服器的健全狀況,您可以進行其他設定,例如 Zscaler 雲端及第 7 層 (L7) 健全狀況檢查。
- 選取 L7 健全狀況檢查 (L7 Health Check) 核取方塊,以啟用 Zscaler 雲端安全服務提供者的 L7 健全狀況檢查,使用預設探查詳細資料 (HTTP 探查時間間隔 = 5 秒,重試次數 = 3,RTT 臨界值 = 3000 毫秒)。依預設,會停用 L7 健全狀況檢查。
備註: 不支援健全狀況檢查探查詳細資料的組態。
- 從 Zscaler 雲端 (Zscaler Cloud) 下拉式功能表中,選取一項 Zscaler 雲端服務或在文字方塊中輸入 Zscaler 雲端服務名稱。
- 選取 L7 健全狀況檢查 (L7 Health Check) 核取方塊,以啟用 Zscaler 雲端安全服務提供者的 L7 健全狀況檢查,使用預設探查詳細資料 (HTTP 探查時間間隔 = 5 秒,重試次數 = 3,RTT 臨界值 = 3000 毫秒)。依預設,會停用 L7 健全狀況檢查。
- 若要從此處登入 Zscaler 入口網站,請在 Zscaler 登入 URL (Zscaler Login URL) 文字方塊中輸入登入 URL,然後按一下登入至 Zscaler (Login to Zscaler)。這會將您重新導向至所選 Zscaler 雲端的 Zscaler 管理入口網站。如果您已輸入 Zscaler 登入 URL,則登入 Zscaler (Login to Zscaler) 按鈕將會啟用。
如需詳細資訊,請參閱設定雲端安全服務。
- 當您準備好起始從 SD-WAN 閘道到 Zscaler VPN 閘道的通道後,請勾選啟用通道 (Enable Tunnel(s)) 核取方塊。
- 按一下儲存變更 (Save Changes)。
備註: 無論客戶匯出限制是已啟用或已停用都會建立 Zscaler 通道,並將 IPSec 加密演算法設為 NULL,以及將驗證演算法設為 SHA-256。
已設定的網路服務會顯示在 網路服務 (Network Services) 視窗中的透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域下。您可以將網路服務與設定檔建立關聯。如需詳細資訊,請參閱將非 SD-WAN 目的地與設定檔相關聯。
您可以透過
,檢視 L7 健全狀況狀態與 L7 健全狀況檢查 RTT。