使用整合了 Zscaler 的 VMware SD-WAN,企業就可以利用安全的本機網際網路分流。利用 VMware SD-WAN,網路管理員可以決定應透過 IPSec 通道 (具有 NULL 加密) 將哪些流量轉送到 Zscaler。

必要條件

使用 Zscaler 和 VMware SD-WAN 來佈建新服務時,需符合以下必要條件:
  • Zscaler Internet Access (ZIA)
    • 正常運作的 ZIA 執行個體 (任何雲端)
    • 管理員登入認證
  • VMware SASE Orchestrator
    • VMware SASE Orchestrator 的企業帳戶存取權
    • 管理員登入認證
    • VMware SASE Orchestrator 中,有一或多個 VMware SD-WAN Edge 應用裝置處於「線上」狀態

Zscaler SD-WAN 閘道選取和路由行為

VMware SASE Orchestrator 組態過程中,當建置指向 Zscaler 的通道時,不需要手動選取特定的 VMware SD-WAN 閘道。透過地理 IP 查閱程序,會根據與所提供的 Zscaler IP 端點的鄰近程度,動態選擇 VMware SD-WAN 閘道。具有足夠權限的操作員和合作夥伴管理員可以手動覆寫 SASE Orchestrator 預設的閘道選取。通常,不需這樣做,建議的最佳做法是接受系統選擇的 SD-WAN 閘道。在 SASE Orchestrator 上完成 Zscaler 組態,且通道已啟動並處於作用中之後,具有足夠權限的操作員和合作夥伴管理員可以確認選擇了哪些 SD-WAN 閘道。如果要確認選取了哪些 SD-WAN 閘道,請登入 Orchestrator,然後移至 [操作員 (Operator)] > [閘道 (Gateways)]。按一下特定的 SD-WAN 閘道,並尋找 [安全 VPN 閘道 (Secure VPN Gateway)]。[安全 VPN 閘道 (Secure VPN Gateway)] 旁會列出您在組態過程中所設定的 Zscaler 名稱。主要 SD-WAN 閘道會以 Zscaler_Name 表示,而備援的 SD-WAN 閘道會以 Zscaler_Name[redundant] 表示。

若要設定指向特定 SD-WAN 閘道的 Zscaler 通道,您必須先依照上述程序找出具有該通道的 SD-WAN 閘道。在該處,您可以按一下 [安全 VPN 閘道 (Secure VPN Gateway)],然後將通道移動/指派至不同的 SD-WAN 閘道

  1. 找出目前的通道位置。
  2. 按一下 [安全 VPN 閘道 (Secure VPN Gateway)]。
  3. 選取一個 SD-WAN 閘道
    備註: 如果將通道指派/移動至不同的 SD-WAN 閘道,會影響服務。現有的通道連線將會終止,且會從新指派的 SD-WAN 閘道中建立一個新通道。

    VMware SD-WAN Edge 組態/啟用過程中,將遵循裝置組態,為每個 Edge 指派一對雲端 SD-WAN 閘道或一組合作夥伴 SD-WAN 閘道。如果 Edge 使用的 SD-WAN 閘道並非包含 Zscaler 通道的相同 SD-WAN 閘道,則 Edge 還會自動組建 VCMP 通道,此 VCMP 通道除了指向您在啟用過程中選取的 SD-WAN 閘道,還會指向連線至 Zscaler 的 SD-WAN 閘道。這可確保 Edge 具有連線至 Zscaler 的路徑。

Zscaler 設定範例

範例 1:建立指向 1.1.1.1 的主要 Zscaler 通道,且不選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)]

在本例中,只建立了一條 Zscaler VPN 通道,且不選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊。根據與遠端 VPN 閘道的鄰近程度 (透過「地理 IP 查閱」來判斷) 選取的單一閘道 (在本例中是主要 SD-WAN 閘道),將建立指向 Zscaler VPN 端點的 IPSec 通道。根據「商務原則」組態,流量將從 SD-WAN Edge 流向主要 SD-WAN 閘道,然後再流向 Zscaler。儘管 SD-WAN Edge 始終都有 VCMP 通道指向至少兩個 SD-WAN 閘道,但這項設計中並沒有提供備援。由於沒有選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊,因此並沒有備份 SD-WAN 閘道通道指向 Zscaler。如果 Zscaler 或主要 SD-WAN 閘道故障,或者兩者之間的 IPSec 通道因任何原因而關閉,則將捨棄指向 Zscaler 的流量。

範例 2:建立指向 1.1.1.1 的主要 Zscaler 通道,並且選取了 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)]

在本例中,只建立一條 Zscaler VPN 通道,並選取了 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊。根據與遠端 VPN 閘道的鄰近程度 (透過「地理 IP 查閱」來判斷) 選取的兩個 SD-WAN 閘道 (距離 Zscaler 位置最近),將會組建指向 Zscaler 的 IPSec 通道。這兩條通道均處於作用中,不過,指向 Zscaler 的所有流量都會流經主要 SD-WAN 閘道。如果主要 SD-WAN 閘道故障,則流量將轉移到次要 SD-WAN 閘道。由於只定義一個 Zscaler 端點,如果該端點關閉,則將捨棄指向 Zscaler 的流量。

範例 3:建立指向 1.1.1.1 的主要 Zscaler 通道,以及指向 2.2.2.2 的次要 Zscaler 通道,且不選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)]

在本例中,藉由新增次要 Zscaler IP 位址,以在 SASE Orchestrator 中設定指向 Zscaler 的備援 IPSec 通道,但是不選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊。根據與遠端 VPN 閘道的鄰近程度 (透過「地理 IP 查閱」來判斷) 選取的單一 SD-WAN 閘道,將會建立指向兩個 Zscaler VPN 端點的 IPSec 通道。這兩個通道均處於作用中,但 SD-WAN 閘道可根據組態設定,知道哪一個指向 Zscaler 的 IPSec 通道是主要路徑,且會透過該通道傳送流量。Zscaler 不會標記主要 IPSec 通道或備份 IPSec 通道。Zscaler 會直接透過發起要求的 SD-WAN 閘道來傳回流量。如果主要 Zscaler 位置關閉,則會將來自 SD-WAN 閘道的流量轉移到次要 Zscaler IPSec 通道。由於沒有選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊,因此不會有指向 Zscaler 的備援 SD-WAN 閘道連線。如果 SD-WAN 閘道故障,則將捨棄指向 Zscaler 的流量。

範例 4:建立指向 1.1.1.1 的主要 Zscaler 通道,以及指向 2.2.2.2 的次要 Zscaler 通道,並選取 [備援 Velocloud VPN (Redundant Velocloud VPN)]

在本例中,藉由新增次要 Zscaler IP 位址,以在 SASE Orchestrator 中設定了指向 Zscaler 的備援 IPSec 通道,並且選取了 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊。根據與遠端 VPN 閘道的鄰近程度 (透過「地理 IP 查閱」來判斷) 選取的兩個 SD-WAN 閘道,將建立指向兩個 Zscaler VPN 端點的 IPSec 通道。所有這些通道均處於作用中,但 SD-WAN 閘道可以根據組態設定,知道這兩個閘道當中,哪一個是主要 SD-WAN 閘道,哪個是次要閘道。SD-WAN 閘道也能知道這兩個閘道的 IPSec 通道 (指向 Zscaler) 哪一個是主要路徑,哪個是次要路徑。Zscaler 不會標記主要 IPSec 通道或備份 IPSec 通道。Zscaler 會直接透過發起要求的 SD-WAN 閘道來傳回流量。如果主要 Zscaler 位置關閉,來自主要 SD-WAN 閘道的流量將轉移到次要 Zscaler IPSec 通道。由於已選取 [備援 Velocloud 雲端 VPN (Redundant Velocloud Cloud VPN)] 核取方塊,因此,如果主要 SD-WAN 閘道故障,流量將轉移到次要 SD-WAN 閘道。次要 SD-WAN 閘道會利用主要 IPSec 通道,但前提是該路徑是可用的。否則,它會使用次要 IPSec 通道來連線至 Zscaler。

第 7 層健全狀況檢查

在為 Zscaler Internet Access (ZIA) 建立指向給定 Zscaler 資料中心的 IPSec/GRE 通道時,會在 SD-WAN EdgeSD-WAN 閘道之間,建立指向 Zscaler 負載平衡器上的虛擬 IP (Virtual IP, VIP) 的通道,以用於 ZIA。當來自分支的使用者流量連線至負載平衡器時,負載平衡器會將流量分配給一些 ZIA 公用服務 Edge。「無作用對等偵測 (DPD)」和「GRE 保持運作」只能偵測負載平衡器上公用 VIP 的可用性 (因為它是通道目的地)。公用 VIP 是高度可用的端點,不會反映給定 ZIA 公用服務 Edge 的可用性。第 7 層健全狀況檢查可讓您根據 HTTP 探查,來監控 ZIA Edge 的效能和可用性,並且可讓您根據結果,容錯移轉到替代通道。若啟用了探查,SD-WAN EdgeSD-WAN 閘道會定期傳送探查要求到 HTTP 探查 URL (該 URL 採用以下格式)。

http://gateway.<zscaler_cloud>.net/vpntest

探查 URL 可在 SASE Orchestrator 中設定,但目前無法在 SASE Orchestrator 中編輯探查間隔和重試次數。如果探查連續失敗的次數達到所定義的重試次數,會將該通道標記為關閉,且會將流量容錯移轉到次要通道 (如果已定義)。探查失敗可能是因為未收到 HTTPS 回應 (200 OK),或者延遲超過了所定義的臨界值。如果在 Edge 中設定了條件式回傳,當對主要通道和次要通道的探查皆失敗時,會觸發容錯移轉,而將流量移轉至所設定的回傳中樞。當探查再次啟動時,流量將回復到 CSS 通道。如果為透過閘道的非 SD-WAN 目的地 (NSD) 部署了 [備援雲端 VPN (Redundant Cloud VPN)],當對主要閘道中的主要通道和次要通道的探查皆失敗時,就會觸發容錯移轉,而將流量移轉到次要閘道。當主要閘道中的探查再次啟動時,流量將回復到主要閘道上的 CSS 通道。

Zscaler 和 VMware SD-WAN 部署組態

說明用來整合 Zscaler Internet Access (ZIA) 與 VMware SD-WAN 的組態步驟:

  1. 設定 Zscaler Internet Access (ZIA):建立一個帳戶,新增 VPN 認證,並新增一個位置。
  2. 建立及設定「非 SD-WAN 目的地」。
  3. 將「非 SD-WAN 目的地」新增到組態設定檔中。
  4. 設定商務優先順序規則。

如需詳細資訊,請參閱 https://www.zscaler.com/resources/solution-briefs/partner-vmware-sdwan-deployment-guide.pdf。本指南提供一些 GUI 範例,可用來設定 Zscaler Internet Access 和 VMware SASE Orchestrator

第 7 層健全狀況檢查事件

事件 在 Orchestrator UI 上顯示為 嚴重性 是否可設定通知 產生者 產生時機
EDGE_NVS_TUNNEL_UP Edge 直接 IPSec 通道啟動 (Edge Direct IPsec tunnel up) 資訊 N SASE Orchestrator 「雲端安全服務」通道或「透過 Edge 的 NSD」通道啟動時。
EDGE_NVS_TUNNEL_DOWN Edge 直接 IPSec 通道關閉 (Edge Direct IPsec tunnel down) 資訊 N SASE Orchestrator 「雲端安全服務」通道或「透過 Edge 的 NSD」通道關閉時。
VPN_DATACENTER_STATUS VPN 通道狀態變更 (VPN Tunnel state change) 注意 N SD-WAN 閘道 VPN 通道狀態已變更時。
如需雲端安全服務相關事件的相關資訊,請參閱 監控雲端安全服務事件