Zscaler通过GRE隧道和IPsec隧道进行集成
Zscaler云安全平台作为全球100多个数据中心的一系列安全检查站。通过简单地将您的互联网流量重定向到Zscaler,您可以立即保护您的商店,分支机构和远程位置。Zscaler连接用户和互联网,检查每一个字节的流量,即使它是加密或压缩。
思杰SD-WAN设备可以通过客户站点的GRE隧道连接到Zscaler云网络。使用SD-WAN设备的Zscaler部署支持以下功能:
- 将所有GRE流量转发到Zscaler,从而实现直接Internet断网。
- 直接互联网访问(DIA)使用Zscaler在每个客户站点的基础上。
- 在某些站点上,您可能希望为DIA提供内部安全设备,而不使用Zscaler。
- 在某些网站上,您可能会选择将流量反向传输到另一个客户网站进行互联网访问。
- 虚拟路由和转发部署。
- 一个广域网链路作为互联网服务的一部分。
Zscaler是一个云服务。您必须将其设置为服务并定义底层WAN链接:
- 在数据中心和分支机构通过GRE方式配置internet服务。
- 在数据中心和分支站点之间配置可信的公网链路。
拓扑结构
使用GRE隧道或IPsec隧道流量转发:
登录到Zscaler帮助门户:https://help.zscaler.com/submit-ticket.
提出票据并提供静态公网IP地址,用于GRE隧道或IPsec隧道的源IP地址。
Zscaler使用源IP地址识别客户IP地址。源IP需要为静态公网IP。Zscaler响应两个ZEN IP地址(Primary和Secondary)来传输流量。GRE keep alive消息可以用来判断隧道的健康状态。
Zscaler使用源IP地址值来标识客户IP地址。必须为静态公网IP地址。Zscaler响应两个ZEN IP地址[DR1]来重定向流量。GRE keep-alive消息可以用来判断隧道的健康状况。
IP地址样例
主要的
内部路由器IP: 172.17.6.241/30内部ZEN IP: 172.17.6.242/30
二次
内部路由器IP: 172.17.6.245/30内部ZEN IP: 172.17.6.246/30
配置Internet服务
配置internet服务。
导航到连接-互联网服务.配置internet服务。
选择+服务并根据需要启用设置(基本设置、广域网链路和规则)。
选择应用.
有关为站点启用Internet服务的详细信息,请参见具有集成防火墙的分支机构直接Internet中断.
Internet Service可以进行以下配置:
基本设置
Internet服务不能配置防火墙区域设置。如果Internet服务是可信的,则将其分配给Internet_Zone.如果Internet服务不受信任,则将其分配给Untrusted_Internet_Zone.
可配置的基本设置如下:
启用主回收:如果启用,在WAN链路上与该服务关联的(use = primary)使用将强制回收该WAN链路上的主服务状态。
默认设置:为站点上的Internet服务填充规则的Internet默认集的名称。
缺省路由成本:与缺省(0.0.0.0/0)internet路由关联的路由开销。
忽略广域网链路状态:开启后,即使该业务的所有WAN链路都不可用,报文仍然会选择该业务。
导出默认路由:如果启用广域网转发功能,则Internet Service的默认路由0.0.0.0/0将被导出到其他站点。
广域网链路
可配置的广域网链路设置如下:
- 使用:允许服务使用此WAN链路。当禁用“使用”时,所有其他选项都不可用。
- 模式:“服务”模式—“主”、“从”或“均衡”,用于流量冗余或负载均衡。
- 隧道报头大小(字节):隧道报头的大小,如果适用,以字节为单位。
- Access接口故障切换:启用后,vlan不匹配的外网或内网报文仍然可以使用业务。
局域网到广域网
- 标签:服务上应用于LAN to WAN报文的DSCP标记。
- 最大延迟(ms):超过WAN链路带宽时缓冲报文的最大时间,单位为毫秒。
广域网到局域网
标签:该业务上应用于WAN to LAN报文的DSCP标记。
匹配:匹配此标记的Internet WAN到LAN报文被分配给该业务。
梳理:开启后,报文随机丢弃,防止从广域网到局域网的流量超过业务提供的带宽。
规则
基于定义的规则识别互联网流量。规则定义用于匹配特定的流量。匹配成功后,需要定义动作来申请流量。
可用规则列表如下所示:
- 订单:规则应用和自动重分发的顺序。
- 规则组名称:用于指定规则的名称,允许在显示规则统计信息时分组求和。具有相同规则组名称的所有规则的统计信息可以一起查看。
- 源:匹配规则的源IP地址和子网掩码。
- Dest-Src:启用后,源IP地址也作为目的IP地址。
- 桌子:匹配规则的目的IP地址和子网掩码。
- 协议:匹配过滤器的协议名。
- 协议号:匹配过滤器的协议号。
- DSCP: IP头中与规则匹配的DSCP标签。
可用的操作列表如下所示:
广域网链接:启用Internet负载分担功能时,匹配该规则的流量所使用的广域网链路。
覆盖服务:匹配规则的流的目的服务。
丢弃:减少流量。
透传:将流映射到直通,并允许流量以不变的方式流过设备。
配置GRE隧道
“源IP地址”为隧道源IP地址。如果“隧道源IP地址”经过nat转换,则“公网源IP地址”即为公网隧道源IP地址,即使在不同的中间设备上进行nat转换。
目的IP地址是Zscaler提供的ZEN IP地址。
源IP地址和目的IP地址是对原始负载进行封装时的路由器GRE头。
“隧道IP地址”和“前缀”为GRE隧道本身的IP地址。这对于GRE隧道的流量路由非常有用。流量需要该IP地址作为网关地址。
配置GRE隧道。
在配置编辑器中,导航到连接>网站>GRE隧道配置路由,将internet字冠业务转发到Zscaler GRE隧道。
源IP地址只能从可信链路的虚拟网口中选择。看到的,如何配置GRE隧道.
配置GRE隧道路由
配置路由,将公网字冠业务转发到Zscaler GRE隧道。
- ZEN的IP地址(隧道目的IP,如图104.129.194.38所示)必须设置为service-type Internet。这是必需的,以便从Internet服务中计算目的地为Zscaler的流量。
- 所有到达Zscaler的流量都必须匹配缺省路由0/0,并且通过GRE隧道传输。请确保用于GRE隧道[DR1]的0/0路由的Cost值低于Passthrough或其他任何Service类型。
- 同样,备份GRE隧道到Zscaler的开销也会高于Primary GRE隧道的开销。
- 确保ZEN IP地址存在非递归路由。
配置GRE隧道路由。
导航到连接>网站>路线,并按照配置路由有关创建路由的说明。
请注意
如果Zscaler IP地址没有指定路由,可以配置路由前缀0.0.0.0/0来匹配ZEN IP地址,并通过GRE隧道封装环路由。本配置采用active-backup模式。通过上图配置,流量自动切换到网关地址为172.17.6.242的隧道。如果需要,可以配置回程虚拟路径路由。否则,配置备份隧道的保活时间间隔为0。这使得即使到Zscaler的两个隧道都失败了,也可以安全地访问站点。
支持GRE keep-alive消息。一个新的领域叫做公共源IP在Citrix SD-WAN GUI界面中添加GRE源地址的NAT地址(当SD-WAN设备Tunnel Source被中间设备NAT时)。Citrix SD-WAN GUI包括一个名为Public Source IP的字段,当Citrix SD-WAN设备的Tunnel Source被中间设备NAT时,该字段提供GRE Source地址的NAT地址。
限制
- 不支持多个VRF部署。
- 仅在高可用性设计模式下支持GRE主备隧道。
配置IPsec隧道
在Citrix SD-WAN一体机GUI中为内网或局域网业务配置IPsec隧道:
在配置编辑器中,导航到连接> <siteName> >IPsec隧道并选择业务类型(LAN或Intranet)。
输入服务类型的“名称”。对于内网服务类型,由配置的内网服务器决定哪些本地IP地址可用。
选择可用的“本端IP地址”,输入到远端对等体的虚拟路径的“对端IP地址”。
选择IKEv1为艾克设置.Zscaler只支持IKEv1。
在“IPsec设置”下,选中ESP-NULL为隧道式,通过IPSec隧道将流量重定向到Zscaler。IPSec隧道不对流量进行加密。
由于互联网流量被重定向,目的IP/前缀可以是任何IP地址。
有关使用Citrix SD-WAN web界面配置IPSec隧道的详细信息,请参见;的IPsec隧道的话题。
配置IPsec隧道的路由
配置IPsec路由。
- 导航到连接>直流>路线并遵循中描述的程序配置路由有关创建路由的说明。
监控GRE和IPSec隧道的统计信息。
| 在SD-WAN web界面,导航到监控>统计数据> (GRE隧道 | IPsec隧道]。 |