Zscaler通过GRE隧道和IPsec隧道进行集成
Zscaler云安全平台在全球100多个数据中心充当一系列安全检查点。通过简单地将您的互联网流量重定向到Zscaler,您可以立即保护您的商店,分支机构和远程位置。Zscaler连接用户和互联网,检查每一个字节的流量,即使它是加密或压缩的。
思杰SD-WAN设备可以通过客户现场的GRE隧道连接到Zscaler云网络。使用SD-WAN设备的Zscaler部署支持以下功能:
- 将所有GRE流量转发到Zscaler,实现Internet直连。
- 在每个客户站点上使用Zscaler进行直接internet访问(DIA)。
- 在某些站点上,您可能希望为DIA提供本地安全设备,而不使用Zscaler。
- 在某些站点上,您可能会选择将流量回传到另一个客户站点以进行internet访问。
- 虚拟路由和转发部署。
- 一个广域网连接作为互联网服务的一部分。
Zscaler是一个云服务。您必须将其设置为服务并定义底层WAN链接:
- 通过GRE协议配置数据中心和分支机构的internet服务。
- 在数据中心和分支站点配置可信公网链路。
拓扑结构
使用GRE隧道或IPsec隧道流量转发:
登录Zscaler帮助门户:https://help.zscaler.com/submit-ticket。
生成票据,并提供静态公网IP地址,作为GRE隧道或IPsec隧道的源IP地址。
Zscaler使用源IP地址识别客户IP地址。源IP需要为静态公网IP。Zscaler用两个ZEN IP地址(Primary和Secondary)响应以传输流量。GRE keep alive消息可用于确定隧道的健康状况。
Zscaler使用源IP地址值来识别客户IP地址。必须为静态公网IP地址。Zscaler响应两个ZEN IP地址[DR1],以重定向流量。GRE keep-alive消息可用于确定隧道的健康状况。
示例IP地址
主要的
内部路由器IP地址:172.17.6.241/30内部ZEN IP地址:172.17.6.242/30
二次
内部路由器IP地址:172.17.6.245/30内部ZEN IP地址:172.17.6.246/30
配置互联网服务
配置互联网服务:
导航到连接-互联网服务。配置internet服务。
选择+服务并根据需要启用“基本设置”、“广域网链路”和“规则”。
选择应用。
有关为站点启用Internet服务的详细信息,请参见使用集成防火墙在分支机构直接进行Internet突破。
您可以在互联网服务上配置以下设置:
基本设置
Internet服务无法配置防火墙区域设置。如果Internet服务是可信的,则将其分配给Internet_Zone。如果Internet服务不受信任,则将其分配给Untrusted_Internet_Zone。
可配置的基本设置如下:
启用主回收:如果启用,在WAN链路上与此服务关联的(use = primary)用法将强制将状态恢复为该WAN链路上的活动服务。
默认设置:为站点上的Internet服务填充规则的Internet默认集的名称。
缺省路由开销:与缺省internet路由(0.0.0.0/0)相关联的路由开销。
忽略WAN链路状态:启用后,即使所有用于该服务的广域网链路不可用,发送到该服务的报文也会选择该服务。
导出缺省路由:启用后,在启用WAN-to-WAN转发时,将Internet服务的默认路由0.0.0.0/0导出到其他站点。
广域网链路
可配置的广域网链路设置如下所述:
- 使用:允许服务使用此广域网链路。当禁用Use时,所有其他选项都不可用。
- 模式:“Service - Primary”、“Secondary”或“Balance”模式,实现流量冗余或负载均衡。
- 隧道报头大小(字节):隧道报头的大小,如果适用,以字节为单位。
- 接入接口故障切换:开启后,不匹配vlan的外网或内网报文仍然可以使用该业务。
局域网到广域网
- 标签:应用于Service上LAN到WAN报文的DSCP标签。
- 最大延时(ms):超过WAN链路带宽的最大缓冲时间,单位为毫秒。
广域网到局域网
标签:对服务上的LAN报文应用于WAN的DSCP标签。
匹配: Internet WAN到LAN的数据包匹配此标签将被分配给该服务。
梳理:随机丢弃报文,防止广域网到局域网的流量超过业务规定的带宽。
规则
互联网流量是根据定义的规则进行识别的。规则定义用于匹配特定的流量。匹配成功后,需要定义应用该流量的动作。
可用的规则列表如下:
- 订单:规则应用和自动重新分发的顺序。
- 规则组名称:规则的名称,允许在显示规则统计信息时将其分组汇总。可以同时查看具有相同规则组名称的所有规则的统计信息。
- 源:匹配规则的源IP地址和子网掩码。
- Dest-Src:启用时,源IP地址同时作为目的IP地址。
- 桌子:匹配规则的目的IP地址和子网掩码。
- 协议:与过滤器匹配的协议名称。
- 协议号:与过滤器匹配的协议号。
- DSCP: IP头中与规则匹配的DSCP标记。
可用的操作列表如下:
广域网链接: Internet负载分担时,匹配该规则的流使用的公网链路。
覆盖服务:匹配规则的流的目的服务。
丢弃:减少流量。
透传:映射要通过的流,并允许流量不加更改地流经设备。
配置GRE隧道
“源IP地址”为隧道源IP地址。如果隧道源IP地址被NATted,则公网源IP地址为隧道公网源IP地址,即使它在不同的中间设备上被NATted。
目的IP地址为Zscaler提供的ZEN IP地址。
源IP地址和目的IP地址是原始负载封装后的路由器GRE头。
“隧道IP地址”和“前缀”是GRE隧道本身的IP地址。这对于通过GRE隧道路由流量非常有用。流量需要此IP地址作为网关地址。
配置GRE隧道。
在配置编辑器中,导航到连接>网站>GRE隧道配置路由,将internet前缀业务转发到Zscaler GRE隧道。
源IP地址只能从可信链路上的虚网络接口中选择。看到的,如何配置GRE隧道。
配置GRE隧道的路由
配置路由,将internet前缀业务转发到Zscaler GRE隧道。
- ZEN IP地址(即上图中的隧道目的IP 104.129.194.38)必须设置为服务型Internet。这是必需的,以便从Internet服务计算到Zscaler的流量。
- 所有到达Zscaler的流量必须匹配缺省路由0/0,并通过GRE隧道传输。确保GRE隧道[DR1]使用的0/0路由的Cost值小于Passthrough或其他Service类型。
- 同样,到Zscaler的备份GRE隧道的开销值也必须高于主GRE隧道的开销值。
- 确保ZEN IP地址存在非递归路由。
配置GRE隧道的路由。
导航到连接>网站>路线,并按照中所述的程序操作配置路由有关创建路由的说明。
请注意
如果没有指定的Zscaler IP地址路由,可以配置路由前缀0.0.0.0/0与ZEN IP地址匹配,通过GRE隧道封装环路路由。本配置使用active-backup模式的隧道。如图所示,流量自动切换到网关为172.17.6.242的隧道。如果需要,可以配置回程虚拟路径路由。否则,请将备份隧道的保持连接时间设置为零。这样即使两个通往Zscaler的隧道都失败,也可以安全地访问站点。
支持GRE keepalive消息。一个新的领域叫做公共资源IP在Citrix SD-WAN GUI界面中添加GRE源地址的NAT地址(SD-WAN一体机Tunnel Source被中间设备NAT的情况下)。在Citrix SD-WAN GUI中包含一个名为Public Source IP的字段,该字段用于在中间设备对Citrix SD-WAN设备的Tunnel Source进行NAT转换时,提供GRE源地址的NAT地址。
限制
- 不支持多个VRF部署。
- 只有在高可用设计模式下,才支持主备GRE隧道。
配置IPsec隧道
在Citrix SD-WAN设备GUI中为内网或局域网业务配置IPsec隧道。
在配置编辑器中,导航到连接> <siteName> >IPsec隧道选择业务类型(局域网或内部网)。
输入服务类型的“名称”。对于“内网服务类型”,由配置的内网服务器决定哪些Local IP地址可用。
选择可用的“本端IP地址”,并输入到对端虚拟路径的“对端IP地址”。
选择IKEv1为艾克设置。Zscaler只支持IKEv1协议。
2 .在“IPsec设置”下选择ESP-NULL为隧道式,将流量通过IPSec隧道重定向到Zscaler。IPSec隧道不对流量进行加密。
由于internet流量被重定向,目的IP地址/前缀可以是任何IP地址。
有关使用Citrix SD-WAN web界面配置IPSec隧道的详细信息,请参见;的IPsec隧道的话题。
配置IPsec隧道的路由
配置IPsec路由。
- 导航到连接>直流>路线并遵循中描述的程序配置路由有关创建路由的说明。
监控GRE和IPSec隧道统计信息。
| 在SD-WAN web界面导航到监控>统计数据> (GRE隧道 | IPsec隧道]. |