GREトンネルとIPsecトンネルを使用したZscaler統合
Zscaler Cloud Security Platformは、世界中の100以上のデータセンターで一連のセキュリティチェックの投稿として機能します。インターネットトラフィックをZscalerにリダイレクトするだけで、店舗、支店、遠隔地をすぐに保護できます。Zscalerはユーザーとインターネットを接続し、暗号化または圧縮されている場合でも、トラフィックのすべてのバイトを検査します。
Citrix SD-WAN アプライアンスは、お客様のサイトのGREトンネルを介してZscalerクラウドネットワークに接続できます。SD-WANアプライアンスを使用したZscalerの展開では、次の機能がサポートされています。
- すべてのGREトラフィックをZscalerに転送することで、直接インターネットブレイクアウトが可能になります。
- 顧客サイトごとにZscalerを使用した直接インターネットアクセス(DIA)。
- 一部のサイトでは、DIAにオンプレミスのセキュリティ機器を提供し、Zscalerを使用しない場合があります。
- 一部のサイトでは、インターネットアクセス用に別の顧客サイトへのトラフィックのバックホールを選択する場合があります。
- 仮想ルーティングと転送の展開。
- インターネットサービスの一部としての1つのWANリンク。
Zscalerはクラウドサービスです。サービスとして設定し、基になるWANリンクを定義する必要があります。
- データセンターでインターネットサービスを設定し、GRE 経由でブランチします。
- 信頼できるパブリックインターネットリンクを、データセンターおよびブランチサイトで構成します。
トポロジ
GRE トンネルまたは IPsec トンネルトラフィック転送を使用するには、次の手順を実行します。
-
Zscalerヘルプポータルにログインします https://help.zscaler.com/submit-ticket。
-
チケットを発行し、GRE トンネルまたは IPsec トンネルの送信元 IP アドレスとして使用する静的パブリック IP アドレスを指定します。
Zscaler は、送信元 IP アドレスを使用してカスタマーの IP アドレスを識別します。送信元 IP はスタティックパブリック IP である必要があります。ZScalerは、トラフィックを送信する2つのZEN IPアドレス(プライマリとセカンダリ)で応答します。GRE キープアライブメッセージを使用して、トンネルの健全性を判断できます。
Zscaler は、送信元 IP アドレス値を使用してカスタマーの IP アドレスを識別します。この値は、静的なパブリック IP アドレスである必要があります。Zscaler は、トラフィックをリダイレクトする 2 つの ZEN IP アドレス [DR1] で応答します。GRE キープアライブメッセージを使用して、トンネルの健全性を判断できます。
サンプル IP アドレス
プライマリ
内部ルータの IP アドレス:172.17.6.241/30 内部 ZEN IP アドレス:172.17.6.242/30
セカンダリ
内部ルーターIPアドレス:172.17.6.245/30 内部ZEN IPアドレス:172.17.6.246/30
インターネットサービスの設定
Citrix SD-WAN Orchestrator サービスを介してインターネットサービスを構成するには、「 デリバリーサービス」を参照してください。サイトでインターネットサービスを有効にする方法の詳細については、「 ダイレクトインターネットブレイクアウト」を参照してください。
GRE トンネルの設定
-
送信元 IP アドレスは、トンネルの送信元 IP アドレスです。トンネル送信元 IP アドレスが NATted の場合、別の中間デバイスで NATted されている場合でも、パブリック送信元 IP アドレスはパブリックトンネル送信元 IP アドレスになります。
-
宛先IPアドレスは、ZScalerが提供するZEN IPアドレスです。
-
元のペイロードがカプセル化されている場合、送信元 IP アドレスと宛先 IP アドレスはルータ GRE ヘッダーです。
-
トンネル IP アドレスおよびプレフィックスは、GRE トンネル自体の IP アドレッシングです。これは、GRE トンネル経由でトラフィックをルーティングする場合に便利です。トラフィックには、この IP アドレスがゲートウェイアドレスとして必要です。
Cirix SD-WAN Orchestrator サービスを介して GRE トンネルを構成するには、 GRE トンネルを参照してください。
GRE トンネルのルートの設定
インターネットプレフィックスサービスを Zscaler GRE トンネルに転送するルートを設定します。
- ZEN IP アドレス(トンネルの宛先 IP、上の図の 104.129.194.38)は、サービスタイプインターネットに設定する必要があります。これは、Zscaler宛てのトラフィックがインターネットサービスから計上されるようにするために必要です。
- Zscaler 宛てのすべてのトラフィックは、デフォルトルート 0/0 と一致し、GRE トンネルを介して送信される必要があります。[DR1] GRE トンネルに使用される 0/0 ルートが、パススルーまたは他のサービスタイプよりも低コストであることを確認します。
- 同様に、Zscaler へのバックアップ GRE トンネルのコストは、プライマリ GRE トンネルのコストよりも高い必要があります。
-
ZEN IP アドレスの非再帰ルートが存在することを確認します。
注
Zscaler IP アドレスに特定のルートがない場合は、ZEN IP アドレスと一致するようにルートプレフィクス 0.0.0.0/0 を設定し、GRE トンネルのカプセル化ループを介してルーティングします。この設定では、アクティブバックアップモードでトンネルを使用します。上の図に示す値を使用すると、トラフィックはGateway IP アドレス 172.17.6.242 のトンネルに自動的に切り替わります。必要に応じて、バックホール仮想パスルートを設定します。それ以外の場合は、バックアップトンネルのキープアライブ間隔をゼロに設定します。これにより、Zscalerへのトンネルが両方とも失敗しても、サイトへの安全なインターネットアクセスを可能にします。
GRE キープアライブメッセージがサポートされています。 GRE送信元アドレスのNATアドレスを提供するパブリックソースIPという新しいフィールドが 、Citrix SD-WAN GUIインターフェイスに追加されます(SD-WANアプライアンスのトンネルソースが中間デバイスによってNAT接続されている場合)。Citrix SD-WAN GUIには、パブリックソースIPというフィールドが含まれています。このフィールドには、Citrix SD-WANアプライアンスのトンネルソースが中間デバイスによってNAT変換されたときに、GREソースアドレスのNATアドレスを提供します。
制限事項
- 複数の VRF 配置はサポートされていません。
- プライマリバックアップ GRE トンネルは、高可用性設計モードでのみサポートされます。
GRE および IPsec トンネルの統計情報をモニタするには、次の手順を実行します。
| SD-WAN Webインターフェイスでは、 モニタリング > 統計情報 > [GRE トンネルにナビゲートして下さい | IPsec トンネル]。 |
詳細については、を参照してください。 IPsec トンネルのモニタリングおよびGRE トンネルのトピック 。