SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

VMware SD-WAN × Zscaler(ZIA) 接続手順の紹介

Zscaler
2023.03.06

こんにちは、 SB C&Sの風間です。
以前にVMware SASEの一部機能紹介として、VMware SD-WANとVMware Cloud Web Securityの接続方法を掲載させていただきました。
https://licensecounter.jp/engineer-voice/blog/articles/20220927_vmware_sasesd-wan_edge.html

今回は、VMware社の「SD-WAN Edge経由のセキュアなインターネットアクセス」第2弾として、弊社が2022年より取り扱いを開始したZscaler社のZscaler Internet Access(ZIA)との接続方法についてご紹介しようと思います。

VMware SD-WAN × ZIA

VMware SD-WANとZIAの接続は、以下の3つの接続方式があります。

setuzoku.png

大きく分けると、SD-WAN Edgeより直接ZIAへ接続するか、クラウドゲートウェイ(VCG)を経由してZIAへ接続するかの2パターンとなります。
今回はSD-WAN Edgeより直接ZIAへ接続する方法をご紹介します。

Edge to Zscaler

SD-WAN Edgeより直接ZIAへ接続する方式ですが、IPSecもしくはGREで接続する2つの構築方法があります。
パフォーマンスはGREの方が優れており推奨されていますが、IPアドレスの環境によりどちらのトンネルを利用するか選択いただく必要があります。

pafo.png

設定に関してはAPI連携により、少ない工数でEdgeからZscalerへの接続が構成可能となっております。
以下のフローの、

①Zscaler側にAPIキーやパートナー用管理者設定

②VMware側にクラウドセキュリティサービス(CSS)設定

を行うだけで、それ以降のトンネル構築は全て自動で実施されます。

furo-.png

それでは、実際に設定の手順をご紹介します。

ZIA設定手順

①管理 > パートナー統合をクリック

tougou.png
②SD-WAN > 追加パートナーキーをクリック

tougou2.png
③名前のプルダウンより"VMware SD-WAN"を選択し、"発行"をクリック

pa-tohakkou.png
④キーが発行されます(後程、VMware SD-WANへ入力します)

ki-hakkou.png
⑤管理 > ロール管理をクリック

ro-ru.png
⑥追加パートナー管理者のロールをクリック

ro-rutuika.png
⑦名前を入力して"保存"をクリック

ro-rutuika2.png
⑧管理 > 管理者のマネジメントをクリック

manejiment.png
⑨追加パートナー管理者をクリック

tuikakannri.png
⑩ユーザーのパラメーターを入力して"保存"をクリック(後程、VMware SD-WANへ入力します)

kannrisyasettei.png
⑪有効化をクリック

yuukouka.png

以上でZscaler側の設定は完了です。

VMware SD-WAN設定手順 / IPSec

①設定 > ネットワークサービス > クラウドセキュリティサービスより"新規"をクリック

CSSsinnki.png

②Zscaler環境情報を入力して、"認証情報の検証"をクリック

CSS1.png

③L7健全性チェック、ZscalerログインURLを設定後、"追加"をクリック

CSS2.png

④設定 > プロファイル > より対象のプロファイルを選び、クラウドセキュリティサービスを"On"に変更し、作成したCSSを選択、"変更の保存"をクリック

CSSon.png

以上でSD-WAN側の設定は完了です。
ここからは自動でIPsecトンネルが構築されますので、しばらくお待ちいただく必要があります。

IPsec接続確認

Zscalerで確認すると、ロケーション及びVPN属性が自動で作成されていることが確認できます。

roke-syonn.png

vpnzokusei.png

SD-WAN Orchestratorで監視 > Edgeよりトンネルの状態を確認することができます。

kakunin.png

トンネルは2本接続され、アクティブ/スタンバイの冗長構成で構築されていることが確認できます。

VMware SD-WAN設定手順 / GRE

GREに関しても、IPsecとほぼ同様の手順となります。
IPsec設定手順の②、Zscaler環境情報のトンネリングプロトコル情報のチェックを"GRE"に入れてください。

GRE.png

作成したCSSをプロファイルに適用後、しばらくお待ちいただくと自動でGREトンネルが構築されます。

GRE接続確認

Zscalerで確認すると、静的IPとGREトンネルが自動で作成されていることが確認できます。

GREakunin.png

SD-WAN Orchestratorで監視 > Edgeよりトンネルの状態を確認することができます。

GREkakuninn2.png

ビジネスポリシー

最後に、ZIAを通過させる通信をビジネスポリシーで定義する必要があります。
ビジネスポリシー設定画面で、ネットワークサービスのインターネットバックホールを指定
Edge/クラウドセキュリティサービス経由のNon SD-WAN Destinationより、作成したCSSを選択してください。

biji.png

 

最後に

いかがでしたでしょうか。
手動でトンネルを構築する際は、拠点毎にパラメータを設定する必要がでてきます。
こちらの方法を使えば、複数の拠点で展開されているSD-WAN Edgeに対して1つのCSSを適用するだけで、全拠点より自動でトンネルを構築することが可能となっており、大幅な工数削減が見込めると思います。

今回はVMware SD-WANとZIAとの接続の一部をご紹介しました。
今後も紹介しきれなかったVCG経由のZIA接続等、様々な情報を発信していきますので、引き続きご確認いただけると幸いです。

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第3技術部 1課
風間 亮