Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

マルチパートメントCPEデバイスのサポート

CPE デバイス内の複数の部門をサポートすることで、サイト(ブランチ、クラウド スポーク、エンタープライズ ハブ)をマッピングして、1 つのテナント内の複数の部門にサービスを提供できます。オーバーレイトンネル[GRE(一般ルーティングカプセル化)またはGRE over IPsec]は、MPLSベースのトラフィック分離を通じて各部門のトラフィックを分離することで、サイト内のすべての部門、別のサイト、エンタープライズハブ、またはプロバイダーハブにトラフィックを伝送するために使用されます。

1 台の CPE デバイスで複数の部門をサポートすることは、費用対効果に優れたアプローチで、デバイスのコストとその保守をテナント内の複数の部門で共有します。

部門の詳細については、「部門 ページについて」を参照してください。

テナント管理者は、部門に関連する以下のタスクを実行できます。

  • アクティブ化された CPE デバイスで構成されているすべての部門を表示します。

  • サイト内のすべての部門のすべてのポリシーとダッシュボードを管理および監視します。

  • SD-WANおよびセキュリティポリシーを作成し、サイトレベルまたは部門レベルでダッシュボードを監視します。

    トラフィックベースのステアリングプロファイルを追加し、トラフィック管理用のSD-WANポリシーにマッピングします。

  • WANリンクが複数の部門で共有されている場合でも、共有CPEデバイスとそのサービスとネットワークを表示します。

部門間で重複する IP アドレス

CSOリリース5.4.0以降、ネットワークのセグメント化が可能なテナント内の複数の部門で同じIPアドレスを使用できます。テナントに対してネットワークのセグメント化が有効になっている場合、各部門には独自の VRF があります。これにより、異なる部門間で重複する IP アドレスを使用できます。

テナントでネットワークのセグメント化が有効になっていない場合、テナント内のすべての部門が同じ VRF を使用します。そのため、部門間で使用される IP アドレスは一意にする必要があります。

テナント内の部門間で重複する IP アドレスを使用するシナリオを以下に示します。

  • サイトシカゴの人事部とサイトボストンの営業部門は、重複するIPアドレスを持つことができます。

  • シカゴのサイトの人事部門と営業部門は、IP アドレスが重複している場合があります。

シカゴとボストンの両方のサイトで使用される HR 部門は、同じ VRF が両方のサイトで使用されるため、重複する IP アドレスを持つことはできません。この場合、シカゴの人事部が使用する IP アドレスは、ボストンの人事部門が使用する IP アドレスと異なる必要があります。

部門間で重複する IP アドレスを使用する場合、Zscaler ブレークアウトの IP プールベースソース NAT ルールを設定する必要があります。

  • サイト(スポークまたはエンタープライズ ハブ)からのトラフィックがサイトの Zscaler に送信される場合、NAT ルールには、IP アドレスと宛先が untrust ゾーンとして重複している部門ゾーンとしてソースを設定する必要があります。この NAT ルールは、トラフィックが発信されているサイトに導入する必要があります。

  • スポーク サイトからのトラフィックがエンタープライズ ハブ サイトの Zscaler トンネルに送信される場合、NAT ルールには trust ゾーンとして、宛先は untrust ゾーンとして設定する必要があります。この NAT ルールはエンタープライズ ハブに導入する必要があります。

NAT ルールの作成については、「 NAT ポリシー ルールの作成」を参照してください。

メモ:

  • ファイアウォールポリシーインテントは、インテントルール内の部門のVRFグループを使用して、サイト間のトラフィックを許可します。

  • スポークからエンタープライズハブへのインターネットトラフィック(オーバーレイからアンダーレイへのフロー)に対して自動的に作成されたNATルールは、信頼ゾーンの代わりにVRFグループを使用してインターフェイスをエグレスします。

関連ドキュメント