Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

クラウド ブレークアウト設定の追加

[クラウド ブレークアウト設定の追加] ページを使用して、サイトに適用できるクラウド ブレイクアウト設定を追加します。

クラウド ブレイクアウト設定を追加するには、

  1. [ 設定> SD-WAN > ブレークアウト プロファイルを選択します

    [ブレークアウト プロファイル] ページが表示されます。

  2. [ クラウド ブレークアウト設定] タブで、追加アイコン (+) をクリックします。

    [クラウド ブレークアウト設定の追加] ページが表示されます。

  3. 表 1 に示すガイドラインに従って、設定を完了します。
    メモ:

    アスタリスク(*)が付いたフィールドは必須です。

  4. [ OK] をクリックします
    メモ:

    ゲートウェイに到達できない場合、エラーメッセージ ゲートウェイは到達できません。プロファイル作成を続行しますか。 が表示されます。クラウド ブレイクアウト プロファイルの作成を続行する場合は、[ はい] をクリックし、それ以外の場合は [キャンセル] をクリックします。

    [ブレークアウト プロファイル] ページ ([クラウド ブレークアウト設定] タブ) に戻り、ブレークアウト設定が追加されていることを示す確認メッセージが表示されます。

    クラウド ブレイクアウト設定を追加した後、1 つ以上のサイトに設定を割り当てることができます。クラウド ブレークアウト設定をサイトに割り当てることで、クラウド ブレークアウト ノード(Zscaler)オーバーレイがプロビジョニングされます。トラフィックが流れるには、SD-WANポリシーインテントでクラウドブレイクアウトプロファイルを参照する必要があります。

メモ:

SD-WAN Essentialsサービスを使用するサイトは、クラウドブレイクアウトプロファイルをサポートしていません。

表 1: [クラウド ブレークアウト設定の追加] ページのフィールド

フィールド

説明

名前

クラウド ブレイクアウト設定の一意の名前を入力します。英数字とハイフン(-)を使用できます。最大長は15文字です。

トンネル タイプ

クラウド ブレークアウト ノードへのトラフィックのブレークアウトに使用されるオーバーレイ トンネル(IPSEC または GRE)のタイプを選択します。

IPsec 設定パラメータ

ドメイン名

SD-WAN ポリシーの完全修飾ドメイン名(FQDN)の生成に使用されるドメイン名を表示します。FQDNは、クラウドセキュリティプロバイダがIPsecトンネルを識別するために使用します。テナントのオンボーディング時に指定した顧客ドメイン名に基づいてドメイン名が入力されます(テナント>管理ポータル>クラウド ブレークアウト設定>テナントプロパティの追加>)。

ドメイン名は自動的に入力されていますが、ドメイン名を変更できます。

フェーズ 1

フェーズ1では、SD-WANブランチサイトとクラウドブレークアウトノードがセキュアトンネルを確立して、IPsecセキュリティアソシエーション(SA)をネゴシエートします。

暗号化タイプ

IPsecプロポーザルの暗号化タイプを選択します。

  • AES-256-CBC(デフォルト)—CBC(暗号ブロック連鎖)モードでのAES(高度暗号化標準)256ビット暗号化アルゴリズム。

  • AES-192-CBC—AES 192 ビット暗号化アルゴリズム。

  • AES-128-CBC—AES 128 ビット暗号化アルゴリズム。

  • 3DES-CBC —CBC モードの 3DES(トリプル データ暗号化アルゴリズム)。ブロック・サイズが 24 バイトの場合。鍵サイズは192ビットです。

認証タイプ

セキュリティ アソシエーション用の IPsec 認証アルゴリズムを選択します。

  • SHA-256(デフォルト)—任意の長さのテキストを 256 ビットの文字列に変換するセキュア ハッシュ アルゴリズム(SHA)。

  • SHA-384-384 ビット文字列を生成します。

  • SHA1 — 160 ビット文字列を生成します。

DH グループ

IPsec 暗号化アルゴリズムに一致するように Diffie-Hellman(DH)グループを指定します。

  • GROUP2(デフォルト)—1024 ビット モジュラー指数(MODP)アルゴリズム。

  • GROUP5-1536 ビット MODP アルゴリズム。

  • GROUP14-2048 ビット MODP アルゴリズム。

フェーズ 2

フェーズ2では、SD-WANスポークサイトとクラウドブレークアウトノードが、データ交換を暗号化および認証するためにIPsec SAをネゴシエートします。

暗号化タイプ

IPsecプロポーザルの暗号化タイプを選択します。

  • NULL(デフォルト)—暗号化なし。これはデフォルトです。

  • AES-256-CBC-AES 256 ビット暗号化アルゴリズム。

  • AES-192-CBC—AES 192 ビット暗号化アルゴリズム。

  • AES-128-CBC—AES 128 ビット暗号化アルゴリズム。

認証タイプ

セキュリティ アソシエーション用の IPsec 認証アルゴリズムを選択します。

  • HMAC-MD5-96(デフォルト)—128 ビット ダイジェストを生成します。これはデフォルトです。

  • HMAC-SHA-256-128—128 ビットまで切り捨てられた 256 ビット ダイジェストを生成します。

  • HMAC-SHA1-96-160 ビット ダイジェストを生成します。

プロトコル

プロトコルを ESP(デフォルト)として表示します。ESP(セキュリティ ペイロードのカプセル化)プロトコルは、プライバシ(暗号化)、ソース認証、コンテンツ整合性(認証)を保証する手段を提供します。

メモ:

プロトコルは編集できません。

プライマリ ゲートウェイ

プライマリ クラウド ブレークアウト ノードの設定。

リンク タイプ

プライマリ クラウド ブレークアウト ノードへのトラフィックのブレークアウトに使用する WAN リンク(MPLS またはインターネット)の優先タイプを選択します。

優先パスに一致するWANリンクタイプがブレークアウトに有効になっている場合、そのWANリンクタイプがブレークアウトトラフィックに使用されます。

IP アドレス/ホスト名

プライマリ クラウド ブレークアウト ノードの IPv4 アドレスまたはホスト名を入力します。現在、Zscaler は、サポートされる唯一のクラウドベースのセキュリティ プラットフォームです。

IPアドレスまたはホスト名は検証済です。IP アドレスまたはホスト名に到達できない場合は、ホスト到達 不能 メッセージが表示されます。

事前共有鍵

プライマリ クラウド ブレークアウト ノードとの IKE 認証に使用する事前共有鍵を入力します。事前共有鍵は Zscaler によって提供されます。

入力したキーはマスクされます。

事前共有鍵の確認

確認のために事前共有鍵を再入力します。

セカンダリ ゲートウェイ

セカンダリ クラウド ブレークアウト ノードの設定。

リンク タイプ

セカンダリ クラウド ブレークアウト ノードへのトラフィックのブレークアウトに使用する WAN リンク(MPLS またはインターネット)の優先タイプを選択します。

優先パスに一致するWANリンクタイプがブレークアウトに有効になっている場合、そのWANリンクタイプがブレークアウトトラフィックに使用されます。

IP アドレス/ホスト名

セカンダリ クラウド ブレークアウト ノードの IPv4 アドレスまたはホスト名を入力します。現在、Zscaler は、サポートされる唯一のクラウドベースのセキュリティ プラットフォームです。

IPアドレスまたはホスト名は検証済です。IP アドレスまたはホスト名に到達できない場合は、ホスト到達 不能 メッセージが表示されます。

事前共有鍵

セカンダリクラウドブレイクアウトノードとのIKE認証に使用する事前共有キーを入力します。事前共有鍵は Zscaler によって提供されます。

入力したキーはマスクされます。

事前共有鍵の確認

確認のために事前共有鍵を再入力します。