Configurar e verificar o túnel SD-WAN IPsec SIG com Zscaler

Opções de download

  • PDF     (604.9 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:11 de junho de 2026
ID do documento:221655

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve as etapas de configuração e verificação de túneis SIG IPsec SD-WAN com Zscaler. 

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Security Internet Gateway (SIG) (Gateway de Internet de Segurança).
  • Como funcionam os túneis IPsec, Fase1 e Fase2 no Cisco IOS®.

Requisitos adicionais

  • O NAT deve ser habilitado na interface de transporte que está voltada para a Internet.

  • Um servidor DNS deve ser criado na VPN 0 e a URL base Zscaler deve ser resolvida com esse servidor DNS. Isso é importante porque, se não for resolvido, as chamadas de API e as verificações de integridade da Camada 7 podem falhar. E, por padrão, use este servidor DNS

  • O NTP (Network Time Protocol) deve garantir que o tempo do Cisco Edge Router seja preciso e as chamadas de API não possam falhar.

  • Uma rota de serviço que aponta para o SIG deve ser configurada no Service-VPN Feature Template ou CLI: ip sdwan route vrf 1 0.0.0.0/0 service sig

Componentes Utilizados

Este documento é baseado nestas versões de software e hardware:

  •  Cisco Edge Router versão 17.6.6a
  •  vManage versão 20.9.4

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Opções de projeto de rede

Os vários tipos de disponibilização nesta lista são uma configuração de combinação ativa/standby. O encapsulamento de túnel pode ser implantado com GRE ou IPsec.

  • Um par de túneis ativo/em espera
  • Um par de túneis ativo/ativo
  • Par de túneis ativo/em espera múltiplo
  • Par de túnel ativo/ativo múltiplo
note-icon

Note: Nos Cisco Edge Routers SD-WAN, você pode utilizar uma ou mais interfaces de transporte conectadas à Internet para que as configurações funcionem com eficiência.

Configurações

Continue com a configuração destes modelos:

  • Modelo de recurso de credencial SIG (Security Internet Gateway):
    • Você precisa de um para todos os Cisco Edge Routers. As informações para preencher os campos necessários do modelo devem ser criadas no portal Zscaler.
  • Modelo do recurso Security Internet Gateway (SIG):
    • Neste modelo de recurso, você configura os túneis IPsec, garante a implantação de alta disponibilidade (HA) no modo ativo/ativo ou ativo/standby e seleciona o Zscaler Data-Center enter de forma automática ou manual.


1. Para criar um modelo de credenciais do Zscaler, navegue para Configuration > Template > Feature Template > Add Template.

2. Selecione o modelo de dispositivo que você usará para essa finalidade e procure SIG. Quando você o cria pela primeira vez, o sistema mostra que as credenciais do Zscaler devem ser criadas primeiro, como neste exemplo:

3. Você deve selecionar Zscaler como um Provedor SIG e clicar no Clique aqui para criar - modelo de Credenciais Cisco SIG.

Sig Credentials TemplateModelo de Credencial de Assinatura

4. Você será redirecionado para o modelo de credenciais. E você deve inserir os valores para todos os campos:

  • Nome do modelo
  • Descrição
  • Provedor SIG (selecionado automaticamente na etapa anterior)
  • Organização
  • URL Base do Parceiro
  • Nome de usuário
  • Senha
  • Chave API do parceiro

5. Clique em Salvar.

6. Você será redirecionado para o modelo Secure Internet Gateway (SIG). Este modelo permite configurar itens necessários para SIG IPsec SD-WAN com Zscaler.

Na primeira seção do modelo, forneça um nome e uma descrição. O rastreador padrão é ativado automaticamente e usa a URL da API para a verificação de integridade da camada 7 do Zscaler.

7. No Cisco IOS XE, você deve definir um endereço IP para o rastreador. Qualquer IP privado dentro do intervalo /32 é aceitável. O endereço IP definido pode ser utilizado pela interface Loopback 6530, que é criada automaticamente para executar inspeções de integridade do Zscaler.

8. Na seção Configuração, você pode criar os túneis IPsec clicando em Adicionar túnel. Na nova janela pop-up, faça seleções com base em seus requisitos.
9. Neste exemplo, a interface IPsec1 foi criada usando a interface WAN GigabitEthernet1 como uma Origem de Túnel. Ele forma conectividade com o data center principal Zcaler. É recomendável manter os valores de Opções avançadas como padrão. 


IPsec Interface ConfigConfiguração de interface IPsec   

Alta Disponibilidade

Nesta seção, escolha se o design é Ativo/Ativo ou Ativo/Em espera e determine qual interface IPsec está ativa.

Este é um exemplo de um design Ativo/Ativo e todas as interfaces são selecionadas em Ativo, deixando Backup com nenhum.

Active/Active DesignDesign ativo/ativo

Este exemplo mostra um design Ativo/Em Espera e IPsec1 e IPsec11 são selecionados como interfaces ativas, enquanto IPsec2 e IPsec12 são designados como interfaces em espera.

Active/Standby DesignDesign ativo/em espera

Configurações avançadas

1. Nesta seção, as configurações mais importantes são o Centro de Dados Primário e o Centro de Dados Secundário. Recomenda-se configurar ambos como automáticos ou manuais, mas não é recomendável configurá-los como mistos. Se você optar por configurá-los manualmente, selecione o URL correto no portal Zscaler com base no URL da base de parceiros.

Auto or Manually Data CentersData centers automáticos ou manuais

2. Clique em Salvar quando terminar.

3. Depois de concluir a configuração dos modelos SIG, você deve aplicá-los no modelo do dispositivo. Dessa forma, a configuração é inserida nos Cisco Edge Routers.

4. Próximas etapas, navegue para Configuração > Modelos > Modelo do Dispositivo, nos três pontos clique em Editar.

5. Em Transport & Management VPN, adicione o modelo Secure Internet Gateway.

6. No Cisco Secure Internet Gateway, selecione o modelo de recurso SIG correto no menu suspenso.

Add SIG Template on Device TemplateAdicionar modelo SIG ao modelo do dispositivo

7. Em Modelos Adicionais em Credenciais do Cisco SIG, selecione o modelo correto de Credenciais do Cisco SIG no menu suspenso:


Credential SIG TemplateModelo SIG de credencial

8. Clique em Atualizar (se o modelo do seu dispositivo for um modelo ativo, use as etapas padrão para enviar configurações em um modelo ativo).

Verificar

1. A verificação pode ser concluída durante a visualização da configuração enquanto você estiver enviando as alterações, o que você deve observar é:

secure-internet-gateway
     zscaler organization <removed>
     zscaler partner-base-uri <removed>
     zscaler partner-key <removed>
     zscaler username <removed>
     zscaler password <removed>
    !

2. Neste exemplo, você pode ver que o projeto está ativo/em espera:

ha-pairs
  interface-pair Tunnel100001 active-interface-weight 1 Tunnel100002 backup-interface-weight 1
  interface-pair Tunnel100011 active-interface-weight 1 Tunnel100012 backup-interface-weight 1  

3. Configurações adicionais são adicionadas, como políticas e perfis de criptografia ikev2, várias interfaces começam com Tunnel1xxxxx, 65530 de definição vrf e ip sdwan route vrf 1 0.0.0.0/0 service sig. Todas essas alterações fazem parte dos túneis IPsec SIG com Zscaler.

Este exemplo mostra como é a configuração da interface Tunnel:

interface Tunnel100001
     no shutdown
     ip unnumbered       GigabitEthernet1
     no ip clear-dont-fragment
     ip mtu              1400
     tunnel source GigabitEthernet1
     tunnel destination dynamic
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile if-ipsec1-ipsec-profile
     tunnel vrf multiplexing

4. Depois que as configurações forem enviadas com êxito para os Cisco Edge Routers, você poderá executar comandos para verificar se os túneis estão disponíveis:

Router#show sdwan secure-internet-gateway zscaler tunnels
                                                                                                                                                         HTTP
TUNNEL IF                                             TUNNEL                                            LOCATION                                         RESP  
NAME          TUNNEL NAME                             ID        FQDN           TUNNEL FSM STATE         ID        LOCATION FSM STATE   LAST HTTP REQ     CODE  
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001  site<removed>Tunnel100001             <removed>   <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200   
Tunnel100002  site<removed>Tunnel100002              <removed>  <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200

5. Se você não vir o http resp code 200, significa que está tendo um problema com a senha ou com a chave do parceiro. 
6. Para verificar o status da interface, use este comando:

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
GigabitEthernet3       10.2.20.77      YES other  up            up      
GigabitEthernet4       10.2.248.43     YES other  up            up      
Sdwan-system-intf      10.10.10.221    YES unset  up            up      
Loopback65528          192.168.1.1     YES other  up            up      
Loopback65530          192.168.0.2     YES other  up            up   <<< This is the IP that you used on Tracker SIG Feature template      
NVI0                   unassigned      YES unset  up            up      
Tunnel2                10.2.58.221     YES TFTP   up            up      
Tunnel3                10.2.20.77      YES TFTP   up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            up      
Tunnel100002           10.2.58.221     YES TFTP   up            up

7. Para verificar o status do rastreador, execute os comandos show endpoint-tracker e show endpoint-tracker records. Isso ajuda a confirmar qual URL o rastreador está usando:

Router#show endpoint-tracker 
Interface              Record Name            Status          RTT in msecs    Probe ID        Next Hop       
Tunnel100001           #SIGL7#AUTO#TRACKER    Up              194             44              None           
Tunnel100002           #SIGL7#AUTO#TRACKER    Up              80              48              None   
Router#show endpoint-tracker records 
Record Name            Endpoint                            EndPoint Type   Threshold(ms)    Multiplier   Interval(s)     Tracker-Type   
#SIGL7#AUTO#TRACKER    http://gateway..net/vpnt API_URL         1000             2            30              interface  

8. Outras validações que você pode utilizar são:

  • Verifique se as rotas no VRF estão apontando para túneis IPsec e execute este comando:

    show ip route vrf 1 

O gateway de último recurso é 0.0.0.0 para a rede 0.0.0.0

S* 0.0.0.0/0 [2/65535], Túnel100002
                    [2/65535], túnel100001
10.0.0.0/8 tem sub-redes variáveis, 4 sub-redes, 2 máscaras

9. Para realizar outras validações, você pode executar um ping em direção à Internet e concluir uma rota de rastreamento para validar os saltos do tráfego:

Router#ping vrf 1 cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to <removed>, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 406/411/417 ms
Router1#traceroute vrf 1 cisco.com
Type escape sequence to abort.
Tracing the route to redirect-ns.cisco.com (<removed>)
VRF info: (vrf in name/id, vrf out name/id)
1 * * * 
2  195 msec 193 msec 199 msec
3  200 msec
   199 msec * 
.....

10. Você pode validar as interfaces IPsec na GUI do vManage navegando até Monitor > Device ou Monitor > Network (para códigos 20.6 e anteriores).

  • Selecione o roteador e navegue até Applications > Interfaces.
  • Selecione Tunnel100001 e Tunnel100002 para visualizar o tráfego em tempo real ou personalizá-lo de acordo com o intervalo de tempo necessário:  

Monitoring IPsec TunnelsMonitorando túneis IPsec

Troubleshooting

Se o túnel SIG não estiver em execução, revise estas etapas para solucionar problemas:

Passo 1: Verifique os erros executando o comando show sdwan secure-internet-gateway zscaler tunnels. Na saída, se você observar o HTTP RESP Code 401, indica que há um problema com a autenticação. Você pode verificar os valores no Modelo de credenciais SIG para ver se a senha ou a Chave do parceiro está correta.

Router#show sdwan secure-internet-gateway zscaler tunnels 
                                                                                                                                    HTTP 
TUNNEL IF                                   TUNNEL                                 LOCATION                                         RESP 
NAME TUNNEL             NAME                ID        FQDN   TUNNEL FSM STATE      ID        LOCATION FSM STATE   LAST HTTP REQ     CODE 
----------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001   site<removed>Tunnel100001   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100002   site<removed>Tunnel100002   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100011   site<removed>Tunnel100011   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100012   site<removed>Tunnel100012   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401


Etapa 2. Para depuração adicional, ative esses comandos e procure mensagens de log relacionadas a SIG, HTTP ou rastreador:

  • debug platform software sdwan ftm sig
  • debug platform software sdwan sig 
  • debug platform software sdwan tracker
  • debug platform software sdwan ftm rtm-events

Do Cisco IOS® versão IOS-XE 17.11+, a <debug platform> foi migrada para <set platform trace>

set platform software trace ftmd R0 ftmd-sig [debug | verboso]

set platform software trace ios R0 sdwanrp-sig debug

set platform software trace ios R0 sdwanrp-tracker debug

set platform software trace ftmd R0 ftmd-rtm [debug | verboso]

1. Este é um exemplo da saída dos comandos debug:

Router#show logging | inc SIG
Jan 31 19:39:38.666: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:39:38.669: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:59:18.240: SDWAN INFO: Tracker entry Tunnel100001/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.263: SDWAN INFO: Tracker entry Tunnel100002/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.274: SDWAN INFO: Tracker entry Tunnel100011/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.291: SDWAN INFO: Tracker entry Tunnel100012/#SIGL7#AUTO#TRACKER state => DOWN

2. Execute o comando show ip interface brief e verifique a interface de túneis Protocol e se eles estão aparecendo ativos ou inativos.  

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            down
Tunnel100002           10.2.58.221     YES TFTP   up            down

3. Depois de confirmar que não há problemas com as credenciais do Zscaler, remova a interface SIG do modelo do dispositivo e envie-a para o roteador. Quando o envio estiver concluído, aplique o modelo SIG e envie-o de volta ao roteador. Este método força os túneis a serem recriados do zero.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
2.0
11-Jun-2026
Ortografia, gramática, estrutura de frases, espaçamento, texto alternativo, título e URLs atualizados.
1.0
08-Feb-2024
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Eris Bleta
    Engenheiro de escalonamento da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos