تهيئة IPsec IKEv2 مع أنفاق متعددة نشطة

توضح هذه المقالة كيفية تهيئة موقع IPsec مع أنفاق متعددة نشطة. لمزيد من المعلومات حول تهيئة IPsec بتكوين نشط / سلبي، انظر تهيئة مواقع IPsec IKEv2

اعتبارًا من 18 نوفمبر 2024، ستكون هذه الميزة متاحة لجميع العملاء الجدد لشبكات Cato. ينبغي على العملاء الحاليين المهتمين بتمكين هذه الميزة الاتصال بممثل العميل الخاص بهم.

العمل مع أنفاق متعددة نشطة

تتيح لك Cato تهيئة أنفاق متعددة نشطة لكلا دوري HA الأساسي والثانوي. تُمكنك الأنفاق المتعددة النشطة من القيام بما يلي:

  • الاستفادة من آخر ميل - مع الأنفاق المتعددة النشطة، يمكنك توزيع حركة مرور الشبكة عبر مسارات مختلفة، مما يساعد على توازن الحمل وتحسين أداء الشبكة.

  • الاحتياط - توفر الأنفاق المتعددة النشطة احتياطًا. إذا فشل نفق واحد، يمكن إعادة توجيه الحركة عبر نفق آخر نشط، لضمان الاتصال المستمر.

  • التكامل مع طرف ثالث - التكامل مع CPES SD-WAN من طرف ثالث لخدمات SSE.

  • فصل الحركة - يمكن استخدام الأنفاق المختلفة لفصل أنواع مختلفة من الحركة. على سبيل المثال، يمكن استخدام نفق واحد لحركة مرور الصوت، بينما يمكن استخدام الآخر لحركة مرور البيانات.

ipsec-active-active.png

يمكنك تهيئة حتى 3 أنفاق نشطة لكل دور HA، والتي تكون متصلة بنفس PoP من Cato. بمعنى أن جميع الأنفاق الأساسية متصلة بواحد PoP وجميع الأنفاق الثانوية متصلة بآخر PoP. يجب أن يحتوي كل نفق على معرف فريد، مثل معرف محلي مثل FQDN أو عنوان IP عام.

القيود

BGP غير مدعوم حاليًا للأنفاق IPsec المتعددة النشطة.

تهيئة موقع IPsec IKEv2

بعد إنشاء موقع جديد يستخدم IPsec IKEv2 للاتصال بسحابة Cato، قم بتحرير الموقع وتهيئة إعدادات IPsec.

استخدم إعدادات طريقة الاتصال لتحديد ما إذا كان PoP من Cato يستجيب فقط للاتصالات من الموقع البعيد، fw init (Responder Only) ، أو يمكنه أيضًا بدء الاتصالات (Bidirectional).

بالنسبة للمواقع التي تستخدم عناوين IP الديناميكية، يقوم تطبيق إدارة Cato بتوليد معرف محلي للموقع، والذي يُستخدم كـ معرف مصادقة الذي تختاره. استخدم معرف المصادقة المطلوب من الجهاز الثالث: FQDN، البريد الإلكتروني، أو KEY_ID وقم بإدخال المعرف المحلي في إعدادات IKE لجهازك الثالث.

بالإضافة إلى المعرف المحلي، قم بتهيئة مفتاح مُشترَك سابقًا (PSK) للمصادقة.

يمكنك اختيار إدارة عرض النطاق الترددي النزولي والصعودي لموقع IPsec. إذا كنت تريد من سحابة Cato تحديد عرض النطاق الترددي النزولي الخاص بك، أدخل الحدود المطلوبة وفقًا لذلك. خلاف ذلك، أدخل القيم كما حددتها السرعة الفعلية للاتصال من رابط ISP الخاص بك. إذا كنت لا تعرف سرعة اتصال ISP، فقم بتهيئة عرض النطاق الترددي النزولي وفقًا لترخيص هذا الموقع. بالنسبة لعرض النطاق الترددي المتصاعد، لا تتحكم سحابة Cato في حركة المرور المتصاعدة، وليس من الممكن تحديد سقف لها بحد صعب. بدلاً من ذلك، تعتبر إعدادات عرض النطاق الترددي المتصاعدة جهدًا أفضل من قِبل سحابة Cato.

ملاحظة

ملاحظة: إذا أدخلت قيم الصعود والنزول التي تزيد عن السرعة الفعلية للاتصال الخاص برابط ISP، فإن محرك QoS يكون غير فعال.

لمزيد من المعلومات حول QoS في Cato، انظر ما هي ملفات إدارة عرض النطاق الترددي من Cato.

لتهيئة الإعدادات لموقع IPsec IKEv2:

  1. من قائمة التنقل، انقر على الشبكة > المواقع واختر الموقع.

  2. من قائمة التنقل، انقر على إعدادات الموقع > IPsec.

  3. وسع قسم عام وحدد كيف يتصل الموقع ويصادق على PoP:

    1. حدد وضع الاتصال للموقع:

      • فقط المستجيب – عملية البدء بالجدار الناري. يبدأ جدار الموقع الناري الاتصال ويستجيب Cato

      • ثنائي الاتجاه - يستجيب PoP من Cato للمفاوضات للاتصالات الواردة ويبدأ المفاوضات الصادرة.

    2. حدد معرف المصادقة.

      وضع ثنائي الاتجاه يدعم فقط IPv4 لمعرف المصادقة.

      • IPv4 - استخدم عنوان IP الثابت الذي قمت بتهيئته في أقسام الأولية والثانوية للموقع

        IPv6 غير مدعوم حاليًا مع IPSec عبر PoP من Cato.

      • FQDN ، بريد إلكتروني ، KEY_ID - تولد المعرف المحلي بأحد هذه التنسيقات

  4. وسع قسم الأولى وتهيئة الإعدادات التالية لنفق IPsec الأساسي:

    • في نوع الوجهة، اختر إما FQDN أو IPv4. يجب أن تكون الوجهة هي نفسها لجميع الأنفاق النشطة لدور HA (الأولي أو الثانوي).

      • FQDN - يتم إنشاء قيمة FQDN متجزئة مولدة من Cato. هذه القيمة فريدة لنفق معين. هذه هي القيمة التي ستقدمها لجدارك الناري.

        عند الاختيار، يجب عليك أيضًا تحديد موقع PoP. توصي Cato باستخدام تلقائي بحيث يتم اختيار أفضل PoP لك. إذا اخترت موقعًا محددًا وتقوم أيضًا بتهيئة موقع ثانوي، فتأكد من اختيار مواقع مختلفة.

      • IPv4 - اختر عنوان IP ثابت من قائمة Cato IP (Egress) المنسدلة.

  5. انقر على جديد. تظهر صفحة إضافة نفق.

    • تحت الدور، حدد أي من واجهات WAN المنطقية لاستخدامها لهذا النفق. يستخدم دور WAN للتوجيه المعتمد على الأولوية في سياسة القواعد الشبكية.

    • تحت الاسم، أدخل اسمًا وصفيًا

    • ضمن IP العام، أدخل عنوان IP العام لهذا النفق. يجب أن يستخدم كل نفق عنوان IP عام مختلف

    • العناوين الخاصة ليس له علاقة بالأنفاق النشطة / النشطة المتعددة. اترك هذه الحقول فارغة

    • في عرض النطاق لآخر ميل، قم بتهيئة الحد الأقصى لعرض النطاق النزولي والصعودي (Mbps) المتاح للموقع

    • في PSK، قم بالنقر على تحرير كلمة المرور لإدخال السر المشترك للنفق الأساسي IPsec.

  6. انقر على تطبيق. يتم إضافة النفق إلى الجدول الأساسي.

    primary-ipsec-tunnel.png

  7. بالنسبة للمواقع التي تستخدم نفق IPsec ثانوي، قم بتوسيع القسم الثانوي وتهيئة الإعدادات في الخطوة السابقة، ثم انقر حفظ.

  8. (اختياري) قم بتوسيع قسم إعدادات الرسائل المُبتدئة، وقم بتكوين الإعدادات. انظر إعدادات الرسائل المبتدئة والمعاوني لمعلمات صالحة.

    نظرًا لأن معظم الحلول الداعمة لـ IPsec IKEv2 تنفذ مفاوضة تلقائية للمعايير التالية رسالة مبتدئة ومعرف المُوثق، نوصي بتعيينها إلى تلقائي، إلا إذا تم توجيهك بطريقة معينة من بائع جدار حمايتك.

  9. (اختياري) قم بتوسيع قسم معايير المعاوني، وقم بتكوين الإعدادات. انظر إعدادات الرسائل المبتدئة والمعاوني لمعلمات صالحة.

  10. قم بتوسيع قسم التوجيه، وحدد خيارات التوجيه للموقع:

    IPsec_IKEv2_Routing.png

    • بالنسبة لاتصالات IPsec مع الطرف البعيد الذي تم تعريف SAs (الجمعيات الأمنية) لهذا النفق، أدخل نطاقات IP المحلية لـ SAs في قسم نطاقات الشبكة بهذا التنسيق <label:IP range> ثم انقر على إضافة.

      يتم تكوين نطاقات IP البعيدة للخدمات في شاشة إعدادات الموقع > الشبكات.

    • لتمكين سحابة Cato من محاولة إعادة إنشاء اتصال قد انقطع دون انتظار الجهة الأخرى، حدد بدء الاتصال من Cato. وإلا، فإن الجدار الناري يحاول إعادة إنشاء الاتصال.

    ملاحظة

    ملاحظة: إذا لم يتم تكوين نطاقات الشبكة للموقع، فإنه يعتبر شبكة VPN تعتمد على التوجيه (ضمنيًا: 0.0.0.0 <> 0.0.0.0).

  11. انقر حفظ.

    انتظر على الأقل 3 دقائق قبل إدخال قيم FQDN الأولية والثانوية في الجدار الناري الخاص بك للسماح بتحديد مواقع PoP الأمثل لهذه الإعدادات.

  12. لعرض تفاصيل الاتصال وحالة نفق IPsec لهذا الموقع، انقر حالة الاتصال.

لمزيد من المعلومات حول إعدادات الرسائل المبتدئة والمعاوني، انظر هذا الجدول.

HA للأنفاق النشطة المتعددة

افتراضيًا، عندما تتوقف جميع أنفاق دور HA عن العمل، تعود Cato تلقائيًا إلى الدور الآخر لـ HA. بمعنى، إذا توقفت جميع أنفاق دور HA الأولية عن العمل، يتم تفعيل HA، وتستخدم Cato الأنفاق الثانوية كنقطة انطلاق تالية لجميع مسارات الموقع. ومع ذلك، إذا كان دور HA الأولي يحتوي على 2 من الأنفاق، وبقي أحدها نشطًا، فإن التبديل لا يحدث.

يمكنك مراقبة الأنفاق من خلال قصص الاتصال معطلة في ورشة عمل القصص.

ملاحظة

ملاحظة: يستغرق الأمر حتى 30 ثانية لكي تحدد Cato أن الأنفاق توقفت عن العمل.

توجيه QoS للأنفاق النشطة المتعددة

افتراضيًا، لا تتمكن Cato إلا من التحكم في الحركة النزولية. يتم توزيع الحركة عبر الأنفاق (روابط WAN) بناءً على مقياس الصحة، تفضيل الرابط، والنسبة التناسبية للعرض النطاق المُهيأ لكل رابط. يتم إعادة حساب مقاييس الصحة كل ثانية، وتُعاد توزيع الحركة إلى الرابط ذو الأداء الأفضل كل 10 ثوان.

يتم التحكم في حركة المرور الصاعدة من قبل النظير البعيد لـ IPsec، وفقاً لتوجيهات السياسة التي يستخدمها النظير.

يمكنك تجاوز اختيار رابط WAN لحركة المرور الهابطة باستخدام قواعد الشبكة. يمكنك تكوين قاعدة لتحديد أي رابط WAN يستخدم لحزم حركة مرور معينة، وفي هذه الحالة، سيتم إرسال الحركة عبر رابط WAN المُعين في القاعدة وليس عبر النفق الذي وصلت من خلاله.

خدمة الشبكات Cato هي حل سحابي لشبكات المجتمعة و الامن السيبراني

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات