تكوين المواقع مع اتصالات IPsec

تكوين المواقع مع اتصالات IPsec

يمكنك استخدام أنفاق IPsec لربط المواقع والشبكات الداخلية بسحابة Cato والشبكات البعيدة. بشكل عام، تُستخدم المواقع التي بها اتصالات IPsec لـ:

  • المواقع الموجودة في السحابة العامة مثل AWS وAzure

  • مواقع المكاتب التي تستخدم جدار حماية طرف ثالث

تدعم سحابة Cato اتصالات IPsec لـ IKEv1 وIKEv2. نوصي باستخدام IKEv2، ولكن بعض التقنيات تدعم فقط IKEv1.

بالنسبة لأجهزة Cisco ASA، هناك انعدام توافق معروف مع مواقع Cato IKEv2، انظر تكوين مواقع IPsec IKEv2.

بالنسبة لحركة مرور FTP، توصي Cato بتكوين خادم FTP بمهلة اتصال تبلغ 30 ثانية أو أكثر.

اختيار نوع اتصال IPsec IKEv1

نوع اتصال IPsec IKEv1 لـ IPsec IKEv1 هو Cato-Initiated. تكون سحابة Cato مسؤولة عن إنشاء اتصال IPsec بالموقع. إذا انقطع الاتصال، تحاول سحابة Cato إعادة تأسيسه

تكوين النطاق الأصلي

النطاق الأصلي للموقع هو عنوان IPv4 (وCIDR) للشبكة LAN الأولية التي تقع خلف جهاز الجدار الناري أو الموجه.

يمكنك تكوين إعدادات النطاق الأصلي في الشبكة > <site> > تكوين الموقع > الشبكات. يمكنك أيضًا استخدام هذا القسم لتكوين نطاقات شبكة إضافية للموقع.

تكوين أنفاق VPN

يدعم مواقع IPsec نفق VPN رئيسي واختياري ثانوي. يمكنك تكوين كل نفق للاتصال بـ PoP مختلف لتوفير الاستمرارية. ومع ذلك، على عكس Cato Sockets، لا تتصل اتصالات IPsec تلقائيًا بـ PoPs مختلفة إذا كان هناك مشكلة. يمكنهم فقط الاتصال بعنوان IP الوجهة الذي تم تكوينه لكل نفق.

ملاحظة

هام: نوصي بشدة بتكوين نفق ثانوي (بـ IPs عامة مختلفة لـ Cato) لتحقيق توفر عالي. وإلا، هناك خطر أن يفقد الموقع الاتصال بسحابة Cato.

بالنسبة للمواقع التي تستخدم IKEv1، هناك أنواع الخدمات المثبتة مسبقًا لـ AWS وAzure.

  • Cato IP (الخروج) لأنفاق الرئيسية والثانوية - عناوين IP المصدر هي عناوين IP لـ PoP التي تبدأ نفق IPsec. اختر عنوان IP المتاح لـ PoP. إذا كنت بحاجة إلى المزيد من عناوين IP، استخدم خيار إعدادات توزيع IP لتعريف عناوين IP أخرى.

  • عنوان IP الموقع لأنفاق الرئيسية والثانوية - عناوين IP للموقع التي تُستخدم في أنفاق VPN.

  • عرض النطاق الترددي - يمكنك استخدام تطبيق إدارة Cato للتحكم في الحد الأقصى لعرض النطاق الترددي للمنبع والمصب من سحابة Cato إلى كل موقع. إذا كنت لا ترغب في تكوين قيمة عرض نطاق ترددي محددة للموقع، فنوصي أن تستخدم عرض النطاق الترددي الفعلي من مقدم الخدمة ISP أو وفقًا لترخيص Cato Networks الخاص بك.

  • IPs خاصة - عناوين IP الموجودة داخل نفق VPN المستخدمة لتكوين توجيه BGP الديناميكي للموقع.

  • مفتاح PSK الرئيسي والثانوي - المفاتيح العامة المشتركة لأنفاق VPN.

ملاحظة

ملاحظة: يمكنك استخدام نفس عنوان IP المخصص اختياريًا لواحد أو أكثر من مواقع IPsec طالما أن عنوان IP الموقع مختلف لكل موقع. توصي Cato باستخدام عناوين IP مخصصة مختلفة لكل موقع.

تكوين التوجيه لـ IKEv1

لدى مواقع IPsec IKEv1 خيار تحديد خيارات التوجيه للمرحلة الثانية في نفق VPN:

  • ضمني - يتم استخدام نفق واحد لتوجيه كل حركة مرور شبكة LAN الداخلية للموقع إلى عناوين IP البعيدة.

  • محدد - في خانة نطاقات الشبكة، حدد نطاقات IP البعيدة على الجانب الآخر من نفق IPsec. هذا ينشئ شبكة كاملة بين نطاقات IP المحلية والبعيدة.

تكوين إعدادات IKEv2

تمتلك مواقع IPsec IKEv2 إعدادات إضافية يمكنك تكوينها:

  • بدء الاتصال بواسطة Cato - يمكنك تكوين من يقوم ببدء الاتصال بنفق VPN، سواء كانت سحابة Cato أو الجدار الناري. افتراضيًا، يتم تمكين هذه الميزة بحيث تبدأ سحابة Cato الاتصال بـ IPsec وتقلل من وقت التوقف.

  • نطاقات الشبكة - بالنسبة للنشر حيث هناك اتفاقيات أمنية (SAs) تُعرف من أجل الشبكة البعيدة، أدخل نطاق عناوين IP لهذه الاتفاقيات الأمنية.

ملاحظة

ملاحظة: نوصي بشدة باستخدام إعداد الافتراضي وتمكين ميزة بدء الاتصال بواسطة Cato.

هل كان هذا المقال مفيداً؟

2 من 5 وجدوا هذا مفيداً

لا توجد تعليقات