تكوين المواقع مع اتصالات IPsec

تكوين المواقع باتصالات IPSec

يمكنك استخدام أنفاق IPsec لربط المواقع والشبكات الداخلية بسحابة Cato والشبكات البعيدة. بشكل عام، تُستخدم المواقع التي بها اتصالات IPsec لـ:

  • المواقع الموجودة في سحابة عامة مثل AWS وAzure
  • المواقع للمكاتب التي تستخدم جدار حماية من طرف ثالث

تدعم سحابة Cato اتصالات IPsec لـ IKEv1 وIKEv2. نوصي باستخدام IKEv2، ولكن بعض التقنيات تدعم فقط IKEv1.

بالنسبة لأجهزة Cisco ASA، هناك عدم توافق معروف مع مواقع Cato IKEv2، انظر تكوين مواقع IPsec IKEv2.

بالنسبة لحركة مرور FTP، توصي Cato بتكوين خادم FTP بمهلة اتصال تبلغ 30 ثانية أو أكثر.

اختيار نوع اتصال IKEv1 لIPsec

نوع اتصال IPsec IKEv1 لـ IPsec IKEv1 هو Cato-Initiated. تكون سحابة Cato مسؤولة عن إنشاء اتصال IPsec بالموقع. إذا انقطع الاتصال، تحاول سحابة Cato إعادة تأسيسه

تكوين النطاق الأصلي

النطاق الأصلي للموقع هو عنوان IPv4 (وCIDR) للشبكة LAN الأولية التي تقع خلف جهاز الجدار الناري أو الموجه.

يمكنك تكوين إعدادات النطاق الأصلي في الشبكة > <site> > تكوين الموقع > الشبكات. يمكنك أيضًا استخدام هذا القسم لتكوين نطاقات شبكة إضافية للموقع.

تكوين الأنفاق VPN

يدعم مواقع IPsec نفق VPN رئيسي واختياري ثانوي. يمكنك تكوين كل نفق للاتصال بـ PoP مختلف لتوفير الاستمرارية. ومع ذلك، على عكس Cato Sockets، لا تتصل اتصالات IPsec تلقائيًا بـ PoPs مختلفة إذا كان هناك مشكلة. يمكنهم فقط الاتصال بعنوان IP الوجهة الذي تم تكوينه لكل نفق.

ملاحظة

هام: 

  • نوصي بشدة بتكوين نفق ثانوي (بعناوين IP عامة مختلفة لـ Cato) لضمان التوافر العالي. وإلا، هناك خطر أن يفقد الموقع الاتصال بسحابة Cato.
  • تقوم Cato بإجراء الصيانة الدورية على نقاط تمركزها، مما قد يؤدي إلى عدم توفر نقاط تمركز أنفاق الVPN الرئيسية والثانوية خلال نفس نافذة الصيانة. لتجنب هذا الخطر وضمان الصمود، يرجى الاتصال بـالدعم لمساعدتك في التأكد من استخدام أنفاق الموقع لنقاط تمركز بجدول صيانة منفصل.

بالنسبة للمواقع التي تستخدم IKEv1، هناك أنواع الخدمات المثبتة مسبقًا لـ AWS وAzure.

  • IP Cato (Egress) للنفاق الرئيسي والثانوي - عناوين IP المصدر هي عناوين IP الخاصة بنقاط التمركز التي تشرع في نفق IPsec. اختر عنوان IP المتاح لنقطة التمركز. إذا كنت بحاجة إلى مزيد من عناوين IP، استخدم خيار إعدادات تخصيص IP لتعريف عناوين IP أخرى.
  • IP الموقع للنفاق الرئيسي والثانوي - عناوين IP للموقع التي تُستخدم لنفاق VPN.
  • عرض النطاق - يمكنك استخدام تطبيق إدارة Cato للتحكم في أقصى عرض نطاق صداري وتنازلي من سحابة Cato إلى كل موقع. إذا كنت لا ترغب في تكوين قيمة عرض نطاق محددة لموقع، نوصي باستخدام عرض النطاق الفعلي من موفر ISP أو وفقًا لترخيص Cato Networks الخاص بك.
  • عناوين IP خاصة - عناوين IP الموجودة داخل نفق الـVPN والتي تُستخدم لتكوين توجيه ديناميكي لـBGP للموقع.
  • مفاتيح PSK الرئيسية والثانوية - المفاتيح المشتركة مسبقًا (PSK) العامة لأنفاق الـVPN.

ملاحظة

ملاحظة: يمكنك استخدام نفس عنوان IP المخصص اختياريًا لواحد أو أكثر من مواقع IPsec طالما أن عنوان IP الموقع مختلف لكل موقع. توصي Cato باستخدام عناوين IP مخصصة مختلفة لكل موقع.

تكوين التوجيه لـIKEv1

لدى مواقع IPsec IKEv1 خيار تحديد خيارات التوجيه للمرحلة الثانية في نفق VPN:

  • ضمني - يتم استخدام نفق واحد لتوجيه جميع حركة مرور LAN الداخلية للموقع إلى عناوين IP البعيدة.
  • محدد - في حقل نطاقات الشبكة، حدد نطاقات IP البعيدة على الجانب الآخر من نفق الـIPSec. يُنشئ هذا شبكة كاملة بين النطاقات المحلية والبعيدة لعناوين IP.

تكوين إعدادات IKEv2

تمتلك مواقع IPsec IKEv2 إعدادات إضافية يمكنك تكوينها:

  • بدء الاتصال بواسطة Cato - يمكنك تكوين من يقوم ببدء الاتصال لنفق الـVPN، سحابة Cato أو جدار الحماية. بشكل افتراضي، يتم تمكين هذه الميزة بحيث تبدأ سحابة Cato اتصال الـIPSec وتقلل فترة التوقف.
  • نطاقات الشبكة - لاتصالات IPsec مع الطرف البعيد الذي يحتوي على SAs (جمعيات أمنية) معرفة لهذا النفق، في نطاقات الشبكة، أدخل نطاقات IP البعيدة (عادةً شبكات من مواقع أخرى) لـ SAs بهذا التنسيق <label:نطاق IP>.

ملاحظة

ملاحظة: نوصي بشدة باستخدام إعداد الافتراضي وتمكين ميزة بدء الاتصال بواسطة Cato.

هل كان هذا المقال مفيداً؟

4 من 7 وجدوا هذا مفيداً

لا توجد تعليقات