تكوين مواقع IPsec IKEv2

تتناول هذه المقالة كيفية إنشاء وتكوين المواقع التي تستخدم نوع اتصال IPsec IKEv2. لمزيد من المعلومات حول إنشاء موقع جديد، راجع استخدام تطبيق إدارة كاتو لإضافة مواقع.

نظرة عامة على اتصالات IPsec IKEv2

يمكنك استخدام أنفاق IPsec لربط المواقع والشبكات الداخلية بسحابة كاتو والشبكات البعيدة. تُستخدم المواقع ذات الاتصالات IPsec من أجل:

  • مواقع في السحابة العامة مثل AWS أو Azure

  • مواقع لفروع في مواقع مختلفة تقع خلف جدار حماية تابع لجهة خارجية

عند تكوين موقع IPsec IKEv2، يمكنك بدء الاتصال باستخدام أحد الخيارات التالية:

  • المستجيب فقط - بدء الجدار الناري. جهاز الموقع يبدأ الاتصال مع نقطة تواجد كاتو

  • ثنائي الاتجاه – يمكن لجدارك الناري أو كاتو بدء الاتصال

وضع الاتصال للمستجيب فقط

إعداد المستجيب فقط في IKEv2 من كاتو هو حل لأجهزة الأطراف المتصلة التي لديها عنوان IP ديناميكي أو تقع خلف جهاز NAT. (مثل جدران الحماية أو أجهزة التوجيه) هذا الحل يسمح لجهاز الطرف الموجود على الطرف البعيد أن يبدأ ويدير اتصال IKEv2.

بالإضافة إلى ذلك، عند استخدام Responder Only، يمكنك تكوين Cato لاستخدام FQDN كمُعرّف لكاتو. عند القيام بذلك، تقوم كاتو بإنشاء قيمة مشفرة وتحويلها إلى عنوان IP ويمكنك اختيار أن تعين كاتو أفضل موقع لنقطة تواجد لكل نفق. يمكنك أيضًا تكوين موقع نقطة التواجد لكل نفق يدويًا.

على سبيل المثال، يمكنك تكوين وضع الاتصال كمستجيب فقط ونوع الوجهة كاسم FQDN. تولد كاتو قيمة مشفرة لـ somevalue.ipsec.dev.catonetworks.org. يتم تكوين هذه القيمة بعد ذلك في الموقع البعيد وتعمل كحل لدليل DNS الذي يستخدم قيمة FQDN. يتم اختيار نقطة التواجد تلقائيًا بناءً على عدة معايير، مثل الموقع الجغرافي، RTT، والمزيد. بالإضافة إلى ذلك، إذا اتبعت أفضل ممارسات Cato وعرّفت نفقًا رئيسيًا وثانويًا عند استخدام FQDN، تختار Cato تلقائيًا مواقع PoP مختلفة لتحقيق HA مثالية.

بدلاً من ذلك، لا تدعم بعض بائعي جدران الحماية استخدام FQDN، وفي هذه الحالة يمكنك اختيار IPv4 كنمط الوجهة. في هذه الحالة، يجب اختيار موقع نقطة تواجد ثابت وإذا لم يكن موقع نقطة التواجد هذا متاحًا لأي سبب، لن يكون النفق متاحًا.

وضع الاتصال ثنائي الاتجاه

في وضع الاتصال ثنائي الاتجاه، يمكن لجهازك أو كاتو بدء وصيانة أنفاق IPsec من نقاط تواجد مختارة نحو مواقعك و/أو مراكز بيانات السحابة باستخدام بروتوكول IPsec IKEv2.

إذا لم يكن النفق متاحًا، فلا يجب على كاتو انتظار جهازك لبدء الاتصال حتى يتم إعادة إنشاء النفق بسرعة.

إدارة عرض النطاق الترددي

يمكنك اختيار إدارة عرض النطاق الترددي للتدفق الهابطة والصاعدة لموقع IPsec. إذا كنت تريد أن تحكم سحابة كاتو في عرض النطاق الترددي للتدفق الهابط، أدخل الحدود المطلوبة وفقًا لذلك. خلاف ذلك، أدخل القيم كما حددها اتصال رابط مزود خدمة الإنترنت الفعلي الخاص بك. إذا كنت لا تعرف سرعة الاتصال الخاصة بمزود خدمة الإنترنت، قم بتكوين عرض النطاق الترددي للتدفق الهابط وفقًا لرخصة هذا الموقع. بالنسبة لعرض النطاق الترددي للتدفق الصاعد، لا يتحكم كاتو في حركة المرور الصاعدة، ولا يمكن تحديد حد صارم لها. بدلاً من ذلك، يعد إعداد عرض النطاق الترددي للتدفق الصاعد جهدًا أفضل من قبل سحابة كاتو.

ملاحظة

ملاحظة: إذا أدخلت قيمًا للتدفق الصاعد/الهابط أعلى من سرعة الاتصال الحقيقية لرابط مزود خدمة الإنترنت، فإن محرك Socket QoS يكون غير فعال.

للحصول على مزيد من المعلومات حول QoS في كاتو، راجع ما هي ملفات تعريف إدارة عرض النطاق الترددي في كاتو.

المتطلبات المسبقة

  • إذا كنت ترسل فقط جزءًا من حركة الشبكة الخاصة بك عبر سحابة كاتو، قم بتكوين معدات الشبكة الخاصة بك لتضمين عناوين IP التالية في جدول التوجيه إلى سحابة كاتو:

    • 10.254.254.1

    • 10.254.254.5

    • 10.254.254.253

    • 10.41.0.0/16 إلا إذا قمت بتكوين نطاق عناوين IP الخاصة بمستخدمي VPN لشبكتك

  • بالنسبة لمواقع IPsec ذات عرض النطاق أكبر من 100Mbps، استخدم فقط خوارزميات AES 128 GCM-16 أو AES 256 GCM-16. تُستخدم خوارزميات AES CBC فقط في المواقع ذات عرض النطاق الأقل من 100Mbps.

  • تدعم مواقع Cato IPsec IKEv2 طول التعداد الذي يصل إلى 256 بت.

  • بالنسبة لحركة مرور FTP، توصي كاتو بتكوين خادم FTP بفترة انتهاء اتصال لـ 30 ثانية أو أكثر.

  • يمكنك تعيين السر المشترك لـ IPSec (PSK) لما يصل إلى 64 حرفًا.

  • بالنسبة للمواقع التي تتصل ببيئة زسكالير، مطلوب ترخيص مطور من زسكالير لتمكين اختيار التشفير في المرحلة الثانية.

إضافة موقع IKEv2

قم بإنشاء موقع IPsec IKEv2 جديد، ثم قم بتكوينه لإعدادات IKEv2 وتعيين عناوين IP التي خصصتها كاتو للأنفاق الرئيسية والثانوية. للمزيد من المعلومات، انظر تخصيص عناوين IP للحساب.

لإنشاء موقع IPsec جديد:

  1. من قائمة التنقل، انقر فوق Network > Sites وانقر فوق New.

    يفتح لوحة إضافة موقع،

  2. قم بتكوين الإعدادات للموقع:

    • الاسم: الاسم للموقع

    • النوع: الرمز الذي يظهر للموقع في صفحة الطوبولوجيا

    • نوع الاتصال: حدد IPsec IKEv2

    • البلد: البلد الذي يقع فيه الموقع.

    • الولاية: الولاية حيث يقع الموقع (حيثما كان ذلك قابلاً للتطبيق)

    • الرخصة: اختر رخصة عرض النطاق الصحيحة للموقع

    • النطاق الأصلي: شبكة LAN للموقع IPSec

  3. انقر فوق حفظ.

تكوين إعدادات IPsec IKEv2

بعد أن تنشئ موقعًا جديدًا يستخدم IPsec IKEv2 للاتصال بسحابة كاتو، قم بتحرير الموقع وتكوين إعدادات IPsec.

ملاحظة

مهم: نوصي بشدة أن تقوم بتكوين نفق ثانوي (بعناوين IP عامة مختلفة من كاتو) لضمان توفر عالٍ. خلاف ذلك، يوجد خطر أن يفقد الموقع الاتصال بسحابة كاتو.

استخدم إعدادات طريقة الاتصال لتحديد ما إذا كان نقطة تواجد كاتو تستجيب فقط للاتصالات من الموقع البعيد، بدء الجدار الناري (المستجيب فقط)، أو يمكنه أيضًا بدء اتصالات (ثنائي الاتجاه).

بالنسبة للمواقع التي تعمل بعناوين IP ديناميكية، يُنشئ تطبيق إدارة Cato معرّف محلي للموقع، والذي يُستخدم كمعرّف المصادقة الذي تختاره. استخدم معرّف المصادقة الذي يتطلبه الجهاز الطرفي الثالث: FQDN، بريد إلكتروني، أو KEY_ID وأدخل المعرف المحلي في إعدادات IKE لجهازك الطرفي الثالث.

بالإضافة إلى المعرف المحلي، قم بتكوين مفتاح مشترك مسبق (PSK) للمصادقة. يمكنك أيضًا تحديد أنفاق IPsec الأساسية والثانوية مع BGP عبر الجهاز الذي يوفر توفرًا عاليًا. من خلال القيام بذلك، تقوم سحابة كاتو تلقائيًا بتعديل قياسات مسار BGP لإعطاء الأولوية للنفق الرئيسي، وإذا انقطع الاتصال به، يتم تحويل الموقع تلقائيًا إلى النفق الثانوي.

لتكوين الإعدادات لموقع IPsec IKEv2:

  1. من قائمة التنقل، انقر فوق Network > Sites وحدد الموقع.

  2. من قائمة التنقل، انقر فوق Site Settings > IPsec.

  3. قم بتوسيع قسم عام وحدد كيفية اتصال الموقع ومصادقته إلى نقطة التواجد:

    1. اختر وضع الاتصال للموقع:

      • المستجيب فقط – بدء الجدار الناري. يبدأ جدار الحماية الخاص بالموقع الاتصال وتستجيب كاتو

      • ثنائي الاتجاه - تستجيب نقطة تواجد كاتو للمفاوضات للاتصالات القادمة وتبدأ المفاوضات الصادرة.

    2. حدد معرّف المصادقة.

      وضع ثنائي الاتجاه يدعم فقط IPv4 لمعرّف المصادقة.

      • IPv4 - استخدم عنوان IP الثابت الذي قمت بتكوينه في أقسام الأساسي والثانوي للموقع

        حاليًا لا يدعم IPv6 مع IPSec عبر نقطة تواجد كاتو.

      • FQDN، بريد إلكتروني، KEY_ID - يولد المعرف المحلي بأحد هذه الأشكال

  4. قم بتوسيع قسم الأساسي وضمن تكوين الإعدادات التالية للنفق الأساسي IPsec:

    • في نوع الوجهة، حدد إما FQDN أو IPv4.

      • FQDN - يتم إنشاء قيمة FQDN مشفرة بواسطة كاتو. هذه القيمة فريدة للنفق المحدد. هذه القيمة التي ستقدمها لجدار الحماية أو نظير BGP الخاص بك.

        عند اختيارها، يجب تحديد موقع نقطة التواجد أيضًا. توصي كاتو باستخدام تلقائي بحيث يتم اختيار أفضل نقطة تواجد لك. إذا قمت بتحديد موقع محدد وتكوين موقع ثانوي أيضًا، تأكد من تحديد مواقع مختلفة.

      • IPv4 - اختر عنوان IP ثابت من قائمة منسدلة على عنوان IP الخاص بكتو (Egress).

    • في معرف الموقع العام، أدخل عنوان IP للموقع العام أو المعرف المحلي حيث يتم بدء نفق IPsec للموقع البعيد.

    • في IPs خاصة:

      • كتو - أدخل نقطة تواجد كتو وعنوان IP الذي يبدأ نفق IPsec

      • الموقع - أدخل عنوان IP الخاص لنظير BGP

    • في عرض النطاق لآخر ميل، قم بتكوين الحد الأقصى لعرض النطاق الهابط والصاعد (Mbps) المتاح للموقع

    • في PSK الأساسي، انقر فوق تحرير كلمة المرور لإدخال السر المشترك للنفق الأساسي IPsec.

      ملاحظة: يمكنك اختياريًا استخدام نفس عنوان IP المخصص لأحد أو أكثر من مواقع IPsec طالما كان عنوان IP للموقع مختلفًا لكل موقع. توصي كاتو باستخدام IPs مخصصة مختلفة لكل موقع.

  5. للمواقع التي تستخدم نفق IPsec ثانوي، قم بتوسيع قسم الثانوي وضمن الإعدادات في الخطوة السابقة ثم انقر فوق حفظ.

  6. (اختياري) قم بتوسيع قسم معلمات رسالة التهيئة وقم بتكوين الإعدادات. انظر إلى معلمات التمهيد والمصادقة أدناه للمعلمات الصالحة.

    نظرًا لأن معظم حلول IPsec IKEv2 تدعم التفاوض التلقائي للمعلمات التالية التمهيد والمصادقة، فإننا نوصي بتعيينها إلى تلقائي، إلا إذا تم إرشادك بخلاف ذلك من قبل مزود جدار الحماية الخاص بك.

  7. (اختياري) قم بتوسيع قسم معلمات المصادقة وقم بتكوين الإعدادات. انظر إلى معلمات التمهيد والمصادقة أدناه للمعلمات الصالحة.

  8. قم بتوسيع قسم التوجيه وحدد خيارات التوجيه للموقع:

    IPsec_IKEv2_Routing.png

    • بالنسبة لاتصالات IPsec مع طرف بعيد لديه جمعيات أمان (SAs) محددة لهذا النفق، في قسم نطاقات الشبكة، أدخل نطاقات IP المحلية لـ SAs بهذا التنسيق <التصنيف:نطاق IP> ثم انقر إضافة.

      تم تكوين نطاقات IP البعيدة لجمعيات الأمان في شاشة تكوين الموقع > الشبكات.

    • لتمكين سحابة كاتو من محاولة إعادة إنشاء اتصال معطل استباقيًا دون انتظار الطرف الآخر، اختر بدء الاتصال بواسطة كاتو. خلاف ذلك، يحاول جدار الحماية إعادة إنشاء الاتصال.

    ملاحظة: إذا لم يتم تكوين أي نطاقات شبكة للموقع، فإنه يعتبر كشبكة افتراضية تعتمد على المسار (مؤمن: 0.0.0.0 <> 0.0.0.0).

  9. انقر حفظ.

    انتظر على الأقل 3 دقائق قبل إدخال قيم FQDN الأساسية والثانوية في جدار الحماية لديك للسماح بتحديد المواقع المثلى لنقاط التواجد لهذه الإعدادات.

  10. لعرض تفاصيل الاتصال وحالة النفق IPsec لهذا الموقع، انقر فوق حالة الاتصال.

معلمات التمهيد والمصادقة

تتوفر المعلمات التالية عند تحديد معلمات التمهيد والمصادقة. توفر كاتو أن تقوم بتعيين هذه المعلمات إلى تلقائي إلا إذا تم تقديم الإرشادات بخلاف ذلك من قبل موفر جدار الحماية الخاص بك.

معلمة

قيم صالحة

خوارزمية التشفير

  • تلقائي

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

عشوائي زائف

  • تلقائي

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

خوارزمية النزاهة

  • تلقائي

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

مجموعة ديفي هيلمان

  • 2 (1024-بت)

  • 5 (1536-بت)

  • 14 (2048-بت)

  • 15 (3072-بت)

  • 16 (4096-بت)

  • 19 (256-بت عشوائي)

  • 20 (384-بت عشوائي)

معلمات IKEv2 الافتراضية للموقع

هذه هي قائمة القيم الافتراضية للمعلمات IKEv2 التالية. إذا كنت بحاجة إلى قيمة مخصصة، يرجى الاتصال بـ الدعم الفني.

معلمة

قيمة

فحص الحفاظ على الاتصال (يرسل طلبات معلومات فارغة). عدد الثواني بعد عدم تلقي الموقع أي بيانات على النفق.

10 ثواني

فاصل إعادة الإرسال (بالثواني).

لا يمكن تكوين قيمة مخصصة لهذه المعلمة.

10 ثواني

الحد الأقصى لعدد عمليات إعادة الإرسال.

لا يمكن تكوين قيمة مخصصة لهذه المعلمة.

5 عمليات إعادة إرسال

أقصى فاصل زمني لا يتلقى فيه الموقع أي بيانات أو ردود على فحوصات الحفاظ على الاتصال. بعد هذا الوقت يقوم الموقع بفصل النفق ومحاولة إعادة بنائه.

60 ثانية

الفاصل الزمني الذي يحاول فيه الموقع إعادة بناء نفق معطل ويفشل في التشغيل.

كل 90 ثانية

مدة حياة SA لـ IKE (المرحلة 1 لـ IPsec). يمكنك تكوين القيمة لهذه المعلمة باستخدام التكوينات المتقدمة للموقع.

19,800 ثانية (حوالي 5.5 ساعات)

مدة حياة SA الفرعي (المرحلة 2 لـ IPsec).

3,600 ثانية (1 ساعة)

إرسال محدد مرور فردي لمواقع IKEv2

عند إنشاء SA فرعي، تقوم كاتو بإرسال محددات مرور متعددة (TS) في نفس حمولة TS وفقًا لـ RFC 7295. بعض الحلول الخارجية، مثل Cisco ASAs، تدعم فقط TS واحد في كل SA فرعي. يرسل Cisco ASA رسالة TS_UNACCEPTABLE ردًا على اقتراح كاتو لإنشاء SA فرعي مع TS متعددة.

يمكنك تكوين حسابك أو الموقع المحدد ل IPsec IKEv2 لإرسال كل TS في حزمة منفصلة لدعم التشغيل المتبادل مع هذه الحلول الخارجية عن طريق تمكين هذا التكوين تحت تكوين الموقع > التكوين المتقدم.

الربط بين نفقين إلى AWS VPC لتحقيق توافر عالي

تتيح لك كاتو ربط AWS VPC بالسحابة الخاصة بها باستخدام BGP على نفقين IPsec لتحقيق توافر عالي (HA). تدعم الأنفاق المزدوجة لـ AWS فقط عندما تحدد بوابتين للعملاء، ويمثل كل منهما عنوان IP عام مختلف لـ كاتو. هذه هي المتطلبات:

  • عنوانا IP عموميان لـ كاتو

  • بوابتان للعملاء في نفس VPC وتم تعيين كل واحدة إلى عنوان IP عام لـ كاتو

  • في AWS، اتصالان بين الموقعين

هل كان هذا المقال مفيداً؟

3 من 5 وجدوا هذا مفيداً

لا توجد تعليقات