تكوين مواقع IPsec IKEv2

تتناول هذه المقالة كيفية إنشاء وتكوين المواقع التي تستخدم نوع الاتصال IPsec IKEv2. لمزيد من المعلومات حول إنشاء موقع جديد، انظر استخدام CMA لإضافة مواقع.

ملاحظة: كجزء من التحسينات الأخيرة التي شملت إدخال الأنفاق المتعددة النشطة لمواقع IPsec، قد يتلقى العملاء إشعارات انقطاع وإعادة اتصال إيجابية زائفة، مع التنبيهات المرتبطة بها. هذه حادثة تحدث لمرة واحدة أثناء عملية التحديث ، ويمكن تجاهل هذه الأحداث والإخطارات بأمان. لاحظ أن الأحداث والإخطارات قد تشمل طوابع زمنية غير صحيحة ولا تعكس تعطل الخدمة الفعلي. تبقى الأنفاق الخاصة بـ IPsec قيد التشغيل بالكامل أثناء هذه العملية.

نظرة عامة

يمكنك استخدام أنفاق IPsec لربط المواقع والشبكات الداخلية بسحابة كاتو والشبكات البعيدة. المواقع ذات اتصالات IPsec تُستخدم لـ:

  • المواقع الموجودة في السحابة العامة مثل AWS أو Azure
  • المواقع الخاصة بالفروع في مواقع مختلفة التي تقع خلف جدار حماية طرف ثالث

عند تكوين موقع IPsec IKEv2 ، يمكنك بدء الاتصال باستخدام أحد الخيارات التالية:

  • المستجيب فقط - بدء جدار الحماية. جهاز الموقع يبدأ الاتصال بـ Cato PoP
  • ثنائي الاتجاه – يمكن لجدار الحماية الخاص بك أو كاتو بدء الاتصال

وضع اتصال المستجيب فقط

إعداد المستجيب فقط لـ IKEv2 الخاص بكاتو هو حل للأجهزة الطرفية التي تحتوي على عنوان IP ديناميكي أو موجود خلف جهاز NAT. (أي جدران الحماية أو أجهزة التوجيه) يتيح هذا الحل للجهاز الطرفي في الموقع البعيد بدء وإدارة اتصال IKEv2.

بالإضافة إلى ذلك ، عند استخدام المستجيب فقط ، يمكنك تكوين كاتو لاستخدام اسم مجال مؤهل بالكامل (FQDN) كمحدد لكاتو. عند القيام بذلك ، يولد كاتو قيمة تشفير ويترجمها إلى عنوان IP ليعطيك أفضل موقع PoP لكل نفق.

مثلا ، تقوم بتكوين وضع الاتصال كمستجيب فقط ونوع الوجهة كـFQDN. كاتو يولد قيمة مشفرة لـ somevalue.ipsec.dev.catonetworks.org. هذه القيمة يتم تكوينها في الموقع البعيد وتعمل كحل لـطلب DNS باستخدام قيمة FQDN. يتم اختيار PoP بناءً على عدة عوامل ، مثل الموقع الجغرافي، RTT، وغيرها.

في هذا السيناريو ، يتم اختيار PoP ديناميكيًا ، مما يعني أنه إذا كان PoP الأصلي الذي تم تعيينه لـFQDN غير متاح ، سيتم اختيار PoP جديد تلقائيًا. بالإضافة إلى ذلك ، إذا اتبعت أفضل الممارسات الخاصة بكاتو وقمت بتعريف نفق رئيسي وثانوي عند استخدام FQDN ، يختار كاتو مواقع PoP مختلفة لتحقيق HA المثالية.

بديل, بعض جهات تصنيع الجدران الحماية لا تدعم استخدام FQDN، وفي هذه الحالة يمكنك اختيار IPv4 كنوع وجهة. في هذه الحالة، يجب عليك اختيار موقع PoP ثابت، وإذا لم يكن ذلك PoP متاح لأي سبب، فإن النفق لن يكون متاحا. لمزيد من المعلومات حول تعريف عناوين IP الثابتة ، راجع سياسات تخصيص IP للمستخدمين عن بعد.

وضع اتصال ثنائي الاتجاه

في وضع الاتصال ثنائي الاتجاه ، يمكن لكلا الجهاز الخاص بك أو كاتو بدء وصيانة أنفاق IPsec من PoPs المحددة نحو المواقع الخاصة بك و/أو مراكز بيانات السحابة باستخدام بروتوكول IPsec IKEv2.

إذا كان النفق غير متاح ، فلا يتعين على كاتو الانتظار حتى يبدأ جهازك الاتصال لذا يمكن إعادة تأسيس النفق بسرعة.

مواقع IPsec مع أنفاق متعددة نشطة

كاتو يتيح لك تكوين أنفاق متعددة نشطة لكلا الأدوار الأساسية والثانوية لـHA. تمكنك الأنفاق المتعددة النشطة من القيام بما يلي:

  • الاستفادة من الميل الأخير - مع أنفاق متعددة نشطة ، يمكنك توزيع حركة مرور الشبكة عبر مسارات مختلفة ، مما يساعد على تحقيق توازن الحمل وتحسين أداء الشبكة.
  • التكرار - تتيح الأنفاق المتعددة النشطة التكرار. إذا فشل نفق واحد ، يمكن إعادة توجيه الحركة عبر نفق نشط آخر ، مما يضمن عدم انقطاع الاتصال.
  • التكامل مع طرف ثالث - التكامل مع أجهزة CPE الخاصة بـSD-WAN من طرف ثالث لخدمات SSE.
  • فصل حركة المرور - يمكن استخدام أنفاق مختلفة لفصل أنواع مختلفة من حركة المرور. مثال، يمكن استخدام نفق واحد لحركة مرور الصوت، بينما يمكن استخدام آخر لحركة مرور البيانات.
ipsec-active-active.png

يمكنك تكوين ما يصل إلى 3 أنفاق نشطة لكل دور HA ، والتي تتصل بنقطةPoP كاتو نفسها. ما يعنيه هذا أن جميع الأنفاق الأساسية متصلة بنقطة PoP واحدة، وجميع الأنفاق الثانوية مرتبطة بنقطة PoP مختلفة. يجب أن يكون لكل نفق معرف فريد، مثلا، مثل معرف محلي كـ FQDN أو العنوان العلني لـIP.

HA للأنفاق النشطة المتعددة

بشكل افتراضي ، عند فشل جميع الأنفاق النشطة لدور HA، يتحول كاتو تلقائيًا إلى دور HA الآخر. ما يعنيه هذا أنه إذا فشلت جميع الأنفاق لدور HA الرئيسي، فإن HA يتم تشغيله ويستخدم كاتو الأنفاق الثانوية كبوابة التالية لجميع مسارات الموقع. ومع ذلك ، إذا كان دور HA الرئيسي يمتلك 2 أنفاق وفشل أحدهما ، لا يحدث تجاوز.

يمكنك مراقبة الأنفاق من خلال روايات "Link is down" في ورشة عمل القصص.

ملحوظة: يستغرق الأمر ما يصل إلى 30 ثانية لكي تحدد كاتو أن نفق قد تم إيقافه.

إدارة عرض النطاق الترددي

يمكنك اختيار إدارة عرض النطاق الترددي المنجز والمنشور لموقع IPsec. إذا كنت تريد أن تقوم سحابة كاتو بتحديد عرض النطاق الترددي المنجز الخاص بك، قم بإدخال الحدود المطلوبة وفقًا لذلك. وإلا ، ادخل القيم كما تم تعريفها بواسطة سرعة الاتصال الفعلية لرابط مزود الانترنت الخاص بك. إذا كنت لا تعرف سرعة اتصال مزود الإنترنت أو ISP، قم بتكوين عرض النطاق الترددي المنجز وفقًا لترخيص هذا الموقع. بالنسبة لعرض النطاق الترددي المنشور، لا تتحكم سحابة كاتو في حركة المرور المنتهية، وليس من الممكن تحديده بحد صارم. بدلاً من ذلك، فإن إعداد عرض النطاق الترددي المنشور هو محاولة أكثر من قبل سحابة كاتو.

ملحوظة: إذا قمت بإدخال قيم أكبر المنجز/المنشور أكبر من سرعة الاتصال الفعلية لرابط مزود الانترنت الخاص بك، فإن محرك Socket QoS سيكون غير فعال.

للحصول على مزيد من المعلومات حول QoS في كاتو، راجع ما هي ملفات تعريف إدارة عرض النطاق الترددي في كاتو.

لـQoS للأنفاق النشطة المتعددة ، اطلع أدناه توجيه QoS للأنفاق النشطة المتعددة.

المتطلبات الأساسية

  • إذا كنت ترسل فقط جزءا من حركة مرور الشبكة عبر سحابة كاتو، قم بتكوين معدات الشبكة الخاصة بك لتضمين عناوينIP التالية في جدول التوجيه للسحابة كاتو:

    • 10.254.254.1
    • 10.254.254.5
    • 10.254.254.253
    • 10.41.0.0/16 إلا إذا قمت بتكوين نطاق عنوان IP الخاص بمستخدمي VPN الخاص بك

  • بالنسبة لمواقع IPsec ذات عرض نطاق 100Mbps أو أكثر، استخدم فقط خوارزميات AES 128 GCM-16 أو AES 256 GCM-16. يتم استخدام خوارزميات AES CBC فقط على المواقع ذات عرض النطاق أقل من 100Mbps.

    تعود هذه الإرشادات إلى حقيقة أن تشفير GCM أكثر فعالية وقابلاً للتوسع من CBC، مما يؤدي إلى تحسين الأداء والموثوقية لحركة المرور المشفرة عالية الإنتاجية في سحابة كاتو.

  • تدعم مواقع Cato IPsec IKEv2 طول مجموعة كلمات يصل إلى 256 بت.
  • بالنسبة لحركة مرور FTP، توصي Cato بتكوين خادم FTP بفترة انتهاء اتصال تبلغ 30 ثانية أو أكثر.
  • يمكنك تعيين السر المشترك لنظام IPSec (PSK) حتى 64 حرفًا.
  • بالنسبة للمواقع التي تتصل ببيئة Zscaler، يلزم ترقية رخصة Zscaler لتمكين اختيار التشفير في المرحلة 2.

إضافة موقع IKEv2

أنشئ موقع IPsec IKEv2 جديد، ثم قم بتكوينه لإعدادات IKEv2 وعيّن عناوين IP التي تم تخصيصها بواسطة Cato للأنفاق الرئيسية والثانوية. لمزيد من المعلومات، انظر تخصيص عناوين IP للحساب.

لإنشاء موقع IPsec جديد:

  1. من قائمة التنقل، انقر فوق Network > Sites وانقر فوق New.

    يفتح لوحة إضافة موقع،

  2. قم بتكوين الإعدادات للموقع:

    • الاسم: الاسم للموقع
    • النوع: الأيقونة المعروضة للموقع في صفحة الترابط
    • نوع الاتصال: اختر IPsec IKEv2
    • الدولة: الدولة التي يقع فيها الموقع.
    • الولاية: الولاية التي يقع فيها الموقع (عند الحاجة)
    • الرخصة: اختر رخصة عرض النطاق المناسبة للموقع
    • النطاق المحلي: الشبكة المحلية الفرعية للموقع IPSec
  3. انقر جديد.

تكوين إعدادات IPsec IKEv2

بعد أن تنشئ موقعًا جديدًا يستخدم IPsec IKEv2 للاتصال بسحابة كاتو، قم بتحرير الموقع وتكوين إعدادات IPsec.

ملاحظة

مهم: نوصي بشدة أن تقوم بتكوين نفق ثانوي (بعناوين IP عامة مختلفة من كاتو) لضمان توفر عالٍ. خلاف ذلك، يوجد خطر أن يفقد الموقع الاتصال بسحابة كاتو.

استخدم إعدادات طريقة الاتصال لتحديد ما إذا كان نقطة تواجد كاتو تستجيب فقط للاتصالات من الموقع البعيد، بدء الجدار الناري (المستجيب فقط)، أو يمكنه أيضًا بدء اتصالات (ثنائي الاتجاه).

بالنسبة للمواقع التي تعمل بعناوين IP ديناميكية، يُنشئ تطبيق إدارة Cato معرّف محلي للموقع، والذي يُستخدم كمعرّف المصادقة الذي تختاره. استخدم معرف المصادقة الذي يتطلبه الجهاز التابع لجهة خارجية: FQDN أو البريد الإلكتروني أو KEY_ID، وأدخل المعرف المحلي في إعدادات IKE لجهازك التابع لجهة خارجية.

بالإضافة إلى المعرف المحلي، قم بتكوين مفتاح مشترك مسبق (PSK) للمصادقة. يمكنك أيضًا تحديد أنفاق IPsec الرئيسية والثانوية باستخدام BGP عبر الجهاز، مما يوفر التوفر العالي. من خلال القيام بذلك، تقوم سحابة كاتو تلقائيًا بتعديل قياسات مسار BGP لإعطاء الأولوية للنفق الرئيسي، وإذا انقطع الاتصال به، يتم تحويل الموقع تلقائيًا إلى النفق الثانوي.

لتكوين الإعدادات لموقع IPsec IKEv2:

  1. من قائمة التنقل، انقر على الشبكة > المواقع وحدد الموقع.
  2. من قائمة التنقل، انقر على إعدادات الموقع > IPsec.

  3. قم بتوسيع قسم عام وحدد كيفية اتصال الموقع ومصادقته إلى نقطة التواجد:

    1. اختر وضع الاتصال للموقع:

      • المستجيب فقط – بدء تشغيل جدار الحماية. جدار حماية الموقع يبدأ الاتصال، وترد Cato
      • ثنائي الاتجاه - يستجيب Cato PoP للمفاوضات للاتصالات الواردة ويبدأ في المفاوضات الصادرة.

    2. حدد معرّف المصادقة.

      • IPv4 - استخدم عنوان IP الثابت الذي قمت بتكوينه في أقسام الأساسي والثانوي للموقع

        حاليًا لا يدعم IPv6 مع IPSec عبر نقطة تواجد كاتو.

      • FQDN، البريد الإلكتروني، KEY_ID - يقوم بإنشاء المعرف المحلي في واحدة من هذه التنسيقات

  4. قم بتوسيع قسم الأساسي وضمن تكوين الإعدادات التالية للنفق الأساسي IPsec:

    • في نوع الوجهة، حدد إما FQDN أو IPv4. يجب أن تكون الوجهة نفس لـ جميع الأنفاق النشطة لدور HA (رئيسية أو ثانوية).

      • FQDN - يتم إنشاء قيمة FQDN مشفرة بواسطة كاتو. هذه القيمة فريدة للنفق المحدد. هذا هو القيمة التي ستقدمها لجدار الحماية الخاص بك.

        عند اختيارها، يجب تحديد موقع نقطة التواجد أيضًا. توصي كاتو باستخدام تلقائي بحيث يتم اختيار أفضل نقطة تواجد لك. إذا قمت بتحديد موقع محدد وتكوين موقع ثانوي أيضًا، تأكد من تحديد مواقع مختلفة.

      • IPv4 - اختر عنوان IP ثابت من القائمة المنسدلة لـ Cato IP (Egress).

  5. انقر جديد. تظهر صفحة إضافة نفق.

    1. تحت الدور، حدد أي من واجهات WAN المنطقية لاستخدامها لهذا النفق. يتم استخدام دور WAN للتوجيه القائم على الأولوية في سياسة قواعد الشبكة.
    2. تحت الاسم، أدخل اسمًا وصفيًا
    3. تحت العنوان IP العام، أدخل العنوان IP العام لهذا النفق. يجب أن يستخدم كل نفق عنوان IP عام مختلف

    4. للمواقع التي تستخدم BGP، قم بتكوين العناوين الخاصة:

      • Cato - أدخل Cato PoP والعنوان IP الذي يبدأ النفق IPsec
      • الموقع - أدخل عنوان IP الخاص لنظير BGP
    5. في عرض النطاق للتوصيل الأخير، قم بتكوين الحد الأقصى للمنبع والتيار الهابط (ميجا بت في الثانية) المتاح للموقع
    6. في PSK، انقر على تعديل كلمة المرور لتقديم السر المشترك للنفق IPsec الرئيسي.

  6. انقر تطبيق. يضاف النفق إلى الجدول الرئيسي.

    primary-ipsec-tunnel.png
  7. بالنسبة للمواقع التي تستخدم نفق IPsec ثانوي، قم بتوسيع القسم الثانوي وتهيئة الإعدادات في الخطوة السابقة، ثم انقر على حفظ.
  8. بالنسبة للمواقع التي تستخدم أنفاق نشطة/نشطة متعددة، كرر الخطوات 5-7.

  9. (اختياري) قم بتوسيع قسم معلمات رسالة البداية وقم بتكوين الإعدادات. راجع معلمات Init وAuth أدناه للحصول على المعايير الصالحة.

    كما تنفذ معظم حلول IPsec IKEv2 دعم التفاوض التلقائي للمعلمات التالية بداية وتأكيد، ونحن نوصي بضبطها علىتلقائي، إلا إذا طلب منك صراحةً بواسطة سلطة جدار الحماية الخاص بك.

  10. (اختياري) قم بتوسيع قسم معلمات تأكيد وقم بتكوين الإعدادات. انظر إعدادات الرسائل المبتدئة والمعاوني لمعلمات صالحة.

  11. قم بتوسيع قسم التوجيه وحدد خيارات التوجيه للموقع:

    IPsec_IKEv2_Routing.png
    • بالنسبة لاتصالات IPsec مع الجانب البعيد الذي يحتوي على معاهدات الأمن (SAs) المعرفة لهذا النفق، فينطاقات الشبكة، أدخل نطاقاتIP البعيدة (عادة شبكات من مواقع أخرى) للمعاهدات الأمنية (SAs) بهذا التنسيق وانقرإضافة.

    • يتم تكوين نطاقات IP المحلية لـ SAs في صفحة إعداد الموقع > الشبكات عن طريق إدراج محددات المرور المحلي ومحددات مرور الشركاء.

      ipsec_ikev2_native.png
      تحقق من توافق الشبكات المحلية مع ما تم تعيينه لـنظير IPsec.

    • لتمكين سحابة كاتو من محاولة إعادة إنشاء اتصال معطل استباقيًا دون انتظار الطرف الآخر، اختر بدء الاتصال بواسطة كاتو. خلاف ذلك، يحاول جدار الحماية إعادة إنشاء الاتصال.

      ملاحظة: إذا لم يتم تكوين أي نطاقات شبكة للموقع، فإنه يعتبر كشبكة افتراضية تعتمد على المسار (مؤمن: 0.0.0.0 <> 0.0.0.0).

  12. انقر على حفظ.

    انتظر على الأقل 3 دقائق قبل إدخال قيم FQDN الأساسية والثانوية في جدار الحماية لديك للسماح بتحديد المواقع المثلى لنقاط التواجد لهذه الإعدادات.

  13. لعرض تفاصيل الاتصال الخاصة بك وحالة النفق IPsec لهذا الموقع، انقرحالة الاتصال.

توجيه جودة الخدمة (QoS) للأنفاق النشطة المتعددة

بشكل افتراضي، يستطيع Cato فقط التحكم في حركة المرور المتدفقة. يتم توزيع الحركة عبر الأنفاق (روابط WAN) بناءً على مقاييس الصحة، تفضيل الرابط، والنسبة المتناسبة لسرعات النطاق الترددي المُعد لكل رابط. يتم إعادة حساب معايير الصحة كل ثانية، ويتم إعادة توزيع الحركة إلى الرابط الأفضل أداءً كل 10 ثوانٍ.

يتم التحكم في حركة المرور المتجهة بواسطة نظير IPsec البعيد، ووفقًا للتوجيه القائم على السياسة الذي يستخدمه النظير.

يمكنك تجاوز اختيار رابط WAN لحركة المرور المتدفقة باستخدام قواعد الشبكة. يمكنك تكوين قاعدة لتحديد الرابط WAN الذي سيتم استخدامه للمرور المخصص، وفي هذه الحالة، سيتم إرسال الحركة على رابط WAN المُعد في القاعدة، وليس النفق الذي وصل عليه.

active-active-rule.png

إعدادات الرسائل المبتدئة والمعاوني

تتوفر المعلمات التالية عند تحديد معلمات التمهيد والمصادقة. توفر كاتو أن تقوم بتعيين هذه المعلمات إلى تلقائي إلا إذا تم تقديم الإرشادات بخلاف ذلك من قبل موفر جدار الحماية الخاص بك.

معامل

القيم الصالحة

خوارزمية التشفير

  • تلقائي

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

عشوائية زائفة

  • تلقائي

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

خوارزمية التكامل

  • تلقائي

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

مجموعة Diffie-Hellman

  • 2 (1024-بت)

  • 5 (1536-بت)

  • 14 (2048-بت)

  • 15 (3072-بت)

  • 16 (4096-بت)

  • 19 (256-بت عشوائي)

  • 20 (384-بت عشوائي)

إعدادات IKEv2 الافتراضية للموقع

هذه هي قائمة القيم الافتراضية للمعلمات IKEv2 التالية. إذا كنت بحاجة إلى قيمة مخصصة، يرجى الاتصال بـ الدعم الفني.

معامل

قيمة

فحص الحياة (يرسل طلبات معلومات فارغة). عدد الثواني بعد أن لا يستقبل الموقع أي بيانات على النفق.

10 ثواني

فترة إعادة الإرسال (بالثواني).

ليس من الممكن تكوين قيمة مخصصة لهذه المعلمة.

10 ثواني

عدد أقصى من عمليات إعادة الإرسال.

لا يمكن تكوين قيمة مخصصة لهذا المعامل.

5 عمليات إعادة الإرسال

الفترة الزمنية القصوى التي لا يستقبل فيها الموقع أي بيانات أو ردود على الفحوصات. بعد هذا الوقت، يقوم الموقع بإسقاط النفق ويقوم بمحاولة إعادة إنشائه.

60 ثانية

الفترة الزمنية التي يحاول الموقع فيها إعادة إنشاء نفق تم إسقاطه وفشل في الظهور.

كل 90 ثانية

عمر IKE SA (الطور 1 من IPsec). يمكنك تكوين القيمة لهذه المعلمة باستخدام التكوينات المتقدمة للموقع.

19,800 ثانية (حوالي 5.5 ساعات)

مدة حياة SA الفرعية (المرحلة 2 من IPsec).

3,600 ثانية (1 ساعة)

إرسال محدد حركة مرور واحد لمواقع IKEv2

عند إنشاء SA فرعي، تقوم كاتو بإرسال محددات مرور متعددة (TS) في نفس حمولة TS وفقًا لـ RFC 7295. بعض الحلول الخارجية، مثل Cisco ASAs، تدعم فقط TS واحد في كل SA فرعي. يرسل Cisco ASA رسالة TS_UNACCEPTABLE ردًا على اقتراح كاتو لإنشاء SA فرعي مع TS متعددة.

يمكنك تكوين حسابك أو موقع IPsec IKEv2 محدد لإرسال كل TS في حزمة منفصلة لدعم التوافق مع هذه الحلول من الأطراف الثالثة عن طريق تمكين هذا الإعداد تحت تكوين الموقع > الإعدادات المتقدمة.

توصيل نفقين إلى VPC في AWS لـ HA

تتيح لك كاتو ربط AWS VPC بالسحابة الخاصة بها باستخدام BGP على نفقين IPsec لتحقيق توافر عالي (HA). تدعم الأنفاق المزدوجة لـ AWS فقط عندما تحدد بوابتين للعملاء، ويمثل كل منهما عنوان IP عام مختلف لـ كاتو. هذه هي المتطلبات:

  • عنواني IP عامين لـ Cato
  • بوابتان للعميل في نفس VPC وكل واحدة مخصصة لعنوان IP عام لـ Cato
  • في AWS، اتصالان موقع بموقع

قيود معروفة

  • لحسابات متعددة المستأجرين (مثل شركاء Cato)، تأكد من أن كل حساب يستخدم عناوين IP مخصصة من موقع PoP مختلف لأنفاق IPsec. على سبيل المثال، يستخدم IP مخصص من نقطة PoP فرانكفورت، وينبغي استخدام IP مخصص من موقع PoP ميونيخ.

هل كان هذا المقال مفيداً؟

3 من 5 وجدوا هذا مفيداً

لا توجد تعليقات