تكوين مواقع IPsec IKEv1

تناقش هذه المقالة كيفية تكوين المواقع التي تستخدم نوع اتصال IPsec IKEv1. لمزيد من المعلومات حول إنشاء موقع جديد، انظر استخدام تطبيق إدارة Cato لإضافة مواقع.

نظرة عامة على اتصالات IPsec IKEv1

يمكن لـ Cato بدء وصيانة أنفاق IPsec IKEv1 من نقاط تواجد محددة باتجاه مواقعك و/أو مراكز البيانات السحابية.

ملاحظة

ملاحظة: إذا كنت ترسل جزء فقط من حركة المرور الشبكية عبر Cato Cloud، قم بتكوين معدات الشبكة الخاصة بك لتشمل نطاقات IP التالية في جدول التوجيه إلى Cato Cloud:

  • 10.254.254.0/24 - الشبكة الفرعية الافتراضية المحجوزة لحركة المرور عبر Cato Cloud (لحسابات ذات نطاق خاص، استخدم الشبكة الفرعية الخاصة).

  • 10.41.0.0/16 - ما لم تكن قد قمت بتكوين نطاق عنوان IP الخاص بمستخدمي SDP الشبكة الخاصة بك (انظر سياسة تخصيص IP لمستخدمين عن بعد).

الاتصال باثنين من الأنفاق مع AWS VPC للحصول على HA

يتيح لك Cato توصيل AWS VPC الخاصة بك إلى Cato Cloud باستخدام BGP عبر نفقين لـ IPsec لتكوين عالي التوافر (HA). تدعم أنفاق AWS الثنائية فقط عندما تقوم بتعريف بوابتين للعميل، وتمثل كل واحدة منهما عنوان IP عام مختلف لـ Cato. فيما يلي المتطلبات:

  • عنواني IP عامين لـ Cato

  • قم بتكوين بوابتين للعميل في نفس VPC وكل واحدة مخصصة لعنوان IP عام لـ Cato

  • في AWS، قم بتكوين اتصالين من موقع إلى موقع.

تكوين موقع IPsec IKEv1

بعد إنشاء موقع جديد يستخدم IPsec IKEv1 للاتصال بـ Cato Cloud، حرر الموقع وقم بتكوين إعدادات IPsec.

لمزيد من المعلومات حول عناوين IP الفريدة، انظر تخصيص عناوين IP للحساب.

ملاحظة

هام: نحن نوصي بشدة بتكوين نفق ثانوي (بعناوين IP عامة مختلفة لـ Cato) لضمان التوافر العالي. وإلا، هناك خطر من أن الموقع قد يفقد الاتصال بـ Cato Cloud.

يمكنك اختيار إدارة عرض النطاق الترددي لتحميل وتنزيل موقع IPsec. إذا كنت تريد من Cato Cloud تحديد عرض النطاق الترددي للتنزيل لديك، أدخل الحدود المطلوبة وفقًا لذلك. وإلا، أدخل القيم كما يحددها السرعة الفعلية للاتصال لرابط مزود خدمة الإنترنت الخاص بك. إذا كنت لا تعرف سرعة اتصال مزود خدمة الإنترنت، قم بتكوين عرض النطاق الترددي للتنزيل وفقًا لترخيص هذا الموقع. أما لعرض النطاق الترددي للتحميل، فإن Cato Cloud لا يتحكم في حركة المرور الصاعدة، وليس من الممكن تحديدها بحد أقصى. بدلاً من ذلك، إعداد عرض النطاق الترددي للتحميل هو محاولة أفضل عن طريق Cato Cloud.

إذا كنت تستخدم محدد: x.x.x.x/y<-->a.a.a.a/b (نفق من كل نطاق محلي إلى نطاقات بعيدة محددة) التوجيه للموقع، راجع ??? قبل بدء تكوين إعدادات IPsec.

أفضل ممارسة: قم بتكوين إعدادات الكشف عن النظير الميت (DPD) لـ IKE v1 Phase II لإعادة تشغيل الاتصال تلقائيًا إذا لم يكن هناك رد من DPD. يمكنك أيضًا تعريف عدد المرات التي يرسل فيها Cato Cloud حزمة DPD ويراقب حالة النفق (الحد الأقصى للفترة الفاصلة بين حزم DPD هو 35 ثانية).

  • لمواقع IPSec ذات عرض نطاق أكبر من 100Mbps، استخدم فقط خوارزميات AES 128 GCM-16 أو AES 256 GCM-16. يتم استخدام خوارزميات AES CBC فقط في المواقع ذات عرض النطاق أقل من 100Mbps.

  • بالنسبة لحركة مرور FTP، توصي كاتو بتكوين خادم FTP بمهلة اتصال 30 ثانية أو أكثر.

  • تدعم مواقع كاتو IPsec IKEv1 طول الابنوني حتى 48 بت.

  • يمكنك تعيين السر المشترك لـ IPSec (PSK) حتى 64 حرفًا.

المدة الزمنية لـ SA هي الفترة التي يكون فيها المفتاح التشفيري صالحًا قبل انتهائه ويكون هناك حاجة لمفتاح جديد. لا يمكنك تكوين مدة SA لمعلمات IKEv1 المرحلة 1 والمرحلة 2، الإعدادات هي:

  • المرحلة 1 - 86,400 ثانية (24 ساعة)

  • المرحلة 2 - 3,600 ثانية (1 ساعة)

ملاحظة

ملاحظة: إذا أدخلت قيم تحميل/تنزيل أكبر من السرعة الفعلية لوصلة مزود خدمة الإنترنت، فإن محرك Socket QoS غير فعال.

للحصول على مزيد من المعلومات حول QoS في كاتو، راجع ما هي ملفات تعريف إدارة عرض النطاق الترددي في كاتو.

ikev1_site.png

لتكوين الإعدادات لموقع IPsec IKEv1:

  1. من قائمة التنقل، انقر فوق الشبكة > المواقع وحدد الموقع.

  2. من قائمة التنقل، انقر فوق إعدادات الموقع > IPsec.

  3. قم بتوسيع قسم عام وحدد نوع النظراء IPsec مُسبق التكوين (مثل AWS أو Azure)، أو اختر عام.

  4. قم بتوسيع قسم الأساسي وقم بتكوين الإعدادات التالية بالفعل لنفق IPsec الأساسي:

    • في IP عام > IP Cato (Egress)، اختر نقطة تواجد Cato وعنوان IP الذي يطلق نفق IPsec.

      إذا كنت بحاجة إلى عنوان IP مختلف مخصص لحسابك، اضغط على إعدادات تخصيص IP واختر موقع نقطة التواجد وعنوان IP.

    • في IP العام > IP الموقع، أدخل عنوان IP العام حيث يُشرع نفق IPsec.

    • بالنسبة للمواقع التي تستخدم توجيه BGP الديناميكي، يمكنك إدخال عناوين IP الخاصة الموجودة داخل نفق VPN.

    • في عرض النطاق الترددي، قم بتكوين الحد الأقصى للتنزيل و للتحميل (Mbps) لعروض النطاق المتاحة للموقع.

    • في PSK الأساسي، انقر فوق تعديل كلمة المرور لإدخال السر المشترك للنفق الأساسي IPsec.

    ملاحظة: يمكنك اختيارياً استخدام نفس عنوان IP المخصص لواحد أو أكثر من مواقع IPsec طالما كان عنوان IP الموقع مختلفًا لكل موقع. توصي Cato باستخدام عناوين IP مخصصة مختلفة لكل موقع.

  5. (اختياري) قم بتوسيع قسم معلمات IKEv1 المرحلة الأولى، وتهيئة الإعدادات.

    1. في قسم الخوارزمية، حدد خوارزمية التشفير: AES-CBC-128 أو AES-CBC-256

    2. في قسم الخوارزمية، حدد خوارزمية التهشير: MD5، SHA1، أو SHA256

    3. في مجموعة ديفي هيلمان، حدد طول المفتاح المستخدم في التشفير: 2 (1024 بت)، 5 (1536 بت)، 14 (2048 بت)، 15 (3072 بت)، 16 (4096 بت)

  6. (اختياري) قم بتوسيع قسم معلمات IKEv1 المرحلة الثانية، وتهيئة الإعدادات.

    1. في قسم الخوارزميات، حدد خوارزمية التشفير: AES-CBC-128، AES-CBC-256، AES-GCM-128، أو AES-GCM-256

    2. في قسم الخوارزمية، حدد خوارزمية التجزئة: MD5، SHA1، أو SHA256

    3. لتكوين إعدادات مجموعة ديفي هيلمان المرحلة الثانية، أولاً قم بتمكين التشفير الأمامي المثالي.

      1. في التشفير الأمامي المثالي، اختر تمكين "حماية" عمليات الإرسال السابقة ضد التنازلات المستقبلية لمفاتيح السرية لتمكين هذه الميزة للموقع.

      2. في مجموعة ديفي هيلمان، حدد طول المفتاح المستخدم في التشفير: 2 (1024 بت)، 5 (1536 بت)، 14 (2048 بت)، 15 (3072 بت)، 16 (4096 بت)

  7. قم بتكوين إعدادات DPD لمعلمات IKEv1 المرحلة الثانية:

    1. اختر فاصل التعافي (ثانية) وأدخل عدد الثواني بين حزم التحقق من الحالة (الحد الأقصى 35).

    2. (أفضل ممارسة) اختر إعادة تشغيل الاتصال عند عدم تلقي ردود DPD لتمكين إعادة تشغيل اتصال IPsec عندما لا يتم تلقي ردود لـ DPD خلال 35 ثانية.

      لجلسة تعطيل DPD للموقع، قم بمسح فترة البقاء (ثانية).

  8. قم بتوسيع قسم التوجيه واختر خيار التوجيه للموقع:

    • ضمنيًا: 0.0.0.0/0<-->0.0.0.0/0 (نفق واحد من جميع النطاقات المحلية إلى جميع النطاقات البعيدة) - يتم نقل كل حركة مرور الشبكة الواسعة عبر اتصال IPsec في نفق مرحلة ثانية واحدة مع مفتاح تشفير واحد (واحد لكل زوج من SA ESP).

    • صريح: x.x.x.x/y<-->0.0.0.0/0 (نفق من كل نطاق محلي إلى جميع النطاقات البعيدة) - يتم نقل كل حركة مرور الشبكة الواسعة عبر اتصال IPsec في نفق مرحلة ثانية واحدة للنطاقات المحلية للموقع إلى جميع النطاقات البعيدة مع مفتاح تشفير واحد (واحد SA ESP لكل نطاق محلي).

    • محدد: x.x.x.x/y<-->a.a.a.a/b (نفق من كل نطاق محلي إلى نطاقات بعيدة محددة) - انظر أدناه ???

  9. اضغط على حفظ.

  10. بالنسبة للمواقع التي تستخدم نفق IPsec ثانوي، قم بتوسيع قسم الثانوي وقم بتكوين الإعدادات في الخطوة السابقة ثم اضغط على حفظ.

  11. لإظهار تفاصيلك واتصال نفق IPsec لهذا الموقع، اضغط على حالة الاتصال.

تكوين التوجيه المحدد

عندما تختار التوجيه المحدد لموقع IPsec، يتم إرسال كل حركة مرور WAN عبر اتصال IPsec في نفق المرحلة الثانية باستخدام شبكة كاملة بين نطاقات IP المحلية والبعيدة.

قبل بدء تكوين إعدادات IPsec للموقع، تأكد من أن الشبكات المحلية تتطابق مع ما حددته للقرين IPsec.

  • يتم تعريف نطاقات IP المحلية (الشبكات الفرعية الموجودة خلف قرين IPsec) في صفحة تكوين الموقع > الشبكات:

    ipsec_native.png

  • يتم تعريف نطاقات IP البعيدة (عادة ما تكون شبكات من مواقع أخرى) في القسم التوجيه بعد اختيار الخيار المحدد.

    IPsec_IKEv1_Routing.png

    • اضغط على إضافة لإدخال نطاقات IP

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات