تكوين مواقع IPsec IKEv1

تناقش هذه المقالة كيفية تكوين المواقع التي تستخدم نوع اتصال IPsec IKEv1. لمزيد حول إنشاء موقع جديد، انظر استخدام تطبيق إدارة Cato لإضافة مواقع.

نظرة عامة على اتصالات IPsec IKEv1

يمكن لـ Cato بدء وصيانة أنفاق IPsec IKEv1 من نقاط تواجد محددة باتجاه مواقعك و/أو مراكز البيانات السحابية.

ملاحظة

ملاحظة: إذا كنت ترسل جزء فقط من حركة المرور الشبكية عبر Cato Cloud، قم بتكوين معدات الشبكة الخاصة بك لتشمل نطاقات IP التالية في جدول التوجيه إلى Cato Cloud:

  • 10.254.254.0/24 - الشبكة الجزئية الافتراضية المحجوزة لحركة المرور عبر Cato Cloud (لحسابات بنطاق مخصص، استخدم الشبكة الجزئية المخصصة)

  • 10.41.0.0/16 - ما لم تكن قد قمت بتكوين نطاق عنوان IP الخاص بمستخدمي SDP الشبكة الخاصة بك (انظر الإدارة المركزية لتخصيص IP (سياسة تخصيص IP))

توصيل نفقين إلى AWS VPC لـ HA

يتيح لك Cato توصيل AWS VPC الخاصة بك إلى Cato Cloud باستخدام BGP عبر نفقين لـ IPsec لتكوين عالي التوافر (HA). تدعم أنفاق AWS الثنائية فقط عندما تقوم بتعريف بوابتين للعميل، وتمثل كل واحدة منهما عنوان IP عام مختلف لـ Cato. فيما يلي المتطلبات:

  • عنواني IP عامين لـ Cato

  • قم بتكوين بوابتين للعميل في نفس VPC بحيث يتم تعيين كل واحدة إلى عنوان IP عام لـ Cato

  • في AWS، قم بتكوين اتصالات موقع إلى موقع اثنتين

تكوين موقع IPsec IKEv1

بعد إنشاء موقع جديد يستخدم IPsec IKEv1 للاتصال بـ Cato Cloud، حرر الموقع وقم بتكوين إعدادات IPsec.

لمزيد من المعلومات حول عناوين IP الفريدة، انظر تخصيص عناوين IP للحساب.

ملاحظة

هام: نحن نوصي بشدة بتكوين نفق ثانوي (بعناوين IP عامة مختلفة لـ Cato) لضمان التوافر العالي. وإلا، هناك خطر من أن الموقع قد يفقد الاتصال بـ Cato Cloud.

يمكنك اختيار إدارة عرض النطاق الترددي لتحميل وتنزيل موقع IPsec. إذا كنت تريد من Cato Cloud تحديد عرض النطاق الترددي للتنزيل لديك، أدخل الحدود المطلوبة وفقًا لذلك. وإلا، أدخل القيم كما يحددها السرعة الفعلية للاتصال لرابط مزود خدمة الإنترنت الخاص بك. إذا كنت لا تعرف سرعة اتصال مزود خدمة الإنترنت، قم بتكوين عرض النطاق الترددي للتنزيل وفقًا لترخيص هذا الموقع. أما لعرض النطاق الترددي للتحميل، فإن Cato Cloud لا يتحكم في حركة المرور الصاعدة، وليس من الممكن تحديدها بحد أقصى. بدلاً من ذلك، إعداد عرض النطاق الترددي للتحميل هو محاولة أفضل عن طريق Cato Cloud.

أفضل ممارسة: قم بتكوين إعدادات الكشف عن النظير الميت (DPD) لـ IKE v1 Phase II لإعادة تشغيل الاتصال تلقائيًا إذا لم يكن هناك رد من DPD. يمكنك أيضًا تعريف عدد المرات التي يرسل فيها Cato Cloud حزمة DPD ويراقب حالة النفق (الحد الأقصى للفترة الفاصلة بين حزم DPD هو 35 ثانية).

  • بالنسبة لمواقع IPsec ذات عرض النطاق الترددي الأكبر من 100Mbps، استخدم فقط خوارزميات AES 128 GCM-16 أو AES 256 GCM-16. تستخدم خوارزميات AES CBC فقط في مواقع ذات عرض نطاق ترددي أقل من 100Mbps.

  • بالنسبة لحركة مرور FTP، توصي Cato بتكوين خادم FTP مع مهلة اتصال تبلغ 30 ثانية أو أكثر.

  • تدعم مواقع Cato IPsec IKEv1 طول nonce يصل إلى 48 بت.

  • يمكنك ضبط السر المشترك IPsec (PSK) حتى 64 حرفًا.

المدة الزمنية لـ SA هي الفترة التي يكون فيها المفتاح التشفيري صالحًا قبل انتهائه ويكون هناك حاجة لمفتاح جديد. لا يمكنك تكوين مدة SA لمعلمات IKEv1 المرحلة 1 والمرحلة 2، الإعدادات هي:

  • المرحلة 1 - 86,400 ثانية (24 ساعة)

  • المرحلة 2 - 3,600 ثانية (1 ساعة)

ملاحظة

ملاحظة: إذا أدخلت قيم تحميل/تنزيل أكبر من السرعة الفعلية لوصلة مزود خدمة الإنترنت، فإن محرك Socket QoS غير فعال.

للمزيد عن QoS في Cato، انظر ما هي ملفات تعريف إدارة عرض النطاق الترددي لـ Cato.

ikev1_site.png

لتكوين الإعدادات لموقع IPsec IKEv1:

  1. من قائمة التنقل، اضغط على الشبكة > المواقع واختر الموقع.

  2. من قائمة التنقل، اضغط على إعدادات الموقع > IPsec.

  3. قم بتوسيع قسم عام واختر نوع نظير IPsec المسبق التكوين (مثل AWS أو Azure) أو اختر عام.

  4. قم بتوسيع قسم الأساسي وقم بتكوين الإعدادات التالية بالفعل لنفق IPsec الأساسي:

    • في IP عام > IP Cato (Egress)، اختر نقطة تواجد Cato وعنوان IP الذي يطلق نفق IPsec.

      إذا كنت بحاجة إلى عنوان IP مختلف مخصص لحسابك، اضغط على إعدادات تخصيص IP واختر موقع نقطة التواجد وعنوان IP.

    • في IP عام > IP الموقع، أدخل عنوان IP العام حيث يبدأ نفق IPsec.

    • بالنسبة للمواقع التي تستخدم توجيه BGP الديناميكي، يمكنك إدخال IPs الخاصة الموجودة داخل نفق VPN.

    • في عرض النطاق الترددي، قم بتكوين الحد الأقصى لـ التنزيل والتحميل (Mbps) المتاح للموقع.

    • في PSK الأساسي، اضغط على تحرير كلمة المرور لإدخال السر المشترك لنفق IPsec الأساسي.

    ملاحظة: يمكنك اختيارياً استخدام نفس عنوان IP المخصص لواحد أو أكثر من مواقع IPsec طالما كان عنوان IP الموقع مختلفًا لكل موقع. توصي Cato باستخدام عناوين IP مخصصة مختلفة لكل موقع.

  5. (اختياري) قم بتوسيع قسم معلمات IKEv1 المرحلة I وقم بتكوين الإعدادات.

    1. في قسم الخوارزمية، اختر خوارزمية التشفير: AES-CBC-128 أو AES-CBC-256

    2. في قسم الخوارزمية، اختر خوارزمية التجزئة: MD5، SHA1، أو SHA256

    3. في مجموعة دي-هلمان، اختر طول المفتاح المستخدم في التشفير: 2 (1024-بت)، 5 (1536-بت)، 14 (2048-بت)، 15 (3072-بت)، 16 (4096-بت)

  6. (اختياري) قم بتوسيع قسم معلمات IKEv1 المرحلة II وقم بتكوين الإعدادات.

    1. في قسم الخوارزميات، اختر خوارزمية التشفير: AES-CBC-128، AES-CBC-256، AES-GCM-128 أو AES-GCM-256

    2. في قسم الخوارزمية، اختر خوارزمية التجزئة: MD5، SHA1، أو SHA256

    3. لتكوين إعدادات مجموعة ديفي-هلمان للمرحلة الثانية، قم أولاً بتمكين السرية التامة للأمام.

      1. في السرية التامة الأمامية، اختر تفعيل "حماية" النقلات الماضية من التهديدات المستقبلية لكلمات السر السرية لتفعيل هذه الميزة للموقع.

      2. في مجموعة دي-هلمان، اختر طول المفتاح المستخدم في التشفير: 2 (1024-بت)، 5 (1536-بت)، 14 (2048-بت)، 15 (3072-بت)، 16 (4096-بت)

  7. قم بتكوين إعدادات DPD لمعلمات IKEv1 Phase II:

    1. اختر الفترة الزمنية للاحتفاظ بحياة الاتصال (ثوانٍ) وأدخل عدد الثواني بين حزم الاحتفاظ بحياة الاتصال (الحد الأقصى للقيمة هو 35).

    2. (أفضل ممارسة) اختر إعادة تشغيل الاتصال عند عدم تلقي رد من DPD لتمكين إعادة تشغيل اتصال IPsec عندما لا يتم تلقي رد لحزم DPD في غضون 35 ثانية.
      لإيقاف DPD للموقع، امسح الفترة الزمنية للاحتفاظ بحياة الاتصال (ثوانٍ).

  8. قم بتوسيع قسم التوجيه واختر خيار التوجيه للموقع:

    • ضمني: 0.0.0.0/0<-->0.0.0.0/0 (نفق واحد من جميع النطاقات المحلية إلى جميع النطاقات البعيدة) - يتم إرسال جميع حركة المرور WAN عبر اتصال IPsec في نفق المرحلة الثانية واحد مع مفتاح تشفير واحد (واحد لكل زوج من ESP SAs).

    • صريح: x.x.x.x/y<-->0.0.0.0/0 (نفق من كل نطاق محلي إلى جميع النطاقات البعيدة) - يتم إرسال كل حركة مرور WAN عبر اتصال IPsec في نفق المرحلة الثانية الفردي لنطاقات IP المحلية للموقع إلى جميع النطاقات البعيدة باستخدام مفتاح تشفير واحد (ESP SA لكل نطاق محلي).

    • محدد: x.x.x.x/y<-->a.a.a.a/b (نفق من كل نطاق محلي إلى نطاقات بعيدة محددة) - يتم إرسال كل حركة مرور WAN عبر اتصال IPsec في نفق المرحلة الثانية باستخدام شبكة كاملة بين النطاقات المحلية والبعيدة.

      حدد نطاقات IP البعيدة على الجانب الآخر من نفق IPsec. بعد ذلك هناك شبكة كاملة بين النطاقات المحلية والبعيدة.

      • النطاقات المحلية محددة أدناه في قسم نطاقات الشبكة، اضغط على إضافة لإدخال نطاقات IP

      • النطاقات البعيدة محددة في شاشة إعدادات الموقع > الشبكات

      IPsec_IKEv1_Routing.png

  9. اضغط على حفظ.

  10. بالنسبة للمواقع التي تستخدم نفق IPsec ثانوي، قم بتوسيع قسم الثانوي وقم بتكوين الإعدادات في الخطوة السابقة ثم اضغط على حفظ.

  11. لإظهار تفاصيلك واتصال نفق IPsec لهذا الموقع، اضغط على حالة الاتصال.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات