Cato Cloud إلى Cisco IOS/IOS-XE عبر أنفاق IPSec عالية التوفر

هذه المقالة تناقش كيفية ربط موقع اتصال IPSec مع أجهزة Cisco IOS/IOS-XE في تكوين عالي التوفر (HA) إلى Cato Cloud.

نموذج طوبولوجيا الشبكة

يوضح الرسم البياني أدناه الطبولوجيا لموقع IPSec خاص بـ Cato الذي يستخدم أجهزة Cisco IOS/IOS-XE للاتصال بـ Cato Cloud في تكوين عالي التوفر نشط/خامل.

إنشاء موقع IPsec عالي التوافر لحسابك باستخدام أجهزة Cisco IOS/IOS-XE

يمكنك استخدام تطبيق إدارة Cato لإنشاء موقع اتصال IPSec IKEv2 لربط أجهزة Cisco الخاصة بك إلى Cato Cloud. أولاً، تحتاج إلى تخصيص عنوان IP لحساب Cato الخاص بك. ثم قم بتكوين إعدادات أجهزة Cisco للاتصال بعنوان IP العام لـ Cato. أخيرًا، قم بتكوين إعدادات موقع IPSec للاتصال بأجهزة Cisco.

لتكوين موقع IPSec للاتصال بـ Cato Cloud باستخدام أجهزة Cisco:

من تطبيق إدارة Cato، خصص عنوان IP الخاصة بـ IPSec Peer من PoP الأساسي والثانوي.
1. من قائمة التنقل، انقر على Network(1) > IP Allocation (2).
2. في شاشة IP Allocation، حدد موقعين PoP يكونان PoP الأساسي وPoP الثانوي (3) للأنفاق IPSec.
  
  بعد اختيار موقع PoP، يظهر عنوان IP الخاصة بالطرف IPSec المقابل.
3. انقر على Save (4).
من CLI الخاص بـ Cisco IOS، قم بإنشاء اقتراح وسياسة IKEv2. افتح موجه Configure Terminal وقم بإنشاء اقتراح وملف IKEv2 (مشابه للمثال أدناه):
```
crypto ikev2 اقتراح CATO_IKEv2_PROPOSAL
encryption aes-gcm-256
prf sha512group 21
!
crypto ikev2 سياسة CATO_IKEv2_POLICY
proposal CATO_IKEv2_PROPOSAL
!
```

قم بإنشاء سلسلة مفاتيح وملف تعريف IKEv2 (مشابه للمثال أدناه):

crypto ikev2 keyring CATO_KEYRING
نظير Dallas
عنوان x.x.x.x
مفتاح مشاركة مسبق محلي Cato1234
مفتاح مشاركة مسبق عن بعد Cato1234
!
نظير Chicago y.y.y.y
مفتاح مشاركة مسبق محلي Cato1234
مفتاح مشاركة مسبق عن بعد Cato1234
!
crypto ikev2 ملف تعريف CATO_IKEv2_PROFILE
مطابقة هوية عنوان عن بعد x.x.x.x 255.255.255.255
مطابقة هوية عنوان عن بعد y.y.y.y 255.255.255.255
مصادقة عن بعد مشاركة مسبقة
مصادقة محلية مشاركة مسبقة
keyring محلي CATO_KEYRING
!

قم بإنشاء مجموعة تحويل وملف تعريف IPec (مشابه للمثال أدناه):

!
crypto ipsec مجموعة تبديل CATO_TSET esp-gcm 256
!
crypto ipsec ملف تعريف CATO_IPSEC_PROFILE
ضبط مجموعة تبديل CATO_TSET
ضبط مجموعة حماية 21
ضبط ملف تعريف ikev2 CATO_IKEv2_PROFILE
!

قم بإنشاء واجهات أنفاق IPsec مع مصدر النفق من الواجهة العامة الخارجية (مشابه للمثال أدناه):

واجهة نفق0
عنوان IP 172.16.3.1 255.255.255.252
مصدر النفق GigabitEthernet2
وضع النفق ipsec ipv4
وجهة النفق x.x.x.x
حماية النفق ملف تعريف ipsec CATO_IPSEC_PROFILE
!
interface Tunnel1
ip address 172.16.4.1 255.255.255.252
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination y.y.y.y
tunnel protection ipsec profile CATO_IPSEC_PROFILE
!

قم بتعيين المسارات على جهاز Cisco بناءً على متطلبات الموقع:
1. الحركة الانتقائية إلى Cato - قم بإنشاء مسارات ثابتة للإشارة إلى شبكات فرعية معينة إلى Cato عبر واجهات نفق IPSec (مشابه للمثال أدناه):
```
مسار ip x.x.x.x x.x.x.x 255.255.255.255 نفق0 172.16.3.2
مسار ip x.x.x.x x.x.x.x 255.255.255.255 نفق1 172.16.4.2 250
```
2. كل الحركة إلى Cato - قم بإنشاء مسارات ثابتة للإشارة إلى عناوين IP الخاصة بـ Cato Peer تجاه الإنترنت العام ومسار افتراضي نحو أنفاق Cato (مشابه للمثال أدناه):
```
مسار ip x.x.x.x 255.255.255.255 GigabitEthernet2 z.z.z.z اسم (مسار الزميل الأساسي Cato)
مسار ip y.y.y.y 255.255.255.255 GigabitEthernet2 z.z.z.z اسم (مسار الزميل الثانوي Cato)
مسار ip 0.0.0.0 0.0.0.0 نفق0 172.16.3.2
مسار ip 0.0.0.0 0.0.0.0 نفق1 172.16.4.2 250
```
في تطبيق إدارة Cato، قم بإنشاء موقع جديد لموقع Cisco.
1. من قائمة التنقل، انقر على Network (1) > Sites (2).
2. انقر على New (3). يفتح اللوحة Add Site.
قم بتكوين الإعدادات للموقع الجديد الخاص بـ Cisco.
1. أدخل Site Name (1) .
2. في Connection Type (2) اختر IPSec IKEv2.
3. حدد Country (3) وState (4) المناسبين، إذا كان ذلك ممكنًا.
4. في Native Range (5)، حدد نطاق شبكة يقع خلف موقع Cisco ويتواصل مع النطاقات المتصلة بـ Cato Cloud.
5. انقر على Apply (6).
انقر على اسم الموقع الجديد لفتح الموقع وتكوين الإعدادات.
من قائمة التنقل، اختر Site Configuration > IPSec (1)، ووسع قسم تكوين النفق Primary (2).
قم بتحديد الإعدادات لنفق IPSec الأساسي.
1. حدد IP عام:
  1. في Cato IP (Egress) (1)، من القائمة المنسدلة اختر عنوان IP PoP الأساسي.
  2. في Site IP (2)، أدخل عنوان IP رابط WAN العام الخاص بـ Cisco Router.
2. أدخل Primary PSK (3).
وسع قسم تكوين النفق الثانوي وقم بتكوين الإعدادات لنفق IPSec الثانوي:
1. في Cato IP (Egress) (1)، من القائمة المنسدلة اختر عنوان IP PoP الاحتياطي.
2. في Site IP (2)، أدخل عنوان IP رابط WAN العام الخاص بـ Cisco Router.
3. أدخل PSK (3).
وسع قسم تكوين التوجيه، وتأكد من أن بدء الاتصال بواسطة Cato ليس ممكناً.

لا تحدد أي نطاقات الشبكة. هذه سياسة مبنية على مسار وموجه Cisco IOS يقوم ببناء ارتباط أمني واحد 0.0.0.0 - 255.255.255.255 مع Cato Cloud.
انتقل إلى أعلى شاشة IPsec وانقر على Save.

تم الآن تكوين موقعك للاتصال بـ Cato Cloud.