Cato IPsec নির্দেশিকা: IKEv1 বনাম IKEv2

IPsec সাইটের সর্বোত্তম অনুশীলন - IKEv2 তে স্থানান্তর

সাধারণভাবে, Cato সুপারিশ করে যে আপনি IPsec IKEv2 সাইটগুলি সর্বোত্তম অনুশীলনের জন্য ব্যবহার করুন। IKEv2-এর কিছু উন্নতি নিচে তালিকাভুক্ত করা হলো:

  1. VPN টানেল সেটআপ করার জন্য আদানপ্রদান করা বার্তাগুলির সংখ্যা কমিয়ে IKEv2 দক্ষতা বৃদ্ধি করে। টানেলগুলি দ্রুত এবং কম ব্যান্ডউইডথে সেটআপ হয়।

  2. IKEv2 আরও নির্ভরযোগ্য। টানেল নিচে গেলে তা সনাক্ত করার জন্য IKEv2-এ একটি বিল্ট-ইন লাইভনেস চেক আছে।

  3. IKEv2 DoS আক্রমণের বিরুদ্ধে সুরক্ষা প্রদান করে। IKEv1-এর মতো নয়, একটি IKEv2 প্রতিরূপকারীকে প্রধান প্রক্রিয়াকরণ করতে হয় না যতক্ষণ না আরম্ভকারী প্রমাণ করে যে এটি ঘোষিত IP ঠিকানায় বার্তা পেতে পারে।

  4. NAT-T বিল্ট-ইন। যখন একটি VPN এন্ডপয়েন্ট NAT সম্পাদনকারী রাউটারের পিছনে থাকে তখন NAT-T বা NAT ট্র্যাভারসালের প্রয়োজন হয়। IPsec টানেলগুলি এনক্যাপসুলেটিং সিকিউরিটি পে-লোড (ESP) ব্যবহার করে ডেটা পাঠায় যা NAT এর সাথে সামঞ্জস্যপূর্ণ নয়। অতএব, ESP প্যাকেটকে UDP-তে ইনক্যাপসুলেট করতে NAT-T ব্যবহার করা হয়, যা তারপর NAT-এর মাধ্যমে রাউট করা যায়।

IPsec IKEv2 সাইটগুলি ব্যবহার করার সুবিধার বিষয়ে আরও তথ্যের জন্য, RFC 4306 দেখুন।

IKEv2 এবং IKEv1-এর মধ্যে সাদৃশ্য

নীচে IKEv1 এবং IKEv2 টানেলগুলির জন্য strongSwan কনফিগারেশনের তুলনা দেওয়া হয়েছে। strongSwan একটি ওপেন সোর্স IPsec সমাধান যা অনেক অপারেটিং সিস্টেমের জন্য, যার মধ্যে রয়েছে উইন্ডোজ এবং macOS।

IKEv1

IKEv2

 
conn cato-vpn
        auto=যোগ করুন
        compress=no
        type=tunnel
        keyexchange=ikev1
        fragmentation=yes
        forceencaps=yes
        ike=aes256-sha1-modp1024
        esp=aes256-sha1
        dpdaction=পরিষ্কার
        dpddelay=300s
        rekey=no
        left=172.16.1.62
        leftid=54.183.180.107
        leftsubnet=172.16.1.0/24
        right=45.62.177.115
        rightid=45.62.177.115
        rightsubnet=172.17.3.0/24
        authby=secret
 
conn cato-vpn
        auto=যোগ করুন
        compress=no
        type=tunnel
        keyexchange=ikev2
        fragmentation=yes
        forceencaps=yes
        ike=aes256-sha1-modp1024
        esp=aes256-sha1
        dpdaction=পরিষ্কার
        dpddelay=300s
        rekey=no
        left=172.16.1.62
        leftid=54.183.180.107
        leftsubnet=172.16.1.0/24
        right=45.62.177.115
        rightid=45.62.177.115
        rightsubnet=172.17.3.0/24
        authby=secret

একমাত্র পার্থক্য হল একটি সংখ্যা। strongSwan-কে IKEv1 থেকে IKEv2-এ রূপান্তর করার জন্য keyexchange মানকে ikev1 থেকে ikev2 পরিবর্তন করাই যথেষ্ট।

নোট: আপনি IKEv1 এবং IKEv2 সাইট উভয়ের জন্য IPSec এর গোপন কীওয়ার্ড (PSK) সর্বাধিক 64 অক্ষর পর্যন্ত নির্ধারণ করতে পারেন।

কাটো ম্যানেজমেন্ট অ্যাপ্লিকেশন-এ IKEv1 থেকে IKEv2 এ পরিবর্তন করা হচ্ছে

একটি IKEv1 টানেল থেকে IKEv2 টানেলে স্থানান্তর করার জন্য প্রয়োজনীয় ধাপগুলি নিচে তালিকাবদ্ধ করা হয়েছে।

একটি সাইটকে IKEv1 থেকে IKEv2 টানেলে স্থানান্তর করতে:

  1. নেটওয়ার্ক > সাইটসমূহ পর্দায়, যে সাইটটি আপনি IKEv1 থেকে IKEv2 এ পরিবর্তন করতে চান সেটি নির্বাচন করুন।

  2. নেটওয়ার্ক > সাইটসমূহ > [সাইটের নাম] > সাইট কনফিগারেশন > সাধারণ পর্দায়, সংযোগের ধরন ড্রপডাউনে IPsec IKEv2 নির্বাচন করুন। যখন আপনি সংযোগের ধরন পরিবর্তন করেন তখন সাইটের প্রাথমিক রেঞ্জ এবং অন্যান্য নেটওয়ার্ক হারিয়ে যায়।

    360002841277-image-0.png

  3. নেটওয়ার্ক > সাইটসমূহ > [সাইটের নাম] > সাইট কনফিগারেশন > নেটওয়ার্ক পর্দায়, প্রাথমিক রেঞ্জ এবং অন্যান্য দূরবর্তী নেটওয়ার্ক প্রবেশ করান। এগুলি হল দূরবর্তী ট্রাফিক নির্বাচক।

  4. নেটওয়ার্ক > সাইটসমূহ > [সাইটের নাম] > সাইট কনফিগারেশন > IPsec পর্দায়, প্রাথমিক বিভাগে, Cato IP (Egress) নির্বাচন করুন এবং দূরবর্তী VPN গেটওয়ের সাইট IP প্রবেশ করান।

    360002920918-image-1.png

  5. প্রাথমিক PSK এর নিচে পাসওয়ার্ড ক্ষেত্রের মধ্যে PSK প্রবেশ করান।

    360002841297-image-2.png

  6. রাউটিং বিভাগ প্রসারিত করুন, সাইটের জন্য নেটওয়ার্ক রেঞ্জ এর অধীনে রাউটিং বিকল্প যোগ করুন। এগুলি সকল নেটওয়ার্ক হওয়া উচিত যা ইতিমধ্যে Cato বা Cato VPN রেঞ্জের সাথে সংযুক্ত অন্যান্য সাইটে কনফিগার করা হয়েছে।

    360002841317-image-3.png

  7. Cato দ্বারা সংযোগ আরম্ভ করুন চেকবাক্সটি নির্বাচন করুন যাতে Cato VPN সংযোগটি আরম্ভ করে। এই কনফিগারেশন ঐচ্ছিক কিন্তু পরামর্শ দেওয়া হয় কারণ দূরবর্তী VPN গেটওয়ে হয়তো সংযোগ আরম্ভ করতে কনফিগার করা নাও থাকতে পারে।

  8. (ঐচ্ছিক) ইনিট মেসেজ প্যারামিটার বিভাগটি বিস্তার করুন, এবং সেটিংস কনফিগার করুন। বেশিরভাগ IPsec IKEv2-সমর্থিত সমাধান নিম্নলিখিত ইনিট এবং অথ প্যারামিটারগুলির স্বয়ংক্রিয় আলোচনা বাস্তবায়ন করে, Cato তাদের স্বয়ংক্রিয়ভাবে সেটিং করার সুপারিশ করে যদি না আপনার ফায়ারওয়াল প্রস্তুতকারক বিশেষভাবে নির্দেশনা প্রদান করে।

    আপনি লক্ষ্য করতে পারেন যে Init এবং Auth মেসেজ প্যারামিটারগুলি প্রায় IKEv1 এর ফেজ ১ এবং ফেজ 2 প্যারামিটারগুলির সাথে অভিন্ন, কিন্তু IKEv2-এ উভয় একটি PRF এবং ইন্টিগ্রিটি অ্যালগরিদম কনফিগারেশন বিকল্প রয়েছে। অধিকাংশ প্রস্তুতকারক বিভিন্ন PRF এবং ইন্টিগ্রিটি অ্যালগরিদম সাপোর্ট করে না, তাই যদি সন্দেহ হয়, তাদের স্বয়ংক্রিয় সেট করুন অথবা নিশ্চিত করুন যে তারা একই মানে সেট করা আছে।

  9. সংরক্ষণ করুন ক্লিক করুন।

IKEv2: চূড়ান্ত সীমান্ত

এই দিনগুলিতে, ১৯৯৯-এর মতো অথবা সঠিকভাবে বললে ১৯৯৮ সালের মতো পার্টি করার প্রকৃত প্রায় একটাই কারণ রয়েছে, যেদিন IETF দ্বারা IKEv1 প্রথম নির্ধারিত ছিল: যদি VPN সংযোগের অন্ততপক্ষে এক পক্ষ একটি লিগ্যাসি ডিভাইসে সমাপ্ত হয় যা শুধুমাত্র IKEv1 সাপোর্ট করে। প্রধান ক্লাউড প্রদানকারী (AWS, GCP, Azure, Alibaba Cloud) IKEv2 সাপোর্ট করে। সুতরাং, যদি আপনি একটি পুরনো VPN এন্ডপয়েন্টে সংযোগ না করছেন, তাহলে VPN টানেল সেট করার সময় IKEv2 আপনার প্রথম পছন্দ হওয়া উচিত।

Was this article helpful?

3 out of 3 found this helpful

0 comments