IPsec IKEv2 সাইট কনফিগার করা

এই নিবন্ধটি IPsec IKEv2 সংযোগের ধরন ব্যবহার করে সাইট তৈরি এবং কনফিগার করার পদ্ধতি সম্পর্কে আলোচনা করে। নতুন সাইট তৈরির ব্যাপারে আরও জানতে দেখুন CMA ব্যবহার করে সাইট যোগ করা

নোট: সাম্প্রতিক উন্নতির অংশ হিসেবে IPsec সাইটের জন্য একাধিক সক্রিয় টানেল চালু করতে গিয়ে গ্রাহকরা ভুল ইতিবাচক বিচ্ছিন্নতা এবং পুনঃসংযোগের ঘটনা সহ সম্পর্কিত বিজ্ঞপ্তিগুলি পেতে পারেন। এটি আপডেট প্রক্রিয়ার সময় একটি একবারের ঘটনা এবং এই ইভেন্ট এবং বিজ্ঞপ্তিগুলি নিরাপদে উপেক্ষা করা যেতে পারে। নোট করুন যে ইভেন্ট এবং বিজ্ঞপ্তি ভুল সময়মাপক অন্তর্ভুক্ত করতে পারে এবং প্রকৃত পরিষেবা ব্যাঘাতকে প্রতিফলিত করে না। এই প্রক্রিয়ার সময় IPSec টানেলগুলি সম্পূর্ণরূপে কার্যকর থাকে।

সারসংক্ষেপ

আপনি IPsec টানেলগুলি ব্যবহার করতে পারেন সাইটগুলি এবং অভ্যন্তরীণ নেটওয়ার্কগুলিকে Cato ক্লাউড এবং দূরবর্তী নেটওয়ার্কগুলির সাথে সংযোগ করার জন্য। IPsec সংযোগ সহ সাইটগুলি ব্যবহৃত হয়:

  • সাইটগুলি যেগুলি একটি পাবলিক ক্লাউডে রয়েছে, যেমন AWS বা Azure
  • বিভিন্ন অবস্থানে শাখা জন্য সাইটগুলি যা ৩য় পক্ষের ফায়ারওয়ালের পিছনে রয়েছে

যখন একটি IPsec IKEv2 সাইট কনফিগার করা হচ্ছে, আপনি সংযোগটি শুরু করতে নিম্নলিখিত বিকল্পগুলির মধ্যে একটি ব্যবহার করতে পারেন:

  • রেসপন্ডার শুধুমাত্র - ফায়ারওয়াল প্রাথমিক। সাইটের ডিভাইসটি Cato PoP এর সাথে সংযোগ শুরু করে।
  • দ্বিমুখী – সংযোগটি আপনার ফায়ারওয়াল বা Cato দ্বারা শুরু করা যেতে পারে

রেসপন্ডার শুধুমাত্র সংযোগ মোড

Cato এর IKEv2 রেসপন্ডার শুধুমাত্র সেটিং একটি সমাধান যা প্রান্তের ডিভাইসগুলির জন্য আছে যারা একটি ডায়নামিক IP ঠিকানা ব্যবহার করে অথবা যারা NAT ডিভাইসের পিছনে অবস্থান করে। (যেমন ফায়ারওয়াল বা রাউটার) এই সমাধানটি রিমোট প্রান্তের প্রান্তের ডিভাইসটি সংযোগ শুরু করতে এবং IKEv2 সংযোগ পরিচালনা করতে অনুমতি দেয়।

অতিরিক্তভাবে, যখন রেসপন্ডার শুধুমাত্র ব্যবহার করা হয়, আপনি Cato কে পুরো ডোমেইন নাম (FQDN) ব্যবহার করতে কনফিগার করতে পারেন Cato পরিচিতি হিসেবে। এটা করার সময়, Cato একটি হ্যাশ করা মান তৈরি করে এবং সেটাকে একটি IP ঠিকানাতে অনুবাদ করে আপনাকে প্রতিটি টানেলের জন্য সেরা PoP অবস্থান দেয়।

উদাহরণস্বরূপ, আপনি সংযোগ মোডকে রেসপন্ডার শুধুমাত্র এবং গন্তব্য প্রকার হিসেবে FQDN কনফিগার করেন। Cato একটি হ্যাশ করা মান তৈরি করে somevalue.ipsec.dev.catonetworks.org এর। এই মানটি পরে রিমোট সাইটে কনফিগার করা হয় এবং FQDN মান ব্যবহারকারী DNS অনুরোধের জন্য রিজলভার হিসেবে কাজ করে। PoP বিভিন্ন প্যারামিটারের উপর ভিত্তি করে নির্বাচন করা হয়, যেমন ভূলোকেশন, RTT, এবং আরও অনেক।

এই ক্ষেত্রে, PoP динамиকভাবে নির্বাচিত হয়, অর্থাৎ যে মূল PoP যা FQDN এর জন্য মনোনীত ছিল অনুপলব্ধ হলে, স্বয়ংক্রিয়ভাবে একটি নতুন PoP নির্বাচিত হবে। অতিরিক্তভাবে, আপনি যদি Cato সেরা অনুশীলন অনুসরণ করেন এবং প্রাথমিক এবং দ্বিতীয়ক টানেল নির্ধারণ করেন FQDN ব্যবহার করার সময়, Cato স্বয়ংক্রিয়ভাবে HA এর আদর্শের জন্য পৃথক PoP অবস্থান নির্বাচিত করে।

বিকল্পভাবে, কিছু ফায়ারওয়াল প্রস্তুতকারক FQDN ব্যবহার সমর্থন করেন না, এই অবস্থায় আপনি গন্তব্য প্রকার হিসাবে IPv4 নির্বাচন করতে পারেন। এই ক্ষেত্রে, আপনাকে একটি স্থির PoP অবস্থান নির্বাচন করতে হবে, এবং যদি কোনো কারণে সেই PoP উপলব্ধ না থাকে, টানেলটি উপলব্ধ হবে না। স্থিতিশীল IP ঠিকানাগুলি নির্ধারণের বিষয়ে আরও তথ্যের জন্য, দেখুন দূরবর্তী ব্যবহারকারীদের জন্য IP বরাদ্দ নীতি

দ্বিমুখী সংযোগ মোড

দ্বিমুখী সংযোগ মোডে, আপনার ডিভাইস বা Cato উভয়ই নির্বাচিত PoP থেকে আপনার সাইট এবং/অথবা ক্লাউড ডেটা সেন্টারগুলির দিকে IPsec টানেল শুরু এবং রক্ষণাবেক্ষণ করতে পারে।

যদি একটি টানেল অনুপলব্ধ থাকে, Cato কে আপনার ডিভাইসের সংযোগ শুরু করার জন্য অপেক্ষা করতে হবে না যাতে টানেলটি দ্রুত পুনরায় স্থাপন হতে পারে।

IPsec সাইটগুলি একাধিক সক্রিয় টানেল সহ

Cato আপনাকে প্রাথমিক এবং দ্বিতীয়ক HA ভূমিকার জন্য একাধিক সক্রিয় টানেল কনফিগার করার অনুমতি দেয়। একাধিক সক্রিয় টানেলগুলি আপনাকে নিম্নলিখিত কাজগুলি করতে সক্ষম করে:

  • শেষ মাইলের সুবিধা - একাধিক সক্রিয় টানেলগুলি দিয়ে আপনি নেটওয়ার্ক ট্রাফিককে বিভিন্ন পথ জুড়ে বিতরণ করতে পারেন, লোডের ভারসাম্য বজায় রাখতে এবং নেটওয়ার্ক পারফরম্যান্স উন্নত করতে সাহায্য করে।
  • অতিরিক্ততা - একাধিক সক্রিয় টানেলগুলি অতিুখ প্রদান করে। যদি একটি টানেল ব্যর্থ হয়, ট্রাফিককে অন্য সক্রিয় টানেলের মাধ্যমে পুনঃরুদ্ধ করা যেতে পারে, নিশ্চিত করে যে সংযোগ স্থাপনে কোনো বিঘ্ন ঘটবে না।
  • ৩য়-পক্ষের ইন্টিগ্রেশন - SSE সেবার জন্য ৩য়-পক্ষের SD-WAN CPEs এর সাথে ইন্টিগ্রেট করুন।
  • ট্রাফিক পৃথকীকরণ - বিভিন্ন ট্রাফিক প্রকার পৃথকীকরণের জন্য বিভিন্ন টানেল ব্যবহার করা যেতে পারে। উদাহরণস্বরূপ, একটি টানেল ভয়েস ট্রাফিকের জন্য ব্যবহার করা যেতে পারে, যখন অন্যটি ডেটা ট্রাফিকের জন্য ব্যবহার করা যেতে পারে।
ipsec-active-active.png

আপনি প্রতিটি HA ভূমিকার জন্য ৩টি সক্রিয় টানেল পর্যন্ত কনফিগার করতে পারেন, যা একই Cato PoP-এ সংযুক্ত। অর্থাৎ, সমস্ত প্রাথমিক টানেল এক PoP-এ সংযুক্ত থাকে, এবং সমস্ত দ্বিতীয়ক টানেল একটি ভিন্ন PoP-এ সংযুক্ত থাকে। প্রতিটি টানেলের অবশ্যই একটি অনন্য পরিচয়কারী থাকতে হবে, উদাহরণস্বরূপ, একটি স্থানীয় আইডি যেমন FQDN বা একটি সার্বজনীন IP ঠিকানা

একাধিক সক্রিয় টানেলের জন্য HA

ডিফল্টভাবে, যখন কোনো HA ভূমিকার সমস্ত সক্রিয় টানেল নিচে আসে, Cato স্বয়ংক্রিয়ভাবে অন্য HA ভূমিকার দিকে পরিবর্তিত হয়। অর্থাৎ, যদি প্রাথমিক HA ভূমিকার সমস্ত টানেল নিচে আসে, HA সক্রিয় হয়, এবং Cato সাইটের সমস্ত রুটের পরবর্তী হপ হিসেবে দ্বিতীয়ক টানেলগুলি ব্যবহার করে। যাইহোক, যদি প্রাথমিক HA ভূমিকার ২টি টানেল থাকে এবং একটি টানেল উপরে থাকে, একটি ফেইলওভার ঘটে না।

আপনার সংযোগের বিস্তারিত জানতে এবং IPsec টানেলের স্ট্যাটাস দেখাতে গল্পের ওয়ার্কবেঞ্চে "লিঙ্ক নিচে" গল্পগুলির মাধ্যমে টানেল নিরীক্ষণ করতে পারেন।

নোট: একটি টানেল নিচে গেছে তা নির্ধারণ করতে Cato এর ৩০ সেকেন্ড পর্যন্ত সময় লাগে।

ব্যান্ডউইডথ ব্যবস্থাপনা

আপনি IPsec সাইটের জন্য একটি ডাউনস্ট্রিম এবং আপস্ট্রিম ব্যান্ডউইডথ পরিচালনা করতে বেছে নিতে পারেন। যদি আপনি চান যে Cato ক্লাউড আপনার ডাউনস্ট্রিম ব্যান্ডউইডথ সীমাবদ্ধ করে, এখানে প্রয়োজনীয় সীমাগুলি নির্ধারণ করুন। অন্যথা, আপনার ISP লিংকের বাস্তব সংযোগ গতি অনুযায়ী মানসমূহ দিন। যদি আপনি ISP সংযোগের গতি না জানেন, এই সাইটের লাইসেন্স অনুযায়ী ডাউনস্ট্রিম ব্যান্ডউইডথটি কনফিগার করুন। আপস্ট্রিম ব্যান্ডউইডথের জন্য, Cato ক্লাউড আপস্ট্রিম ট্রাফিক নিয়ন্ত্রণ করে না, এবং একটি কঠোর সীমাবদ্ধতা দিয়ে এটিকে সীমাবদ্ধ করা সম্ভব নয়। তার পরিবর্তে, আপস্ট্রিম ব্যান্ডউইডথ সেটিংটি Cato ক্লাউডের একটি সর্বোত্তম প্রচেষ্টা।

নোট: আপনি যদি আপনার ISP লিংকের বাস্তব সংযোগ গতি থেকে বেশি আপস্ট্রিম/ডাউনস্ট্রিম মান প্রবেশ করেন, সকেট QoS ইঞ্জিন অকার্যকর থাকে।

Cato-র QoS সম্পর্কে আরও তথ্যের জন্য, দেখুন Cato ব্যান্ডউইথ ব্যবস্থাপনা প্রোফাইলগুলি কী

একাধিক সক্রিয় টানেলের QoS-এর জন্য, নিচে দেখুন একাধিক সক্রিয় টানেলের জন্য রাউটিং QoS

পূর্বশর্ত

  • আপনার নেটওয়ার্কের ট্রাফিকের কেবল অংশ যদি Cato ক্লাউড-এ পাঠানো হয়, আপনার নেটওয়ার্ক সরঞ্জামগুলি নিম্নলিখিত IP ঠিকানাগুলিকে আপনার রাউটিং টেবিলে অন্তর্ভুক্ত করার জন্য কনফিগার করুন Cato ক্লাউড-এ।

    • 10.254.254.1
    • 10.254.254.5
    • 10.254.254.253
    • 10.41.0.0/16 যদি না আপনি আপনার নেটওয়ার্ক এর নিজস্ব VPN ব্যবহারকারীদের IP ঠিকানা সীমাবদ্ধতা কনফিগার করেছেন

  • যখন IPsec সাইটগুলি ১০০Mbps বা বেশি ব্যান্ডউইডথের সাথে সংযুক্ত থাকে, শুধুমাত্র AES 128 GCM-16 বা AES 256 GCM-16 অ্যালগোরিদম ব্যবহার করুন। AES CBC অ্যালগোরিদম শুধুমাত্র তাদের সাইটগুলিতে ব্যবহার করা হয় যেসব সাইটগুলিতে ব্যান্ডউইডথ ১০০Mbps এর কম।

    এই নির্দেশিকাগুলি GCM এনক্রিপশন بیشتر কার্যকর এবং সম্প্রসারনক্ষম হয়ে থাকে কারণ CBC-এর তুলনায়, Cato ক্লাউডে উচ্চ থ্রুপুট এনক্রিপ্টেড ট্রাফিকের জন্য আরও ভাল পারফরমেন্স এবং নির্ভরযোগ্যতা সক্ষম করে।

  • Cato IPsec IKEv2 সাইটসমূহ 256 বিট পর্যন্ত নন্স দৈর্ঘ্য সাপোর্ট করে।
  • FTP ট্রাফিকের জন্য, Cato FTP সার্ভার কনফিগার করতে 30 সেকেন্ড বা তার বেশি সংযোগ টাইমআউট সুপারিশ করে।
  • আপনি IPSec শেয়ার করা সিক্রেট (PSK) 64 অক্ষর পর্যন্ত সেট করতে পারেন।
  • যেসকল সাইট Zscaler পরিবেশের সাথে সংযুক্ত, একটি আপগ্রেডেড Zscaler লাইসেন্স প্রয়োজন এনক্রিপশন নির্বাচন সক্রিয় করতে Phase2-এ।

IKEv2 সাইট যোগ করা হচ্ছে

একটি নতুন IPsec IKEv2 সাইট তৈরি করুন, তারপর IKEv2 সেটিংসের জন্য এটি কনফিগার করুন এবং প্রাথমিক এবং দ্বিতীয়ক টানেলের জন্য Cato বরাদ্দকৃত IP ঠিকানা নিয়োগ করুন। আরও তথ্যের জন্য, অ্যাকাউন্টের জন্য IP অ্যাড্রেস অ্যাসাইন করা দেখুন।

নতুন IPsec সাইট তৈরি করতে:

  1. নেভিগেশন মেনু থেকে, নেটওয়ার্ক > সাইটসমূহ এ ক্লিক করুন এবং নতুন এ ক্লিক করুন।

    সাইট যোগ করুন প্যানেলটি খুলবে,

  2. সাইটের জন্য সেটিংস কনফিগার করুন:

    • নাম: সাইটের জন্য নাম
    • ধরন: টপোলজি পেজে প্রদর্শিত আইকন
    • সংযোগের ধরন: নির্বাচন করুন IPsec IKEv2
    • দেশ: সাইট যেখানে অবস্থিত
    • রাজ্য: রাজ্য যেখানে সাইট অবস্থিত (যেখানে প্রযোজ্য)
    • লাইসেন্স: সাইটের জন্য উপযুক্ত ব্যান্ডউইথ লাইসেন্স নির্বাচন করুন
    • প্রাথমিক রেঞ্জ: IPSec সাইটের জন্য LAN সাবনেট
  3. নতুন এ ক্লিক করুন।

IPsec IKEv2 সেটিংস কনফিগার করা হচ্ছে

আপনি যখন একটি নতুন সাইট তৈরি করেন যা কাটো ক্লাউডের সাথে সংযোগ করতে IPsec IKEv2 ব্যবহার করে, তখন সাইটটি সম্পাদনা করুন এবং IPsec সেটিংস কনফিগার করুন।

নোট

গুরুত্বপূর্ণ: আমরা দৃঢ়তার সাথে সুপারিশ করছি যে আপনি উচ্চতর প্রাপ্যতার জন্য একটি গৌণ টানেল (বিভিন্ন কাটো পাবলিক IP গুলি সহ) কনফিগার করুন। অন্যথায়, সাইটের কাটো ক্লাউডের সাথে সংযোগ হারানোর ঝুঁকি রয়েছে।

সংযোগ পদ্ধতি সেটিংসে ব্যবহার করুন এটা সংজ্ঞায়িত করতে যে কাটো PoP শুধু দূরবর্তী সাইট থেকে সংযোগের প্রতিক্রিয়া দেয়, ফায়ারওয়াল শুরু (শুধুমাত্র প্রতিক্রিয়া), অথবা সংযোগের উদ্ভবও করতে পারে (দ্বিমুখী)।

যে সাইটগুলি ডায়নামিক IP এর সাথে কাজ করছে তাদের জন্য, Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন সাইটটির জন্য একটি স্থানীয় আইডি তৈরি করে, যা আপনার চয়ন করা প্রমাণীকরণ পরিচিতি এর জন্য ব্যবহৃত হয়। ব্যবহার করুন Authentication Identifier যা তৃতীয় পক্ষের ডিভাইসের জন্য প্রয়োজনীয়: FQDN, ইমেল, বা KEY_ID, এবং আপনার তৃতীয় পক্ষের ডিভাইসের IKE সেটিংসে স্থানীয় আইডি প্রবেশ করুন।

স্থানীয় আইডির পাশাপাশি, প্রমাণীকরণের জন্য একটি পূর্ব-শেয়ার করা কী (PSK) কনফিগার করুন। আপনি ডিভাইসের উপর BGP এর সাথে প্রাথমিক এবং দ্বিতীয়ক IPsec টানেলও সংজ্ঞায়িত করতে পারেন, যা উচ্চ প্রাপ্যতা প্রদান করে। এটা করে, কাটো ক্লাউড স্বয়ংক্রিয়ভাবে BGP রুট মেট্রিকগুলিকে সামঞ্জস্য করে প্রাথমিক টানেলকে অগ্রাধিকার দিয়ে, এবং এটি সংযোগ বিচ্ছিন্ন হয়ে গেলে, সাইটটি স্বয়ংক্রিয়ভাবে গৌণ টানেলে চলে যায়।

একটি IPsec IKEv2 সাইটের জন্য সেটিংস কনফিগার করতে:

  1. নেভিগেশন মেনু থেকে, নেটওয়ার্ক > সাইটসমূহ এবং সাইট নির্বাচন করুন।
  2. নেভিগেশন মেনু থেকে, সাইট সেটিংস > IPsec এ ক্লিক করুন।

  3. সাধারণ বিভাগ প্রসারিত করুন এবং সাইটটি PoP-এ কিভাবে সংযোগ এবং প্রমাণীকরণের সংজ্ঞা দিন:

    1. সাইটের জন্য সংযোগ মোড নির্বাচন করুন:

      • রেসপন্ডার শুধুমাত্র – ফায়ারওয়াল শুরু। সাইটের ফায়ারওয়াল সংযোগ শুরু করে, এবং Cato সাড়া দেয়।
      • দ্বিমুখী - Cato PoP ইনকামিং সংযোগের জন্য আলোচনার প্রতিক্রিয়া দেয় এবং আউটগোয়িং আলোচনার শুরু করে।

    2. অনুমোদন পরিচিতি নির্বাচন করুন।

      • IPv4 - সাইটের জন্য আপনি প্রাথমিক এবং দ্বিতীয়ক অংশে যেই স্থিতিশীল আইপি ঠিকানা কনফিগার করেছেন তা ব্যবহার করুন

        কাটো PoP-এর মাধ্যমে IPSec-এ বর্তমানে IPv6 সমর্থিত নয়।

      • FQDN, ইমেইল, KEY_ID - একটি লোকাল আইডি যে ফর্মেটে তৈরি হয়

  4. প্রাথমিক বিভাগ সম্প্রসারণ করুন, এবং প্রাথমিক IPsec টানেল-এর জন্য নিম্নলিখিত সেটিংস কনফিগার করুন:

    • গন্তব্য প্রকার এ, বা FQDN বা IPv4 নির্বাচন করুন। গন্তব্যটি HA ভূমিকায় (প্রাথমিক অথবা দ্বিতীয়ক) সমস্ত সক্রিয় টানেলের জন্য একই হতে হবে।

      • FQDN - একটি Cato দ্বারা উৎপন্ন হ্যাশড FQDN মান তৈরি হয়। এই মানটি নির্দিষ্ট টানেলের জন্য অনন্য। এটি সেই মান যা আপনি আপনার ফায়ারওয়ালকে প্রদান করবেন।

        নির্বাচিত হলে, আপনাকে PoP অবস্থানও নির্ধারণ করতে হবে। কাটো আপনাকে স্বয়ংক্রিয় ব্যবহার করতে সুপারিশ করে যাতে আপনার জন্য সেরা PoP নির্বাচিত হয়। আপনি যদি নির্দিষ্ট অবস্থান নির্বাচন করেন এবং সহ যেকোন একটি সাইট কনফিগার করছেন, বিভিন্ন স্থানের নির্বাচন নিশ্চিত করুন।

      • IPv4 - Cato IP (Egress) ড্রপ-ডাউন থেকে একটি স্থিতিশীল আইপি ঠিকানা নির্বাচন করুন।

  5. নতুনটানেল যোগ করুন পৃষ্ঠাটি উপস্থিত হয়।

    1. ভূমিকা এর অধীনে, কোন লজিক্যাল WAN ইন্টারফেস টানেলের জন্য ব্যবহার করা হবে তা নির্বাচন করুন। WAN ভূমিকা নেটওয়ার্ক নিয়ম নেটওয়ার্ক নিয়ম নীতিতে প্রায়োরিটি ভিত্তিক রাউটিংয়ের জন্য ব্যবহৃত হয়।
    2. নাম এর অধীনে, একটি বর্ণনামূলক নাম লিখুন
    3. সর্বজনীন আইপি এর অধীনে, এই টানেলের জন্য সর্বজনীন আইপি ঠিকানা লিখুন। প্রত্যেক টানেল অবশ্যই একটি ভিন্ন সর্বজনীন আইপি ঠিকানা ব্যবহার করতে হবে।

    4. যে সাইটগুলি BGP ব্যবহার করে, তাদের প্রাইভেট আইপিগুলি কনফিগার করুন:

      • Cato - IPsec টানেল আরম্ভ করে এমন Cato PoP এবং IP ঠিকানা লিখুন
      • সাইট - BGP পীয়ারের ব্যক্তিগত IP ঠিকানা লিখুন
    5. শেষ-মাইল ব্যান্ডউইথ এ, সাইটের জন্য উপলব্ধ সর্বাধিক ডাউনস্ট্রিম এবং আপস্ট্রিম ব্যান্ডউইথ (Mbps) কনফিগার করুন।
    6. PSK এ, শেয়ার করা প্রাইমারি IPsec টানেলের গোপনীয়তা প্রবেশ করতে পাসওয়ার্ড সম্পাদনা করুন ক্লিক করুন।

  6. প্রয়োগ করুন এ ক্লিক করুন। টানেলটি প্রাথমিক টেবিলে যোগ করা হয়েছে।

    primary-ipsec-tunnel.png
  7. যেসকল সাইটগুলি একটি দ্বিতীয়ক IPsec টানেল ব্যবহার করে, দ্বিতীয়ক বিভাগ প্রসারিত করুন এবং পূর্ববর্তী পদক্ষেপে সেটিংস কনফিগার করুন, এবং তারপর সংরক্ষণ ক্লিক করুন।
  8. যেসকল সাইটগুলি একাধিক সক্রিয়/সক্রিয় টানেল ব্যবহার করে, পদক্ষেপ 5-7 পুনরাবৃত্তি করুন।

  9. (ঐচ্ছিক) Init Message লেখার বিভাগ প্লাগ এবং সেটিংস কনফিগার করুন। নিচে দেখুন Init এবং Auth প্যারামিটার জন্য বৈধ প্যারামিটার।

    যেহেতু বেশিরভাগ IPsec IKEv2 সমর্থনকারী সমাধান স্বয়ংক্রিয়ভাবে নিচের Init এবং Auth প্যারামিটারগুলির আলোচনা বাস্তবায়ন করে, আমরা আপনাকে এগুলোকে Automatic সেট করার সুপারিশ করছি, যদি না আপনার ফায়ারওয়াল প্রস্তুতকারকের দ্বারা আপনাকে বিশেষভাবে প্রণীত করা হয়।

  10. (ঐচ্ছিক) Auth প্যারামিটার বিভাগ প্রসারিত করুন এবং সেটিংস কনফিগার করুন। নীচের Init and Auth Parameters দেখুন।

  11. রাউটিং সেকশন বিস্তৃত করুন, এবং সাইটের জন্য রাউটিং অপশন নির্ধারণ করুন:

    ipsec_routing.png
    • রিমোট সাইডের জন্য যারা এই টানেলের জন্য SAs (নিরাপত্তা সহযোগিতা) নির্ধারিত করেছে তাদের সাথে IPsec সংযোগের জন্য, নেটওয়ার্ক পরিসীমায়, SAs এর জন্য রিমোট IP রেঞ্জগুলি (সাধারণত অন্যান্য সাইট থেকে নেটওয়ার্ক) এই ফর্ম্যাটে লিখুন <লেবেল:IP পরিসীমা> এবং ডিভাইস যোগ করুন ক্লিক করুন।

    • SAs এর জন্য স্থানীয় IP পরিসীমাগুলি স্থানীয় ট্রাফিক সিলেক্টর এবং পেয়ার ট্রাফিক সিলেক্টর অন্তর্ভুক্ত করে, সাইট কনফিগারেশন > নেটওয়ার্ক পৃষ্ঠায় কনফিগার করা হয়েছে।

      ipsec_ikev2_native.png
      যে স্থানীয় নেটওয়ার্কগুলি আপনি IPsec পীয়ারের জন্য যা সেট করেছেন তার সাথে মিলিত আছে কিনা যাচাই করুন।

      নোট: কোন নেটওয়ার্ক পরিসীমা যদি একটি IPsec IKEv2 সাইটের জন্য কনফিগার না করা হয়, তাহলে VPN এর আচরণ পীয়ার ডিভাইসে কনফিগার করা ট্রাফিক নির্বাচকদের উপর নির্ভর করে:

      • যদি পীয়ার ডিভাইস 0.0.0.0/0 <> 0.0.0.0/0 ব্যবহার করে, তাহলে টানেলটি একটি রুট-ভিত্তিক VPN হিসেবে কাজ করে
      • যদি পীয়ার ডিভাইস নির্দিষ্ট ট্রাফিক নির্বাচক ব্যবহার করে, তাহলে টানেলটি একটি নীতি-ভিত্তিক VPN হিসেবে কাজ করে

  12. সংরক্ষণ এ ক্লিক করুন।

    এই সেটিংসগুলির জন্য সেরা PoP অবস্থানগুলি নির্ধারণ করার জন্য, ফায়ারওয়ালে প্রাথমিক এবং গৌণ পুরো ডোমেইন নাম মান প্রবেশ করার আগে কমপক্ষে 3 মিনিট অপেক্ষা করুন।

  13. আপনার সংযোগের বিবরণ এবং এই সাইটের জন্য IPsec টানেলের স্থিতি দেখানোর জন্য, সংযোগের স্থিতি ক্লিক করুন।

একাধিক সক্রিয় টানেলের জন্য রাউটিং QoS

ডিফল্টভাবে, Cato শুধুমাত্র ডাউনস্ট্রিম ট্র্যাফিক নিয়ন্ত্রণ করতে সক্ষম। স্বাস্থ্য মেট্রিক, লিঙ্ক পছন্দ এবং প্রতিটি লিঙ্কের জন্য কনফিগার করা ব্যান্ডউইডথগুলির আনুপাতিক অনুপাতের ভিত্তিতে ট্র্যাফিক টানেল (WAN লিঙ্ক) জুড়ে বিতরণ করা হয়। স্বাস্থ্য মেট্রিক প্রতি সেকেন্ডে পুনরায় গণনা করা হয় এবং ট্র্যাফিক প্রতি ১০ সেকেন্ডে সর্বোত্তম কার্যক্ষম লিঙ্কে পুনর্বন্টন করা হয়।

আপস্ট্রীম ট্র্যাফিক দূরবর্তী IPsec পিয়ার এবং পিয়ার যে নীতি ভিত্তিক রুটিংটি ব্যবহার করে তা দ্বারা নিয়ন্ত্রিত হয়।

আপনি নেটওয়ার্ক নিয়ম ব্যবহার করে নিম্নগতির ট্রাফিকের জন্য WAN লিঙ্ক নির্বাচন প্রতিস্থাপন করতে পারেন। আপনি কোন নির্দিষ্ট ট্র্যাফিক টিউপলের জন্য কোন WAN লিঙ্ক ব্যবহার করা হবে তা নির্ধারণ করতে একটি নিয়ম কনফিগার করতে পারেন, সেই ক্ষেত্রে ট্র্যাফিকটি নিয়মে কনফিগার করা WAN লিঙ্কে পাঠানো হবে, এবং এটি যে টানেলে এসেছে তা নয়।

active-active-rule.png

Init এবং Auth Parameters

ইনিট এবং প্রমাণীকরণ পরামিতি নির্ধারণের সময় নিম্নলিখিত পরামিতিগুলি উপলব্ধ। আপনার ফায়ারওয়াল প্রস্তুতকারক द्वारा অন্যথায় নির্দেশিত না হলে Cato সুপারিশ করছে যে আপনি এই পরামিতিগুলিকে স্বয়ংক্রিয় সেট করুন।

প্যারামিটার

বৈধ মানসমূহ

এনক্রিপশন অ্যালগরিদম

  • স্বয়ংক্রিয়

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

ছদ্ম র্যান্ডম

  • স্বয়ংক্রিয়

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

ইন্টিগ্রিটি অ্যালগরিদম

  • স্বয়ংক্রিয়

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

ডিফি-হেলম্যান গ্রুপ

  • 2 (1024-বিট)

  • 5 (1536-বিট)

  • 14 (2048-বিট)

  • 15 (3072-বিট)

  • 16 (4096-বিট)

  • 19 (256-বিট র্যান্ডম)

  • 20 (384-বিট র্যান্ডম)

সাইটের জন্য ডিফল্ট IKEv2 প্যারামিটারস

নিম্নলিখিত IKEv2 পরামিতির জন্য ডিফল্ট মানগুলির তালিকা। যদি আপনার একটি কাস্টম মান প্রয়োজন হয়, অনুগ্রহ করে সাপোর্টের সাথে যোগাযোগ করুন

প্যারামিটার

মান

কিপ-অ্যালাইভ চেক (খালি তথ্য অনুরোধ পাঠায়)। সাইট টানেলে কোনো ডেটা গ্রহণ না করলে সেকেন্ডের সংখ্যা।

10 সেকেন্ড

পুনঃপ্রেরণ বিরতি (সেকেন্ডে)।

এই প্যারামিটার জন্য একটি কাস্টম মান কনফিগার করা সম্ভব নয়।

10 সেকেন্ড

পুনঃপ্রেরণের সর্বাধিক সংখ্যা।

এই প্যারামিটারের জন্য একটি কাস্টম মান কনফিগার করা সম্ভব নয়।

5 পুনঃপ্রেরণ

সর্বাধিক সময় বিরতি যখন সাইট কিপ-অ্যালাইভ চেকগুলির কোনো ডেটা বা সাড়া গ্রহণ করে না। এই সময়ের পরে সাইট টানেলটি ভেঙ্গে দেয় এবং এটি পুনঃনির্মাণের চেষ্টা করে।

60 সেকেন্ড

সময় বিরতি যখন সাইট একটি নিম্ন টানেল পুনর্নির্মাণের চেষ্টা করে যা নীচে যাচ্ছে এবং উপরে উঠতে ব্যর্থ হয়।

প্রতি 90 সেকেন্ড

IKE SA লাইফটাইম (IPsec ফেজ 1)। আপনি এই প্যারামিটারের জন্য মান কনফিগার করতে পারেন একটি সাইটের জন্য উন্নত কনফিগারেশন ব্যবহার করে

19,800 সেকেন্ড (প্রায় 5.5 ঘন্টা)

চাইল্ড SA লাইফটাইম (IPsec ফেজ 2)।

৩,৬০০ সেকেন্ড (১ ঘন্টা)

IKEv2 সাইটগুলির জন্য একটি সিঙ্গেল ট্রাফিক সিলেক্টর পাঠানো

একটি চাইল্ড এসএ তৈরি করার সময়, Cato RFC 7295 অনুযায়ী একই TS পে-লোডে একাধিক ট্রাফিক সিলেক্টর (TS) পাঠায়। কিছু তৃতীয় পক্ষের সমাধান, যেমন Cisco ASA, প্রত্যেক চাইল্ড এসএ-তে কেবল একটি TS সাপোর্ট করে। Cisco ASA একটি TS_UNACCEPTABLE বার্তা পাঠাবে একটি Cato প্রস্তাবে যেখানে একাধিক TS সহ একটি চাইল্ড এসএ তৈরি করার কথা বলা হয়েছে।

আপনার অ্যাকাউন্ট বা একটি নির্দিষ্ট IPsec IKEv2 সাইট কনফিগার করতে পারেন প্রতিটি TS কে একটি পৃথক প্যাকেটে পাঠানোর জন্য, এই কনফিগারেশন সক্ষম করে তৃতীয়-পক্ষ সমাধানগুলির সাথে ইন্টারোপারেবিলিটি সমর্থন করতে সাইট কনফিগারেশন > উন্নত কনফিগারেশন এর অধীনে।

HA এর জন্য AWS VPC-তে দুটি টানেলে সংযোগ করা

Cato আপনাকে BGP ব্যবহার করে দুটি IPsec টানেলের উপর আপনার AWS VPC কে Cato ক্লাউডের সাথে উচ্চ উপলভ্যতা (HA) কনফিগারেশনের জন্য সংযুক্ত করতে দেয়। AWS ডুয়াল টানেল কেবল তখনই সমর্থিত যখন আপনি দুটি গ্রাহক গেটওয়ে নির্ধারণ করেন এবং প্রতিটি ভিন্ন Cato পাবলিক IP ঠিকানাকে প্রতিনিধিত্ব করে। এগুলি হলো প্রয়োজনীয়তাসমূহঃ

  • দুইটি Cato পাবলিক IP ঠিকানা
  • একই VPC-এ দুটি গ্রাহক গেটওয়ে এবং প্রতিটি একটি Cato পাবলিক IP ঠিকানায় নিয়োগকৃত
  • AWS-এ, দুটি সাইট-টু-সাইট সংযোগ

পরিচিত সীমাবদ্ধতা

  • একাধিক-ভোক্তা অ্যাকাউন্টগুলির জন্য (যেমন Cato পার্টনার), নিশ্চিত করুন যে প্রতিটি অ্যাকাউন্ট IP ঠিকানা ব্যবহার করছে যা ভিন্ন PoP অবস্থান থেকে IPsec টানেলগুলির জন্য বরাদ্দ করা হয়েছে। উদাহরণস্বরূপ, account1 একটি IP ব্যবহার করে যা Frankfurt PoP থেকে বরাদ্দকৃত, এবং account2 একটি IP ব্যবহার করা উচিত যা সাধারণত Munich PoP অবস্থান থেকে বরাদ্দকৃত।

এই নিবন্ধটি কি সহায়ক ছিল?

5 জনের মধ্যে 3 জন এটিকে সহায়ক বলে মনে করেছেন

0 মন্তব্য