Configuración de Sitios IPsec IKEv1

Este artículo explica cómo configurar sitios que utilizan el tipo de conexión IPsec IKEv1. Para más información sobre cómo crear un nuevo sitio, ver Usar el CMA para Agregar Sitios.

Resumen de Conexiones IPsec IKEv1

Cato puede iniciar y mantener túneles IPsec IKEv1 desde PoPs seleccionados hacia tus sitios y/o centros de datos en la nube.

Nota

Nota: Si solo estás enviando parte de tu tráfico de red a través de Cato Cloud, configura tu equipo de red para incluir los siguientes rangos IP en tu tabla de enrutamiento a Cato Cloud:

  • 10.254.254.0/24 - subred predeterminada reservada para tráfico sobre el Cato Cloud (para cuentas con un rango personalizado, use la subred personalizada)

  • 10.41.0.0/16 - a menos que haya configurado el rango de direcciones IP de Usuarios SDP de su red (ver Política de Asignación de IP para Usuarios Remotos)

Conectar Dos Túneles a una VPC de AWS para HA

Cato te permite conectar tu VPC de AWS a Cato Cloud usando BGP sobre dos túneles IPsec para una configuración de alta disponibilidad (HA). Los túneles duales de AWS solo se soportan cuando defines dos gateways de cliente, y cada uno representa una dirección IP pública diferente de Cato. Estos son los requisitos:

  • Dos direcciones IP públicas de Cato

  • Configurar dos puertas de enlace de cliente en la misma VPC y cada una está asignada a una dirección IP pública de Cato

  • En AWS, configurar dos conexiones de sitio a sitio

Configurando un Sitio IPsec IKEv1

Después de crear un nuevo sitio que utiliza IPsec IKEv1 para conectarse a Cato Cloud, edita el sitio y configura los ajustes de IPsec.

Para más información sobre direcciones IP únicas, consulta Asignación de Direcciones IP para la Cuenta.

Nota

IMPORTANTE: Recomendamos encarecidamente que configures un túnel secundario (con diferentes IPs públicas de Cato) para alta disponibilidad. De lo contrario, existe el riesgo de que el sitio pueda perder conectividad con Cato Cloud.

Puedes elegir gestionar el ancho de banda de descenso y ascenso para un sitio IPsec. Si deseas que Cato Cloud limite tu ancho de banda de descenso, introduce los límites requeridos en consecuencia. De lo contrario, introduce los valores definidos por la velocidad de conexión real de tu enlace ISP. Si no conoces la velocidad de conexión del ISP, configura el ancho de banda de descenso de acuerdo a la licencia de este sitio. Para el ancho de banda de subida, Cato Cloud no controla el tráfico de subida, y no es posible limitarlo con un límite rígido. En su lugar, la configuración del ancho de banda de subida es un esfuerzo máximo por parte de Cato Cloud.

Si está utilizando Específico: x.x.x.x/y<-->a.a.a.a/b (Un túnel desde cada rango local a rangos remotos específicos) enrutamiento para el sitio, revise ??? antes de comenzar a configurar la configuración de IPsec.

Mejor Práctica: Configure los ajustes de Detección de Par Muerto (DPD) para la Fase II de IKEv1 para reiniciar automáticamente la conexión si no hay respuesta DPD. También puede definir con qué frecuencia envía el Cato Cloud un paquete DPD y monitorea el estado del túnel (el intervalo máximo entre paquetes DPD es de 35 segundos).

  • Para sitios IPsec con ancho de banda superior a 100Mbps, use solo los algoritmos AES 128 GCM-16 o AES 256 GCM-16. Los algoritmos AES CBC solo se utilizan en sitios con ancho de banda inferior a 100Mbps.

  • Para el tráfico FTP, Cato recomienda configurar el servidor FTP con un tiempo de espera de conexión de 30 segundos o más.

  • Los sitios Cato IPsec IKEv1 soportan una longitud de nonce de hasta 48 bits.

  • Puede establecer la clave precompartida de IPSec (PSK) hasta 64 caracteres.

El Tiempo de Vida SA es el período en el que la clave de cifrado es válida antes de que expire y se requiera una nueva clave. No puedes configurar el Tiempo de Vida SA para los parámetros de IKEv1 Fase 1 y Fase 2, los ajustes son:

  • Fase 1 - 86,400 segundos (24 horas)

  • Fase 2 - 3,600 segundos (1 hora)

Nota

Nota: Si introduces valores de subida/bajada mayores que la velocidad de conexión real del enlace de tu ISP, el motor de QoS del Socket es ineficaz.

Para más sobre QoS en Cato, consulte Cuáles son los Perfiles de Gestión de Ancho de Banda de Cato.

ikev1_sitio.png

Para configurar los ajustes de un sitio IPsec IKEv1:

  1. Desde el menú de navegación, haga clic en Red > Sitios y seleccione el sitio.

  2. Desde el menú de navegación, haga clic en Configuración del Sitio > IPsec.

  3. Expanda la sección General y seleccione un tipo de par IPsec preconfigurado (como AWS o Azure), o seleccione Genérico.

  4. Expande la sección Primary, y configura los siguientes ajustes para el túnel IPsec primario:

    • En Public IP > Cato IP (Egress), selecciona el PoP de Cato y la dirección IP que inicia el túnel IPsec.

      Si necesitas una dirección IP diferente asignada a tu cuenta, haz clic en IP Allocation Settings y selecciona la ubicación del PoP y la dirección IP.

    • En IP pública > IP del sitio, ingrese la dirección IP pública donde se inicia el túnel IPsec.

    • Para los sitios que utilizan enrutamiento dinámico BGP, puede ingresar las IP privadas que están dentro del túnel VPN.

    • En Ancho de banda, configure el ancho de banda máximo disponible de Descarga y Carga (Mbps) para el sitio.

    • En PSK principal, haga clic en Editar contraseña para ingresar la clave precompartida para el túnel IPsec principal.

    Nota: Puedes opcionalmente usar la misma dirección IP asignada para uno o más sitios IPsec siempre que la IP del Sitio sea diferente para cada sitio. Cato recomienda usar IPs asignadas diferentes para cada sitio.

  5. (Opcional) Expanda la sección Parámetros de Fase I IKEv1 y configure los ajustes.

    1. En la sección Algoritmo, seleccione el Algoritmo de cifrado: AES-CBC-128 o AES-CBC-256

    2. En la sección Algoritmo, seleccione el Algoritmo de hash: MD5, SHA1 o SHA256

    3. En Grupo de Diffie-Hellman, seleccione la longitud de clave que se utiliza en el cifrado: 2 (1024-bit), 5 (1536-bit), 14 (2048-bit), 15 (3072-bit), 16 (4096-bit)

  6. (Opcional) Expanda la sección Parámetros de la Fase II de IKEv1 y configure los ajustes.

    1. En la sección Algoritmos, seleccione el Algoritmo de cifrado: AES-CBC-128, AES-CBC-256, AES-GCM-128 o AES-GCM-256

    2. En la sección Algoritmo, seleccione el Algoritmo de hash: MD5, SHA1 o SHA256

    3. Para configurar los ajustes del Grupo de Diffie-Hellman de fase II, primero habilite Secreto Perfecto hacia Adelante.

      1. En Secreto Perfecto hacia Adelante, seleccione Habilitar "protección" de transmisiones pasadas contra futuros compromisos de claves secretas para habilitar esta función para el sitio.

      2. En Grupo de Diffie-Hellman, seleccione la longitud de clave que se utiliza en el cifrado: 2 (1024-bit), 5 (1536-bit), 14 (2048-bit), 15 (3072-bit), 16 (4096-bit)

  7. Configure los ajustes de DPD para los parámetros de la Fase II de IKEv1:

    1. Seleccione Intervalo de mantenimiento (seg) e ingrese el número de segundos entre paquetes de mantenimiento (el valor máximo es 35).

    2. (Mejor Práctica) Seleccione Reiniciar conexión sin respuesta de DPD para habilitar el reinicio de una conexión IPsec cuando no se recibe respuesta para los paquetes DPD dentro de los 35 segundos.

      Para deshabilitar DPD para el sitio, limpie Intervalo de mantenimiento (seg).

  8. Expande la sección Routing y selecciona la opción de enrutamiento para el sitio:

    • Implícito: 0.0.0.0/0<-->0.0.0.0/0 (Un solo túnel desde todos los rangos locales a todos los rangos remotos) - todo el tráfico WAN se transmite a través de la conexión IPsec en un único túnel de Fase II con una clave de cifrado (una para cada par de ESP SAs).

    • Explícito: x.x.x.x/y<-->0.0.0.0/0 (Un túnel desde cada rango local a todos los rangos remotos) - todo el tráfico WAN se transmite a través de la conexión IPsec en un solo túnel de Fase II para los rangos IP locales para el sitio a todos los rangos IP remotos con una clave de cifrado (un ESP SA para cada rango local).

    • Específico: x.x.x.x/y<-->a.a.a.a/b (Un túnel desde cada rango local a rangos remotos específicos) - ver abajo ???

  9. Haz clic en Guardar.

  10. Para sitios que usan un túnel IPsec secundario, expande la sección Secondary y configura los ajustes del paso anterior, luego haz clic en Guardar.

  11. Para mostrar tus detalles de conexión y estado del túnel IPsec para este sitio, haz clic en Estado de Conexión.

Configuración del Enrutamiento Específico

Cuando elije el Enrutamiento Específico para el sitio IPsec, todo el tráfico de WAN se transmite sobre la conexión IPsec en un túnel de Fase II utilizando una malla completa entre los rangos de IP locales y remotos.

Antes de comenzar a configurar la configuración de IPsec para el sitio, verifique que las redes locales coincidan con lo que se configuró para el par IPsec.

  • Los rangos de IP locales (subredes ubicadas detrás del par IPsec) están definidos en la página Configuración del Sitio > Redes:

    ipsec_native.png

  • Los rangos de IP remotos (típicamente redes de otros sitios) están definidos en la sección Enrutamiento después de seleccionar la opción Específica.

    IPsec_IKEv1_Routing.png

    • Haga clic en Agregar para ingresar los rangos de IP

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios