Cato Cloud a Cisco IOS/IOS-XE a través de túneles IPSec HA

Este artículo describe cómo conectar un sitio IPsec con dispositivos Cisco IOS/IOS-XE en una configuración de Alta Disponibilidad (HA) a Cato Cloud.

Ejemplo de Topología de Red

El diagrama a continuación muestra la topología de un sitio IPsec de Cato que utiliza dispositivos Cisco IOS/IOS-XE para conectarse a Cato Cloud en una configuración HA activa/pasiva.

Creación de un Sitio HA IPsec para su Cuenta con Dispositivos Cisco IOS/IOS-XE

Puede utilizar la Aplicación de Gestión de Cato para crear un sitio IPsec IKEv2 para conectar sus dispositivos Cisco a Cato Cloud. Primero necesita asignar una dirección IP para su cuenta de Cato. Luego configure los ajustes en los dispositivos Cisco para conectarse a la dirección IP pública de Cato. Finalmente, configure los ajustes del sitio IPsec para conectar los dispositivos Cisco.

Para configurar un sitio IPsec para conectar con Cato Cloud con dispositivos Cisco:

Desde la Aplicación de Gestión de Cato, asigne una IP de Peering IPsec desde un PoP primario y un PoP secundario.
1. Desde el menú de navegación, haz clic en Network(1) > IP Allocation (2).
2. En la pantalla IP Allocation, seleccione dos ubicaciones PoP que sean el PoP primario y el PoP secundario (3) para los túneles IPsec.
  
  Después de seleccionar la ubicación PoP, se muestra la dirección IP de pares IPsec correspondiente.
3. Haz clic en Guardar (4).
Desde el CLI de Cisco IOS, cree una Propuesta IKEv2 y una Política. Abra el indicador de Configurar Terminal y cree una Propuesta IKEv2 y un Perfil (similar al siguiente ejemplo):
```
crypto ikev2 proposal CATO_IKEv2_PROPOSAL
encryption aes-gcm-256
prf sha512group 21
!
crypto ikev2 policy CATO_IKEv2_POLICY
proposal CATO_IKEv2_PROPOSAL
!
```

Cree un Anillo de Claves IKEv2 y un Perfil (similar al siguiente ejemplo):

crypto ikev2 keyring CATO_KEYRING
peer Dallas
dirección x.x.x.x
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
peer Chicago y.y.y.y
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
crypto ikev2 profile CATO_IKEv2_PROFILE
match identity remote address x.x.x.x 255.255.255.255
match identity remote address y.y.y.y 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local CATO_KEYRING
!

Cree un Conjunto de Transformación y un Perfil IPsec (similar al siguiente ejemplo):

!
crypto ipsec transform-set CATO_TSET esp-gcm 256
!
crypto ipsec profile CATO_IPSEC_PROFILE
set transform-set CATO_TSET
set pfs group21
set ikev2-profile CATO_IKEv2_PROFILE
!

Cree interfaces de túnel IPsec con una fuente de túnel de la interfaz pública externa (similar al siguiente ejemplo):

interface Tunnel0
ip address 172.16.3.1 255.255.255.252
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination x.x.x.x
tunnel protection ipsec profile CATO_IPSEC_PROFILE
!
interface Tunnel1
dirección IP 172.16.4.1 255.255.255.252
fuente del túnel GigabitEthernet2
modo de túnel ipsec ipv4
destino del túnel y.y.y.y
protección del túnel perfil ipsec CATO_IPSEC_PROFILE
¡

Configure las rutas en el dispositivo Cisco según los requisitos del sitio:
1. Tráfico selectivo a Cato - Cree rutas estáticas para apuntar subredes específicas a Cato a través de las interfaces de túnel IPSec (similar al siguiente ejemplo):
```
ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel0 172.16.3.2
ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel1 172.16.4.2 250
```
2. Todo el tráfico a Cato - Cree rutas estáticas para apuntar las direcciones IP de pares de Cato hacia la Internet pública y una ruta predeterminada hacia los túneles de Cato (similar al siguiente ejemplo):
```
ip route x.x.x.x 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato Primary Peer route)
ip route y.y.y.y 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato Secondary Peer route)
ip route 0.0.0.0 0.0.0.0 Tunnel0 172.16.3.2
ip route 0.0.0.0 0.0.0.0 Tunnel1 172.16.4.2 250
```
En la Aplicación de Gestión de Cato, cree un nuevo sitio para el sitio Cisco.
1. Desde el menú de navegación, haga clic en Network (1) > Sites (2).
2. Haga clic en Nuevo (3). Se abre el panel Añadir Sitio.
Configure los ajustes para el nuevo sitio Cisco.
1. Ingrese un Nombre del Sitio (1).
2. En Tipo de Conexión (2) seleccione IPSec IKEv2.
3. Defina el País (3) y Estado (4) apropiados, si corresponde.
4. En Rango Nativo (5), especifique un rango de red que esté detrás del sitio Cisco que se comunica con los rangos conectados a Cato Cloud.
5. Haga clic en Aplicar (6).
Haga clic en el nombre del nuevo sitio para abrirlo y configurar los ajustes.
Desde el menú de navegación, seleccione Configuración del Sitio > IPSec (1), y expanda la sección de configuración del túnel Primario (2).
Defina los ajustes para el túnel IPsec primario.
1. Defina el IP Público:
  1. En Cato IP (Egress) (1), desde el menú desplegable, elija el IP del PoP primario.
  2. En el IP del Sitio (2), ingrese la dirección IP del Enlace WAN Público del Router Cisco.
2. Ingrese el PSK Primario (3).
Expanda la sección de configuración del túnel Secundario y configure los ajustes para el túnel IPsec secundario:
1. En Cato IP (Egress) (1), desde el menú desplegable, elija el IP del PoP de respaldo.
2. En el IP del Sitio (2), ingrese la dirección IP del Enlace WAN Público del Router Cisco.
3. Ingrese el PSK (3).
Expanda la sección de configuración de Enrutamiento y asegúrese de que Iniciar conexión por Cato no esté habilitado.

No especifique ninguna Rango de Red. Esta es una política basada en rutas y el router Cisco IOS construye una única asociación de seguridad 0.0.0.0 - 255.255.255.255 con la Nube de Cato.
Vaya a la parte superior de la pantalla IPsec y haga clic en Guardar.

Su sitio ahora está configurado para conectarse a Cato Cloud.