Vous pouvez utiliser des tunnels IPsec pour connecter des sites et les réseaux internes au Cloud de Cato et aux réseaux distants. En général, les sites avec des connexions IPsec sont utilisés pour :
-
Sites qui sont dans un cloud public comme AWS et Azure
-
Sites pour bureaux qui utilisent un pare-feu tiers
Le Cloud de Cato prend en charge les connexions IPsec pour IKEv1 et IKEv2. Nous vous recommandons d'utiliser IKEv2, cependant, certaines technologies ne supportent que IKEv1.
Pour les appareils Cisco ASA, il existe une incompatibilité connue avec les sites IKEv2 de Cato, voir Configurer des sites IPsec IKEv2.
Pour le trafic FTP, Cato recommande de configurer le serveur FTP avec un délai d'attente de connexion de 30 secondes ou plus.
Le type de connexion IPsec IKEv1 est initié par Cato. Le Cloud de Cato est responsable de la création de la connexion IPsec vers le site. Si la connexion est interrompue, le Cato Cloud tente de la rétablir
Le range natif pour un site est l'adresse IPv4 (et CIDR) pour le réseau LAN principal qui se trouve derrière le pare-feu ou l'appareil routeur.
Vous pouvez configurer les paramètres du range natif dans Réseau > <site> > Configuration du site > Réseaux. Vous pouvez également utiliser cette section pour configurer des ranges de réseaux supplémentaires pour le site.
Les sites IPsec supportent un tunnel VPN principal et un secondaire optionnel. Vous pouvez configurer chaque tunnel pour se connecter à un PoP différent afin de fournir une résilience. Cependant, contrairement aux Sockets Cato, les connexions IPsec ne se connectent pas automatiquement à différents PoP s'il y a un problème. Elles ne peuvent se connecter qu'à l'adresse IP de destination qui est configurée pour chaque tunnel.
Remarque
IMPORTANT : Nous vous recommandons fortement de configurer un tunnel secondaire (avec des IPs publiques de Cato différentes) pour une haute disponibilité. Sinon, il existe un risque que le site puisse perdre la connectivité avec le Cloud de Cato.
Pour les sites qui utilisent IKEv1, il existe des types de service préconfigurés pour AWS et Azure.
-
IP de Cato (Egress) pour les tunnels Principal et Secondaire - Les adresses IP sources sont les adresses IP du PoP qui initient le tunnel IPsec. Sélectionnez l'adresse IP disponible pour le PoP. Si vous avez besoin de plus d'adresses IP, utilisez l'option Paramètres d'attribution d'IP pour définir d'autres adresses IP.
-
IP du site pour les tunnels Principal et Secondaire - Les adresses IP pour le site qui sont utilisées pour les tunnels VPN.
-
Bande passante - Vous pouvez utiliser l'application de gestion de Cato pour contrôler la bande passante maximale montante et descendante du Cloud de Cato vers chaque site. Si vous ne souhaitez pas configurer une valeur de bande passante spécifique pour un site, nous vous recommandons d'utiliser la bande passante réelle du FAI ou selon votre licence de Cato Networks.
-
IPs privées - Les adresses IP qui sont à l'intérieur du tunnel VPN qui sont utilisées pour configurer le routage dynamique BGP pour un site.
-
PSK Principal et Secondaire - Les clés pré-partagées publiques (PSK) pour les tunnels VPN.
Les sites IPsec IKEv1 ont l'option de sélectionner les options de Routage pour le tunnel VPN Phase II :
-
Implicite - Un seul tunnel est utilisé pour acheminer tout le trafic LAN interne du site vers les adresses IP distantes.
-
Spécifique - Dans le champ Ranges de Réseau, définissez les plages d'IP source pour le trafic WAN qui est transmis via la connexion IPsec dans un tunnel Phase II. Définissez les plages d'IP distantes de l'autre côté du tunnel IPsec. Ensuite, il y a un maillage complet entre les plages d'IP locales et distantes.
Les sites IPsec IKEv2 ont ces paramètres supplémentaires que vous pouvez configurer :
-
Initiation de la connexion par Cato - Vous pouvez configurer qui initie la connexion du tunnel VPN, le Cloud de Cato ou le pare-feu. Par défaut, cette fonctionnalité est activée pour que le Cloud de Cato initie la connexion IPsec et minimise le temps d'arrêt.
-
Ranges de Réseau - Pour les déploiements où il y a des AS (Associations de Sécurité) qui sont définies pour le réseau distant, entrez la plage d'adresses IP pour ces AS.
Remarque
Remarque : Nous vous recommandons fortement d'utiliser le paramètre par défaut et d'activer la fonction d'initiation de la connexion par Cato.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.