Configuration de sites IPsec IKEv1

Cet article discute de la configuration des sites qui utilisent le type de connexion IPsec IKEv1. Pour plus de détails sur la création d'un nouveau site, voir Utilisation de l'application de gestion Cato pour ajouter des sites.

Vue d'ensemble des Connexions IPsec IKEv1

Cato peut initier et maintenir des tunnels IPsec IKEv1 à partir de PoPs sélectionnés vers vos sites et/ou centres de données cloud.

Remarque

Remarque : Si vous n'envoyez qu'une partie de votre trafic réseau via le Cato Cloud, configurez votre équipement réseau pour inclure les plages IP suivantes dans votre table de routage vers le Cato Cloud :

  • 10.254.254.0/24 - sous-réseau par défaut réservé pour le trafic sur le Cato Cloud (pour les comptes disposant d'une plage personnalisée, utilisez le sous-réseau personnalisé)

  • 10.41.0.0/16 - sauf si vous avez configuré la plage d'adresses IP des utilisateurs SDP de votre réseau (voir Politique d'allocation IP pour les utilisateurs distants)

Connexion de deux tunnels à une VPC AWS pour HA

Cato vous permet de connecter votre VPC AWS au Cato Cloud en utilisant BGP sur deux tunnels IPsec pour une configuration de haute disponibilité (HA). Les doubles tunnels AWS ne sont pris en charge que lorsque vous définissez deux passerelles client, et chacune représente une adresse IP publique différente de Cato. Ce sont les exigences :

  • Deux adresses IP publiques de Cato

  • Configurer deux passerelles client dans la même VPC, chacune étant assignée à une adresse IP publique de Cato

  • Dans AWS, configurez deux connexions site-à-site

Configuration d'un site IPsec IKEv1

Après avoir créé un nouveau site qui utilise IPsec IKEv1 pour se connecter au Cato Cloud, modifiez le site et configurer les paramètres IPsec.

Voir Allocation des adresses IP pour le compte pour plus d'informations sur les adresses IP uniques.

Remarque

IMPORTANT: Nous vous recommandons vivement de configurer un tunnel secondaire (avec des IPs publiques différentes de Cato) pour une haute disponibilité. Autrement, il y a un risque que le site puisse perdre la connectivité avec le Cato Cloud.

Vous pouvez choisir de gérer la bande passante descendante et montante pour un site IPsec. Si vous souhaitez que le Cato Cloud limite votre bande passante descendante, entrez les limites requises en conséquence. Sinon, entrez les valeurs définies par la vitesse de connexion réelle de votre lien ISP. Si vous ne connaissez pas la vitesse de connexion de l'ISP, configurez la bande passante descendante selon la licence de ce site. Pour la bande passante montante, le Cato Cloud ne contrôle pas le trafic montant, et il n'est pas possible de le limiter avec une limite stricte. Au lieu de cela, la configuration de la bande passante montante est un effort maximal de la part de Cato Cloud.

Si vous utilisez le routage Spécifique : x.x.x.x/y<-->a.a.a.a/b (Un tunnel depuis chaque plage locale vers des plages distantes spécifiques) pour le site, examinez ??? avant de commencer à configurer les paramètres IPsec.

Meilleure Pratique : Configurez les paramètres de Détection de Pair Mort (DPD) pour la phase II IKEv1 afin de redémarrer automatiquement la connexion s'il n'y a pas de réponse DPD. Vous pouvez également définir à quelle fréquence le Cato Cloud envoie un paquet DPD et surveille l'état du tunnel (l'intervalle maximum entre les paquets DPD est de 35 secondes).

  • Pour les sites IPsec avec une bande passante supérieure à 100Mbps, utilisez uniquement les algorithmes AES 128 GCM-16 ou AES 256 GCM-16. Les algorithmes AES CBC sont utilisés uniquement sur les sites avec une bande passante inférieure à 100Mbps.

  • Pour le trafic FTP, Cato recommande de configurer le serveur FTP avec un délai d'expiration de connexion de 30 secondes ou plus.

  • Les sites Cato IPsec IKEv1 supportent une longueur de nonce allant jusqu'à 48 bits.

  • Vous pouvez définir le secret partagé IPSec (PSK) jusqu'à 64 caractères.

La Durée de vie SA est la période pendant laquelle la clé de chiffrement est valide avant son expiration et nécessite une nouvelle clé. Vous ne pouvez pas configurer la Durée de vie SA pour les paramètres IKEv1 Phase 1 et Phase 2, les réglages sont :

  • Phase 1 - 86 400 secondes (24 heures)

  • Phase 2 - 3 600 secondes (1 heure)

Remarque

Remarque : Si vous entrez des valeurs de montée/descente supérieures à la vitesse de connexion réelle du lien de votre fournisseur d'accès, le moteur QoS du Socket est inefficace.

Pour en savoir plus sur QoS dans Cato, voir Quels sont les profils de gestion de la bande passante de Cato.

site_ikev1.png

Pour configurer les paramètres pour un site IKEv1 IPsec :

  1. À partir du menu de navigation, cliquez sur Réseau > Sites et sélectionnez le site.

  2. Dans le menu de navigation, cliquez sur Paramètres du site > IPsec.

  3. Dans Général, sélectionnez un type de pair IPsec préconfiguré (comme AWS ou Azure), ou sélectionnez Générique.

  4. Développez la section Primaire, et configurez les paramètres suivants pour le tunnel IPsec principal :

    • Dans IP publique > IP Cato (Sortant), sélectionnez le PoP Cato et l'adresse IP qui initie le tunnel IPsec.

      Si vous avez besoin d'une adresse IP différente allouée à votre compte, cliquez sur Paramètres d'allocation IP et sélectionnez l'emplacement du PoP et l'adresse IP.

    • Dans IP publique > IP du site, entrez l'adresse IP publique où le tunnel IPsec est initié.

    • Pour les sites utilisant le routage dynamique BGP, vous pouvez entrer les IPs privées qui se trouvent à l'intérieur du tunnel VPN.

    • Dans Bande passante, configurez le maximum de Descendant et Amont (Mbps) de la bande passante disponible pour le site.

    • Dans Clé pré-partagée primaire, cliquez sur Modifier le mot de passe pour entrer le secret partagé pour le tunnel IPsec principal.

    Remarque : Vous pouvez éventuellement utiliser la même adresse IP allouée pour un ou plusieurs sites IPsec tant que l'IP du site est différente pour chaque site. Cato recommande d'utiliser des IPs allouées différentes pour chaque site.

  5. (Optionnel) Développez la section Paramètres de la phase I IKEv1 et configurez les paramètres.

    1. Dans la section Algorithme, sélectionnez l'Algorithme de chiffrement : AES-CBC-128 ou AES-CBC-256

    2. Dans la section Algorithme, sélectionnez l'Algorithme de hachage : MD5, SHA1 ou SHA256

    3. Dans Groupe Diffie-Hellman, sélectionnez la longueur de clé utilisée dans le chiffrement : 2 (1024 bits), 5 (1536 bits), 14 (2048 bits), 15 (3072 bits), 16 (4096 bits)

  6. (Optionnel) Développez la section Paramètres de la phase II IKEv1 et configurez les paramètres.

    1. Dans la section Algorithmes, sélectionnez l'Algorithme de chiffrement : AES-CBC-128, AES-CBC-256, AES-GCM-128, ou AES-GCM-256

    2. Dans la section Algorithme, sélectionnez l'Algorithme de hachage : MD5, SHA1 ou SHA256

    3. Pour configurer les paramètres Groupe Diffie-Hellman de la phase II, activez d'abord Secret parfait en avant.

      1. Dans Secret parfait en avant, sélectionnez Activer la "protection" des transmissions passées contre les compromis futurs des clés secrètes pour activer cette fonctionnalité pour le site.

      2. Dans Groupe Diffie-Hellman, sélectionnez la longueur de clé utilisée dans le chiffrement : 2 (1024 bits), 5 (1536 bits), 14 (2048 bits), 15 (3072 bits), 16 (4096 bits)

  7. Configurer les paramètres DPD pour les paramètres de phase II IKEv1 :

    1. Sélectionnez Intervalle de maintien de la connexion (sec) et entrez le nombre de secondes entre les paquets keepalive (valeur maximum est 35).

    2. (Meilleure Pratique) Sélectionnez Redémarrer la connexion en cas de non-réponse DPD pour activer le redémarrage d'une connexion IPsec lorsque aucune réponse n'est reçue pour les paquets DPD dans les 35 secondes.

      Pour désactiver le DPD pour le site, effacez Intervalle de maintien (sec).

  8. Développez la section Routage, et sélectionnez l'option de routage pour le site :

    • Implicite : 0.0.0.0/0<-->0.0.0.0/0 (Un seul tunnel de toutes les plages locales vers toutes les plages distantes) - tout le trafic WAN est transmis sur la connexion IPsec dans un seul tunnel de Phase II avec une seule clé de chiffrement (une pour chaque paire de SA ESP).

    • Explicite : x.x.x.x/y<-->0.0.0.0/0 (Un tunnel de chaque plage locale vers toutes les plages distantes) - tout le trafic WAN est transmis sur la connexion IPsec dans un seul tunnel de Phase II pour les plages IP locales du site vers toutes les plages IP distantes avec une clé de chiffrement (un SA ESP pour chaque plage locale).

    • Spécifique : x.x.x.x/y<-->a.a.a.a/b (Un tunnel depuis chaque plage locale vers des plages distantes spécifiques) - voir ci-dessous ???

  9. Cliquez sur Sauvegarder.

  10. Pour les sites qui utilisent un tunnel IPsec secondaire, développez la section Secondaire, configurez les paramètres de l'étape précédente, puis cliquez sur Sauvegarder.

  11. Pour afficher vos détails de connexion et le statut du tunnel IPsec pour ce site, cliquez sur Statut de la Connexion.

Configuration du Routage Spécifique

Lorsque vous choisissez le routage spécifique pour le site IPsec, tout le trafic WAN est transmis via la connexion IPsec dans un tunnel de phase II utilisant une topologie full mesh entre les plages IP locales et distantes.

Avant de commencer à configurer les paramètres IPsec pour le site, vérifiez que les réseaux locaux correspondent à ce que vous avez défini pour le pair IPsec.

  • Les plages IP locales (sous-réseaux situés derrière le pair IPsec) sont définies sur la page Configuration du site > Réseaux :

    ipsec_native.png

  • Les plages IP distantes (typiquement des réseaux d'autres sites) sont définies dans la section Routage après avoir sélectionné l'option Spécifique.

    IPsec_IKEv1_Routing.png

    • Cliquez sur Ajouter pour entrer les plages IP.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire