Cato Cloud à Cisco IOS/IOS-XE via des tunnels IPsec HA

Cet article explique comment connecter un site IPsec avec des appareils Cisco IOS/IOS-XE dans une configuration de Haute Disponibilité (HA) au Cato Cloud.

Exemple de Topologie Réseau

Le schéma ci-dessous montre la topologie d'un site IPsec de Cato utilisant des appareils Cisco IOS/IOS-XE pour se connecter au Cato Cloud dans une configuration HA active/passive.

Créer un Site IPsec HA pour Votre Compte avec des Appareils Cisco IOS/IOS-XE

Vous pouvez utiliser l'application de gestion Cato pour créer un site IPsec IKEv2 pour connecter vos appareils Cisco au Cato Cloud. Vous devez d'abord attribuer une adresse IP pour votre compte Cato. Ensuite, configurez les paramètres dans les appareils Cisco pour se connecter à l'adresse IP publique de Cato. Enfin, configurez les paramètres du site IPsec pour se connecter aux appareils Cisco.

Pour configurer un site IPsec pour se connecter au Cato Cloud avec des appareils Cisco :

Depuis l'application de gestion Cato, attribuez une adresse IP d'homologue IPsec à partir d'un PoP principal et d'un PoP secondaire.
1. Dans le menu de navigation, cliquez sur Réseau(1) > Attribution IP (2).
2. Dans l'écran Attribution IP, sélectionnez deux emplacements PoP qui sont le PoP principal et le PoP secondaire (3) pour les tunnels IPsec.
  
  Après avoir sélectionné l'emplacement PoP, l'adresse IP de l'homologue IPsec correspondante s'affiche.
3. Cliquez sur Sauvegarder (4).
Depuis le CLI de Cisco IOS, créez une proposition IKEv2 et une politique. Ouvrez l'invite de configuration du terminal et créez une proposition et un profil IKEv2 (similaire à l'exemple ci-dessous) :
```
crypto ikev2 proposal CATO_IKEv2_PROPOSAL
encryption aes-gcm-256
prf sha512group 21
!
crypto ikev2 policy CATO_IKEv2_POLICY
proposal CATO_IKEv2_PROPOSAL
!
```

Créez un anneau de clés IKEv2 et un profil (similaire à l'exemple ci-dessous) :

crypto ikev2 keyring CATO_KEYRING
peer Dallas
address x.x.x.x
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
peer Chicago y.y.y.y
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
crypto ikev2 profile CATO_IKEv2_PROFILE
match identity remote address x.x.x.x 255.255.255.255
match identity remote address y.y.y.y 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local CATO_KEYRING
!

Créez un ensemble de transformations et un profil IPsec (semblable à l'exemple ci-dessous):

!
crypto ipsec transform-set CATO_TSET esp-gcm 256
!
crypto ipsec profile CATO_IPSEC_PROFILE
set transform-set CATO_TSET
set pfs group21
set ikev2-profile CATO_IKEv2_PROFILE
!

Créez des interfaces de tunnel IPsec avec une source de tunnel de l'interface externe publique (similaire à l'exemple ci-dessous) :

interface Tunnel0
ip address 172.16.3.1 255.255.255.252
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination x.x.x.x
tunnel protection ipsec profile CATO_IPSEC_PROFILE
!
interface Tunnel1
adresse IP 172.16.4.1 255.255.255.252
source du tunnel GigabitEthernet2
Mode du tunnel ipsec ipv4
destination du tunnel y.y.y.y
protection du tunnel profil ipsec CATO_IPSEC_PROFILE
!

Définissez les routes sur le dispositif Cisco en fonction des besoins du site :
1. Trafic sélectif vers Cato - Créez des routes statiques pour pointer vers des sous-réseaux spécifiques à Cato via les interfaces de tunnel IPsec (similaire à l'exemple ci-dessous) :
```
ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel0 172.16.3.2
ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel1 172.16.4.2 250
```
2. Tout le trafic vers Cato – Créez des routes statiques pour diriger les adresses IP homologues Cato vers l'Internet public et une route par défaut vers les tunnels Cato (similaire à l'exemple ci-dessous) :
```
ip route x.x.x.x 255.255.255.255 GigabitEthernet2 z.z.z.z name (Route homologue principal de Cato)
ip route y.y.y.y 255.255.255.255 GigabitEthernet2 z.z.z.z name (Route homologue secondaire de Cato)
ip route 0.0.0.0 0.0.0.0 Tunnel0 172.16.3.2
ip route 0.0.0.0 0.0.0.0 Tunnel1 172.16.4.2 250
```
Dans l'application de gestion Cato, créez un nouveau site pour le site Cisco.
1. Dans le menu de navigation, cliquez sur Réseau (1) > Sites (2).
2. Cliquez sur Nouveau (3). Le panneau Ajouter un site s'ouvre.
Configurez les paramètres pour le nouveau site Cisco.
1. Saisissez un Nom du site (1).
2. Dans Type de connexion (2) sélectionnez IPSec IKEv2.
3. Définissez le Pays (3) et l' État (4) appropriés, le cas échéant.
4. Dans Plage native (5), spécifiez une plage réseau située derrière le site Cisco qui communique avec les plages connectées au Cato Cloud.
5. Cliquez sur Appliquer (6).
Cliquez sur le nom du nouveau site pour l'ouvrir et configurer les paramètres.
Dans le menu de navigation, sélectionnez Configuration du site > IPSec (1), et développez la section de configuration du tunnel Principal (2).
Définissez les paramètres pour le tunnel IPsec principal.
1. Définissez l' IP publique :
  1. Dans Cato IP (Egress) (1), choisissez depuis le menu déroulant l'adresse IP du PoP principal.
  2. Dans l' IP du site (2), entrez l'adresse IP du lien WAN public du routeur Cisco.
2. Saisissez le PSK principal (3).
Développez la section de configuration du tunnel Secondaire et configurez les paramètres pour le tunnel IPsec secondaire :
1. Dans Cato IP (Egress) (1), choisissez depuis le menu déroulant l'adresse IP du PoP de sauvegarde.
2. Dans l' IP du site (2), entrez l'adresse IP du lien WAN public du routeur Cisco.
3. Saisissez le PSK (3).
Développez la section de configuration de Routage et assurez-vous que Initier la connexion par Cato n'est pas activé.

Ne spécifiez aucun Plages de réseau. Il s'agit d'une politique basée sur les routes et le routeur Cisco IOS établit une seule association de sécurité 0.0.0.0 - 255.255.255.255 avec le Cato Cloud.
Allez en haut de l'écran IPsec et cliquez sur Sauvegarder.

Votre site est maintenant configuré pour se connecter au Cato Cloud.