Cato Cloud vers VMware Edge via tunnels IPsec HA

Cet article explique comment connecter un site IPsec avec des appareils VMware Edge dans une configuration de Haute Disponibilité (HA) au Cato Cloud.

Topologie Réseau Exemple

Le diagramme ci-dessous montre la topologie d'un site IPsec Cato qui utilise des appareils VMware Edge pour se connecter au Cato Cloud dans une configuration HA actif/passif avec IPsec.

Création d'un site IPsec HA pour votre compte avec des appareils VMware Edge

Vous pouvez utiliser l'Application de Gestion Cato pour créer un site IPsec IKEv2 afin de connecter votre appareil VMware Edge au Cato Cloud. Vous devez d'abord allouer une adresse IP pour votre compte Cato. Ensuite, configurez les paramètres dans les appareils VMware Edge pour se connecter à l'adresse IP. Enfin, dans l'Application de Gestion Cato, créez un nouveau site IPsec et configurez les paramètres du site pour se connecter à l'appareil VMware Edge.

Pour configurer un site pour se connecter au Cato Cloud avec VMware Edge HA IPsec :

Dans l'Application de Gestion Cato, allouez une IP de pair IPsec depuis un PoP principal et secondaire :
1. Dans le menu de navigation, cliquez sur Network(1) > IP Allocation (2).
2. Dans l'écran IP Allocation, sélectionnez deux emplacements PoP qui sont le PoP principal et le PoP secondaire (3) pour les tunnels IPsec.
  
  Après avoir sélectionné l'emplacement du PoP, l'adresse IP pair IPsec correspondante est affichée.
3. Cliquez sur Save (4).
Dans le menu de navigation de VMware SD-WAN Orchestrator, sélectionnez Configure > Profiles (1), puis cliquez sur New Profile (2) pour créer un profil.
Sous le profil, cliquez sur l'onglet Device.
Faites défiler vers le bas jusqu'à la section Cloud VPN et activez l'option Branch to Non SD-WAN Destination via Edge.
Ajoutez un nouveau Service, puis dans le menu déroulant, sélectionnez New NVS via Edge….
Entrez un Service Name (1), et depuis le menu déroulant Service Type (2), sélectionnez Generic IKEv2 Router (Router Based VPN). Cliquez sur Next (3).
Dans la fenêtre Non SD-WAN Destinations via Edge, cliquez sur Advanced et configurez les paramètres suivants :
1. Pour Primary VPN Gateway Public IP (1), entrez l'IP allouée depuis le PoP principal (à l'étape 1 ci-dessus).
2. Définissez la valeur du DH Group (2) sur 15 (pour correspondre à la valeur par défaut de Cato).
3. Dans Site Subnets (3), spécifiez toutes les sous-réseaux WAN de Cato qui ont accès à cet appareil VMware Edge.
Activez la Secondary VPN Gateway (1) et configurez les paramètres suivants :
1. Pour Public IP (2), entrez l'IP allouée depuis le PoP secondaire à l'étape 1 ci-dessus.
2. Activez l'option Tunnel settings are same as Primary VPN Gateway (3) et cliquez sur Save Changes (4).
Ouvrez les paramètres pour associer le nouveau profil avec l'appareil VMware Edge approprié :
1. Dans le menu de navigation, sélectionnez Configure > Edges (1).
2. Cliquez sur le lien hypertexte de l'appareil edge approprié (2).
Cliquez sur l'onglet Edge Overview (1), et dans la section Profile, sélectionnez le nouveau profil depuis le menu déroulant Profile (2) et ensuite cliquez sur Save Changes (3).
Cliquez sur l'onglet Device, et dans la section Cloud VPN, configurez l'une des options suivantes :
- Pour une seule connexion de service de production - Sélectionnez Enable Edge Override (1) et spécifiez le service créé pour cette connexion
- Pour plusieurs connexions de service de production - Autorisez le(s) service(s) à s'importer automatiquement en fonction du profil que vous avez défini à l'étape précédente
Cliquez sur le lien hypertexte Add (2) pour le service à ajouter les informations de tunnel.
Dans la fenêtre Add Tunnel, configurez les paramètres suivants :
1. Définissez l'Local Identification (1) comme l'adresse IP de lien WAN public.
2. Entrez un PSK (2) personnalisé.
3. Dans Destination Primary Public IP (3), entrez l'adresse IP principale du PoP.
4. Dans Destination Secondary Public IP (4), entrez l'adresse IP secondaire du PoP.
5. Cliquez sur Save Changes.
Dans l'Application de Gestion Cato, créez un nouveau site pour le site VMware Edge :
1. Depuis le menu de navigation, sélectionnez Network (1) > Sites (2).
2. Cliquez sur New (3). Le panneau Add Site s'ouvre.
Configurez les paramètres pour le nouveau site VMware Edge.
1. Entrez un Site Name (1).
2. Dans Connection Type (2), sélectionnez IPsec IKEv2.
3. Sélectionnez le Country (3) et State (4) appropriés.
4. Dans Native Range (5), spécifiez une plage de réseau qui se trouve derrière le site VMware Edge et qui communique avec les plages connectées au Cato Cloud.
5. Cliquez sur Apply (6).
Cliquez sur le nom du nouveau site pour l'ouvrir et configurer les paramètres.
Depuis le menu de navigation, sélectionnez Network > Site Configuration > IPsec (1) et développez la section Primary (2).
Définissez les paramètres pour le tunnel IPsec principal :
1. Définissez l'Public IP :
  1. Dans Cato IP (Egress) (1), choisissez dans le menu déroulant l'IP du PoP principal.
  2. Dans le Site IP (2), entrez l'adresse IP de lien WAN public du routeur VMware Edge.
2. Entrez le Primary PSK (3).
Développez la section de configuration du tunnel Secondary et configurez les paramètres pour le tunnel IPsec secondaire :
1. Dans Cato IP (Egress) (1), sélectionnez l'adresse IP secondaire du PoP dans le menu déroulant.
2. Dans Site IP (2), entrez l'adresse IP du lien WAN Public VMware Edge.
3. Entrez le Secondary PSK (3).
Développez la section de configuration Routing, et assurez-vous que Initiate connection by Cato n'est pas activé.

Ne spécifiez pas de Network Ranges. C'est une politique basée sur les routes et le routeur VMware Edge établit une association de sécurité unique 0.0.0.0 - 255.255.255.255 avec le Cato Cloud.
Allez en haut de l'écran IPsec et cliquez sur Save.

Votre site est maintenant configuré pour se connecter au Cato Cloud.