IPsec IKEv2 साइट कॉन्फ़िगर करना

यह आलेख उन साइट्स को बनाने और विन्यस्त करने के बारे में चर्चा करता है जो IPsec IKEv2 कनेक्शन प्रकार का उपयोग करती हैं। नया साइट्स बनाने के बारे में अधिक जानकारी के लिए, देखें Cato प्रबंधन अनुप्रयोग का उपयोग करके साइट्स जोड़ें।

नोट: IPsec साइट्स के लिए कई सक्रिय टनल की हाल की सुधार को प्रस्तुत करते हुए, ग्राहकों को गलत सकारात्मक डिस्कनेक्शन और पुन: कनेक्शन की घटनाएं प्राप्त हो सकती हैं, साथ ही संबंधित नोटिफिकेशन भी। इस प्रक्रिया के दौरान यह एक बार की घटना है, और इन घटनाओं और नोटिफिकेशन को सुरक्षित रूप से नजरअंदाज किया जा सकता है। नोट करें कि घटनाओं और नोटिफिकेशन में गलत टाइमस्टैम्प शामिल हो सकते हैं और वास्तविक सेवा बाधित नहीं करते। IPsec टनल इस प्रक्रिया के दौरान पूरी तरह से सक्रिय रहती हैं।

अवलोकन

आप Cato Cloud और दूरवर्ती नेटवर्क को साइट्स और आंतरिक नेटवर्क से जोड़ने के लिए IPsec टनल का उपयोग कर सकते हैं। IPsec कनेक्शन वाली साइट्स का उपयोग किया जाता है:

ऐसी साइट्स जो सार्वजनिक क्लाउड में हैं, जैसे AWS या Azure।
विभिन्न स्थानों में शाखाओं के लिए साइट्स जो थर्ड-पार्टी फायरवॉल के पीछे बैठी हैं।

जब आप एक IPsec IKEv2 साइट कॉन्फ़िगर कर रहे होते हैं, तो आप कनेक्शन को निम्नलिखित विकल्पों का उपयोग करके प्रारंभ कर सकते हैं:

केवल प्रतिसादक - फायरवॉल इनिट। साइट का डिवाइस Cato PoP के साथ कनेक्शन प्रारंभ करता है
द्विदिश – कनेक्शन आपके फायरवॉल द्वारा या Cato द्वारा प्रारंभ किया जा सकता है

केवल प्रतिसादक कनेक्शन मोड

Cato का IKEv2 केवल प्रतिसादक सेटिंग एज उपकरण के लिए एक समाधान है जो एक डायनामिक IP पता या NAT डिवाइस के पीछे स्थित है। (जैसे, फायरवॉल या राउटर) यह समाधान एज उपकरण को दूर के छोर पर IKEv2 कनेक्शन को प्रारंभ और प्रबंधित करने देता है।

इसके अलावा, जब केवल प्रतिसादक का उपयोग किया जाता है, तो आप Cato को पहचानकर्ता के रूप में FQDN का उपयोग करने के लिए कॉन्फिगर कर सकते हैं। ऐसा करने पर, Cato एक हैश्ड मान उत्पन्न करता है और इसे IP पते में अनुवाद करता है ताकि प्रत्येक टनल के लिए सबसे अच्छा PoP स्थान आपको मिल सके।

उदाहरण के लिए, आप कनेक्शन मोड को केवल प्रतिसादक के रूप में विन्यस्त करते हैं और गंतव्य प्रकार को FQDN के रूप में चुनते हैं। Cato कुछvalue.ipsec.dev.catonetworks.org की हैश्ड मान उत्पन्न करता है। तब यह मान दूरस्थ साइट में कॉन्फ़िगर किया जाता है और FQDN मान का उपयोग करके की गई DNS अनुरोध के लिये समर्पणकर्ता के रूप में कार्य करता है। PoP कई पैरामीटर्स के आधार पर चुना जाता है, जैसे भू-स्थान, RTT, और अधिक।

इस स्थिति में, PoP को स्वचालित रूप से चुना जाता है, जिसका अर्थ है कि यदि वह मूल PoP जो उस FQDN के लिए निर्दिष्ट किया गया था, अनुपलब्ध हो, तो एक नया PoP स्वतः ही चुना जाएगा। इसके अलावा, यदि आप Cato की सर्वोत्तम प्रथाओं का पालन करते हैं और प्राथमिक और द्वितीयक टनल का परिभाषित करते हैं जब FQDN का उपयोग करते हैं, तो Cato स्वत: रूप से आदर्श HA के लिए विभिन्न PoP स्थानों का चयन करता है।

वैकल्पिक रूप से, कुछ फायरवॉल विक्रेता FQDN का उपयोग समर्थित नहीं करते हैं, उस स्थिति में आप IPv4 को गंतव्य प्रकार के रूप में चुन सकते हैं। इस स्थिति में, आपको एक स्थिर PoP स्थान चुनना चाहिए, और यदि वह PoP किसी भी कारण से उपलब्ध नहीं है, तो टनल उपलब्ध नहीं होगी। स्थिर IP पते को परिभाषित करने के बारे में जानकारी के लिए देखें रिमोट उपयोगकर्ताओं के लिए IP आवंटन नीति।

द्विदिश कनेक्शन मोड

द्विदिश कनेक्शन मोड में, आपके उपकरण या Cato दोनों IPsec टनल को चयनित PoPs से आपकी साइट्स और/या क्लाउड डेटा केंद्रों की ओर IPsec IKEv2 प्रोटोकॉल का उपयोग करके प्रारंभ और बनाए रख सकते हैं।

यदि कोई टनल अनुपलब्ध है, तो Cato को टनल को फिर से स्थापित करने के लिए आपके उपकरण से कनेक्शन प्रारंभ करने के लिए प्रतीक्षा करने की आवश्यकता नहीं होती।

IPsec साइट्स में बहुपरिक्रिया टनल्स सक्रिय रहते हैं।

Cato आपको प्राथमिक और द्वितीयक HA भूमिकाओं के लिए बहुपरिक्रिया टनल्स को विन्यस्त करने की सुविधा देता है। बहुपरिक्रिया टनल्स का उपयोग करने के निम्नलिखित लाभ होते हैं:

अंतिम मील का लाभ उठाएं - बहुपरिक्रिया टनल्स के साथ, आप विभिन्न मार्गों पर नेटवर्क ट्रैफ़िक वितरित कर सकते हैं, लोड को संतुलित करने और नेटवर्क प्रदर्शन में सुधार करने में मदद कर सकते हैं।
अनावश्यकता - बहुपरिक्रिया टनल्स अनावश्यकता प्रदान करते हैं। अगर एक टनल विफल हो जाती है, तो ट्रैफ़िक को अन्य सक्रिय टनल्स के माध्यम से पुनर्निर्देशित किया जा सकता है, यह सुनिश्चित करने के लिए कि कनेक्टिविटी सतत बनी रहे।
तीसरी-पक्ष एकीकरण - SSE सेवाओं के लिए तीसरी-पक्ष SD-WAN CPEs के साथ एकीकृत करें।
ट्रैफ़िक पृथक्करण - विभिन्न प्रकार के ट्रैफ़िक को पृथक करने के लिए विभिन्न टनल्स का उपयोग किया जा सकता है। उदाहरण के लिए, एक टनल को वॉयस ट्रैफ़िक के लिए उपयोग किया जा सकता है, जबकि अन्य को डेटा ट्रैफ़िक के लिए उपयोग किया जा सकता है।

आप प्रत्येक HA भूमिका के लिए 3 सक्रिय टनल्स तक कॉन्फ़िगर कर सकते हैं, जो एक ही Cato PoP से जुड़े होते हैं। अर्थात, सभी प्राथमिक टनल एक PoP से जुड़े होते हैं, और सभी द्वितीयक टनल एक अलग PoP से जुड़े होते हैं। हर टनल में एक अद्वितीय पहचानकर्ता होना चाहिए, उदाहरण के लिए, FQDN जैसी स्थानीय ID या एक सार्वजनिक IP पता।

HA के लिए बहुपरिक्रिया टनल्स

डिफ़ॉल्ट रूप से, जब एक HA भूमिका की सभी सक्रिय टनल्स डाउन हो जाती हैं, तो Cato स्वचालित रूप से दूसरे HA भूमिका पर लौट आता है। अर्थात, यदि प्राथमिक HA भूमिका की सभी टनल्स डाउन हो जाती हैं, तो HA सक्रिय होता है, और Cato सभी साइट्स के मार्गों के अगले हॉप के रूप में द्वितीयक टनल को उपयोग करता है। हालांकि, यदि प्राथमिक HA भूमिका में 2 टनल्स हैं, और एक टनल उठी रहती है, तो स्विचओवर नहीं होता।

आप "लिंक डाउन है" कहानियों के माध्यम से टनल्स की निगरानी कहानियाँ वर्कबेंच में कर सकते हैं।

नोट: Cato को यह निर्धारित करने में 30 सेकंड तक लगते हैं कि टनल डाउन हो गई।

बैंडविड्थ प्रबंधन

आप एक IPsec साइट के लिए डाउनस्ट्रीम और अपस्ट्रीम बैंडविड्थ को प्रबंधित करने के लिए चुन सकते हैं। यदि आप Cato Cloud को आपकी डाउनस्ट्रीम बैंडविड्थ को सीमित करने देना चाहते हैं, तो आवश्यक सीमाओं को दर्ज करें। अन्यथा, आपके ISP लिंक की वास्तविक कनेक्शन गति द्वारा परिभाषित के अनुसार मान दर्ज करें। यदि आपको ISP कनेक्शन गति का पता नहीं है, तो इस साइट की लाइसेंस के अनुसार डाउनस्ट्रीम बैंडविड्थ विन्यस्त करें। उपस्ट्रीम बैंडविड्थ के लिए, Cato Cloud उपस्ट्रीम ट्रैफ़िक को नियंत्रित नहीं करता है, और इसे एक निश्चित सीमा के साथ सीमित नहीं किया जा सकता। इसके बजाय, उपस्ट्रीम बैंडविड्थ सेटिंग Cato Cloud द्वारा एक सर्वश्रेष्ठ प्रयास है।

नोट: यदि आप अपने ISP के लिंक की वास्तविक कनेक्शन गति से अधिक upstream/downstream मान दर्ज करते हैं, तो Socket QoS इंजन अप्रभावी होता है।

Cato में QoS के बारे में अधिक जानकारी के लिए, देखें Cato बैंडविड्थ प्रबंधन प्रोफाइल क्या हैं।

बहुपरिक्रिया टनल्स के लिए QoS के लिए, नीचे देखें बहुपरिक्रिया टनल्स के लिए रूटिंग QoS।

पूर्वापेक्षाएँ

यदि आप केवल अपने नेटवर्क ट्रैफ़िक का कुछ हिस्सा Cato Cloud पर भेज रहे हैं, तो Cato Cloud के लिए अपनी रूटिंग तालिका में निम्नलिखित IP पते शामिल करने के लिए अपने नेटवर्क उपकरण को विन्यस्त करें:
- 10.254.254.1
- 10.254.254.5
- 10.254.254.253
- 10.41.0.0/16 जब तक आपने अपने नेटवर्क के अपने VPN Users के IP पता रेंज को विन्यस्त नहीं किया है।
100Mbps या उससे अधिक की बैंडविड्थ वाली IPsec साइट्स के लिए, केवल AES 128 GCM-16 या AES 256 GCM-16 एल्गोरिथम का उपयोग करें। AES CBC एल्गोरिथम का उपयोग केवल उन साइट्स पर किया जाता है जिनकी बैंडविड्थ 100Mbps से कम होती है।

ये दिशानिर्देश इस तथ्य के कारण हैं कि GCM एन्क्रिप्शन CBC की तुलना में अधिक कुशल और स्केलेबल होता है, Cato Cloud में उच्च थ्रूपुट एन्क्रिप्टेड ट्रैफ़िक के लिए बेहतर प्रदर्शन और विश्वसनीयता को सक्षम करता है।
Cato IPsec IKEv2 साइट्स 256 बाइट्स तक की नॉन्स लंबाई का समर्थन करती हैं।
FTP ट्रैफ़िक के लिए, Cato FTP सर्वर को 30 सेकंड या उससे अधिक के कनेक्शन टाइमआउट के साथ कॉन्फ़िगर करने की अनुशंसा करता है।
आप IPSec साझा गुप्त (PSK) को 64 वर्णों तक सेट कर सकते हैं।
उन साइट्स के लिए जो Zscaler वातावरण से जुड़ती हैं, Phase2 पर एन्क्रिप्शन चयन को सक्षम करने के लिए एक उन्नत Zscaler लाइसेंस आवश्यक है।

IKEv2 साइट जोड़ना

एक नई IPsec IKEv2 साइट बनाएँ, और फिर इसके लिए IKEv2 सेटिंग्स कॉन्फ़िगर करें और प्राथमिक और द्वितीयक टनलों के लिए Cato-आवंटित IP पतों को निर्दिष्ट करें। अधिक जानकारी के लिए, देखें खाते के लिए IP पतों का आवंटन.

एक नया IPsec साइट बनाने के लिए:

नेविगेशन मेनू से, नेटवर्क > साइट्स पर क्लिक करें और नया पर क्लिक करें।

साइट जोड़ें पैनल खुलता है,
साइट के लिए सेटिंग्स कॉन्फ़िगर करें:
- नाम: साइट के लिए नाम
- प्रकार: टोपोलॉजी पेज में साइट के लिए दिखाए गए आइकन
- कनेक्शन प्रकार: चुनें IPsec IKEv2
- देश: जिस देश में साइट स्थित है।
- राज्य: वह राज्य जहां साइट स्थित है (जहां लागू हो)
- लाइसेंस: साइट के लिए उपयुक्त बैंडविड्थ लाइसेंस चुनें
- मूल रेंज: आईपीएसईसी साइट के लिए LAN सबनेट
नया पर क्लिक करें।

IPsec IKEv2 सेटिंग्स को कॉन्फ़िगर करना

जब आप एक नई साइट बनाते हैं जो Cato Cloud से कनेक्ट करने के लिए IPsec IKEv2 का उपयोग करती है, साइट को संपादित करें और IPsec सेटिंग्स को कॉन्फ़िगर करें।

नोट

महत्वपूर्ण: हम दृढ़ता से अनुशंसा करते हैं कि आप उच्च उपलब्धता के लिए एक माध्यमिक सुरंग (विभिन्न Cato सार्वजनिक IPs के साथ) को कॉन्फ़िगर करें। अन्यथा, साइट के Cato Cloud के साथ कनेक्टिविटी खोने का खतरा है।

कनेक्शन विधि सेटिंग्स का उपयोग करें यह परिभाषित करने के लिए कि Cato PoP केवल रिमोट साइट से कनेक्शन का जवाब देता है, अत्यधिक विश्वसनीय (केवल प्रतिसादक), या कनेक्शन भी आरंभ कर सकता है (द्विदिश)।

वे साइट्स जो डायनामिक IPs के साथ काम कर रही हैं, उनके लिए, Cato प्रबंधन एप्लिकेशन साइट के लिए एक स्थानीय ID उत्पन्न करता है, जिसका उपयोग आपके द्वारा चुने गए प्रमाणीकरण पहचानकर्ता के लिए किया जाता है। तीसरे-पक्ष डिवाइस द्वारा आवश्यक प्रमाणीकरण पहचानकर्ता का उपयोग करें: FQDN, ईमेल, या KEY_ID, और अपने तीसरे-पक्ष डिवाइस की IKE सेटिंग्स में स्थानीय आईडी दर्ज करें।

स्थानीय ID के अतिरिक्त, प्रमाणीकरण के लिए एक प्री-शेयर की (PSK) कॉन्फ़िगर करें। आप डिवाइस पर BGP के साथ प्राथमिक और द्वितीयक IPsec टनलों को भी परिभाषित कर सकते हैं, जो उच्च उपलब्धता प्रदान करता है। ऐसा करने पर, Cato Cloud स्वचालित रूप से BGP रूट मेट्रिक्स को समायोजित करता है ताकि प्राथमिक सुरंग को प्राथमिकता दी जाए, और अगर यह डिस्कनेक्ट हो जाता है, तो साइट स्वचालित रूप से माध्यमिक सुरंग पर चली जाती है।

IPsec IKEv2 साइट के लिए सेटिंग्स को विन्यस्त करने के लिए:

नेविगेशन मेनू से, क्लिक करें नेटवर्क > साइट्स और साइट चुनें।
नेविगेशन मेनू से, क्लिक करें साइट सेटिंग्स > IPsec.
सामान्य अनुभाग का विस्तार करें और परिभाषित करें कि साइट PoP से कैसे कनेक्ट और प्रमाणीकरण करती है:
1. साइट के लिए कनेक्शन मोड का चयन करें:
  - केवल प्रतिसादक – फ़ायरवॉल प्रारंभ। साइट का फ़ायरवॉल कनेक्शन प्रारंभ करता है, और Cato जवाब देता है।
  - द्विदिश - Cato PoP आने वाली कनेक्शन के लिए चर्चाओं का जवाब देता है और बाहर जाने वाली चर्चाएं प्रारंभ करता है।
2. प्रमाणीकरण पहचानकर्ता चुनें।
  - IPv4 - साइट के लिए आपने प्राथमिक और द्वितीयक अनुभागों में जो स्थिर IP पता कॉन्फ़िगर किए हैं, उनका उपयोग करें
    
    वर्तमान में, Cato PoP के ओवर IPsec में IPv6 समर्थित नहीं है।
  - FQDN, ईमेल, KEY_ID - इनमें से किसी एक प्रारूप में स्थानीय आईडी उत्पन्न करता है।
प्राथमिक अनुभाग का विस्तार करें, और प्राथमिक IPsec टनल के लिए निम्नलिखित सेटिंग्स को कॉन्फ़िगर करें:
- गंतव्य प्रकार में, FQDN या IPv4 चुनें। गंतव्य सभी सक्रिय टनलों के लिए एक ही HA भूमिका (प्राथमिक या द्वितीयक) के लिए समान होना चाहिए।
  - पूर्ण डोमेन नाम (FQDN) - एक Cato उत्पन्न हैश पूर्ण डोमेन नाम मान उत्पन्न होता है। यह मान विशिष्ट टनल के लिए अद्वितीय है। यह वह मूल्य है जिसे आप अपने फ़ायरवॉल को प्रदान करेंगे।
    
    चयन करते समय, आपको PoP स्थान भी परिभाषित करना होगा। Cato अनुशंसा करता है कि आप स्वचालित का उपयोग करें ताकि आपके लिए सबसे अच्छा PoP चयनित हो सके। यदि आप एक विशिष्ट स्थान चुनते हैं और एक द्वितीयक साइट भी कॉन्फ़िगर कर रहे हैं, तो सुनिश्चित करें कि आप विभिन्न स्थानों का चयन करते हैं।
  - IPv4 - Cato IP (Egress) ड्रॉप-डाउन से एक स्थिर IP पता चुनें।
क्लिक करें नया। टनल जोड़ें पृष्ठ दिखाई देता है।
1. भूमिका के तहत, इस टनल के लिए उपयोग करने के लिए तार्किक WAN इंटरफ़ेस इनमें से चुनें। WAN भूमिका का उपयोग नेटवर्क नियम नीति में प्राथमिकता-आधारित रूटिंग के लिए किया जाता है।
2. नाम के तहत, एक वर्णनात्मक नाम दर्ज करें
3. सार्वजनिक आईपी के तहत, इस टनल के लिए सार्वजनिक IP पता दर्ज करें। प्रत्येक टनल को एक अलग सार्वजनिक आईपी पता का उपयोग करना चाहिए।
4. वे साइट्स जो BGP का उपयोग करती हैं, निजी IPs को कॉन्फ़िगर करें:
  - Cato - आईपीसेक टनल प्रारंभ करने वाला Cato PoP और आईपी पता दर्ज करें।
  - साइट - BGP पीयर का निजी IP पता दर्ज करें।
5. अंतिम-मील बैंडविड्थ में, साइट के लिए उपलब्ध अधिकतम डाउनस्ट्रीम और अपस्ट्रीम बैंडविड्थ (Mbps) कॉन्फ़िगर करें
6. PSK में, पासवर्ड संपादित करें पर क्लिक करें प्राथमिक आईपीसेक टनल के लिए साझा गुप्त दर्ज करने के लिए।
लागू करें पर क्लिक करें। टनल को प्राथमिक तालिका में जोड़ दिया गया है।
उन साइट्स के लिए जो द्वितीयक आईपीसेक टनल का उपयोग करती हैं, द्वितीयक अनुभाग विस्तारित करें और पिछले चरण में सेटिंग्स कॉन्फ़िगर करें, और फिर सहेजें पर क्लिक करें।
उन साइट्स के लिए जो एकाधिक सक्रिय/सक्रिय टनल का उपयोग करती हैं, चरण 5-7 दोहराएं।
(वैकल्पिक) प्रारंभ संदेश पैरामीटर्स अनुभाग को विस्तारित करें और सेटिंग्स को कॉन्फिगर करें। मान्य पैमानों के लिए नीचे Init और Auth पैमाने देखें।

ज्यादातर IPsec IKEv2-सपोर्टिंग समाधानों के निम्नलिखित प्रारंभ और प्राधिकृति पैरामीटर्स की स्वचालित बातचीत को लागू करने पर, हम अनुशंसा करते हैं कि आप उन्हें स्वचालित पर सेट करें, जब तक कि आपके फायरवॉल विक्रेता द्वारा विशेष रूप से ऐसा करने के लिए निर्देशित न किया गया हो।
(वैकल्पिक) प्राधिकृति पैरामीटर्स अनुभाग को विस्तारित करें और सेटिंग्स को कॉन्फिगर करें। नीचे मान्य पैरामीटर के लिए प्रारंभ और प्रमाणिकरण पैरामीटर देखें।
रूटिंग अनुभाग का विस्तार करें, और साइट के लिए रूटिंग विकल्प परिभाषित करें:
- इसके लिए टनल के लिए परिभाषित SAs (सुरक्षा संघ) वाली रिमोट साइट के साथ IPsec कनेक्शन के लिए, नेटवर्क रेंज में, SAs के लिए रिमोट IP रेंज (आमतौर पर अन्य साइटों से नेटवर्क) दर्ज करें और जोड़ें पर क्लिक करें।
- SA के लिए स्थानीय आईपी रेंज को साइट कॉन्फ़िगरेशन > नेटवर्क पृष्ठ में स्थानीय ट्रैफ़िक चयनकर्ताओं और साथी ट्रैफ़िक चयनकर्ताओं को शामिल करके कॉन्फ़िगर किया जाता है।
  
  सुनिश्चित करें कि आपके द्वारा IPsec साथी के लिए सेट किए गए स्थानीय नेटवर्क मेल खाते हैं।
- Cato Cloud को सक्रिय रूप से कनेक्शन को पुनःस्थापित करने का प्रयास करने की अनुमति देने के लिए, बिना दूसरे पक्ष की प्रतीक्षा किए, Cato द्वारा कनेक्शन प्रारंभ करें चुनें। अन्यथा, फ़ायरवॉल कनेक्शन को पुनःस्थापित करने का प्रयास करता है।
  
  नोट: यदि साइट के लिए कोई नेटवर्क रेंज कॉन्फ़िगर नहीं है, तो इसे रूट-आधारित VPN (गुप्त: 0.0.0.0 <> 0.0.0.0) के रूप में माना जाता है।
सहेजें पर क्लिक करें।

अपने फ़ायरवॉल में प्राथमिक और द्वितीयक पूर्ण डोमेन नाम (FQDN) मान दर्ज करने से पहले कम से कम 3 मिनट प्रतीक्षा करें ताकि इन सेटिंग्स के लिए इष्टतम PoP स्थान निर्धारित किए जा सकें।
इस साइट के लिए आपके कनेक्शन विवरण और IPsec टनल की स्थिति को दिखाने के लिए, कनेक्शन स्थिति पर क्लिक करें।

एकाधिक सक्रिय टनलों के लिए रूटिंग QoS

डिफ़ॉल्ट रूप से, Cato केवल डाउनस्ट्रीम ट्रैफ़िक को नियंत्रित कर सकता है। स्वास्थ्य मैट्रिक्स, लिंक प्राथमिकता, और प्रत्येक लिंक के लिए कॉन्फ़िगर की गई बैंडविड्थ के अनुपातिक अनुपात के आधार पर ट्रैफ़िक को टनलों (WAN लिंक्स) के बीच वितरित किया जाता है। स्वास्थ्य मैट्रिक्स प्रत्येक सेकंड में पुनर्गणित होते हैं, और ट्रैफ़िक को 10 सेकंड में एक बार सबसे बेहतर प्रदर्शन करने वाले लिंक पर पुनः वितरित किया जाता है।

अपस्ट्रीम ट्रैफ़िक को रिमोट IPsec पीयर द्वारा नियंत्रित किया जाता है, और पीयर द्वारा उपयोग की जा रही नीति-आधारित रूटिंग के अनुसार होता है।

डाउनस्ट्रीम ट्रैफ़िक के लिए WAN लिंक चयन को नेटवर्क नियमों का उपयोग करके ओवरराइड कर सकते हैं। आप एक नियम कॉन्फ़िगर कर सकते हैं यह निर्धारित करने के लिए कि विशेष ट्रैफ़िक टुपल्स के लिए कौन सा WAN लिंक उपयोग किया जाना चाहिए, ऐसे में, ट्रैफ़िक उस WAN लिंक पर भेजा जाएगा जो नियम में कॉन्फ़िगर किया गया हो, और उस टनल पर नहीं जिस पर वह आया था।

प्रारंभ और प्रमाणिकरण पैरामीटर

जब प्रारंभ और प्रमाणीकरण पैरामीटर को परिभाषित करते हैं, तो निम्नलिखित पैरामीटर उपलब्ध होते हैं। Cato अनुशंसा करता है कि आप इन पैरामीटरों को स्वचालित पर सेट करें जब तक कि आपके फ़ायरवॉल विक्रेता द्वारा अन्यथा निर्देशित न किया जाए।

पैरामीटर	मान्य मान
एन्क्रिप्शन एल्गोरिथम	स्वचालित AES-CBC-128 AES-CBC-256 AES-GCM-128 AES-GCM-256
कृत्रिम संयोजन	स्वचालित SHA1 SHA2 256 SHA2 384 SHA2 512
अखंडता एल्गोरिथम	स्वचालित SHA1 SHA2 256 SHA2 384 SHA2 512
डिफ्फी-हेलमैन समूह	2 (1024-बिट) 5 (1536-बिट) 14 (2048-बिट) 15 (3072-बिट) 16 (4096-बिट) 19 (256-बिट यादृच्छिक) 20 (384-बिट यादृच्छिक)

साइट के लिए डिफ़ॉल्ट IKEv2 पैरामीटर

यह IKEv2 पैरामीटर के लिए डिफ़ॉल्ट मानों की सूची है। यदि आपको एक कस्टम मान चाहिए, कृपया समर्थन से संपर्क करें।

पैरामीटर	मान
कीप-अलाइव चेक (खाली जानकारी अनुरोध भेजता है)। टनल पर साइट को कोई डेटा नहीं मिलने के बाद के सेकंड की संख्या।	10 सेकंड
फिर से भेजने का अंतराल (सेकंड में)। इस पैरामीटर के लिए एक कस्टम मान को कॉन्फिगर करना संभव नहीं है।	10 सेकंड
फिर से भेजने की अधिकतम संख्या। इस पैरामीटर के लिए एक कस्टम मान को कॉन्फ़िगर करना संभव नहीं है।	5 पुनः भेजे
अधिकतम समय अंतराल जब साइट को कीप-अलाइव चेक के लिए कोई डेटा या प्रतिक्रिया नहीं मिलती है। इस समय के बाद साइट टनल को तोड़ देती है और इसे पुनर्निर्माण करने का प्रयास करती है।	60 सेकंड
अंतराल जब साइट एक टनल को पुनर्निर्माण करने का प्रयास करती है जो डाउन है और ऊपर आने में विफल रहता है।	हर 90 सेकंड
IKE SA जीवनकाल (IPsec चरण 1)। आप साइट के लिए उन्नत कॉन्फ़िगरेशन का उपयोग करके इस पैरामीटर के लिए मान कॉन्फ़िगर कर सकते हैं।	19,800 सेकंड (लगभग 5.5 घंटे)
चाइल्ड SA जीवनकाल (IPsec चरण 2).	3,600 सेकंड (1 घंटा)

IKEv2 साइट्स के लिए एकल ट्रैफ़िक चयनकर्ता भेजें

एक चाइल्ड SA बनाते समय, Cato RFC 7295 के अनुसार एक ही TS पेलोड में कई ट्रैफ़िक चयनकर्ता (TS) भेजता है। कुछ तृतीय-पक्ष समाधान, जैसे Cisco ASAs, प्रत्येक चाइल्ड SA में केवल एकल TS का समर्थन करते हैं। Cisco ASA TS_UNACCEPTABLE संदेश Cato के प्रस्ताव के जवाब में भेजेगा जो कई TS के साथ एक चाइल्ड SA बनाने के लिए करता है।

आप अपने खाते या एक विशिष्ट IPsec IKEv2 साइट को कॉन्फ़िगर कर सकते हैं ताकि इन तीसरे-पक्ष समाधान के साथ इंटरऑपरेबिलिटी का समर्थन करने के लिए प्रत्येक TS को अलग-अलग पैकेट में भेजा जा सके, साइट कॉन्फ़िगरेशन > उन्नत कॉन्फ़िगरेशन के तहत इस कॉन्फ़िगरेशन को सक्षम करके।

HA के लिए AWS VPC को दो टनल कनेक्ट करना

Cato आपको उच्च उपलब्धता (HA) कॉन्फ़िगरेशन के लिए दो IPsec टनल पर BGP का उपयोग करके अपने AWS VPC को Cato क्लाउड से जोड़ने की अनुमति देता है। AWS डुअल टनल केवल तभी समर्थित होते हैं जब आप दो ग्राहक गेटवे परिभाषित करते हैं और प्रत्येक एक अलग Cato सार्वजनिक IP पते का प्रतिनिधित्व करता है। ये आवश्यकताएँ हैं:

दो Cato सार्वजनिक आईपी पते
उसी VPC में दो ग्राहक गेटवे और प्रत्येक को एक Cato सार्वजनिक आईपी पता सौंपा गया है
AWS में, साइट-टू-साइट कनेक्शन

ज्ञात कमिया

बहु-किरायेदार खातों के लिए (जैसे Cato पार्टनर), सुनिश्चित करें कि प्रत्येक खाता IPsec टनल के लिए अलग PoP स्थान से आईपी पते आवंटित करता है। उदाहरण के लिए, account1 फ्रैंकफर्ट PoP से आवंटित IP का उपयोग करता है, और account2 को म्यूनिख PoP स्थान से आवंटित IP का उपयोग करना चाहिए।