IPsec IKEv1 साइट्स को कॉन्फ़िगर करना

एक IPsec IKEv1 साइट के लिए सेटिंग्स को विन्यस्त करने के लिए:

1. नेविगेशन मेनू से, नेटवर्क > साइट्स पर क्लिक करें और साइट का चयन करें।

2. नेविगेशन मेनू से, साइट सेटिंग्स > IPsec पर क्लिक करें।

3. जनरल सेक्शन का विस्तार करें और एक पूर्व-विन्यस्त IPsec सहकर्मी प्रकार का चयन करें (जैसे कि AWS या Azure), या जनरिक चुनें।

4. प्राथमिक अनुभाग का विस्तार करें और प्राथमिक IPsec टनल के लिए निम्नलिखित सेटिंग्स को कॉन्फ़िगर करें:

   • सार्वजनिक IP > Cato IP (निर्गम) में, IPsec टनल आरम्भ करने वाला Cato PoP और IP पता चुनें।

     यदि आपके खाते पर अलग IP पता आवंटित करने की आवश्यकता है, तो IP आवंटन सेटिंग्स पर क्लिक करें और PoP स्थान और IP पता चुनें।

   • सार्वजनिक आईपी > साइट आईपी में, वह सार्वजनिक IP पता दर्ज करें जहाँ IPsec टनल शुरू होता है।

   • वे साइट्स जो BGP डायनामिक रूटिंग का उपयोग करती हैं, आप निजी आईपी दर्ज कर सकते हैं जो वीपीएन टनल के अंदर हैं।

   • बैंडविड्थ में, साइट के लिए उपलब्ध अधिकतम डाउनस्ट्रीम और अपस्ट्रीम (Mbps) बैंडविड्थ को विन्यस्त करें।

   • प्राथमिक पीएसके में, पासवर्ड संपादित करें पर क्लिक करें और प्राथमिक IPsec टनल के साझा रहस्य दर्ज करें।

   नोट: आप वैकल्पिक रूप से एक या अधिक IPsec साइट्स के लिए एक ही आवंटित IP पता का उपयोग कर सकते हैं, जब तक कि प्रत्येक साइट के लिए साइट IP भिन्न है। Cato प्रत्येक साइट के लिए अलग आवंटित IP का उपयोग करने की सिफारिश करता है।

5. (वैकल्पिक) IKEv1 चरण I पैरामीटर सेक्शन का विस्तार करें, और सेटिंग्स को विन्यस्त करें।

   1. एल्गोरिदम सेक्शन में, एन्क्रिप्शन एल्गोरिदम का चयन करें: AES-CBC-128 या AES-CBC-256

   2. एल्गोरिदम सेक्शन में, हैश एल्गोरिदम का चयन करें: MD5, SHA1, या SHA256

   3. डिफी-हेल्मन ग्रुप में, वह कुंजी लंबाई चुनें जो एन्क्रिप्शन में उपयोग की जाती है: 2 (1024-बिट), 5 (1536-बिट), 14 (2048-बिट), 15 (3072-बिट), 16 (4096-बिट)

6. (वैकल्पिक) IKEv1 चरण II पैरामीटर सेक्शन का विस्तार करें और सेटिंग्स को विन्यस्त करें।

   1. एल्गोरिदम सेक्शन में, एन्क्रिप्शन एल्गोरिदम का चयन करें: AES-CBC-128, AES-CBC-256, AES-GCM-128, या AES-GCM-256

   2. एल्गोरिदम सेक्शन में, हैश एल्गोरिदम का चयन करें: MD5, SHA1, या SHA256

   3. चरण II डिफी-हेल्मन ग्रुप सेटिंग्स को विन्यस्त करने के लिए, पहले परफेक्ट फॉरवर्ड सिक्रेसी सक्षम करें।

      1. परफेक्ट फॉरवर्ड सिक्रेसी में, गोपनीय कुंजियों के भविष्य के समझौतों के खिलाफ पिछले प्रसारणों के "सुरक्षा" को सक्षम करें का चयन करें ताकि आप इस फीचर को साइट के लिए सक्षम कर सकें।

      2. डिफी-हेल्मन ग्रुप में, एन्क्रिप्शन में प्रयुक्त कुंजी लंबाई का चयन करें: 2 (1024-बिट), 5 (1536-बिट), 14 (2048-बिट), 15 (3072-बिट), 16 (4096-बिट)

7. IKEv1 चरण II पैरामीटर के लिए DPD सेटिंग्स को विन्यस्त करें:

   1. Keepalive अंतराल (सेकंड) चुनें और कीपअलाइव पैकेट्स के बीच सेकंडों की संख्या दर्ज करें (अधिकतम मूल्य 35 है)।

   2. (सर्वोत्तम प्रथाएँ) अगर कोई DPD उत्तर प्राप्त नहीं हो रहा है तो कनेक्शन पुनः आरंभ करें चयनित करें ताकि 35 सेकंड के भीतर DPD पैकेट के लिए उत्तर नहीं मिल पाने पर IPsec कनेक्शन को पुनः प्रारंभ करने में सक्षम किया जा सके।

      साइट के लिए DPD को निष्क्रिय करने के लिए, कीपअलाइव अंतराल (सेकंड) को साफ़ करें।

8. रूटिंग अनुभाग का विस्तार करें, और साइट के लिए रूटिंग विकल्प चुनें:

   • निहित: 0.0.0.0/0<-->0.0.0.0/0 (सभी स्थानीय रेंज से सभी रिमोट रेंज तक एकल टनल) - सभी WAN ट्रैफिक IPsec कनेक्शन पर एकल चरण II टनल में एक एन्क्रिप्शन कुंजी (प्रत्येक युगल ESP SAs के लिए एक) के साथ प्रसारित होता है।

   • स्पष्ट: x.x.x.x/y<-->0.0.0.0/0 (प्रत्येक स्थानीय रेंज से सभी रिमोट रेंज तक एक टनल) - सभी WAN ट्रैफिक एकल चरण II टनल में साइट के लिए स्थानीय IP रेंज के साथ सभी रिमोट IP रेंज के लिए एक एन्क्रिप्शन कुंजी (प्रत्येक स्थानीय रेंज के लिए एक ESP SA) के साथ IPsec कनेक्शन पर प्रसारित होता है।

   • विशिष्ट: x.x.x.x/y<-->a.a.a.a/b (प्रत्येक स्थानीय रेंज से विशिष्ट दूरस्थ रेंज तक टनल) - नीचे देखें ???

9. सहेजें पर क्लिक करें।

10. उन साइट्स के लिए जो द्वितीयक IPsec टनल का उपयोग करते हैं, द्वितीयक अनुभाग का विस्तार करें और पिछले चरण में सेटिंग्स कॉन्फ़िगर करें और फिर सहेजें पर क्लिक करें।

11. इस साइट के लिए अपना कनेक्शन विवरण और IPsec टनल की स्थिति दिखाने के लिए, कनेक्शन स्थिति पर क्लिक करें।