Cato क्लाउड को Cisco iOS/IOS-XE HA IPSec टनल के माध्यम से जोड़ें

यह लेख चर्चा करता है कि कैसे IPsec साइट को Cisco IOS/IOS-XE उपकरणों के साथ उच्च उपलब्धता (HA) कॉन्फ़िगरेशन में Cato क्लाउड से जोड़ें।

Sample Network Topology

नीचे दिया गया आरेख एक सक्रिय/निष्क्रिय HA कॉन्फ़िगरेशन में Cisco IOS/IOS-XE उपकरणों का उपयोग कर Cato क्लाउड से कनेक्ट होने वाली Cato IPsec साइट की टोपोलॉजी दिखाता है।

Creating an HA IPsec Site for Your Account with Cisco IOS/IOS-XE Devices

आप Cisco उपकरणों को Cato क्लाउड से जोड़ने के लिए Cato प्रबंधन अनुप्रयोग का उपयोग कर IPsec IKEv2 साइट बना सकते हैं। पहले आपको अपने Cato खाते के लिए एक IP पता आवंटित करना होगा। फिर Cisco उपकरणों में सेटिंग्स को कॉन्फ़िगर करें ताकि Cato की सार्वजनिक IP पते से जोड़ सकें। अंत में, Cisco उपकरणों से जोड़ने के लिए IPsec साइट सेटिंग्स को कॉन्फ़िगर करें।

Cisco उपकरणों के साथ Cato क्लाउड से कनेक्ट होने के लिए IPsec साइट सेट अप करें:

Cato प्रबंधन अनुप्रयोग से, प्राथमिक और द्वितीयक PoP से एक IPsec साथी IP आवंटित करें।
1. नेविगेशन मेनू से, नेटवर्क (1) > IP आवंटन (2) पर क्लिक करें।
2. IP आवंटन स्क्रीन में, दो PoP स्थान चुनें जो कि IPsec टनल के लिए प्राथमिक PoP और द्वितीयक PoP (3) होंगे।
  
  PoP स्थान चुनने के बाद, संबंधित IPsec साथी IP पता दिखाया जाता है।
3. सहेजें (4) पर क्लिक करें।
Cisco IOS CLI से, एक IKEv2 प्रस्ताव और नीति बनाएँ। कॉन्फ़िगर टर्मिनल प्रॉम्प्ट खोलें और एक IKEv2 प्रस्ताव और प्रोफ़ाइल बनाएं (नीचे के उदाहरण के समान):
```
crypto ikev2 proposal CATO_IKEv2_PROPOSAL
encryption aes-gcm-256
prf sha512group 21
!
crypto ikev2 policy CATO_IKEv2_POLICY
proposal CATO_IKEv2_PROPOSAL
!
```

एक IKEv2 कीरिंग और प्रोफ़ाइल बनाएँ (नीचे के उदाहरण के समान):

crypto ikev2 keyring CATO_KEYRING
peer Dallas
address x.x.x.x
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
peer Chicago y.y.y.y
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
crypto ikev2 profile CATO_IKEv2_PROFILE
match identity remote address x.x.x.x 255.255.255.255
match identity remote address y.y.y.y 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local CATO_KEYRING
!

एक IPsec ट्रांसफॉर्म-सेट और प्रोफाइल बनाएं (नीचे के उदाहरण के समान):

!
crypto ipsec transform-set CATO_TSET esp-gcm 256
!
crypto ipsec profile CATO_IPSEC_PROFILE
set transform-set CATO_TSET
set pfs group21
set ikev2-profile CATO_IKEv2_PROFILE
!

एक बाहरी सार्वजनिक इंटरफेस के सुरंग स्रोत के साथ IPsec टनल इंटरफेस बनाएं (नीचे के उदाहरण के समान):

interface Tunnel0
ip पता 172.16.3.1 255.255.255.252
टनल स्रोत GigabitEthernet2
टनल मोड IPsec IPv4
टनल गंतव्य x.x.x.x
टनल सुरक्षा IPsec प्रोफ़ाइल CATO_IPSEC_PROFILE
!
interface Tunnel1
ip address 172.16.4.1 255.255.255.252
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination y.y.y.y
tunnel protection ipsec profile CATO_IPSEC_PROFILE
!

साइट के लिए आवश्यकताओं के आधार पर Cisco उपकरण पर मार्गों को सेट करें:
1. Cato के लिए चयनात्मक ट्रैफ़िक - विशेष सबनेट्स को Cato के आईपीसेक टनल इंटरफेस के माध्यम से इंगित करने के लिए स्थिर मार्ग बनाएँ (नीचे उदाहरण के समान):
```
ip मार्ग x.x.x.x x.x.x.x 255.255.255.255 Tunnel0 172.16.3.2
ip मार्ग x.x.x.x x.x.x.x 255.255.255.255 Tunnel1 172.16.4.2 250
```
2. Cato के लिए सभी ट्रैफ़िक – Cato सहकर्मी IP पते सार्वजनिक इंटरनेट की ओर इंगित करने के लिए स्थिर मार्ग बनाएँ और Cato टनल्स की ओर एक डिफ़ॉल्ट रूट (नीचे दिए गए उदाहरण के समान):
```
ip route x.x.x.x 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato प्राथमिक पीयर रूट)
ip route y.y.y.y 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato द्वितीयक पीयर रूट)
ip route 0.0.0.0 0.0.0.0 Tunnel0 172.16.3.2
ip route 0.0.0.0 0.0.0.0 Tunnel1 172.16.4.2 250
```
Cato प्रबंधन अनुप्रयोग में, Cisco साइट के लिए एक नई साइट बनाएँ।
1. नेविगेशन मेनू से,नेटवर्क (1) > साइट्स (2) पर क्लिक करें।
2. नया (3) पर क्लिक करें। साइट जोड़ें पैनल खुलता है।
नई Cisco साइट के लिए सेटिंग्स कॉन्फ़िगर करें।
1. साइट का नाम (1) दर्ज करें।
2. कनेक्शन प्रकार (2) में IPSec IKEv2 चुनें।
3. उपयुक्त देश (3) और राज्य (4) परिभाषित करें, यदि लागू हो।
4. मूल रेंज (5) में, Cisco साइट के पीछे स्थित नेटवर्क रेंज निर्दिष्ट करें जो Cato Cloud से जुड़ी रेंज से संचारित करता है।
5. लागू करें (6) पर क्लिक करें।
साइट को खोलने और सेटिंग्स कॉन्फ़िगर करने के लिए नई साइट के नाम पर क्लिक करें।
नेविगेशन मेनू से, साइट कॉन्फ़िगरेशन > IPSec (1) चुनें, और प्राथमिक (2) टनल कॉन्फ़िगरेशन अनुभाग का विस्तार करें।
प्राथमिक आईपीसेक टनल के लिए सेटिंग्स परिभाषित करें।
1. सार्वजनिक आईपी परिभाषित करें:
  1. Cato IP (बहिर्गमन) (1) में, ड्रॉप-डाउन मेनू से प्राथमिक PoP IP चुनें।
  2. साइट IP (2) में, Cisco राउटर सार्वजनिक WAN लिंक IP पता दर्ज करें।
2. प्राथमिक पीएसके (3) दर्ज करें।
द्वितीयक टनल कॉन्फ़िगरेशन अनुभाग का विस्तार करें और द्वितीयक आईपीसेक टनल के लिए सेटिंग्स कॉन्फ़िगर करें:
1. Cato IP (बहिर्गमन) (1) में, ड्रॉप-डाउन मेनू से बैकअप PoP IP चुनें।
2. साइट IP (2) में, Cisco राउटर सार्वजनिक WAN लिंक IP पता दर्ज करें।
3. पी.एस.के. (3) दर्ज करें।
रूटिंग कॉन्फ़िगरेशन अनुभाग को विस्तारित करें, और सुनिश्चित करें कि Cato द्वारा कनेक्शन प्रारंभ करें सक्रिय नहीं है।

कोई भी नेटवर्क रेंज निर्दिष्ट न करें। यह एक रूट-आधारित नीति है और Cisco iOS राउटर Cato Cloud के साथ 0.0.0.0 - 255.255.255.255 सुरक्षा सहमति का निर्माण करता है।
IPsec स्क्रीन के शीर्ष पर जाएं और सहेजें पर क्लिक करें।

आपकी साइट अब Cato Cloud से कनेक्ट होने के लिए कॉन्फ़िगर की गई है।