IPsec接続を使用してサイトを構成する

サイトをIPsec接続で設定する

IPsecトンネルを使用して、サイトおよび内部ネットワークをCato Cloudおよびリモートネットワークに接続できます。 一般的に、IPsec接続のあるサイトは次の用途に使用されます:

  • AWSやAzureなどのパブリッククラウドにあるサイト
  • サードパーティのファイアウォールを使用するオフィスのためのサイト

Cato CloudはIKEv1およびIKEv2用のIPsec接続をサポートしています。 IKEv2の使用をお勧めしますが、一部のテクノロジーはIKEv1のみをサポートしています。

Cisco ASAアプライアンスについては、Cato IKEv2サイトと互換性がないことが知られています。「IPsec IKEv2サイトの設定」をご覧ください。

FTPトラフィックのために、CatoはFTPサーバーを30秒以上の接続タイムアウトで構成することを推奨します。

IPsec IKEv1接続タイプの選択

IPsec IKEv1の接続タイプはCato-Initiatedです。 Cato CloudはサイトへのIPsec接続の作成を担当します。 接続がダウンした場合、Cato Cloudはそれを再確立しようとします

ネイティブ範囲の設定

サイトのネイティブ範囲とは、ファイアウォールまたはルーター デバイスの背後にあるプライマリLANネットワークのIPv4アドレス (CIDRを含む) です。

ネットワーク > <サイト> > サイト設定 > ネットワークでネイティブ範囲設定を構成できます。 このセクションを使用して、サイトの追加ネットワーク範囲を構成することもできます。

VPNトンネルの設定

IPsecサイトは、プライマリおよびオプションのセカンダリVPNトンネルをサポートします。 各トンネルを異なるPoPに接続するように構成して、弾力性を提供できます。 ただし、Cato ソケットとは異なり、問題が発生した場合、IPsec 接続は自動的に異なる PoP に接続しません。 各トンネルに構成された宛先IPアドレスにのみ接続できます。

注意

重要: 

  • 高可用性のために異なるCatoのパブリックIPを持つセカンダリトンネルを設定することを強くお勧めします。 そうしないと、サイトがCato Cloudへの接続を失うリスクがあります。
  • CatoはそのPoPで定期的なメンテナンスを行っており、メンテナンスウィンドウ中にプライマリとセカンダリVPNトンネルトンPoPが利用できない場合があります。 このリスクを避け、回復力を確保するために、サイトトンネルが別々のメンテナンススケジュールを持つPoPを使用することを確認するためにサポートに連絡してください。

IKEv1を使用するサイトには、AWSおよびAzure用に事前構成されたサービスタイプがあります。

  • Cato IP (Egress) プライマリトンネルとセカンダリトンネルのために - ソースIPアドレスはIPsecトンネルを開始するPoP IPアドレスです。 利用可能なPoPのIPアドレスを選択してください。 より多くのIPアドレスが必要な場合、IP割り当て設定オプションを使用して他のIPアドレスを定義します。
  • サイトIP プライマリトンネルとセカンダリトンネルのために - VPNトンネルに使用されるサイトのIPアドレス。
  • 帯域幅 - Cato管理画面を使用して各サイトへのCato Cloudからの最大上りと下り帯域幅を制御できます。 特定のサイトの帯域幅値を設定したくない場合は、ISPからの実際の帯域幅を使用するか、Cato Networksのライセンスに従って使用することをお勧めします。
  • プライベートIP - BGP動的ルーティングを設定するために使用されるVPNトンネル内部のIPアドレス。
  • プライマリとセカンダリPSK - VPNトンネル用の公開事前共有キー (PSK)。

注意

注: サイトIP が各サイトで異なる限り、1つ以上のIPsecサイトで同じ割り当て済みIPアドレスをオプションで使用できます。 Catoは各サイトごとに異なる割り当てIPアドレスを使用することを推奨しています。

IKEv1のルーティング設定

IPsec IKEv1サイトは、フェーズII VPNトンネルのためのルーティングオプションを選択することができます:

  • インプリシット - 単一のトンネルがすべての内部LANトラフィックをサイトからリモートIPアドレスへルーティングするために使用されます。
  • 特定 - ネットワーク範囲フィールドで、IPsecトンネルの向こう側のリモートIP範囲を定義してください。 これにより、ローカルとリモートのIP範囲との間にフルメッシュが作成されます。

IKEv2設定の構成

IPsec IKEv2サイトには、次の追加設定があり、これらを構成できます:

  • Catoによる接続の開始 - VPNトンネルの接続を開始するのがCato Cloudなのかファイアウォールなのかを設定できます。 デフォルトでは、この機能が有効になっており、Cato CloudがIPsec接続を開始し、ダウンタイムを最小化します。
  • ネットワーク範囲 - リモート側のIPsec接続で、このトンネルのために定義されたSA(セキュリティアソシエーション)がある場合、ネットワーク範囲にSAに対してリモートIP範囲(通常は他のサイトからのネットワーク)をこのフォーマット<ラベル:IP範囲>で入力してください。

注意

注: デフォルト設定を使用し、Catoによる接続の開始機能を有効にすることを強くお勧めします。

この記事は役に立ちましたか?

7人中4人がこの記事が役に立ったと言っています

0件のコメント