IPsecトンネルを使用して、サイトおよび内部ネットワークをCato Cloudおよびリモートネットワークに接続できます。 一般的に、IPsec接続のあるサイトは次の用途に使用されます:
-
AWSやAzureなどのパブリッククラウドにあるサイト
-
サードパーティファイアウォールを使用するオフィスのサイト
Cato CloudはIKEv1およびIKEv2用のIPsec接続をサポートしています。 IKEv2の使用をお勧めしますが、一部のテクノロジーはIKEv1のみをサポートしています。
Cisco ASAデバイスに関しては、Cato IKEv2サイトと互換性がないことが知られています。詳細はIPsec IKEv2の構成を参照してください。
FTPトラフィックのために、CatoはFTPサーバーを30秒以上の接続タイムアウトで構成することを推奨します。
IPsec IKEv1の接続タイプはCato-Initiatedです。 Cato CloudはサイトへのIPsec接続の作成を担当します。 接続がダウンした場合、Cato Cloudはそれを再確立しようとします
サイトのネイティブ範囲とは、ファイアウォールまたはルーター デバイスの背後にあるプライマリLANネットワークのIPv4アドレス (CIDRを含む) です。
ネットワーク > <サイト> > サイト設定 > ネットワーク でネイティブ範囲の設定を構成できます。 このセクションを使用して、サイトの追加ネットワーク範囲を構成することもできます。
IPsecサイトは、プライマリおよびオプションのセカンダリVPNトンネルをサポートします。 各トンネルを異なるPoPに接続するように構成して、弾力性を提供できます。 ただし、Cato ソケットとは異なり、問題が発生した場合、IPsec 接続は自動的に異なる PoP に接続しません。 各トンネルに構成された宛先IPアドレスにのみ接続できます。
注意
重要: 高可用性のために、異なるパブリックIPを持つセカンダリトンネルを構成することを強くお勧めします。 そうしないと、サイトがCato Cloudへの接続を失うリスクがあります。
IKEv1を使用するサイトには、AWSおよびAzure用に事前構成されたサービスタイプがあります。
-
Cato IP(Egress) は プライマリ と セカンダリ トンネル用 - ソースIPアドレスはIPsecトンネルを開始するPoPのIPアドレスです。 PoPに使用可能なIPアドレスを選択してください。 より多くのIPアドレスを必要とする場合は、IP割り当て設定 オプションを使用して他のIPアドレスを定義します。
-
サイトIP は プライマリ と セカンダリ トンネル用 - VPNトンネルに使用されるサイトのIPアドレス。
-
帯域幅 - Cato管理画面を使用して、Cato Cloudから各サイトへの最大上り及び下りの帯域幅を制御します。 特定のサイトの帯域幅の値を設定したくない場合は、ISPの実際の帯域幅を使用するか、Cato Networksのライセンスに従って使用することをお勧めします。
-
プライベートIPアドレス - サイトのBGP動的ルーティングを構成するために使用されるVPNトンネル内部のIPアドレス。
-
プライマリおよびセカンダリPSK - VPNトンネルの公開された事前共有キー(PSK)。
IPsec IKEv1サイトは、フェーズII VPNトンネルのためのルーティングオプションを選択することができます:
-
暗黙的 - 単一のトンネルを使用して、サイトのすべての内部LANトラフィックをリモートIPアドレスにルーティングします。
-
特定 - ネットワーク範囲フィールドに、IPsecトンネルの反対側のリモートIP範囲を定義します。 これにより、ローカルとリモートのIP範囲の間にフルメッシュが作成されます。
IPsec IKEv2サイトには、次の追加設定があり、これらを構成できます:
-
Catoによる接続の開始 - VPNトンネル接続を開始する主体を、Cato Cloudまたはファイアウォールから選択できます。 デフォルトでは、この機能は有効になっており、CatoクラウドがIPsec接続を開始してダウンタイムを最小限に抑えます。
-
ネットワーク範囲 - リモートネットワークに対して定義済みのSA(セキュリティアソシエーション)がある展開の場合、これらのSAのIPアドレスの範囲を入力します。
注意
注: デフォルト設定を使用し、Catoによる接続の開始機能を有効にすることを強くお勧めします。
0件のコメント
サインインしてコメントを残してください。