IPsec IKEv2サイトの構成

本記事では、IPsec IKEv2接続タイプを使用するサイトの作成と設定について説明します。 新しいサイトの作成についての詳細は、Cato管理画面の使用をご覧ください。

注意: 最近の拡張により、IPsecサイト向けの複数のアクティブトンネルを導入したため、顧客はタスクの切断と再接続の偽陽性イベントと関連通知を受け取る場合があります。 これは更新プロセス中の一度限りの発生であり、これらのイベントおよび各種通知は安全に無視することが可能です。 イベントと各種通知には正しくないタイムスタンプが含まれる可能性があり、実際のサービス停止を示しているわけではありません。 このプロセス中、IPsecトンネルは完全に運用可能です。

概要

IPsecトンネルを使用して、サイトや内部ネットワークをCato Cloud及びリモートネットワークに接続することができます。 IPsec接続が使用されるサイト:

  • AWSやAzureなどの公開クラウドにあるサイト
  • 異なる場所にある支店のためのサイトで、サードパーティのファイアウォールの背後にあるもの

IPsec IKEv2サイトを設定する際、以下のオプションのいずれかを使用して接続を開始することができます。

  • 応答者のみ - ファイアウォール初期化。 サイトのデバイスがCato PoPに接続を開始します。
  • 双方向 - 接続は、ファイアウォールまたはCatoによって開始することができます。

応答者のみ接続モード

CatoのIKEv2応答者のみの設定は、動的IPアドレスを持つか、NATデバイスの背後にあるエッジアプライアンスのためのソリューションです。 (例:ファイアウォールまたはルーター)このソリューションは、リモート端のエッジアプライアンスがIKEv2接続を開始し、管理することを可能にします。

加えて、応答者のみを使用する際、Catoは識別子としてFQDNを使用するように構成することができます。 その際、Catoはハッシュされた値を生成し、それをIPアドレスに変換して各トンネルに最適なPoPの位置を提供します。

例として、接続モードを応答者のみとして、宛先タイプをFQDNとして設定します。 Catoはsomevalue.ipsec.dev.catonetworks.orgのハッシュ化された値を生成します。 この値はその後、リモートサイトで構成され、FQDN値を使用するDNSリクエストの解決者として動作します。 PoPは、地理位置、RTTなどの複数のパラメータに基づいて選択されます。

このシナリオでは、PoPは動的に選択され、元のFQDNに割り当てられたPoPが利用できない場合、新しいPoPが自動的に選択されます。 さらに、Catoのベストプラクティスに従ってFQDNを使用する際にプライマリとセカンダリのトンネルを定義することで、理想的なHAのために異なるPoPのロケーションが自動的に選択されます。

また、FQDNを使用しないファイアウォールベンダーもいるため、その場合、宛先タイプとしてIPv4を選択することができます。 この場合、静的PoPロケーションを選択する必要があり、そのPoPが何らかの理由で利用できない場合は、トンネルが利用できなくなります。 静的IPアドレスの定義に関する情報については、リモートユーザーのためのIP割り当てポリシーを参照してください。

双方向接続モード

双方向接続モードでは、デバイスまたはCatoのどちらでも選択されたPoPからサイトやクラウドデータセンターに向けてIPsecトンネルを開始し、維持することができます。

トンネルが利用できない場合、Catoはデバイスが接続を開始するのを待つ必要がなく、迅速にトンネルを再確立することができます。

複数のアクティブトンネルを持つIPsecサイト

Catoは、プライマリとセカンダリのHAロールの両方に対して複数のアクティブトンネルを設定することができます。 複数のアクティブトンネルにより以下を行うことができます:

  • 最後のマイルを活用 - 複数のアクティブトンネルにより、ネットワークトラフィックを異なる経路に分散し、負荷をバランスさせネットワークパフォーマンスを向上させることができます。
  • 冗長性 - 複数のアクティブトンネルは冗長性を提供します。 1つのトンネルが失敗しても、トラフィックは別のアクティブトンネルを通ってルートされるため、接続性が途切れることはありません。
  • サードパーティ統合 - サードパーティのSD-WAN CPEsとSSEサービスのために統合されます。
  • トラフィックの分離 - 異なるトンネルを使用して異なる種類のトラフィックを分離することができます。 例として、1つのトンネルは音声トラフィック用に、もう1つのトンネルはデータトラフィック用に使用することができます。
ipsec-active-active.png

各HAロールに対して最大3つのアクティブトンネルを、同じCato PoPに接続するように構成することができます。 すべてのプライマリトンネルは1つのPoPに接続され、すべてのセカンダリトンネルは異なるPoPに接続されます。 各トンネルは、例えばFQDNや

公開IPアドレス

などのローカルIDといったユニークな識別子を持つ必要があります。

複数のアクティブトンネル用のHA

デフォルトでは、HAロールのすべてのアクティブトンネルがダウンすると、Catoは自動的に他のHAロールに戻ります。 つまり、プライマリHAロールのすべてのトンネルがダウンした場合、HAがトリガーされ、サイトのすべてのルートの次のホップとしてセカンダリトンネルを使用します。 しかし、プライマリHAロールに2つのトンネルがあり、そのうち1つがアップしている場合、フェイルオーバーは発生しません。

「リンクがダウン」ストーリーでトンネルを監視することができ、ストーリー作業台を使用します。

注意: トンネルがダウンしたことをCatoが判断するまでに最大30秒かかります。

帯域管理

IPsecサイトの下りと上りの帯域幅を管理することを選択できます。 下りの帯域幅を制限したい場合は、必要な制限を入力してください。 その場合、ISPリンクの実際の接続速度に定義される値を入力してください。 ISP接続速度が不明な場合、このサイトのライセンスに従って下り帯域幅を設定してください。 上り帯域幅については、Cato Cloudは上りトラフィックを制御せず、ハードリミットで制限することはできません。 代わりに、上り帯域幅の設定はCato Cloudによるベストエフォートです。

注意: ISPのリンクの実際の接続速度よりも大きい上り/下り値を入力した場合、Socket QoSエンジンは効果がありません。

CatoのQoSに関する詳細については、Catoの帯域管理プロファイルとはを参照してください。

複数のアクティブトンネル用のQoSに関しては、以下の複数アクティブトンネルのためのルーティングQoSをご参照ください。

前提条件

  • ネットワークトラフィックの一部のみをCato Cloudに送信している場合は、Cato Cloudへのルーティングテーブルに以下のIPアドレスが含まれるようにネットワーク機器を構成してください。

    • 10.254.254.1
    • 10.254.254.5
    • 10.254.254.253
    • 10.41.0.0/16 もしネットワークの独自VPNユーザーのIPアドレス範囲を構成していない場合

  • 100Mbps以上の帯域を持つIPsecサイトには、AES 128 GCM-16またはAES 256 GCM-16アルゴリズムのみを使用してください。 AES CBCアルゴリズムは、100Mbps未満の帯域のサイトにのみ使用されます。

    これらのガイドラインは、GCM暗号化がCBCより効率的でスケーラブルであり、高スループットの暗号化トラフィックに対してより良いパフォーマンスと信頼性を提供するからです。

  • Cato IPsec IKEv2サイトは、最大256ビットのノンス長をサポートします。
  • FTPトラフィックの場合、Catoは接続タイムアウトを30秒以上に設定することをFTPサーバーに推奨します。
  • IPSec共通秘密(PSK)を最大64文字設定可能です。
  • Zscaler環境に接続するサイトでは、暗号化選択をPhase2で有効にするためにZscalerライセンスのアップグレードが必要です。

IKEv2サイトの追加

新しいIPsec IKEv2サイトを作成し、IKEv2設定用に構成し、プライマリおよびセカンダリトンネルのためにCatoが割り当てたIPアドレスを指定します。 詳細については、アカウントへのIPアドレスの割り当てをご覧ください。

新しいIPsecサイトを作成するには、以下の手順を実行します。

  1. ナビゲーションメニューから ネットワーク > サイト をクリックし、新規作成 をクリックします。

    サイトを追加パネルが開きます,

  2. サイトの設定を構成します:

    • 名称: サイトの名称
    • タイプ: トポロジーページにサイトが表示されるアイコン
    • 接続タイプ: IPsec IKEv2 を選択
    • 国: サイトが位置する国
    • 州: サイトが位置する州(該当する場合)
    • ライセンス: サイトに適した帯域幅ライセンスを選択
    • ネイティブ範囲: IPSecサイトのLAN サブネット
  3. 新規をクリックします。

IPsec IKEv2設定の構成

Cato Cloudに接続するためにIPsec IKEv2を使用する新しいサイトを作成した後、そのサイトを編集しIPsec設定を構成します。

注意

重要: 高可用性を確保するために、必ずセカンダリトンネル(異なるCatoのパブリックIPを使用)を構成することを強く推奨します。 さもなければ、サイトがCato Cloudへの接続を失うリスクがあります。

接続メソッド設定を用いて、Cato PoPがリモートサイトからの接続にのみ応答する(応答者のみ)か、または接続も開始できる(双方向)かを定義します。

動的IPで働いているサイトの場合、Cato管理アプリケーションはそのサイトのためにローカルID を生成し、選択した認証識別子に使用されます。 サードパーティデバイスで必要とされる認証識別子:FQDN、メール、またはKEY_IDを使用し、サードパーティデバイスのIKE設定にローカルIDを入力します。

ローカル ID に加えて、認証のための事前共有キー(PSK)を設定します。 BGPを利用して、デバイスにプライマリとセカンダリのIPsecトンネルを定義し、高可用性を提供できます。 これにより、Cato Cloud は BGP ルートのメトリックを自動的に調整して一次トンネルを優先し、このトンネルが切断されると、サイトは自動的に二次トンネルに移動します。

IPsec IKEv2サイトの設定を構成するには、以下の手順を実行します。

  1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。
  2. ナビゲーションメニューから、サイト設定 > IPsecをクリックします。

  3. 一般 セクションを展開し、サイトが PoP と接続して認証する方法を定義します:

    1. サイトの接続モードを選択します:

      • 応答者のみ - ファイアウォールの初期化 サイトのファイアウォールが接続を開始し、Catoが応答します
      • 双方向 - Cato PoP は着信接続の交渉に応答し、送信交渉を開始します。

    2. 認証識別子を選択します。

      • IPv4 - サイトの プライマリ および セカンダリ セクションで設定された静的IPアドレスを使用します

        Cato PoP 経由のIPsecでは、IPv6は現在サポートされていません。

      • FQDN, 電子メール, KEY_ID - これらの形式のいずれかでローカルID を生成します

  4. プライマリ セクションを展開し、以下のプライマリ IPsec トンネルの設定を行います:

    • 宛先タイプ では、FQDNまたはIPv4のいずれかを選択してください。 宛先は、HAロール(プライマリまたはセカンダリ)のすべてのアクティブトンネルに対して同一でなければなりません。

      • FQDN - Cato によって生成されたハッシュ化された FQDN の値が生成されます。 この値は特定のトンネルに固有です。 これはファイアウォールに提供する値です。

        選択した場合は、PoPロケーションも定義する必要があります。 Catoは、最適なPoPを選択するために、自動を使用することをお勧めします。 特定のロケーションを選択し、セカンダリサイトも設定する場合は、異なるロケーションを選択してください。

      • IPv4 - Cato IP (Egress) ドロップダウンから静的IPアドレスを選択します。

  5. 新規をクリックします。 トンネル追加ページが表示されます。

    1. ロール の下で、このトンネルに使用する論理WANインタフェースを選択してください。 WAN役割は、ネットワークルールポリシーで優先度に基づくルーティングに使用されます。
    2. 名称 の下に記述的な名称を入力してください
    3. 公開IP の下にこのトンネルの公開IPアドレスを入力してください。 各トンネルは異なる公開IPアドレスを使用する必要があります

    4. BGPを使用するサイトでは、プライベートIPを設定します:

      • Cato - IPsecトンネルを開始するCato PoPとIPアドレスを入力します
      • サイト - BGPピアのプライベートIPアドレスを入力します
    5. 最終回線の帯域幅に、サイトで利用可能な最大下りおよび上り帯域幅(Mbps)を設定します
    6. 事前共有キーの中で、パスワードを編集をクリックして、プライマリーIPsecトンネルの共通秘密を入力します。

  6. 適用をクリックします。 トンネルがプライマリテーブルに追加されます。

    primary-ipsec-tunnel.png
  7. セカンダリIPsecトンネルを使用するサイトでは、セカンダリセクションを展開して前のステップで設定を構成し、保存をクリックします。
  8. アクティブ/アクティブトンネルを複数使用するサイトでは、ステップ5-7を繰り返します。

  9. (オプション)Initメッセージパラメータセクションを展開し、設定を構成します。 有効なパラメーターについては、以下の初期化および認証パラメーターを参照してください。

    ほとんどのIPsec IKEv2対応ソリューションが以下のInitAuthパラメータの自動ネゴシエーションを実装しているため、特にファイアウォールベンダーから指示がない限り、自動に設定することをお勧めします。

  10. (オプション)Authパラメータセクションを展開し、設定を構成します。 正しいパラメータについては、以下の 初期化および認証パラメータを参照してください。

  11. ルーティングセクションを展開し、サイトのルーティングオプションを定義します:

    IPsec_IKEv2_Routing.png
    • SES(Security Associations)がこのトンネルのために定義されているリモート側とのIPsec接続の場合、ネットワーク範囲でこのフォーマットのラベル:IP範囲SAsのリモートIP範囲(通常は他のサイトのネットワーク)を入力し、追加をクリックします。

    • SAのローカルIPレンジは、サイト設定 > ネットワークページで、ローカルトラフィックセレクタとピアトラフィックセレクタを含むことで設定されます。

      ipsec_ikev2_native.png
      IPsecのピアに設定した内容とローカルネットワークが一致していることを確認してください。

    • ダウンした接続をカトクラウドが積極的に再接続を試みるようにするには、他側を待たずにカトによる接続開始を選択します。 それ以外の場合、ファイアウォールは接続を再確立しようとします。

      注意: サイトに対してネットワーク範囲が設定されていない場合、ルートベースのVPN(暗黙的:0.0.0.0 <> 0.0.0.0)として考慮されます。

  12. 保存をクリックしてください。

    これらの設定に対して最適なPoPロケーションが決定されるように、ファイアウォールにプライマリおよびセカンダリFQDN値を入力する前に、少なくとも3分待ちます。

  13. このサイトの接続の詳細とIPsecトンネルのステータスを表示するには、接続ステータスをクリックします。

複数アクティブトンネルのルーティングQoS

デフォルトでは、Catoは下流トラフィックのみを制御できます。 トラフィックは、ヘルスメトリック、リンクの優先順位、および各リンクの設定された帯域幅の比率に基づいてトンネル(WANリンク)間で分配されます。 ヘルスメトリックは毎秒再計算され、トラフィックは10秒ごとに最も性能の良いリンクに再分配されます。

上流トラフィックはリモートIPsecピアによって制御され、ピアが使用するポリシーベースルーティングによります。

ネットワークルールを使用して下流トラフィックのWANリンク選択をオーバーライドすることができます。 特定のトラフィックタプルに使用するWANリンクを決定するルールを構成できます。この場合、トラフィックはルールで設定されたWANリンク上に送信され、到着したトンネルではありません。

active-active-rule.png

初期化および認証パラメータ

Init and Authパラメーターを定義する際に利用可能なパラメーターは以下の通りです。 ファイアウォールベンダーによって指示されない限り、これらのパラメーターを自動に設定することをカトは推奨しています。

パラメータ

有効な値

暗号化アルゴリズム

  • 自動

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

疑似乱数

  • 自動

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

整合性アルゴリズム

  • 自動

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

ディフィー・ヘルマン グループ

  • 2 (1024ビット)

  • 5 (1536ビット)

  • 14 (2048ビット)

  • 15 (3072ビット)

  • 16 (4096ビット)

  • 19 (256ビット乱数)

  • 20 (384ビット乱数)

サイトのデフォルト IKEv2 パラメータ

以下に示すIKEv2パラメータのデフォルト値のリストです。 カスタム値が必要な場合は、サポートにお問い合わせください。

パラメータ

キープアライブチェック (空の情報リクエストを送信します)。 サイトがトンネル上でデータを受信しない後の秒数。

10秒

再送信間隔 (秒単位)。

このパラメータのためのカスタム値を構成することはできません。

10秒

最大再送信回数。

このパラメータのカスタム値を設定することはできません。

5回の再送信

サイトがキープアライブチェックに対するデータまたは応答を受信しない最大時間間隔。 この時間が経過すると、サイトはトンネルを破壊し、再構築を試みます。

60秒

ダウンして復旧できないトンネルをサイトが再構築しようとする時間間隔。

毎90秒

IKE SAの寿命 (IPsecフェーズ1)。 サイトの高度な構成を使用して、このパラメータの値を構成できます。

19,800秒 (約5.5時間)

子SAの有効期間(IPsecフェーズ2)。

3,600秒(1時間)

IKEv2サイトの単一トラフィックセレクタ送信

子SAを作成する際、CatoはRFC 7295に従って同じTSペイロード内で複数のトラフィックセレクター(TS)を送信します。 Cisco ASAなどのサードパーティソリューションは、各子SAで単一のTSのみをサポートします。 Cisco ASAは、複数のTSと共に子SAを作成するというCatoの提案に応じて、TS_UNACCEPTABLEメッセージを送信します。

アカウントまたは特定のIPsec IKEv2サイトを構成して、各TSを別々のパケットで送信し、サイト構成 > 詳細構成の下でこの設定を有効にすることで、これらのサードパーティソリューションとの互換性をサポートすることができます。

冗長化のためにAWS VPCへ2つのトンネル接続

CatoはBGPを使用して、2つのIPsecトンネルを介してAWS VPCをCatoクラウドに接続することを可能にし、冗長化(HA)構成を実現します。 AWSデュアルトンネルは、2つの顧客ゲートウェイを定義し、それぞれが別のCato公開IPアドレスを表す場合にのみサポートされます。 これらは要件です:

  • 2つのCato公開IPアドレス
  • 同じVPCに2つの顧客ゲートウェイがあり、それぞれがCato公開IPアドレスに割り当てられています
  • AWSでのサイト間接続2つ

既知の制限

  • マルチテナントアカウント(例えばCatoパートナー)の場合、各アカウントがIPsecトンネル用に異なるPoPロケーションから割り当てられたIPアドレスを使用することを確認してください。 例えば、account1はフランクフルトPoPからIPが割り当てられ、account2はミュンヘンPoPのロケーションからIPが使用されるべきです。

この記事は役に立ちましたか?

5人中3人がこの記事が役に立ったと言っています

0件のコメント