IPsec IKEv2サイトの構成

この記事では、IPsec IKEv2接続タイプを使用するサイトの作成と設定方法について説明します。 新しいサイトの作成について詳しくは、Cato管理画面を使用してサイトを追加するを参照してください。

IPsec IKEv2接続の概要

IPsecトンネルを使用して、サイトや内部ネットワークをCato Cloudおよびリモートネットワークに接続することができます。 IPsec接続を持つサイトは、次の目的で使用されます:

  • AWSまたはAzureなどのパブリッククラウドにあるサイト

  • 異なる場所にある拠点のためのサイトで、サードパーティのファイアウォールの背後にあります

IPsec IKEv2サイトを構成する際、次のオプションのいずれかを使用して接続を開始できます:

  • 応答者のみ - ファイアウォール初期化。 サイトのデバイスがCatoのPoPと接続を開始します

  • 双方向 – 接続はファイアウォールまたはCatoによって開始できます

応答者のみの接続モード

CatoのIKEv2 応答者のみ 設定は、動的IPアドレスを持つ、またはNATデバイスの背後にあるエッジアプライアンス向けのソリューションです。 (例えば、ファイアウォールやルーター)このソリューションは、リモートエンドのエッジアプライアンスがIKEv2接続を開始および管理できるようにします。

さらに、応答者のみを使用する場合、Catoを構成してCato識別子としてFQDNを使用することができます。 この場合、Catoはハッシュ値を生成し、それをIPアドレスに変換します。また、各トンネルに最適なPoPロケーションをCatoが割り当てるよう選択することができます。 また、各トンネルに対してPoPロケーションを手動で構成することもできます。

例えば、接続モードを応答者のみとして構成し、宛先の種類をFQDNとして設定します。 Catoはsomevalue.ipsec.dev.catonetworks.orgのハッシュ値を生成します。 この値がリモートサイトに構成され、FQDN値を使用するDNSリクエストのリゾルバーとして機能します。 PoPは、ジオロケーション、RTT、その他のパラメータに基づいて自動的に選択されます。 さらに、Catoのベストプラクティスに従い、FQDNを使用する際にプライマリとセカンダリのトンネルを定義している場合、Catoは理想的なHAのために異なるPoPロケーションを自動的に選択します。

または、一部のファイアウォールベンダーはFQDNの使用をサポートしていないため、その場合は宛先タイプとしてIPv4を選択できます。 この場合、静的PoPロケーションを選択する必要があります。PoPが何らかの理由で利用不可の場合、トンネルは利用できません。

双方向接続モード

双方向接続モードでは、IPsec IKEv2プロトコルを使用して、選択されたPoPからサイトやクラウドデータセンタに向けて、デバイスまたはCatoのどちらからでもIPsecトンネルを開始し維持できます。

トンネルが利用不可の場合、Catoはデバイスからの接続開始を待たずに、トンネルを迅速に再確立できます。

帯域管理

IPsecサイトの下りと上りの帯域幅を管理することができます。 Catoクラウドが下りの帯域幅を制限する場合は、必要な制限値を入力してください。 それ以外の場合は、ISPリンクの実際の接続速度で定義された値を入力してください。 ISP接続速度が不明な場合、このサイトのライセンスに基づいて下りの帯域幅を設定してください。 上りの帯域幅に関しては、Catoクラウドは上りトラフィックを制御せず、厳しい制限をかけることはできません。 代わりに、上りの帯域幅設定はCatoクラウドのベストエフォートです。

注意

注: ISPリンクの実際の接続速度よりも大きい上り/下りの値を入力すると、ソケットQoSエンジンは無効です。

CatoのQoSに関する詳細は、Cato帯域管理プロファイルとはを参照してください。

前提条件

  • Catoクラウドにネットワークトラフィックの一部のみを送信している場合、ネットワーク機器を設定して、Catoクラウドへのルーティングテーブルに次のIPアドレスを含む:

    • 10.254.254.1

    • 10.254.254.5

    • 10.254.254.253

    • 10.41.0.0/16、ただしネットワークのVPNユーザーのIPアドレス範囲を設定していない場合

  • 帯域幅が100Mbpsを超えるIPsecサイトでは、AES 128 GCM-16またはAES 256 GCM-16アルゴリズムのみを使用してください。 AES CBCアルゴリズムは、帯域幅が100Mbps未満のサイトでのみ使用されます。

  • CatoのIPsec IKEv2サイトは、最大256ビットのナンス長に対応しています。

  • FTPトラフィックの場合、Catoは30秒以上の接続タイムアウトでFTPサーバーを設定することを推奨します。

  • IPSecの共有秘密(事前共有キー)は、最大64文字に設定できます。

  • Zscaler環境に接続するサイトには、Phase2の暗号化選択を有効にするためのアップグレードされたZscalerライセンスが必要です。

IKEv2サイトの追加

新しいIPsec IKEv2サイトを作成し、その設定をIKEv2に合わせて構成し、プライマリおよびセカンダリトンネルのCato割り当てIPアドレスを指定します。 詳細情報は、アカウントのためのIPアドレスの割り当てを参照してください。

新しいIPsecサイトを作成するには:

  1. ナビゲーションメニューから ネットワーク > サイト をクリックし、新規作成 をクリックします。

    サイトを追加パネルが開きます,

  2. サイトの設定を構成します:

    • 名前: サイトの名前

    • タイプ: トポロジーページに表示されるサイトのアイコン

    • 接続タイプ: IPsec IKEv2 を選択

    • 国: サイトが所在する国。

    • 州: サイトが所在する州(該当する場合)

    • ライセンス: サイトに適した帯域幅ライセンスを選択

    • ネイティブ範囲: IPSecサイトのLANサブネット

  3. 保存をクリックしてください。

IPsec IKEv2設定の構成

Cato Cloudに接続するためにIPsec IKEv2を使用する新しいサイトを作成した後、そのサイトを編集しIPsec設定を構成します。

注意

重要: 高可用性を確保するために、必ずセカンダリトンネル(異なるCatoのパブリックIPを使用)を構成することを強く推奨します。 さもなければ、サイトがCato Cloudへの接続を失うリスクがあります。

接続メソッド設定を用いて、Cato PoPがリモートサイトからの接続にのみ応答する(応答者のみ)か、または接続も開始できる(双方向)かを定義します。

動的IPで働いているサイトの場合、Cato管理アプリケーションはそのサイトのためにローカルID を生成し、選択した認証識別子に使用されます。 サードパーティデバイスに必要な認証識別子:FQDN、電子メール、またはKEY_IDを使用し、サードパーティデバイスのIKE設定にローカルIDを入力します。

ローカル ID に加えて、認証のための事前共有キー(PSK)を設定します。 高可用性を提供するデバイス上で、BGPを使用して一次と二次のIPsecトンネルを定義できます。 これにより、Cato Cloud は BGP ルートのメトリックを自動的に調整して一次トンネルを優先し、このトンネルが切断されると、サイトは自動的に二次トンネルに移動します。

IPsec IKEv2 サイトの設定を行うには:

  1. ナビゲーションメニューから ネットワーク > サイト をクリックし、サイトを選択します。

  2. ナビゲーションメニューから、サイト設定 > IPsec をクリックします。

  3. 一般 セクションを展開し、サイトが PoP と接続して認証する方法を定義します:

    1. サイトの接続モードを選択します:

      • 応答者のみ - ファイアウォール開始。 サイトのファイアウォールが接続を開始し、Cato が応答します

      • 双方向 - Cato PoP が着信接続の交渉に応答し、送信交渉を開始します。

    2. 認証識別子を選択します。

      双方向 モードは、認証識別子として IPv4 のみをサポートします。

      • IPv4 - サイトの プライマリ および セカンダリ セクションで設定された静的IPアドレスを使用します

        Cato PoP 経由のIPsecでは、IPv6は現在サポートされていません。

      • FQDN、電子メール、KEY_ID - これらの形式のいずれかでローカル ID を生成します

  4. プライマリ セクションを展開し、以下のプライマリ IPsec トンネルの設定を行います:

    • 宛先タイプ では、FQDNまたはIPv4のいずれかを選択してください。

      • FQDN - Cato によって生成されたハッシュ化された FQDN の値が生成されます。 この値は特定のトンネルに固有です。 これは、ファイアウォールまたは BGP ピアに提供する値です。

        選択した場合は、PoPロケーションも定義する必要があります。 Catoは、最適なPoPを選択するために、自動を使用することをお勧めします。 特定のロケーションを選択し、セカンダリサイトも設定する場合は、異なるロケーションを選択してください。

      • IPv4 - Cato IP (Egress) ドロップダウンから静的IPアドレスを選択してください。

    • パブリックサイト識別子には、IPsecトンネルがリモートサイト用に開始されるパブリックサイトIPアドレスまたはローカルIDを入力してください。

    • プライベートIPアドレス

      • Cato - IPsecトンネルを開始するCato PoPとIPアドレスを入力してください

      • サイト - BGPピアのプライベートIPアドレスを入力してください

    • 最終回線の帯域幅では、サイトに利用可能な最大下り上り帯域幅(Mbps)を設定します

    • プライマリPSKには、プライマリIPsecトンネルの共通鍵を入力するためにパスワードを編集をクリックしてください。

      注: 各サイトでサイトIPが異なれば、1つ以上のIPsecサイトで同じ割り当て済みIPアドレスを選択的に使用できます。 Catoは各サイトに異なる割り当てIPを使用することを推奨します。

  5. セカンダリIPsecトンネルを使用するサイトでは、セカンダリセクションを展開し、前のステップで設定を構成し、その後保存をクリックしてください。

  6. (オプション) Initメッセージパラメータセクションを展開し、設定を構成してください。 有効なパラメータについては、以下のInitおよびAuthパラメータを参照してください。

    ほとんどのIPsec IKEv2対応ソリューションは自動的に次のInitおよびAuthパラメータを交渉するため、それらを自動に設定することをお勧めしますが、ファイアウォールベンダーからの特別な指示がある場合を除きます。

  7. (オプション) Authパラメータセクションを展開し、設定を構成してください。 有効なパラメーターについては、以下のInit and Auth Parametersを参照してください。

  8. ルーティングセクションを展開し、サイトのルーティングオプションを定義します:

    IPsec_IKEv2_Routing.png

    • SAs(セキュリティアソシエーション)がこのトンネルのために定義されているリモートとのIPsec接続の場合、ネットワーク範囲セクションで、<ラベル:IP範囲>の形式でSAsのローカルIP範囲を入力し、追加をクリックします。

      SAsのリモートIP範囲は、サイト設定 > ネットワーク画面で設定されます。

    • ダウンした接続をカトクラウドが積極的に再接続を試みるようにするには、他側を待たずにカトによる接続開始を選択します。 それ以外の場合、ファイアウォールは接続を再確立しようとします。

    注意: サイトに対してネットワーク範囲が設定されていない場合、ルートベースのVPN(暗黙的:0.0.0.0 <> 0.0.0.0)として考慮されます。

  9. 保存をクリックしてください。

    これらの設定に対して最適なPoPロケーションが決定されるように、ファイアウォールにプライマリおよびセカンダリFQDN値を入力する前に、少なくとも3分待ちます。

  10. このサイトの接続詳細とIPsecトンネルの状態を表示するには、接続ステータスをクリックします。

Init and Authパラメーター

Init and Authパラメーターを定義する際に利用可能なパラメーターは以下の通りです。 ファイアウォールベンダーによって指示されない限り、これらのパラメーターを自動に設定することをカトは推奨しています。

パラメーター

有効な値

暗号化アルゴリズム

  • 自動

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

疑似乱数

  • 自動

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

整合性アルゴリズム

  • 自動

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

ディフィー・ヘルマン グループ

  • 2 (1024-bit)

  • 5 (1536-bit)

  • 14 (2048-bit)

  • 15 (3072-bit)

  • 16 (4096-bit)

  • 19 (256-bit 随機)

  • 20 (384-bit 随機)

サイトのデフォルトIKEv2パラメータ

以下に示すIKEv2パラメータのデフォルト値のリストです。 カスタム値が必要な場合は、サポートにお問い合わせください。

パラメータ

キープアライブチェック(空の情報リクエストを送信します)。 サイトがトンネルで何もデータを受信しない秒数。

10 seconds

再送間隔(秒単位)。

このパラメータのカスタム値を構成することはできません。

10 seconds

最大再送信数。

このパラメータのカスタム値を構成することはできません。

5 回再送信

サイトがデータやキープアライブチェックの応答を受信しない最大時間間隔。 この時間が経過すると、サイトはトンネルを切断し、再構築を試みます。

60 seconds

サイトがダウンしているトンネルの再構築を試みる時間間隔。

every 90 seconds

IKE SA lifetime (IPsec phase 1). サイトの高度な構成を使用して、このパラメータの値を構成できます。

19,800 seconds (approximately 5.5 hours)

Child SA lifetime (IPsec phase 2).

3,600 seconds (1 hour)

IKEv2サイト用のトラフィックセレクタを一つ送信する

子SAを作成する際、CatoはRFC 7295に従って同じTSペイロード内で複数のトラフィックセレクター(TS)を送信します。 Cisco ASAなどのサードパーティソリューションは、各子SAで単一のTSのみをサポートします。 Cisco ASAは、複数のTSと共に子SAを作成するというCatoの提案に応じて、TS_UNACCEPTABLEメッセージを送信します。

アカウントまたは特定のIPsec IKEv2サイトを構成して、各TSを別々のパケットで送信し、これらのサードパーティソリューションと相互運用性をサポートするように、この構成をサイト設定 > 高度な設定で有効にします。

AWS VPCにHAのための2つのトンネルを接続する

CatoはBGPを使用して、2つのIPsecトンネルを介してAWS VPCをCatoクラウドに接続することを可能にし、冗長化(HA)構成を実現します。 AWSデュアルトンネルは、2つの顧客ゲートウェイを定義し、それぞれが別のCato公開IPアドレスを表す場合にのみサポートされます。 これらは要件です:

  • 2つのCato公開IPアドレス

  • 同じVPCにある2つの顧客ゲートウェイ、それぞれにCato公開IPアドレスが割り当てられています

  • AWSにおける2つのサイト間接続

この記事は役に立ちましたか?

4人中2人がこの記事が役に立ったと言っています

0件のコメント