IPsec IKEv1 サイトを構成する

この記事では、IPsec IKEv1接続タイプを使用するサイトを設定する方法について説明します。 新しいサイトの作成について詳しくは、Cato管理画面の使用をご覧ください。

IPsec IKEv1 接続の概観

Cato は、選択された PoP から お客様のサイトおよび/または クラウドデータセンタへ向けて、IPsec IKEv1 トンネルを開始および維持できます。

注意

注意: ネットワークトラフィックの一部のみを Cato Cloud 経由で送信する場合は、Cato Cloud へのルーティングテーブルに以下のIP範囲を含めるようにネットワーク装置を設定してください:

  • 10.254.254.0/24 - Cato Cloud上のトラフィック用に予約されたデフォルトサブネット (カスタム範囲があるアカウントは、カスタムサブネットを使用)

  • 10.41.0.0/16 - ネットワークの独自のSDPユーザーのIPアドレス範囲を設定していない限り (リモートユーザー向けのIP割り当てポリシーを参照)

AWS VPCに対する2つのトンネルの冗長化接続

Cato は、AWS VPC を IPsec トンネル 2つで BGP を使用して Cato Cloud に接続し、冗長化 (HA) 設定を可能にします。 AWS のデュアルトンネルは、2つの顧客ゲートウェイが定義されている場合にのみサポートされ、それぞれが異なる Cato 公開IPアドレスを表します。 これらが要件です:

  • Catoの公開IPアドレス2つ

  • 同じVPC内で、顧客ゲートウェイを2台設定し、それぞれがCatoの公開IPアドレスに割り当てられる

  • AWSで、2つのサイト間接続を設定して

IPsec IKEv1 サイトの設定

IPsec IKEv1を使用してCato Cloudに接続する新しいサイトを作成した後、サイトを編集してIPsecの設定をしてください。

ユニークな IP アドレスの詳細については、アカウント用のIPアドレス割当をご覧ください。

注意

重要: 高可用性を実現するために、(異なるCatoのパブリックIPで)セカンダリトンネルの構成を強くお勧めします。 さもなければ、サイトがCatoクラウドへの接続性を失うリスクがあります。

IPsecサイトの下りと上りの帯域幅を管理することを選択できます。 Catoクラウドが下りの帯域幅を制限するようにしたい場合は、必要な制限値を入力してください。 さもなければ、ISPリンクの実際の接続速度で定義される値を入力してください。 ISPの接続速度がわからない場合、このサイトのライセンスに従って下りの帯域幅を設定してください。 上りの帯域幅については、Catoクラウドは上りトラフィックを制御せず、ハード制限での制限はできません。 代わりに、上り帯域幅設定はCatoクラウドによるベストエフォートです。

もしあなたが特定のルーティングをサイトに使用している場合は、レビュー ??? IPsec設定を開始する前に。

ベストプラクティス: IKEv1フェーズIIの死滅ピア検出(DPD)設定を構成し、DPD応答がない場合に自動的に接続を再起動するようにします。 また、Cato CloudがDPDパケットを送信し、トンネル状態を監視する頻度を定義できます(DPDパケット間の最大間隔は35秒です)。

  • 100Mbps を超える帯域幅を持つ IPsec サイトでは、AES 128 GCM-16 または AES 256 GCM-16 のみを使用します。 AES CBC アルゴリズムは、100Mbps 未満の帯域幅を持つサイトでのみ使用されます。

  • FTP トラフィックの場合、Cato は FTP サーバーを 30 秒以上の接続タイムアウトで設定することを推奨します。

  • Cato IPsec IKEv1 サイトは最大 48 ビットのノンス長をサポートしています。

  • IPSec 共有シークレット (PSK) は最大 64 文字まで設定可能です。

SAライフタイムは、暗号化キーが有効である期間を表し、それが失効する前に新しいキーが必要になります。 IKEv1フェーズ1とフェーズ2パラメータのためのSAライフタイムを設定することはできません。設定は次のとおりです:

  • フェーズ 1 - 86,400 秒 (24 時間)

  • フェーズ 2 - 3,600 秒 (1 時間)

注意

注意: ISPリンクの実際の接続速度を超える上り/下りの値を入力すると、ソケットQoSエンジンは効果がありません。

Cato の QoS についての詳細は、Cato 帯域管理プロファイルとはを参照してください。

ikev1_site.png

IPsec IKEv1 サイトの設定を行うには:

  1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。

  2. ナビゲーションメニューから、サイト設定 > IPsecをクリックします。

  3. 一般 セクションを展開し、事前設定された IPsec ピアタイプ (AWS や Azure など) を選択するか、ジェネリック を選択します。

  4. プライマリセクションを展開し、プライマリIPsecトンネルのために以下の設定を設定:

    • 公開IP > Cato IP(Egress)で、IPsecトンネルを開始するCato PoPとIPアドレスを選択します。

      アカウントに異なるIPアドレスが必要な場合は、IP割り当て設定をクリックし、PoPロケーションとIPアドレスを選択します。

    • 公開 IP > サイト IP において、IPsec トンネルが開始される公開 IP アドレスを入力します。

    • BGP 動的ルーティングを使用するサイトでは、VPN トンネル内にある プライベート IP を入力できます。

    • 帯域幅 で、サイト用の利用可能な最大 下り上り 帯域幅 (Mbps) を設定します。

    • プライマリPSK で、パスワードを編集 をクリックして、プライマリIPsecトンネルの共有シークレットを入力します。

    注: 1つ以上のIPsecサイトに対して同じ割り当て済みIPアドレスを使用することができますが、各サイトのサイトIPが異なる必要があります。 Catoは各サイトごとに異なる割り当てIPを使用することを推奨しています。

  5. (オプション) IKEv1フェーズIパラメータ セクションを展開し、設定を行います。

    1. アルゴリズム セクションで、暗号アルゴリズム を選択します: AES-CBC-128 または AES-CBC-256

    2. アルゴリズム セクションで、ハッシュアルゴリズム を選択します: MD5, SHA1, または SHA256

    3. ディフィーヘルマン グループ で、暗号化に使用するキーの長さを選択します: 2 (1024-bit), 5 (1536-bit), 14 (2048-bit), 15 (3072-bit), 16 (4096-bit)

  6. (オプション) IKEv1フェーズIIパラメータ セクションを展開し、設定を行います。

    1. アルゴリズム セクションで、暗号アルゴリズム を選択します: AES-CBC-128, AES-CBC-256, AES-GCM-128, または AES-GCM-256

    2. アルゴリズム セクションで、ハッシュアルゴリズム を選択します: MD5, SHA1, または SHA256

    3. フェーズ II ディフィーヘルマン グループ 設定を行うには、まず パーフェクトフォワードセクレシー を有効にします。

      1. パーフェクトフォワードセクレシー で、過去の伝送の保護を有効化する を選択し、この機能をサイトで有効にします。

      2. ディフィーヘルマン グループ で、暗号化に使用するキーの長さを選択します: 2 (1024-bit), 5 (1536-bit), 14 (2048-bit), 15 (3072-bit), 16 (4096-bit)

  7. IKEv1 フェーズ II パラメータ用に DPD 設定を行います:

    1. キープアライブ間隔 (秒) を選択し、キープアライブパケット間の秒数を入力します(最大値は 35 です)。

    2. (ベストプラクティス) DPD返答なしでの接続再スタートを選択し、DPDパケットの返答が35秒以内にないときにIPsec接続を再スタートできるようにする。

      サイトのDPDを無効にするには、キープアライブ間隔(秒)をクリアする。

  8. ルーティングセクションを展開し、サイトのルーティングオプションを選択します:

    • 暗黙的: 0.0.0.0/0<-->0.0.0.0/0 (すべてのローカル範囲からすべてのリモート範囲への単一トンネル) - すべての WAN トラフィックは、IPsec 接続を通じて単一のフェーズ II トンネル内で 1 つの暗号化キー (各 ESP SA ペアごとに 1 つ) で伝送されます。

    • 明示的: x.x.x.x/y<-->0.0.0.0/0 (各ローカル範囲からすべてのリモート範囲へのトンネル) - すべての WAN トラフィックは、サイトのローカルIP範囲からすべてのリモートIP範囲まで、IPsec接続を介し一つの暗号化キー(各ローカル範囲に一つのESP SA)を使用する単一のフェーズIIトンネルで伝送されます。

    • 特定: x.x.x.x/y<-->a.a.a.a/b (各ローカル範囲から特定のリモート範囲へのトンネル) - 以下を参照 ???

  9. 保存をクリックしてください。

  10. セカンダリIPsecトンネルを使用するサイトの場合、セカンダリセクションを展開し、前の手順で設定を構成してから保存をクリックします。

  11. このサイトのIPsecトンネルの接続詳細およびステータスを表示するには、接続ステータスをクリックしてください。

特定のルーティングの設定

IPsecサイトに特定のルーティングを選択すると、すべてのWANトラフィックがフェーズIIトンネル内でローカルとリモートのIP範囲間のフルメッシュを通じてIPsec接続で送信されます。

サイトのIPsec設定を開始する前に、ローカルネットワークがIPsecピアに設定した内容と一致していることを確認します。

  • ローカルIP範囲 (IPsecピアの背後のサブネット) は、サイト設定 > ネットワークページで定義されています。

    ipsec_native.png

  • リモートIP範囲 (典型的には他のサイトからのネットワーク) は、特定のオプションを選択した後にルーティングセクションで定義されます。

    IPsec_IKEv1_Routing.png

    • 追加をクリックして、IP範囲を入力します

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント