Cato CloudからCisco IOS/IOS-XEへHA IPSecトンネルを介して

この記事では、(冗長化)設定でCisco iOS/IOS-XEデバイスを使用してCato CloudにIPsecサイトを接続する方法を説明します。

サンプルネットワークトポロジー

下の図は、アクティブ/パッシブ冗長化設定でCisco IOS/IOS-XEデバイスを使用してCato Cloudに接続するCato IPsecサイトのトポロジーを示しています。

Cisco IOS/IOS-XEデバイスを使用したアカウントのHA IPsecサイトの作成

CiscoデバイスをCato Cloudに接続するためにIPsec IKEv2サイトを作成するには、Cato管理画面を使用します。最初に、Catoアカウント用のIPアドレスを割り当てる必要があります。その後、Cato公開IPアドレスに接続するためにCiscoデバイスの設定を構成します。最後に、Ciscoデバイスに接続するためのIPsecサイト設定を構成します。

Cato CloudとCiscoデバイスを接続するためにIPsecサイトを構成するには：

Cato管理画面から、プライマリPoPとセカンダリPoPからIPsecピアIPを割り当てます。
1. ナビゲーションメニューから、ネットワーク(1) > IPの割り当て(2)をクリックします。
2. IPの割り当て画面で、IPsecトンネル用のプライマリPoPとセカンダリPoP(3)として2か所のPoPロケーションを選択します。
  
  PoPロケーションを選択した後、対応するIPsecピアIPアドレスが表示されます。
3. 保存 (4)をクリックします。
Cisco IOS CLIから、IKEv2提案とポリシーを作成します。ターミナル設定のプロンプトを開き、IKEv2提案とプロファイルを作成します（以下の例に似ます）：
```
crypto ikev2 proposal CATO_IKEv2_PROPOSAL
encryption aes-gcm-256
prf sha512group 21
！
crypto ikev2 policy CATO_IKEv2_POLICY
proposal CATO_IKEv2_PROPOSAL
！
```

IKEv2キーリングとプロファイルを作成します（以下の例に似ます）：

crypto ikev2 keyring CATO_KEYRING
peer Dallas
address x.x.x.x
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
！
peer Chicago y.y.y.y
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
！
crypto ikev2 profile CATO_IKEv2_PROFILE
match identity remote address x.x.x.x 255.255.255.255
match identity remote address y.y.y.y 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local CATO_KEYRING
！

IPsec変換セットおよびプロファイルを作成します（以下の例に類する）：

!
crypto ipsec transform-set CATO_TSET esp-gcm 256
！
crypto ipsec profile CATO_IPSEC_PROFILE
set transform-set CATO_TSET
set pfs group21
set ikev2-profile CATO_IKEv2_PROFILE
！

外部の公開インタフェースのトンネルソースを持つIPsecトンネルインタフェースを作成します（以下の例に類する）：

インタフェース Tunnel0
IPアドレス 172.16.3.1 255.255.255.252
トンネル ソース GigabitEthernet2
トンネル モード IPsec IPv4
トンネル 宛先 x.x.x.x
トンネル 保護 IPsec プロフィール CATO_IPSEC_PROFILE
！
インタフェース Tunnel1
IPアドレス 172.16.4.1 255.255.255.252
tunnel source GigabitEthernet2
tunnel モード ipsec ipv4
トンネル宛先 y.y.y.y
トンネル保護 ipsec プロファイル CATO_IPSEC_PROFILE
！

サイトの要件に基づいて、Ciscoデバイスでルートを設定します：
1. 選択トラフィックをCatoに送信 - 特定のサブネットをIPSecトンネルインタフェースを介してCatoに指示するための静的ルートを作成します（以下の例に類する）：
```
ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel0 172.16.3.2
ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel1 172.16.4.2 250
```
2. すべてのトラフィックをCatoに転送 – CatoピアIPアドレスを公開インターネットに指示し、デフォルトルートをCatoトンネルに設定するための静的ルートを作成します（以下の例に類する）：
```
ip route x.x.x.x 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato プライマリピアルート)
ip route y.y.y.y 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato セカンダリピアルート)
ip route 0.0.0.0 0.0.0.0 Tunnel0 172.16.3.2
ip route 0.0.0.0 0.0.0.0 Tunnel1 172.16.4.2 250
```
Cato管理アプリケーションで、Ciscoサイトのための新しいサイトを作成します。
1. ナビゲーションメニューから、ネットワーク (1) > サイト (2)をクリックします。
2. 新規 (3)をクリックします。 サイトを追加パネルが開きます。
新しいCiscoサイトのために設定を行います。
1. サイト名 (1)を入力します。
2. 接続タイプ (2)でIPSec IKEv2を選択します。
3. 該当する場合、適切な国 (3)および州 (4)を定義してください。
4. ネイティブ範囲 (5)において、Cato Cloudに接続された範囲に通信するCiscoサイトの背後にあるネットワーク範囲を特定してください。
5. 適用 (6)をクリックします。
新規サイトの名前をクリックしてサイトを開き、設定を構成します。
ナビゲーションメニューから、サイト設定 > IPSec (1)を選択し、プライマリ (2)トンネル構成セクションを展開します。
プライマリIPsecトンネルの設定を定義します。
1. パブリックIPを定義します：
  1. Cato IP (Egress) (1)で、ドロップダウンメニューからプライマリPoP IPを選択します。
  2. サイトIP (2)に、Ciscoルーターの公開WANリンクIPアドレスを入力します。
2. プライマリ事前共有キー (3)を入力します。
セカンダリトンネル構成セクションを展開し、セカンダリIPsecトンネルの設定を行います：
1. Cato IP (Egress) (1)で、ドロップダウンメニューからバックアップPoP IPを選択します。
2. サイトIP (2)に、Ciscoルーターの公開WANリンクIPアドレスを入力します。
3. 事前共有キー (3)を入力します。
ルーティング構成セクションを展開し、Catoによる接続を開始が有効になっていないことを確認してください。

ネットワーク範囲を指定しないでください。これはルートベースポリシーであり、Cisco iOSルーターは0.0.0.0 - 255.255.255.255のセキュリティアソシエーションをCato Cloudと構築します。
IPsec画面の上部に移動し、保存をクリックします。

サイトは今、Cato Cloudに接続するように構成されています。