Cato CloudからVMware EdgeへのHA IPsecトンネルを通じて

この記事では、Cato管理画面における VMware Edge デバイスを使用したIPsecサイトのHA(冗長化)構成について説明します。

サンプルネットワーク接続構成

以下の図は、Cato管理画面におけるVMware Edgeデバイスを使用したアクティブ/パッシブHA構成において、IPsecを使用してCato Cloudに接続するCato IPsecサイトの接続構成を示しています。

image1.png

VMware Edgeデバイスを使用してアカウントにHA IPsecサイトを作成する

Cato管理画面を使用して、VMware EdgeデバイスをCato Cloudに接続するためのIPsec IKEv2サイトを作成できます。 まず、CatoアカウントにIPアドレスを割り当てる必要があります。 次に、VMware Edgeデバイスの設定を構成してそのIPアドレスに接続します。 最後に、Cato管理画面で新しいIPSecサイトを作成し、VMware Edgeデバイスに接続するためのサイト設定を構成します。

Cato Cloudとの接続用にVMware Edge HA IPsecを使用してサイトを設定するには:

  1. Cato管理アプリケーションにおいて、プライマリおよびセカンダリのPoPからIPsecピアIPを割り当てます:

    CMA_IP_Allocation

    1. ナビゲーションメニューから、ネットワーク(1) > IPの割り当て (2)をクリックします。

    2. IPの割り当て画面で、IPsecトンネル用のプライマリPoPおよびセカンダリPoP(3)として2か所のPoPロケーションを選択します。

      PoPロケーションを選択すると、対応するIPsecピアIPアドレスが表示されます。

    3. 保存 (4)をクリックします。

  2. VMware SD-WAN Orchestratorのナビゲーションメニューで、設定 > プロファイル (1)を選択し、新しいプロファイル (2)をクリックしてプロファイルを作成します。

    image2.png

  3. プロファイルの下で、デバイスタブをクリックします。

    image3.png

  4. Cloud VPNセクションまでスクロールし、エッジ経由で非SD-WAN宛先へのブランチオプションを有効化します。

    image4.png

  5. 新しいサービスを追加し、ドロップダウンメニューからエッジ経由で新しいNVS…を選択します。

    image5.png

  6. サービス名 (1) を入力し、サービスタイプ (2) のドロップダウンから 一般的な IKEv2 ルーター (ルーター ベース VPN) を選択します。 次へ (3) をクリックします。

    image6.png

  7. エッジ経由の非SD-WAN宛先 ウィンドウで、高度な設定 をクリックし、次の設定を行います:

    image7.png

    1. プライマリ VPN ゲートウェイ 公開 IP (1) に、上記の手順1のプライマリ PoP から割り当てられた IP を入力します。

    2. DHグループ (2) の値を 15 に設定します (Cato のデフォルト値に合わせるため)。

    3. サイト サブネット (3) で、この VMware Edge デバイスへのアクセスが許可された Cato WAN サブネットを指定します。

  8. セカンダリ VPN ゲートウェイ (1) を有効にし、次の設定を行います:

    image8.png

    1. 公開 IP (2) に、上記の手順1で サブ PoP から割り当てられた IP を入力します。

    2. トンネル設定がプライマリVPNゲートウェイと同じ (3) オプションを有効にし、変更を保存 (4) をクリックします。

  9. 新しいプロファイルを適切な VMware Edge デバイスに関連付けする設定を開きます:

    image9.png

    1. ナビゲーションメニューで 設定 > エッジ (1) を選択します。

    2. 適切なエッジデバイス (2) のハイパーリンクをクリックします。

  10. エッジの概要 (1) タブをクリックし、プロファイル セクションで、新しいプロファイルを プロファイル ドロップダウン (2) から選択し、その後 変更を保存 (3) をクリックします。

    image10.png

  11. デバイス タブをクリックし、クラウドVPN セクションで次のオプションのいずれかを構成します:

    image11.png

    • 単一のプロダクション サービス接続の場合 - エッジ上書きを有効にする (1) を選択し、この接続用に作成されたサービスを指定します

    • 複数のプロダクションサービス接続について - 前のステップで設定したプロファイルに基づいてサービスを自動的にインポートすることを許可します。

    トンネル情報を追加するサービスのために追加する (2)ハイパーリンクをクリックします。

  12. トンネルを追加するウィンドウで、次の設定を構成します:

    image12.png

    1. ローカルID (1) をパブリックWANリンクIPアドレスとして設定します。

    2. カスタム事前共有キー (2)を入力します。

    3. 宛先プライマリパブリックIP (3)にプライマリPoP IPアドレスを入力します。

    4. 宛先セカンダリパブリックIP (4)にセカンダリPoP IPアドレスを入力します。

    5. 変更を保存をクリックします。

  13. Cato管理アプリケーションで、VMware Edgeサイト用の新しいサイトを作成します:

    image3.png

    1. ナビゲーションメニューからネットワーク (1) > サイト (2)を選択します。

    2. 新規 (3)をクリックします。 サイト追加パネルが開きます。

  14. 新しいVMware Edgeサイトの設定を構成します。

    image4.png

    1. サイト名 (1)を入力します。

    2. 接続タイプ (2)IPsec IKEv2を選択します。

    3. 適切な国 (3)州 (4)を選択します。

    4. ネイティブ範囲 (5)でCatoクラウドに接続された範囲と通信するVMware Edgeサイトの背後にあるネットワーク範囲を指定します。

    5. 適用 (6)をクリックします。

  15. サイトを開いて設定を構成するには、新しいサイトの名前をクリックします。

    image5.png

  16. ナビゲーションメニューからネットワーク > サイト設定 > IPsec (1)を選択し、プライマリ (2)セクションを展開します。

    image6.png

  17. プライマリIPsecトンネルの設定を定義します:

    image7.png

    1. パブリックIPを定義します:

      1. Cato IP (Egress) (1) で、ドロップダウンメニューからプライマリ PoP IPアドレスを選択します。

      2. サイトIP (2) で、VMware Edgeルーターのパブリック WANリンクのIPアドレスを入力します。

    2. プライマリPSK (3) を入力します。

  18. セカンダリ トンネル構成セクションを拡張し、セカンダリIPsecトンネルの設定を構成します:

    image8.png

    1. Cato IP (Egress) (1) で、ドロップダウンメニューからセカンダリPoP IPアドレスを選択します。

    2. サイトIP (2) で、VMware EdgeのパブリックWANリンクのIPアドレスを入力します。

    3. セカンダリーPSK (3) を入力します。

  19. ルーティング 構成セクションを拡張し、Cato によって接続を開始 が有効になっていないことを確認します。

    image9.png

    ネットワーク範囲 を指定しないでください。 これはルートベースのポリシーであり、VMware EdgeルーターはCato Cloudと単一の0.0.0.0 - 255.255.255.255セキュリティアソシエーションを構築します。

  20. IPsec 画面の最上部に移動して、保存 をクリックします。

    あなたのサイトは現在、Cato Cloudに接続するように設定されています。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント