IPsec 연결이 있는 사이트 구성

IPsec 연결로 사이트 구성하기

IPsec 터널을 사용하여 사이트와 내부 네트워크를 Cato Cloud 및 원격 네트워크에 연결할 수 있습니다. 일반적으로 IPsec 연결을 사용하는 사이트는 다음과 같습니다:

  • AWS 및 Azure와 같은 공개 클라우드에 있는 사이트
  • 타사 방화벽을 사용하는 사무실의 사이트

Cato Cloud는 IKEv1 및 IKEv2에 대한 IPsec 연결을 지원합니다. 우리는 IKEv2를 사용할 것을 권장하지만, 일부 기술은 IKEv1만 지원합니다.

Cisco ASA 장치에는 Cato IKEv2 사이트와의 알려진 비호환성이 있습니다. 자세한 내용은 IPsec IKEv2 사이트 구성을 참조하세요.

FTP 트래픽에 대해, Cato는 FTP 서버를 30초 이상의 연결 시간 초과로 구성할 것을 권장합니다.

IPsec IKEv1 연결 유형 선택

IPsec IKEv1의 연결 유형은 Cato-Initiated입니다. Cato Cloud는 사이트에 대한 IPsec 연결을 생성할 책임이 있습니다. 연결이 끊어지면, Cato Cloud는 다시 연결을 시도합니다

기본 범위 구성

사이트의 기본 범위는 방화벽 또는 라우터 장치 뒤에 있는 기본 LAN 네트워크의 IPv4 주소(및 CIDR)입니다.

네트워크 > <사이트> > 사이트 구성 > 네트워크에서 기본 범위 설정을 구성할 수 있습니다. 또한 이 섹션을 사용하여 사이트에 대한 추가 네트워크 범위를 구성할 수 있습니다.

VPN 터널 구성

IPsec 사이트는 기본 및 선택적 보조 VPN 터널을 지원합니다. 각 터널을 서로 다른 PoP에 연결하여 탄력성을 제공하도록 구성할 수 있습니다. 그러나 Cato 소켓과 달리 문제가 발생할 경우 IPsec 연결은 자동으로 다른 PoP에 연결되지 않습니다. 각 터널에 구성된 대상 IP 주소에만 연결할 수 있습니다.

참고

중요: 

  • 고가용성을 위해 다른 Cato 공용 IP를 사용하는 보조 터널을 구성할 것을 강력히 권장합니다. 그렇지 않으면, 사이트가 Cato Cloud와의 연결을 잃을 위험이 있습니다.
  • Cato는 PoP에 대한 정기적인 유지 관리를 수행하며, 동일한 유지 관리 기간 동안 기본 및 보조 VPN 터널 PoP가 사용 불가능할 수 있습니다. 이 위험을 방지하고 복원력을 보장하기 위해, 지원팀에 문의하여 사이트 터널이 별도의 유지 관리 일정이 있는 PoP를 사용하도록 하십시오.

IKEv1을 사용하는 사이트의 경우, AWS 및 Azure에 대한 사전 구성된 서비스 유형이 있습니다.

  • Cato IP (송신) - 기본보조 터널: 소스 IP 주소는 IPsec 터널을 시작하는 PoP IP 주소입니다. PoP에 대한 사용 가능한 IP 주소를 선택하십시오. 추가 IP 주소가 필요한 경우, IP 할당 설정 옵션을 사용하여 다른 IP 주소를 정의하십시오.
  • 사이트 IP - 기본보조 터널: VPN 터널에 사용되는 사이트의 IP 주소입니다.
  • 대역폭 - Cato 관리 애플리케이션을 사용하여 Cato Cloud에서 각 사이트로의 최대 상향 및 하향 대역폭을 제어할 수 있습니다. 사이트에 특정 대역폭 값을 구성하고 싶지 않다면, ISP에서 제공하는 실제 대역폭 또는 Cato Networks 라이선스에 따른 대역폭을 사용할 것을 권장합니다.
  • 개인 IP - BGP 동적 라우팅을 구성하는 데 사용되는 VPN 터널 내부의 IP 주소입니다.
  • 기본 및 보조 PSK - VPN 터널용 공개 사전 공유 키 (PSK)입니다.

참고

참고: 사이트 IP가 각 사이트마다 다르다면 하나 이상의 IPsec 사이트에 대해 동일한 할당된 IP 주소를 사용할 수 있습니다. Cato는 각 사이트마다 다른 할당된 IP를 사용할 것을 권장합니다.

IKEv1 라우팅 구성

IPsec IKEv1 사이트는 Phase II VPN 터널에 대한 라우팅 옵션을 선택할 수 있습니다:

  • 암묵적 - 사이트의 모든 내부 LAN 트래픽을 원격 IP 주소로 라우팅하는 데 단일 터널을 사용합니다.
  • 특정 - 네트워크 범위 필드에서 IPsec 터널의 반대편에 있는 원격 IP 범위를 정의합니다. 이렇게 하면 로컬 및 원격 IP 범위 간에 전체 메쉬가 생성됩니다.

IKEv2 설정 구성

IPsec IKEv2 사이트에는 구성할 수 있는 추가 설정이 있습니다:

  • Cato에 의한 연결 시작 - VPN 터널의 연결을 Cato Cloud 또는 방화벽에서 시작할 수 있도록 구성할 수 있습니다. 기본적으로 이 기능은 활성화되어 Cato Cloud가 IPsec 연결을 시작하고 다운타임을 최소화합니다.
  • 네트워크 범위 - SA(보안 연결)가 정의된 원격 쪽과 IPSec 연결이 있는 경우, 네트워크 범위 에 원격 IP 범위(일반적으로 다른 사이트의 네트워크)를 이 형식으로 입력합니다: <레이블:IP 범위>.

참고

참고: 기본 설정을 사용하고 Cato에 의한 연결 시작 기능을 활성화할 것을 강력히 권장합니다.

도움이 되었습니까?

7명 중 4명이 도움이 되었다고 했습니다.

댓글 0개