IPsec 터널을 사용하여 사이트와 내부 네트워크를 Cato Cloud 및 원격 네트워크에 연결할 수 있습니다. 일반적으로 IPsec 연결을 사용하는 사이트는 다음과 같습니다:
-
AWS 및 Azure와 같은 공용 클라우드에 있는 사이트
-
타사 방화벽을 사용하는 사무실용 사이트
Cato Cloud는 IKEv1 및 IKEv2에 대한 IPsec 연결을 지원합니다. 우리는 IKEv2를 사용할 것을 권장하지만, 일부 기술은 IKEv1만 지원합니다.
Cisco ASA 장치의 경우, Cato IKEv2 사이트와의 호환성 문제에 대한 안내는 IPsec IKEv2 사이트 구성을 참조하십시오.
FTP 트래픽에 대해, Cato는 FTP 서버를 30초 이상의 연결 시간 초과로 구성할 것을 권장합니다.
IPsec IKEv1의 연결 유형은 Cato-Initiated입니다. Cato Cloud는 사이트에 대한 IPsec 연결을 생성할 책임이 있습니다. 연결이 끊어지면, Cato Cloud는 다시 연결을 시도합니다
사이트의 기본 범위는 방화벽 또는 라우터 장치 뒤에 있는 기본 LAN 네트워크의 IPv4 주소(및 CIDR)입니다.
네트워크 > <사이트> > 사이트 설정 > 네트워크에서 기본 범위 설정을 구성할 수 있습니다. 또한 이 섹션을 사용하여 사이트에 대한 추가 네트워크 범위를 구성할 수 있습니다.
IPsec 사이트는 기본 및 선택적 보조 VPN 터널을 지원합니다. 각 터널을 서로 다른 PoP에 연결하여 탄력성을 제공하도록 구성할 수 있습니다. 그러나 Cato 소켓과 달리 문제가 발생할 경우 IPsec 연결은 자동으로 다른 PoP에 연결되지 않습니다. 각 터널에 구성된 대상 IP 주소에만 연결할 수 있습니다.
참고
중요: 고가용성을 위해 서로 다른 Cato 공용 IP가 있는 보조 터널을 구성할 것을 강력히 권장합니다. 그렇지 않으면, 사이트가 Cato Cloud와의 연결을 잃을 위험이 있습니다.
IKEv1을 사용하는 사이트의 경우, AWS 및 Azure에 대한 사전 구성된 서비스 유형이 있습니다.
-
Cato IP(송신) - 기본 및 보조 터널에 대한 소스 IP 주소는 IPsec 터널을 시작하는 PoP IP 주소입니다. PoP에 대한 사용 가능한 IP 주소를 선택하십시오. 더 많은 IP 주소가 필요하면 IP 할당 설정 옵션을 사용하여 다른 IP 주소를 정의하십시오.
-
사이트 IP for the Primary and Secondary tunnels - VPN 터널에 사용되는 사이트의 IP 주소.
-
대역폭 - Cato 관리 애플리케이션을 사용하여 Cato Cloud에서 각 사이트로의 최대 상향 및 하향 대역폭을 제어할 수 있습니다. 사이트에 대한 특정 대역폭 값을 구성하지 않으려면, 실제 ISP 대역폭 또는 Cato Networks 라이센스에 따라 사용하기를 권장합니다.
-
개인 IP - 사이트에 대한 BGP 동적 라우팅을 구성하는 데 사용되는 VPN 터널 내부의 IP 주소.
-
기본 및 보조 사전 공유 키(PSK) - VPN 터널에 대한 공용 사전 공유 키(PSK).
IPsec IKEv1 사이트는 Phase II VPN 터널에 대한 라우팅 옵션을 선택할 수 있습니다:
-
암묵적 - 하나의 터널을 사용하여 사이트의 내부 LAN 트래픽을 원격 IP 주소로 라우팅합니다.
-
특정 - 네트워크 범위 필드에서 IPsec 터널 반대편의 원격 IP 범위를 정의하십시오. 이 작업은 로컬 및 원격 IP 범위 간에 전체 메쉬를 생성합니다.
IPsec IKEv2 사이트에는 구성할 수 있는 추가 설정이 있습니다:
-
Cato에 의한 연결 시작 - VPN 터널 연결을 시작하는 주체를 Cato Cloud 또는 방화벽 중에서 구성할 수 있습니다. 기본적으로 이 기능이 활성화되어 Cato Cloud가 IPsec 연결을 시작하고 다운 타임을 최소화합니다.
-
네트워크 범위 - 원격 네트워크에 대해 정의된 SA(보안 연결)이 있는 배포의 경우, 이러한 SA의 IP 주소 범위를 입력합니다.
참고
참고: 기본 설정을 사용하고 Cato에 의한 연결 시작 기능을 활성화할 것을 강력히 권장합니다.
댓글 0개
댓글을 남기려면 로그인하세요.