Cato Cloud는 Cisco IOS/IOS-XE와 HA IPSec 터널을 통해 연결

이 문서는 HA(고가용성) 구성에 있는 Cisco IOS/IOS-XE 장치로 Cato Cloud에 IPsec 사이트를 연결하는 방법을 설명합니다．

샘플 네트워크 토폴로지

아래 도표는 활성/수동 HA 구성의 Cisco IOS/IOS-XE 장치를 사용하여 Cato Cloud에 연결하는 Cato IPsec 사이트의 토폴로지를 보여줍니다．

Cisco IOS/IOS-XE 장치를 사용하여 계정을 위한 HA IPSec 사이트 생성

Cato 관리 애플리케이션을 사용하여 Cisco 장치를 Cato Cloud에 연결하기 위한 IPsec IKEv2 사이트를 생성할 수 있습니다． 먼저 Cato 계정에 사용할 IP 주소를 할당해야 합니다． 그런 다음 Cisco 장치의 설정을 구성하여 Cato 공인 IP 주소에 연결합니다． 마지막으로 IPsec 사이트 설정을 구성하여 Cisco 장치에 연결합니다．

Cisco 장치와 함께 Cato Cloud에 연결하기 위한 IPsec 사이트 구성：

Cato 관리 애플리케이션에서 주 및 보조 PoP를 할당하여 IPsec 피어 IP를 할당합니다．
1. 네비게이션 메뉴에서 Network(1) > IP 할당 (2)을 클릭합니다．
2. IP 할당 화면에서 IPsec 터널의 기본 PoP 및 보조 PoP (3)으로 두 개의 PoP 위치를 선택합니다．
  
  PoP 위치를 선택한 후에 해당 IPsec 피어 IP 주소가 표시됩니다．
3. 저장 (4)을 클릭합니다．
Cisco IOS CLI에서 IKEv2 제안 및 정책을 생성합니다． 터미널 프롬프트를 열고 IKEv2 제안 및 프로필을 생성합니다(아래 예시와 유사)：
```
crypto ikev2 proposal CATO_IKEv2_PROPOSAL
encryption aes-gcm-256
prf sha512group 21
！
crypto ikev2 policy CATO_IKEv2_POLICY
proposal CATO_IKEv2_PROPOSAL
！
```

IKEv2 키링 및 프로필을 생성합니다(아래 예시와 유사)：

crypto ikev2 keyring CATO_KEYRING
peer Dallas
address x.x.x.x
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
！
peer Chicago y.y.y.y
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
！
crypto ikev2 profile CATO_IKEv2_PROFILE
match identity remote address x.x.x.x 255.255.255.255
match identity remote address y.y.y.y 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local CATO_KEYRING
！

IPsec 변환 집합 및 프로필을 생성합니다(아래 예시와 유사)：

!
crypto ipsec transform-set CATO_TSET esp-gcm 256
！
crypto ipsec profile CATO_IPSEC_PROFILE
set transform-set CATO_TSET
set pfs group21
set ikev2-profile CATO_IKEv2_PROFILE
！

외부 공개 인터페이스의 터널 소스를 사용하여 IPsec 터널 인터페이스를 생성합니다(아래 예시와 유사)：

interface Tunnel0
ip address 172.16.3.1 255.255.255.252
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination x.x.x.x
tunnel protection ipsec profile CATO_IPSEC_PROFILE
！
인터페이스 터널1
IP 주소 172.16.4.1 255.255.255.252
터널 소스 GigabitEthernet2
터널 모드 IPsec IPv4
터널 목적지 y.y.y.y
터널 보호 IPsec 프로필 CATO_IPSEC_PROFILE
!

사이트 요구 사항에 따라 Cisco 장치에서 경로를 설정합니다:
1. Cato로의 선택적 트래픽 - IPsec 터널 인터페이스를 통해 특정 서브넷을 Cato로 지정하는 정적 경로를 생성합니다(아래 예시와 유사):
```
ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel0 172.16.3.2
ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel1 172.16.4.2 250
```
2. 모든 트래픽 카토 – Cato 피어 IP 주소를 공용 인터넷으로 포인팅하기 위한 정적 경로를 만들고, Cato 터널로 기본 경로를 설정하십시오（아래 예시와 유사）：
```
ip route x.x.x.x 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato 기본 피어 경로)
ip route y.y.y.y 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato 보조 피어 경로)
ip route 0.0.0.0 0.0.0.0 Tunnel0 172.16.3.2
ip route 0.0.0.0 0.0.0.0 Tunnel1 172.16.4.2 250
```
Cato 관리 애플리케이션에서 Cisco 사이트를 위한 새로운 사이트를 생성하십시오．
1. 네비게이션 메뉴에서 네트워크 (1) > 사이트 (2)를 클릭하십시오．
2. 신규 (3)를 클릭하십시오． 사이트 추가 패널이 열립니다．
새로운 Cisco 사이트의 설정을 구성하십시오．
1. 사이트 이름 (1)을 입력하십시오．
2. 연결 유형 (2)에서 IPSec IKEv2를 선택하십시오．
3. 적절한 국가 (3) 및 주 (4)를 정의하십시오, 해당되는 경우．
4. 기본 범위 (5)에서 Cisco 사이트 뒤에 있는 네트워크 범위를 지정하여 Cato Cloud와 연결된 범위와 통신할 수 있게 하십시오．
5. 적용 (6)을 클릭하십시오．
새로운 사이트의 이름을 클릭하여 사이트를 열고 설정을 구성하십시오．
네비게이션 메뉴에서 사이트 설정 > IPSec (1)을 선택하고 기본 (2) 터널 구성 섹션을 확장하십시오．
기본 IPsec 터널의 설정을 정의하십시오．
1. 공인 IP를 정의하십시오：
  1. Cato IP (송신) (1)에서 드롭다운 메뉴를 통해 주요 PoP IP를 선택하십시오．
  2. 사이트 IP (2)에서 Cisco 라우터 공인 WAN 링크 IP 주소를 입력하십시오．
2. 기본 사전 공유 키 (3)를 입력하십시오．
보조 터널 구성 섹션을 확장하고, 보조 IPsec 터널 설정을 구성하십시오：
1. Cato IP (송신) (1)에서 드롭다운 메뉴를 통해 백업 PoP IP를 선택하십시오．
2. 사이트 IP (2)에서 Cisco 라우터 공인 WAN 링크 IP 주소를 입력하십시오．
3. 사전 공유 키 (3)를 입력하십시오．
라우팅 구성 섹션을 확장하고, Cato에 의한 연결 시작이 활성화되지 않았는지 확인하십시오.

네트워크 범위를 지정하지 마십시오. 이것은 라우팅 정책이며, Cisco IOS 라우터는 Cato Cloud와 단일 0.0.0.0 - 255.255.255.255 보안 연결을 구성합니다．
IPsec 화면의 맨 위로 가서 저장을 클릭하세요．

이제 사이트가 Cato Cloud에 연결되도록 구성되었습니다．