Você pode utilizar túneis IPsec para conectar sites e as redes internas à Nuvem Cato e redes remotas. Geralmente, locais com conexões IPsec são utilizados para:
- Locais que estão em uma nuvem pública como AWS e Azure
- Locais para escritórios que usam um firewall de terceiros
A Nuvem Cato suporta conexões IPsec para IKEv1 e IKEv2. Recomendamos que utilize IKEv2, no entanto, algumas tecnologias apenas suportam IKEv1.
Para dispositivos Cisco ASA, existe uma incompatibilidade conhecida com os Sites IKEv2 da Cato, veja Configuração de Sites IPsec IKEv2.
Para tráfego FTP, a Cato recomenda configurar o servidor FTP com um tempo limite de conexão de 30 segundos ou mais.
O Tipo de Conexão IKEv1 para IPsec IKEv1 é Iniciado pela Cato. A Nuvem Cato é responsável por criar a conexão IPsec para o local. Se a conexão cair, a Nuvem Cato tenta restabelecê-la
A faixa nativa de um local é o endereço IPv4 (e CIDR) para a rede LAN principal que está atrás do dispositivo firewall ou roteador.
Você pode configurar as configurações de faixa nativa em Rede > <site> > Configurações do Site > Redes. Você também pode usar esta seção para configurar intervalos de rede adicionais para o local.
Locais IPsec suportam um túnel VPN principal e um secundário opcional. Você pode configurar cada túnel para se conectar a um PoP diferente para fornecer resiliência. No entanto, diferentemente dos Sockets Cato, as conexões IPsec não se conectam automaticamente a vários PoPs se houver um problema. Elas só podem se conectar ao Endereço IP de Destino que é configurado para cada túnel.
Nota
IMPORTANTE:
- Recomendamos fortemente que você configure um túnel secundário (com IPs públicos Cato diferentes) para alta disponibilidade. Caso contrário, existe o risco de que o local possa perder a conectividade com a Nuvem Cato.
- A Cato realiza manutenção periódica em seus PoPs, o que pode resultar na indisponibilidade dos PoPs do túnel VPN principal e secundário durante a mesma janela de manutenção. Para evitar esse risco e garantir resiliência, entre em contato com o Suporte para ajudá-lo a garantir que os túneis do site utilizem PoPs com agendas de manutenção separadas.
Para locais que utilizam IKEv1, existem Tipos de Serviço pré-configurados para AWS e Azure.
- IP da Cato (Saída) para os túneis Principal e Secundário - Os endereços IP de origem são os endereços IP do PoP que iniciam o túnel IPsec. Selecione o endereço IP disponível para o PoP. Se você precisar de mais endereços IP, use a opção Configurações de Alocação de IP para definir outros endereços IP.
- IP do Site para os túneis Principal e Secundário - Os endereços IP para o site que são usados nos túneis VPN.
- Largura de Banda - Você pode usar o Aplicativo de Gerenciamento Cato para controlar a largura de banda máxima de envio e recebimento da Cato Cloud para cada site. Se você não quiser configurar um valor específico de largura de banda para um site, recomendamos que use a largura de banda real do ISP ou de acordo com sua licença Cato Networks.
- IPs Privados - Os endereços IP que estão dentro do túnel VPN e são usados para configurar o roteamento dinâmico BGP para um site.
- PSK Principal e Secundário - As chaves pré-compartilhadas públicas (PSKs) para os túneis VPN.
Locais IPsec IKEv1 têm a opção de selecionar as opções de Roteamento para o túnel VPN da Fase II:
- Implícito - Um único túnel é usado para rotear todo o tráfego LAN interno do site para os endereços IP remotos.
- Específico - No campo Faixas de Rede, defina as faixas de IP remotas do outro lado do túnel IPsec. Isso cria uma malha completa entre as faixas de IP locais e remotas.
Locais IPsec IKEv2 têm estas configurações adicionais que você pode configurar:
- Iniciar Conexão pela Cato - Você pode configurar quem inicia a conexão do túnel VPN, a Cato Cloud ou o firewall. Por padrão, esse recurso está ativado para que a Cato Cloud inicie a conexão IPsec e minimize o tempo de inatividade.
- Faixas de Rede - Para conexões IPsec com um lado remoto que possua SAs (Associações de Segurança) definidas para este túnel, em Faixas de Rede, digite os intervalos de IP remotos (normalmente redes de outros sites) para as SAs neste formato <etiqueta:Faixa de IP>.
Nota
Nota: Recomendamos fortemente que você use a configuração Padrão e habilite o recurso Iniciar Conexão por Cato.
0 comentário
Por favor, entre para comentar.