Você pode utilizar túneis IPsec para conectar sites e as redes internas à Nuvem Cato e redes remotas. Geralmente, locais com conexões IPsec são utilizados para:
-
Locais que estão em uma nuvem pública como AWS e Azure
-
Locais para escritórios que utilizam um firewall de terceiros
A Nuvem Cato suporta conexões IPsec para IKEv1 e IKEv2. Recomendamos que utilize IKEv2, no entanto, algumas tecnologias apenas suportam IKEv1.
Para dispositivos Cisco ASA, existe uma incompatibilidade conhecida com locais IKEv2 da Cato, veja Configurar Locais IPsec IKEv2.
Para tráfego FTP, a Cato recomenda configurar o servidor FTP com um tempo limite de conexão de 30 segundos ou mais.
O Tipo de Conexão IKEv1 para IPsec IKEv1 é Iniciado pela Cato. A Nuvem Cato é responsável por criar a conexão IPsec para o local. Se a conexão cair, a Nuvem Cato tenta restabelecê-la
A faixa nativa de um local é o endereço IPv4 (e CIDR) para a rede LAN principal que está atrás do dispositivo firewall ou roteador.
Você pode configurar as configurações da faixa nativa em Rede > <site> > Configurações do Site > Redes. Você também pode usar esta seção para configurar intervalos de rede adicionais para o local.
Locais IPsec suportam um túnel VPN principal e um secundário opcional. Você pode configurar cada túnel para se conectar a um PoP diferente para fornecer resiliência. No entanto, diferentemente dos Sockets Cato, as conexões IPsec não se conectam automaticamente a vários PoPs se houver um problema. Elas só podem se conectar ao Endereço IP de Destino que é configurado para cada túnel.
Nota
IMPORTANTE: Recomendamos fortemente que configure um túnel secundário (com IPs Públicos Cato diferentes) para alta disponibilidade. Caso contrário, existe o risco de que o local possa perder a conectividade com a Nuvem Cato.
Para locais que utilizam IKEv1, existem Tipos de Serviço pré-configurados para AWS e Azure.
-
Cato IP (Saída) para os túneis Principal e Secundário - Os endereços IP origem são os endereços IP do PoP que inicia o túnel IPsec. Selecione o Endereço IP disponível para o PoP. Se precisar de mais Endereços IP, utilize a opção Configurações de Alocação de IP para definir outros Endereços IP.
-
IP do Site para os túneis Principal e Secundário - Os endereços IP para o site que são utilizados para os túneis VPN.
-
Largura de Banda - Você pode utilizar o Aplicativo de Gerenciamento Cato para controlar a largura máxima de banda enviada e recebida da Nuvem Cato para cada local. Se não quiser configurar um valor específico de largura de banda para um local, recomendamos que utilize a largura de banda real do ISP ou de acordo com sua licença Cato Networks.
-
IPs Privados - Os endereços IP que estão dentro do túnel VPN que são utilizados para configurar o roteamento dinâmico BGP para um local.
-
Chave Pré-Compartilhada (PSK) Principal e Secundário - As chaves pré-compartilhadas públicas (PSKs) para os túneis VPN.
Locais IPsec IKEv1 têm a opção de selecionar as opções de Roteamento para o túnel VPN da Fase II:
-
Implícito - Um único túnel é utilizado para rotear todo o tráfego LAN interno do local para os endereços IP remotos.
-
Específico - No campo Faixas de Rede, defina as faixas de IP da origem para o tráfego WAN que é transmitido através da conexão IPsec em um túnel da Fase II. Defina as faixas de IP remotas do outro lado do túnel IPsec. Em seguida, há uma malha completa entre as faixas de IP locais e remotas.
Locais IPsec IKEv2 têm estas configurações adicionais que você pode configurar:
-
Iniciar Conexão pela Cato - Você pode configurar quem inicia a conexão do túnel VPN, a Nuvem Cato ou o firewall. Por padrão, este recurso está habilitado para que a Nuvem Cato inicie a conexão IPsec e minimize o tempo de inatividade.
-
Faixas de Rede - Para implementações onde há Associações de Segurança (SA) que são definidas para a rede remota, insira o intervalo de endereços IP para estas SA.
Nota
Nota: Recomendamos fortemente que você use a configuração Padrão e habilite o recurso Iniciar Conexão por Cato.
0 comentário
Por favor, entre para comentar.