Este artigo discute como criar e configurar sites que usam o tipo de conexão IPsec IKEv2. Para mais informações sobre a criação de um novo local, veja Usando o CMA para Adicionar Locais.
Nota: Como parte de melhorias recentes introduzindo vários túneis ativos para sites IPsec, os clientes podem receber eventos de desconexão e reconexão falso positivo, juntamente com notificações relacionadas. Essa é uma ocorrência única durante o processo de atualização, e esses eventos e notificações podem ser ignorados com segurança. Observe que os eventos e notificações podem incluir carimbos de tempo incorretos e não refletem uma interrupção real do serviço. Os túneis IPsec permanecem totalmente operacionais durante esse processo.
Você pode usar túneis IPsec para conectar sites e redes internas à Cato Cloud e redes remotas. Sites com conexões IPsec são usados para:
- Sites que estão em uma nuvem pública, como AWS ou Azure
- Sites para filiais em diferentes localidades que ficam atrás de um firewall de terceiros
Ao configurar um site IPsec IKEv2, você pode iniciar a conexão usando uma das seguintes opções:
- Apenas Resposta - Iniciar Firewall. O dispositivo do site inicia a conexão com o PoP da Cato
- Bidirecional – A conexão pode ser iniciada pelo seu firewall ou pela Cato
A configuração de Apenas Resposta IKEv2 da Cato é uma solução para dispositivos de borda que possuem um endereço IP dinâmico ou estão localizados atrás de um dispositivo NAT. (i.e. firewalls ou roteadores) Esta solução permite que o dispositivo de borda na extremidade remota inicie e gerencie a conexão IKEv2.
Além disso, ao usar Apenas Resposta, você pode configurar a Cato para usar um FQDN como identificador da Cato. Ao fazer isso, a Cato gera um valor hash e o traduz em um endereço IP para fornecer a você a melhor localização PoP para cada túnel.
Por exemplo, você configura o Modo de Conexão como Apenas Resposta e o Tipo de Destino como FQDN. Cato gera um valor de hash de algumvalor.ipsec.dev.catonetworks.org. Esse valor é então configurado no site remoto e atua como o resolvedor para a solicitação DNS que utiliza o valor FQDN. O PoP é selecionado com base em vários parâmetros, como geolocalização, RTT, e mais.
Neste cenário, o PoP é selecionado dinamicamente, o que significa que, se o PoP original designado para aquele FQDN estiver indisponível, um novo PoP será selecionado automaticamente. Adicionalmente, se você seguir as melhores práticas da Cato e definir um túnel primário e secundário ao usar FQDN, a Cato seleciona automaticamente diferentes localizações de PoP para um HA ideal.
Alternativamente, alguns fornecedores de firewall não suportam o uso do FQDN, nesse caso, você pode selecionar IPv4 como tipo de destino. Nesse caso, é necessário selecionar uma localização de PoP estática, e se esse PoP não estiver disponível por qualquer motivo, o túnel não estará disponível. Para informações sobre como definir endereços IP estáticos, veja Política de Alocação de IP para Usuários Remotos.
No modo de conexão bidirecional, tanto o seu dispositivo quanto a Cato podem iniciar e manter túneis IPsec de PoPs selecionados em direção aos seus sites e/ou centros de dados na nuvem usando o protocolo IPsec IKEv2.
Se um túnel estiver indisponível, a Cato não precisa esperar pelo seu dispositivo para iniciar a conexão, permitindo que o túnel seja reestabelecido rapidamente.
A Cato permite que você configure múltiplos túneis ativos para ambas as funções HA Primária e Secundária. Múltiplos túneis ativos permitem que você faça o seguinte:
- Aproveitar Last Mile - Com múltiplos túneis ativos, você pode distribuir o tráfego de rede por diferentes caminhos, ajudando a balancear a carga e melhorar o desempenho da rede.
- Redundância - Múltiplos túneis ativos proporcionam redundância. Se um túnel falhar, o tráfego pode ser redirecionado através de outro túnel ativo, garantindo conectividade ininterrupta.
- Integração de terceiros - Integre com CPEs SD-WAN de terceiros para serviços SSE.
- Segregação de Tráfego - Diferentes túneis podem ser usados para segregar diferentes tipos de tráfego. Por exemplo, um túnel poderia ser usado para tráfego de voz, enquanto outro poderia ser usado para tráfego de dados.
Você pode configurar até 3 túneis ativos para cada função HA, que estão conectados ao mesmo PoP da Cato. Isso significa que todos os túneis Primários estão conectados a um PoP, e todos os túneis Secundários estão conectados a um PoP diferente. Cada túnel deve ter um identificador único, por exemplo, um ID local como FQDN ou um endereço IP público.
Por padrão, quando todos os túneis ativos de uma função HA falham, a Cato reverte automaticamente para a outra função HA. Isso significa que, se todos os túneis da função HA Primária falharem, o HA é acionado e a Cato usa os túneis Secundários como o próximo salto de todas as rotas do site. No entanto, se a função HA Primária possui 2 túneis, e um túnel permanece ativo, um failover não ocorre.
Você pode monitorar túneis através de histórias de Link está inativo no Workbench de Histórias.
Nota: Leva até 30 segundos para que a Cato determine que um túnel caiu.
Você pode escolher gerenciar a largura de banda de upstream e downstream para um site IPsec. Se você quiser que a Cato Cloud limite sua largura de banda de downstream, insira os limites necessários de acordo. Caso contrário, insira os valores conforme definidos pela velocidade de conexão real do link da seu ISP. Se você não souber a velocidade de conexão do ISP, configure a largura de banda de downstream de acordo com a licença deste site. Para a largura de banda de upstream, a Cato Cloud não controla o tráfego de upstream, e não é possível limitá-lo com um limite rígido. Em vez disso, a definição de largura de banda de upstream é uma melhor tentativa pela Cato Cloud.
Nota: Se você inserir valores de upstream/downstream maiores que a velocidade de conexão real do link do seu ISP, o motor de QoS do Socket é ineficaz.
Para mais informações sobre QoS na Cato, veja Quais são os Perfis de Gerenciamento de Largura de Banda da Cato.
Para QoS para múltiplos túneis ativos, veja abaixo Roteamento QoS para Múltiplos Túneis Ativos.
-
Se você estiver enviando apenas parte do tráfego de rede pela Cato Cloud, configure seu equipamento de rede para incluir os seguintes endereços IP em sua tabela de roteamento para a Cato Cloud:
- 10.254.254.1
- 10.254.254.5
- 10.254.254.253
- 10.41.0.0/16 a menos que você tenha configurado o próprio intervalo de endereços IP de usuários VPN de sua rede
-
Para sites IPsec com largura de banda de 100Mbps ou mais, use apenas os algoritmos AES 128 GCM-16 ou AES 256 GCM-16. Algoritmos AES CBC são usados apenas em sites com largura de banda menor que 100Mbps.
Essas diretrizes são devido ao fato de que a criptografia GCM é mais eficiente e escalável do que a CBC, permitindo melhor desempenho e confiabilidade para tráfego criptografado de alta capacidade na Cato Cloud.
- Os sites Cato IPsec IKEv2 suportam um comprimento de nonce de até 256 bits.
- Para tráfego FTP, a Cato recomenda configurar o servidor FTP com um tempo limite de conexão de 30 segundos ou mais.
- Você pode definir a chave compartilhada do IPSec (PSK) com até 64 caracteres.
- Para sites que se conectam a um ambiente Zscaler, é necessária uma licença Zscaler atualizada para permitir a seleção de criptografia na Fase 2.
Crie um novo site IPsec IKEv2 e, em seguida, configure-o para as configurações IKEv2 e atribua os endereços IP alocados pela Cato para os túneis primário e secundário. Para mais informações, veja Alocação de Endereços IP para a Conta.
Para criar um novo site IPsec:
-
No menu de navegação, clique em Rede > Sites e clique em Novo.
O painel Adicionar Site é aberto,
-
Configure as configurações para o site:
- Nome: Nome para o site
- Tipo: ícone exibido para o site na página de Topologia
- Tipo de Conexão: Selecione IPsec IKEv2
- País: O país em que o site está localizado.
- Estado: Estado onde o site está localizado (quando aplicável)
- Licença: Selecione a licença de largura de banda apropriada para o site
- Faixa Nativa: Sub-rede LAN para o site IPSec
- Clique em Novo.
Após criar um novo site que usa IPsec IKEv2 para conectar-se à Nuvem Cato, edite o site e configure as configurações de IPsec.
Nota
IMPORTANTE: Recomendamos fortemente que você configure um túnel secundário (com diferentes IPs Públicos da Cato) para alta disponibilidade. Caso contrário, há o risco de o site perder conectividade com a Nuvem Cato.
Use as configurações de Método de Conexão para definir se o PoP Cato apenas responde a conexões do site remoto, fw init (Somente Resposta), ou também pode iniciar conexões (Bidirecional).
Para sites que trabalham com IPs Dinâmicos, o Aplicativo de Gerenciamento Cato gera um ID Local para o site, que é usado para o Identificador de Autenticação que você seleciona. Use o Identificador de Autenticação necessário pelo dispositivo de terceiros: FQDN, email ou KEY_ID, e insira o ID Local nas configurações IKE do seu dispositivo de terceiros.
Além do ID Local, configure uma chave pré-compartilhada (PSK) para autenticação. Você também pode definir túneis IPsec primário e secundário com BGP sobre o dispositivo, que fornece alta disponibilidade. Ao fazer isso, a Nuvem Cato ajusta automaticamente as métricas da rota BGP para priorizar o túnel principal e, se ele se desconectar, o site passa automaticamente para o túnel secundário.
Para configurar as configurações de um site IPsec IKEv2:
- No menu de navegação, clique em Rede > Locais e selecione o site.
- No menu de navegação, clique em Configurações do Site > IPsec.
-
Expanda a seção Geral e defina como o site se conecta e autentica ao PoP:
-
Selecione o Modo de Conexão para o site:
- Apenas Resposta – Firewall init. O firewall do site inicia a conexão, e Cato responde
- Bidirecional - O Cato PoP responde às negociações para conexões de entrada e inicia negociações de saída.
-
Selecione o Identificador de Autenticação.
-
IPv4 - use o Endereço de IP Estático que você configurou nas seções Principal e Secundário para o site
Atualmente o IPv6 não é suportado com IPSec sobre o PoP Cato.
- FQDN, Email, KEY_ID - gera o ID Local em um desses formatos
-
-
-
Expanda a seção Principal, e configure as seguintes configurações para o túnel principal de IPSec:
-
Em Tipo de Destino, selecione FQDN ou IPv4. O destino deve ser o mesmo para todos os túneis ativos para o papel de HA (Primário ou Secundário).
-
FQDN - Um valor FQDN gerado pela Cato é gerado. Este valor é exclusivo para o túnel específico. Este é o valor que você fornecerá ao seu firewall.
Quando selecionado, você deve também definir a Localização do PoP. A Cato recomenda que você use Automático para que o melhor PoP seja selecionado para você. Se você selecionar uma localização específica e também estiver configurando um site secundário, certifique-se de selecionar locais diferentes.
- IPv4 - selecione um endereço IP estático no menu suspenso Cato IP (Saída).
-
-
-
Clique Novo. A página Adicionar Túnel aparece.
- Em Função, selecione qual das interfaces WAN lógicas usar para este túnel. A Função WAN é usada para roteamento baseado em prioridade na Política de Regras de Rede.
- Em Nome, digite um nome descritivo
- Em IP Público, digite o endereço IP público para este túnel. Cada túnel deve usar um endereço IP público diferente
-
Para sites que usam BGP, configure os IPs Privados:
- Cato - digite o PoP Cato e o endereço IP que inicia o túnel IPsec
- Site - digite o endereço IP privado do peer BGP
- Em Largura de Banda da Última Milha, configure a largura de banda máxima de Download e Upload (Mbps) disponível para o site
- Em PSK, clique em Editar Senha para inserir a chave compartilhada para o túnel IPsec principal.
-
Clique em Aplicar. O túnel é adicionado à tabela primária.
- Para sites que usam um túnel IPsec secundário, expanda a seção Secundário e configure as configurações na etapa anterior, e então clique em Salvar.
- Para sites que usam múltiplos túneis ativos/ativos, repita as etapas 5-7.
-
(Opcional) Expanda a seção Parâmetros da Mensagem de Inicialização e configure as configurações. Consulte Parâmetros de Inicialização e Autenticação abaixo para parâmetros válidos.
Como a maioria das soluções que suportam IPsec IKEv2 implementam a negociação automática dos seguintes parâmetros Init e Auth, recomendamos que você os defina como Automático, a menos que especificamente instruído a fazer isso por seu fornecedor de firewall.
- (Opcional) Expanda a seção Parâmetros de Autenticação e configure as configurações. Veja Parâmetros de Inicialização e Autenticação abaixo para parâmetros válidos.
-
Expanda a seção Roteamento e defina as opções de roteamento para o site:
- Para conexões IPsec com um lado remoto que possui SA (Associações de Segurança) definidas para este túnel, em Faixas de Rede, insira os intervalos de IP remotos (tipicamente redes de outros sites) para as SA neste formato <etiqueta:faixa de IP> e clique Adicionar.
-
Os intervalos de IP locais para as SAs são configurados na página Configurações do Site > Redes incluindo os Seletores de Tráfego Local e os Seletores de Tráfego de Par.
Verifique se as redes locais correspondem ao que você definiu para o par IPsec. -
Para permitir que o Cato Cloud tente proativamente restabelecer uma conexão que está interrompida, sem esperar pelo outro lado, selecione Iniciar conexão por Cato. Caso contrário, o firewall tenta restabelecer a conexão.
Nota: Se nenhuma Faixa de Rede for configurada para o site, será considerado como VPN baseada em rota (implícito: 0.0.0.0 <> 0.0.0.0).
-
Clique em Salvar.
Aguarde pelo menos 3 minutos antes de inserir os valores FQDN primário e secundário em seu firewall para permitir que sejam determinadas as localizações PoP ótimas para essas configurações.
- Para mostrar seus detalhes de conexão e o status do túnel IPsec para este site, clique em Status da Conexão.
Por padrão, a Cato só consegue controlar o tráfego de downstream. O tráfego é distribuído entre os túneis (links WAN) com base em métricas de saúde, preferência de link e a proporção proporcional das larguras de banda configuradas para cada link. As métricas de saúde são recalculadas a cada segundo, e o tráfego é redistribuído para o link de melhor desempenho a cada 10 segundos.
O tráfego de upstream é controlado pelo par IPsec remoto, e de acordo com o roteamento baseado em política que o par usa.
Você pode substituir a seleção do link WAN para o tráfego de downstream usando Regras de Rede. Você pode configurar uma regra para determinar qual link WAN é usado para tuplas de tráfego específicas, caso em que, o tráfego será enviado no link WAN configurado na regra, e não no túnel em que chegou.
Os seguintes parâmetros estão disponíveis ao definir os parâmetros de Inicialização e Autenticação. Cato recomenda que você configure esses parâmetros para Automático a menos que seu fornecedor de firewall indique o contrário.
|
Parâmetro |
Valores Válidos |
|---|---|
|
Algoritmo de Criptografia |
|
|
Aleatório |
|
|
Algoritmo de Integridade |
|
|
Grupo Diffie-Hellman |
|
Esta é a lista dos valores padrão para os seguintes parâmetros IKEv2. Se precisar de um valor personalizado, por favor, contate o Suporte.
|
Parâmetro |
Valor |
|---|---|
|
Verificação de manter-vivo (envia solicitações de informações vazias). Número de segundos após o site não receber nenhum dado no túnel. |
10 segundos |
|
Intervalo de retransmissão (em segundos). Não é possível configurar um valor personalizado para este parâmetro. |
10 segundos |
|
Número máximo de retransmissões. Não é possível configurar um valor personalizado para este parâmetro. |
5 retransmissões |
|
Intervalo máximo de tempo em que o site não recebe nenhum dado ou respostas às verificações de manter-vivo. Após esse tempo, o site derruba o túnel e tenta reconstruí-lo. |
60 segundos |
|
Intervalo de tempo que o site tenta reconstruir um túnel que está inativo e falha ao subir. |
a cada 90 segundos |
|
Tempo de vida do SA IKE (fase 1 do IPsec). Você pode configurar o valor para este parâmetro usando configurações avançadas para um site. |
19,800 segundos (aproximadamente 5,5 horas) |
|
Tempo de vida do Child SA (IPsec Fase 2). |
3.600 segundos (1 hora) |
Ao criar um SA filho, Cato envia múltiplos seletores de tráfego (TS) na mesma carga TS em conformidade com RFC 7295. Algumas soluções de terceiros, como Cisco ASAs, suportam apenas um único TS em cada SA filho. Um Cisco ASA enviará uma mensagem TS_UNACCEPTABLE em resposta a uma proposta da Cato para criar um SA filho com múltiplos TS.
Você pode configurar sua conta ou um site IPsec IKEv2 específico para enviar cada TS em um pacote separado para suportar a interoperabilidade com essas soluções de terceiros, ativando esta configuração em Configuração de Site > Configuração Avançada.
Cato permite que você conecte sua VPC da AWS ao Cato Cloud usando BGP sobre dois túneis IPsec para uma configuração de alta disponibilidade (HA). Os túneis duplos da AWS são suportados apenas quando você define dois gateways de clientes, e cada um representa um endereço IP público diferente do Cato. Estes são os requisitos:
- Dois Endereços IP Públicos da Cato
- Dois gateways do cliente no mesmo VPC e cada um é atribuído a um Endereço IP Público da Cato
- Na AWS, duas conexões site-to-site
- Para contas multilocatário (como os parceiros Cato), certifique-se de que cada conta use Endereços IP alocados de uma Localização de PoP diferente para os túneis IPsec. Por exemplo, conta1 usa um IP alocado do PoP de Frankfurt, e conta2 deve usar um IP alocado da localização PoP de Munique.
0 comentário
Por favor, entre para comentar.