Configurando Locais IPsec IKEv1

Este artigo discute como configurar sites que usam o Tipo de Conexão IPsec IKEv1. Para mais detalhes sobre a criação de um novo site, veja Usando o CMA para Adicionar Locais.

Visão geral das Conexões IPsec IKEv1

A Cato pode iniciar e manter túneis IPsec IKEv1 a partir de PoPs selecionados em direção aos seus locais e/ou centros de dados na nuvem.

Nota

Nota: Se você está enviando apenas parte do seu tráfego de rede via Cato Cloud, configure seu equipamento de rede para incluir as seguintes faixas de IP na sua tabela de roteamento para o Cato Cloud:

  • 10.254.254.0/24 - sub-rede padrão reservada para tráfego sobre a Cato Cloud (para contas com faixa personalizada, use a sub-rede personalizada)

  • 10.41.0.0/16 - a menos que você tenha configurado a faixa de endereço IP dos Usuários SDP da sua rede (veja Política de Alocação de IP para Usuários Remotos)

Conectando Dois Túneis a um AWS VPC para HA

Cato permite que você conecte sua VPC AWS ao Cato Cloud usando BGP em dois túneis IPsec para uma configuração de alta disponibilidade (HA). Os túneis duais AWS estão disponíveis apenas quando você define dois gateways de cliente, e cada um representa um endereço IP público diferente da Cato. Estes são os requisitos:

  • Dois endereços IP públicos Cato

  • Configurar dois gateways do cliente no mesmo VPC e cada um é atribuído a um endereço IP público Cato

  • No AWS, configure duas conexões site-a-site

Configurando um Site IKEv1 IPsec

Após criar um novo local que usa IPsec IKEv1 para conectar-se ao Cato Cloud, edite o local e configure as configurações IPsec.

Para mais informações sobre endereços IP exclusivos, veja Alocando Endereços IP para a Conta.

Nota

IMPORTANTE: Recomendamos fortemente que você configure um túnel secundário (com diferentes IPs públicos da Cato) para alta disponibilidade. Caso contrário, há o risco de que o local possa perder conectividade com o Cato Cloud.

Você pode escolher gerenciar a largura de banda recebida e enviada para um local IPsec. Se você deseja que o Cato Cloud limite sua largura de banda recebida, insira os limites necessários conforme necessário. Caso contrário, insira os valores conforme definidos pela velocidade real de conexão do link do seu ISP. Se você não souber a velocidade de conexão do ISP, configure a largura de banda recebida de acordo com a licença deste local. Para a largura de banda enviada, o Cato Cloud não controla o tráfego enviado, e não é possível limitá-lo com um limite rígido. Em vez disso, a configuração de largura de banda enviada é uma tentativa melhorada pelo Cato Cloud.

Se você estiver usando Específico: x.x.x.x/y<-->a.a.a.a/b (Um túnel de cada faixa local para faixas remotas específicas) para o site, revise ??? antes de começar a configurar as configurações de IPsec.

Melhores práticas: Configurar as Configurações de Detecção de Par Desconectado (DPD) para a Fase II do IKEv1 para reiniciar automaticamente a conexão se não houver resposta do DPD. Você também pode definir a frequência com que o Cato Cloud envia um pacote DPD e monitora o status do túnel (o intervalo máximo entre os pacotes DPD é de 35 segundos).

  • Para sites IPsec com largura de banda maior que 100Mbps, use apenas os algoritmos AES 128 GCM-16 ou AES 256 GCM-16. Os algoritmos AES CBC são usados ​​apenas em sites com largura de banda inferior a 100Mbps.

  • Para tráfego FTP, a Cato recomenda configurar o servidor FTP com um tempo de espera de conexão de 30 segundos ou mais.

  • Os sites Cato IPsec IKEv1 suportam comprimento de nonce de até 48 bits.

  • Você pode definir a chave pré-compartilhada IPSec (PSK) com até 64 caracteres.

O Tempo de Vida SA é o período em que a chave de criptografia é válida antes de expirar e uma nova chave ser necessária. Você não pode configurar o Tempo de Vida SA para os parâmetros da Fase 1 e Fase 2 do IKEv1, as configurações são:

  • Fase 1 - 86.400 segundos (24 horas)

  • Fase 2 - 3.600 segundos (1 hora)

Nota

Nota: Se você inserir valores de enviada/recebida que são maiores que a velocidade real de conexão do link do seu ISP, o motor QoS do Socket é ineficaz.

Para mais informações sobre QoS na Cato, veja Quais são os Perfis de Gerenciamento de Largura de Banda da Cato.

ikev1_sitio.png

Para configurar as configurações de um site IKEv1 IPsec:

  1. No menu de navegação, clique em Rede > Sites e selecione o site.

  2. No menu de navegação, clique em Configurações do Site > IPsec.

  3. Expanda a seção Geral e selecione um tipo de par IPsec pré-configurado (como AWS ou Azure), ou selecione Genérico.

  4. Expanda a seção Principal, e configure as seguintes configurações para o túnel IPsec principal:

    • Em IP Público > IP da Cato (Saída), selecione o PoP da Cato e o Endereço IP que inicia o túnel IPsec.

      Se você precisar de um Endereço IP diferente alocado à sua conta, clique em Configurações de alocação de IP e selecione a Localização do PoP e o Endereço IP.

    • Em IP Público > IP do Site, insira o endereço IP público onde o túnel IPsec é iniciado.

    • Para sites que usam roteamento dinâmico BGP, você pode inserir os IPs Privados que estão dentro do túnel VPN.

    • Em Largura de Banda, configure o máximo Downstream e Upstream (Mbps) disponível para o site.

    • Em PSK Primária, clique em Editar Senha para inserir a chave compartilhada para o túnel IPsec primário.

    Nota: Você pode, opcionalmente, usar o mesmo Endereço IP alocado para um ou mais sites IPsec, contanto que o IP do Site seja diferente para cada site. Cato recomenda usar IPs Alocados diferentes para cada local.

  5. (Opcional) Expanda a seção Parâmetros da Fase I do IKEv1 e configure as configurações.

    1. Na seção Algoritmo, selecione o Algoritmo de Criptografia: AES-CBC-128 ou AES-CBC-256

    2. Na seção Algoritmo, selecione o Algoritmo de Hash: MD5, SHA1 ou SHA256

    3. Na seção Grupo Diffie-Hellman, selecione o comprimento da chave usada na criptografia: 2 (1024-bit), 5 (1536-bit), 14 (2048-bit), 15 (3072-bit), 16 (4096-bit)

  6. (Opcional) Expanda a seção Parâmetros da Fase II do IKEv1 e configure as configurações.

    1. Na seção Algoritmos, selecione o Algoritmo de Criptografia: AES-CBC-128, AES-CBC-256, AES-GCM-128 ou AES-GCM-256

    2. Na seção Algoritmo, selecione o Algoritmo de Hash: MD5, SHA1 ou SHA256

    3. Para configurar as configurações do Grupo Diffie-Hellman da fase II, primeiro ative o Segredo de Avanço Perfeito.

      1. Em Segredo de Avanço Perfeito, selecione Ativar "proteção" de transmissões passadas contra compromissos futuros de chaves secretas para ativar este recurso para o site.

      2. Na seção Grupo Diffie-Hellman, selecione o comprimento da chave usada na criptografia: 2 (1024-bit), 5 (1536-bit), 14 (2048-bit), 15 (3072-bit), 16 (4096-bit)

  7. Configure as configurações de DPD para os parâmetros da Fase II do IKEv1:

    1. Selecione Intervalo de keepalive (seg) e insira o número de segundos entre pacotes de keepalive (o valor máximo é 35).

    2. (Práticas recomendadas) Selecione Reiniciar conexão sem resposta do DPD para ativar o reinício de uma conexão IPsec quando não for recebida uma resposta para os pacotes DPD em 35 segundos.

      Para desativar DPD para o site, limpe Intervalo de keepalive (seg).

  8. Expanda a seção Roteamento e selecione a opção de roteamento para o local:

    • Implícito: 0.0.0.0/0<-->0.0.0.0/0 (Um único túnel de todos os intervalos locais para todos os intervalos remotos) - todo o tráfego WAN é transmitido pela conexão IPSec em um único túnel de Fase II com uma chave de criptografia (uma para cada par de ESP SAs).

    • Explícito: x.x.x.x/y<-->0.0.0.0/0 (Um túnel de cada intervalo local para todos os intervalos remotos) - todo o tráfego WAN é transmitido pela conexão IPSec em um único túnel de Fase II para os intervalos IP locais do local para todos os intervalos IP remotos com uma chave de criptografia (um ESP SA para cada intervalo local).

    • Específico: x.x.x.x/y<-->a.a.a.a/b (Um túnel de cada faixa local para faixas remotas específicas) - veja abaixo ???

  9. Clique em Salvar.

  10. Para sites que usam um túnel IPsec secundário, expanda a seção Secundário e configure as definições no passo anterior e depois clique em Salvar.

  11. Para mostrar seus Detalhes da Conexão e Status da Conexão do túnel IPsec para este site, clique em Status da Conexão.

Configurando Roteamento Específico

Quando você escolhe Roteamento Específico para o site IPsec, todo o tráfego WAN é transmitido sobre a conexão IPsec em um túnel na Fase II usando uma malha completa entre as faixas de IP local e remoto.

Antes de iniciar a configuração das configurações de IPsec para o site, verifique se as redes locais correspondem ao que você definiu para o par de IPsec.

  • As faixas de IP locais (sub-redes localizadas atrás do par IPsec) são definidas na página Configuração do Site > Redes:

    ipsec_native.png

  • As faixas de IP remotas (normalmente redes de outros sites) são definidas na seção Roteamento após a seleção da opção Específico.

    IPsec_IKEv1_Routing.png

    • Clique em Adicionar para digitar as faixas de IP

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário