Cato Cloud para Cisco IOS/IOS-XE via Túneis IPSec HA

Este artigo discute como conectar um local IPsec com dispositivos Cisco IOS/IOS-XE em uma configuração de Alta Disponibilidade (HA) à Cato Cloud.

Exemplo de Topologia de Rede

O diagrama abaixo mostra a topologia de um site IPsec da Cato que utiliza dispositivos Cisco IOS/IOS-XE para conectar-se à Cato Cloud em uma configuração HA ativo/passivo.

Topologia.png

Criando um Local IPsec HA para Sua Conta com Dispositivos Cisco IOS/IOS-XE

Você pode usar o Aplicativo de Gerenciamento Cato para criar um site IPsec IKEv2 para conectar seus dispositivos Cisco à Cato Cloud. Primeiro, você precisa alocar um endereço IP para sua conta Cato. Depois configure as configurações nos dispositivos Cisco para conectar-se ao endereço IP público da Cato. Por fim, configure as configurações do site IPsec para conectar-se aos dispositivos Cisco.

Para configurar um site IPsec para conectar-se à Cato Cloud com dispositivos Cisco:

  1. No Aplicativo de Gerenciamento Cato, aloque um IP peer IPSec de um PoP principal e secundário.

    CMA_IP_Allocation

    1. No menu de navegação, clique em Rede (1) > Alocação de IP (2).

    2. Na tela de Alocação de IP, selecione duas localizações de PoP que serão o PoP principal e o PoP secundário (3) para os túneis IPsec.

      Após selecionar a localização do PoP, o endereço IP do peer IPsec correspondente é exibido.

    3. Clique em Salvar (4).

  2. No CLI do Cisco IOS, crie uma Proposta e uma Política IKEv2. Abra o prompt Configurar Terminal e crie uma Proposta e um Perfil IKEv2 (similar ao exemplo abaixo):

    crypto ikev2 proposal CATO_IKEv2_PROPOSAL
encryption aes-gcm-256
prf sha512group 21
!
crypto ikev2 policy CATO_IKEv2_POLICY
proposal CATO_IKEv2_PROPOSAL
!

  3. Crie um Anel de Chaves IKEv2 e um Perfil (similar ao exemplo abaixo):

    crypto ikev2 keyring CATO_KEYRING
peer Dallas
address x.x.x.x
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
peer Chicago y.y.y.y
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
crypto ikev2 profile CATO_IKEv2_PROFILE
match identity remote address x.x.x.x 255.255.255.255
match identity remote address y.y.y.y 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local CATO_KEYRING
!

  4. Crie um Conjunto de Transformação IPsec e um Perfil (similar ao exemplo abaixo):

    !
crypto ipsec transform-set CATO_TSET esp-gcm 256
!
crypto ipsec profile CATO_IPSEC_PROFILE
set transform-set CATO_TSET
set pfs group21
set ikev2-profile CATO_IKEv2_PROFILE
!

  5. Crie interfaces de Túnel IPsec com uma fonte de túnel da interface pública externa (similar ao exemplo abaixo):

    interface Tunnel0
ip address 172.16.3.1 255.255.255.252
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination x.x.x.x
tunnel protection ipsec profile CATO_IPSEC_PROFILE
!
interface Tunnel1
    endereço IP 172.16.4.1 255.255.255.252
fonte de túnel GigabitEthernet2
Modo de túnel ipsec ipv4
destino de túnel y.y.y.y
proteção de túnel perfil ipsec CATO_IPSEC_PROFILE
!

  6. Defina as rotas no dispositivo Cisco com base nos requisitos para o site:

    1. Tráfego seletivo para Cato - Crie rotas estáticas para direcionar sub-redes específicas para Cato via as interfaces de túnel IPSec (similar ao exemplo abaixo):

      ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel0 172.16.3.2
ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel1 172.16.4.2 250

    2. Todo o tráfego para Cato – Crie rotas estáticas para direcionar os endereços IP do peer Cato para a Internet pública e uma rota padrão para os túneis da Cato (similar ao exemplo abaixo):

      ip route x.x.x.x 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato Primary Peer route)
ip route y.y.y.y 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato Secondary Peer route)
ip route 0.0.0.0 0.0.0.0 Tunnel0 172.16.3.2
ip route 0.0.0.0 0.0.0.0 Tunnel1 172.16.4.2 250

  7. No Aplicativo de Gerenciamento Cato, crie um novo site para o site Cisco.

    image3.png

    1. No menu de navegação, clique em Rede (1) > Sites (2).

    2. Clique em Novo (3). O painel Adicionar Site é aberto.

  8. Configure as configurações para o novo site Cisco.

    image4.png

    1. Digite um Nome do Site (1) .

    2. Em Tipo de Conexão (2) selecione IPSec IKEv2.

    3. Defina o País (3) e Estado (4) apropriados, se aplicável.

    4. Em Faixa Nativa (5), especifique uma faixa de rede que esteja atrás do site Cisco que se comunica com as faixas conectadas à Cato Cloud.

    5. Clique em Aplicar (6).

  9. Clique no nome do novo site para abrir o site e configurar as configurações.

    image5.png

  10. No menu de navegação, selecione Configurações do Site > IPSec (1) e expanda a seção de configuração do túnel Principal (2).

    image6.png

  11. Defina as configurações para o túnel IPsec principal.

    image7.png

    1. Defina o IP Público:

      1. Em Cato IP (Saída) (1), no menu suspenso, escolha o IP do PoP principal.

      2. No IP do Site (2), digite o endereço IP do Link WAN Público do Roteador Cisco.

    2. Digite a Chave Primária (3).

  12. Expanda a seção de configuração do túnel Secundário e configure as configurações para o túnel IPsec secundário:

    image8.png

    1. Em Cato IP (Saída) (1), no menu suspenso, escolha o IP do PoP de backup.

    2. No IP do Site (2), digite o endereço IP do Link WAN Público do Roteador Cisco.

    3. Enter the PSK (3).

  13. Expanda a seção de configuração de Roteamento e certifique-se de que Iniciar conexão por Cato não está ativado.

    image9.png

    Não especifique nenhuma Faixas de Rede. This is a route-based policy and the Cisco IOS router builds a single 0.0.0.0 - 255.255.255.255 security association with the Cato Cloud.

  14. Vá para o topo da tela de IPsec e clique em Salvar.

    Seu site agora está configurado para conectar-se à Cato Cloud.

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário