Este artigo discute como conectar um site IPsec com dispositivos VMware Edge em uma configuração de Alta Disponibilidade (HA) ao Cato Cloud.
O diagrama abaixo mostra a topologia de um site IPsec da Cato que usa dispositivos VMware Edge para conectar-se ao Cato Cloud em uma configuração HA ativo/passivo com IPsec.
Você pode usar o Aplicativo de Gerenciamento Cato para criar um site IPsec IKEv2 para conectar seu dispositivo VMware Edge ao Cato Cloud. Primeiro, você precisa alocar um Endereço IP para sua Conta da Cato. Em seguida, configure as configurações nos dispositivos VMware Edge para conectar-se ao Endereço IP. Finalmente, no Aplicativo de Gerenciamento Cato, crie um novo site IPSec e configure as Configurações do Site para conectar-se ao dispositivo VMware Edge.
Para configurar um site para conectar-se ao Cato Cloud com VMware Edge HA IPsec:
-
No Aplicativo de Gerenciamento Cato, aloque um IP Par IPsec de um PoP principal e secundário:
-
No menu de Navegação, clique em Rede(1) > Alocação de IP (2).
-
Na tela de Alocação de IP, selecione duas localizações PoP que são o PoP principal e o PoP secundário (3) para os túneis IPsec.
Após selecionar a localização do PoP, o endereço IP Par IPsec correspondente é exibido.
-
Clique em Salvar (4).
-
-
No menu de Navegação do VMware SD-WAN Orchestrator, selecione Configurar > Perfis (1) e clique em Novo Perfil (2) para criar um perfil.
-
Sob o perfil, clique na aba Dispositivo.
-
Role para baixo até a seção Cloud VPN e ative a opção Filial para Destino Não SD-WAN via Edge.
-
Adicione um novo Serviço, no menu suspenso selecione Novo NVS via Edge....
-
Insira um Nome do Serviço (1) e, no menu suspenso do Tipo de Serviço (2), selecione Roteador IKEv2 Genérico (VPN Baseado em Roteador). Clique em Próximo (3).
-
Na janela Destinos Não SD-WAN via Edge, clique em Avançado e configure as seguintes configurações:
-
Para IP Público do Gateway VPN Primário (1), insira o IP alocado do PoP principal (no passo 1 acima).
-
Defina o valor do Grupo DH (2) como 15 (para corresponder ao valor padrão da Cato).
-
Em Sub-redes do Site (3), especifique qualquer sub-rede WAN da Cato que tenha acesso permitido a este dispositivo VMware Edge.
-
-
Habilite o Gateway VPN Secundário (1) e configure as seguintes configurações:
-
Para IP Público (2), insira o IP alocado do PoP secundário no passo 1 acima.
-
Habilite a opção As configurações do Túnel são as mesmas do Gateway VPN Primário (3) e clique em Salvar Alterações (4).
-
-
Abra as configurações para associar o novo perfil ao dispositivo VMware Edge apropriado:
-
No menu de Navegação, selecione Configurar > Edges (1).
-
Clique no hyperlink do dispositivo Edge apropriado (2).
-
-
Clique na aba Visão Geral do Edge (1) e, na seção Perfil, selecione o novo perfil no menu suspenso Perfil (2) e, em seguida, clique em Salvar Alterações (3).
-
Clique na aba Dispositivo e, na seção Cloud VPN, configure uma das seguintes opções:
-
Para uma única conexão de serviço de Produção - Selecione Ativar Sobrescrever Edge (1) e especifique o serviço criado para esta conexão
-
Para múltiplas Conexões de Serviço de Produção - Permitir que o(s) Serviço(s) sejam importados Automaticamente com base no Perfil que você configurou na etapa anterior.
Clique no hyperlink Adicionar (2) para o serviço para adicionar informações do Túnel.
-
-
Na janela Adicionar Túnel, configure as seguintes configurações:
-
Defina a Identificação Local (1) como o Endereço IP do Link WAN Público.
-
Enter a custom PSK (2).
-
No IP Público Principal de Destino (3), insira o endereço IP principal do PoP.
-
No IP Público Secundário de Destino (4), insira o endereço IP secundário do PoP.
-
Clique em Salvar Alterações.
-
-
No Aplicativo de Gerenciamento Cato, crie um novo site para o site VMware Edge:
-
No menu de navegação, selecione Rede (1) > Sites (2).
-
Clique em Novo (3). O painel Adicionar Site é aberto.
-
-
Configure as configurações para o novo site VMware Edge.
-
Insira um Nome do Site (1).
-
Em Tipo de Conexão (2), selecione IPsec IKEv2.
-
Selecione o País (3) e o Estado (4) apropriados.
-
Em Faixa Nativa (5) especifique uma faixa de rede que fica atrás do site VMware Edge que se comunica com as faixas conectadas ao Cato Cloud.
-
Clique em Aplicar (6).
-
-
Clique no nome do novo site para abrir o site e configurar as configurações.
-
No menu de navegação, selecione Rede > Configurações do Site > IPsec (1) e expanda a Principal (2) seção.
-
Defina as configurações para o túnel IPsec principal:
-
Defina o IP Público:
-
Em Cato IP (Saída) (1), no menu suspenso, escolha o IP do PoP principal.
-
No IP do Site (2), insira o endereço IP do Link WAN Público do Roteador VMware Edge.
-
-
Digite a Chave Primária (3).
-
-
Expanda a seção de configuração do túnel Secundário e configure as configurações para o túnel IPsec secundário:
-
Em Cato IP (Saída) (1), selecione o endereço IP secundário do PoP no menu suspenso.
-
Em IP do Site (2), insira o endereço IP do link WAN público do VMware Edge.
-
Digite o PSK Secundário (3).
-
-
Expanda a seção de configuração de Roteamento, e certifique-se de que Iniciar conexão pela Cato não esteja ativado.
Não especifique quaisquer Faixas de Rede. This is a route-based policy and the VMware Edge router builds a single 0.0.0.0 - 255.255.255.255 security association with the Cato Cloud.
-
Vá para o topo da tela de IPsec e clique em Salvar.
Seu site agora está configurado para se conectar ao Cato Cloud.
0 comentário
Por favor, entre para comentar.