Настроить IPsec IKEv2 с несколькими активными туннелями

Эта статья объясняет, как настроить IPsec-сайт с несколькими активными туннелями. Для получения информации о настройке IPsec с конфигурацией Active/Passive, см. Настраивая сайты IPsec IKEv2

С 18 ноября 2024 года эта функция будет доступна всем новым клиентам Cato Networks. Существующие клиенты, заинтересованные в активации этой функции, должны связаться со своим представителем.

Работа с несколькими активными туннелями

Cato позволяет настраивать несколько активных туннелей для обеих ролей HA: Основной и Вторичный. Несколько активных туннелей позволяют вам выполнять следующие действия:

  • Последняя миля - С несколькими активными туннелями вы можете распределять сетевой трафик по разным маршрутам, помогая сбалансировать нагрузку и улучшить производительность сети.

  • Избыточность - Несколько активных туннелей обеспечивают избыточность. Если один туннель выходит из строя, трафик может быть перенаправлен через другой активный туннель, обеспечивая бесперебойную связь.

  • Интеграция сторонних решений - Интеграция с CPE SD-WAN третьих сторон для услуг SSE.

  • Сегрегация трафика - Различные туннели могут быть использованы для разделения различных типов трафика. Например, один туннель может быть использован для голосового трафика, в то время как другой используется для передачи данных.

ipsec-active-active.png

Вы можете настроить до 3 активных туннелей для каждой роли HA, которые подключены к одному и тому же PoP Cato. Это означает, что все Основные туннели подключены к одному PoP, а все Вторичные туннели - к другому PoP. Каждый туннель должен иметь уникальный идентификатор, например, локальный ID как FQDN или публичный IP-адрес.

Ограничения

BGP в настоящее время не поддерживается для нескольких активных туннелей IPsec.

Настройка IPsec IKEv2-сайта

После создания нового сайта, использующего IPsec IKEv2 для подключения к облаку Cato, отредактируйте сайт и настройте параметры IPsec.

Используйте настройки метода подключения для определения, будет ли PoP Cato только отвечать на подключения с удаленного сайта, файрвол нач. (Только ответчик), или также может инициировать подключения (Двусторонний).

Для сайтов, работающих с динамическими IP, Приложение Управления Cato генерирует Локальный ID для сайта, который используется для Идентификатор аутентификации, который вы выбираете. Используйте Идентификатор аутентификации, требуемый устройством третьей стороны: FQDN, электронная почта или KEY_ID, и введите Локальный ID в настройках IKE вашего устройства третьей стороны.

В дополнение к Локальному ID, настройте предварительно общий ключ (PSK) для аутентификации.

Вы можете выбрать управление входящей и исходящей пропускной способностью для IPsec-сайта. Если вы хотите, чтобы облако Cato ограничивало вашу входящую пропускную способность, введите необходимые ограничения соответственно. В противном случае введите значения, определенные фактической скоростью соединения вашего интернет-провайдера. Если вы не знаете скорость соединения с интернет-провайдером, настройте входящую пропускную способность в соответствии с лицензией этого сайта. Для исходящей пропускной способности облако Cato не контролирует исходящий трафик, и невозможно ограничить его жестким лимитом. Вместо этого настройка исходящей пропускной способности - это лучшее усилие со стороны облака Cato.

Примечание

Примечание: Если вы введете значения входящей/исходящей пропускной способности, которые превышают фактическую скорость соединения вашего ISPs, движок QoS будет неэффективен.

Для получения дополнительной информации о QoS в Cato, смотрите Что такое профили Управление Пропускной Способностью Cato.

Чтобы настроить параметры для IPsec IKEv2 сайта:

  1. Из меню навигации нажмите Сеть > Сайты и выберите сайт.

  2. Из меню навигации нажмите Настройки сайта > IPsec.

  3. Расширьте раздел Общие и определите, как сайт подключается и аутентифицируется к PoP:

    1. Выберите режим подключения для сайта:

      • Только ответчик – Инициализация файервола. Брандмауэр сайта инициирует соединение, и Cato отвечает

      • Двусторонний - PoP Cato отвечает на переговоры для входящих соединений и инициирует исходящие переговоры.

    2. Выберите идентификатор аутентификации.

      Двусторонний режим поддерживает только IPv4 для идентификатора аутентификации.

      • IPv4 - используйте статический IP-адрес, который вы настроили в разделах Основной и Вторичный для сайта

        IPV6 в настоящее время не поддерживается с помощью IPSec через PoP Cato.

      • Полное доменное имя (FQDN), Электронная почта, KEY_ID - генерирует Локальный ID в одном из этих форматов

  4. Расширьте раздел Основной и настройте следующие настройки для основного туннеля IPsec:

    • В Тип назначения выберите либо Полное доменное имя (FQDN), либо IPv4 Назначение должно быть одинаковым для всех активных туннелей для роли HA (Основной или Вторичный).

      • Полное доменное имя (FQDN) - сгенерировано Cato хешированное значение полного доменного имени (FQDN) Это значение уникально для конкретного туннеля. Это значение, которое вы предоставите вашему брандмауэру.

        Когда выбрано, вы также должны определить Расположение PoP. Cato рекомендует использовать Автоматический режим, чтобы для вас был выбран лучший PoP. Если вы выбираете конкретное местоположение и также настраиваете вторичный сайт, убедитесь, что выбраны разные местоположения.

      • IPv4 - выберите статический IP-адрес из выпадающего списка Cato IP (Исходящий).

  5. Нажмите Новый. Появляется страница Добавить туннель.

    • В разделе Роль, выберите, какой из логических интерфейсов WAN использовать для этого туннеля. Роль WAN используется для маршрутизации на основе приоритета в политике Сетевые правила.

    • В разделе Имя, введите описательное имя

    • В разделе Публичный IP, введите публичный IP-адрес для этого туннеля. Каждый туннель должен использовать другой публичный IP-адрес

    • Частные IP-адреса не имеют значения для нескольких туннелей Active/Active. Оставьте эти поля пустыми

    • В разделе Пропускная способность последней мили, настройте максимальную пропускную способность вниз и вверх (Мбит/с), доступную для сайта

    • В разделе Ключ предварительного общего ключа (PSK) нажмите Изменить пароль, чтобы ввести общий секрет для основного туннеля IPsec

  6. Нажмите Применить. Туннель добавлен в основную таблицу.

    primary-ipsec-tunnel.png

  7. Для сайтов, использующих вторичный туннель IPsec, разверните раздел Вторичный и настройте параметры на предыдущем шаге, затем нажмите Сохранить.

  8. (Опционально) Разверните раздел Параметры сообщения инициализации и настройте настройки. Для получения дополнительной информации о параметрах Init и Auth, смотрите эту таблицу.

    Поскольку большинство решений, поддерживающих IPsec IKEv2, реализуют автоматическое согласование следующих параметров Init и Auth, мы рекомендуем установить их на Автоматически, если специально не указано вашим производителем брандмауэра.

  9. (Опционально) Разверните раздел Параметры Auth и настройте параметры. Смотрите Параметры Init и Auth для проверки правильности параметров.

  10. Разверните раздел Маршрутизация и определите параметры маршрутизации для сайта:

    IPsec_IKEv2_Маршрутизация.png

    • Для IPsec-соединений с удаленной стороной, где определены SA (ассоциации безопасности) для этого туннеля, в разделе Диапазоны сети, введите локальные диапазоны IP для SA в формате <метка:Диапазон IP> и нажмите Добавить.

      Удаленные диапазоны IP для SA настроены на экране Настройки Сайта > Сети.

    • Чтобы включить возможность Cato Cloud проактивно попытаться восстановить соединение, которое не работает, без ожидания другой стороны, выберите Установить соединение от Cato. В противном случае, файервол пытается восстановить соединение.

    Примечание

    Примечание: Если для сайта не настроены Диапазоны сети, он считается маршрутизированным на основе VPN (явно: 0.0.0.0 <> 0.0.0.0).

  11. Нажмите Сохранить.

    Подождите не менее 3 минут, прежде чем вводить основные и вторичные значения FQDN в своем файерволе, чтобы оптимальные расположения PoP для этих настроек были определены.

  12. Чтобы показать детали вашего соединения и статус IPsec-туннеля для этого сайта, нажмите Статус соединения.

Для получения дополнительной информации о параметрах Init и Auth, смотрите эту таблицу.

HA для нескольких активных туннелей

По умолчанию, когда все активные туннели роли HA выходят из строя, Cato автоматически переключается на другую роль HA. Это означает, что если все туннели основной роли HA выходят из строя, срабатывает переключение, и Cato использует вторичные туннели как следующий переход всех маршрутов сайта. Однако, если у основной роли HA 2 туннеля, и один туннель остается рабочим, переключение не происходит.

Вы можете мониторить туннели через истории "Link is down" в Рабочая область Историй.

Примечание

Примечание: Определение того, что туннель вышел из строя, Cato может занять до 30 секунд.

Маршрутизация QoS для нескольких активных туннелей

По умолчанию, Cato может контролировать только входящий трафик. Трафик распределяется по туннелям (WAN-каналам) на основе метрик состояния, предпочтений канала и пропорционального отношения настроенных пропускных способностей для каждого канала. Метрики состояния пересчитываются каждую секунду, и трафик перераспределяется на наилучший канал каждые 10 секунд.

Входящий трафик контролируется удаленным пиром IPsec, и соответствует маршрутизации, основанной на политике, которую использует пир.

Вы можете переопределить выбор WAN-канала для входящего трафика, используя Сетевые правила. Вы можете настроить правило, чтобы определить, какой WAN-канал используется для специфических трафиковых кортежей, в этом случае трафик будет отправлен по WAN-каналу, настроенному в правиле, а не по туннелю, через который он поступил.

active-active-rule.png

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев