Настройка площадок с соединениями IPsec

Настройка площадок с соединениями IPsec

Вы можете использовать IPsec туннели для подключения площадок и внутренних сетей к облаку Cato и удалённым сетям. Как правило, площадки с соединениями IPsec используются для:

  • Площадки, находящиеся в публичном облаке, таком как AWS и Azure
  • Площадки для офисов, использующих сторонний файервол

Облако Cato поддерживает соединения IPsec для IKEv1 и IKEv2. Мы рекомендуем использовать IKEv2, однако некоторые технологии поддерживают только IKEv1.

Для устройств Cisco ASA существует известная несовместимость с площадками Cato IKEv2, см. Configuring IPsec IKEv2 Sites.

Для FTP трафика Cato рекомендует настроить сервер FTP с тайм-аутом подключения 30 секунд или больше.

Выбор типа соединения IPsec IKEv1

Тип соединения IPsec IKEv1 - инициирован Cato. Облако Cato отвечает за создание IPsec соединения с площадкой. Если соединение прерывается, облако Cato пытается его восстановить

Настройка собственного диапазона

Собственный диапазон для площадки - это IPv4-адрес (и CIDR) для основной LAN-сети, находящейся за брандмауэром или маршрутизатором.

Вы можете настроить параметры собственного диапазона в Сеть > <site> > Настройки Сайта > Сети. Вы также можете использовать этот раздел для настройки дополнительных диапазонов сети для площадки.

Настройка туннелей VPN

Площадки IPsec поддерживают основной и дополнительный VPN туннель. Вы можете настроить каждый туннель для подключения к разным PoP для обеспечения отказоустойчивости. Однако, в отличие от Sockets Cato, соединения IPsec не автоматически подключаются к различным PoP в случае проблемы. Они могут подключаться только к IP-адресу назначения, который настроен для каждого туннеля.

Примечание

ВАЖНО: 

  • Мы настоятельно рекомендуем вам настроить вторичный туннель (с другими публичными IP-адресами Cato) для высокой доступности. В противном случае, существует риск потери площадкой соединения с облаком Cato.
  • Cato проводит периодическое обслуживание своих точек присутствия, что может привести к недоступности как основного, так и вторичного туннеля VPN в одно и то же окно обслуживания. Чтобы избежать этого риска и обеспечить отказоустойчивость, пожалуйста, свяжитесь с Поддержкой, чтобы убедиться, что туннели сайта используют точки присутствия с отдельными графиками обслуживания.

Для площадок, использующих IKEv1, существуют заранее настроенные Типы службы для AWS и Azure.

  • Cato IP (Исходящий) для Основных и Вторичных туннелей - Исходные IP-адреса являются IP-адресами точек присутствия, которые инициируют туннель IPsec. Выберите доступный IP-адрес для точки присутствия. Если вам требуется больше IP-адресов, используйте опцию Настройки распределения IP-адресов для определения других IP-адресов.
  • IP-адрес сайта для Основных и Вторичных туннелей - IP-адреса для сайта, которые используются для туннелей VPN.
  • Пропускная способность - Вы можете использовать Приложение Управления Cato для контроля максимальной входящей и исходящей пропускной способности от Cato Cloud к каждому сайту. Если вы не хотите настраивать конкретное значение пропускной способности для сайта, мы рекомендуем использовать фактическую пропускную способность от ISP или согласно вашей лицензии Cato Networks.
  • Частные IP-адреса - IP-адреса, которые находятся внутри туннеля VPN и используются для настройки динамической маршрутизации BGP для сайта.
  • Основные и Вторичные PSK - Публичные предварительные общие ключи (PSK) для туннелей VPN.

Примечание

Примечание: Вы можете опционально использовать тот же выделенный IP-адрес для одной или нескольких площадок IPsec, при условии, что IP-адрес сайта отличается для каждой площадки. Cato рекомендует использовать различные выделенные IP-адреса для каждой площадки.

Настройка маршрутизации для IKEv1

Площадки IPsec IKEv1 имеют возможность выбрать Маршрутизация опции для Phase II VPN туннеля:

  • Неявный - Один туннель используется для маршрутизации всего внутреннего трафика ЛВС для сайта к удаленным IP-адресам.
  • Специфический - В поле Диапазоны сетей определите удаленные диапазоны IP-адресов на другой стороне туннеля IPsec. Это создаёт полную сетку между локальными и удаленными диапазонами IP-адресов.

Настройка параметров IKEv2

Площадки IPsec IKEv2 имеют дополнительные настройки, которые вы можете настроить:

  • Инициация соединения Cato - Вы можете настроить, кто инициирует соединение туннеля VPN, Cato Cloud или файервол. По умолчанию эта функция включена, так что Cato Cloud инициирует соединение IPsec и минимизирует простои.
  • Диапазоны сети - Для IPsec соединений с удаленной стороной, где определены SA (ассоциации безопасности) для этого туннеля, в Диапазоны сети введите удаленные диапазоны IP (обычно это сети из других площадок) для SA в формате <метка:диапазон IP>.

Примечание

Примечание: Мы настоятельно рекомендуем использовать настройку по умолчанию и включить функцию Инициировать Соединение от Cato.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 7

0 комментариев