Вы можете использовать IPsec туннели для подключения площадок и внутренних сетей к облаку Cato и удалённым сетям. Как правило, площадки с соединениями IPsec используются для:
-
Площадки, которые находятся в публичных облаках, таких как AWS и Azure
-
Площадки для офисов, использующие сторонний брандмауэр
Облако Cato поддерживает соединения IPsec для IKEv1 и IKEv2. Мы рекомендуем использовать IKEv2, однако некоторые технологии поддерживают только IKEv1.
Для устройств Cisco ASA известно о несовместимости с площадками Cato IKEv2, смотрите Настройка площадок IPsec IKEv2.
Для FTP трафика Cato рекомендует настроить сервер FTP с тайм-аутом подключения 30 секунд или больше.
Тип соединения IPsec IKEv1 - инициирован Cato. Облако Cato отвечает за создание IPsec соединения с площадкой. Если соединение прерывается, облако Cato пытается его восстановить
Собственный диапазон для площадки - это IPv4-адрес (и CIDR) для основной LAN-сети, находящейся за брандмауэром или маршрутизатором.
Вы можете настроить параметры собственного диапазона в Сети > <площадка> > Настройки площадки > Сети. Вы также можете использовать этот раздел для настройки дополнительных диапазонов сети для площадки.
Площадки IPsec поддерживают основной и дополнительный VPN туннель. Вы можете настроить каждый туннель для подключения к разным PoP для обеспечения отказоустойчивости. Однако, в отличие от Sockets Cato, соединения IPsec не автоматически подключаются к различным PoP в случае проблемы. Они могут подключаться только к IP-адресу назначения, который настроен для каждого туннеля.
Примечание
ВАЖНО: Мы настоятельно рекомендуем настроить дополнительный туннель (с различными публичными IP-адресами Cato) для высокой доступности. В противном случае, существует риск потери площадкой соединения с облаком Cato.
Для площадок, использующих IKEv1, существуют заранее настроенные Типы службы для AWS и Azure.
-
Cato IP (Исходящий) для Основного и Вторичного туннелей - Исходные IP-адреса - это IP-адреса PoP, которые инициируют IPsec туннель. Выберите доступный IP-адрес для PoP. Если вам нужно больше IP-адресов, используйте опцию Настройки распределения IP-адресов для определения других IP-адресов.
-
IP-адрес сайта для Основного и Вторичного туннелей - IP-адреса площадки, которые используются для VPN туннелей.
-
Пропускная способность - Вы можете использовать Приложение Управления Cato для контроля максимальной входящей и исходящей пропускной способности от облака Cato к каждой площадке. Если вы не хотите настраивать конкретное значение пропускной способности для площадки, мы рекомендуем использовать фактическую пропускную способность от провайдера интернет-услуг или в соответствии с вашей лицензией Cato Networks.
-
Частные IP-адреса - IP-адреса, находящиеся внутри VPN туннеля, которые используются для настройки динамической маршрутизации BGP для площадки.
-
Основной и Дополнительный ключ PSK - Общественные предварительно общие ключи (PSK) для VPN туннелей.
Площадки IPsec IKEv1 имеют возможность выбрать Маршрутизация опции для Phase II VPN туннеля:
-
Неявная - Один туннель используется для маршрутизации всего внутреннего LAN трафика площадки к удалённым IP-адресам.
-
Специфический - В поле Диапазоны сети, определите исходные диапазоны IP-адресов для WAN-трафика, который передается через соединение IPsec в туннеле Фазы II. Определите удаленные диапазоны IP-адресов на другой стороне туннеля IPsec. Затем существует полная сетка между локальными и удаленными диапазонами IP-адресов.
Площадки IPsec IKEv2 имеют дополнительные настройки, которые вы можете настроить:
-
Инициировать Соединение от Cato - Вы можете настроить, кто инициирует соединение VPN-туннеля, Cato Cloud или файервол. По умолчанию, эта функция включена, чтобы Cato Cloud инициировал соединение IPsec и минимизировал время простоя.
-
Диапазоны сети - Для внедрений, где определены SA (Ассоциации Безопасности) для удаленной сети, введите диапазон IP-адресов для этих SA.
Примечание
Примечание: Мы настоятельно рекомендуем использовать настройку по умолчанию и включить функцию Инициировать Соединение от Cato.
0 комментариев
Войдите в службу, чтобы оставить комментарий.