Настройка площадок с соединениями IPsec

Настройка площадок с соединениями IPsec

Вы можете использовать IPsec туннели для подключения площадок и внутренних сетей к облаку Cato и удалённым сетям. Как правило, площадки с соединениями IPsec используются для:

  • Площадки, которые находятся в публичных облаках, таких как AWS и Azure

  • Площадки для офисов, использующие сторонний брандмауэр

Облако Cato поддерживает соединения IPsec для IKEv1 и IKEv2. Мы рекомендуем использовать IKEv2, однако некоторые технологии поддерживают только IKEv1.

Для устройств Cisco ASA известно о несовместимости с площадками Cato IKEv2, смотрите Настройка площадок IPsec IKEv2.

Для FTP трафика Cato рекомендует настроить сервер FTP с тайм-аутом подключения 30 секунд или больше.

Выбор типа соединения IPsec IKEv1

Тип соединения IPsec IKEv1 - инициирован Cato. Облако Cato отвечает за создание IPsec соединения с площадкой. Если соединение прерывается, облако Cato пытается его восстановить

Настройка собственного диапазона

Собственный диапазон для площадки - это IPv4-адрес (и CIDR) для основной LAN-сети, находящейся за брандмауэром или маршрутизатором.

Вы можете настроить параметры собственного диапазона в Сети > <площадка> > Настройки площадки > Сети. Вы также можете использовать этот раздел для настройки дополнительных диапазонов сети для площадки.

Настройка VPN туннелей

Площадки IPsec поддерживают основной и дополнительный VPN туннель. Вы можете настроить каждый туннель для подключения к разным PoP для обеспечения отказоустойчивости. Однако, в отличие от Sockets Cato, соединения IPsec не автоматически подключаются к различным PoP в случае проблемы. Они могут подключаться только к IP-адресу назначения, который настроен для каждого туннеля.

Примечание

ВАЖНО: Мы настоятельно рекомендуем настроить дополнительный туннель (с различными публичными IP-адресами Cato) для высокой доступности. В противном случае, существует риск потери площадкой соединения с облаком Cato.

Для площадок, использующих IKEv1, существуют заранее настроенные Типы службы для AWS и Azure.

  • Cato IP (Исходящий) для Основного и Вторичного туннелей - Исходные IP-адреса - это IP-адреса PoP, которые инициируют IPsec туннель. Выберите доступный IP-адрес для PoP. Если вам нужно больше IP-адресов, используйте опцию Настройки распределения IP-адресов для определения других IP-адресов.

  • IP-адрес сайта для Основного и Вторичного туннелей - IP-адреса площадки, которые используются для VPN туннелей.

  • Пропускная способность - Вы можете использовать Приложение Управления Cato для контроля максимальной входящей и исходящей пропускной способности от облака Cato к каждой площадке. Если вы не хотите настраивать конкретное значение пропускной способности для площадки, мы рекомендуем использовать фактическую пропускную способность от провайдера интернет-услуг или в соответствии с вашей лицензией Cato Networks.

  • Частные IP-адреса - IP-адреса, находящиеся внутри VPN туннеля, которые используются для настройки динамической маршрутизации BGP для площадки.

  • Основной и Дополнительный ключ PSK - Общественные предварительно общие ключи (PSK) для VPN туннелей.

Примечание

Примечание: Вы можете опционально использовать тот же выделенный IP-адрес для одной или нескольких площадок IPsec, при условии, что IP-адрес сайта отличается для каждой площадки. Cato рекомендует использовать различные выделенные IP-адреса для каждой площадки.

Настройка маршрутизации для IKEv1

Площадки IPsec IKEv1 имеют возможность выбрать Маршрутизация опции для Phase II VPN туннеля:

  • Неявная - Один туннель используется для маршрутизации всего внутреннего LAN трафика площадки к удалённым IP-адресам.

  • Специфический - В поле Диапазоны сети, определите исходные диапазоны IP-адресов для WAN-трафика, который передается через соединение IPsec в туннеле Фазы II. Определите удаленные диапазоны IP-адресов на другой стороне туннеля IPsec. Затем существует полная сетка между локальными и удаленными диапазонами IP-адресов.

Настройка параметров IKEv2

Площадки IPsec IKEv2 имеют дополнительные настройки, которые вы можете настроить:

  • Инициировать Соединение от Cato - Вы можете настроить, кто инициирует соединение VPN-туннеля, Cato Cloud или файервол. По умолчанию, эта функция включена, чтобы Cato Cloud инициировал соединение IPsec и минимизировал время простоя.

  • Диапазоны сети - Для внедрений, где определены SA (Ассоциации Безопасности) для удаленной сети, введите диапазон IP-адресов для этих SA.

Примечание

Примечание: Мы настоятельно рекомендуем использовать настройку по умолчанию и включить функцию Инициировать Соединение от Cato.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 5

0 комментариев