Конфигурирование площадок IPsec IKEv2

В этой статье обсуждается, как создавать и настраивать площадки, использующие тип соединения IPsec IKEv2. Для получения дополнительной информации о создании новой площадки см. Использование Приложения Управления Cato для Добавления Площадок.

Обзор соединений IPsec IKEv2

Вы можете использовать туннели IPsec для подключения площадок и внутренних сетей к облаку Cato и удаленным сетям. Площадки с IPsec соединениями используются для:

  • Площадки в публичных облаках, таких как AWS или Azure

  • Площадки филиалов в разных местах, которые находятся за сторонним файерволом

При конфигурировании площадки IPsec IKEv2 вы можете инициировать соединение, используя один из следующих вариантов:

  • Только ответчик - Инициирование файерволом. Устройство площадки инициирует соединение с PoP Cato

  • Двусторонний – соединение может быть инициировано вашим файерволом или Cato

Режим соединения "Только ответчик"

Настройка Cato's IKEv2 Только ответчик является решением для пограничных устройств, которые имеют Динамический IP или находятся за NAT-устройством. (например, файерволы или маршрутизаторы) Это решение позволяет пограничному устройству на удаленном конце инициировать и управлять соединением IKEv2.

Кроме того, при использовании Только ответчик, вы можете настроить Cato для использования FQDN в качестве идентификатора Cato. При этом Cato генерирует хэшированное значение и переводит его в IP-адрес; вы можете выбрать, чтобы Cato назначил лучшее расположение PoP для каждого туннеля. Вы также можете вручную настроить расположение PoP для каждого туннеля.

Например, вы можете настроить режим соединения как "Только ответчик" и тип назначения как FQDN. Cato генерирует хэшированное значение somevalue.ipsec.dev.catonetworks.org. Это значение затем настраивается на удаленной площадке и служит разрешателем для DNS-запроса, использующего значение FQDN. PoP автоматически выбирается на основе нескольких параметров, таких как геолокация, RTT и других. Кроме того, если вы следуете лучшим практикам Cato и определяете основной и вторичный туннели при использовании FQDN, Cato автоматически выбирает разные расположения PoP для оптимальной высокой доступности.

Альтернативно, некоторые поставщики файерволов не поддерживают использование FQDN, в этом случае вы можете выбрать IPv4 как тип назначения. В этом случае вы должны выбрать статическое расположение PoP, и если этот PoP недоступен по какой-либо причине, туннель будет недоступен.

Двусторонний режим соединения

В двустороннем режиме вашего устройства или Cato могут инициировать и поддерживать туннели IPsec из выбранных PoP к вашим площадкам и/или облачным центрам данных с использованием протокола IPsec IKEv2.

Если туннель недоступен, Cato не требуется ждать, пока ваше устройство не инициирует соединение, чтобы туннель мог быть быстро восстановлен.

Управление пропускной способностью

Вы можете выбрать управление входящим и исходящим трафиком для площадки IPsec. Если вы хотите, чтобы облако Cato ограничило ваш входящий трафик, введите соответствующие лимиты. Иначе введите значения, определяемые фактической скоростью подключения вашего провайдера. Если вы не знаете скорость подключения провайдера, настройте входящий трафик согласно лицензии этой площадки. Для исходящего трафика облако Cato не контролирует исходящий трафик, и его нельзя ограничить жестким лимитом. Вместо этого настройка исходящего трафика является наилучшей попыткой со стороны облака Cato.

Примечание

Примечание: Если вы введете входящие/исходящие значения, превышающие фактическую скорость подключения вашего провайдера, движок QoS Socket не будет эффективен.

Для получения дополнительной информации о QoS в Cato см. Что такое Профили Управления Пропускной Способностью Cato.

Предпосылки

  • Если вы отправляете только часть сетевого трафика через облако Cato, настройте ваше сетевое оборудование, чтобы включить следующие IP-адреса в таблицу маршрутизации к облаку Cato:

    • 10.254.254.1

    • 10.254.254.5

    • 10.254.254.253

    • 10.41.0.0/16, если вы не настроили свой собственный диапазон IP-адресов пользователей VPN

  • Для сайтов IPsec с пропускной способностью больше чем 100Mbps, используйте только алгоритмы AES 128 GCM-16 или AES 256 GCM-16. Алгоритмы AES CBC используются только на сайтах с пропускной способностью меньше чем 100Mbps.

  • Сайты Cato IPsec IKEv2 поддерживают длину nonce до 256 бит.

  • Для FTP трафика Cato рекомендует настроить сервер FTP с тайм-аутом соединения не менее 30 секунд.

  • Вы можете установить общий секрет IPSec (PSK) до 64 символов.

  • Для сайтов, подключающихся к среде Zscaler, требуется обновлённая лицензия Zscaler для включения выбора шифрования в Phase2.

Добавление IKEv2 сайта

Создайте новый сайт IPsec IKEv2, затем настройте его для параметров IKEv2 и назначьте выделенные Cato IP-адреса для основного и вторичного туннелей. Для получения дополнительной информации смотрите Выделение IP-адресов для учетной записи.

Чтобы создать новый сайт IPSec:

  1. В меню навигации нажмите Сеть > Сайты и нажмите Новый.

    Открывается панель Добавить сайт,

  2. Настройте параметры для сайта:

    • Имя: Имя для сайта

    • Тип: Значок, отображаемый для сайта на странице топологии

    • Тип соединения: Выберите IPsec IKEv2

    • Страна: Страна, в которой находится сайт.

    • Область: Область, в которой находится сайт (где применимо)

    • Лицензия: Выберите подходящую лицензию на пропускную способность для сайта

    • Собственный диапазон: Подсеть LAN для сайта IPSec

  3. Нажмите Сохранить.

Настройка параметров IPsec IKEv2

После создания нового сайта, использующего IPsec IKEv2 для подключения к Cato Cloud, отредактируйте сайт и настройте параметры IPsec.

Примечание

ВАЖНО: Мы настоятельно рекомендуем настроить вторичный туннель (с другими публичными IP-адресами Cato) для высокой доступности. В противном случае существует риск потери связности сайта с Cato Cloud.

Используйте настройки метода подключения, чтобы определить, должен ли Cato PoP отвечать только на соединения с удаленного сайта, инициированного (Только ответчик), или может также инициировать соединения (Двусторонний).

Для сайтов, работающих с динамическими IP, Приложение Управления Cato генерирует Локальный ID для сайта, который используется для выбранного вами Идентификатора аутентификации. Используйте Идентификатор аутентификации, требуемый устройством стороннего производителя: FQDN, электронная почта или KEY_ID, и введите Локальный ID в настройках IKE вашего устройства стороннего производителя.

Кроме Локального ID, настройте предварительный общий ключ (PSK) для аутентификации. Вы также можете определить основные и вторичные туннели IPsec с BGP на устройстве, предоставляющем высокую доступность. Таким образом, Cato Cloud автоматически регулирует метрики маршрутов BGP, чтобы приоритет отдавался основному туннелю, и если он отключается, сайт автоматически переключается на вторичный туннель.

Для настройки параметров сайта IPsec IKEv2:

  1. В меню навигации нажмите Сеть > Сайты и выберите сайт.

  2. В меню навигации нажмите Настройки сайта > IPsec.

  3. Расширьте раздел Общие настройки и определите, как сайт подключается и аутентифицируется к PoP:

    1. Выберите режим соединения для сайта:

      • Только ответчик – Инициация файерволом. Файервол сайта инициирует соединение, и Cato отвечает

      • Двусторонний - PoP Cato отвечает на переговоры для входящих подключений и инициирует исходящие переговоры.

    2. Выберите Идентификатор аутентификации.

      Двусторонний режим поддерживает только IPv4 для Идентификатора аутентификации.

      • IPv4 - используйте статический IP-адрес, который вы настроили в разделах Основной и Вторичный для сайта

        IPv6 в настоящее время не поддерживается с протоколом IPSec через PoP Cato.

      • FQDN, Email, KEY_ID - генерирует Локальный ID в одном из этих форматов

  4. Разверните раздел Основной, и настройте следующие параметры для основного туннеля IPsec:

    • В Тип назначения выберите FQDN или IPv4.

      • FQDN - Генерируется хешированное значение FQDN, созданное Cato. Это значение уникально для конкретного туннеля. Это значение вы предоставите вашему файерволу или BGP пир.

        При выборе также необходимо определить Расположение PoP. Cato рекомендует использовать Автоматический выбор, чтобы для вас был выбран наилучший PoP. Если вы выбираете специфическое расположение и также настраиваете вторичный сайт, убедитесь, что выбраны разные расположения.

      • IPv4 - выберите статический IP-адрес из выпадающего списка Cato IP (Исходящий).

    • В Публичный IP-адрес сайта, введите публичный IP-адрес Сайта или Локальный ID, где инициируется туннель IPsec для удаленного сайта.

    • В Частные IP-адреса:

      • Cato - введите PoP Cato и IP-адрес, инициирующий туннель IPsec

      • Сайт - введите частный IP-адрес BGP пира

    • В Пропускная способность последней мили, настройте максимальную Входящий трафик и Исходящий трафик пропускную способность (Мбит/с), доступную для сайта

    • В Основной секретный ключ, нажмите Изменить пароль для ввода общего секрета для основного туннеля IPsec.

      Примечание: Вы можете опционально использовать тот же выделенный IP-адрес для одного или нескольких сайтов IPsec, если IP-адрес сайта отличается для каждого сайта. Cato рекомендует использовать разные выделенные IP-адреса для каждого сайта.

  5. Для сайтов, использующих вторичный туннель IPsec, разверните раздел Вторичный и настройте параметры на предыдущем шаге, затем нажмите Сохранить.

  6. (Опционально) Разверните раздел Параметры сообщения инициализации и настройте параметры. См. ниже Параметры инициализации и аутентификации для получения действительных параметров.

    Поскольку большинство решений с поддержкой IPsec IKEv2 реализуют автоматическое согласование следующих параметров Инициализации и Аутентификации, мы рекомендуем установить их в режим Автоматический, если иное не указано вашим производителем файервола.

  7. (Опционально) Разверните раздел Параметры аутентификации и настройте параметры. См. ниже Параметры инициализации и аутентификации для получения действительных параметров.

  8. Разверните раздел Маршрутизация и определите параметры маршрутизации для сайта:

    IPsec_IKEv2_Routing.png

    • Для соединений IPsec с удаленной стороной, для которой определены SAs (Ассоциации Безопасности) для этого туннеля, в разделе Диапазоны сети введите локальные диапазоны IP для SAs в этом формате <метка:Диапазон IP> и нажмите Добавить.

      Удаленные диапазоны IP для SAs настроены на экране Настройки Сайта > Сети.

    • Чтобы Cato Cloud проактивно попытался восстановить соединение, которое разорвано, не ожидая другой стороны, выберите Инициировать соединение от Cato. В противном случае, файервол пытается восстановить соединение.

    Примечание: Если для сайта не настроены Диапазоны сети, это считается маршрутизируемым VPN (неявно: 0.0.0.0 <> 0.0.0.0).

  9. Нажмите Сохранить.

    Подождите не менее 3 минут, прежде чем вводить значения основного и вторичного FQDN в ваш файервол, чтобы были определены оптимальные расположения PoP для этих настроек.

  10. Чтобы показать детали подключения и статус туннеля IPsec для этого сайта, нажмите Статус соединения.

Параметры инициализации и аутентификации

Следующие параметры доступны при определении параметров инициализации и аутентификации. Cato рекомендует установить эти параметры на Автоматический, если ваш производитель файервола не дал другие указания.

Параметр

Значения

Алгоритм шифрования

  • Автоматический

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

Псевдослучайный

  • Автоматический

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Алгоритм целостности

  • Автоматический

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Группа Diffie-Hellman

  • 2 (1024-бит)

  • 5 (1536-бит)

  • 14 (2048-бит)

  • 15 (3072-бит)

  • 16 (4096-бит)

  • 19 (256-бит случайный)

  • 20 (384-бит случайный)

Параметры IKEv2 по умолчанию для сайта

Это список значений по умолчанию для следующих параметров IKEv2. Если вам нужно пользовательское значение, пожалуйста, свяжитесь с Поддержкой.

Параметр

Значение

Проверка keep-alive (отправляет пустые запросы информации). Количество секунд после того, как сайт не получает никаких данных по туннелю.

10 секунд

Интервал повторной передачи (в секундах).

Невозможно настроить пользовательское значение для этого параметра.

10 секунд

Максимальное количество повторных передач.

Невозможно настроить пользовательское значение для этого параметра.

5 повторных передач

Максимальный интервал времени, в течение которого сайт не получает никаких данных или ответов на проверки keep-alive. После этого времени сайт разрушает туннель и пытается его восстановить.

60 секунд

Интервал времени, в течение которого сайт пытается восстановить туннель, который отключен и не может подключиться.

каждые 90 секунд

Время жизни IKE SA (Фаза 1 IPsec). Вы можете настроить значение этого параметра, используя расширенные настройки для сайта.

19 800 секунд (приблизительно 5,5 часов)

Время жизни Child SA (Фаза 2 IPsec).

3 600 секунд (1 час)

Отправка одного селектора трафика для сайтов IKEv2

При создании Child SA, Cato отправляет несколько селекторов трафика (TS) в одном TS-пакете в соответствии с RFC 7295. Некоторые сторонние решения, такие как Cisco ASA, поддерживают только один TS в каждом Child SA. Cisco ASA отправит сообщение TS_UNACCEPTABLE в ответ на предложение Cato создать Child SA с несколькими TS.

Вы можете настроить свой аккаунт или конкретный сайт IPsec IKEv2 для отправки каждого TS в отдельном пакете, чтобы поддерживать совместимость с этими сторонними решениями, включив данную настройку в разделе Настройки Сайта > Расширенная Конфигурация.

Подключение двух туннелей к AWS VPC для HA

Cato позволяет подключить ваш AWS VPC к облаку Cato, используя BGP через два туннеля IPsec для конфигурации высокой доступности (HA). Двойные туннели AWS поддерживаются только при наличии двух клиентских шлюзов, каждый из которых представляет собой другой публичный IP-адрес Cato. Это требования:

  • Два публичных IP-адреса Cato

  • Два клиентских шлюза в одном и том же VPC, и каждому присваивается публичный IP-адрес Cato

  • В AWS, два подключения "сайт к сайту"

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 5

0 комментариев