Конфигурирование площадок IPsec IKEv2

Эта статья обсуждает, как создать и настроить сайты, использующие тип соединения IPsec IKEv2. Для получения дополнительной информации о создании новой площадки, смотрите Использование Приложение Управления Cato для добавления сайтов.

Примечание: В рамках недавних улучшений, включая введение нескольких активных туннелей для площадок IPsec, клиенты могут получать ложные уведомления о отключении и повторном подключении, вместе с соответствующими уведомлениями. Это одноразовое событие во время процесса обновления, и эти события и уведомления можно безопасно игнорировать. Учтите, что события и уведомления могут содержать некорректные временные метки и не свидетельствуют о фактическом сбое сервиса. Туннели IPsec остаются полностью работоспособными в течение данного процесса.

Обзор

Вы можете использовать туннели IPsec для подключения площадок и внутренних сетей к облаку Cato и удаленным сетям. Площадки с соединениями IPsec используются для:

  • Площадки в публичном облаке, таком как AWS или Azure
  • Площадки для филиалов в разных местах, находящиеся за межсетевым экраном третьей стороны

При настройке площадки IPsec IKEv2 вы можете инициировать соединение одним из следующих способов:

  • Только ответчик - Инициализация файервола. Устройство площадки инициирует соединение с точкой присутствия Cato.
  • Двусторонний – Соединение может быть инициировано вашим файерволом или Cato.

Режим соединения Только ответчик

Настройка Только ответчик IKEv2 от Cato является решением для периферийных устройств с динамическими IP-адресами или находящихся за устройствами NAT. (т.е. файерволы или маршрутизаторы) Это решение позволяет периферийному устройству на удаленной стороне инициировать и управлять соединением IKEv2.

Кроме того, при использовании Только ответчик вы можете настроить Cato на использование полного доменного имени (FQDN) как идентификатора Cato. Таким образом, Cato генерирует хэшированное значение и преобразует его в IP-адрес, чтобы предоставить вам оптимальное расположение точки присутствия для каждого туннеля.

Например, вы настраиваете режим соединения как Только ответчик и тип назначения как FQDN. Cato генерирует хэшированное значение somevalue.ipsec.dev.catonetworks.org. Затем это значение настраивается на удаленной площадке и действует как разрешитель для запроса DNS, использующего значение FQDN. Точка присутствия выбирается на основе нескольких параметров, таких как геолокация, время задержки (RTT) и другие.

В этом сценарии точка присутствия выбирается динамически, что означает, что если исходная точка присутствия, назначенная этому FQDN, недоступна, автоматически выбирается новая точка присутствия. Кроме того, если вы следуете лучшим практикам Cato и определяете первичный и вторичный туннель при использовании FQDN, Cato автоматически выбирает разные расположения точек присутствия для идеального HA.

В качестве альтернативы, некоторые производители файерволов не поддерживают использование FQDN, в таком случае вы можете выбрать IPv4 как тип назначения. В этом случае необходимо выбрать статическое расположение точки присутствия, и если эта точка присутствия недоступна по какой-либо причине, туннель будет недоступен. Для получения информации об определении статических IP-адресов см. Политика распределения IP-адресов для удаленных пользователей.

Двусторонний режим соединения

В режиме двустороннего соединения как ваше устройство, так и Cato могут инициировать и поддерживать туннели IPsec от выбранных точек присутствия к вашим площадкам и/или облачным центрам обработки данных, используя протокол IPsec IKEv2.

Если туннель недоступен, Cato не нужно ждать, пока ваше устройство инициирует соединение, чтобы туннель быстро восстановился.

Площадки IPsec с несколькими активными туннелями

Cato позволяет настроить несколько активных туннелей как для основной, так и для вторичной роли HA. Несколько активных туннелей позволяют вам выполнять следующее:

  • Использование Последней мили - С несколькими активными туннелями вы можете распределять сетевой трафик по разным маршрутам, помогая сбалансировать нагрузку и улучшить производительность сети.
  • Резервирование - Несколько активных туннелей обеспечивают резервирование. Если один туннель выходит из строя, трафик можно перенаправить через другой активный туннель, обеспечивая непрерывное соединение.
  • Интеграция с третьими сторонами - Интеграция с третьими сторонами SD-WAN CPE для услуг SSE.
  • Сегрегация трафика - Разные туннели могут использоваться для разделения различных типов трафика. Например, один туннель может быть использован для голосового трафика, а другой - для передачи данных.
ipsec-active-active.png

Вы можете настроить до 3 активных туннелей для каждой роли HA, которые подключены к одной и той же точке присутствия Cato. То есть все основные туннели подключены к одной точке присутствия, а все вторичные туннели подключены к другой точке присутствия. Каждый туннель должен иметь уникальный идентификатор, например, локальный ID, такой как FQDN или публичный IP-адрес.

HA для несколько активных туннелей

По умолчанию, когда все активные туннели роли HA отключаются, Cato автоматически переключается на другую роль HA. То есть, если все туннели основной роли HA отключаются, HA срабатывает, и Cato использует вторичные туннели как следующую точку перехода для всех маршрутов площадки. Однако, если у основной роли HA есть 2 туннеля, и один туннель остается подключенным, переключение не происходит.

Вы можете отслеживать туннели через истории "Link is down" в Рабочая область Историй.

Примечание: Определение отключения туннеля Cato занимает до 30 секунд.

Управление пропускной способностью

Вы можете выбрать управление входящей и исходящей пропускной способностью для площадки IPsec. Если вы хотите, чтобы облако Cato ограничило входящую вашу пропускную способность, введите необходимые пределы. В противном случае введите значения согласно фактической скорости соединения вашего ISP. Если вы не знаете скорость соединения ISP, настройте входящую пропускную способность в соответствии с лицензией на этом сайте. Для исходящей пропускной способности облако Cato не контролирует исходящий трафик, и невозможно установить жесткое ограничение. Вместо этого настройка исходящей пропускной способности является лучшим усилием облака Cato.

Примечание: Если вы введете значения входящей/исходящей пропускной способности, превышающие фактическую скорость соединения вашего канала ISP, движок QoS Socket будет неэффективен.

Для получения дополнительной информации о QoS в Cato см. Что такое Профили Управления Пропускной Способностью Cato.

Для QoS для нескольких активных туннелей смотрите ниже Маршрутизация QoS для нескольких активных туннелей.

Требования

  • Если вы отправляете только часть вашего сетевого трафика через облако Cato, настройте ваше сетевое оборудование для включения следующих IP-адресов в вашу таблицу маршрутизации к облаку Cato:

    • 10.254.254.1
    • 10.254.254.5
    • 10.254.254.253
    • 10.41.0.0/16 если вы настроили диапазон IP-адресов своих VPN-пользователей

  • Для площадок IPsec с пропускной способностью 100Мбит/с или более используйте только алгоритмы AES 128 GCM-16 или AES 256 GCM-16. Алгоритмы AES CBC используются только на площадках с пропускной способностью менее 100Мбит/с.

    Эти рекомендации связаны с тем, что шифрование GCM более эффективное и масштабируемое, чем CBC, обеспечивая лучшую производительность и надежность для шифрованного трафика с высокой пропускной способностью в облаке Cato.

  • Площадки Cato IPsec IKEv2 поддерживают длину nonce до 256 бит.
  • Для трафика FTP Cato рекомендует настроить сервер FTP с тайм-аутом подключения 30 секунд или выше.
  • Вы можете установить общий секрет IPSec (PSK) до 64 символов.
  • Для площадок, которые подключаются к окружению Zscaler, необходимо обновить лицензию Zscaler для возможности выбора шифрования на фазе 2.

Добавление площадки IKEv2

Создайте новый IPsec сайт IKEv2, затем настройте его для IKEv2 настроек и назначьте IP-адреса, выделенные Cato, для основных и вторичных туннелей. Чтобы узнать больше, см. Выделение IP-адресов для аккаунта.

Чтобы создать новую площадку IPsec:

  1. В меню навигации нажмите Сеть > Сайты и нажмите Новый.

    Открывается панель Добавить сайт,

  2. Настройте параметры для сайта:

    • Имя: Имя для площадки
    • Тип: значок, отображаемый для площадки на странице топологии
    • Тип соединения: выберите IPsec IKEv2
    • Страна: Страна, в которой расположена площадка.
    • Область: Область, где расположена площадка (если возможно)
    • Лицензия: Выберите соответствующую лицензию на пропускную способность для площадки
    • Собственный диапазон: Подсеть ЛВС для площадки IPSec
  3. Нажмите Новый.

Настройка параметров IPsec IKEv2

После создания нового сайта, использующего IPsec IKEv2 для подключения к Cato Cloud, отредактируйте сайт и настройте параметры IPsec.

Примечание

ВАЖНО: Мы настоятельно рекомендуем настроить вторичный туннель (с другими публичными IP-адресами Cato) для высокой доступности. В противном случае существует риск потери связности сайта с Cato Cloud.

Используйте настройки метода подключения, чтобы определить, должен ли Cato PoP отвечать только на соединения с удаленного сайта, инициированного (Только ответчик), или может также инициировать соединения (Двусторонний).

Для сайтов, работающих с динамическими IP, Приложение Управления Cato генерирует Локальный ID для сайта, который используется для выбранного вами Идентификатора аутентификации. Используйте Идентификатор аутентификации, который требуется устройством третьей стороны: FQDN, email или KEY_ID, и введите локальный ID в IKE-настройках вашего устройства третьей стороны.

Кроме Локального ID, настройте предварительный общий ключ (PSK) для аутентификации. Вы также можете определить основные и вторичные IPsec туннели с BGP на устройстве, что обеспечивает высокую доступность. Таким образом, Cato Cloud автоматически регулирует метрики маршрутов BGP, чтобы приоритет отдавался основному туннелю, и если он отключается, сайт автоматически переключается на вторичный туннель.

Чтобы настроить параметры площадки IPsec IKEv2:

  1. В меню навигации щелкните Сеть > Площадки и выберите площадку.
  2. В меню навигации щелкните Настройки площадки > IPsec.

  3. Расширьте раздел Общие настройки и определите, как сайт подключается и аутентифицируется к PoP:

    1. Выберите режим соединения для сайта:

      • Только ответчик – Файервол init. Файервол площадки инициирует соединение, и Cato отвечает
      • Двусторонний - Точка присутствия Cato отвечает на запросы о входящих соединениях и инициирует исходящие переговоры.

    2. Выберите Идентификатор аутентификации.

      • IPv4 - используйте статический IP-адрес, который вы настроили в разделах Основной и Вторичный для сайта

        IPv6 в настоящее время не поддерживается с протоколом IPSec через PoP Cato.

      • FQDN, Email, KEY_ID - генерирует локальный ID в одном из этих форматов

  4. Разверните раздел Основной, и настройте следующие параметры для основного туннеля IPsec:

    • В Тип назначения выберите FQDN или IPv4. Назначение должно быть одинаковым для всех активных туннелей для роли HA (основной или вторичный).

      • FQDN - Генерируется хешированное значение FQDN, созданное Cato. Это значение уникально для конкретного туннеля. Это значение, которое вы предоставите вашему межсетевому экрану.

        При выборе также необходимо определить Расположение PoP. Cato рекомендует использовать Автоматический выбор, чтобы для вас был выбран наилучший PoP. Если вы выбираете специфическое расположение и также настраиваете вторичный сайт, убедитесь, что выбраны разные расположения.

      • IPv4 - выберите статический IP-адрес из выпадающего списка IP Cato (Исходящий).

  5. Нажмите Новый. Появится страница Добавить туннель.

    1. В разделе Роль выберите, какие логические интерфейсы WAN использовать для этого туннеля. Роль WAN используется для маршрутизации на основе приоритета в политике Сетевые правила.
    2. В разделе Имя введите описательное имя
    3. В разделе Публичный IP введите публичный IP-адрес для этого туннеля. Каждый туннель должен использовать другой публичный IP-адрес

    4. Для сайтов, использующих BGP, настройте Частные IP:

      • Cato - введите точку присутствия Cato и IP-адрес, которые инициируют туннель IPsec
      • Сайт - введите приватный IP-адрес пиринга BGP
    5. В разделе Пропускная способность последней мили настройте максимальную Входящий трафик и Выходящий трафик пропускную способность (Мбит/с), доступную для площадки
    6. В разделе PSK щелкните Изменить пароль, чтобы ввести общий секрет для основного туннеля IPsec.

  6. Нажмите Применить. Туннель добавлен в основную таблицу.

    primary-ipsec-tunnel.png
  7. Для площадок, использующих вторичный туннель IPsec, разверните раздел Вторичный, настройте параметры на предыдущем этапе, затем нажмите Сохранить.
  8. Для площадок, использующих несколько активных/активных туннелей, повторите шаги 5-7.

  9. (Опционально) Разверните раздел Параметры сообщения при инициализации и настройте параметры. Смотрите Параметры инициализации и аутентификации ниже для действующих параметров.

    Поскольку большинство решений с поддержкой IPsec IKEv2 реализуют автоматическое согласование следующих Init и Auth параметров, мы рекомендуем задать их на Автоматический, если нет специальной инструкции от вашего производителя файервола.

  10. (Опционально) Разверните раздел Параметры авторизации и настройте параметры. Смотрите Параметры инициализации и аутентификации ниже для просмотра корректных параметров.

  11. Разверните раздел Маршрутизация и определите параметры маршрутизации для сайта:

    IPsec_IKEv2_Routing.png
    • Для соединений IPsec с удаленной стороной, имеющей определенные SAs (ассоциации безопасности) для этого туннеля, в Диапазонах сетей введите диапазоны удаленных IP (обычно сети с других площадок) для SAs в формате <метка:Диапазон IP> и нажмите Добавить.

    • Локальные диапазоны IP для SA настраиваются на странице Настройки Сайта > Сети путем включения Локальных Трафик Селекторах и Пир Трафик Селекторах.

      ipsec_ikev2_native.png
      Убедитесь, что локальные сети совпадают с тем, что вы настроили для пиринга IPsec.

    • Чтобы Cato Cloud проактивно попытался восстановить соединение, которое разорвано, не ожидая другой стороны, выберите Инициировать соединение от Cato. В противном случае, файервол пытается восстановить соединение.

      Примечание: Если для сайта не настроены Диапазоны сети, это считается маршрутизируемым VPN (неявно: 0.0.0.0 <> 0.0.0.0).

  12. Нажмите Сохранить.

    Подождите не менее 3 минут, прежде чем вводить значения основного и вторичного FQDN в ваш файервол, чтобы были определены оптимальные расположения PoP для этих настроек.

  13. Чтобы показать детали вашего соединения и статус туннеля IPsec для этой площадки, нажмите Статус соединения.

Маршрутизация QoS для нескольких активных туннелей

По умолчанию Cato может контролировать только входящий трафик. Трафик распределяется по туннелям (WAN-ссылкам) в зависимости от метрик здоровья, предпочтений ссылки и пропорционального соотношения настроенной пропускной способности для каждой ссылки. Метрики здоровья пересчитываются каждую секунду, и трафик перераспределяется на производительный канал каждые 10 секунд.

Входящий трафик контролируется удаленным IPsec-партнером и в соответствии с маршрутизацией, основанной на политике, используемой партнером.

Вы можете переопределить выбор WAN-ссылки для входящего трафика с помощью сетевых правил. Вы можете настроить правило для определения, какая WAN-ссылка будет использоваться для конкретных трафиковых кортежей. В этом случае трафик будет отправлен по WAN-ссылке, настроенной в правиле, а не по туннелю, в который он прибыл.

active-active-rule.png

Параметры инициализации и аутентификации

Следующие параметры доступны при определении параметров инициализации и аутентификации. Cato рекомендует установить эти параметры на Автоматический, если ваш производитель файервола не дал другие указания.

Параметр

Действительные значения

Алгоритм шифрования

  • Автоматический

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

Псевдослучайный

  • Автоматический

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Алгоритм целостности

  • Автоматический

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Группа Диффи-Хеллмана

  • 2 (1024-бит)

  • 5 (1536-бит)

  • 14 (2048-бит)

  • 15 (3072-бит)

  • 16 (4096-бит)

  • 19 (256-бит случайный)

  • 20 (384-бит случайный)

Дефолтные параметры IKEv2 для площадки

Это список значений по умолчанию для следующих параметров IKEv2. Если вам нужно пользовательское значение, пожалуйста, свяжитесь с Поддержкой.

Параметр

Значение

Keep-alive проверка (отправляет пустые запросы). Число секунд, после которых сайт не получает никакие данные по туннелю.

10 секунд

Интервал повторной передачи (в секундах).

Невозможно настроить пользовательское значение для этого параметра.

10 секунд

Максимальное количество повторных передач.

Невозможно настроить пользовательское значение для этого параметра.

5 повторных передач

Максимальное временное ограничение, при котором сайт не получает никаких данных или ответов на запросы keep-alive. После этого времени сайт завершает туннель и пытается его восстановить.

60 секунд

Временной интервал, который сайт пытается восстановить туннель, который вышел из строя и не удается восстановить.

каждые 90 секунд

Время жизни IKE SA (фаза 1 IPsec). Вы можете настроить значение этого параметра, используя расширенные настройки для сайта.

19,800 секунд (примерно 5.5 часов)

Время жизни дочернего SA (IPsec фаза 2).

3,600 секунд (1 час)

Отправка одного селектора трафика для площадок IKEv2

При создании Child SA, Cato отправляет несколько селекторов трафика (TS) в одном TS-пакете в соответствии с RFC 7295. Некоторые сторонние решения, такие как Cisco ASA, поддерживают только один TS в каждом Child SA. Cisco ASA отправит сообщение TS_UNACCEPTABLE в ответ на предложение Cato создать Child SA с несколькими TS.

Вы можете настроить ваш аккаунт или конкретный сайт IPsec IKEv2, чтобы отправлять каждый TS в отдельном пакете для поддержки совместимости с этими решениями третьей стороны, включив эту настройку в Конфигурация сайта > Расширенная конфигурация.

Подключение двух туннелей к AWS VPC для HA

Cato позволяет подключить ваш AWS VPC к облаку Cato, используя BGP через два туннеля IPsec для конфигурации высокой доступности (HA). Двойные туннели AWS поддерживаются только при наличии двух клиентских шлюзов, каждый из которых представляет собой другой публичный IP-адрес Cato. Это требования:

  • Два публичных IP-адреса Cato
  • Два клиентских шлюза в одном VPC, и каждый назначен публичному IP-адресу Cato
  • В AWS, два соединения сайт-к-сайту

Известные ограничения услуг

  • Для многоарендных учетных записей (таких как партнеры Cato), убедитесь, что каждая учетная запись использует IP-адреса, выделенные из разных местоположений PoP для туннелей IPsec. Например, аккаунт1 использует IP, выделенный из точки присутствия Франкфурта, и аккаунт2 должен использовать IP, выделенный из расположения точки присутствия Мюнхена.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 5

0 комментариев