Настройка площадок IPsec IKEv1

Эта статья обсуждает, как настроить сайты, использующие тип соединения IPsec IKEv1. Для получения дополнительной информации о создании новой площадки, смотрите Использование Приложение Управления Cato для добавления сайтов.

Обзор соединений IPsec IKEv1

Cato может инициировать и поддерживать туннели IPsec IKEv1 с выбранных PoP в направлении ваших площадок и/или облачных центров обработки данных.

Примечание

Примечание: Если вы отправляете только часть вашего сетевого трафика через Облачный Центр Обработки Данных Cato, настройте ваше сетевое оборудование, чтобы включить следующие диапазоны IP-адресов в вашу таблицу маршрутизации к Облачному Центру Обработки Данных Cato:

Подключение двух туннелей к AWS VPC для HA

Cato позволяет подключить вашу AWS VPC к Облачному Центру Обработки Данных Cato, используя BGP через два туннеля IPsec для настройки высокой доступности (HA). Поддержка AWS двойных туннелей осуществляется только при определении двух клиентских шлюзов, и каждый из них должен представлять собой другой публичный IP-адрес Cato. Это требования:

  • Два публичных IP-адреса Cato

  • Настройте два клиентских шлюза в одном VPC, и каждый из них назначен на публичный IP-адрес Cato

  • В AWS настройте два соединения «площадка-площадка»

Настройка сайта IPsec IKEv1

После создания нового сайта, который использует IPsec IKEv1 для подключения к Облачному Центру Обработки Данных Cato, отредактируйте сайт и настройте параметры IPsec.

Для получения дополнительной информации о уникальных IP-адресах, смотрите Выделение IP-адресов для аккаунта.

Примечание

ВАЖНО: Мы настоятельно рекомендуем вам настроить вторичный туннель (с различными публичными IP-адресами Cato) для обеспечения высокой доступности. В противном случае существует риск, что площадка может потерять связь с Облачным Центром Обработки Данных Cato.

Вы можете выбрать управление входящей и исходящей пропускной способностью для площадки IPsec. Если вы хотите, чтобы Облачный Центр Обработки Данных Cato ограничил вашу исходящую пропускную способность, введите соответствующие лимиты. В противном случае введите значения, определенные реальной скоростью соединения вашего ISP. Если вы не знаете скорость соединения ISP, настройте исходящую пропускную способность в соответствии с лицензией данного сайта. Для исходящей пропускной способности Облачный Центр Обработки Данных Cato не контролирует исходящий трафик, и невозможно ограничить его жесткими пределами. Вместо этого настройка исходящей пропускной способности является наилучшей попыткой со стороны Облачного Центра Обработки Данных Cato.

Лучшие практики: Настроить Настройки Dead Peer Detection (DPD) для второй фазы IKEv1, чтобы автоматически перезапустить соединение, если нет ответа DPD. Вы также можете определить, как часто Cato Cloud отправляет пакет DPD и мониторингирует статус туннеля (максимальный интервал между пакетами DPD - 35 секунд).

  • Для площадок IPsec с пропускной способностью более 100Мбит/с используйте только алгоритмы AES 128 GCM-16 или AES 256 GCM-16. Алгоритмы AES CBC используются только на площадках с пропускной способностью менее 100Мбит/с.

  • Для FTP-трафика Cato рекомендует настроить сервер FTP с тайм-аутом подключения 30 секунд или более.

  • Площадки IPsec IKEv1 Cato поддерживают длину nonce до 48 бит.

  • Вы можете установить IPSec общий секретный ключ (PSK) длиной до 64 символов.

Продолжительность SA — это период, в течение которого ключ шифрования действителен до истечения срока его действия и необходимости в новом ключе. Вы не можете настраивать Продолжительность SA для параметров IKEv1 Фаза 1 и Фаза 2. Настройки следующие:

  • Фаза 1 - 86 400 секунд (24 часа)

  • Фаза 2 - 3 600 секунд (1 час)

Примечание

Примечание: Если вы вводите значения исходящего/входящего трафика, которые больше чем реальная скорость соединения вашего ISP, движок QoS сокета будет неэффективен.

Для получения дополнительной информации о QoS в Cato, смотрите Что такое профили Управление Пропускной Способностью Cato.

икев1_сайт.png

Чтобы настроить параметры для IPsec IKEv1 сайта:

  1. В меню навигации нажмите Сеть > Сайты и выберите сайт.

  2. В навигационном меню нажмите Настройки сайта > IPsec.

  3. Разверните раздел Общие и выберите преднастроенный тип пиринга IPsec (например, AWS или Azure), или выберите Общий тип.

  4. Разверните раздел Основной и настройте следующие параметры для основного туннеля IPsec:

    • В Публичный IP > Cato IP (Исходящий) выберите точку присутствия PoP Cato и IP-адрес, инициирующий туннель IPsec.

      Если вам нужен другой IP-адрес, выделенный для вашего аккаунта, нажмите Настройки распределения IP-адресов и выберите местоположение PoP и IP-адрес.

    • В Публичный IP > IP-адрес сайта введите публичный IP-адрес, где инициируется туннель IPsec.

    • Для сайтов, использующих динамическую маршрутизацию BGP, вы можете ввести Частные IP-адреса, которые находятся внутри туннеля VPN.

    • В Пропускная способность настройте максимальную Входящую пропускную способность и Исходящую пропускную способность (Мбит/с), доступную для сайта.

    • В Основной секретный ключ нажмите Изменить пароль, чтобы ввести общий секрет для основного туннеля IPsec.

    Примечание: Вы можете использовать один и тот же выделенный IP-адрес для одного или нескольких сайтов IPsec, если IP-адрес сайта различается для каждого сайта. Cato рекомендует использовать разные выделенные IP-адреса для каждого сайта.

  5. (Опционально) Разверните раздел Параметры первой фазы IKEv1 и настройте параметры.

    1. В разделе Алгоритм выберите Алгоритм шифрования: AES-CBC-128 или AES-CBC-256

    2. В разделе Алгоритм выберите Хеш-алгоритм: MD5, SHA1 или SHA256

    3. В разделе Группа Diffie-Hellman выберите длину ключа, используемую при шифровании: 2 (1024-бит), 5 (1536-бит), 14 (2048-бит), 15 (3072-бит), 16 (4096-бит)

  6. (Опционально) Разверните раздел Параметры второй фазы IKEv1 и настройте параметры.

    1. В разделе Алгоритмы выберите Алгоритм шифрования: AES-CBC-128, AES-CBC-256, AES-GCM-128 или AES-GCM-256

    2. В разделе Алгоритм выберите Хеш-алгоритм: MD5, SHA1 или SHA256

    3. Чтобы настроить параметры Группа Diffie-Hellman для фазы II, сначала Включить Идеальная прямая секретность.

      1. В Идеальная прямая секретность выберите Включить "Защита" прошлых передач от будущих компрометаций секретных ключей, чтобы активировать эту функцию для сайта.

      2. В Группе Диффи-Хеллмана выберите длину ключа, используемую для шифрования: 2 (1024-бит), 5 (1536-бит), 14 (2048-бит), 15 (3072-бит), 16 (4096-бит)

  7. Настроить Настройки для параметров второй фазы IKEv1:

    1. Выбрать Интервал поддержания активности (сек) и введите количество секунд между пакетами поддержания активности (максимальное значение 35).

    2. (Лучшие практики) выбрать Перезапустить соединение при отсутствии ответа DPD для активации перезапуска соединения IPsec, когда ответ для пакетов DPD не получен в течение 35 секунд.
      Чтобы отключить DPD для сайта, очистить Интервал поддержания активности (сек).

  8. Расширьте раздел Маршрутизация, и выберите опцию маршрутизации для сайта:

    • Неявный: 0.0.0.0/0<-->0.0.0.0/0 (Один туннель от всех локальных диапазонов ко всем удаленным диапазонам) — все WAN трафик передается через соединение IPsec в одном туннеле фазы II с одним шифровальным ключом (одним для каждой пары ESP SA).

    • Явный: x.x.x.x/y<-->0.0.0.0/0 (Туннель от каждого локального диапазона ко всем удаленным диапазонам) — весь WAN трафик передается через соединение IPsec в одном туннеле фаза II для локального Диапазона IP сайта ко всем удаленным Диапазонам IP с одним шифровальным ключом (один ESP SA для каждого локального диапазона).

    • Специфический: x.x.x.x/y<-->a.a.a.a/b (Туннель от каждого локального диапазона к конкретным удаленным диапазонам) — весь WAN трафик передается через соединение IPsec в туннеле фазы II с использованием полной сетки между локальным и удаленными Диапазонами IP.

      Определить удаленные Диапазоны IP на другой стороне туннеля IPsec. Затем между локальными и удаленными Диапазоны IP образуется полная сетка.

      • Локальные Диапазоны IP определены ниже в разделе Диапазоны сети, нажмите Добавить, чтобы ввести Диапазоны IP.

      • Удаленные диапазоны определены на экране Настройки сайта > Сети

      IPsec_IKEv1_Routing.png

  9. Нажмите Сохранить.

  10. Для сайтов, использующих вторичный туннель IPsec, разверните раздел Вторичный, настройте параметры в предыдущем шаге, а затем нажмите Сохранить.

  11. Чтобы показать ваши детали соединения и Статус туннеля IPsec для этого сайта, нажмите Статус соединения.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев