Настройка площадок IPsec IKEv1

Эта статья обсуждает, как настроить сайты, использующие тип соединения IPsec IKEv1. Для получения дополнительной информации о создании новой площадки, смотрите Использование CMA для добавления площадок.

Обзор соединений IPsec IKEv1

Cato может инициировать и поддерживать туннели IPsec IKEv1 с выбранных PoP в направлении ваших площадок и/или облачных центров обработки данных.

Примечание

Примечание: Если вы отправляете только часть вашего сетевого трафика через Облачный Центр Обработки Данных Cato, настройте ваше сетевое оборудование, чтобы включить следующие диапазоны IP-адресов в вашу таблицу маршрутизации к Облачному Центру Обработки Данных Cato:

  • 10.254.254.0/24 - стандартная подсеть, зарезервированная для трафика через облако Cato (для учетных записей с пользовательским диапазоном используйте пользовательскую подсеть)

  • 10.41.0.0/16 - если вы не настроили собственный диапазон IP-адресов пользователей SDP вашей сети (см. Политика распределения IP для удаленных пользователей)

Подключение двух туннелей к AWS VPC для HA

Cato позволяет подключить вашу AWS VPC к Облачному Центру Обработки Данных Cato, используя BGP через два туннеля IPsec для настройки высокой доступности (HA). Поддержка AWS двойных туннелей осуществляется только при определении двух клиентских шлюзов, и каждый из них должен представлять собой другой публичный IP-адрес Cato. Это требования:

  • Два публичных IP-адреса Cato

  • Настройте два клиентских шлюза в том же VPC, каждый из которых назначен публичному IP-адресу Cato

  • В AWS настройте два соединения сайт к сайту

Настройка сайта IPsec IKEv1

После создания нового сайта, который использует IPsec IKEv1 для подключения к Облачному Центру Обработки Данных Cato, отредактируйте сайт и настройте параметры IPsec.

Для получения дополнительной информации о уникальных IP-адресах, смотрите Выделение IP-адресов для аккаунта.

Примечание

ВАЖНО: Мы настоятельно рекомендуем вам настроить вторичный туннель (с различными публичными IP-адресами Cato) для обеспечения высокой доступности. В противном случае существует риск, что площадка может потерять связь с Облачным Центром Обработки Данных Cato.

Вы можете выбрать управление входящей и исходящей пропускной способностью для площадки IPsec. Если вы хотите, чтобы Облачный Центр Обработки Данных Cato ограничил вашу исходящую пропускную способность, введите соответствующие лимиты. В противном случае введите значения, определенные реальной скоростью соединения вашего ISP. Если вы не знаете скорость соединения ISP, настройте исходящую пропускную способность в соответствии с лицензией данного сайта. Для исходящей пропускной способности Облачный Центр Обработки Данных Cato не контролирует исходящий трафик, и невозможно ограничить его жесткими пределами. Вместо этого настройка исходящей пропускной способности является наилучшей попыткой со стороны Облачного Центра Обработки Данных Cato.

Если вы используете Специфический: x.x.x.x/y<-->a.a.a.a/b (Туннель от каждого локального диапазона к определенным удаленным диапазонам) маршрутизацию для сайта, ознакомьтесь с ??? перед тем как начать настраивать параметры IPsec.

Лучшие практики: Настроить Настройки Dead Peer Detection (DPD) для второй фазы IKEv1, чтобы автоматически перезапустить соединение, если нет ответа DPD. Вы также можете определить, как часто Cato Cloud отправляет пакет DPD и мониторингирует статус туннеля (максимальный интервал между пакетами DPD - 35 секунд).

  • Для IPsec сайтов с пропускной способностью более 100 Мбит/с используйте только алгоритмы AES 128 GCM-16 или AES 256 GCM-16. Алгоритмы AES CBC используются только на сайтах с пропускной способностью менее 100 Мбит/с.

  • Для FTP трафика Cato рекомендует настройку сервера FTP с таймаутом соединения 30 секунд или более.

  • Сайты Cato IPsec IKEv1 поддерживают длину nonce до 48 бит.

  • Вы можете установить общий секрет IPSec (PSK) до 64 символов.

Продолжительность SA — это период, в течение которого ключ шифрования действителен до истечения срока его действия и необходимости в новом ключе. Вы не можете настраивать Продолжительность SA для параметров IKEv1 Фаза 1 и Фаза 2. Настройки следующие:

  • Фаза 1 - 86400 секунд (24 часа)

  • Фаза 2 - 3600 секунд (1 час)

Примечание

Примечание: Если вы вводите значения исходящего/входящего трафика, которые больше чем реальная скорость соединения вашего ISP, движок QoS сокета будет неэффективен.

Для получения дополнительной информации о QoS в Cato, см. Что такое Профили Управления Пропускной Способностью Cato.

икев1_сайт.png

Чтобы настроить параметры для сайта IPsec IKEv1:

  1. Из меню навигации, нажмите Сеть > сайты и выберите сайт.

  2. Из меню навигации, нажмите Настройки сайта > IPsec.

  3. Разверните раздел Общие настройки и выберите тип пир-конфигурации IPsec (например, AWS или Azure), или выберите Общий тип.

  4. Разверните раздел Основной и настройте следующие параметры для основного туннеля IPsec:

    • В Публичный IP > Cato IP (Исходящий) выберите точку присутствия PoP Cato и IP-адрес, инициирующий туннель IPsec.

      Если вам нужен другой IP-адрес, выделенный для вашего аккаунта, нажмите Настройки распределения IP-адресов и выберите местоположение PoP и IP-адрес.

    • В Публичный IP > IP сайта, введите публичный IP-адрес, где начинается туннель IPsec.

    • Для сайтов с динамической маршрутизацией BGP вы можете ввести Частные IP-адреса, находящиеся внутри VPN-туннеля.

    • В Пропускная способность, настройте максимальную доступную входящую и исходящую (Мбит/с) пропускную способность для сайта.

    • В Основной PSK нажмите Изменить пароль, чтобы ввести общий секрет для основного туннеля IPsec.

    Примечание: Вы можете использовать один и тот же выделенный IP-адрес для одного или нескольких сайтов IPsec, если IP-адрес сайта различается для каждого сайта. Cato рекомендует использовать разные выделенные IP-адреса для каждого сайта.

  5. (Необязательно) Разверните раздел Параметры IKEv1 Фазы I и настройте параметры.

    1. В разделе Алгоритм выберите Алгоритм шифрования: AES-CBC-128 или AES-CBC-256.

    2. В разделе Алгоритм выберите Хеш-алгоритм: MD5, SHA1, или SHA256.

    3. В Группе Диффи–Хеллмана выберите длину ключа, который используется при шифровании: 2 (1024-бит), 5 (1536-бит), 14 (2048-бит), 15 (3072-бит), 16 (4096-бит).

  6. (Необязательно) Разверните раздел Параметры IKEv1 Фазы II и настройте параметры.

    1. В разделе Алгоритмы выберите Алгоритм шифрования: AES-CBC-128, AES-CBC-256, AES-GCM-128, или AES-GCM-256.

    2. В разделе Алгоритм выберите Хеш-алгоритм: MD5, SHA1, или SHA256.

    3. Чтобы настроить параметры фазы II Группы Диффи-Хеллмана, сначала включите Идеальную прямую секретность.

      1. В Идеальной прямой секретности выберите Включить "защиту" прошлых передач от будущих компромиссов секретных ключей чтобы включить эту функцию для сайта.

      2. В Группе Диффи-Хеллмана выберите длину ключа, который используется при шифровании: 2 (1024-бит), 5 (1536-бит), 14 (2048-бит), 15 (3072-бит), 16 (4096-бит).

  7. Настроить параметры DPD для параметров фазы II IKEv1:

    1. Выберите Интервал Keepalive (сек) и введите количество секунд между пакетами Keepalive (максимальное значение – 35).

    2. (Лучший опыт) Выберите Перезапуск соединения при отсутствии ответа DPD, чтобы включить перезапуск соединения IPsec при отсутствии ответа для пакетов DPD в течение 35 секунд.

      Чтобы отключить DPD для сайта, очистите Интервал поддержания активности (сек).

  8. Расширьте раздел Маршрутизация, и выберите опцию маршрутизации для сайта:

    • Неявный: 0.0.0.0/0<-->0.0.0.0/0 (Туннель от всех локальных диапазонов ко всем удаленным диапазонам) — весь WAN трафик передается через соединение IPsec в одном туннеле фазы II с одним шифровальным ключом (один для каждой пары ESP SAs).

    • Явный: x.x.x.x/y<-->0.0.0.0/0 (Туннель от каждого локального диапазона ко всем удаленным диапазонам) — весь WAN трафик передается через соединение IPsec в одном туннеле фазы II для локальных диапазонов IP сайта ко всем удаленным диапазонам IP с одним шифровальным ключом (один ESP SA для каждого локального диапазона).

    • Специфический: x.x.x.x/y<-->a.a.a.a/b (Туннель от каждого локального диапазона к определенным удаленным диапазонам) - смотрите ниже ???

  9. Нажмите Сохранить.

  10. Для сайтов, использующих вторичный туннель IPsec, разверните раздел Вторичный, настройте параметры в предыдущем шаге, а затем нажмите Сохранить.

  11. Чтобы показать ваши детали соединения и Статус туннеля IPsec для этого сайта, нажмите Статус соединения.

Настройка специфической маршрутизации

Когда вы выбираете специфическую маршрутизацию для сайта IPsec, весь WAN трафик передается через соединение IPsec в туннеле второй фазы с использованием полной сетки между локальными и удаленными IP-диапазонами.

Перед началом настройки параметров IPsec для сайта убедитесь, что локальные сети соответствуют тому, что вы установили для пир-а IPsec.

  • Локальные IP-диапазоны (подсети, расположенные за пиром IPsec) определены на странице Конфигурация сайта > Сети:

    ipsec_native.png

  • Удаленные IP-диапазоны (обычно сети от других площадок) определены в разделе Маршрутизация после выбора специфического варианта.

    IPsec_IKEv1_Routing.png

    • Нажмите Добавить, чтобы ввести IP-диапазоны

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев