Cato Cloud к Cisco IOS/IOS-XE через HA IPSec туннели

Эта статья обсуждает, как подключить IPsec сайт с устройствами Cisco IOS/IOS-XE в конфигурации высокой доступности (HA) к Cato Cloud.

Образец топологии сети

Диаграмма ниже показывает топологию Cato IPsec сайта, который использует устройства Cisco IOS/IOS-XE для подключения к Cato Cloud в активной/пассивной HA конфигурации.

Топология.png

Создание избыточного IPsec-сайта для вашей учётной записи с устройствами Cisco IOS/IOS-XE

Вы можете использовать приложение управления Cato для создания IPsec IKEv2 сайта, чтобы подключить ваши Cisco устройства к Cato Cloud. Сначала вам нужно выделить IP-адрес для вашей учетной записи Cato. Затем настройте параметры в устройствах Cisco для подключения к публичному IP-адресу Cato. Наконец, настройте параметры IPsec сайта для подключения к устройствам Cisco.

Чтобы настроить IPsec сайт для подключения к Cato Cloud с устройствами Cisco:

  1. Из приложения управления Cato выделите IPsec Peer IP из основного и вторичного PoP.

    CMA_IP_Allocation

    1. В меню навигации нажмите Network(1) > IP Allocation (2).

    2. На экране IP Allocation выберите два расположения PoP, которые являются основным и вторичным PoP (3) для IPsec туннелей.

      После выбора местоположения PoP отображается соответствующий IPsec Peer IP-адрес.

    3. Нажмите Сохранить (4).

  2. Из CLI Cisco IOS создайте IKEv2 предложение и политику. Откройте приглашение Configure Terminal и создайте IKEv2 предложение и профиль (похожий на пример ниже):

    crypto ikev2 proposal CATO_IKEv2_PROPOSAL
encryption aes-gcm-256
prf sha512group 21
!
crypto ikev2 policy CATO_IKEv2_POLICY
proposal CATO_IKEv2_PROPOSAL
!

  3. Создайте IKEv2 ключевое кольцо и профиль (похожий на пример ниже):

    crypto ikev2 keyring CATO_KEYRING
peer Dallas
address x.x.x.x
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
peer Chicago y.y.y.y
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
crypto ikev2 profile CATO_IKEv2_PROFILE
match identity remote address x.x.x.x 255.255.255.255
match identity remote address y.y.y.y 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local CATO_KEYRING
!

  4. Создайте IPsec набор преобразований и профиль (похожий на пример ниже):

    !
crypto ipsec transform-set CATO_TSET esp-gcm 256
!
crypto ipsec profile CATO_IPSEC_PROFILE
set transform-set CATO_TSET
set pfs group21
set ikev2-profile CATO_IKEv2_PROFILE
!

  5. Создайте IPsec туннельные интерфейсы с источником туннеля внешнего публичного интерфейса (похожий на пример ниже):

    interface Tunnel0
ip address 172.16.3.1 255.255.255.252
источник туннеля GigabitEthernet2
режим туннеля ipsec ipv4
назначение туннеля x.x.x.x
tunnel protection ipsec profile CATO_IPSEC_PROFILE
!
интерфейс Tunnel1
    ip address 172.16.4.1 255.255.255.252
источник туннеля GigabitEthernet2
режим туннеля ipsec ipv4
место назначения туннеля y.y.y.y
защита туннеля профиль ipsec CATO_IPSEC_PROFILE
!

  6. Настройте маршруты на устройстве Cisco на основе требований для площадки:

    1. Избирательный трафик к Cato - создайте статические маршруты для указания конкретных подсетей на Cato через IPsec туннельные интерфейсы (похожий на пример ниже):

      ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel0 172.16.3.2
ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel1 172.16.4.2 250

    2. Весь трафик к Cato – создайте статические маршруты для указания Cato Peer IP-адресов на публичный интернет и маршрут по умолчанию к Cato туннелям (похожий на пример ниже):

      ip route x.x.x.x 255.255.255.255 GigabitEthernet2 z.z.z.z name (Основной Peer маршрут Cato)
ip route y.y.y.y 255.255.255.255 GigabitEthernet2 z.z.z.z name (Вторичный Peer маршрут Cato)
ip route 0.0.0.0 0.0.0.0 Tunnel0 172.16.3.2
ip route 0.0.0.0 0.0.0.0 Tunnel1 172.16.4.2 250

  7. В приложении управления Cato создайте новый сайт для сайта Cisco.

    image3.png

    1. В меню навигации нажмите Network (1) > Sites (2).

    2. Нажмите New (3). Откроется панель Добавить сайт.

  8. Настройте параметры для нового сайта Cisco.

    image4.png

    1. Введите Название сайта (1).

    2. В Тип соединения (2) выберите IPSec IKEv2.

    3. Определите Страну (3) и Область (4), если применимо.

    4. В Собственный диапазон (5) укажите диапазон сети, который находится за сайтом Cisco и взаимодействует с диапазонами, подключенными к Cato Cloud.

    5. Нажмите Apply (6).

  9. Нажмите на название нового сайта, чтобы открыть сайт и настроить параметры.

    image5.png

  10. В меню навигации выберите Site Configuration > IPSec (1) и разверните раздел конфигурации основного туннеля Основной (2).

    image6.png

  11. Определите настройки для основного IPsec туннеля.

    image7.png

    1. Определите Публичный IP:

      1. В Cato IP (Исходящий) (1) из выпадающего меню выберите основной PoP IP.

      2. В IP сайта (2) введите IP-адрес публичного WAN-канала маршрутизатора Cisco.

    2. Введите Основной секретный ключ (3).

  12. Разверните раздел конфигурации Вторичный туннель и настройте параметры для вторичного IPsec туннеля:

    image8.png

    1. В Cato IP (Исходящий) (1) из выпадающего меню выберите запасной PoP IP.

    2. В IP сайта (2) введите IP-адрес публичного WAN-канала маршрутизатора Cisco.

    3. Введите Ключ предварительного общего ключа (3).

  13. Разверните раздел конфигурации Маршрутизация и убедитесь, что Инициировать соединение Cato не включено.

    image9.png

    Не указывайте никакие Диапазоны сети. Это политика маршрутизации, и маршрутизатор Cisco IOS строит единую безопасность между 0.0.0.0 и 255.255.255.255 с облаком Cato.

  14. Перейдите в верхнюю часть экрана IPsec и нажмите Сохранить.

    Ваш сайт теперь настроен для подключения к облаку Cato.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев