Cato Cloud к VMware Edge через HA IPsec туннели

В этой статье обсуждается, как подключить IPsec сайт с устройствами VMware Edge в конфигурации Высокая Доступность (HA) к Cato Cloud.

Пример топологии сети

На диаграмме ниже показана топология IPsec сайта Cato, использующего устройства VMware Edge для подключения к Cato Cloud в активной/пассивной HA конфигурации с IPsec.

Создание HA IPsec сайта для вашего аккаунта с устройствами VMware Edge

Вы можете использовать Приложение Управления Cato для создания IPsec IKEv2 сайта и подключения вашего устройства VMware Edge к Cato Cloud. Сначала вам нужно выделить IP-адрес для вашего Cato аккаунта. Затем настройте параметры в устройствах VMware Edge для подключения к IP-адресу. Наконец, в Приложении Управления Cato создайте новый IPSec сайт и настройте параметры сайта для подключения к устройству VMware Edge.

Чтобы настроить сайт для подключения к Cato Cloud с помощью VMware Edge HA IPsec:

В Приложении Управления Cato выделите IP-адрес пиринга IPsec из основного и вторичного PoP:
1. В меню навигации нажмите Network(1) > IP Allocation (2).
2. На экране IP Allocation выберите два расположения PoP, которые являются основным и вторичным PoP (3) для IPsec туннелей.
  
  После выбора расположения PoP, соответствующий IP-адрес пиринга IPsec отображается.
3. Нажмите Save (4).
В меню навигации VMware SD-WAN Orchestrator выберите Настроить > Профили (1) и нажмите Новый Профиль (2) для создания профиля.
Под профилем нажмите на вкладку Устройство.
Прокрутите вниз до раздела Cloud VPN и включите опцию Филиал к не SD-WAN пункт назначения через Edge.
Добавьте новый Сервис, из выпадающего меню выберите Новый NVS через Edge….
Введите Имя услуги (1) и из выпадающего меню Тип услуги (2) выберите Общий IKEv2 Маршрутизатор (Маршрутизатор На Базе VPN). Нажмите Next (3).
В окне Не SD-WAN пункты назначения через Edge нажмите Расширенные и настройте следующие параметры:
1. Для Основной общественный IP Шлюза VPN (1) введите IP, выделенный из основного PoP (в шаге 1 выше).
2. Установите значение Группа DH (2) на 15 (чтобы соответствовало значению по умолчанию в Cato).
3. В Подсети сайта (3) укажите любые подсети Cato WAN, которым разрешен доступ к этому устройству VMware Edge.
Включите Вторичный Шлюз VPN (1) и настройте следующие параметры:
1. Для Публичный IP (2) введите IP, выделенный из вторичного PoP на шаге 1 выше.
2. Включите опцию Настройки туннеля совпадают с основным Шлюз VPN (3) и нажмите Сохранить Изменения (4).
Откройте настройки, чтобы связать новый профиль с соответствующим устройством VMware Edge:
1. В меню навигации выберите Настроить > Края (1).
2. Щелкните по гиперссылке соответствующего edge устройства (2).
Сlickните на вкладку Обзор Edge (1), и в разделе Профиль выберите новый профиль из выпадающего меню Профиль (2), затем нажмите Сохранить Изменения (3).
Щелкните на вкладку Устройство, и в разделе Облачный VPN настройте один из следующих параметров:
- Для одного соединения производственного сервиса - выберите Включить Переопределение Edge (1) и укажите сервис, созданный для этого подключения
- Для нескольких производственных соединений - Разрешить сервисам Автоматически импортироваться на основе Профиля, который вы установили на предыдущем этапе.
Щелкните на гиперссылку Добавить (2) для сервиса, чтобы добавить информацию о туннеле.
В окне Добавить туннель настройте следующие параметры:
1. Установите Локальный ID (1) как Публичный IP-адрес WAN канала.
2. Введите пользовательский Ключ предварительного общего ключа (PSK) (2).
3. В Основной публичный IP-адрес назначения (3) введите основной IP-адрес PoP.
4. В Вторичный публичный IP-адрес назначения (4) введите вторичный IP-адрес PoP.
5. Нажмите Сохранить Изменения.
В Приложении Управления Cato создайте новый сайт для площадки VMware Edge:
1. В навигационном меню выберите Сеть (1) > Сайты (2).
2. Нажмите Новый (3). Откроется панель Добавить сайт.
Настройте параметры для нового сайта VMware Edge.
1. Введите Название сайта (1).
2. В Тип соединения (2) выберите IPsec IKEv2.
3. Выберите подходящую Страну (3) и Область (4).
4. В Собственный диапазон (5) укажите диапазон сети, который находится за площадкой VMware Edge, взаимодействующего с диапазонами, подключенными к Cato Cloud.
5. Нажмите Применить (6).
Щелкните имя нового сайта, чтобы открыть его и настроить параметры.
В навигационном меню выберите Сеть > Настройки Сайта > IPsec (1) и разверните раздел Основной (2).
Определите параметры для основного туннеля IPsec:
1. Определите Публичный IP-адрес:
  1. В Cato IP (Исходящий) (1) из выпадающего меню выберите основной IP-адрес PoP.
  2. В IP-адрес сайта (2) введите Публичный IP-адрес WAN канала маршрутизатора VMware Edge.
2. Введите Основной секретный ключ (3).
Разверните раздел конфигурации Вторичный туннель и настройте параметры для вторичного туннеля IPsec:
1. В Cato IP (Исходящий) (1) выберите вторичный IP-адрес PoP из выпадающего меню.
2. В IP-адрес сайта (2) введите Публичный IP-адрес WAN-связи VMware Edge.
3. Введите Вторичный ключ PSK (3).
Разверните раздел Маршрутизация конфигурации и убедитесь, что Соединение инициировано Cato не включено.

Не указывайте никакие Диапазоны сети. Это политика маршрутизации, и маршрутизатор VMware Edge устанавливает единую 0.0.0.0 - 255.255.255.255 ассоциацию безопасности с Cato Cloud.
Перейдите к верхней части экрана IPsec и нажмите Сохранить.

Ваш сайт теперь настроен для подключения к Cato Cloud.