您可以使用IPsec隧道将站点和内部网络连接到Cato Cloud和远程网络。 通常情况下,具有IPsec连接的站点用于:
-
处于公共云中的站点,例如AWS和Azure
-
使用第三方防火墙的办公站点
Cato Cloud支持IPsec连接用于IKEv1和IKEv2。 我们建议您使用IKEv2,但有些技术仅支持IKEv1。
对于Cisco ASA设备,已知与Cato IKEv2站点不兼容,请参阅配置IPsec IKEv2站点。
对于FTP流量,Cato建议将FTP服务器配置为连接超时30秒或更长。
IPsec IKEv1的连接类型为Cato-Initiated。 Cato Cloud负责创建到站点的IPsec连接。 如果连接断开,Cato Cloud会尝试重新建立连接
站点的本地范围是防火墙或路由器设备后面主要局域网网络的IPv4地址(和CIDR)。
您可以在网络 > <站点> > 站点配置 > 网络中配置本地范围设置。 您还可以使用此部分为站点配置额外的网络范围。
IPsec站点支持一个主要和一个可选的次要VPN隧道。 您可以配置每个隧道连接到不同的PoP以提供弹性。 然而,与Cato Sockets不同,如果出现问题,IPsec连接不会自动连接到不同的PoP。 它们只能连接到为每个隧道配置的目标IP地址。
注意
重要: 我们强烈建议您配置一个次要隧道(具有不同的Cato公共IP)以实现高可用性。 否则,站点有失去与Cato Cloud连接性的风险。
对于使用IKEv1的站点,AWS和Azure上有预配置的服务类型。
-
Cato IP(出口)用于主要和次要隧道 - 源IP地址是发起IPsec隧道的PoP IP地址。 选择PoP的可用IP地址。 如果需要更多IP地址,使用IP分配设置选项定义其他IP地址。
-
站点IP用于主要和次要隧道 - 用于VPN隧道的站点的IP地址。
-
带宽 - 您可以使用Cato管理应用程序来控制从Cato Cloud到每个站点的最大上行和下行带宽。 如果您不想为站点配置特定的带宽值,我们建议您使用ISP的实际带宽或根据您的Cato Networks许可证。
-
私有IP - 在VPN隧道内的IP地址,用于为站点配置BGP动态路由。
-
主要和次要PSK - VPN隧道的公共预共享密钥(PSK)。
IPsec IKEv1站点可以选择Phase II VPN隧道的路由选项:
-
隐式 - 使用单个隧道将站点的内部LAN流量路由到远程IP地址。
-
特定 - 在网络范围字段中,定义通过Phase II隧道传输的WAN流量的源IP范围。 定义IPsec隧道另一端的远程IP范围。 然后在本地和远程IP范围之间形成全网格。
0 条评论
请登录写评论。