您可以使用IPsec隧道将站点和内部网络连接到Cato Cloud和远程网络。 通常情况下,具有IPsec连接的站点用于:
- 处于公共云(如AWS和Azure)中的站点
- 使用第三方防火墙的办公室站点
Cato Cloud支持IPsec连接用于IKEv1和IKEv2。 我们建议您使用IKEv2,但有些技术仅支持IKEv1。
对于 Cisco ASA 设备,与 Cato IKEv2 站点存在已知不兼容性,请参阅配置 IPsec IKEv2 站点。
对于FTP流量,Cato建议将FTP服务器配置为连接超时30秒或更长。
IPsec IKEv1的连接类型为Cato-Initiated。 Cato Cloud负责创建到站点的IPsec连接。 如果连接断开,Cato Cloud会尝试重新建立连接
站点的本地范围是防火墙或路由器设备后面主要局域网网络的IPv4地址(和CIDR)。
您可以在网络><站点>>站点配置>网络中配置原生范围设置。 您还可以使用此部分为站点配置额外的网络范围。
IPsec站点支持一个主要和一个可选的次要VPN隧道。 您可以配置每个隧道连接到不同的PoP以提供弹性。 然而,与Cato Sockets不同,如果出现问题,IPsec连接不会自动连接到不同的PoP。 它们只能连接到为每个隧道配置的目标IP地址。
注意
重要事项:
- 我们强烈建议您配置次要隧道(使用不同的Cato公共IP)以实现高可用性。 否则,站点有失去与Cato Cloud连接性的风险。
- Cato会对其PoP进行定期维护,这可能会导致主要和次要VPN隧道PoP在相同的维护窗口期间不可用。 为避免这种风险并确保弹性,请联系支持以帮助您确保站点隧道使用具有独立维护计划的PoP。
对于使用IKEv1的站点,AWS和Azure上有预配置的服务类型。
- Cato IP(出口)用于主要和次要隧道 - 源IP地址是发起IPsec隧道的PoP IP地址。 选择PoP的可用IP地址。 如果您需要更多IP地址,请使用IP分配设置选项来定义其他IP地址。
- 站点IP用于主要和次要隧道 - 这些用于VPN隧道的站点IP地址。
- 带宽 - 您可以使用Cato管理应用程序来控制从Cato Cloud到每个站点的最大上行和下行带宽。 如果您不想为某个站点配置特定的带宽值,我们建议您使用来自ISP或根据您的Cato Networks许可证的实际带宽。
- 私有IP - VPN隧道内用于配置站点BGP动态路由的IP地址。
- 主要和次要PSK - VPN隧道的公共预共享密钥(PSK)。
IPsec IKEv1站点可以选择Phase II VPN隧道的路由选项:
- 隐式 - 使用单个隧道将站点的所有内部LAN流量路由到远程IP地址。
- 特定 - 在网络范围字段中,定义IPsec隧道另一侧的远程IP范围。 这将在本地和远程IP范围之间创建一个完整的网状网络。
0 条评论
请登录写评论。