配置与IPsec连接的站点

配置与IPsec连接的站点

您可以使用IPsec隧道将站点和内部网络连接到Cato Cloud和远程网络。 通常情况下,具有IPsec连接的站点用于:

  • 处于公共云中的站点,例如AWS和Azure

  • 使用第三方防火墙的办公站点

Cato Cloud支持IPsec连接用于IKEv1和IKEv2。 我们建议您使用IKEv2,但有些技术仅支持IKEv1。

对于Cisco ASA设备,已知与Cato IKEv2站点不兼容,请参阅配置IPsec IKEv2站点

对于FTP流量,Cato建议将FTP服务器配置为连接超时30秒或更长。

选择IPsec IKEv1连接类型

IPsec IKEv1的连接类型为Cato-Initiated。 Cato Cloud负责创建到站点的IPsec连接。 如果连接断开,Cato Cloud会尝试重新建立连接

配置本地范围

站点的本地范围是防火墙或路由器设备后面主要局域网网络的IPv4地址(和CIDR)。

您可以在网络 > <站点> > 站点配置 > 网络中配置本地范围设置。 您还可以使用此部分为站点配置额外的网络范围。

配置VPN隧道

IPsec站点支持一个主要和一个可选的次要VPN隧道。 您可以配置每个隧道连接到不同的PoP以提供弹性。 然而,与Cato Sockets不同,如果出现问题,IPsec连接不会自动连接到不同的PoP。 它们只能连接到为每个隧道配置的目标IP地址。

注意

重要: 我们强烈建议您配置一个次要隧道(具有不同的Cato公共IP)以实现高可用性。 否则,站点有失去与Cato Cloud连接性的风险。

对于使用IKEv1的站点,AWS和Azure上有预配置的服务类型

  • Cato IP(出口)用于主要次要隧道 - 源IP地址是发起IPsec隧道的PoP IP地址。 选择PoP的可用IP地址。 如果需要更多IP地址,使用IP分配设置选项定义其他IP地址。

  • 站点IP用于主要次要隧道 - 用于VPN隧道的站点的IP地址。

  • 带宽 - 您可以使用Cato管理应用程序来控制从Cato Cloud到每个站点的最大上行和下行带宽。 如果您不想为站点配置特定的带宽值,我们建议您使用ISP的实际带宽或根据您的Cato Networks许可证。

  • 私有IP - 在VPN隧道内的IP地址,用于为站点配置BGP动态路由。

  • 主要和次要PSK - VPN隧道的公共预共享密钥(PSK)。

注意

注意: 您可以选择为一个或多个IPsec站点使用相同的已分配IP地址,只要站点IP对每个站点不同。 Cato建议每个站点使用不同的分配IP。

配置IKEv1路由

IPsec IKEv1站点可以选择Phase II VPN隧道的路由选项:

  • 隐式 - 使用单个隧道将站点的内部LAN流量路由到远程IP地址。

  • 特定 - 在网络范围字段中,定义通过Phase II隧道传输的WAN流量的源IP范围。 定义IPsec隧道另一端的远程IP范围。 然后在本地和远程IP范围之间形成全网格。

配置IKEv2设置

IPsec IKEv2站点具有以下您可以配置的额外设置:

  • 由Cato发起连接 - 您可以配置由Cato Cloud或防火墙来发起VPN隧道连接。 默认情况下,此功能已启用,以便Cato Cloud发起IPsec连接并最大限度减少停机时间。

  • 网络范围 - 对于已为远程网络定义了SA(安全关联)的部署,输入这些SA的IP地址范围。

注意

注意: 我们强烈建议您使用默认设置并启用由Cato发起的连接功能。

这篇文章有帮助吗?

5 人中有 2 人觉得有帮助

0 条评论