Cato Networks使您可以轻松地在现有边缘设备和Cato云之间设置IPsec隧道。 对于未使用Cato Sockets的站点,您可以使用IPsec隧道连接方法。 使用IPsec允许您在对等体之间通过带有身份验证和数据加密的安全VPN隧道发送流量。 Cato可以从选定的Pops(使用已分配的IP地址)向您的边缘设备(通常是防火墙)发起和维护IPsec隧道,位于站点或数据中心。
注意
对于FTP流量,Cato建议将FTP服务器配置为连接超时时间为30秒或更长时间。
本文提供了如何使用IPsec隧道将您的本地或云资源连接到Cato云的最佳实践。
有关在Cato管理应用程序中配置IPsec站点的更多信息,请参阅配置站点与IPsec连接。
以下各节包含有关设置IPsec隧道到Cato云的最佳实践。
设置IPsec连接时最常见的问题之一是IPsec设置错误。 配置IPsec隧道时的关键要素是确保连接双方的设置100%匹配。 如果配置设置不匹配,那么连接的两侧可能会出现连接性和路由问题。 在某些情况下,隧道可能会启动,但如果未正确配置路由,则无法通过隧道发送流量。
因此,我们强烈建议您在配置Cato IPsec连接设置之前验证边缘设备(路由器、防火墙、VM等)的IPsec设置。 然后使用完全相同的设置配置IPsec站点。
最常见的配置错误之一是使用不兼容的Diffie-Helman(DH)组。 DH组决定了用于连接对等体之间的认证和初始化消息的密钥强度级别。 如果DH组在两侧不匹配,隧道将无法连接。 因此,您必须选择在IPsec连接的两侧匹配的DH组。 在Cato管理应用程序中配置DH组参数,使其与边缘设备配置匹配。
另一个重要建议是针对使用PFS(完美前向保密)进行密钥更新的配置。 当DH组参数设置为None时,PFS被禁用。 因此,如果您启用PFS,请验证DH组已在认证消息参数部分中配置。
以下截图显示了认证消息参数和DH组选项的示例:
我们建议您尽可能避免使用弱加密设置,并使用更高的DH组以提供更高的安全级别。
当您在Cato管理应用程序中配置站点时,如果在认证消息参数中没有配置IKEv2的DH组,仍然可以在初始化消息参数中为子安全关联(SA)显示一个DH组。 这是因为第一个子SA始终在初始IKE_AUTH交换中创建,并使用与IKE SA相同的密钥材料。 IKE SA使用在初始化消息参数部分中配置的DH组。 IKE_AUTH中没有DH组交换。
如果在认证消息参数部分中配置了DH组,则仅在CREATE_CHILD_SA交换中使用,该交换要么创建额外的子SA,要么重新密钥现有子SA。
需要注意的一点是Cato管理应用程序和IKEv2对等体中配置的DH组不匹配。 在这种情况下,隧道最初在IKE_AUTH交换之后启动,但无法使用CREATE_CHILD_SA交换重新密钥。 在IKE_SA_INIT和IKE_AUTH交换将隧道恢复之前,可能会有短暂中断。
使用相同的加密算法对于两个连接对等体都非常重要。 有时用户在他们的边缘设备上启用了多种加密算法,而不是选择单一算法。 启用过多算法需要设备更多的时间来建立连接。 因此,我们建议您仅启用两侧隧道上使用的算法——少即是好。
对于带宽大于100Mbps的IPsec站点,只使用AES 128 GCM-16或AES 256 GCM-16算法。 AES CBC算法仅在带宽小于100Mbps的站点中使用。
注意
注意:对于在INIT阶段不支持GCM的情况,我们建议您在INIT阶段使用CBC算法,在AUTH阶段使用GCM
我们建议您配置主要和次要的IPsec连接以进行冗余。 此外,您应该为连接使用不同的源IP地址和不同的目标PoP。 如果一个源或目标无法连接,并且隧道断开,第二条隧道将把流量传递到另一个PoP。 如果您在主要和次要连接中配置了相同的源IP地址,并且该源IP发生故障,则无其他可用连接进行流量传递。
Cato支持IKEv1和IKEv2,用于两个连接对等体间的协商。 当您在Cato管理应用程序中创建IPsec站点时,选择与边缘设备匹配的支持的互联网密钥交换版本(IKEv1或IKEv2)。 如果支持IKEv2,通常我们建议使用它。但是,某些设备不支持Cato管理应用程序中的某些IKEv2参数。 在这种情况下,请使用IKEv1。 例如,如果您的防火墙不支持AES CBC 256加密,请不要在您的IPsec配置中使用它。 有关IKEv1和IKEv2的更多信息,请参阅Cato IPsec指南:IKEv1与IKEv2
如果您启用了 IKEv2 站点,我们强烈建议您选择由 Cato 发起连接的选项。 在大多数情况下,边缘设备的重新连接尝试之间设置了长时间延迟。 当这些设备发起连接时,VPN 协商过程耗时较长。 相比之下,当 Cato 发起连接时,协商速度要快得多。
以下截图显示了 IKEv2 发起者选项:
不同云供应商 VPN 的 IPsec 配置可能不兼容。 每个云供应商(例如:Amazon AWS、Microsoft Azure 或 GCP)使用不同的 IPsec 隧道默认配置设置。 检查您的云供应商的 IPsec 配置,并使用与 Cato IPsec 站点匹配的配置。
注意:如果您更改默认的云 IPsec 设置,请记得在 Cato 管理应用程序 IPsec 站点设置中使用相同的设置。
例如,Azure 在 PFS 处理上有所不同,具体取决于它是子 SA(ESP SA)的发起者还是响应者。 作为发起者时,Azure 默认不发送 DH 组。 作为响应者时,Azure 接受来自对等方的 DH 组。 这意味着,如果您在 Cato 管理应用程序的 认证消息参数 部分下配置了 DH 组,而 Azure 使用 CREATE_CHILD_SA 交换尝试创建 ESP SA,则 Cato 会回复“未选择提议”,并且 SA 无法建立。 然而,如果 Cato 发起 CREATE_CHILD_SA 交换,且配置的 DH 组是 Azure 作为响应者所接受的,那么 ESP SA 就会建立。 因此,为确保与 Azure 最大程度的兼容性,请在 IKEv2 站点配置的 认证消息参数 部分将 DH 组设为 无,或在 Azure 中配置一个自定义策略,指定与 Cato 管理应用程序中配置的 DH 组相同的 PFS 组。
以下截图显示了 Azure 自定义配置的示例:
有关 Azure VPN 参数的更多信息,请参见VPN 设备和 IPsec 参数简介。
0 条评论
请登录写评论。