配置 IPsec IKEv2 站点

本文讨论如何创建和配置使用 IPsec IKEv2 连接类型的站点。 有关创建新站点的更多信息,请参阅使用 Cato 管理应用程序添加站点

IPsec IKEv2 连接概述

您可以使用 IPsec 隧道将站点和内部网络连接到 Cato 云和远程网络。 具有 IPsec 连接的站点用于:

  • 位于 AWS 或 Azure 等公共云中的站点

  • 位于不同位置且位于第三方防火墙后面的分支的站点

在配置 IPsec IKEv2 站点时,您可以使用以下选项之一来启动连接:

  • 仅响应者 - 防火墙启动。 站点设备与 Cato PoP 启动连接

  • 双向 – 连接可以由您的防火墙或 Cato 启动

仅响应者连接模式

Cato 的 IKEv2 仅响应者 设置是针对具有动态IP地址或位于 NAT 设备后的边缘设备的解决方案。 (即防火墙或路由器) 此解决方案允许远端的边缘设备启动和管理 IKEv2 连接。

此外,在使用 仅响应者 时,您可以配置 Cato 使用 FQDN 作为 Cato 标识符。 这样做时,Cato 会生成一个哈希值并将其转换为 IP 地址,您可以选择 Cato 为每个隧道分配最佳 PoP 位置。 您还可以手动配置每个隧道的 PoP 位置。

例如,您可以将连接模式配置为仅响应者,并将目标类型配置为 FQDN。 Cato 生成 somevalue.ipsec.dev.catonetworks.org 的哈希值。 然后在远程站点配置此值,并充当使用 FQDN 值的 DNS 请求的解析器。 PoP 会根据多个参数自动选择,例如地理位置、RTT 等。 此外,如果您遵循 Cato 的最佳实践并在使用 FQDN 时定义一个主隧道和一个辅助隧道,Cato 会自动选择不同的 PoP 位置以实现理想的高可用性。

或者,有些防火墙供应商不支持使用完全限定域名,在这种情况下,您可以选择 IPv4 作为目标类型。 在这种情况下,您必须选择一个静态 PoP 位置,如果该 PoP 出于任何原因不可用,则隧道将不可用。

双向连接模式

在双向连接模式下,您的设备或 Cato 都可以以所选 PoP 为基础,通过 IPsec IKEv2 协议启动和维护到您的站点和/或云数据中心的 IPsec 隧道。

如果隧道不可用,Cato 无需等待您的设备发起连接,因此隧道可以快速重新建立。

带宽管理

您可以选择管理 IPsec 站点的下行和上行带宽。 如果您希望 Cato 云限制您的下行带宽,请相应输入所需的限制。 否则,请根据 ISP 链路的实际连接速度输入值。 如果您不知道 ISP 的连接速度,请根据本站点的许可证配置下行带宽。 对于上行带宽,Cato 云不控制上行流量,无法设置强制性限制。 相反,上行带宽设置是 Cato 云的最佳努力。

注意

注意: 如果输入的上行/下行值大于 ISP 链接的实际连接速度,插座 QoS 引擎将无效。

有关 Cato 中 QOS 的更多信息,请参阅Cato 带宽管理配置文件是什么

先决条件

  • 如果您仅将部分网络流量发送到 Cato 云,请配置您的网络设备以在路由表中包含以下 IP 地址,以便前往 Cato 云:

    • 10.254.254.1

    • 10.254.254.5

    • 10.254.254.253

    • 10.41.0.0/16,除非您配置了自己的 VPN 用户的 IP地址范围

  • 对于带宽大于 100Mbps 的 IPsec 站点,仅使用 AES 128 GCM-16 或 AES 256 GCM-16 算法。 AES CBC 算法仅用于带宽小于 100Mbps 的站点。

  • Cato IPsec IKEv2 站点支持最长 256 位的 nonce 长度。

  • 对于 FTP 流量,Cato 建议将 FTP 服务器配置为 30 秒或更长的连接超时。

  • 您可以设置 IPSec 共享密钥(PSK)最多 64 个字符。

  • 对于连接到 Zscaler 环境的站点,需要升级的 Zscaler 许可证以启用 Phase2 的加密选择。

添加 IKEv2 站点

创建一个新的 IPsec IKEv2 站点,然后为其配置 IKEv2 设置,并为主要和次要隧道分配 Cato 分配的 IP 地址。 有关更多信息,请参阅分配账户的 IP 地址

要创建新的 IPsec 站点:

  1. 从导航菜单中,点击网络 > 站点,然后点击新建

    添加站点面板打开,

  2. 配置站点的设置:

    • 名称:站点名称

    • 类型:拓扑页面中显示的站点图标

    • 连接类型:选择IPsec IKEv2

    • 国家:站点所在国家。

    • 状态:站点所在的州/省(如适用)

    • 许可证: 选择适合站点的带宽许可

    • 本地范围: IPSec站点的局域网子网

  3. 点击保存

配置IPsec IKEv2设置

在您创建使用IPsec IKEv2连接到Cato Cloud的新建站点后,编辑该站点并配置IPsec设置。

注意

重要: 我们强烈建议您配置第二条隧道(使用不同的Cato公共IP)以实现高可用性。 否则,可能会导致站点失去与Cato Cloud的连接。

使用连接方法设置以定义Cato PoP是否仅响应来自远程站点的连接,防火墙启动(仅响应者),或者也可以启动连接(双向)。

对于使用动态IP的站点,Cato管理应用程序为该站点生成一个本地ID,该ID用于您选择的身份验证标识符。 使用第三方设备所需的身份验证标识符:FQDN,电子邮件或KEY_ID,并在第三方设备的IKE设置中输入本地ID。

除了本地ID外,还需配置一个预共享密钥(PSK)用于认证。 您还可以定义设备上具有BGP的主IPsec隧道和次IPsec隧道,以提供高可用性。 这样,Cato Cloud会自动调整BGP路由指标,以优先选择主隧道,如果断开连接,站点会自动切换到次要隧道。

要配置IPsec IKEv2站点的设置:

  1. 从导航菜单中,单击网络 > 站点并选择站点。

  2. 从导航菜单中,单击站点设置 > IPsec

  3. 展开常规部分,并定义站点如何连接和认证到PoP:

    1. 为站点选择连接模式:

      • 仅响应者 – 防火墙启动。 站点的防火墙启动连接,Cato响应

      • 双向 - Cato PoP响应传入连接的协商并启动传出协商。

    2. 选择身份验证标识符。

      双向模式仅支持IPv4的身份验证标识符。

      • IPv4 - 使用您在站点的主要次要部分配置的静态IP地址

        目前不支持在Cato PoP上使用IPSec的IPv6。

      • FQDN, 电子邮件, KEY_ID - 生成这些格式中的本地ID

  4. 展开主要部分,并为主IPsec隧道配置以下设置:

    • 目标类型中,选择FQDN或IPv4。

      • FQDN - 生成一个Cato生成的哈希FQDN值。 此值对于特定隧道是唯一的。 这是您将提供给防火墙或BGP对等体的值。

        选择后,您还必须定义PoP位置。 Cato推荐您使用自动以便为您选择最佳PoP。 如果您选择了一个特定位置并且还配置了一个次要站点,请确保选择不同的位置。

      • IPv4 - 从Cato IP(出口)下拉菜单中选择一个静态IP地址。

    • 公共站点标识符中,输入IPsec隧道为远程站点启动的站点公共IP地址或本地ID。

    • 私有IPs中:

      • Cato - 输入启动IPsec隧道的Cato PoP和IP地址

      • 站点 - 输入BGP对等体的私有IP地址

    • 最后一公里带宽中,配置站点可用的最大下游上游带宽(Mbps)

    • 主要PSK中,点击编辑密码输入主IPsec隧道的共享密钥。

      注意: 您可以选择为一个或多个IPsec站点使用相同的已分配IP地址,只要每个站点的站点IP不同。 Cato建议每个站点使用不同的分配IP。

  5. 对于使用次IPsec隧道的站点,展开次要部分,配置上一步中的设置,然后点击保存

  6. (可选) 展开初始化消息参数部分,并配置设置。 请参阅下文中的初始化和认证参数以获取有效参数。

    由于大多数支持IPsec IKEv2解决方案实现了以下初始化认证参数的自动协商,我们建议您将其设置为自动,除非您的防火墙供应商明确指示。

  7. (可选) 展开认证参数部分,并配置设置。 请参阅下文中的初始化和认证参数以获取有效参数。

  8. 展开 路由 部分,为站点定义路由选项:

    IPsec_IKEv2_Routing.png
    • 对于具有已为此隧道定义的SA(安全关联)的远程侧的IPsec连接,在网络范围部分中,输入此格式的本地IP范围<标签:IP 范围> 然后点击添加

      远程 SA 的 IP 范围配置在 站点配置 > 网络 屏幕中。

    • 要使 Cato Cloud 主动尝试重新建立已断开连接,而无需等待另一侧,选择 Cato 发起连接。 否则,防火墙会尝试重新建立连接。

    注意: 如果未为站点配置网络范围,则视为基于路由的VPN(隐含:0.0.0.0 <> 0.0.0.0)。

  9. 点击 保存

    在将主和次完全限定域名值输入到您的防火墙中之前,至少等待3分钟,以便确定这些设置的最佳PoP位置。

  10. 要显示您的站点的IPsec隧道连接详情和状态,点击 连接状态

初始化和认证参数

在定义初始化和认证参数时,可以使用以下参数。 除非防火墙供应商另有说明,否则 Cato 建议将这些参数设置为 自动

参数

有效值

加密算法

  • 自动

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

伪随机

  • 自动

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

完整性算法

  • 自动

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Diffie-Hellman 组

  • 2(1024位)

  • 5(1536位)

  • 14(2048位)

  • 15(3072位)

  • 16(4096位)

  • 19 (256位 随机)

  • 20 (384位 随机)

站点的默认IKEv2参数

以下是IKEv2参数的默认值列表。 如果您需要自定义值,请联系 支持

参数

保持活动检查(发送空信息请求)。 在站点未收到任何数据后经过的秒数。

10 秒

重传间隔(以秒为单位)。

无法为此参数配置自定义值。

10 秒

最大重传次数。

无法为此参数配置自定义值。

5 次重传

站点未接收任何数据或保持活动检查的响应的最大时间间隔。 在此时间之后,站点将拆除隧道并尝试重建。

60 秒

站点尝试重建已断开的隧道但未成功的时间间隔。

每 90 秒

IKE SA生命周期(IPsec阶段1)。 您可以使用站点高级配置来配置此参数的值。

19,800秒(约5.5小时)

子SA生命周期(IPsec阶段2)。

3,600秒(1小时)

为IKEv2站点发送单一流量选择器

在创建子SA时,Cato会根据RFC 7295在同一TS负载中发送多个流量选择器(TS)。 某些第三方解决方案(如 Cisco ASA)仅支持在每个子 SA 中使用单一 TS。 Cisco ASA 会在 Cato 提议创建具有多个 TS 的子 SA 时发送 TS_UNACCEPTABLE 消息作为响应。

您可以配置您的账户或特定IPsec IKEv2站点,将每个TS发送到单独的数据包,以支持与这些第三方解决方案的互操作性,在站点配置 > 高级配置下启用此配置。

将两个隧道连接到 AWS VPC 以实现 HA

Cato 允许您使用 BGP 在两个 IPsec 隧道上将您的 AWS VPC 连接到 Cato Cloud,以实现高可用性 (HA) 配置。 仅当您定义两个客户网关,每个网关代表不同的 Cato 公共 IP 地址时,才支持 AWS 双隧道。 这些是要求:

  • 两个 Cato 公共 IP 地址

  • 在同一 VPC 中的两个客户网关,每个网关都分配给一个 Cato 公共 IP 地址

  • 在 AWS 中,两个站对站连接

这篇文章有帮助吗?

5 人中有 3 人觉得有帮助

0 条评论