这篇文章讨论如何创建和配置使用 IPsec IKEv2 连接类型的站点。 有关创建新站点的更多信息,请参见使用 CMA 添加站点。
注意:作为近期增强的一部分,为 IPsec 站点引入多条活跃隧道,客户可能会收到误报的断开和重新连接事件,及相关通知。 这在更新过程中是一次性事件,可以安全地忽略这些事件和通知。 请注意,这些事件和通知可能包含不正确的时间戳,并不反映实际的服务中断。 在此进程中,IPsec隧道保持完全运行。
您可以使用 IPsec 隧道将网站和内部网络连接到 Cato 云和远程网络。 具有 IPsec 连接的站点用于:
- 在公共云中的站点,例如 AWS 或 Azure
- 位于不同位置的分支机构站点,这些站点位于第三方防火墙后面
当配置 IPsec IKEv2 站点时,您可以使用以下选项之一来启动连接:
- 仅响应者 - 防火墙初始化。 站点的设备与 Cato PoP 发起连接。
- 双向的 – 连接可以由您的防火墙或 Cato 发起。
Cato 的 IKEv2 仅响应者设置是为具有动态 IP 地址或位于 NAT 设备后面的边缘设备提供的解决方案。 (例如防火墙或路由器) 该解决方案允许远程端的边缘设备发起和管理 IKEv2 连接。
此外,在使用仅响应者时,您可以配置 Cato 使用 FQDN 作为 Cato 标识符。 这样做时,Cato 会生成一个哈希值,并将其转换为 IP 地址,以便为您提供每个隧道的最佳 PoP 位置。
例如,您可以将连接模式配置为仅响应者,并将目标类型配置为 FQDN。 Cato 生成了 somevalue.ipsec.dev.catonetworks.org 的哈希值。 然后将此值配置在远程站点中,用作使用 FQDN 值的 DNS 请求的解析器。 PoP 的选择基于多个参数,例如地理位置、RTT等。
在此场景中,PoP 是动态选择的,这意味着如果指派给该 FQDN 的原始 PoP 不可用,则会自动选择新的 PoP。 此外,如果您按照 Cato 最佳实践定义了主隧道和次隧道,在使用 FQDN 时,Cato 会自动选择不同的 PoP 位置以实现理想的高可用性。
或者,某些防火墙供应商不支持使用 FQDN,在这种情况下,您可以选择 IPv4 作为目标类型。 在这种情况下,您必须选择一个静态的 PoP 位置,如果该 PoP 因任何原因不可用,那么隧道也将不可用。 有关定义静态 IP 地址的信息,请参见 远程用户的 IP 分配策略。
在双向连接模式下,您的设备或 Cato 都可以启动并维护来自选定 PoP 的 IPsec 隧道,连接您的站点和/或云数据中心,使用 IPsec IKEv2 协议。
如果隧道不可用,Cato 并不需要等待您的设备发起连接,因此可以快速重新建立隧道。
Cato 允许您为主 HA 角色和次 HA 角色配置多个活跃隧道。 多个活跃隧道使您可以做到以下几点:
- 利用最后一英里 - 使用多个活跃隧道,您可以在不同路径间分布网络流量,有助于平衡负载和提高网络性能。
- 冗余 - 多个活跃隧道提供冗余。 如果一个隧道发生故障,流量可以通过另一个活跃隧道重新路由,以确保连接不中断。
- 第三方集成 - 与第三方 SD-WAN CPE 集成以进行 SSE 服务。
- 流量隔离 - 不同的隧道可用于隔离不同类型的流量。 例如,一个隧道可用于语音流量,而另一个可用于数据流量。
您可以为每个 HA 角色配置多达 3 个活跃隧道,这些隧道与同一 Cato PoP 连接。 也就是说,所有主要隧道连接到一个 PoP,所有次要隧道连接到不同的 PoP。 每个隧道必须具有唯一标识符,例如,本地 ID 如 FQDN 或公用 IP 地址。
默认情况下,当一个 HA 角色的所有活跃隧道都掉线时,Cato 自动恢复到另一个 HA 角色。 也就是说,如果主 HA 角色的所有隧道掉线,则触发 HA,Cato 使用次隧道作为该站点所有路由的下一跳。 但是,如果主 HA 角色有 2 个隧道,且一条隧道仍然保持在线,则不会发生故障转移。
您可以通过 事件监控系统中的“Link is down”事件监控隧道。
注意: Cato 需要最多 30 秒来确定某个隧道掉线。
您可以选择管理 IPsec 站点的下行和上行带宽。 如果您希望 Cato 云限制您的下行带宽,则输入所需限制。 否则,输入您的 ISP 链接的实际连接速度所定义的值。 如果您不知道 ISP 的连接速度,请根据此站点的许可证配置下行带宽。 对于上行带宽,Cato 云不控制上游流量,无法进行严格限制。 相反,上游带宽设置是 Cato 云的最佳努力。
注意: 如果您输入的上行/下行值大于 ISP 链接的实际连接速度,插座 QoS 引擎将无效。
有关 Cato 中 QoS 的更多信息,请参阅 Cato 带宽管理配置文件是什么。
有关多个活跃隧道的 QoS,请参见下方 多活隧道的路由 QoS。
-
如果您仅通过 Cato 云传输部分网络流量,请配置您的网络设备,在路由表中包含以下 IP 地址以传输到 Cato 云:
- 10.254.254.1
- 10.254.254.5
- 10.254.254.253
- 10.41.0.0/16 除非您已配置网络自己的 VPN 用户 IP 地址范围
-
对于带宽为 100Mbps 或以上的 IPsec 站点,仅使用 AES 128 GCM-16 或 AES 256 GCM-16 算法。 AES CBC 算法仅用于带宽小于 100Mbps 的站点。
这些指南由于 GCM 加密比 CBC 更高效且可扩展,从而为 Cato 云中的高吞吐量加密流量提供更好的性能和可靠性。
- Cato IPsec IKEv2站点支持最长256位的nonce长度。
- 对于FTP流量,Cato建议配置FTP服务器连接超时为30秒或更长。
- 您可以设置IPsec共享秘钥(PSK)最多可达64个字符。
- 对于连接到Zscaler环境的站点,启用Phase2加密选择需要升级的Zscaler许可证。
创建一个新的IPsec IKEv2站点,然后为其配置IKEv2设置并为主要和次要隧道分配Cato分配的IP地址。 有关更多信息,请参阅为帐户分配 IP 地址。
在您创建使用IPsec IKEv2连接到Cato Cloud的新建站点后,编辑该站点并配置IPsec设置。
注意
重要: 我们强烈建议您配置第二条隧道(使用不同的Cato公共IP)以实现高可用性。 否则,可能会导致站点失去与Cato Cloud的连接。
使用连接方法设置以定义Cato PoP是否仅响应来自远程站点的连接,防火墙启动(仅响应者),或者也可以启动连接(双向)。
对于使用动态IP的站点,Cato管理应用程序为该站点生成一个本地ID,该ID用于您选择的身份验证标识符。 使用第三方设备所需的认证标识符:FQDN、email或KEY_ID,并在第三方设备的IKE设置中输入本地ID。
除了本地ID外,还需配置一个预共享密钥(PSK)用于认证。 您还可以定义具有BGP的主要和次要IPsec隧道,从而提供高可用性。 这样,Cato Cloud会自动调整BGP路由指标,以优先选择主隧道,如果断开连接,站点会自动切换到次要隧道。
配置IPsec IKEv2站点的设置:
- 从导航菜单中点击网络 > 站点并选择站点。
- 从导航菜单中点击站点设置 > IPsec。
-
展开常规部分,并定义站点如何连接和认证到PoP:
-
为站点选择连接模式:
- 仅响应者 - 防火墙初始化。 站点的防火墙发起连接,而Cato进行响应
- 双向 - Cato PoP响应传入连接的协商并发起传出协商。
-
选择身份验证标识符。
-
IPv4 - 使用您在站点的主要和次要部分配置的静态IP地址
目前不支持在Cato PoP上使用IPSec的IPv6。
- FQDN,电子邮件,KEY_ID - 生成本地ID的格式之一
-
-
-
展开主要部分,并为主IPsec隧道配置以下设置:
-
在目标类型中,选择FQDN或IPv4。 目的地对于HA角色(主要或次要)的所有活动隧道必须相同。
-
FQDN - 生成一个Cato生成的哈希FQDN值。 此值对于特定隧道是唯一的。 这是您将提供给防火墙的值。
选择后,您还必须定义PoP位置。 Cato推荐您使用自动以便为您选择最佳PoP。 如果您选择了一个特定位置并且还配置了一个次要站点,请确保选择不同的位置。
- IPv4 - 从Cato IP(出口)下拉菜单中选择一个静态IP地址
-
-
-
点击 新建。 添加隧道页面出现。
- 在角色下,选择要用于此隧道的逻辑WAN接口。 WAN角色用于网络规则策略中的基于优先级的路由。
- 在名称下,输入描述性的名称
- 在公共IP下,输入此隧道的公共IP地址。 每个隧道必须使用不同的公共IP地址
-
对于使用BGP的站点,配置私有IP:
- Cato - 输入发起IPsec隧道的Cato PoP和IP地址
- 站点 - 输入BGP对等方的私有IP地址
- 在最后一英里带宽中,配置站点可用的最大下行和上行带宽(Mbps)
- 在PSK中,点击编辑密码以输入主IPsec隧道的共享秘钥。
-
点击应用。 隧道被添加到主要表中。
- 对于使用次要IPsec隧道的站点,展开次要部分并配置上一步中的设置,然后点击保存。
- 对于使用多个活跃/活跃隧道的站点,重复步骤5-7。
-
(可选) 扩展 初始化消息参数 部分并配置设置。 参见下方的初始化和认证参数以获取有效参数。
由于大多数支持 IPsec IKEv2 的解决方案实现了以下 Init 和 Auth 参数的自动协商,因此我们建议将它们设置为 自动,除非您的防火墙供应商特别指示。
- (可选) 扩展 认证参数 部分并配置设置。 请参见下面的初始化和验证参数以获取有效的参数。
-
展开 路由 部分,为站点定义路由选项:
- 对于具有为该隧道定义了 SA (安全关联) 的远程 IPsec 连接,在 网络范围中输入 SA 的远程 IP 范围(通常是来自其他站点的网络)格式为 <标签:IP 范围> 并点击 添加。
-
本地 IP 范围用于网络的安全关联 (SA),在 站点配置 > 网络 页中配置,通过包括本地流量选择器和对等流量选择器。
验证本地网络是否与您为 IPsec 对等方设置的匹配。 -
要使 Cato Cloud 主动尝试重新建立已断开连接,而无需等待另一侧,选择 Cato 发起连接。 否则,防火墙会尝试重新建立连接。
注意: 如果未为站点配置网络范围,则视为基于路由的VPN(隐含:0.0.0.0 <> 0.0.0.0)。
-
点击保存。
在将主和次完全限定域名值输入到您的防火墙中之前,至少等待3分钟,以便确定这些设置的最佳PoP位置。
- 要显示您的连接详细信息和此站点的 IPsec 隧道状态,请点击 连接状态。
默认情况下,Cato只能控制下行流量。 根据健康指标、链路偏好和每个链路配置带宽的比例分配,流量将分布在隧道(WAN链接)上。 健康指标每秒重新计算一次,每10秒将流量重新分配到表现最佳的链路上。
上行流量由远程IPsec对等体控制,并根据对等体使用的基于策略的路由进行。
您可以使用网络规则覆盖下行流量的WAN链路选择。 您可以配置一个规则来确定哪个WAN链路用于特定的流量元组,在这种情况下,流量将发送到规则中配置的WAN链路,而不是到它到达的隧道上。
在定义初始化和认证参数时,可以使用以下参数。 除非防火墙供应商另有说明,否则 Cato 建议将这些参数设置为 自动。
|
参数 |
有效值 |
|---|---|
|
加密算法 |
|
|
伪随机 |
|
|
完整性算法 |
|
|
Diffie-Hellman组 |
|
以下是IKEv2参数的默认值列表。 如果您需要自定义值,请联系 支持。
|
参数 |
值 |
|---|---|
|
保持活动检查(发送空信息请求)。 在隧道上站点没有收到任何数据后的秒数。 |
10 秒 |
|
重传间隔(秒)。 无法为此参数配置自定义值。 |
10 seconds |
|
最大的重传次数。 无法为此参数配置自定义值。 |
5 retransmissions |
|
站点没有收到任何数据或保持活动检查响应的最长时间间隔。 经过此时间后,站点会拆除隧道并尝试重建。 |
60 seconds |
|
站点尝试重建已经断线且无法恢复的隧道的时间间隔。 |
every 90 seconds |
|
IKE SA生命周期(IPsec阶段1)。 您可以使用站点高级配置来配置此参数的值。 |
19,800 seconds (approximately 5.5 hours) |
|
子SA生命周期(IPsec阶段2)。 |
3,600秒(1小时) |
在创建子SA时,Cato会根据RFC 7295在同一TS负载中发送多个流量选择器(TS)。 某些第三方解决方案(如 Cisco ASA)仅支持在每个子 SA 中使用单一 TS。 Cisco ASA 会在 Cato 提议创建具有多个 TS 的子 SA 时发送 TS_UNACCEPTABLE 消息作为响应。
您可以配置您的帐户或特定的IPsec IKEv2 站点以单独发送每个 TS 到包中,从而通过在站点配置 > 高级配置下启用此配置来支持与这些第三方解决方案的互操作性。
Cato 允许您使用 BGP 在两个 IPsec 隧道上将您的 AWS VPC 连接到 Cato Cloud,以实现高可用性 (HA) 配置。 仅当您定义两个客户网关,每个网关代表不同的 Cato 公共 IP 地址时,才支持 AWS 双隧道。 这些是要求:
- 两个Cato公共IP地址
- 在同一VPC中有两个客户网关,每个网关都分配给一个Cato公共IP地址
- 在AWS中,两个站点到站点连接
0 条评论
请登录写评论。