配置IPsec IKEv1站点

本文讨论如何配置使用IPsec IKEv1连接类型的站点。 有关创建新站点的更多信息,请参见使用Cato管理应用程序添加站点

IPsec IKEv1连接概览

Cato可以从选定的PoP启动和维护IPsec IKEv1隧道,通往您的站点和/或云数据中心。

注意

注意:如果您仅通过Cato Cloud发送部分网络流量,请配置您的网络设备在路由表中包含以下IP范围到Cato Cloud:

  • 10.254.254.0/24 - Cato Cloud流量保留的默认子网(如果账户有自定义范围,请使用自定义子网)

  • 10.41.0.0/16 - 除非您配置了网络自己的SDP用户的IP地址范围(详见远程用户的IP分配政策

连接两个隧道到AWS VPC以实现HA

Cato允许您使用BGP通过两个IPsec隧道连接您的AWS VPC到Cato Cloud,以实现高可用性(HA)配置。 仅当您定义了两个客户网关时,才支持AWS双隧道,并且每个隧道代表不同的Cato公共IP地址。 这些是要求:

  • 两个Cato公共IP地址

  • 在同一个VPC中配置两个客户网关,每一个都分配给一个Cato公共IP地址

  • 在AWS中,配置两个站点到站点连接

配置IPsec IKEv1站点

创建使用IPsec IKEv1连接到Cato Cloud的新站点后,编辑站点并配置IPsec设置。

有关唯一 IP 地址的更多信息,请参见 为账户分配 IP 地址

注意

重要:我们强烈建议您为高可用性配置一个次要隧道(使用不同的Cato公共IP)。 否则,站点可能会失去与Cato Cloud的连接。

您可以选择管理IPsec站点的下行和上行带宽。 如果您希望Cato Cloud限制您的下行带宽,请相应输入所需的限制。 否则,请根据您ISP链接的实际连接速度输入值。 如果您不知道ISP的连接速度,请根据该站点的许可证配置下行带宽。 对于上行带宽,Cato Cloud不控制上行流量,并且无法使用硬性限制限制它。 相反,上行带宽设置是Cato Cloud的一种尽力而为的方式。

如果您为站点使用Specific: x.x.x.x/y<-->a.a.a.a/b (每个本地范围到特定远程范围的隧道)路由,回顾 ??? 在开始配置IPsec设置之前。

最佳实践: 配置IKEv1第二阶段的对等检测(DPD)设置,如果没有DPD回复,则自动重新启动连接。 您还可以定义Cato Cloud发送DPD数据包的频率以及监控隧道状态(DPD数据包之间的最大间隔为35秒)。

  • 对于带宽大于 100Mbps 的 IPsec 站点,仅使用 AES 128 GCM-16 或 AES 256 GCM-16 算法。 仅在带宽小于 100Mbps 的站点上使用 AES CBC 算法。

  • 对于 FTP 流量,Cato 推荐将 FTP 服务器配置为连接超时为 30 秒或更长时间。

  • Cato IPsec IKEv1 站点支持最长 48 位的随机数。

  • 可以设置 IPSec 预共享密钥 (PSK) 最长为 64 个字符。

SA生存时间是加密密钥有效的时间段,直到其过期并需要新密钥。 您无法为IKEv1的第一阶段和第二阶段参数配置SA生存时间,设置为:

  • 阶段 1 - 86,400 秒 (24 小时)

  • 阶段 2 - 3,600 秒 (1 小时)

注意

注意:如果您输入的上行/下行值大于您的ISP链接的实际连接速度,Socket QoS引擎将无效。

有关 Cato 中的 QoS 更多信息,请参见 Cato 带宽管理配置文件是什么

ikev1_site.png

配置一个 IPsec IKEv1 站点的设置:

  1. 从导航菜单,点击网络 > 站点并选择该站点。

  2. 从导航菜单,点击站点设置 > IPsec

  3. 展开 常规 部分,并选择一个预配置的 IPsec 对等类型(如 AWS 或 Azure),或选择 通用

  4. 展开主要部分,为主要IPsec隧道配置以下设置:

    • 公共IP > Cato IP (出站)中,选择启动IPsec隧道的Cato PoP和IP地址。

      如果需要为您的帐户分配一个不同的IP地址,请单击IP分配设置并选择PoP位置和IP地址。

    • 公共 IP > 站点 IP中,输入启动 IPsec 隧道的公共 IP 地址。

    • 对于使用 BGP 动态路由的站点,可以输入私有 IPs,这些 IPs 位于 VPN 隧道内。

    • 带宽中,配置站点可用的最大 下行上行(Mbps)带宽。

    • 主要 PSK中,点击编辑密码以输入主 IPsec 隧道的预共享密钥。

    注意:您可以选择为一个或多个IPsec站点使用相同分配的IP地址,只要每个站点的站点IP不同。 Cato建议每个站点使用不同的已分配的IP。

  5. (可选)展开 IKEv1 阶段 I 参数 部分,并配置设置。

    1. 算法 部分中,选择 加密算法AES-CBC-128AES-CBC-256

    2. 算法 部分中,选择 哈希算法MD5SHA1,或 SHA256

    3. Diffie-Hellman 组中,选择用于加密的密钥长度:2 (1024 位)5 (1536 位)14 (2048 位)15 (3072 位)16 (4096 位)

  6. (可选)展开 IKEv1 阶段 II 参数 部分,并配置设置。

    1. 算法 部分中,选择 加密算法AES-CBC-128, AES-CBC-256, AES-GCM-128, 或 AES-GCM-256

    2. 算法 部分中,选择 哈希算法MD5SHA1,或 SHA256

    3. 配置阶段 II Diffie-Hellman 组 设置,首先启用 完美前向保密

      1. 完美前向保密 中,选择 启用“保护”过去传输以防止未来密钥泄露 以启用此站点功能。

      2. Diffie-Hellman 组中,选择用于加密的密钥长度:2 (1024 位)5 (1536 位)14 (2048 位)15 (3072 位)16 (4096 位)

  7. 配置 IKEv1 阶段 II 参数 的 DPD 设置:

    1. 选择 保活间隔(秒) 并输入保活数据包之间的秒数(最大值为 35)。

    2. (最佳实践)选择无DPD回复时重启连接以在35秒内未收到DPD数据包的回复时启用重启IPsec连接。

      要禁用站点的DPD,请清除保活间隔(秒)

  8. 展开路由部分,并选择该站点的路由选项:

    • 隐性:0.0.0.0/0<-->0.0.0.0/0(从所有本地范围到所有远程范围的单个隧道) - 所有 WAN 流量在单个第二阶段隧道中通过 IPsec 连接传输,使用一个加密密钥(为每对 ESP SA 使用一个)。

    • 显性:x.x.x.x/y<-->0.0.0.0/0(从每个本地范围到所有远程范围的隧道) - 所有 WAN 流量在单个第二阶段隧道中通过 IPsec 连接传输到本地 IP 范围的 为站点配置网络范围到所有远程 IP 范围,使用一个加密密钥(为每个本地范围设置一个 ESP SA)。

    • Specific: x.x.x.x/y<-->a.a.a.a/b (每个本地范围到特定远程范围的隧道) - 请参见下文 ???

  9. 单击保存

  10. 对于使用辅助IPsec隧道的站点,展开次要部分,并配置上一步的设置,然后单击保存

  11. 要显示该站点的IPsec隧道的连接详情和状态,请单击连接状态

配置特定路由

当您为IPsec站点选择特定路由时,所有WAN流量会通过IPsec连接在Phase II隧道中通过本地和远程IP范围之间的全连接传输。

在您开始配置站点的IPsec设置之前,请验证本地网络与您为IPsec对等设置的内容是否匹配。

  • 本地IP范围(位于IPsec对等体后面的子网)在站点配置>网络页面中定义:

    ipsec_native.png

  • 远程IP范围(通常是来自其他站点的网络)在选择特定选项后通过路由部分中定义。

    IPsec_IKEv1_Routing.png

    • 单击添加以输入IP范围

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论