Cato Cloud到Cisco IOS/IOS-XE通过HA IPSec隧道

本文讨论如何在高可用性(HA)配置中使用Cisco IOS/IOS-XE设备连接到Cato Cloud的IPsec站点。

网络拓扑示例

下图显示了使用Cisco IOS/IOS-XE设备连接到Cato Cloud中的一个Cato IPsec站点的拓扑,该配置为活跃/被动HA。

Topology.png

使用Cisco IOS/IOS-XE设备为您的帐户创建HA IPsec站点

您可以使用Cato管理应用程序创建一个IPsec IKEv2站点,将您的Cisco设备连接到Cato云。 您首先需要为您的Cato账户分配一个IP地址。 然后在Cisco设备中配置设置以连接到Cato的公共IP地址。 最后,配置IPsec站点设置以连接到Cisco设备。

要配置一个IPsec站点以与Cisco设备连接到Cato Cloud:

  1. 从Cato管理应用程序中,分配来自主要和次要PoP的IPsec Peer IP。

    CMA_IP_分配

    1. 在导航菜单中,单击Network(1) > IP Allocation (2)

    2. IP分配屏幕中,选择两个PoP位置,这些位置是IPsec隧道的主要PoP和次要PoP (3)

      选择PoP位置后,将显示相应的IPsec对等IP地址。

    3. 单击保存(4)

  2. 从Cisco IOS CLI,创建一个IKEv2提议和策略。 打开配置终端提示符并创建一个IKEv2提议和配置文件(类似于下面的示例):

    crypto ikev2 proposal CATO_IKEv2_PROPOSAL
encryption aes-gcm-256
prf sha512group 21
!
crypto ikev2 policy CATO_IKEv2_POLICY
proposal CATO_IKEv2_PROPOSAL
!

  3. 创建一个IKEv2键环和配置文件(类似于下面的示例):

    crypto ikev2 keyring CATO_KEYRING
peer Dallas
address x.x.x.x
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
peer Chicago y.y.y.y
pre-shared-key local Cato1234
pre-shared-key remote Cato1234
!
crypto ikev2 profile CATO_IKEv2_PROFILE
match identity remote address x.x.x.x 255.255.255.255
match identity remote address y.y.y.y 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local CATO_KEYRING
!

  4. 创建一个IPsec转换集和配置文件(类似于下面的示例):

    !
crypto ipsec transform-set CATO_TSET esp-gcm 256
!
crypto ipsec profile CATO_IPSEC_PROFILE
set transform-set CATO_TSET
set pfs group21
set ikev2-profile CATO_IKEv2_PROFILE
!

  5. 创建带有外部公共接口隧道源的IPsec隧道接口(类似于下面的示例):

    interface Tunnel0
ip address 172.16.3.1 255.255.255.252
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination x.x.x.x
tunnel protection ipsec profile CATO_IPSEC_PROFILE
!
interface Tunnel1
    IP 地址 172.16.4.1 255.255.255.252
tunnel 源 GigabitEthernet2
tunnel 模式 ipsec ipv4
tunnel 目标 y.y.y.y
tunnel 保护 ipsec 配置文件 CATO_IPSEC_PROFILE
!

  6. 根据站点的需求在Cisco设备上设置路由:

    1. 选择性流量到Cato - 创建静态路由,通过IPsec隧道接口指向特定子网到Cato(类似于下面的示例):

      ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel0 172.16.3.2
ip route x.x.x.x x.x.x.x 255.255.255.255 Tunnel1 172.16.4.2 250

    2. 所有流量到Cato – 创建静态路由,将Cato对等IP地址指向公共互联网,并创建指向Cato隧道的默认路由(类似于下面的示例):

      ip route x.x.x.x 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato 主要对等路由)
ip route y.y.y.y 255.255.255.255 GigabitEthernet2 z.z.z.z name (Cato 次要对等路由)
ip route 0.0.0.0 0.0.0.0 Tunnel0 172.16.3.2
ip route 0.0.0.0 0.0.0.0 Tunnel1 172.16.4.2 250

  7. 在Cato管理应用程序中,为Cisco站点创建一个新站点。

    image3.png

    1. 在导航菜单中,单击Network (1) > Sites (2)

    2. 单击新建(3)添加站点面板打开。

  8. 配置新Cisco站点的设置。

    image4.png

    1. 输入站点名称(1)

    2. 连接类型 (2)中选择IPSec IKEv2

    3. 定义合适的国家(3)州(4),如果适用。

    4. 本地范围(5)中,指定一个位于Cisco站点后面的网络范围,与连接到Cato Cloud的网络范围通信。

    5. 单击应用(6)

  9. 单击新站点的名称以打开站点并配置设置。

    image5.png

  10. 从导航菜单中,选择站点配置 > IPSec (1),并展开主要(2)隧道配置部分。

    image6.png

  11. 定义主要IPsec隧道的设置。

    image7.png

    1. 定义公共IP

      1. Cato IP(出口) (1)中,从下拉菜单中选择主要PoP IP。

      2. 站点IP(2)中,输入Cisco路由器公共WAN链路IP地址。

    2. 输入主要PSK (3)

  12. 展开次要隧道配置部分并配置次要IPsec隧道的设置:

    image8.png

    1. Cato IP(出口)(1)中,从下拉菜单中选择备份网络接入点IP。

    2. 站点IP (2)中,输入Cisco路由器公共WAN链路IP地址。

    3. 输入预共享密钥 (3)

  13. 展开路由配置部分,并确保没有启用由Cato发起连接

    image9.png

    不要指定任何网络范围。 这是基于路由的策略,Cisco IOS 路由器与Cato Cloud构建唯一的0.0.0.0 - 255.255.255.255安全性关联。

  14. 转到IPsec屏幕的顶部并点击保存

    您的站点现在已配置为连接到Cato Cloud。

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论