Cato Cloud到VMware Edge通过HA IPsec隧道

要配置站点以通过VMware Edge HA IPsec连接到Cato Cloud：

1. 在Cato管理应用程序中，从主要和次要PoP分配一个IPsec对等IP：

   1. 从导航菜单中，点击Network(1) > IP Allocation (2)。

   2. 在IP Allocation屏幕中，选择两个PoP位置作为IPsec隧道的主要PoP和次要PoP(3)。

      选择PoP位置后，会显示相应的IPsec对等IP地址。

   3. 点击Save (4)。

2. 在VMware SD-WAN Orchestrator导航菜单中，选择Configure > Profiles (1)，然后点击New Profile (2)创建一个配置文件。

3. 在配置文件下，点击Device选项卡。

4. 向下滚动到Cloud VPN部分，并启用Branch to Non SD-WAN Destination via Edge选项。

5. 添加一个新的Service，从下拉菜单中选择New NVS via Edge…。

6. 输入一个服务名称 (1)，从服务类型 (2)下拉菜单中选择通用IKEv2路由器 (基于路由器的VPN)。 点击Next (3)。

7. 在Non SD-WAN Destinations via Edge窗口中，点击Advanced并配置以下设置：

   1. 对于主要VPN网关公共IP (1)，输入从主要PoP(在上步骤1)中分配的IP。

   2. 将DH 组 (2)值设置为15(与Cato默认值匹配)。

   3. 在Site Subnets (3)中，指定允许访问此VMware Edge设备的任何Cato WAN子网。

8. 启用Secondary VPN Gateway (1)并配置以下设置：

   1. 对于Public IP (2)，输入从上步骤1中分配的次要PoP IP。

   2. 启用Tunnel settings are same as Primary VPN Gateway (3)选项，并点击Save Changes (4)。

9. 打开设置以将新配置文件与相应的VMware Edge设备关联：

   1. 在导航菜单中，选择Configure > Edges (1)。

   2. 点击相应边缘设备的超链接(2)。

10. 点击Edge Overview (1)选项卡，在Profile部分中，从Profile下拉菜单(2)中选择新配置文件，然后点击Save Changes (3)。

11. 点击Device选项卡，在Cloud VPN部分中配置以下选项之一：

    • 对于单一生产服务连接 - 选择Enable Edge Override (1)并指定为此连接创建的服务

    • 对于多个生产服务连接 - 允许根据您在上一步设置的配置文件自动导入服务。

    点击服务的Add (2)超链接以添加隧道信息。

12. 在Add Tunnel窗口中，配置以下设置：

    1. 将Local Identification (1)设置为公共WAN链路IP地址。

    2. 输入自定义PSK (2)。

    3. 在Destination Primary Public IP (3)中输入主要PoP IP地址。

    4. 在Destination Secondary Public IP (4)中输入次要PoP IP地址。

    5. 点击Save Changes。

13. 在Cato管理应用程序中，为VMware Edge站点创建一个新站点：

    1. 从导航菜单中，选择Network (1) > Sites (2)。

    2. 点击New (3)。 Add Site面板打开。

14. 配置新VMware Edge站点的设置。

    1. 输入 站点名称 (1).

    2. 在 连接类型 中，选择 IPsec IKEv2.

    3. 选择适当的 国家 (3) 和 州 (4).

    4. 在 本地范围 (5) 中指定一个位于 VMware Edge 站点后面的网络范围，该站点与连接到 Cato Cloud 的范围通信.

    5. 点击 应用 (6).

15. 点击新站点的名称以打开站点并配置设置.

16. 从导航菜单中，选择 网络 > 站点配置 > IPsec (1) 并展开 主要 (2) 部分.

17. 定义主要 IPsec 隧道的设置:

    1. 定义 公共IP:

       1. 在 Cato IP（出口） 中，从下拉菜单中选择主要 PoP IP 地址。

       2. 在 站点 IP (2) 中，输入 VMware Edge 路由器的公共 WAN 链路 IP 地址.

    2. 输入 主要PSK (3).

18. 展开 次要 隧道配置部分，并配置次要 IPsec 隧道的设置:

    1. 在 Cato IP（出口） 中，从下拉菜单中选择次要 PoP IP 地址。

    2. 在 站点 IP (2) 中，输入 VMware Edge 的公共 WAN 链接 IP 地址.

    3. 输入 次要PSK (3).

19. 展开 路由 配置部分，确保未启用 Cato 发起连接.

    不要指定任何 网络范围. 这是基于路由的策略，VMware Edge 路由器与 Cato Cloud 建立一个单独的 0.0.0.0 - 255.255.255.255 安全关联。

20. 转到 IPsec 屏幕顶部，并点击 保存.

    您的站点现已配置为连接到 Cato Cloud.