إعداد بروتوكول IPsec الذي يبدأ من Cato إلى بوابة ترانزيت AWS الخاصة بك

نظرة عامة

توفر بوابة ترانزيت AWS اتصالاً كاملاً بين الشبكات VPC وتتيح لك الوصول إلى جميع الشبكات السحابية الخاصة الافتراضية (VPCs) عبر اتصال VPN واحد. يمكنك إعداد أنفاق IPsec الأساسية والثانوية بادئة من كاتو إلى بوابة العبور AWS مع BGP لتوفير توافر عالي قوي. تؤثر Cato على مقياس مسارات BGP بحيث يكون النفق الأساسي دائمًا هو المسار المفضل، وإذا تم قطع الاتصال به، فإنه يتم توجيه حركة المرور على الفور عبر النفق الثانوي.

ملاحظة: بروتوكول ECMP غير مدعوم من قبل Cato ويجب أن يتم تعطيله إذا كنت تقوم بإنشاء بوابة ترانزيت جديدة على AWS.

كاتو لا تدعم التوجيه المستند إلى السياسة لأنفاق IPsec لمواقع IKEv1 IPsec لـ بوابات العبور AWS، فقط يتم دعم التوجيه المستند إلى المسار مع BGP. للإتصال بAWS، كاتو تستخدم:

  • أنفاق IPsec المستندة إلى المسار

  • BGP للتوجيه الديناميكي

360002843337-image-0.png

مصطلح

وصف

البوابة الخاصة الافتراضية

مركز اتصال VPN على جانب أمازون من اتصال VPN.

بوابة العميل

جهاز مادي أو تطبيق برمجي على جانبك من اتصال VPN. عندما تقوم بإنشاء اتصال VPN، يظهر النفق عند توليد حركة المرور من جانبك من الاتصال. البوابة الخاصة الافتراضية ليست المبادرة؛ يجب أن تقوم بوابة العميل الخاصة بك بمبادرة الأنفاق. في هذا السياق، يعد PoP الخاص بـ Cato هو بوابة العميل.

إنشاء النفق الأساسي بين بوابة الترانزيت ونقطة PoP الخاصة بك

في الإجراء التالي، سنقوم بالاتصال عبر سحابة Cato إلى بوابة الترانزيت AWS.

لإنشاء نفق بين بوابة الترانزيت و PoP الخاص بك عبر سحابة Cato:

  1. في تطبيق إدارة Cato، اختر عنوان IP المخصص للموقع.

    1. من قائمة التنقل، انقر فوق الشبكة > تخصيص IP.

      IP_Allocation.png
    2. اختر موقعًا. يتم تخصيص IP فريد من قبل شبكات Cato.

      يتم تحديد عدد العناوين IP الفريدة التي يمكنك الحصول عليها بواسطة ترخيصك. لمزيد من عناوين IP، اتصل مع الموزع الخاص بك أو sales@catonetworks.com.

    3. انقر فوق حفظ.

  2. في وحدة تحكم AWS، قم بإنشاء إرفاق بوابة الترانزيت.

    1. افتح خدمة VPC، ثم في جزء التنقل مرر لأسفل إلى بوابات الترانزيت وانقر فوق إرفاقات بوابات الترانزيت.

    2. انقر فوق إنشاء إرفاق بوابة الترانزيت.

      360002843357-image-3.png
    3. قم بتكوين إرفاق بوابة الترانزيت كما يلي:

      • معرف بوابة الترانزيت: حدد بوابة الترانزيت التي تريد الاتصال بها مع Cato.

      • نوع الإرفاق: VPN

      • بوابة العميل: جديدة

      • عنوان IP: أدخل عنوان IP المخصص من Cato (من الأعلى).

      • BGP ASN: 64515

      • خيارات التوجيه: ديناميكية (تتطلب BGP)

        360002923618-image-4.png
    4. انقر فوق إنشاء إرفاق.

    5. انقر فوق إغلاق.

  3. إنشاء اتصال VPN وحمل ملف الإعدادات.

    1. في جزء التنقل VPC، مرر لأعلى إلى الشبكة الخاصة الافتراضية (VPN) وانقر فوق اتصالات VPN من موقع إلى موقع.

    2. حدد خانة اختيار اتصال VPN الذي تم إنشاؤه في الخطوة السابقة وانقر فوق تحميل الإعدادات.

      360002923638-image-5.png
    3. قم بتكوين الإعدادات كما يلي:

      • البائع: عام

      • المنصة: عام

      • البرنامج: على توافق مع البائع

        360002843397-image-6.png
    4. انقر فوق تحميل.

    5. افتح الملف الذي تم تحميله ودوِّن العناصر التالية تحت قسم نفق IPsec #1:

      • المفتاح السري المشترك مسبقًا

        360002843377-image-7.png
      • عناوين IP الخارجية- بوابة خاصة افتراضية

        360002923678-image-8.png
      • عناوين IP الداخلية - بوابة العميل والبوابة الخاصة الافتراضية

        360002843417-image-9.png
      • خيارات تكوين BGP - رقم نظام البوابة الخاصة الافتراضية وعنوان IP الجار

        360002923658-image-10.png
  4. في تطبيق إدارة Cato، أنشئ وقم بتكوين موقع IPsec.

    1. من قائمة التنقل، انقر فوق الشبكة > المواقع وانقر فوق جديد.

      يفتح لوحة إضافة موقع,

    2. قم بتكوين إعدادات الموقع كما يلي:

      • الاسم: AWS TGW (مثال)

      • النوع: مركز بيانات السحابة

      • نوع الاتصال: IPsec IKEv1 (بمبادرة من Cato)

      • البلد: البلد الذي يقع فيه الموقع الذي تم تكوينه.

      • الحالة: الحالة، إذا كانت الدولة هي الولايات المتحدة.

      • الترخيص: اختر الترخيص المناسب.

      • النطاق الأصلي: أي واحد من شبكات VPC الخاصة بك على AWS.

        360002843437-image-13.png
    3. انقر فوق تطبيق.

    4. من شاشة المواقع، انقر على موقع AWS الجديد.

    5. من قائمة التنقل، انقر فوق تكوين الموقع > IPsec وفي قسم عام، اختر AWS.

    6. قم بتوسيع القسم الأساسي، وقم بتكوين الإعدادات التالية:

      • نوع الخدمة: AWS

      • المصدر الأولي (Egress) IP: عنوان IP الفريد المخصص في الخطوة 3 أعلاه.

      • عنوان الموقع IP: العنوان الخارجي للبوابة الخاصة الافتراضية من ملف تكوين AWS.

      • عرض النطاق (عبر النطاق المتوسط وإلى النطاق المتوسط): العرض وفقًا لترخيص الموقع.

      • IP خاص

        • الموقع: العنوان الداخلي للبوابة الخاصة الافتراضية من ملف تكوين AWS.

        • Cato: العنوان الداخلي لبوابة العميل من ملف تكوين AWS.

      • تعيين/تغيير كلمة المرور الأساسية: المفتاح السري المشترك مسبقًا من ملف تكوين AWS

        360002923758-image-14.png
    7. انقر فوق حفظ.

  5. قم بتكوين إعدادات BGP للموقع.

    1. من قائمة التنقل، اختر تكوين الموقع > BGP.

    2. انقر فوق جديد. لوحة (إضافة جار BGP) تفتح.

    3. قم بتكوين الإعدادات العامة:

      • الوصف: AWS TWG #1 (مثال)

      • إعدادات ASN

        • المتزامن: نظام ASN للبوابة الخاصة الافتراضية من ملف تكوين AWS

        • Cato: نظام ASN لسحابة Cato

      • IP > نظير: عنوان IP الجار من ملف تكوين AWS

    4. قم بتكوين إعدادات السياسة لمسارات BGP:

      • حدد الخيارات للمسارات التي تريد إعلانها (المسار الافتراضي و/أو جميع المسارات) والمسارات التي تريد قبولها (المسارات الديناميكية).

      Add_BGP_Rule.png
    5. انقر فوق تطبيق.

  6. تأكد من أن حالة الاتصال للنفق IPsec والمسارات BGP هي متصلة.

    1. من جزء التنقل، اختر IPsec ثم انقر فوق حالة الاتصال.

    2. من جزء التنقل، اختر BGP ثم انقر فوق إظهار حالة BGP.

      ملاحظة: تنتشر مسارات Cato إلى جدول توجيه بوابة الترانزيت AWS ولكن ليس إلى جداول توجيه VPC. إنشاء مسارات العودة إلى شبكاتك المحلية في كل VPC باستخدام بوابة الترانزيت كمستهدف كما هو موضح في الإجراء أدناه.

  7. في وحدة التحكم AWS الخاصة بك، في جزء التنقل مرر إلى الشبكة الخاصة الافتراضية وانقر فوق جداول التوجيه.

  8. اختر جدول مسارات مرتبط بـ VPC الذي ترغب في الوصول إليه عبر بوابة العبور، انقر على علامة التبويب المسارات، ثم انقر على تحرير المسارات.

    360002923778-image-18.png
  9. انقر فوق إضافة مسار، ثم قم بتكوين الإعدادات كما يلي:

    • الوجهة: أدخل شبكة فرعية من شبكتك المحلية. يمكن أن يكون هذا مسار ملخص.

    • الهدف: اختر بوابة العبور.

      360002923798-image-19.png
  10. كرر الخطوة السابقة لإنشاء مسارات لجميع الشبكات المحلية التي تحتاج للوصول إلى VPC.

  11. انقر على حفظ المسارات.

  12. كرر الخطوات 8 - 11 لكل VPC التي تحتاج للوصول إليها عبر بوابة العبور.

إنشاء النفق الاحتياطي بين بوابة العبور ونقطة حضور كاتو

عند إعداد اتصال VPN لـ AWS، تقدم AWS نفقين VPN لكل بوابة عميل. بينما يوفر هذا التكرار على جانب AWS، لا يوفر تكرارًا على جانب سحابة كاتو، حيث يجب أن يكون كلا النفقين متصلين بنفس نقطة الحضور.

لضمان التكرار لكل من سحابة كاتو وAWS، يجب إنشاء بوابتين للعميل في AWS، ثم تعريف نفق واحد من بوابة العميل الأولى للنفق الرئيسي ونفق واحد من بوابة العميل الأخرى للنفق الثانوي. هذا يسمح لك بتكوين الأنفاق الرئيسية والثانوية على نقاط الحضور في مواقع مختلفة.

الإجراء التالي يصف كيفية تكوين نفق ثانوي في كل من وحدة تحكم AWS وتطبيق إدارة كاتو.

ملاحظة

ملاحظة: يُفترض أن تكون قد قمت بتكوين نفق واحد بالفعل إلى بوابة العبور AWS في تطبيق إدارة كاتو، كما هو موضح في إنشاء النفق الرئيسي بين بوابة العبور ونقطة الحضور الخاصة بك.

لإنشاء نفق احتياطي بين بوابة العبور ونقطة الحضور الخاصة بك عبر سحابة كاتو:

  1. في تطبيق إدارة كاتو، اختر عنوان IP مخصص للموقع.

    1. من قائمة التنقل، انقر الشبكة > تخصيص IP.

      IP_Allocation.png
    2. اختر موقعًا. عنوان IP فريد يخصص بواسطة شبكات كاتو.

      عدد عناوين IP الفريدة التي يمكنك الحصول عليها يتم تحديده بواسطة رخصتك. للحصول على عناوين IP إضافية، اتصل بموزعك أو sales@catonetworks.com.

    3. انقر على حفظ.

  2. في وحدة تحكم AWS، أنشئ إرفاق بوابة العبور.

    1. افتح خدمة VPC، ثم في لوحة التنقل انتقل إلى بوابات العبور وانقر إرفاقات بوابة العبور.

    2. انقر على إنشاء إرفاق بوابة العبور.

    3. قم بتكوين إرفاق بوابة العبور كما يلي:

      • معرف بوابة العبور: حدد بوابة العبور التي ترغب في الاتصال بها لكاتو.

      • نوع الإرفاق: VPN

      • بوابة العميل: جديدة

      • عنوان IP: أدخل عنوان IP المخصص لكاتو (المذكور أعلاه).

      • BGP ASN: 64515

      • خيارات التوجيه: ديناميكية (تتطلب BGP)

        360002923618-image-4.png
    4. انقر على إنشاء إرفاق.

    5. انقر على إغلاق.

  3. قم بإنشاء اتصال VPN وقم بتنزيل ملف الإعدادات.

    1. في لوحة التنقل VPC، انتقل إلى شبكة خاصة افتراضية (VPN) وانقر على اتصالات الموقع إلى الموقع VPN.

    2. حدد خانة اختيار اتصال VPN الذي تم إنشاؤه في الخطوة السابقة وانقر على تنزيل الإعدادات.

      360002923878-image-21.png
    3. قم بإعداد الإعدادات كما يلي:

      • البائع: عام

      • المنصة: عام

      • البرمجيات: غير معتمد على البائع

        360002843397-image-6.png
    4. انقر على تنزيل.

    5. افتح الملف الذي تم تنزيله وسجل العناصر التالية تحت قسم نفق IPsec #1:

      • المفتاح المشترك مسبقًا

        360002843377-image-7.png
      • عناوين IP الخارجية- بوابة خاصة افتراضية

        360002923678-image-8.png
      • عناوين IP الداخلية - بوابة العميل والبوابة الخاصة الافتراضية

        360002843417-image-9.png
      • خيارات تكوين BGP - ASN للبوابة الخاصة الافتراضية وعنوان IP للجيران

        360002923658-image-10.png
  4. في تطبيق إدارة كاتو، قم بتكوين موقع IPsec الخاص ببوابة العبور AWS للأنفاق الاحتياطية.

    1. من قائمة التنقل، انقر تكوين الموقع > مواقع وانقر على موقع IPsec الخاص ببوابة العبور AWS.

    2. من قائمة التنقل، انقر تكوين الموقع > IPsec وفي قسم عام، اختر AWS.

    3. قم بتوسيع القسم الثانوي وقم بتكوين الإعدادات التالية:

      • المصدر الأساسي (الخروجي) IP: عنوان IP الفريد المخصص بواسطة كاتو.

      • عنوان IP للموقع: عنوان IP الخارجي للبوابة الخاصة الافتراضية من ملف إعدادات AWS.

      • عرض النطاق الترددي (المنبع والمصب): العرض الترددي وفقًا لرخصة الموقع.

      • عناوين IP الخاصة

        • الموقع: عنوان IP الداخلي للبوابة الخاصة الافتراضية من ملف إعدادات AWS.

        • كاتو: عنوان IP الداخلي لبوابة العميل من ملف إعدادات AWS.

      • ضبط/تغيير كلمة المرور الرئيسية: المفتاح المشترك مسبقًا من ملف إعدادات AWS

        AWS_IPsec_Secondary.png
    4. انقر على حفظ.

  5. قم بتكوين إعدادات BGP للنفق الاحتياطي للموقع.

    1. من قائمة التنقل، اختر تكوين الموقع > BGP.

    2. انقر على جديد. يفتح لوحة إضافة قاعدة.

    3. قم بتكوين إعدادات عام:

      • الوصف: AWS TWG #2 (مثال)

      • إعدادات ASN

        • النظير: ASN للبوابة الخاصة الافتراضية من ملف إعدادات AWS

        • كاتو: ASN لسحابة كاتو

      • IP > النظير: عنوان IP للجيران من ملف إعدادات AWS

    4. قم بتكوين إعدادات السياسة الخاصة بالمسارات BGP:

      • اختر الخيارات للمسارات التي ترغب في إعلانها (المسار الافتراضي و/أو جميع المسارات) والمسارات التي ترغب في قبولها (مسارات ديناميكية).

    5. انقر على تطبيق، ثم انقر حفظ.

      AWS_TWG_2_BGP_Rules.png
  6. أكد حالة الاتصال لنفق IPsec والمسارات BGP بأنها متصلة.

    1. من لوحة التنقل، اختر IPsec ثم انقر على حالة الاتصال.

    2. من لوحة التنقل، اختر BGP ثم انقر على عرض حالة BGP وتحقق من حالة النفق الثانوي.

      ملاحظة: المسارات الخاصة بكاتو تنتشر إلى جدول توجيه بوابة العبور AWS لكن ليس إلى جداول توجيه VPC. قم بإنشاء مسارات تعود إلى الشبكات المحلية الخاصة بك في كل VPC باستخدام بوابة العبور كهدف كما هو موضح في الإجراء أدناه.

هل كان هذا المقال مفيداً؟

3 من 3 وجدوا هذا مفيداً

لا توجد تعليقات