إعداد أنفاق VPN الاحتياطية على منصة Google Cloud (GCP)

أطلقت GCP مؤخرًا خيار HA جديد لبوابة الجدار الناري VPN. إذا تم اختيار بوابة VPN الاحتياطية، فإنها تقدم عنوانين IP لتحقيق أقصى قدر من المرونة. مطلوب تنشيط بروتوكول BGP لمراقبة النفق النشط.

هذا هو توصية Cato للحصول على الاتصال الأكثر مرونة بـGCP.

الخطوة 1

في تطبيق إدارة Cato، انتقل إلى الشبكة > تخصيص IP. قم بتحديد مواقع PoP جديدة لموقع GCP. سيظهر العنوان IP المخصص على الجانب الأيمن. لاحظ عنوان IP - ستحتاج إلى إدخاله في إعدادات GCP.

الخطوة 2

في GCP، انتقل إلى الاتصال الهجين → VPN → بوابة Cloud VPN. قم بإنشاء بوابة VPN جديدة:

mceclip1.png

املأ التفاصيل الآن:

  • الاسم - اسم قابل للتحديد للبوابة

  • شبكة VPC - هذه هي الـ VPC الخاصة بك

  • المنطقة - المنطقة الجغرافية التي تريد إنشاء البوابة بها

انتبه لأنها ستقوم بإنشاء عنوانين IP كما هو مبين:

mceclip3.png

الخطوة 3

انتقل إلى بوابات VPN النظيرة وأنشئ بوابة VPN جديدة. تأكد من اختيار واجهتين تحت قسم الواجهات.

mceclip4.png
  • عنوان IP للواجهة 0: اكتب عنوان IP لـالأساسي PoP IP (الخطوة 1)

  • عنوان IP للواجهة 1: اكتب عنوان IP لـالاحتياطي PoP IP (الخطوة 1)

الخطوة 4

الآن يجب عليك إنشاء راوتر سحاب يشرف على ربط BGP. مطلوب BGP لتحديد أي نفق نشط وأي نفق احتياطي.

انتقل إلى الاتصال الهجين → الراوترات السحابية وأنشئ راوتر جديد.

لـ Google ASN استخدم قيمة ASN خاص (RFC 1918): من 64512 إلى 65535.

الخطوة 5

ارجع إلى قسم VPN واختر بوابة Cloud VPN. انقر على بوابة VPN التي أنشأتها مؤخرًا واختر إضافة نفق VPN. ضمن بوابة VPN النظيرة اختر نظير VPN (Cato PoPs) وتأكد من أن إنشاء زوج من أنفاق VPN محدد في ظل التوافر العالي. في Cloud Router اختر الراوتر السحابي الذي أنشأته مؤخرًا.

الآن، في الأسفل، يجبرك على تحرير نفقين VPN. انقر على كل واحد منهم وأدخل التفاصيل:

mceclip5.png

املأ الاسم لكل نفق (رئيسي/ احتياطي) واختر مفتاحًا مشتركًا مسبقًا.

عندما تكتمل، ستطلب منك الأداة تثبيت إعدادات BGP. للكل نفق قم بضبط إعدادات BGP المناسبة:

  • الاسم - مجرد اسم لربط BGP

  • ASN النظير - BGP ASN الذي ترغب في تخصيصه لجانب Cato

  • MED - 100 للنفق الرئيسي و110 للاحتياطي

  • عنوان IP للراوتر السحابي BGP - عنوان الراوتر على جانب GCP

    • يجب أن ينتمي إلى نفس CIDR /30 ضمن 169.254.0.0/16

    • لا يمكن استخدام عناوين IP الشبكية أو الإذاعية في هذه الشبكات /30

  • عنوان IP النظير BGP - عنوان الراوتر على جانب Cato

الخطوة 6

ارجع إلى تطبيق إدارة Cato وأنشئ نوع موقع IPsec IKEv2 (الشبكات > الموقع وانقر جديد). استخدم إعداد الموقع التالي:

قسم IPsec IKEv2

  • نوع الخدمة: اختر عام.

  • المصدر الأساسي/ الثانوي (الخروج) للعنوان IP: اختر عنوان IP المخصص في الخطوة 1.

  • الوجهة الأساسية/ الثانوية للعنوان IP: أدخل عناوين IP لبوابة Cloud VPN من GCP.

  • تعيين/ تغيير كلمة مرور الأساسية/ الثانوية: أدخل المفتاح المشترك مسبقًا الذي حددته لكل نفق.

BGP

  • قم بإنشاء نظيري BGP للماستر والاحتياطي.

  • ASN الجار والعناوين IP كما تم إعدادها في GCP.

  • مقاييس: للماستر، حدد BGP 100 وللاحتياطي 110.

  • يمكن تغيير أوقات الاحتفاظ وفترات الحفاظ إلى 30 و10 على التوالي للتقارب السريع.

  • التوجيه - لا تقبل أي مسارات من GCP. يجب إعداد الشبكات الفرعية خلف GCP في قسم الشبكات تمامًا مثل مواقع Cato العادية. للترويج، يمكنك الاختيار بين المسار الافتراضي (مسار 0.0.0.0/0 - WAN + إنترنت عبر Cato) وجميع المسارات (جميع الشبكات في حساب Cato سيتم الترويج لها إلى GCP - حركة مرور WAN فقط).

الخطوة 7

بعد وقت قصير من حفظ الإعدادات في تطبيق إدارة Cato، يجب أن ترى حالة محققة لـBGP وVPN للنفقين تحت Cloud VPN Tunnels في GCP:

mceclip7.png

هل كان هذا المقال مفيداً؟

5 من 5 وجدوا هذا مفيداً

لا توجد تعليقات