Conexión VPN redundante a AWS usando BGP

Siguiendo el artículo original sobre conectar tus recursos de AWS a Cato Cloud, el artículo a continuación elabora sobre la funcionalidad extendida de BGP. La funcionalidad BGP permite tener una conexión VPN redundante a la nube AWS para asegurar la máxima redundancia.

Configurando BGP con AWS

Este procedimiento explica cómo configurar un sitio IKEv1 o IKEv2 que use BGP para conectarse a AWS.

  1. Asegúrate de tener al menos 2 direcciones IP públicas en la Aplicación de Gestión Cato (Network > IP Allocation):

    IP_Allocation.png
  2. En AWS, crea un Gateway Virtual Privado:

    360002046957-blobid0.png
  3. Navega a Tu Dashboard VPN > Crear VPC. Desde aquí crea tu nueva VPC:

    360002150038-blobid1.png
  4. Navega a Customer Gateways. Crea 2 Customer Gateways usando la nueva dirección IP asignada anteriormente (en la misma región de AWS):

    a. Name - debe ser reconocible para ti.

    b. IP Address - estas son direcciones IP públicas que te han sido asignadas en la Aplicación de Gestión Cato.

    c. VPC - para cada Customer Gateway necesitarás asegurarte de seleccionar la misma VPC.

    360002150078-blobid2.png
  5. Navega a 'Conexiones VPN de Sitio a Sitio' y crea 2 Conexiones VPN (1 para cada uno de los nuevos Customer Gateways que acabas de crear):

    a.Etiqueta de Nombre - Nombre descriptivo

    b. Customer Gateway - Aquí selecciona uno de los Customer Gateways que creaste

    c.Opción de Enrutamiento - Selecciona Dinámico (BGP)

    d.Opciones de Túnel - Especifica las IPs del Túnel si es necesario, pero si se dejan por defecto AWS usará el rango 169.x.x.x.

    360002047017-blobid3.png

    Nota: AWS utiliza la IP del Túnel para crear el par BGP con Cato sobre el túnel IPsec.

  6. Haz clic en Descargar Configuración para cada una de las nuevas Conexiones VPN que acabas de configurar:

    360002151218-blobid0.png
  7. Dentro de este archivo obtén la siguiente información para ayudar a configurar la Aplicación de Gestión Cato:

    a. Clave Precompartida

    b. Configuración BGP (Dirección IP Privada y ASN)

    360002047057-mceclip0.png
  8. En la Aplicación de Gestión Cato, navega al sitio que deseas configurar IPsec/BGP.

    a. La configuración aquí es exactamente la misma que harías para un sitio IPsec estándar, excepto que necesitas añadir las direcciones IP privadas que tienes en la configuración de AWS que descargaste anteriormente.

    Ejemplo de sitio IKEv1:

    360002150318-blobid7.png

    Ejemplo de sitio IKEv2:

    AWS_IPsec_IKEv2.png

    b. En la sección BGP, introduce lo siguiente:

    i. ASN's

    ii. IPs Privadas

    iii. Información de Enrutamiento

    360002047577-blobid1.png

    Nota: El túnel con la Métrica más baja será la ruta preferida.

  9. Para verificar el estado de la conexión BGP selecciona Mostrar Estado BGP.

  10. Para comprobar en AWS, navega a Conexión de Sitio a Sitio > Selecciona tu conexión VPC > Detalles del Túnel. Desde aquí puedes ver si la conexión VPN está y si las rutas BGP han sido propagadas a AWS.

    tunnel_details.png
  11. Nota: Si deseas ver qué rutas se han publicado al sitio de AWS ve a Tabla de Enrutamiento > Encuentra tu Tabla de Enrutamiento > Selecciona Rutas.

360002150458-blobid11.png

Prueba de Fallo BGP

Aunque Amazon no soporta prueba de fallo dentro de la plataforma AWS, la prueba de fallo BGP se puede hacer usando la Aplicación de Gestión Cato:

  1. Desde detrás de un sitio Socket o conectándote con el Cliente Cato, haz ping a un host dentro del entorno AWS.

  2. En la Aplicación de Gestión Cato, ve al sitio IPsec con BGP.

  3. Cambia la dirección IP para crear un fracaso:

    Asegúrate de guardar la dirección IP original, la necesitarás después de que se complete la prueba.

    1. En la sección BGP, para la conexión primaria, cambia la dirección IP de Cato o del Vecino:

    2. En la sección IPsec, cambia las IPs Privadas para Cato o Vecino a la misma dirección IP en el paso anterior.

    3. Haz clic en Guardar.

  4. Los pings comienzan a caer y luego la conexión falla y ves que el fallo BGP está funcionando correctamente.

  5. Para volver a la conexión principal, cambia la dirección IP de BGP y IPsec de nuevo a las configuraciones originales, después de algunos pings caídos la conexión vuelve a la conexión principal.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios