El AWS Transit Gateway proporciona interconexión completa de VPC y le permite acceder a todas sus Nubes Privadas Virtuales con una única conexión VPN. Puede configurar túneles IPsec iniciados por Cato primarios y secundarios a su AWS Transit Gateway con BGP para proporcionar alta disponibilidad robusta. Cato influye en las métricas de las rutas BGP para que el túnel primario sea siempre la vía preferida, y si se desconecta, el tráfico se enruta inmediatamente a través del túnel secundario.
Nota: ECMP no es compatible por Cato y debe desactivarse si está creando un nuevo AWS Transit Gateway.
Término |
Descripción |
Puerta de enlace privada virtual |
El concentrador VPN en el lado de Amazon de la conexión VPN. |
Puerta de enlace del cliente |
Un dispositivo físico o aplicación de software en su lado de la conexión VPN. Cuando crea una conexión VPN, el túnel VPN se activa cuando se genera tráfico desde su lado de la conexión VPN. La puerta de enlace privada virtual no es el iniciador; su puerta de enlace del cliente debe iniciar los túneles. En este contexto, el PoP de Cato es la puerta de enlace del cliente. |
En el siguiente procedimiento, nos conectaremos a través de la Cato Cloud al AWS Transit Gateway.
Para crear un túnel entre el Transit Gateway y su PoP a través de la Cato Cloud:
-
En la aplicación de gestión de Cato, seleccione una dirección IP asignada por Cato para el sitio.
-
Desde el menú de navegación, haz clic en Red > Asignación de IP.
-
Seleccione una ubicación. Una IP única es asignada por Cato Networks.
El número de IPs únicas que puede obtener está determinado por su licencia. Para IPs adicionales, contacte a su revendedor o a sales@catonetworks.com.
-
Haz clic en Guardar.
-
-
En la consola de AWS, cree el adjunto del Transit Gateway.
-
Abra el servicio VPC, luego en el panel de navegación desplácese hacia abajo hasta Transit Gateways y haga clic en Adjuntos del Transit Gateway.
-
Haz clic en Crear Adjunto del Transit Gateway.
-
Configure el adjunto del Transit Gateway de la siguiente manera:
-
ID del Transit Gateway: seleccione el Transit Gateway al que desea conectar a Cato.
-
Tipo de adjunto: VPN
-
Puerta de enlace del cliente: Nuevo
-
Dirección IP: ingrese la dirección IP asignada por Cato (de arriba).
-
BGP ASN: 64515
-
Opciones de enrutamiento: Dinámico (requiere BGP)
-
-
Haz clic en Crear adjunto.
-
Haz clic en Cerrar.
-
-
Cree una conexión VPN y descargue el archivo de configuración.
-
En el panel de navegación de VPC, desplácese hacia arriba hasta Red Privada Virtual (VPN) y haga clic en Conexiones VPN Sitio a Sitio.
-
Seleccione la casilla de verificación de la conexión VPN que se creó en el paso anterior y haga clic en Descargar configuración.
-
Configure la configuración de la siguiente manera:
-
Proveedor: Genérico
-
Plataforma: Genérico
-
Software: Independiente del proveedor
-
-
Haz clic en Descargar.
-
Abra el archivo descargado y anote los siguientes elementos en la sección IPsec Túnel #1:
-
Clave precompartida
-
Direcciones IP externas - Puerta de enlace privada virtual
-
Direcciones IP internas - Puerta de enlace del cliente y Puerta de enlace privada virtual
-
Opciones de configuración de BGP - ASN de la Puerta de enlace privada virtual y Dirección IP vecina
-
-
-
En la aplicación de gestión de Cato, cree y configure el sitio IPsec.
-
Desde el menú de navegación, haga clic en Red > Sitios y haga clic en Nuevo.
Se abre el panel Agregar sitio,
-
Configure la configuración del sitio de la siguiente manera:
-
Nombre: AWS TGW (ejemplo)
-
Tipo: Centro de datos en la nube
-
Tipo de conexión: IPsec IKEv1 (Iniciado por Cato)
-
País: El país en el que se encuentra el sitio configurado.
-
Estado: El estado si el país es Estados Unidos.
-
Licencia: Seleccione la licencia adecuada.
-
Rango nativo: Cualquiera de sus subredes de VPC de AWS.
-
-
Haz clic en Aplicar.
-
En la pantalla Sitios, haga clic en el nuevo sitio AWS.
-
Desde el menú de navegación, haga clic en Configuración del sitio > IPsec y en la sección General, seleccione AWS.
-
Expanda la sección Primaria y configure la siguiente configuración:
-
Tipo de servicio: AWS
-
IP de origen primaria (salida): la dirección IP única asignada en el paso 3 anterior.
-
IP del sitio: la dirección IP externa de la Puerta de enlace privada virtual del archivo de configuración de AWS.
-
Ancho de banda (Descarga y Carga): el ancho de banda según la licencia del sitio.
-
IPs privadas
-
Sitio: la dirección IP interna de la Puerta de enlace privada virtual del archivo de configuración de AWS.
-
Cato: la dirección IP interna de la Puerta de enlace del cliente del archivo de configuración de AWS.
-
-
Establecer/Cambiar contraseña principal: la clave precompartida del archivo de configuración de AWS
-
-
Haz clic en Guardar.
-
-
Configure las configuraciones de BGP para el sitio.
En el panel de configuración, haga clic en BGP, haga clic en (Agregar vecino BGP), y luego defina los siguientes parámetros:
-
Desde el menú de navegación, seleccione Configuración del sitio > BGP.
-
Haz clic en Nuevo. Se abre el panel Agregar regla.
-
Configure las configuraciones Generales:
-
Descripción: AWS TWG #1 (ejemplo)
-
Configuraciones ASN
-
Par: el ASN de la Puerta de enlace privada virtual del archivo de configuración de AWS
-
Cato: ASN para la Cato Cloud
-
-
IP > Par: La dirección IP vecina del archivo de configuración de AWS
-
-
Configure las configuraciones de política para las rutas BGP:
-
Seleccione las opciones para las rutas que desea anunciar (Ruta predeterminada y/o Todas las rutas) y las rutas que desea aceptar (Rutas dinámicas).
-
-
Haz clic en Aplicar.
-
-
Confirme que el estado de conectividad del túnel IPsec y de las rutas BGP están Conectadas.
-
Desde el panel de navegación, seleccione IPsec y luego haga clic en Estado de la conexión.
-
Desde el panel de navegación, seleccione BGP y luego haga clic en Mostrar estado de BGP.
Nota: Las rutas de Cato se propagan a la tabla de enrutamiento de AWS Transit Gateway pero no a las tablas de enrutamiento VPC. Cree rutas de vuelta a sus redes locales en cada VPC usando el Transit Gateway como destino, como se muestra en el siguiente procedimiento.
-
-
En su consola de AWS, en el panel de navegación, desplácese hasta Nube Privada Virtual y haga clic en Tablas de Rutas.
-
Seleccione una tabla de rutas asociada con una VPC a la que desea acceder a través del Transit Gateway, haga clic en la pestaña Rutas y luego haga clic en Editar Rutas.
-
Haga clic en Añadir ruta y luego configure los ajustes como sigue:
-
Destino: introduzca un subred de su red local. Esto puede ser una ruta de resumen.
-
Objetivo: Seleccione el Transit Gateway.
-
-
Repita el paso anterior para crear rutas para todas sus redes locales que necesitan acceso a la VPC.
-
Haga clic en Guardar rutas.
-
Repita los pasos 8 - 11 para cada VPC a la que necesite acceder a través del Transit Gateway.
Al configurar una conexión VPN de AWS, AWS proporciona dos túneles VPN por Gateway del Cliente. Si bien esto proporciona redundancia en el lado de AWS, no proporciona redundancia en el lado de Cato Cloud, ya que ambos túneles deben conectarse al mismo PoP.
Para proporcionar redundancia tanto para Cato Cloud como para AWS, debe crear dos Gateways del Cliente en AWS, luego definir un túnel desde un Gateway del Cliente para el túnel primario y un túnel desde el otro Gateway del Cliente para el túnel secundario. Esto le permite configurar los túneles primario y secundario en PoPs en diferentes ubicaciones.
El procedimiento siguiente describe cómo configurar un túnel secundario tanto en la consola de AWS como en la Cato Management Application.
Nota
Nota: Este procedimiento asume que en la Cato Management Application ya ha configurado un túnel al AWS Transit Gateway, como se describe en la Creación del Túnel Primario entre el Transit Gateway y su PoP.
Para crear un túnel redundante entre el Transit Gateway y su PoP a través de Cato Cloud:
-
En la Cato Management Application, seleccione una dirección IP asignada por Cato para el sitio.
-
Desde el menú de navegación, haga clic en Red > Asignación de IP.
-
Seleccione una ubicación. Una IP única es asignada por Cato Networks.
El número de IPs únicas que puede obtener está determinado por su licencia. Para IPs adicionales, contacte a su distribuidor o sales@catonetworks.com.
-
Haga clic en Guardar.
-
-
En la consola de AWS, cree el Anexo de Transit Gateway.
-
Abra el servicio VPC, luego en el panel de navegación desplácese hacia abajo hasta Transit Gateways y haga clic en Anexos de Transit Gateway.
-
Haga clic en Crear Anexo de Transit Gateway.
-
Configure el Anexo de Transit Gateway como sigue:
-
Haga clic en Crear anexo.
-
Haga clic en Cerrar.
-
-
Cree una conexión VPN y descargue el archivo de configuración.
-
En el panel de navegación de VPC, desplácese hacia arriba hasta Red Privada Virtual (VPN) y haga clic en Conexiones VPN de Sitio a Sitio.
-
Seleccione la casilla de verificación de la Conexión VPN que se creó en el paso anterior y haga clic en Descargar Configuración.
-
Configure los ajustes como sigue:
-
Vendedor: Genérico
-
Plataforma: Genérico
-
Software: Vendedor Agnóstico
-
-
Haga clic en Descargar.
-
Abra el archivo descargado y tome nota de los siguientes elementos en la sección Túnel IPsec #1:
-
Clave precompartida
-
Direcciones IP Externas- Gateway Privado Virtual
-
Direcciones IP Internas - Gateway del Cliente y Gateway Privado Virtual
-
Opciones de Configuración BGP - ASN de Gateway Privado Virtual y Dirección IP del Vecino
-
-
-
En la Cato Management Application, configure el sitio IPsec de AWS Transit Gateway para túneles redundantes.
-
Desde el menú de navegación, haga clic en Red > Sitios y haga clic en el sitio IPsec de AWS Transit Gateway.
-
Desde el menú de navegación, haga clic en Configuración del Sitio > IPsec y en la sección General, seleccione AWS.
-
Expanda la sección Secundaria y configure los siguientes ajustes:
-
Fuente Primaria (Egreso) IP: la dirección IP única asignada por Cato.
-
IP del Sitio: la Dirección IP Externa de Gateway Privado Virtual del archivo de configuración de AWS.
-
Ancho de Banda (Descendente y Ascendente): el ancho de banda según la licencia del sitio.
-
IPs Privadas
-
Sitio: la Dirección IP Interna de Gateway Privado Virtual del archivo de configuración de AWS.
-
Cato: la Dirección IP Interna de Gateway del Cliente del archivo de configuración de AWS.
-
-
Establecer/Cambiar Contraseña Primaria: la Clave Precompartida del archivo de configuración de AWS
-
-
Haga clic en Guardar.
-
-
Configure los ajustes de BGP para el túnel redundante para el sitio.
-
Desde el menú de navegación, seleccione Configuración del Sitio > BGP.
-
Haga clic en Nuevo. Se abre el panel Añadir Regla.
-
Configure los ajustes Generales:
-
Configure los ajustes de Política para las rutas BGP:
-
Seleccione las opciones para las rutas que desea anunciar (Ruta Predeterminada y/o Todas las rutas) y las rutas que desea aceptar (Rutas Dinámicas).
-
-
Haga clic en aplicar y, a continuación, haga clic en Guardar.
-
-
Confirme el estado de conectividad del túnel IPsec y las rutas BGP están Conectadas.
-
Desde el panel de navegación, seleccione IPsec y luego haga clic en Estado de Conexión.
-
Desde el panel de navegación, seleccione BGP y luego haga clic en Mostrar Estado BGP y verifique el estado del túnel secundario.
Nota: Las rutas de Cato se propagan a la tabla de enrutamiento del AWS Transit Gateway pero no a las tablas de enrutamiento de VPC. Cree rutas de regreso a sus redes locales en cada VPC usando el Transit Gateway como objetivo, como se muestra en el procedimiento a continuación.
-
0 comentarios
Inicie sesión para dejar un comentario.