GCP lanzó recientemente una nueva opción HA para el gateway VPN. Si se elige un gateway VPN redundante, se proporcionan dos direcciones IP para máxima resiliencia. Se requiere la activación de BGP para monitorear qué túnel está activo.
Esta es la recomendación de Cato para la conexión más resistente a GCP.
Paso 1
En la Aplicación de Gestión de Cato, navega a Red > Asignación de IP. Selecciona las nuevas ubicaciones de PoP para el sitio GCP. La dirección IP asignada aparecerá en el lado derecho. Toma nota de la dirección IP: necesitarás ingresarla en la configuración de GCP.
Paso 2
En GCP, navega a Conectividad Híbrida → VPN → Gateway VPN en la Nube. Crea un nuevo gateway VPN:
Ahora completa los detalles:
-
Nombre - Nombre identificable para el Gateway
-
Red VPC - Esta es tu VPC
-
Región - La región geográfica en la que deseas crear el gateway
Presta atención a que creará dos direcciones IP como se indica:
Paso 3
Navega a Gateways VPN Peer y crea un nuevo gateway VPN. Asegúrate de seleccionar dos interfaces en la sección de Interfaces.
-
Dirección IP de la Interfaz 0: escribe la IP del PoP primario (paso 1)
-
Dirección IP de la Interfaz 1: escribe la IP del PoP de respaldo (paso 1)
Paso 4
Ahora debes crear un Router en la Nube que gestionará el emparejamiento BGP. BGP es necesario para priorizar qué túnel está activo y cuál es de respaldo.
Ve a Conectividad Híbrida → Routers en la Nube y crea un nuevo Router.
Para el ASN de Google usa un valor de ASN privado (RFC 1918): 64512 a 65535.
Paso 5
Regresa a la sección VPN y elige el Gateway VPN en la Nube. Haz clic en el gateway VPN recién creado y elige Añadir túnel VPN. En el gateway VPN peer elige el peer VPN (Cato PoPs) y asegúrate de que esté seleccionada la opción Crear un par de túneles VPN bajo Alta Disponibilidad. En Router en la Nube elige el Router en la Nube recién creado.
Ahora, en la parte inferior, se te obliga a editar dos túneles VPN. Haz clic en cada uno de ellos e ingresa los detalles:
Completa el nombre para cada túnel (maestro/ respaldo) y elige una clave precompartida.
Una vez completado, el asistente pedirá la configuración de BGP. Para cada túnel configura los ajustes BGP relevantes:
-
Nombre - solo un nombre para el emparejamiento BGP
-
ASN del peer - ASN BGP que deseas asignar al lado de Cato
-
MED - 100 para el túnel primario y 110 para el respaldo
-
IP BGP del Router en la Nube - IP del Router en el lado de GCP
-
Debe pertenecer al mismo CIDR /30 dentro de 169.254.0.0/16
-
No se pueden usar las direcciones IP de broadcast o de red en esas redes /30
-
-
IP del Peer BGP - IP del Router en el lado de Cato
Paso 6
Vuelve a la Aplicación de Gestión de Cato y crea un tipo de sitio IPsec IKEv2 (Redes > Sitio y haz clic en Nuevo). Usa la siguiente configuración del sitio:
Sección IPsec IKEv2
-
Tipo de Servicio: elige Genérico.
-
Fuente Primaria/Secundaria (Egress) IP: selecciona la dirección IP asignada en el paso 1.
-
Destino Primario/Secundario IP: introduce las direcciones IP del Gateway VPN en la Nube de GCP.
-
Establecer/Cambiar Contraseña Primaria/Secundaria: Introduce la clave precompartida que especificaste para cada túnel.
BGP
-
Crea dos peers BGP para Maestro y Respaldo.
-
ASN y IPs del vecino según configurado en GCP.
-
Métricas: para el maestro, especifica BGP 100 y para el respaldo 110.
-
El tiempo de espera y los intervalos de Keepalive se pueden cambiar a 30 y 10 respectivamente para una convergencia más rápida.
-
Enrutamiento: no aceptes ninguna ruta de GCP. Las subredes detrás de GCP deben configurarse en la sección de Redes al igual que con los sitios regulares de Cato. Para la publicidad, puedes elegir entre Ruta Predeterminada (una ruta 0.0.0.0/0 - WAN + Internet sobre Cato) y Todas las Rutas (todas las redes en tu cuenta de Cato se anunciarán a GCP - solo tráfico WAN).
Paso 7
Poco después de guardar la configuración en la Aplicación de Gestión de Cato, deberías ver estado Establecido para BGP y VPN de los dos túneles bajo Túneles VPN en la Nube en GCP:
0 comentarios
Inicie sesión para dejar un comentario.