Connexion VPN redondante à AWS en utilisant BGP

À la suite de l'article original sur la connexion de vos ressources AWS à Cato, l'article ci-dessous développe les fonctionnalités avancées de BGP. La fonctionnalité BGP permet d'avoir une connexion VPN redondante au cloud AWS afin d'assurer une redondance maximale.

Configuration de BGP avec AWS

Cette procédure explique comment configurer un site IKEv1 ou IKEv2 qui utilise BGP pour se connecter à AWS.

  1. Assurez-vous d'avoir au moins 2 adresses IP publiques dans l'Application de Gestion Cato (Network > IP Allocation) :

    IP_Allocation.png
  2. Dans AWS, créez une Gateway Virtuelle Privée :

    360002046957-blobid0.png
  3. Accédez au Tableau de Bord de votre VPN > Créer VPC. D'ici, créez votre nouveau VPC :

    360002150038-blobid1.png
  4. Accédez aux Gateways Clients. Créez 2 Gateways Clients en utilisant la nouvelle adresse IP allouée ci-dessus (dans la même région AWS) :

    a. Nom - doit être reconnaissable pour vous.

    b. Adresse IP - ce sont les adresses IP publiques qui vous ont été allouées dans l'Application de Gestion Cato.

    c. VPC - pour chaque Gateway Client, vous devrez vous assurer de sélectionner le même VPC.

    360002150078-blobid2.png
  5. Accédez à 'Connexions VPN de site à site' et créez 2 connexions VPN (1 pour chacun des nouveaux Gateways Clients que vous venez de créer) :

    a.Étiquette de Nom - Nom descriptif

    b. Gateway Client - Ici, sélectionnez l'un des Gateway Client que vous avez créés

    c.Option de Routage - Sélectionnez Dynamique (BGP)

    d.Options de Tunnel - Vous stipulez les IP du Tunnel si nécessaire, mais si laissé par défaut AWS utilisera la plage 169.x.x.x.

    360002047017-blobid3.png

    Note: AWS utilise l'IP du Tunnel pour créer le pair BGP avec Cato sur le tunnel IPsec.

  6. Cliquez sur Télécharger la Configuration pour chacune des nouvelles connexions VPN que vous venez de configurer :

    360002151218-blobid0.png
  7. Dans ce fichier, obtenez les informations suivantes pour aider à configurer l'Application de Gestion Cato :

    a. Clé Prépartagée

    b. Configuration BGP (Adresse IP Privée et ASN)

    360002047057-mceclip0.png
  8. Dans l'Application de Gestion Cato, accédez au site que vous souhaitez configurer IPsec/BGP.

    a. La configuration ici est exactement la même que vous feriez pour un site IPsec standard sauf que vous devez ajouter les adresses IP privées que vous avez dans la configuration AWS que vous avez téléchargée précédemment.

    Exemple de site IKEv1 :

    360002150318-blobid7.png

    Exemple de site IKEv2 :

    AWS_IPsec_IKEv2.png

    b. Dans la section BGP, saisissez les informations suivantes :

    i. ASN's

    ii. IPs Privées

    iii. Informations de Routage

    360002047577-blobid1.png

    Note: Le tunnel avec la métrique la plus basse sera l'itinéraire préféré.

  9. Pour vérifier l'état de la connexion BGP, sélectionnez Afficher l'État BGP.

  10. Pour vérifier dans AWS, accédez à Connexion de Site à Site > Sélectionnez votre connexion VPC > Détails du Tunnel. D'ici, vous pouvez voir si la connexion VPN est établie et si les routes BGP ont été propagées à AWS.

    tunnel_details.png
  11. Note: Si vous souhaitez voir quelles routes ont été publiées sur le site AWS, allez à Table de Routage > Trouvez votre Table de Routage > Sélectionnez Routes.

360002150458-blobid11.png

Test de basculement BGP

Bien qu'Amazon ne prenne pas en charge le test de basculement au sein de la plateforme AWS, le test de basculement BGP peut être effectué à l'aide de l'Application de Gestion Cato :

  1. Depuis un site Socket ou en vous connectant avec le Client Cato, faites un ping à un hôte dans l'environnement AWS.

  2. Dans l'Application de Gestion Cato, allez au site IPsec avec BGP.

  3. Changez l'adresse IP pour créer un basculement :

    Assurez-vous de sauvegarder l'adresse IP d'origine, vous en aurez besoin après la fin du test.

    1. Dans la section BGP, pour la connexion primaire, changez l'adresse IP de Cato ou de son voisin :

    2. Dans la section IPsec, changez les IPs Privées pour Cato ou Voisin avec la même adresse IP que dans l'étape précédente.

    3. Cliquez sur Sauvegarder.

  4. Les pings commencent à chuter puis la connexion se bascule et vous voyez que le basculement BGP fonctionne correctement.

  5. Pour revenir à la connexion principale, changez l'adresse IP de BGP et d'IPsec à nouveau aux paramètres d'origine, après quelques pings perdus, la connexion revient à la connexion principale.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire