Le AWS Transit Gateway fournit une interconnexion VPC complète et vous permet d'accéder à tous vos Clouds Privés Virtuels (VPC) avec une seule connexion VPN. Vous pouvez configurer des tunnels IPsec initiés par Cato principaux et secondaires vers votre AWS Transit Gateway avec BGP pour fournir une haute disponibilité robuste. Cato influence les métriques de route BGP pour que le tunnel principal soit toujours la voie préférée, et en cas de déconnexion, le trafic est immédiatement routé par le tunnel secondaire.
Remarque : ECMP n'est pas pris en charge par Cato et doit être désactivé si vous créez un nouveau AWS Transit Gateway.
Terme |
Description |
Passerelle Privée Virtuelle |
Le concentrateur VPN côté Amazon de la connexion VPN. |
Passerelle Client |
Un appareil physique ou une application logicielle de votre côté de la connexion VPN. Lorsque vous créez une connexion VPN, le tunnel VPN s'active lorsque le trafic est généré de votre côté de la connexion VPN. La passerelle privée virtuelle n'est pas l'initiateur ; votre passerelle client doit initier les tunnels. Dans ce contexte, le PoP Cato est la Passerelle Client. |
Dans la procédure suivante, nous nous connecterons via le Cato Cloud à l'AWS Transit Gateway.
Pour créer un tunnel entre le Transit Gateway et votre PoP à travers le Cato Cloud :
-
Dans l'application de gestion de Cato, sélectionnez une adresse IP attribuée par Cato pour le site.
-
Depuis le menu de navigation, cliquez sur Réseau > Attribution IP.
-
Sélectionnez un emplacement. Une IP unique est attribuée par Cato Networks.
Le nombre d'IPs uniques que vous pouvez obtenir est déterminé par votre licence. Pour des IPs supplémentaires, contactez votre revendeur ou sales@catonetworks.com.
-
Cliquez sur Sauvegarder.
-
-
Dans la console AWS, créez l'Attachement du Transit Gateway.
-
Ouvrez le service VPC, puis dans le volet de navigation faites défiler vers le bas jusqu'à Transit Gateways et cliquez sur Attachments du Transit Gateway.
-
Cliquez sur Créer un Attachment du Transit Gateway.
-
Configurez l'Attachment du Transit Gateway comme suit :
-
ID du Transit Gateway : sélectionnez le Transit Gateway auquel vous souhaitez vous connecter à Cato.
-
Type d'attachement : VPN
-
Passerelle Client : Nouveau
-
Adresse IP : entrez l'adresse IP attribuée par Cato (ci-dessus).
-
BGP ASN : 64515
-
Options de routage : Dynamique (nécessite BGP)
-
-
Cliquez sur Créer un attachement.
-
Cliquez sur Fermer.
-
-
Créez une connexion VPN et téléchargez le fichier de configuration.
-
Dans le volet de navigation VPC, faites défiler vers le haut jusqu'à Réseau Privé Virtuel (VPN) et cliquez sur Connexions VPN Site à Site.
-
Cochez la case de la connexion VPN créée à l'étape précédente et cliquez sur Télécharger la configuration.
-
Configurez les paramètres comme suit :
-
Fournisseur : Générique
-
Plateforme : Générique
-
Logiciel : Indépendant du fournisseur
-
-
Cliquez sur Télécharger.
-
Ouvrez le fichier téléchargé et notez les éléments suivants dans la section Tunnel IPsec #1 :
-
Clé pré-partagée
-
Adresses IP externes - Passerelle Privée Virtuelle
-
Adresses IP internes - Passerelle Client et Passerelle Privée Virtuelle
-
Options de configuration BGP - ASN de la Passerelle Privée Virtuelle et Adresse IP voisine
-
-
-
Dans l'application de gestion de Cato, créez et configurez le site IPsec.
-
Depuis le menu de navigation, cliquez sur Réseau > Sites et cliquez sur Nouveau.
Le panneau Ajouter un site s'ouvre,
-
Configurez les paramètres du site comme suit :
-
Nom : AWS TGW (exemple)
-
Type : Centre de données en nuage
-
Type de connexion : IPsec IKEv1 (Initié par Cato)
-
Pays : Le pays dans lequel se trouve le site configuré.
-
État : L'état si le pays est les États-Unis.
-
Licence : Sélectionnez la licence appropriée.
-
Plage native : Un de vos sous-réseaux VPC AWS.
-
-
Cliquez sur Appliquer.
-
Depuis l'écran Sites, cliquez sur le nouveau site AWS.
-
Depuis le menu de navigation, cliquez sur Configuration du site > IPsec et dans la section Général, sélectionnez AWS.
-
Développez la section Primaire et configurez les paramètres suivants :
-
Type de service : AWS
-
IP source principale (sortant) : l'adresse IP unique attribuée à l'étape 3 ci-dessus.
-
IP du site : l'adresse IP externe de la Passerelle Privée Virtuelle du fichier de configuration AWS.
-
Largeur de bande (Descendant et Montant) : la largeur de bande selon la licence du site.
-
IPs privées
-
Site : l'adresse IP interne de la Passerelle Privée Virtuelle du fichier de configuration AWS.
-
Cato : l'adresse IP interne de la passerelle client du fichier de configuration AWS.
-
-
Définir/Changer le mot de passe principal : la clé pré-partagée du fichier de configuration AWS
-
-
Cliquez sur Sauvegarder.
-
-
Configurer les paramètres BGP pour le site.
Dans le panneau de configuration, cliquez sur BGP, cliquez sur (Ajouter un voisin BGP), puis définissez les paramètres suivants :
-
Dans le menu de navigation, sélectionnez Configuration du site > BGP.
-
Cliquez sur Nouveau. Le panneau Ajouter une règle s'ouvre.
-
Configurez les paramètres Général :
-
Description: AWS TWG #1 (exemple)
-
Paramètres ASN
-
Pair : l'ASN de la passerelle privée virtuelle du fichier de configuration AWS
-
Cato : ASN pour le Cato Cloud
-
-
IP > Pair : L'adresse IP de voisin du fichier de configuration AWS
-
-
Configurez les paramètres Politique pour les routes BGP :
-
Sélectionnez les options pour les routes que vous souhaitez annoncer (Route par défaut et/ou Toutes les routes) et les routes que vous souhaitez accepter (Routes dynamiques).
-
-
Cliquez sur Appliquer.
-
-
Confirmez que l'état de connectivité du tunnel IPsec et des routes BGP est Connecté.
-
Dans le volet de navigation, sélectionnez IPsec puis cliquez sur Statut de la connexion.
-
Dans le volet de navigation, sélectionnez BGP puis cliquez sur Afficher le statut BGP.
Remarque : Les routes Cato se propagent à la table de routage AWS Transit Gateway mais pas aux tables de routage VPC. Créez des routes de retour vers vos réseaux locaux dans chaque VPC en utilisant le Transit Gateway comme cible, comme indiqué dans la procédure ci-dessous.
-
-
Dans votre console AWS, dans le panneau de navigation, faites défiler jusqu'à Cloud Privé Virtuel et cliquez sur Tables de Routes.
-
Sélectionnez une table de routage associée à un VPC auquel vous souhaitez accéder via le Transit Gateway, cliquez sur l'onglet Routes, puis cliquez sur Modifier les Routes.
-
Cliquez sur Ajouter une route, puis configurez les paramètres comme suit :
-
Destination : entrez un sous-réseau de votre réseau local. Cela peut être une route de résumé.
-
Cible : Sélectionnez le Transit Gateway.
-
-
Répétez l'étape précédente pour créer des routes pour tous vos réseaux locaux qui nécessitent un accès au VPC.
-
Cliquez sur Sauvegarder les routes.
-
Répétez les étapes 8 à 11 pour chaque VPC auquel vous devez accéder via le Transit Gateway.
Lors de la création d'une connexion VPN AWS, AWS fournit deux tunnels VPN par passerelle client. Bien que cela offre une redondance côté AWS, cela ne fournit pas une redondance côté Cato Cloud, car les deux tunnels doivent être connectés au même PoP.
Pour offrir une redondance pour le Cato Cloud et AWS, vous devez créer deux passerelles clientes dans AWS, puis définir un tunnel depuis une passerelle cliente pour le tunnel principal et un tunnel depuis l'autre passerelle cliente pour le tunnel secondaire. Cela vous permet de configurer les tunnels principal et secondaire sur des PoP situés à différents endroits.
La procédure suivante décrit comment configurer un tunnel secondaire à la fois dans la console AWS et dans l'application de gestion Cato.
Remarque
Remarque : Cette procédure suppose que dans l'application de gestion Cato, vous avez déjà configuré un tunnel vers le AWS Transit Gateway, comme décrit dans la création du tunnel principal entre le Transit Gateway et votre PoP.
Pour créer un tunnel redondant entre le Transit Gateway et votre PoP via le Cato Cloud :
-
Dans l'application de gestion Cato, sélectionnez une adresse IP allouée par Cato pour le site.
-
Dans le menu de navigation, cliquez sur Réseau > Attribution d'IP.
-
Sélectionnez un emplacement. Une IP unique est allouée par Cato Networks.
Le nombre d'IPs uniques que vous pouvez obtenir est déterminé par votre licence. Pour des IPs supplémentaires, contactez votre revendeur ou sales@catonetworks.com.
-
Cliquez sur Sauvegarder.
-
-
Dans la console AWS, créez l'attachement du Transit Gateway.
-
Ouvrez le service VPC, puis dans le panneau de navigation descendez jusqu'à Transit Gateways et cliquez sur Attachements de Transit Gateway.
-
Cliquez sur Créer un attachement de Transit Gateway.
-
Configurez l'attachement du Transit Gateway comme suit :
-
Cliquez sur Créer un attachement.
-
Cliquez sur Fermer.
-
-
Créez une connexion VPN et téléchargez le fichier de configuration.
-
Dans le volet de navigation VPC, remontez jusqu'à Réseau Privé Virtuel (VPN) et cliquez sur Connexions VPN de Site à Site.
-
Sélectionnez la case de la connexion VPN créée à l'étape précédente et cliquez sur Télécharger la configuration.
-
Configurez les paramètres comme suit :
-
Fournisseur : Générique
-
Plateforme : Générique
-
Logiciel : Indépendant du fournisseur
-
-
Cliquez sur Télécharger.
-
Ouvrez le fichier téléchargé et notez les éléments suivants sous la section Tunnel IPsec #1 :
-
Clé pré-partagée
-
Adresses IP externes- Passerelle Privée Virtuelle
-
Adresses IP internes - Gateway client et Gateway privé virtuel
-
Options de configuration BGP - ASN de Gateway privé virtuel et adresse IP du voisin
-
-
-
Dans l'application de gestion Cato, configurez le site IPsec d'AWS Transit Gateway pour des tunnels redondants.
-
Dans le menu de navigation, cliquez sur Réseau > Sites et cliquez sur le site IPsec d'AWS Transit Gateway.
-
Dans le menu de navigation, cliquez sur Configuration du site > IPsec et dans la section Général, sélectionnez AWS.
-
Développez la section Secondaire et configurez les paramètres suivants :
-
Source principale (Egress) IP : l'adresse IP unique attribuée par Cato.
-
IP du site : l'adresse IP externe de la Gateway privé virtuel du fichier de configuration AWS.
-
Bande passante (Descendant et Ascendant) : la bande passante selon la licence du site.
-
IPs Privées
-
Site : l'adresse IP interne de la Gateway privé virtuel du fichier de configuration AWS.
-
Cato : l'adresse IP interne du Gateway client du fichier de configuration AWS.
-
-
Définir/Changer le mot de passe principal : la clé pré-partagée du fichier de configuration AWS
-
-
Cliquez sur Sauvegarder.
-
-
Configurez les paramètres BGP pour le tunnel redondant du site.
-
Depuis le menu de navigation, sélectionnez Configuration du site > BGP.
-
Cliquez sur Nouveau. Le panneau Ajouter Règle s'ouvre.
-
Configurez les paramètres Généraux :
-
Configurez les paramètres de Politique pour les routes BGP :
-
Sélectionnez les options pour les routes que vous souhaitez annoncer (Route par défaut et/ou Toutes les routes) et les routes que vous souhaitez accepter (Routes dynamiques).
-
-
Cliquez sur Appliquer, puis cliquez sur Sauvegarder.
-
-
Confirmez que l'état de connectivité du tunnel IPsec et des routes BGP est Connecté.
-
Depuis le volet de navigation, sélectionnez IPsec puis cliquez sur État de la connexion.
-
Depuis le volet de navigation, sélectionnez BGP puis cliquez sur Afficher l'état BGP et vérifiez l'état du tunnel secondaire.
Remarque: Les routes Cato se propagent à la table de routage du AWS Transit Gateway mais pas aux tables de routage VPC. Créez des routes de retour vers vos réseaux locaux dans chaque VPC en utilisant le Transit Gateway comme cible, comme indiqué dans la procédure ci-dessous.
-
0 commentaire
Vous devez vous connecter pour laisser un commentaire.