AWSトランジットゲートウェイへのCato開始IPsecの設定

概要

AWSトランジットゲートウェイはフルメッシュVPC相互接続機能を提供し、単一のVPN接続で全ての仮想プライベートクラウド(VPC)にアクセスできます。 カトは、AWSトランジットゲートウェイに対して、プライマリおよびセカンダリのカト発信IPsecトンネルをBGPで設定し、高い利用可能性を提供できます。 CatoはBGPルートメトリクスに影響を与え、プライマリトンネルが常に優先され、切断された場合はトラフィックが即座にセカンダリトンネル経由でルーティングされます。

注意: CatoはECMPをサポートしておらず、新しいAWSトランジットゲートウェイを作成する際には無効化する必要があります。

カトはAWSトランジットゲートウェイ用IKEv1 IPsecサイトのポリシーベースのIPsecルーティングをサポートしていません。BGPを使用したルートベースのIPsecのみがサポートされています。 AWS接続のためにCatoが使用するのは:

  • ルートベースのIPsecトンネル

  • ダイナミックルーティング用のBGP

360002843337-image-0.png

用語

説明

バーチャルプライベートゲートウェイ

VPN接続のAmazon側のVPN集約装置。

カスタマーゲートウェイ

VPN接続のあなた側の物理デバイスまたはソフトウェアアプリケーション。 VPN接続を作成すると、VPNトンネルはあなたの側でトラフィックが生成されたときに上がります。 バーチャルプライベートゲートウェイは開始者ではありません。あなたのカスタマーゲートウェイがトンネルを開始する必要があります。 このコンテキストでは、Cato PoPがカスタマーゲートウェイです。

トランジットゲートウェイとあなたのPoP間のプライマリトンネルの作成

以下の手順では、Cato Cloudを経由してAWSトランジットゲートウェイに接続します。

Cato Cloudを通してトランジットゲートウェイとあなたのPoP間にトンネルを作成するには:

  1. Cato管理アプリケーションで、サイトに対してCatoによって割り当てられたIPアドレスを選択します。

    1. ナビゲーションメニューから、ネットワーク > IPの割り当て をクリックします。

      IP_Allocation.png

    2. ロケーションを選択します。 Cato NetworksによりユニークなIPが割り当てられます。

      取得可能なユニークIPの数は、あなたのライセンスによって決まります。 追加のIPについては、リセラーまたはsales@catonetworks.comにお問い合わせください。

    3. 保存をクリックしてください。

  2. AWSコンソールで、トランジットゲートウェイ添付を作成します。

    1. VPCサービスを開き、ナビゲーションペインで下にスクロールしてトランジットゲートウェイをクリックし、トランジットゲートウェイ添付 をクリックします。

    2. トランジットゲートウェイ添付を作成 をクリックします。

      360002843357-image-3.png

    3. トランジットゲートウェイのアタッチメントを以下のように設定します:

      • Transit Gateway ID: Catoに接続したいトランジットゲートウェイを選択します。

      • アタッチメントのタイプ: VPN

      • 顧客ゲートウェイ: 新規

      • IPアドレス: Catoが割り当てたIPアドレスを入力します(上記から)。

      • BGP ASN: 64515

      • ルーティングオプション: ダイナミック(BGPが必要)

        360002923618-image-4.png

    4. アタッチメントを作成 をクリックします。

    5. 閉じるをクリックします。

  3. VPN接続を作成し、設定ファイルをダウンロードします。

    1. VPCナビゲーションペインで、バーチャルプライベートネットワーク(VPN)までスクロールし、サイト間VPN接続をクリックします。

    2. 前のステップで作成したVPN接続のチェックボックスを選択し、設定をダウンロード をクリックします。

      360002923638-image-5.png

    3. 設定を以下のように構成します:

      • ベンダー: 一般的な

      • プラットフォーム: 一般的な

      • ソフトウェア: ベンダーに依存しない

        360002843397-image-6.png

    4. ダウンロードをクリックします。

    5. ダウンロードしたファイルを開き、IPsecトンネル#1セクションの下記のアイテムを記録します:

      • 事前共有キー

        360002843377-image-7.png

      • 外部IPアドレス - バーチャルプライベートゲートウェイ

        360002923678-image-8.png

      • 内部IPアドレス - 顧客ゲートウェイおよびバーチャルプライベートゲートウェイ

        360002843417-image-9.png

      • BGP構成オプション - バーチャルプライベートゲートウェイASNおよび隣接IPアドレス

        360002923658-image-10.png

  4. Cato管理アプリケーションで、IPsecサイトを作成して構成します。

    1. ナビゲーションメニューからネットワーク > サイトをクリックし、新規をクリックします。

      サイトを追加パネルが開きます,

    2. サイト設定を以下のように構成します:

      • 名前: AWS TGW (例)

      • タイプ: クラウドデータセンタ

      • 接続タイプ: IPsec IKEv1 (Cato-Initiated)

      • 国: 構成されたサイトが所在する国。

      • 州: 国がアメリカ合衆国の場合のみ、州を指定します。

      • ライセンス: 適切なライセンスを選択します。

      • ネイティブ範囲: AWS VPCサブネットのいずれか。

        360002843437-image-13.png

    3. 適用をクリックします。

    4. サイト画面から、新しいAWSサイトをクリックします。

    5. ナビゲーションメニューからサイト設定 > IPsecをクリックし、一般セクションでAWSを選択します。

    6. プライマリセクションを展開し、以下の設定を構成します:

      • サービスタイプ: AWS

      • プライマリソース (出力) IP: 上記のステップ3で割り当てられたユニークなIPアドレス。

      • サイトIP: AWS構成ファイルからの仮想プライベートゲートウェイの外部IPアドレス。

      • 帯域幅 (ダウンストリームアップストリーム): サイトライセンスに応じた帯域幅。

      • プライベートIPアドレス

        • サイト: AWS構成ファイルからの仮想プライベートゲートウェイの内部IPアドレス。

        • Cato: AWS構成ファイルからの顧客ゲートウェイの内部IPアドレス。

      • プライマリパスワードを設定/変更: AWS構成ファイルからの事前共有キー

        360002923758-image-14.png

    7. 保存をクリックしてください。

  5. サイトのためのBGPの設定を行います。

    1. ナビゲーションメニューから、サイト設定 > BGPを選択します。

    2. 新規作成をクリックします。 (BGPネイバーを追加)パネルが開きます。

    3. 一般設定を設定します:

      • 説明: AWS TWG #1 (例)

      • ASN

        • ピア: AWS構成ファイルからの仮想プライベートゲートウェイASN

        • Cato: Cato CloudのためのASN

      • IP > ピア: AWS構成ファイルからのネイバーIPアドレス

    4. BGPルートのためのポリシー設定を行います:

      • 広告したいルート(デフォルトルートすべてのルート)及び受け入れたいルート(動的ルート)のオプションを選択します。

      Add_BGP_Rule.png

    5. 適用をクリックします。

  6. IPsecトンネルとBGPルートの接続状況を確認し、それらが接続済みであることを確認してください。

    1. ナビゲーションペインから IPsec を選択し、接続ステータス をクリックします。

    2. ナビゲーションペインからBGPを選択し、BGPステータスを見るをクリックします。

      注意: CatoルートはAWSトランジットゲートウェイルーティングテーブルに広がりますが、VPCルーティングテーブルには広がりません。 以下の手順に示されているように、ターゲットとしてトランジットゲートウェイを使用して、各VPCに自分のオンプレミスネットワークに戻るルートを作成します。

  7. あなたのAWSコンソールで、ナビゲーションペインをスクロールしてVirtual Private Cloudに移動し、Route Tablesをクリックします。

  8. トランジットゲートウェイを通じてアクセスを希望するVPCに関連付けられたルートテーブルを選択し、ルートタブをクリックし、ルートを編集をクリックします。

    360002923778-image-18.png

  9. Click Add route, and then configure the settings as follows:

    • 宛先: あなたのローカルネットワークのサブネットを入力します。 これはサマリールートとなることができます。

    • 対象: Transit Gatewayを選択します。

      360002923798-image-19.png

  10. VPCへのアクセスが必要なすべてのローカルネットワークのルートを作成するため、前のステップを繰り返します。

  11. Click Save routes.

  12. Repeat steps 8 - 11 for each VPC that you need to access through the Transit Gateway.

Transit GatewayとCato PoP間で冗長トンネルを作成する

AWS VPN接続の設定時には、AWSは顧客ゲートウェイごとに2つのVPNトンネルを提供します。 これはAWS側で冗長性を提供しますが、両方のトンネルを同じPoPに接続する必要があるため、Cato Cloud側では冗長性を提供しません。

Cato CloudとAWS両方に冗長性を提供するためには、AWS内で2つの顧客ゲートウェイを作成し、主要なトンネル用に1つの顧客ゲートウェイのトンネルを、また別の顧客ゲートウェイのトンネルをセカンダリトンネル用に定義します。 これにより、異なるロケーションでPoP上に主要およびセカンダリトンネルを構成することができます。

以下の手順は、AWSコンソールとCato管理アプリケーションの両方でセカンダリトンネルを構成する方法を説明します。

注意

注意: この手順は、Cato管理アプリケーションで既にAWS Transit Gatewayへのトンネルを1つ構成していることを前提としています。これは「Transit GatewayとPoP間でプライマリトンネルを作成する」に記載されています。

To create a redundant tunnel between the Transit Gateway and your PoP through the Cato Cloud:

  1. Cato管理アプリケーションで、サイト用にCatoが割り当てたIPアドレスを選択します。

    1. ナビゲーションメニューから、ネットワーク > IPアロケーションをクリックします。

      IP_Allocation.png

    2. ロケーションを選択します。 Cato Networksによって一意のIPが割り当てられます。

      取得できる一意のIPの数は、ライセンスによって決定されます。 追加のIPsについては、リセラーまたはsales@catonetworks.comにお問い合わせください。

    3. 保存をクリックしてください。

  2. AWSコンソールで、トランジットゲートウェイアタッチメントを作成します。

    1. VPCサービスを開き、ナビゲーションペインでトランジットゲートウェイまでスクロールし、トランジットゲートウェイアタッチメントをクリックします。

    2. トランジットゲートウェイアタッチメントを作成をクリックします。

    3. トランジットゲートウェイ添付を次のように設定します:

      • トランジットゲートウェイID: Catoに接続したいトランジットゲートウェイを選択します。

      • タイプ: VPN

      • 顧客ゲートウェイ: 新規

      • IPアドレス: Catoに割り当てられたIPアドレスを入力します(上記から)。

      • BGP ASN: 64515

      • ルーティングオプション: 動的 (BGPが必要)

        360002923618-image-4.png

    4. アタッチメントを作成をクリックします。

    5. 閉じるをクリックします。

  3. VPN接続を作成し、設定ファイルをダウンロードします。

    1. VPCナビゲーションペインで、仮想プライベートネットワーク(VPN)までスクロールし、サイト間VPN接続をクリックします。

    2. 前のステップで作成したVPN接続のチェックボックスを選択し、設定をダウンロードをクリックします。

      360002923878-image-21.png

    3. 設定を次のように構成します:

      • ベンダー: 一般的な

      • プラットフォーム: 一般的な

      • ソフトウェア: ベンダーに依存しない

        360002843397-image-6.png

    4. ダウンロードをクリックします。

    5. ダウンロードしたファイルを開き、IPsecトンネル#1セクション以下の次のアイテムをメモします:

      • 共有キー

        360002843377-image-7.png

      • 外部IPアドレス- 仮想プライベートゲートウェイ

        360002923678-image-8.png

      • 内部IPアドレス - 顧客ゲートウェイと仮想プライベートゲートウェイ

        360002843417-image-9.png

      • BGPの設定オプション - 仮想プライベートゲートウェイASNと隣接IPアドレス

        360002923658-image-10.png

  4. Cato管理アプリケーションで、余分なトンネルのためにAWSトランジットゲートウェイのIPsecサイトを設定します。

    1. ナビゲーションメニューから、ネットワーク > サイトをクリックしてAWSトランジットゲートウェイのIPsecサイトをクリックします。

    2. ナビゲーションメニューから、サイト設定 > IPsecをクリックし、一般セクションでAWSを選択します。

    3. Expand the Secondary section and configure the following settings:

      • プライマリ送信元 (Egress) IP: Catoにより割り当てられたユニークなIPアドレス。

      • サイトIP: AWS設定ファイルからの仮想プライベートゲートウェイ外部IPアドレス。

      • 帯域幅 (下り上り): サイトライセンスに従った帯域幅。

      • プライベートIPアドレス

        • サイト: AWS設定ファイルからの仮想プライベートゲートウェイ内部IPアドレス。

        • Cato: AWS設定ファイルからの顧客ゲートウェイ内部IPアドレス。

      • プライマリパスワードを設定/変更: AWS設定ファイルの共有キー

        AWS_IPsec_Secondary.png

    4. 保存をクリックしてください。

  5. サイトの冗長トンネルのためにBGP設定を行います。

    1. ナビゲーションメニューから、サイト設定 > BGPを選択します。

    2. 新規をクリックします。 ルールを追加パネルが開きます。

    3. Configure the General settings:

      • 説明: AWS TWG #2 (例)

      • ASN設定

        • ピア: AWS設定ファイルからの仮想プライベートゲートウェイASN

        • Cato: Cato CloudのASN

      • IP > ピア: AWS設定ファイルからのネイバーIPアドレス

    4. BGPルートのためのポリシー設定を構成します:

      • デフォルトルート および/または すべてのルート をアドバタイズするルートオプションと、動的ルートを承認するルートオプションを選択します。

    5. 適用をクリックし、その後保存をクリックします。

      AWS_TWG_2_BGP_Rules.png

  6. IPsecトンネル及びBGPルートの接続ステータスが接続済みであることを確認してください。

    1. ナビゲーションペインから、IPsecを選択し、その後接続ステータスをクリックします。

    2. ナビゲーションペインからBGPを選択し、BGPステータスを見るをクリックして、セカンダリトンネルのステータスを確認します。

      注: CatoのルートはAWSトランジットゲートウェイのルーティングテーブルに伝播されますが、VPCのルーティングテーブルには伝播されません。 以下の手順に示すように、ターゲットとしてトランジットゲートウェイを使用して、各VPCにオンプレミスネットワークへの戻りルートを作成します。

この記事は役に立ちましたか?

3人中3人がこの記事が役に立ったと言っています

0件のコメント