원래의 AWS 자산을 Cato에 연결하는 기사에 이어, 아래 기사에서는 BGP 기능 확장을 설명합니다. BGP 기능은 최대한의 이중화를 보장하기 위해 AWS 클라우드에 중복 VPN 연결을 허용합니다.
이 절차는 BGP를 사용하여 AWS에 연결하는 IKEv1 또는 IKEv2 사이트를 어떻게 설정하는지 설명합니다.
-
Cato 관리 애플리케이션(네트워크 > IP 할당)에서 공인 IP 주소를 최소 2개 이상 확보하십시오:
-
AWS에서 가상 사설 게이트웨이를 생성하십시오:
-
귀하의 VPN 대시보드 > VPC 생성으로 이동하십시오. 여기서 새로운 VPC를 생성하십시오:
-
고객 게이트웨이로 이동하십시오. 위에서 할당한 새 IP 주소를 사용하여 동일한 AWS 지역에서 2개의 고객 게이트웨이를 생성하십시오:
a. 이름 - 당신이 알아볼 수 있어야 합니다.
b. IP 주소 - Cato 관리 애플리케이션에서 할당된 공인 IP 주소입니다.
c. VPC - 각 고객 게이트웨이에 대해 동일한 VPC를 선택해야 합니다.
-
'사이트 간 VPN 연결'로 이동하여 새로운 고객 게이트웨이 각각에 대해 2개의 VPN 연결을 만드십시오 (각 각의 새로운 고객 게이트웨이에 대해 1개):
a. 이름 태그 - 설명 이름
b. 고객 게이트웨이 - 여기에서 생성한 고객 게이트웨이 중 하나를 선택하세요
c.라우팅 옵션 - 동적(BGP) 선택
d.터널 옵션 - 필요시 터널 IP를 지정할 수 있으나, 기본값을 남겨두면 AWS는 169.x.x.x 범위를 사용합니다.
참고: AWS는 IPsec 터널을 통해 Cato와의 BGP 피어를 생성하기 위해 터널 IP를 사용합니다.
-
방금 설정한 각 새로운 VPN 연결에 대해 구성 다운로드를 클릭하십시오:
-
이 파일 내에서 Cato 관리 애플리케이션을 설정하는 데 도움을 줄 수 있는 다음 정보를 얻으십시오:
a. 사전 공유 키
b. BGP 구성(사설 IP 주소 및 ASN)
-
Cato 관리 애플리케이션에서 IPsec/BGP를 설정하고자 하는 사이트로 이동하십시오.
a. AWS 구성에 있는 개인 IP 주소를 추가해야 하는 점을 제외하면 여기서의 설정은 표준 IPsec 사이트와 정확히 동일합니다.
IKEv1 사이트 예시:
IKEv2 사이트 예시:
b. BGP 섹션에서 다음을 입력하세요:
i. ASN's
ii. 개인 IP
iii. 라우팅 정보
참고: 더 낮은 메트릭을 가진 터널이 기본 경로가 됩니다.
-
BGP 연결 상태를 확인하려면 BGP 상태 보기를 선택하세요.
-
AWS에서 확인하려면 사이트 간 연결 > VPC 연결을 선택 > 터널 세부 정보로 이동하세요. 여기에서 VPN 연결이 설정되었는지 및 BGP 경로가 AWS에 전파되었는지 확인할 수 있습니다.
-
참고: AWS 사이트에 게시된 경로를 보려면 라우팅 테이블 > 라우팅 테이블 찾기 > 경로 선택으로 이동하세요.
Amazon은 AWS 플랫폼에서 장애 조치 테스트를 지원하지 않지만 Cato 관리 애플리케이션을 사용하여 BGP 장애 조치 테스트를 수행할 수 있습니다:
-
소켓 사이트 뒤에 있거나 Cato 클라이언트를 통해 연결하여 AWS 환경 내의 호스트에 핑을 보냅니다.
-
Cato 관리 애플리케이션에서 BGP가 포함된 IPsec 사이트로 이동합니다.
-
장애 조치를 생성하기 위해 IP 주소를 변경합니다:
테스트 완료 후 원래의 IP 주소를 저장해 두세요. 필요합니다.
-
BGP 섹션에서 기본 연결의 경우 Cato 또는 이웃의 IP 주소를 변경하세요:
-
IPsec 섹션에서 개인 IP를 Cato 또는 이웃으로 이전 단계의 동일한 IP 주소로 변경하세요.
-
저장을 클릭하세요.
-
-
핑이 시작하여 손실되고, 연결이 전환되면 BGP 장애 조치가 올바르게 작동하고 있음을 볼 수 있습니다.
-
기본 링크로 복구하려면 BGP 및 IPsec IP 주소를 원래 설정으로 되돌립니다. 몇 번의 핑이 손실된 후 연결은 기본 연결로 복원됩니다.
댓글 0개
댓글을 남기려면 로그인하세요.