BGP를 사용하여 AWS에 대한 이중화 VPN 연결

원래의 AWS 자산을 Cato에 연결하는 기사에 이어, 아래 기사에서는 BGP 기능 확장을 설명합니다. BGP 기능은 최대한의 이중화를 보장하기 위해 AWS 클라우드에 중복 VPN 연결을 허용합니다.

AWS와의 BGP 구성

이 절차는 BGP를 사용하여 AWS에 연결하는 IKEv1 또는 IKEv2 사이트를 어떻게 설정하는지 설명합니다.

  1. Cato 관리 애플리케이션(네트워크 > IP 할당)에서 공인 IP 주소를 최소 2개 이상 확보하십시오:

    IP_Allocation.png
  2. AWS에서 가상 사설 게이트웨이를 생성하십시오:

    360002046957-blobid0.png
  3. 귀하의 VPN 대시보드 > VPC 생성으로 이동하십시오. 여기서 새로운 VPC를 생성하십시오:

    360002150038-blobid1.png
  4. 고객 게이트웨이로 이동하십시오. 위에서 할당한 새 IP 주소를 사용하여 동일한 AWS 지역에서 2개의 고객 게이트웨이를 생성하십시오:

    a. 이름 - 당신이 알아볼 수 있어야 합니다.

    b. IP 주소 - Cato 관리 애플리케이션에서 할당된 공인 IP 주소입니다.

    c. VPC - 각 고객 게이트웨이에 대해 동일한 VPC를 선택해야 합니다.

    360002150078-blobid2.png
  5. '사이트 간 VPN 연결'로 이동하여 새로운 고객 게이트웨이 각각에 대해 2개의 VPN 연결을 만드십시오 (각 각의 새로운 고객 게이트웨이에 대해 1개):

    a. 이름 태그 - 설명 이름

    b. 고객 게이트웨이 - 여기에서 생성한 고객 게이트웨이 중 하나를 선택하세요

    c.라우팅 옵션 - 동적(BGP) 선택

    d.터널 옵션 - 필요시 터널 IP를 지정할 수 있으나, 기본값을 남겨두면 AWS는 169.x.x.x 범위를 사용합니다.

    360002047017-blobid3.png

    참고: AWS는 IPsec 터널을 통해 Cato와의 BGP 피어를 생성하기 위해 터널 IP를 사용합니다.

  6. 방금 설정한 각 새로운 VPN 연결에 대해 구성 다운로드를 클릭하십시오:

    360002151218-blobid0.png
  7. 이 파일 내에서 Cato 관리 애플리케이션을 설정하는 데 도움을 줄 수 있는 다음 정보를 얻으십시오:

    a. 사전 공유 키

    b. BGP 구성(사설 IP 주소 및 ASN)

    360002047057-mceclip0.png
  8. Cato 관리 애플리케이션에서 IPsec/BGP를 설정하고자 하는 사이트로 이동하십시오.

    a. AWS 구성에 있는 개인 IP 주소를 추가해야 하는 점을 제외하면 여기서의 설정은 표준 IPsec 사이트와 정확히 동일합니다.

    IKEv1 사이트 예시:

    360002150318-blobid7.png

    IKEv2 사이트 예시:

    AWS_IPsec_IKEv2.png

    b. BGP 섹션에서 다음을 입력하세요:

    i. ASN's

    ii. 개인 IP

    iii. 라우팅 정보

    360002047577-blobid1.png

    참고: 더 낮은 메트릭을 가진 터널이 기본 경로가 됩니다.

  9. BGP 연결 상태를 확인하려면 BGP 상태 보기를 선택하세요.

  10. AWS에서 확인하려면 사이트 간 연결 > VPC 연결을 선택 > 터널 세부 정보로 이동하세요. 여기에서 VPN 연결이 설정되었는지 및 BGP 경로가 AWS에 전파되었는지 확인할 수 있습니다.

    tunnel_details.png
  11. 참고: AWS 사이트에 게시된 경로를 보려면 라우팅 테이블 > 라우팅 테이블 찾기 > 경로 선택으로 이동하세요.

360002150458-blobid11.png

BGP 장애 조치 테스트

Amazon은 AWS 플랫폼에서 장애 조치 테스트를 지원하지 않지만 Cato 관리 애플리케이션을 사용하여 BGP 장애 조치 테스트를 수행할 수 있습니다:

  1. 소켓 사이트 뒤에 있거나 Cato 클라이언트를 통해 연결하여 AWS 환경 내의 호스트에 핑을 보냅니다.

  2. Cato 관리 애플리케이션에서 BGP가 포함된 IPsec 사이트로 이동합니다.

  3. 장애 조치를 생성하기 위해 IP 주소를 변경합니다:

    테스트 완료 후 원래의 IP 주소를 저장해 두세요. 필요합니다.

    1. BGP 섹션에서 기본 연결의 경우 Cato 또는 이웃의 IP 주소를 변경하세요:

    2. IPsec 섹션에서 개인 IPCato 또는 이웃으로 이전 단계의 동일한 IP 주소로 변경하세요.

    3. 저장을 클릭하세요.

  4. 핑이 시작하여 손실되고, 연결이 전환되면 BGP 장애 조치가 올바르게 작동하고 있음을 볼 수 있습니다.

  5. 기본 링크로 복구하려면 BGP 및 IPsec IP 주소를 원래 설정으로 되돌립니다. 몇 번의 핑이 손실된 후 연결은 기본 연결로 복원됩니다.

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개