Cato가 시작한 IPsec을 AWS 전송 게이트웨이에 설정하기

개요

AWS Transit Gateway는 풀 메쉬 VPC 상호 연결을 제공하며 단일 VPN 연결로 모든 가상 프라이빗 클라우드(VPC)에 액세스할 수 있습니다. 고가용성을 제공하기 위해 BGP를 사용하여 AWS Transit Gateway에 주요 및 보조 Cato가 시작한 IPsec 터널을 설정할 수 있습니다. Cato는 BGP 경로 메트릭을 조정하여 기본 터널을 항상 선호 경로로 설정하고, 연결이 끊어지면 트래픽이 즉시 보조 터널로 라우팅됩니다.

참고: Cato는 ECMP를 지원하지 않으며 새로운 AWS Transit Gateway를 생성하는 경우 비활성화해야 합니다.

360002843337-image-0.png

용어

설명

가상 프라이빗 게이트웨이

Amazon VPN 연결의 VPN 집선기.

고객 게이트웨이

VPN 연결 쪽의 물리적 장치나 소프트웨어 애플리케이션. VPN 연결을 생성하면, VPN 터널은 VPN 연결의 귀하 쪽에서 트래픽이 생성될 때 활성화됩니다. 가상 프라이빗 게이트웨이는 시작자가 아닙니다. 고객 게이트웨이가 터널을 시작해야 합니다. 이 문맥에서, Cato PoP는 고객 게이트웨이입니다.

Transit Gateway와 귀하의 PoP 간에 기본 터널 생성

다음 절차에서 Cato 클라우드를 통해 AWS Transit Gateway에 연결합니다.

Cato 클라우드를 통해 Transit Gateway와 귀하의 PoP 간의 터널을 생성하려면:

  1. Cato 관리 애플리케이션에서 사이트에 대한 Cato 할당된 IP 주소를 선택하십시오.

    1. 네비게이션 메뉴에서 네트워크 > IP 할당을 클릭합니다.

      IP_Allocation.png
    2. 위치를 선택하십시오. 고유 IP는 Cato Networks에 의해 할당됩니다.

      획득할 수 있는 고유 IP의 수는 귀하의 라이선스에 의해 결정됩니다. 추가 IP에 대해서는 리셀러 또는 sales@catonetworks.com으로 문의하십시오.

    3. 저장을 클릭합니다.

  2. AWS 콘솔에서 Transit Gateway 첨부 파일을 생성합니다.

    1. VPC 서비스를 열고 네비게이션 창에서 Transit Gateways까지 스크롤한 후 Transit Gateway Attachments를 클릭합니다.

    2. Transit Gateway 첨부 파일 생성을 클릭합니다.

      360002843357-image-3.png
    3. Transit Gateway 첨부 파일을 다음과 같이 구성하십시오:

      • Transit Gateway ID: Cato에 연결할 Transit Gateway를 선택하십시오.

      • 첨부 파일 유형: VPN

      • 고객 게이트웨이: 새로운

      • IP 주소: Cato 할당된 IP 주소를 입력하십시오 (위에서).

      • BGP ASN: 64515

      • 라우팅 옵션: 동적 (BGP 필요)

        360002923618-image-4.png
    4. 첨부 파일 생성을 클릭합니다.

    5. 닫기를 클릭합니다.

  3. VPN 연결을 생성하고 구성 파일을 다운로드하십시오.

    1. VPC 네비게이션 창에서 위로 스크롤하여 가상 프라이빗 네트워크(VPN)을 선택하고 사이트 간 VPN 연결을 클릭하십시오.

    2. 이전 단계에서 생성한 VPN 연결의 체크박스를 선택하고 구성 다운로드를 클릭합니다.

      360002923638-image-5.png
    3. 설정을 다음과 같이 구성하십시오:

      • 벤더: 일반

      • 플랫폼: 일반

      • 소프트웨어: 벤더 불문

        360002843397-image-6.png
    4. 다운로드를 클릭하십시오.

    5. 다운로드된 파일을 열고 IPsec 터널 #1 섹션 아래의 다음 항목을 주목하십시오:

      • 사전 공유 키

        360002843377-image-7.png
      • 외부 IP 주소 - 가상 사설 게이트웨이

        360002923678-image-8.png
      • 내부 IP 주소 - 고객 게이트웨이 및 가상 사설 게이트웨이

        360002843417-image-9.png
      • BGP 구성 옵션 - 가상 사설 게이트웨이 ASN 및 이웃 IP 주소

        360002923658-image-10.png
  4. Cato 관리 애플리케이션에서 IPsec 사이트를 생성하고 구성합니다.

    1. 네비게이션 메뉴에서 네트워크 > 사이트를 클릭하고 새로운을 클릭합니다.

      사이트 추가 패널이 열립니다,

    2. 사이트 설정을 다음과 같이 구성하십시오:

      • 이름: AWS TGW (예시)

      • 유형: 클라우드 데이터 센터

      • 연결 유형: IPsec IKEv1 (Cato-이니시에이트)

      • 국가: 구성된 사이트가 위치한 국가.

      • 주: 국가가 미국인 경우 주.

      • 라이센스: 적절한 라이센스를 선택하십시오.

      • 기본 범위: AWS VPC 서브넷 중 하나.

        360002843437-image-13.png
    3. 적용을 클릭하십시오.

    4. 사이트 화면에서, 새로운 AWS 사이트를 클릭하십시오.

    5. 네비게이션 메뉴에서 사이트 설정 > IPsec을 클릭하고 일반 섹션에서 AWS를 선택하십시오.

    6. 기본 섹션을 확장하고 다음 설정을 구성하십시오:

      • 서비스 유형: AWS

      • 기본 소스 (송신) IP: 위 3단계에서 할당된 고유 IP 주소.

      • 사이트 IP: AWS 구성 파일의 가상 사설 게이트웨이 외부 IP 주소.

      • 대역폭 (하향상향): 사이트 라이센스에 따른 대역폭.

      • 개인 IP

        • 사이트: AWS 구성 파일에서 가상 사설 게이트웨이 내부 IP 주소.

        • Cato: AWS 구성 파일에서 고객 게이트웨이 내부 IP 주소.

      • 기본 비밀번호 설정/변경: AWS 구성 파일에서 사전 공유 키

        360002923758-image-14.png
    7. 저장을 클릭합니다.

  5. 사이트에 대한 BGP 설정을 구성합니다.

    구성 패널에서 BGP를 클릭하고, (BGP 이웃 추가)를 클릭한 다음 다음 매개변수를 정의합니다:

    1. 탐색 메뉴에서 사이트 설정 > BGP를 선택합니다.

    2. 새로 만들기를 클릭합니다. 규칙 추가 패널이 열립니다.

    3. 일반 설정을 구성합니다:

      • 설명: AWS TWG #1 (예시)

      • ASN 설정

        • 피어: AWS 구성 파일에서 가상 사설 게이트웨이 ASN

        • Cato: Cato Cloud의 ASN

      • IP > 피어: AWS 구성 파일에서 이웃 IP 주소

    4. BGP 경로에 대한 정책 설정을 구성합니다:

      • 광고하려는 경로(기본 경로 및/또는 모든 경로)와 수락하려는 경로(동적 경로)의 옵션을 선택합니다.

      Add_BGP_Rule.png
    5. 적용을 클릭합니다.

  6. IPsec 터널 및 BGP 경로의 연결 상태가 연결됨인지 확인합니다.

    1. 탐색 창에서 IPsec을 선택한 후 연결 상태를 클릭합니다.

    2. 탐색 창에서 BGP를 선택한 다음 BGP 상태 보기를 클릭합니다.

      참고: Cato 경로는 AWS Transit Gateway 라우팅 테이블로 전파되지만 VPC 라우팅 테이블에는 전파되지 않습니다. 아래 절차에 표시된 대로 Transit Gateway를 대상으로 사용하여 각 VPC에서 온프레미스 네트워크로 돌아가는 경로를 만듭니다.

  7. AWS 콘솔의 탐색 창에서 가상 프라이빗 클라우드까지 스크롤한 후 라우팅 테이블을 클릭합니다.

  8. Transit Gateway를 통해 액세스하려는 VPC와 연관된 라우트 테이블을 선택하고 라우팅 탭을 클릭한 후 라우팅 편집을 클릭합니다.

    360002923778-image-18.png
  9. 라우트 추가를 클릭한 후 다음과 같이 설정을 구성합니다:

    • 목적지: 로컬 네트워크의 서브넷을 입력하십시오. 요약 경로일 수 있습니다.

    • 대상: Transit Gateway를 선택합니다.

      360002923798-image-19.png
  10. 이전 단계를 반복하여 VPC에 액세스해야 하는 모든 로컬 네트워크의 경로를 생성합니다.

  11. 경로 저장.을 클릭하십시오.

  12. 각 Transit Gateway를 통해 액세스해야 하는 VPC마다 8 - 11단계를 반복하십시오.

Transit Gateway와 Cato PoP 간의 이중화 터널 생성

AWS VPN 연결을 설정할 때,AWS는 고객 게이트웨이당 두 개의 VPN 터널을 제공합니다. 이는 AWS 측에 이중화를 제공하지만,두 터널이 동일한 PoP에 연결되어야 하므로 Cato Cloud 측에는 이중화를 제공하지 않습니다.

Cato Cloud와 AWS 모두에 이중화를 제공하려면,AWS에서 두 개의 고객 게이트웨이를 만든 다음,한 고객 게이트웨이에서 주요 터널을 위한 하나의 터널과 다른 고객 게이트웨이에서 보조 터널을 위한 하나의 터널을 정의해야 합니다. 이를 통해 서로 다른 위치의 PoP에서 주요 터널과 보조 터널을 구성할 수 있습니다.

다음 절차는 AWS 콘솔과 Cato 관리 애플리케이션 모두에서 보조 터널을 구성하는 방법에 대해 설명합니다.

참고

참고: 이 절차는 Cato 관리 애플리케이션에서 AWS Transit Gateway에 대한 하나의 터널을 이미 구성한 것으로 가정하며,이는 Transit Gateway와 Pop 간 주요 터널 생성에 설명된 대로입니다.

Cato Cloud를 통해 Transit Gateway와 Pop 간 이중화 터널을 생성하려면:

  1. Cato 관리 애플리케이션에서,사이트에 대한 Cato 할당된 IP 주소를 선택하십시오.

    1. 네비게이션 메뉴에서 네트워크 > IP 할당을 클릭하십시오.

      IP_Allocation.png
    2. 위치를 선택하십시오. Cato Networks에 의해 고유한 IP가 할당되었습니다.

      얻을 수 있는 고유 IP의 수는 라이센스에 의해 결정됩니다. 추가 IP가 필요하면 리셀러 또는 sales@catonetworks.com에 문의하십시오.

    3. 저장을 클릭하십시오.

  2. AWS 콘솔에서 Transit Gateway 첨부 파일을 생성하십시오.

    1. VPC 서비스를 열고 네비게이션 창에서 Transit Gateways까지 스크롤한 후 Transit Gateway 첨부 파일을 클릭하십시오.

    2. Transit Gateway 첨부 파일 생성을 클릭하십시오.

    3. Transit Gateway 첨부 파일을 다음과 같이 구성하십시오:

      • Transit Gateway ID: Cato에 연결하려는 Transit Gateway를 선택하십시오.

      • 첨부 유형: VPN

      • 고객 게이트웨이: 신규

      • IP 주소: Cato 할당 IP 주소를 입력하십시오(위에서).

      • BGP ASN: 64515

      • 라우팅 옵션: 동적 (BGP 필요)

        360002923618-image-4.png
    4. 첨부 파일 생성을 클릭하십시오.

    5. 닫기를 클릭하십시오.

  3. VPN 연결을 생성하고 구성 파일을 다운로드하십시오.

    1. VPC 네비게이션 창에서 가상 사설 네트워크(VPN)까지 스크롤하고 사이트 대 사이트 VPN 연결을 클릭하십시오.

    2. 이전 단계에서 생성된 VPN 연결의 체크박스를 선택하고 구성 다운로드를 클릭하십시오.

      360002923878-image-21.png
    3. 설정을 다음과 같이 구성하십시오.

      • 공급업체: 일반

      • 플랫폼: 일반

      • 소프트웨어: 공급업체 무관

        360002843397-image-6.png
    4. 다운로드를 클릭하십시오.

    5. 다운로드된 파일을 열고 IPsec 터널 #1 섹션에서 다음 항목을 확인하십시오:

      • 프리-공유 키

        360002843377-image-7.png
      • 외부 IP 주소 - 가상 사설 게이트웨이

        360002923678-image-8.png
      • 내부 IP 주소 - 고객 게이트웨이 및 가상 사설 게이트웨이

        360002843417-image-9.png
      • BGP 구성 옵션 - 가상 사설 게이트웨이 ASN 및 이웃 IP 주소

        360002923658-image-10.png
  4. Cato 관리 애플리케이션에서 AWS 트랜싯 게이트웨이 IPsec 사이트를 보조 터널용으로 구성합니다.

    1. 네비게이션 메뉴에서 네트워크 > 사이트를 클릭하고 AWS 트랜싯 게이트웨이 IPsec 사이트를 클릭합니다.

    2. 네비게이션 메뉴에서 사이트 설정 > IPsec을 클릭하고 일반 섹션에서 AWS를 선택합니다.

    3. 보조 섹션을 확장하고 다음 설정을 구성합니다:

      • 기본 소스(송신) IP: Cato에서 할당한 유일한 IP 주소입니다.

      • 사이트 IP: AWS 구성 파일에서의 가상 사설 게이트웨이 외부 IP 주소입니다.

      • 대역폭 (하향상향): 사이트 라이선스에 따른 대역폭입니다.

      • 개인 IP

        • 사이트: AWS 구성 파일의 가상 사설 게이트웨이 내부 IP 주소입니다.

        • Cato: AWS 구성 파일의 고객 게이트웨이 내부 IP 주소입니다.

      • 기본 비밀번호 설정/변경: AWS 구성 파일에서의 프리-공유 키

        AWS_IPsec_Secondary.png
    4. 저장을 클릭하십시오.

  5. 사이트의 보조 터널용 BGP 설정을 구성합니다.

    1. 네비게이션 메뉴에서 사이트 설정 > BGP를 선택합니다.

    2. 새로 만들기를 클릭하십시오. 규칙 추가 패널이 열립니다.

    3. 일반 설정을 구성합니다:

      • 설명: AWS TWG #2 (예시)

      • ASN 설정

        • 피어: AWS 구성 파일의 가상 사설 게이트웨이 ASN

        • Cato: Cato Cloud 의 ASN

      • IP > 피어: AWS 구성 파일의 이웃 IP 주소

    4. BGP 경로에 대한 정책 설정을 구성합니다:

      • 홍보하고 싶은 경로(기본 경로 및/또는 모든 경로)와 수락하고 싶은 경로(동적 경로)의 옵션을 선택하십시오.

    5. 적용, 그리고 클릭 저장

      AWS_TWG_2_BGP_Rules.png
  6. IPsec 터널과 BGP 라우트의 연결 상태가 연결됨을 확인합니다.

    1. 네비게이션에서 IPsec을 선택 그리고 연결 상태를 클릭하십시오.

    2. 네비게이션에서 BGP를 선택 그리고 BGP 상태 보기를 클릭하고 보조 터널의 상태를 확인하십시오.

      참고: 카토 라우트는 AWS Transit Gateway 라우팅 테이블로 전파되지만 VPC 라우팅 테이블로는 전파되지 않습니다. 아래 절차에 표시된 대로 Transit Gateway를 대상으로 하여 각 VPC에서 온-프레미스 네트워크로 돌아가는 라우트를 생성하십시오.

도움이 되었습니까?

3명 중 3명이 도움이 되었다고 했습니다.

댓글 0개