Seguindo o artigo original sobre conectar seus ativos AWS ao Cato, o artigo abaixo elabora sobre a funcionalidade estendida do BGP. A funcionalidade BGP permite ter uma conexão VPN redundante com a nuvem AWS para garantir máxima redundância.
Este procedimento explica como configurar um site IKEv1 ou IKEv2 que usa BGP para se conectar à AWS.
-
Certifique-se de ter pelo menos 2 Endereços IP públicos na Aplicação de Gerenciamento Cato (Rede > Alocação de IP):
-
No AWS, crie um Gateway Virtual Privado:
-
Navegue até o Seu Painel VPN > Criar VPC. A partir daqui, crie seu novo VPC:
-
Navegue até os Gateways do Cliente. Crie 2 Gateways do Cliente usando o novo Endereço IP alocado acima (na mesma Região AWS):
a. Nome - precisa ser reconhecível para você.
b. Endereço IP - estes são Endereços IP Públicos que foram alocados para você na Aplicação de Gerenciamento Cato.
c. VPC - para cada Gateway do Cliente, será necessário garantir que você selecione o mesmo VPC.
-
Navigate to 'Site-To-Site VPN Connections' and create 2 VPN Connections (1 to each of the new Customer Gateways you have just created):
a.Tag de Nome - Nome descritivo
b. Gateway do Cliente - Selecione aqui um dos Gateways do Cliente que você criou
c.Opção de Roteamento - Selecione Dinâmico (BGP)
d.Opções de Túnel - Você estipula os IPs do Túnel se necessário, mas se deixado como padrão, o AWS usará a faixa 169.x.x.x.
Nota: AWS usa o IP do Túnel para criar o par BGP com Cato sobre o túnel IPsec.
-
Clique em Download da Configuração para cada uma das novas Conexões VPN que você acabou de configurar:
-
Dentro deste arquivo obtenha as seguintes informações para ajudar a configurar a Aplicação de Gerenciamento Cato:
a. Chave Pré-compartilhada
b. Configuração BGP (Endereço IP Privado e ASN)
-
Na Aplicação de Gerenciamento Cato, navegue até o Site que você deseja configurar IPsec/BGP.
a. A configuração aqui é exatamente a mesma que você faria para um site IPsec padrão, exceto que você precisa adicionar os endereços IP privados que você tem na configuração da AWS que baixou anteriormente.
Exemplo de site IKEv1:
Exemplo de site IKEv2:
b. Na seção BGP, insira o seguinte:
i. ASN's
ii. IPs Privados
iii. Informações de Roteamento
Nota: O túnel com a Métrica mais baixa será a rota preferida.
-
Para verificar o status da conexão BGP selecione Mostrar Status do BGP.
-
Para verificar no AWS, navegue até Conexão de Site-para-Site > Selecione sua conexão VPC > Detalhes do Túnel. A partir daqui você pode ver se a conexão VPN está e se as rotas BGP foram propagadas para o AWS.
-
Nota: Se você quiser ver quais rotas foram publicadas no site AWS, vá para Tabela de Roteamento > Encontre sua Tabela de Roteamento > Selecione Rotas.
Embora a Amazon não suporte o teste de failover dentro da plataforma AWS, o teste de failover BGP pode ser feito usando o Aplicativo de Gerenciamento Cato:
-
De trás de um site Socket ou conectando com o Cliente Cato, pingue um host dentro do ambiente AWS.
-
No Aplicativo de Gerenciamento Cato, vá para o site IPsec com BGP.
-
Altere o endereço IP para criar um failover:
Certifique-se de salvar o endereço IP original, você precisará dele após o teste ser concluído.
-
Na seção BGP, para a conexão principal, altere o endereço IP de Cato ou do Vizinho:
-
Na seção IPsec, altere os IPs Privados para Cato ou Vizinho para o mesmo endereço IP no passo anterior.
-
Clique em Salvar.
-
-
Os pings começam a cair e então a conexão falha e você vê que o failover BGP está funcionando corretamente.
-
Para voltar para o link principal, altere o endereço IP do BGP e do IPsec para as configurações originais, Após alguns pings descartados, a conexão retorna para a conexão principal.
0 comentário
Por favor, entre para comentar.