O AWS Transit Gateway oferece interconectividade VPC de malha completa e permite que você acesse todas as suas Nuvens Privadas Virtuais (VPCs) com uma única conexão VPN. Você pode configurar túneis IPsec primários e secundários iniciados por Cato para seu AWS Transit Gateway com BGP para fornecer alta disponibilidade robusta. Cato influencia as métricas de rota BGP para que o túnel primário seja sempre o caminho preferido e, se for desconectado, o tráfego é imediatamente roteado pelo túnel secundário.
Nota: O ECMP não é suportado pela Cato e deve ser desativado se você estiver criando um novo AWS Transit Gateway.
Termo |
Descrição |
Gateway Privado Virtual |
O concentrador VPN do lado da conexão VPN da Amazon. |
Gateway do Cliente |
Um dispositivo físico ou aplicativo de software do seu lado da conexão VPN. Quando você cria uma conexão VPN, o túnel VPN é ativado quando o tráfego é gerado do seu lado da conexão VPN. O gateway privado virtual não é o iniciador; seu gateway do cliente deve iniciar os túneis. Neste contexto, o PoP Cato é o Gateway do Cliente. |
No procedimento a seguir, conectaremos através da Nuvem Cato ao AWS Transit Gateway.
Para criar um túnel entre o Transit Gateway e seu PoP através da Nuvem Cato:
-
No Aplicativo de Gerenciamento Cato, selecione um endereço IP Alocado da Cato para o site.
-
No menu de navegação, clique em Rede > Alocação de IP.
-
Selecione uma localização. Um IP único é Alocado pela Cato Networks.
O número de IPs únicos que você pode obter é determinado pela sua licença. Para mais IPs, entre em contato com seu Revendedor ou sales@catonetworks.com.
-
Clique em Salvar.
-
-
No console AWS, crie o Anexo do Transit Gateway.
-
Abra o serviço VPC, em seguida, no painel de navegação, role para baixo até Transit Gateways e clique em Anexos do Transit Gateway.
-
Clique em Criar anexo do Transit Gateway.
-
Configure o Anexo do Transit Gateway da seguinte forma:
-
ID do Transit Gateway: selecione o Transit Gateway que deseja conectar à Cato.
-
Tipo de Anexo: VPN
-
Gateway do Cliente: Novo
-
Endereço IP: insira o endereço IP Alocado pela Cato (de cima).
-
BGP ASN: 64515
-
Opções de Roteamento: Dinâmico (requer BGP)
-
-
Clique em Criar anexo.
-
Clique em Fechar.
-
-
Crie uma conexão VPN e baixe o arquivo de Configuração.
-
No painel de navegação VPC, role para cima até Rede Privada Virtual (VPN) e clique em Conexões VPN Site a Site.
-
Selecione a caixa de seleção da Conexão VPN criada na etapa anterior e clique em Baixar Configuração.
-
Configure as Configurações da seguinte forma:
-
Fornecedor: Genérico
-
Plataforma: Genérico
-
Software: Independente do Fornecedor
-
-
Clique em Baixar.
-
Abra o arquivo baixado e anote os seguintes itens na seção Túnel IPsec #1:
-
Chave Pré-Compartilhada
-
Endereços IP Externos - Gateway Privado Virtual
-
Endereços IP Internos - Gateway do Cliente e Gateway Privado Virtual
-
Opções de Configuração BGP - ASN do Gateway Privado Virtual e Endereço IP do Vizinho
-
-
-
No Aplicativo de Gerenciamento Cato, crie e configure o site IPsec.
-
No menu de navegação, clique em Rede > Sites e clique em Novo.
O painel Adicionar Site é aberto,
-
Configure as configurações do site da seguinte forma:
-
Nome: AWS TGW (exemplo)
-
Tipo: Centro de Dados na Nuvem
-
Tipo de Conexão: IPsec IKEv1 (Iniciada pela Cato)
-
País: O país no qual o site configurado está localizado.
-
Estado: O estado se o país for os Estados Unidos.
-
Licença: Selecione a licença apropriada.
-
Faixa Nativa: Qualquer uma das suas sub-redes VPC da AWS.
-
-
Clique em Aplicar.
-
Na tela Sites, clique no novo site AWS.
-
No menu de navegação, clique em Configurações do Site > IPsec e na seção Geral, selecione AWS.
-
Expanda a seção Principal, e configure as seguintes configurações:
-
Tipo de Serviço: AWS
-
Fonte Principal (Saída) IP: o endereço IP único alocado na etapa 3 acima.
-
IP do Site: o Endereço IP Externo do Gateway Privado Virtual do arquivo de configuração da AWS.
-
Largura de Banda (Recebida e Enviada): a largura de banda de acordo com a licença do site.
-
IPs Privados
-
Site: o Endereço IP Interno do Gateway Privado Virtual do arquivo de configuração da AWS.
-
Cato: o Endereço IP Interno do Gateway do Cliente do arquivo de configuração da AWS.
-
-
Definir/Alterar Senha Principal: a Chave Pré-Compartilhada do arquivo de configuração da AWS
-
-
Clique em Salvar.
-
-
Configurar as configurações BGP para o site.
No painel de configuração, clique em BGP, clique em (Adicionar Vizinho BGP), e então defina os seguintes parâmetros:
-
No menu de navegação, selecione Configurações do Site > BGP.
-
Clique em Novo. O painel Adicionar Regra é aberto.
-
Configure as configurações Gerais:
-
Descrição: AWS TWG #1 (exemplo)
-
Configurações de ASN
-
Par: o ASN do Gateway Privado Virtual do arquivo de configuração da AWS
-
Cato: ASN para o Cato Cloud
-
-
IP > Par: O endereço IP do Vizinho do arquivo de configuração da AWS
-
-
Configure as configurações Política de Roteamento BGP para as rotas BGP:
-
Selecione as opções para as rotas que você deseja anunciar (Rota padrão e/ou Todas as rotas) e as rotas que você deseja Aceitar (Rotas dinâmicas).
-
-
Clique em Aplicar.
-
-
Confirme que o estado de conectividade do túnel IPsec e das rotas BGP estão Conectados.
-
No painel de navegação, selecione IPsec e então clique em Status da Conexão.
-
No painel de navegação, selecione BGP e então clique em Mostrar Status do BGP.
Nota: As rotas Cato se propagam para a tabela de roteamento AWS Transit Gateway mas não para as tabelas de roteamento VPC. Crie rotas de volta para suas redes locais em cada VPC usando o Transit Gateway como alvo, conforme mostrado no procedimento abaixo.
-
-
No seu console da AWS, no painel de Navegação role para Virtual Private Cloud e clique em Tabelas de Rotas.
-
Selecione uma tabela de rotas associada a um VPC que você deseja acessar pelo Transit Gateway, clique na aba Rotas e depois clique em Editar.
-
Clique em Adicionar rota e configure as configurações da seguinte forma:
-
Destino: insira uma sub-rede da sua rede local. Isso pode ser uma Rota Resumida.
-
Alvo: Selecione o Transit Gateway.
-
-
Repita a etapa anterior para criar rotas para todas as suas redes locais que precisam de acesso ao VPC.
-
Clique em Salvar rotas.
-
Repita os passos 8 - 11 para cada VPC que você precise acessar pelo Transit Gateway.
Ao configurar uma conexão VPN da AWS, a AWS fornece dois túneis VPN por Gateway do Cliente. Embora isso forneça redundância no lado da AWS, não fornece redundância no lado da Cato Cloud, pois ambos os túneis devem ser conectados ao mesmo PoP.
Para fornecer redundância tanto para Cato Cloud quanto para AWS, você deve criar dois Gateways do Cliente na AWS, definir um túnel de um Gateway do Cliente para o túnel principal e um túnel do outro Gateway do Cliente para o túnel secundário. Isso permite configurar os túneis principal e secundário em PoPs em diferentes localizações.
O seguinte procedimento descreve como configurar um túnel secundário tanto no Console AWS quanto na Aplicação de Gerenciamento Cato.
Nota
Nota: Este procedimento assume que na Aplicação de Gerenciamento Cato você já configurou um túnel para o AWS Transit Gateway, conforme descrito em Criando o Túnel Principal entre o Transit Gateway e seu PoP.
Para criar um túnel redundante entre o Transit Gateway e seu PoP através da Cato Cloud:
-
Na Aplicação de Gerenciamento Cato, selecione um endereço IP alocado por Cato para o site.
-
No menu de navegação, clique em Rede > Alocação de IP.
-
Selecione uma localização. Um IP único é alocado pela Cato Networks.
O número de IPs únicos que você pode obter é determinado pela sua licença. Para IPs adicionais, contate seu Revendedor ou sales@catonetworks.com.
-
Clique em Salvar.
-
-
No console AWS, crie o Anexo do Transit Gateway.
-
Abra o serviço VPC, então no painel de navegação role para baixo até Transit Gateways e clique em Anexos de Transit Gateway.
-
Clique em Criar anexo de Transit Gateway.
-
Configure o Anexo do Transit Gateway da seguinte forma:
-
Clique em Criar anexo.
-
Clique em Fechar.
-
-
Crie uma conexão VPN e baixe o arquivo de configuração.
-
No painel de navegação VPC, role para cima até Rede Privada Virtual (VPN) e clique em Conexões VPN de Site a Site.
-
Selecione a caixa de seleção da Conexão VPN criada na etapa anterior e clique em Baixar Configuração.
-
Configure as configurações da seguinte forma:
-
Fornecedor: Genérico
-
Plataforma: Genérico
-
Software: Fornecedor Agnóstico
-
-
Clique em Baixar.
-
Abra o arquivo baixado e anote os seguintes itens na seção Túnel IPsec #1:
-
Chave Pré-Compartilhada
-
Endereços IP Externos- Gateway Privado Virtual
-
Endereços IP Internos - Gateway do Cliente e Gateway Privado Virtual
-
Opções de Configuração do BGP - ASN do Gateway Privado Virtual e Endereço IP do Vizinho
-
-
-
No Aplicativo de Gerenciamento Cato, configure o site IPsec do AWS Transit Gateway para túneis redundantes.
-
No menu de navegação, clique em Rede > Sites e clique no site IPsec do AWS Transit Gateway.
-
No menu de navegação, clique em Configurações do Site > IPsec e na seção Geral, selecione AWS.
-
Expanda a seção Secundário e configure as seguintes configurações:
-
Fonte Primária (Saída) IP: o único Endereço IP alocado pela Cato.
-
IP do Site: o Endereço IP Externo do Gateway Privado Virtual do arquivo de configuração da AWS.
-
Largura de Banda (Downstream e Upstream): a largura de banda de acordo com a Licença do Site.
-
IPs Privados
-
Site: o Endereço IP Interno do Gateway Privado Virtual do arquivo de configuração da AWS.
-
Cato: o Endereço IP Interno do Gateway do Cliente do arquivo de configuração da AWS.
-
-
Definido/Alterar Senha Principal: a Chave Pré-compartilhada do arquivo de configuração da AWS
-
-
Clique em Salvar.
-
-
Configurar as configurações do BGP para o túnel redundante para o site.
-
No menu de navegação, selecione Configurações do Site > BGP.
-
Clique em Novo. O painel Adicionar Regra é aberto.
-
Configurar as Configurações Gerais:
-
Configurar as Configurações de Política para as rotas BGP:
-
Selecione as opções para as rotas que deseja anunciar (Rota padrão e/ou Todas as rotas) e as rotas que deseja aceitar (Rotas dinâmicas).
-
-
Clique em Aplicar e, em seguida, clique em Salvar.
-
-
Confirme que o Estado da Conectividade do túnel IPsec e das rotas BGP estão Conectados.
-
No painel de navegação, selecione IPsec e, em seguida, clique em Status da Conexão.
-
No painel de navegação, selecione BGP e depois clique em Mostrar Status do BGP e verifique o status do túnel secundário.
Nota: As rotas da Cato se propagam para a Tabela de Roteamento do AWS Transit Gateway, mas não para as tabelas de roteamento do VPC. Crie rotas de volta para suas redes locais em cada VPC usando o AWS Transit Gateway como o destino, conforme mostrado no procedimento abaixo.
-
0 comentário
Por favor, entre para comentar.