Configurando Túneis VPN Redundantes para o Google Cloud Platform (GCP)

O GCP lançou recentemente uma nova opção de HA para o Gateway VPN. Se o gateway VPN redundante for escolhido, ele fornecerá dois endereços IP para máxima resiliência. A ativação do BGP é necessária para monitorar qual túnel está ativo.

Esta é a recomendação da Cato para a conexão mais resiliente ao GCP.

Passo 1

No Aplicativo de Gerenciamento Cato, navegue para Rede > Alocação de IP. Selecione novas localizações de PoP para o local GCP. O endereço IP alocado aparecerá no lado direito. Anote o endereço IP - você precisará inseri-lo na configuração do GCP.

Passo 2

No GCP, navegue para Conectividade Híbrida → VPN → Gateway VPN em Nuvem. Crie um novo gateway VPN:

mceclip1.png

Agora preencha os detalhes:

  • Nome - Nome identificável para o Gateway

  • Rede VPC - Esta é sua VPC

  • Região - A Região Geográfica em que você deseja criar o gateway

Atenção que criará dois endereços IP conforme indicado:

mceclip3.png

Passo 3

Navegue para Gateways VPN Par e crie um novo gateway VPN. Certifique-se de selecionar duas interfaces na seção Interfaces.

mceclip4.png
  • Endereço IP da Interface 0: digite o Endereço IP do principal PoP (passo 1)

  • Endereço IP da Interface 1: digite o Endereço IP do secundário PoP (passo 1)

Passo 4

Agora você deve criar um Roteador em Nuvem que gerenciará o emparelhamento BGP. BGP é necessário para priorizar qual túnel está ativo e qual é reserva.

Vá para Conectividade Híbrida → Roteadores em Nuvem e crie um novo Roteador.

Para o ASN do Google use um valor ASN privado (RFC 1918): 64512 a 65535.

Passo 5

Volte para a seção VPN e escolha o Gateway VPN em Nuvem. Clique no gateway VPN recém-criado e escolha Adicionar túnel VPN. No gateway VPN par, escolha par VPN (Cato PoPs) e certifique-se que Criar um par de túneis VPN está selecionado sob Alta Disponibilidade. No Roteador em Nuvem escolha o Roteador em Nuvem recentemente criado.

Agora, na parte inferior, ele força você a editar dois túneis VPN. Clique em cada um deles e insira os detalhes:

mceclip5.png

Preencha o nome para cada túnel (mestre/ reserva) e escolha uma chave pré-compartilhada.

Uma vez concluído, o assistente solicitará a configuração do BGP. Para cada túnel, configure as configurações relevantes do BGP:

  • Nome - apenas um nome para o emparelhamento BGP

  • ASN do Par - BGP ASN que você gostaria de atribuir ao lado Cato

  • MED - 100 para o túnel principal e 110 para a reserva

  • IP BGP do Roteador em Nuvem - Endereço IP do Roteador no lado do GCP

    • Deve pertencer ao mesmo CIDR /30 dentro do 169.254.0.0/16

    • Não pode usar os endereços de broadcast ou de rede nesses /30 redes

  • IP do Par BGP - Endereço IP do Roteador no lado do Cato

Passo 6

Volte para o Aplicativo de Gerenciamento Cato e crie um tipo de site IPsec IKEv2 (Redes > Site e clique em Novo). Use a seguinte configuração de site:

Seção IPsec IKEv2

  • Tipo de Serviço: escolha Genérico.

  • Primary/ Secondary Source (Egress) IP: select the IP address allocated in step 1.

  • IP de Destino Primário/ Secundário: insira os endereços IP do Gateway VPN em Nuvem do GCP.

  • Definir/Alterar Senha Primária/ Secundária: Insira a Chave Pré-Compartilhada especificada para cada túnel.

BGP

  • Crie dois pares BGP para Mestre e Reserva.

  • ASN e IPs do Vizinho conforme configurado no GCP.

  • Métricas: para o mestre, especifique BGP 100 e para a reserva 110.

  • Os intervalos de Tempo de Espera e de Keepalive podem ser alterados para 30 e 10, respectivamente, para convergência mais rápida.

  • Roteamento - não Aceitar qualquer rota do GCP. Sub-redes por trás do GCP devem ser configuradas na seção Redes assim como em sites regulares da Cato. Para anunciar, você pode escolher entre Rota padrão (uma rota 0.0.0.0/0 - WAN + Internet sobre Cato) e Todas as rotas (todas as redes em sua conta Cato serão anunciadas para o GCP - somente tráfego WAN).

Etapa 7

Pouco após salvar a configuração no Aplicativo de Gerenciamento Cato, você deve ver o estado Estabelecido para BGP e VPN dos dois túneis sob Túneis VPN na Nuvem no GCP:

mceclip7.png

Esse artigo foi útil?

Usuários que acharam isso útil: 5 de 5

0 comentário