Следуя оригинальной статье о подключении ваших Активов AWS к Cato, статья ниже подробно излагает расширенные функции BGP. Функциональность BGP позволяет иметь резервное VPN соединение к облаку AWS, чтобы обеспечить максимальную надежность.
Эта процедура объясняет, как настроить сайт IKEv1 или IKEv2, который использует BGP для подключения к AWS.
-
Убедитесь, что у вас есть по крайней мере 2 Общественных IP-адреса в Приложении Управления Cato (Сеть > Распределение IP-адресов):
-
В AWS создайте Виртуальный Частный Шлюз:
-
Перейдите к Вашей VPN Панели > Создать VPC. Отсюда создайте вашу новую VPC:
-
Перейдите в Шлюзы Клиентов. Создайте 2 Шлюза Клиентов, используя новый IP-адрес, распределенный выше (в том же Регион AWS):
a. Имя - должно быть узнаваемым для вас.
b. IP-адрес - это Публичные IP-адреса, которые вам были выделены в Приложении Управления Cato.
c. VPC - для каждого Шлюза Клиента вам нужно будет убедиться, что вы выбрали тот же VPC.
-
Navigate to 'Site-To-Site VPN Connections' and create 2 VPN Connections (1 to each of the new Customer Gateways you have just created):
a.Метка - Описательное Имя
b. Шлюз Клиента - Здесь выберите один из Шлюзов Клиентов, которые вы создали
c.Опция маршрутизации - Выберите Динамическую (BGP)
d.Опции Туннеля - Если необходимо, вы можете задать IP-адреса Туннеля, но если оставить по умолчанию, AWS будет использовать диапазон 169.x.x.x.
Примечание: AWS использует IP Туннеля для создания BGP пира с Cato через туннель IPsec.
-
Нажмите Скачать Конфигурацию для каждого из новых VPN Соединений, которые вы только что установили:
-
В этом файле получите следующую информацию, чтобы помочь настроить Приложение Управления Cato:
a. Предварительно Поделенный Ключ
b. Конфигурация BGP (Частный IP-адрес и ASN)
-
В Приложении Управления Cato, перейдите к сайту, который вы хотите настроить IPsec/BGP.
a. Настройка здесь точно такая же, как и для стандартного сайта IPsec, за исключением необходимости добавить частные IP-адреса, которые у вас есть в конфигурации AWS, которую вы скачали ранее.
Пример сайта IKEv1:
Пример сайта IKEv2:
b. В разделе BGP введите следующее:
i. ASN's
ii. Частные IP-адреса
iii. Информация о маршрутизации
Примечание: Туннель с более низкой Метрикой будет предпочтительным маршрутом.
-
Чтобы проверить Статус BGP соединения, выберите Показать статус BGP.
-
Чтобы проверить в AWS, перейдите в Подключение Сайт-к-Сайту > Выберите ваше VPC соединение > Подробности туннеля. Отсюда вы можете увидеть, установлено ли VPN соединение и были ли BGP маршруты распространены в AWS.
-
Примечание: Если вы хотите увидеть, какие маршруты были опубликованы на сайте AWS, перейдите в Таблица маршрутизации > Найдите вашу Таблицу маршрутизации > Выберите маршруты.
Хотя Amazon не поддерживает тест отказоустойчивости в платформа AWS, тест отказоустойчивости BGP можно провести, используя Приложение управления Cato:
-
Из-за Сайта Socket или при подключении с Клиентом Cato, выполните ping хоста в среде AWS.
-
В Приложении управления Cato, перейдите к Сайту IPsec с BGP.
-
Измените IP-адрес, чтобы создать отказоустойчивость:
Убедитесь, что вы сохранили оригинальный IP-адрес, он вам потребуется после завершения теста.
-
В разделе BGP, для основного соединения, измените IP-адрес Cato или Соседа:
-
В разделе IPsec измените Частные IP-адреса для Cato или Соседа на тот же IP-адрес, что и в предыдущем шаге.
-
Нажмите Сохранить.
-
-
Пакеты начинают теряться, затем соединение восстанавливается, и вы видите, что отказоустойчивость BGP работает правильно.
-
Чтобы вернуться к основной связи, измените IP-адрес BGP и IPsec обратно на исходные настройки. После нескольких потерянных пакетов соединение вернется к основной связи.
0 комментариев
Войдите в службу, чтобы оставить комментарий.