Резервное VPN соединение с AWS, используя BGP

Следуя оригинальной статье о подключении ваших Активов AWS к Cato, статья ниже подробно излагает расширенные функции BGP. Функциональность BGP позволяет иметь резервное VPN соединение к облаку AWS, чтобы обеспечить максимальную надежность.

Настройка BGP с AWS

Эта процедура объясняет, как настроить сайт IKEv1 или IKEv2, который использует BGP для подключения к AWS.

  1. Убедитесь, что у вас есть по крайней мере 2 Общественных IP-адреса в Приложении Управления Cato (Сеть > Распределение IP-адресов):

    IP_Allocation.png
  2. В AWS создайте Виртуальный Частный Шлюз:

    360002046957-blobid0.png
  3. Перейдите к Вашей VPN Панели > Создать VPC. Отсюда создайте вашу новую VPC:

    360002150038-blobid1.png
  4. Перейдите в Шлюзы Клиентов. Создайте 2 Шлюза Клиентов, используя новый IP-адрес, распределенный выше (в том же Регион AWS):

    a. Имя - должно быть узнаваемым для вас.

    b. IP-адрес - это Публичные IP-адреса, которые вам были выделены в Приложении Управления Cato.

    c. VPC - для каждого Шлюза Клиента вам нужно будет убедиться, что вы выбрали тот же VPC.

    360002150078-blobid2.png
  5. Navigate to 'Site-To-Site VPN Connections' and create 2 VPN Connections (1 to each of the new Customer Gateways you have just created):

    a.Метка - Описательное Имя

    b. Шлюз Клиента - Здесь выберите один из Шлюзов Клиентов, которые вы создали

    c.Опция маршрутизации - Выберите Динамическую (BGP)

    d.Опции Туннеля - Если необходимо, вы можете задать IP-адреса Туннеля, но если оставить по умолчанию, AWS будет использовать диапазон 169.x.x.x.

    360002047017-blobid3.png

    Примечание: AWS использует IP Туннеля для создания BGP пира с Cato через туннель IPsec.

  6. Нажмите Скачать Конфигурацию для каждого из новых VPN Соединений, которые вы только что установили:

    360002151218-blobid0.png
  7. В этом файле получите следующую информацию, чтобы помочь настроить Приложение Управления Cato:

    a. Предварительно Поделенный Ключ

    b. Конфигурация BGP (Частный IP-адрес и ASN)

    360002047057-mceclip0.png
  8. В Приложении Управления Cato, перейдите к сайту, который вы хотите настроить IPsec/BGP.

    a. Настройка здесь точно такая же, как и для стандартного сайта IPsec, за исключением необходимости добавить частные IP-адреса, которые у вас есть в конфигурации AWS, которую вы скачали ранее.

    Пример сайта IKEv1:

    360002150318-blobid7.png

    Пример сайта IKEv2:

    AWS_IPsec_IKEv2.png

    b. В разделе BGP введите следующее:

    i. ASN's

    ii. Частные IP-адреса

    iii. Информация о маршрутизации

    360002047577-blobid1.png

    Примечание: Туннель с более низкой Метрикой будет предпочтительным маршрутом.

  9. Чтобы проверить Статус BGP соединения, выберите Показать статус BGP.

  10. Чтобы проверить в AWS, перейдите в Подключение Сайт-к-Сайту > Выберите ваше VPC соединение > Подробности туннеля. Отсюда вы можете увидеть, установлено ли VPN соединение и были ли BGP маршруты распространены в AWS.

    tunnel_details.png
  11. Примечание: Если вы хотите увидеть, какие маршруты были опубликованы на сайте AWS, перейдите в Таблица маршрутизации > Найдите вашу Таблицу маршрутизации > Выберите маршруты.

360002150458-blobid11.png

Тестирование BGP отказоустойчивости

Хотя Amazon не поддерживает тест отказоустойчивости в платформа AWS, тест отказоустойчивости BGP можно провести, используя Приложение управления Cato:

  1. Из-за Сайта Socket или при подключении с Клиентом Cato, выполните ping хоста в среде AWS.

  2. В Приложении управления Cato, перейдите к Сайту IPsec с BGP.

  3. Измените IP-адрес, чтобы создать отказоустойчивость:

    Убедитесь, что вы сохранили оригинальный IP-адрес, он вам потребуется после завершения теста.

    1. В разделе BGP, для основного соединения, измените IP-адрес Cato или Соседа:

    2. В разделе IPsec измените Частные IP-адреса для Cato или Соседа на тот же IP-адрес, что и в предыдущем шаге.

    3. Нажмите Сохранить.

  4. Пакеты начинают теряться, затем соединение восстанавливается, и вы видите, что отказоустойчивость BGP работает правильно.

  5. Чтобы вернуться к основной связи, измените IP-адрес BGP и IPsec обратно на исходные настройки. После нескольких потерянных пакетов соединение вернется к основной связи.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев