AWS Transit Gateway обеспечивает полносетевую взаимосвязь VPC и позволяет вам подключиться ко всем вашим Виртуальным Частным Облакам (VPC) через одно VPN-соединение. Вы можете настроить основные и дополнительные Cato-инициированные туннели IPsec в ваш AWS Transit Gateway с помощью BGP для обеспечения высокой доступности. Cato влияет на метрики маршрутов BGP так, чтобы основной туннель всегда оставался предпочтительным путем, и в случае его отключения трафик сразу же перенаправляется через дополнительный туннель.
Примечание: ECMP не поддерживается Cato и должен быть отключен, если вы создаете новый AWS Transit Gateway.
Термин |
Описание |
Виртуальный Частный Шлюз |
VPN концентратор на стороне Amazon в VPN соединении. |
Клиентский Шлюз |
Физическое устройство или программное приложение на вашей стороне VPN соединения. Когда вы создаете VPN соединение, тоннель VPN активируется, когда трафик генерируется с вашей стороны VPN соединения. Виртуальный частный шлюз не является инициатором; ваш клиентский шлюз должен инициировать туннели. В этом контексте, Cato PoP является Клиентским Шлюзом. |
В следующей процедуре мы подключимся через Cato Cloud к AWS Transit Gateway.
Чтобы создать туннель между Transit Gateway и вашим PoP через Cato Cloud:
-
В Приложении Управления Cato выберите IP-адрес, выделенный Cato, для сайта.
-
В меню навигации нажмите Сеть > Распределение IP-адресов.
-
Выберите местоположение. Уникальный IP-адрес выделяется Cato Networks.
Количество уникальных IP-адресов, которые вы можете получить, определяется вашей лицензией. Для дополнительных IP-адресов свяжитесь с вашим реселлером или sales@catonetworks.com.
-
Нажмите Сохранить.
-
-
В консоли AWS создайте вложение Transit Gateway.
-
Откройте сервис VPC, затем в панели навигации прокрутите вниз до Transit Gateways и нажмите Вложения Transit Gateway.
-
Нажмите Создать вложение Transit Gateway.
-
Настройте вложение Transit Gateway следующим образом:
-
ID Transit Gateway: выберите Transit Gateway, к которому вы хотите подключиться Cato.
-
Тип вложения: VPN
-
Клиентский Шлюз: Новый
-
IP-адрес: введите IP-адрес, выделенный Cato (из вышеуказанного).
-
BGP ASN: 64515
-
Опции маршрутизации: Динамический (требуется BGP)
-
-
Нажмите Создать вложение.
-
Нажмите Закрыть.
-
-
Создайте VPN соединение и скачайте файл конфигурации.
-
В панели навигации VPC прокрутите вверх до Виртуальная Частная Сеть (VPN) и нажмите Site-to-Site Соединения VPN.
-
Выберите флажок созданного на предыдущем шаге VPN соединения и нажмите Скачать Конфигурацию.
-
Настройте параметры следующим образом:
-
Производитель: Общий тип
-
Платформа: Общий тип
-
Программное обеспечение: Не зависит от производителя
-
-
Щелкните Скачать.
-
Откройте загруженный файл и обратите внимание на следующие элементы в разделе IPsec Tunnel #1:
-
Предварительно общая ссылка
-
Внешние IP-адреса - Виртуальный частный шлюз
-
Внутренние IP-адреса - Клиентский шлюз и Виртуальный частный шлюз
-
Опции настройки BGP - ASN Виртуального частного шлюза и IP-адрес соседа
-
-
-
В Приложение Управления Cato, создайте и настройте IPsec сайт.
-
В меню навигации нажмите Сеть > Сайты и нажмите Новый.
Откроется панель Добавить сайт,
-
Настройте параметры сайта следующим образом:
-
Название: AWS TGW (пример)
-
Тип: Облачный Центр Обработки Данных
-
Тип соединения: IPsec IKEv1 (Инициировано Cato)
-
Страна: Страна, в которой расположен настроенный сайт.
-
Штат: Штат, если страна Соединенные Штаты.
-
Лицензия: Выберите подходящую лицензию.
-
Собственный диапазон: Любой из ваших подсетей AWS VPC.
-
-
Щелкните Применить.
-
На экране Сайты нажмите на новый сайт AWS.
-
В меню навигации нажмите Настройки сайта > IPsec и в разделе Общие выберите AWS.
-
Разверните раздел Основной и настройте следующие параметры:
-
Тип службы: AWS
-
Первичный источник (Исходящий) IP: уникальный IP-адрес, выделенный выше в шаге 3.
-
IP-адрес сайта: Внешний IP-адрес Виртуального частного шлюза из файла конфигурации AWS.
-
Пропускная способность (Входящий трафик и Исходящий): пропускная способность в соответствии с лицензией сайта.
-
Частные IP-адреса
-
Сайт: Внутренний IP-адрес Виртуального частного шлюза из файла конфигурации AWS.
-
Cato: Внутренний IP-адрес Клиентского шлюза из файла конфигурации AWS.
-
-
Установить/Изменить основной пароль: Предварительно общая ссылка из файла конфигурации AWS
-
-
Щелкните Сохранить.
-
-
Настройте параметры BGP для сайта.
В панели конфигурации щелкните BGP, щелкните (Добавить BGP соседа), а затем определите следующие параметры:
-
В меню навигации выберите Настройки сайта > BGP.
-
Щелкните Новый. Откроется панель Добавить правило.
-
Настройте Общие настройки:
-
Описание: AWS TWG #1 (Пример)
-
Настройки ASN
-
Пир: виртуальный частный шлюз ASN из конфигурационного файла AWS
-
Cato: ASN для Cato Cloud
-
-
IP > Пир: IP-адрес соседа из конфигурационного файла AWS
-
-
Настроить Политика маршрутизации настройки для маршрутов BGP:
-
Выберите параметры для маршрутов, которые вы хотите объявлять (Маршрут по умолчанию и/или Все маршруты) и маршрутов, которые вы хотите принять (Динамические маршруты).
-
-
Нажмите Применить.
-
-
Подтвердите, что статус подключения IPsec туннеля и маршрутов BGP Подключено.
-
В навигационной панели выберите IPsec, а затем нажмите Статус подключения.
-
В навигационной панели выберите BGP, а затем нажмите Показать статус BGP.
Примечание: Маршруты Cato распространяются в таблицу маршрутизации AWS Transit Gateway, но не в таблицы маршрутизации VPC. Создайте маршруты обратно к вашим локальным сетям в каждом VPC, используя Transit Gateway в качестве цели, как показано в процедуре ниже.
-
-
В консоли AWS в навигационной панели прокрутите до Virtual Private Cloud и нажмите Таблицы маршрутизации.
-
Выберите таблицу маршрутизации, связанную с VPC, к которому вы хотите получить доступ через Transit Gateway, нажмите вкладку Маршруты, затем нажмите Редактировать маршруты.
-
Нажмите Добавить маршрут, затем настройте параметры следующим образом:
-
Назначение: введите подсеть вашей локальной сети. Это может быть сводный маршрут.
-
Цель: выберите Transit Gateway.
-
-
Повторите предыдущий шаг, чтобы создать маршруты для всех ваших локальных сетей, которым нужен доступ к VPC.
-
Нажмите Сохранить маршруты.
-
Повторите шаги 8 - 11 для каждого VPC, к которому вам нужно получить доступ через Transit Gateway.
При настройке подключения AWS VPN, AWS предоставляет два VPN туннеля на клиентский шлюз. Хотя это обеспечивает резервирование на стороне AWS, оно не обеспечивает резервирование на стороне Cato Cloud, поскольку оба туннеля должны быть подключены к одному и тому же PoP.
Чтобы обеспечить резервирование как для Cato Cloud, так и для AWS, вы должны создать два клиентских шлюза в AWS, затем определить один туннель от одного клиентского шлюза для основного туннеля и один туннель от другого клиентского шлюза для вторичного туннеля. Это позволяет вам настроить основные и вторичные туннели на PoP в разных локациях.
Следующая процедура описывает, как настроить вторичный туннель как в консоли AWS, так и в приложении управления Cato.
Примечание
Примечание: Эта процедура предполагает, что в приложении управления Cato вы уже настроили один туннель для AWS Transit Gateway, как описано в Создание основного туннеля между Transit Gateway и вашим PoP.
Чтобы создать резервный туннель между Transit Gateway и вашим PoP через Cato Cloud:
-
В приложении управления Cato выберите выделенный IP-адрес для сайта.
-
В меню навигации нажмите Сеть > Распределение IP.
-
Выберите местоположение. Cato Networks выделяет уникальный IP.
Количество уникальных IP-адресов, которые вы можете получить, определяется вашей лицензией. Для получения дополнительных IP-адресов свяжитесь с вашим реселлером или sales@catonetworks.com.
-
Нажмите Сохранить.
-
-
В консоли AWS создайте привязку переходного шлюза.
-
Откройте сервис VPC, затем в панели навигации прокрутите вниз до Переходные шлюзы и щелкните Привязки переходного шлюза.
-
Щелкните Создать привязку переходного шлюза.
-
Настройте привязку переходного шлюза следующим образом:
-
Щелкните Создать привязку.
-
Щелкните Закрыть.
-
-
Создайте VPN соединение и скачайте файл конфигурации.
-
В панели навигации VPC прокрутите вверх до Виртуальная частная сеть (VPN) и щелкните Соединения VPN "точка-точка".
-
Выберите флажок соединения VPN, созданного на предыдущем шаге, и щелкните Скачать конфигурацию.
-
Настройте параметры следующим образом:
-
Производитель: Общий тип
-
Платформа: Общий тип
-
Программное обеспечение: Не зависящее от поставщика
-
-
Щелкните Скачать.
-
Откройте загруженный файл и обратите внимание на следующие элементы в разделе IPsec туннель №1:
-
Предварительно общий ключ
-
Внешние IP-адреса- Виртуальный частный шлюз
-
Внутренние IP-адреса - Клиентский шлюз и Виртуальный частный шлюз
-
Опции конфигурации BGP - ASN виртуального частного шлюза и IP-адрес соседа
-
-
-
В Приложении Управления Cato настройте сайт AWS Transition Gateway IPsec для отказоустойчивых туннелей.
-
Из меню навигации выберите Сеть > Сайты и кликните на сайт IPsec переходного шлюза AWS.
-
Из меню навигации выберите Настройки Сайта > IPsec и в разделе Общие выберите AWS.
-
Разверните раздел Вторичный и настройте следующие параметры:
-
Основной источник (Egress) IP: уникальный IP-адрес, выделенный Cato.
-
IP-адрес сайта: Внешний IP-адрес виртуального частного шлюза из файла конфигурации AWS.
-
Пропускная способность (Исходящий трафик и Входящий трафик): пропускная способность согласно Лицензии на сайт.
-
Частные IP-адреса
-
Сайт: Внутренний IP-адрес виртуального частного шлюза из файла конфигурации AWS.
-
Cato: Внутренний IP-адрес клиентского шлюза из файла конфигурации AWS.
-
-
Установить/Изменить основной пароль: Предварительно Shared Key из файла конфигурации AWS
-
-
Кликните Сохранить.
-
-
Настройте BGP настройки для избыточного туннеля для площадки.
-
В меню навигации выберите Настройки сайта > BGP.
-
Кликните Новый. Панель Добавить Правило открыта.
-
Настройте Общие настройки:
-
Настройте политику для маршрутов BGP:
-
Выберите параметры для маршрутов, которые вы хотите объявлять (Маршрут по умолчанию и/или Все маршруты) и маршруты, которые вы хотите принять (Динамические маршруты).
-
-
Кликните Применить, затем кликните Сохранить.
-
-
Подтвердите, что статус подключения IPsec туннеля и маршрутов BGP - Подключено.
-
В панели навигации выберите IPsec, затем кликните Статус соединения.
-
В панели навигации выберите BGP, затем кликните Показать статус BGP и проверьте статус вторичного туннеля.
Примечание: маршруты Cato распространяются в таблицу маршрутизации AWS Transit Gateway, но не в таблицы маршрутизации VPC. Создайте маршруты обратно к вашим локальным сетям в каждом VPC, используя Transit Gateway в качестве цели, как показано в следующей процедуре.
-
0 комментариев
Войдите в службу, чтобы оставить комментарий.