本文描述了如何通过单一非冗余 VPN 连接连接到 AWS。 尽管它快速简单,但对于生产环境,我们建议使用带有 BGP 的双隧道以实现最大冗余。
本文介绍如何使用 Amazon 虚拟专用网关通过单一 VPN 连接连接您的 AWS 资产到 Cato 云,并使用 静态路由。
Amazon 术语:
虚拟专用网关
虚拟专用网关 是 VPN 连接中 Amazon 侧的 VPN 端点。
客户网关
客户网关 是 VPN 连接中您这边的物理设备或软件应用程序。 当您创建 VPN 连接时,当从您的 VPN 连接侧生成流量时,VPN 隧道就会启动。 虚拟专用网关不是发起者;您的客户网关必须发起隧道。 有关 Amazon VPG(虚拟私有网关) 的更多信息
逐步配置指南:
假设我们在AWS上有一个工作服务(VPC、公有子网、Internet Gateway等),在VPC“Hen-GAOC-VPC”下,并且我们希望通过Cato Cloud进行连接。
注意:如果您没有VPC,则需要先创建一个。
- 选择您希望创建VPC的区域。 然后,点击VPC并创建一个VPC。
1)在 Cato 管理应用程序中,转到 网络 > IP 分配,并设置一个距离 AWS 资产位置最近的新建 IP(如果已分配,您也可以使用现有 IP 地址)。 在这个例子中,我们在新加坡分配了另一个IP(记得在IP分配后点击保存):
2) 在 AWS 中,导航到 VPC > 虚拟私有网络 (VPN) > 客户网关 并创建一个客户网关:
- 命名为 "Cato" + Cato IP 位置
- IP地址(输入在前一个IP分配部分中分配的IP地址)
3) 导航到 VPC > 虚拟私有网络 (VPN) > 虚拟专用网关,创建一个虚拟专用网关并将其附加到 VPC:
4) 导航到 VPC > 虚拟私有网络 (VPN) > 站点到站点 VPN 连接 并创建一个 VPN 连接:
- 选择第3节中创建的虚拟私有网关
- 选择第2节中创建的客户网关
- 将路由选项设置为 "静态"
- 在静态IP前缀部分,设置客户网关后的网络,即Cato(在以下示例中,我们通过Cato传输所有流量——常见使用案例)
- 隧道选项可留空(由Amazon自动生成)
5) 选择我们刚刚创建的 VPN 连接 并点击 下载配置:
- 选择供应商 "通用"
- 下载配置
6) 打开配置文件并搜索 预共享密钥 (我们马上会用到):
7) 导航到 VPC > 虚拟专用网络 (VPN) > 站点到站点 VPN 连接。 一旦状态显示为 可用,检查页面左下角的 隧道详细信息 并复制 Amazon 隧道 1 的 外部IP地址。
8) 在 Cato 管理应用程序中,转到 网络 > 站点 并点击 新建 :
- 选择站点类型
- 在 连接类型 下,选择 IPsec IKEv1(Cato-发起)
- 选择相关国家
- 在原生范围中配置相关的 AWS VPC 范围
9) 站点创建后,向下滚动到 IPsec 部分:
- 服务类型:"AWS"
- 将主源IP设置为我们之前分配的IP
- 将主目标IP设置为从第7节选择的IP
- 设置从第6节挑选的密码
注意:对于 IKEv2 隧道,建议配置多个活跃隧道。 有关更多信息,请参见 配置 IPsec IKEv2 站点。
10) 保存并滚动到 显示连接详细信息(右上角)
- 状态应显示为 已连接。
11) 在 AWS 上,导航到 VPC > 路由表.选择 VPC 的路由表,路由传播:
- 编辑现有条目,启用传播并保存
12) 在同一 路由表中,转到 路由并 删除(如果有)旧的互联网网关 0.0.0.0 条目。 这确保所有流量通过 Cato 传输。
0 条评论
请登录写评论。