使用 BGP 与 AWS 建立冗余 VPN 连接

继原始文章将您的AWS资产连接到Cato之后,以下文章对BGP扩展功能进行了详细说明。 BGP 功能允许在 AWS 云中建立冗余 VPN 连接,以确保最大化冗余性。

配置 AWS 的 BGP

此过程说明如何设置使用BGP连接到AWS的IKEv1或IKEv2站点。

  1. 确保您在 Cato 管理应用程序中有至少 2 个公网 IP 地址 (网络 > IP 分配):

    IP_Allocation.png
  2. 在 AWS 中,创建一个虚拟专用网关:

    360002046957-blobid0.png
  3. 导航至 您的 VPN 仪表板 > 创建 VPC。 从这里创建您的新 VPC:

    360002150038-blobid1.png
  4. 导航至 客户网关。 使用上面分配的新IP地址(在相同的AWS区域)创建2个客户网关

    a. 名称 - 需要是您可识别的。

    b. IP 地址 - 这些是您在 Cato 管理应用程序中被分配的公网 IP 地址。

    c. VPC - 对于每个客户网关,您需要确保选择同一个 VPC。

    360002150078-blobid2.png
  5. 导航到'站点到站点VPN连接'并创建2个VPN连接(为您刚创建的每个新的客户网关创建1个连接):

    a.标签 - 描述名称

    b. 客户网关 - 在这里选择您创建的其中一个客户网关

    c.路由选项 -选择动态(BGP)

    d.隧道选项 - 如果需要,您可以指定隧道 IP,但如果保持默认,AWS 将使用 169.x.x.x 范围。

    360002047017-blobid3.png

    注意: AWS 使用隧道 IP 通过 IPsec 隧道与 Cato 创建 BGP 对等连接。

  6. 点击 下载配置 对您刚设置的每个新的 VPN 连接:

    360002151218-blobid0.png
  7. 从此文件中获取以下信息以协助设置 Cato 管理应用程序:

    a. 预共享密钥

    b.BGP配置(私有IP地址和ASN)

    360002047057-mceclip0.png
  8. 在 Cato 管理应用程序中,导航至您要设置 IPsec/BGP 的站点。

    a. 这里的设置与标准 IPsec 站点完全相同,您只需添加之前下载的 AWS 配置中的私有 IP 地址即可。

    IKEv1站点示例:

    360002150318-blobid7.png

    IKEv2站点示例:

    AWS_IPsec_IKEv2.png

    b. 在 BGP 部分,输入以下信息:

    i. ASN's

    ii. 私有 IP 地址

    iii. 路由信息

    360002047577-blobid1.png

    注意: 度量值较低的隧道将是首选路由。

  9. 要检查 BGP 连接的状态,请选择 显示BGP状态

  10. 要在 AWS 中进行检查,请导航至 站点到站点连接 > 选择您的 VPC 连接 > 隧道详细信息。 从这里您可以查看 VPN 连接是否已经建立以及 BGP 路由是否已传播到 AWS。

    tunnel_details.png
  11. 注意: 如果您想查看发布到 AWS 站点的路由,请转到 路由表 > 查找您的路由表 > 选择路由

360002150458-blobid11.png

测试 BGP 故障转移

虽然 AWS 平台 不支持故障转移测试,但可以使用 Cato 管理应用程序进行 BGP 故障转移测试:

  1. 从 Socket 站点之后或通过 Cato 客户端连接,ping AWS 环境中的主机。

  2. 在 Cato 管理应用程序中,转到具有 BGP 的 IPsec 站点。

  3. 更改 IP 地址以创建故障转移:

    确保您保存原始 IP 地址,测试完成后需要使用它。

    1. BGP 部分,对于主要连接,更改 Cato 或邻居的 IP 地址:

    2. IPsec 部分,更改 私有 IP 地址Cato邻居 至前一步中的相同 IP 地址。

    3. 点击 保存

  4. Ping 开始丢弃,然后连接失败并且您会看到 BGP 故障转移正常工作。

  5. 要返回到主要链接,将 BGP 和 IPsec IP 地址更改回原始设置,之后几个 ping 丢弃后,连接返回到主要连接。

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论