继原始文章将您的AWS资产连接到Cato之后,以下文章对BGP扩展功能进行了详细说明。 BGP 功能允许在 AWS 云中建立冗余 VPN 连接,以确保最大化冗余性。
此过程说明如何设置使用BGP连接到AWS的IKEv1或IKEv2站点。
-
确保您在 Cato 管理应用程序中有至少 2 个公网 IP 地址 (网络 > IP 分配):
-
在 AWS 中,创建一个虚拟专用网关:
-
导航至 您的 VPN 仪表板 > 创建 VPC。 从这里创建您的新 VPC:
-
导航至 客户网关。 使用上面分配的新IP地址(在相同的AWS区域)创建2个客户网关:
a. 名称 - 需要是您可识别的。
b. IP 地址 - 这些是您在 Cato 管理应用程序中被分配的公网 IP 地址。
c. VPC - 对于每个客户网关,您需要确保选择同一个 VPC。
-
导航到'站点到站点VPN连接'并创建2个VPN连接(为您刚创建的每个新的客户网关创建1个连接):
a.标签 - 描述名称
b. 客户网关 - 在这里选择您创建的其中一个客户网关
c.路由选项 -选择动态(BGP)
d.隧道选项 - 如果需要,您可以指定隧道 IP,但如果保持默认,AWS 将使用 169.x.x.x 范围。
注意: AWS 使用隧道 IP 通过 IPsec 隧道与 Cato 创建 BGP 对等连接。
-
点击 下载配置 对您刚设置的每个新的 VPN 连接:
-
从此文件中获取以下信息以协助设置 Cato 管理应用程序:
a. 预共享密钥
b.BGP配置(私有IP地址和ASN)
-
在 Cato 管理应用程序中,导航至您要设置 IPsec/BGP 的站点。
a. 这里的设置与标准 IPsec 站点完全相同,您只需添加之前下载的 AWS 配置中的私有 IP 地址即可。
IKEv1站点示例:
IKEv2站点示例:
b. 在 BGP 部分,输入以下信息:
i. ASN's
ii. 私有 IP 地址
iii. 路由信息
注意: 度量值较低的隧道将是首选路由。
-
要检查 BGP 连接的状态,请选择 显示BGP状态。
-
要在 AWS 中进行检查,请导航至 站点到站点连接 > 选择您的 VPC 连接 > 隧道详细信息。 从这里您可以查看 VPN 连接是否已经建立以及 BGP 路由是否已传播到 AWS。
-
注意: 如果您想查看发布到 AWS 站点的路由,请转到 路由表 > 查找您的路由表 > 选择路由。
虽然 AWS 平台 不支持故障转移测试,但可以使用 Cato 管理应用程序进行 BGP 故障转移测试:
-
从 Socket 站点之后或通过 Cato 客户端连接,ping AWS 环境中的主机。
-
在 Cato 管理应用程序中,转到具有 BGP 的 IPsec 站点。
-
更改 IP 地址以创建故障转移:
确保您保存原始 IP 地址,测试完成后需要使用它。
-
在 BGP 部分,对于主要连接,更改 Cato 或邻居的 IP 地址:
-
在 IPsec 部分,更改 私有 IP 地址 为 Cato 或 邻居 至前一步中的相同 IP 地址。
-
点击 保存。
-
-
Ping 开始丢弃,然后连接失败并且您会看到 BGP 故障转移正常工作。
-
要返回到主要链接,将 BGP 和 IPsec IP 地址更改回原始设置,之后几个 ping 丢弃后,连接返回到主要连接。
0 条评论
请登录写评论。