AWS Transit Gateway提供完整网状VPC互联,并允许您通过单个VPN连接访问所有的虚拟私有云(VPCs)。 您可以配置主要和次要由Cato发起的IPsec隧道到您的AWS Transit Gateway,通过BGP提供强大的高可用性。 Cato影响BGP路由指标,使主要隧道始终是首选路径,如果断开连接,流量会立即通过次要隧道路由。
注意: Cato不支持ECMP,如果您正在创建新的AWS Transit Gateway,应该禁用。
术语 |
描述 |
虚拟私有网关 |
VPN连接的Amazon端的VPN集中器。 |
客户网关 |
在VPN连接那一侧的物理设备或软件应用程序。 当您创建VPN连接时,流量从您这侧生成时,VPN隧道会启动。 虚拟私有网关不是发起者;您的客户网关必须发起隧道。 在此上下文中,Cato PoP是客户网关。 |
在以下步骤中,我们将通过Cato云连接至AWS Transit Gateway。
要通过Cato云创建Transit Gateway和您的PoP之间的隧道:
-
在Cato管理应用程序中,为站点选择Cato分配的一个IP地址。
-
在导航菜单中,单击网络 > IP 分配。
-
选择一个位置。 Cato Networks分配了一个唯一的IP。
您可以获得的唯一IP数量由您的许可证决定。 对于额外的IP,请联系您的经销商或sales@catonetworks.com。
-
单击保存。
-
-
在AWS控制台中,创建Transit Gateway附件。
-
打开VPC服务,然后在导航窗格中向下滚动到Transit Gateways并单击Transit Gateway Attachments。
-
单击Create Transit Gateway Attachment。
-
按以下方式配置Transit Gateway附件:
-
Transit Gateway ID: 选择您要连接到Cato的Transit Gateway。
-
附件类型: VPN
-
Customer Gateway: 新建
-
IP 地址: 输入Cato分配的IP地址(从上面)。
-
BGP ASN: 64515
-
路由选项: 动态(需要BGP)
-
-
单击Create attachment。
-
单击关闭。
-
-
创建VPN连接并下载配置文件。
-
在VPC导航窗格中,向上滚动到虚拟私有网络(VPN)并点击站点到站点VPN连接。
-
选择在上一步中创建的VPN连接的复选框,然后单击下载配置。
-
按以下方式配置设置:
-
供应商: 通用
-
平台: 通用
-
软件: 与供应商无关
-
-
单击下载。
-
打开下载的文件,并在IPsec Tunnel #1部分下记录以下项目:
-
预共享密钥
-
外部IP地址 - 虚拟私有网关
-
内部IP地址 - 客户网关和虚拟私有网关
-
BGP 配置选项 - 虚拟私有网关ASN和邻居IP地址
-
-
-
在Cato管理应用程序中,创建并配置IPsec站点。
-
在导航菜单中,单击网络 > 站点并单击新建。
添加站点面板打开,
-
按以下方式配置站点设置:
-
名称: AWS TGW (示例)
-
类型: 云数据中心
-
连接类型: IPsec IKEv1 (Cato发起)
-
国家: 配置的站点所在地
-
州: 如果国家是美国,则为州。
-
许可证: 选择适合的许可证。
-
原生范围: 任何一个AWS VPC子网。
-
-
点击应用。
-
在站点屏幕中,点击新的AWS站点。
-
从导航菜单中,点击站点配置 > IPsec,并在常规部分中选择AWS。
-
-
服务类型: AWS
-
Primary Source (Egress) IP: the unique IP address allocated in step 3 above.
-
站点 IP: 从AWS配置文件中的虚拟网络网关外部IP地址。
-
带宽 (下行 和 上行): 根据站点许可的带宽。
-
私有 IP
-
站点: 从AWS配置文件中的虚拟网络网关内部IP地址。
-
Cato: 从AWS配置文件中的客户网关内部IP地址。
-
-
设置/更改主要密码: AWS配置文件中的预共享密钥
-
-
点击保存。
-
-
为站点配置BGP设置。
在配置面板中,点击BGP,点击(添加BGP邻居),然后定义以下参数:
-
从导航菜单中,选择站点配置 > BGP。
-
点击新建。 添加规则面板开启。
-
配置常规设置:
-
描述: AWS TWG #1 (示例)
-
ASN设置
-
对等: 从AWS配置文件中的虚拟网络网关ASN
-
Cato: Cato Cloud的ASN
-
-
IP > 对等: 从AWS配置文件中的邻居IP地址
-
-
配置BGP路由的策略 设置:
-
选择您要宣告的路由选项 (默认路由 和/或 所有路由) 和您要接受的路由 (动态路由)。
-
-
点击应用。
-
-
确认IPsec隧道和BGP路由的连接性状态为已连接。
-
在您的AWS控制台中,在导航窗格中向下滚动到虚拟私有云并点击路由表。
-
选择与您希望通过Transit Gateway访问的VPC关联的路由表,点击路由标签,然后点击编辑路由。
-
点击添加路由,然后按照以下设置进行配置:
-
目标:输入您的本地网络的子网。 这可以是一个摘要路由。
-
目标: 选择Transit Gateway。
-
-
重复上一步以为需要访问VPC的所有本地网络创建路由。
-
点击保存路由。
-
Repeat steps 8 - 11 for each VPC that you need to access through the Transit Gateway.
设置AWS VPN连接时,AWS为每个客户网关提供两个VPN隧道。 虽然这在AWS方面提供了冗余,但在Cato Cloud方面并没有提供冗余,因为两个隧道必须连接到同一个PoP。
为了为Cato Cloud和AWS提供冗余,您必须在AWS中创建两个客户网关,然后为主要隧道定义一个客户网关的隧道,为次要隧道定义另一个客户网关的隧道。 这允许您在不同位置的PoP上配置主要和次要隧道。
以下程序说明了如何在AWS控制台和Cato管理应用程序中同时配置次要隧道。
注意
注意: 本程序假设您已经在Cato管理应用程序中配置了一个到AWS Transit Gateway的隧道,如“创建 Transit Gateway 和您的 PoP 之间的主要隧道”中所述。
要通过Cato Cloud在Transit Gateway和您的PoP之间创建冗余隧道:
-
在Cato管理应用程序中,为站点选择一个Cato已分配IP地址。
-
从导航菜单中,单击网络 > IP 分配。
-
选择一个位置。 Cato Networks分配了一个唯一的IP。
您可以获得的唯一IP的数量由您的许可证决定。 如需其他IP,请联系您的经销商或sales@catonetworks.com。
-
单击保存。
-
-
在AWS控制台中,创建转接网关附件。
-
打开VPC服务,在导航窗格中向下滚动到转接网关,然后单击转接网关附件。
-
单击创建转接网关附件。
-
按以下方式配置转接网关附件:
-
单击创建附件。
-
单击关闭。
-
-
创建一个VPN连接并下载配置文件。
-
在VPC导航窗格中,向上滚动到虚拟私有网络(VPN),然后单击站点到站点VPN连接。
-
选择在上一步中创建的VPN连接的复选框,然后单击下载配置。
-
按以下方式配置设置:
-
供应商: 通用
-
平台: 通用
-
软件: 供应商无关
-
-
单击下载。
-
打开下载的文件,并注意IPsec隧道#1部分以下的项目:
-
预共享密钥
-
外部IP地址- 虚拟私有网关
-
内部IP地址 - 客户网关和虚拟私有网关
-
BGP配置选项 - 虚拟私有网关ASN和邻居IP地址
-
-
-
在Cato管理应用程序中,配置AWS转接网关IPsec站点用于冗余隧道。
-
配置站点冗余隧道的BGP设置。
-
从导航菜单中,选择站点配置 > BGP。
-
单击新建。 添加规则面板打开。
-
配置常规设置:
-
配置BGP路由的策略设置:
-
选择在您要宣告的路由(默认路由和/或所有路由)以及您要接受的路由(动态路由)的选项。
-
-
单击应用,然后单击保存。
-
-
确认IPsec隧道和BGP路由的连接状态为已连接。
0 条评论
请登录写评论。