设置由Cato发起的IPsec到您的AWS Transit Gateway

概述

AWS Transit Gateway提供完整网状VPC互联,并允许您通过单个VPN连接访问所有的虚拟私有云(VPCs)。 您可以配置主要和次要由Cato发起的IPsec隧道到您的AWS Transit Gateway,通过BGP提供强大的高可用性。 Cato影响BGP路由指标,使主要隧道始终是首选路径,如果断开连接,流量会立即通过次要隧道路由。

注意: Cato不支持ECMP,如果您正在创建新的AWS Transit Gateway,应该禁用。

360002843337-image-0.png

术语

描述

虚拟私有网关

VPN连接的Amazon端的VPN集中器。

客户网关

在VPN连接那一侧的物理设备或软件应用程序。 当您创建VPN连接时,流量从您这侧生成时,VPN隧道会启动。 虚拟私有网关不是发起者;您的客户网关必须发起隧道。 在此上下文中,Cato PoP是客户网关。

在Transit Gateway和您的PoP之间创建主隧道

在以下步骤中,我们将通过Cato云连接至AWS Transit Gateway。

要通过Cato云创建Transit Gateway和您的PoP之间的隧道:

  1. 在Cato管理应用程序中,为站点选择Cato分配的一个IP地址。

    1. 在导航菜单中,单击网络 > IP 分配

      IP_Allocation.png
    2. 选择一个位置。 Cato Networks分配了一个唯一的IP。

      您可以获得的唯一IP数量由您的许可证决定。 对于额外的IP,请联系您的经销商或sales@catonetworks.com。

    3. 单击保存

  2. 在AWS控制台中,创建Transit Gateway附件。

    1. 打开VPC服务,然后在导航窗格中向下滚动到Transit Gateways并单击Transit Gateway Attachments

    2. 单击Create Transit Gateway Attachment

      360002843357-image-3.png
    3. 按以下方式配置Transit Gateway附件:

      • Transit Gateway ID: 选择您要连接到Cato的Transit Gateway。

      • 附件类型: VPN

      • Customer Gateway: 新建

      • IP 地址: 输入Cato分配的IP地址(从上面)。

      • BGP ASN: 64515

      • 路由选项: 动态(需要BGP)

        360002923618-image-4.png
    4. 单击Create attachment

    5. 单击关闭

  3. 创建VPN连接并下载配置文件。

    1. 在VPC导航窗格中,向上滚动到虚拟私有网络(VPN)并点击站点到站点VPN连接

    2. 选择在上一步中创建的VPN连接的复选框,然后单击下载配置

      360002923638-image-5.png
    3. 按以下方式配置设置:

      • 供应商: 通用

      • 平台: 通用

      • 软件: 与供应商无关

        360002843397-image-6.png
    4. 单击下载

    5. 打开下载的文件,并在IPsec Tunnel #1部分下记录以下项目:

      • 预共享密钥

        360002843377-image-7.png
      • 外部IP地址 - 虚拟私有网关

        360002923678-image-8.png
      • 内部IP地址 - 客户网关和虚拟私有网关

        360002843417-image-9.png
      • BGP 配置选项 - 虚拟私有网关ASN和邻居IP地址

        360002923658-image-10.png
  4. 在Cato管理应用程序中,创建并配置IPsec站点。

    1. 在导航菜单中,单击网络 > 站点并单击新建

      添加站点面板打开,

    2. 按以下方式配置站点设置:

      • 名称: AWS TGW (示例)

      • 类型: 云数据中心

      • 连接类型: IPsec IKEv1 (Cato发起)

      • 国家: 配置的站点所在地

      • 州: 如果国家是美国,则为州。

      • 许可证: 选择适合的许可证。

      • 原生范围: 任何一个AWS VPC子网。

        360002843437-image-13.png
    3. 点击应用

    4. 站点屏幕中,点击新的AWS站点。

    5. 从导航菜单中,点击站点配置 > IPsec,并在常规部分中选择AWS

    6. 展开主要部分,配置以下设置:

      • 服务类型: AWS

      • Primary Source (Egress) IP: the unique IP address allocated in step 3 above.

      • 站点 IP: 从AWS配置文件中的虚拟网络网关外部IP地址。

      • 带宽 (下行上行): 根据站点许可的带宽。

      • 私有 IP

        • 站点: 从AWS配置文件中的虚拟网络网关内部IP地址。

        • Cato: 从AWS配置文件中的客户网关内部IP地址。

      • 设置/更改主要密码: AWS配置文件中的预共享密钥

        360002923758-image-14.png
    7. 点击保存

  5. 为站点配置BGP设置。

    在配置面板中,点击BGP,点击(添加BGP邻居),然后定义以下参数:

    1. 从导航菜单中,选择站点配置 > BGP

    2. 点击新建添加规则面板开启。

    3. 配置常规设置:

      • 描述: AWS TWG #1 (示例)

      • ASN设置

        • 对等: 从AWS配置文件中的虚拟网络网关ASN

        • Cato: Cato Cloud的ASN

      • IP > 对等: 从AWS配置文件中的邻居IP地址

    4. 配置BGP路由的策略 设置:

      • 选择您要宣告的路由选项 (默认路由 和/或 所有路由) 和您要接受的路由 (动态路由)。

      Add_BGP_Rule.png
    5. 点击应用

  6. 确认IPsec隧道和BGP路由的连接性状态为已连接

    1. 从导航窗格中,选择IPsec,然后点击连接状态

    2. 从导航窗格中,选择BGP,然后点击显示BGP状态

      注意: Cato 路由传播到 AWS Transit Gateway 路由表,但不传播到 VPC 路由表。 使用Transit Gateway作为目标,在每个VPC中创建 返回您的本地网络的路由,如下程序所示。

  7. 在您的AWS控制台中,在导航窗格中向下滚动到虚拟私有云并点击路由表

  8. 选择与您希望通过Transit Gateway访问的VPC关联的路由表,点击路由标签,然后点击编辑路由

    360002923778-image-18.png
  9. 点击添加路由,然后按照以下设置进行配置:

    • 目标:输入您的本地网络的子网。 这可以是一个摘要路由。

    • 目标: 选择Transit Gateway。

      360002923798-image-19.png
  10. 重复上一步以为需要访问VPC的所有本地网络创建路由。

  11. 点击保存路由。

  12. Repeat steps 8 - 11 for each VPC that you need to access through the Transit Gateway.

创建 Transit Gateway 和 Cato PoP 之间的冗余隧道

设置AWS VPN连接时,AWS为每个客户网关提供两个VPN隧道。 虽然这在AWS方面提供了冗余,但在Cato Cloud方面并没有提供冗余,因为两个隧道必须连接到同一个PoP。

为了为Cato Cloud和AWS提供冗余,您必须在AWS中创建两个客户网关,然后为主要隧道定义一个客户网关的隧道,为次要隧道定义另一个客户网关的隧道。 这允许您在不同位置的PoP上配置主要和次要隧道。

以下程序说明了如何在AWS控制台和Cato管理应用程序中同时配置次要隧道。

注意

注意: 本程序假设您已经在Cato管理应用程序中配置了一个到AWS Transit Gateway的隧道,如“创建 Transit Gateway 和您的 PoP 之间的主要隧道”中所述。

要通过Cato Cloud在Transit Gateway和您的PoP之间创建冗余隧道:

  1. 在Cato管理应用程序中,为站点选择一个Cato已分配IP地址。

    1. 从导航菜单中,单击网络 > IP 分配

      IP_Allocation.png
    2. 选择一个位置。 Cato Networks分配了一个唯一的IP。

      您可以获得的唯一IP的数量由您的许可证决定。 如需其他IP,请联系您的经销商或sales@catonetworks.com。

    3. 单击保存

  2. 在AWS控制台中,创建转接网关附件。

    1. 打开VPC服务,在导航窗格中向下滚动到转接网关,然后单击转接网关附件

    2. 单击创建转接网关附件

    3. 按以下方式配置转接网关附件:

      • 转接网关ID: 选择您要连接到Cato的转接网关。

      • 连接类型: VPN

      • 客户网关: 新建

      • IP地址: 输入Cato分配的IP地址(从上面)。

      • BGP ASN: 64515

      • 路由选项: 动态(需要BGP)

        360002923618-image-4.png
    4. 单击创建附件

    5. 单击关闭

  3. 创建一个VPN连接并下载配置文件。

    1. 在VPC导航窗格中,向上滚动到虚拟私有网络(VPN),然后单击站点到站点VPN连接

    2. 选择在上一步中创建的VPN连接的复选框,然后单击下载配置

      360002923878-image-21.png
    3. 按以下方式配置设置:

      • 供应商: 通用

      • 平台: 通用

      • 软件: 供应商无关

        360002843397-image-6.png
    4. 单击下载

    5. 打开下载的文件,并注意IPsec隧道#1部分以下的项目:

      • 预共享密钥

        360002843377-image-7.png
      • 外部IP地址- 虚拟私有网关

        360002923678-image-8.png
      • 内部IP地址 - 客户网关和虚拟私有网关

        360002843417-image-9.png
      • BGP配置选项 - 虚拟私有网关ASN和邻居IP地址

        360002923658-image-10.png
  4. 在Cato管理应用程序中,配置AWS转接网关IPsec站点用于冗余隧道。

    1. 从导航菜单中,单击网络 > 站点并单击AWS转接网关IPsec站点。

    2. 从导航菜单中,单击站点配置 > IPsec,在常规部分中,选择AWS

    3. 展开次要部分并配置以下设置:

      • 主要来源(出口流量)IP: 由Cato分配的唯一IP地址。

      • 站点IP: 来自AWS配置文件的虚拟私有网关外部IP地址。

      • 带宽下行上行): 根据站点许可证的带宽。

      • 私有 IP

        • 站点: 来自AWS配置文件的虚拟私有网关内部IP地址。

        • Cato: 来自AWS配置文件的客户网关内部IP地址。

      • 设置/更改主要密码: 来自AWS配置文件的预共享密钥

        AWS_IPsec_Secondary.png
    4. 单击保存

  5. 配置站点冗余隧道的BGP设置。

    1. 从导航菜单中,选择站点配置 > BGP

    2. 单击新建添加规则面板打开。

    3. 配置常规设置:

      • 描述: AWS TWG #2(示例)

      • ASN设置

        • 对等: 来自AWS配置文件的虚拟私有网关ASN

        • Cato: Cato Cloud的ASN

      • IP > 对等: 来自AWS配置文件的邻居IP地址

    4. 配置BGP路由的策略设置:

      • 选择在您要宣告的路由(默认路由和/或所有路由)以及您要接受的路由(动态路由)的选项。

    5. 单击应用,然后单击保存

      AWS_TWG_2_BGP_Rules.png
  6. 确认IPsec隧道和BGP路由的连接状态为已连接

    1. 从导航窗格中选择IPsec,然后单击连接状态

    2. 从导航窗格中选择BGP,然后单击显示BGP状态并检查次要隧道的状态。

      注意:Cato路由传播到AWS网关路由表,但不会传播到VPC路由表。 按照下面的步骤,创建指向您内部网络的返回路由,每个VPC中使用网关作为目标。

这篇文章有帮助吗?

3 人中有 3 人觉得有帮助

0 条评论