配置到 Google Cloud Platform (GCP) 的冗余 VPN 隧道

GCP 最近发布了一个新的用于 VPN 网关的 HA 选项。 如果选择冗余 VPN 网关,它将提供两个 IP 地址以实现最大弹性。 需要激活 BGP 来监控哪个隧道是活跃的。

这是 Cato 在与 GCP 进行最具弹性连接的推荐方案。

步骤 1

在 Cato 管理应用程序中,导航至 网络 > IP 分配。 选择 GCP 站点的新 PoP 位置。 分配的 IP 地址将在右侧显示。 注意 IP 地址——您需要在 GCP 配置中输入它。

步骤 2

在 GCP 中,导航至混合连接 → VPN → 云 VPN 网关. 创建一个新 VPN 网关:

mceclip1.png

现在填写详细信息:

  • 名称 - 网关的可识别名称

  • VPC 网络 - 这是您的 VPC

  • 区域 - 您希望创建网关的地理区域

请注意它将创建两个 IP 地址,如所述:

mceclip3.png

步骤 3

导航到 对等 VPN 网关 并创建一个新的 VPN 网关。 确保在接口部分选择两个接口。

mceclip4.png
  • Interface 0 IP address: type in the IP of the primary PoP IP (step 1)

  • Interface 1 IP address: type in the IP of the backup PoP IP (step 1)

步骤 4

现在您必须创建一个管理 BGP 对等的云路由器。 需要 BGP 来优先选择哪个隧道是活跃的,哪个是备用的。

转到混合连接 → 云路由器并创建一个新的路由器。

For Google ASN use private ASN value (RFC 1918): 64512 to 65535.

步骤 5

返回 VPN 部分并选择云 VPN 网关。 点击最近创建的 VPN 网关并选择添加 VPN 隧道。 Under peer VPN gateway choose VPN peer (Cato PoPs) and make sure Create a pair of VPN tunnels is selected under High Availability. 在云路由器中选择最近创建的云路由器。

现在,在底部,它强制您编辑两个 VPN 隧道。 点击每一个并输入详细信息:

mceclip5.png

Fill the name for each tunnel (master/ backup) and choose a pre-shared key.

完成后,向导将提示 BGP 配置。 为每个隧道配置相关的 BGP 设置:

  • 名称 - 只是 BGP 对等的一个名称

  • 对等 ASN - 您想分配给 Cato 端的 BGP ASN

  • MED - 100 对于主隧道和 110 对于备份

  • 云路由器 BGP IP - GCP 端的路由器 IP

    • Must belong to the same /30 CIDR within 169.254.0.0/16

    • 不能使用这些 /30 网络的广播地址或网络 IP 地址

  • BGP 对等 IP - Cato 端的路由器 IP

步骤 6

Go back to the Cato Management Application and create an IPsec IKEv2 site type (Networks > Site and click New). 使用以下的站点配置:

IPsec IKEv2 Section

  • 服务类型: 选择通用。

  • Primary/ Secondary Source (Egress) IP: select the IP address allocated in step 1.

  • 主要/次要目的 IP:输入 GCP 的云 VPN 网关 IP 地址。

  • 设置/更改主要/次要密码:输入您为每个隧道指定的预共享密钥。

BGP

  • 为主和备用创建两个 BGP 对等。

  • 邻居 ASN 和 IP 按 GCP 中的配置。

  • 指标:对于主,BGP 指定 100,对于备份 110

  • 保持时间和保活间隔可分别更改为 30 和 10,以实现更快的收敛。

  • 路由——不接受 GCP 的任何路由。 GCP 后的子网应该在网络部分中配置,就像常规 Cato 站点一样。 For advertising, you can choose between Default Route (one 0.0.0.0/0 route - WAN + Internet over Cato) and All Routes (all networks in your Cato account will be advertised to GCP - WAN traffic only).

步骤 7

在 Cato 管理应用程序中保存配置后不久,您应该可以在 GCP 的云 VPN 隧道下看到两个隧道的 BGP 和 VPN 的已建立状态:

mceclip7.png

这篇文章有帮助吗?

5 人中有 5 人觉得有帮助

0 条评论