本文中的过程向您展示如何使用BGP在Cato Cloud和Oracle Cloud之间设置冗余VPN连接。
要设置与Oracle Cloud (OCI)的IKEv1 BGP连接:
-
从Cato管理应用程序中选择网络 > IP 分配,确保您的账户分配有两个IP地址,这些地址适合于OCI虚拟网络的位置。
有关详情信息,请参阅账户分配IP 地址。
-
在网络 > 站点页面中,点击新建为OCI创建一个新站点。
确保原生范围与Oracle Cloud VCN的范围相同。
-
从OCI门户创建VCN,如果它还不存在。
-
从导航窗格中选择虚拟云网络,然后点击创建虚拟云网络。
-
为您的VCN指定一个名称、一个范围,并点击创建虚拟云网络。
-
创建两个客户驻地设备对象,每个为您在步骤1中分配的两个CATO PoP IP地址各设置一个。
-
创建第一个客户驻地设备对象,并使用第一个PoP的IP地址配置它。
-
创建第二个客户驻地设备对象,并使用第二个PoP的IP地址配置它。
您的VCN中现在有两个客户驻地设备对象。
-
-
从左侧导航窗格中选择动态路由网关并点击创建动态路由网关。
-
输入名称并点击创建动态路由网关。
-
从左侧导航窗格中选择IPsec连接,并点击创建IPSec连接。
您需要创建两个IPSec连接。
-
使用第一个PoP客户驻地设备对象创建一个IPSec连接。
务必在窗口底部输入Static Toute CIDR。 这可以匹配CATO移动设备VPN网络(10.41.0.0/16),以保持简单和统一。
注意
注意: 在点击创建IPSec连接之前,点击窗口底部的显示高级选项超链接。
-
从高级选项 > 隧道 1标签页中,配置这些设置:
-
输入您自己的自定义共享密钥[限制32个字符]。
-
从路由类型中,点击BGP动态路由选项。
-
在BGP ASN中,输入默认的Cato ASN:64515。
-
设置Cato内部隧道接口(CPE)IP地址和Oracle内部隧道接口IP地址。
-
点击创建IPSec连接。
-
-
重复上面两个步骤以创建第二个IPSec连接。
务必使用第二个PoP客户驻地设备对象。
您的两个IPSec连接处于配置中生命周期状态,可能需要长达15分钟才能可用。
-
-
保存您创建的每个IPSec连接的Oracle Cloud IPSec对等IP地址。 您可以在点击IPSec连接名称以显示其详细信息时找到这些IP地址。
在详细信息屏幕中忽略一般标记的隧道名称,您需要的只是您专门配置并标记的隧道VPN IP地址。
-
从Cato管理应用程序中,导航窗格中点击网络 > 站点并选择Oracle VCN的站点。
-
从导航窗格中选择IPsec并展开常规和主要部分。
-
将服务类型设置为通用,并确保CATO PoP对等IP地址匹配相应的Oracle Cloud对等IP地址。
-
确保Cato IPsec隧道内的IP地址与相应的Oracle Cloud对等IP地址相同。 在私有IP:
-
在Cato中的IP地址与在CPE中的IP地址在Oracle Cloud中相同
-
在站点中的IP地址与在Oracle中的IP地址在Oracle Cloud中相同
-
-
将主要和次要PSK设置为匹配Oracle Cloud的共享密钥。
-
将您的IKEv1 阶段1和阶段 2 参数设置为匹配 Oracle Cloud 中的设置。
一般来说,您不需要更改默认Cato设置。
-
点击保存。
-
-
在Cato管理应用程序中,选择站点配置> BGP。
-
指定两个BGP邻居。 CATO 的默认 ASN 已经设置为 64515。 此设置与您在Oracle IPSec隧道配置的高级选项中配置的匹配。
-
将 Oracle ASN(邻居)设置为31898,并指定 Oracle 内部接口 IP 地址为邻居。 此IP地址与您在上面步骤11中IPSec设置部分中定义的一致。
注意
注意:确保在远离您Oracle地区的PoP上的BGP邻居设置更高的度量值。 在下面的示例中,度量101应用于与Cato纽约PoP关联的BGP邻居。
-
-
在Cato管理应用程序中保存设置。
-
在Oracle Cloud门户中,等待您的IPSec连接可用。
-
您可以在Oracle Cloud和CATO管理应用程序中验证隧道和BGP的状态。
-
验证Oracle Cloud:
-
在更新Oracle Cloud中的路由之前,请先确保您的动态路由网关已附加到您的Oracle虚拟云网络。 点击动态路由网关并选择您的DRG。
-
从导航窗格中,点击虚拟云网络。
-
确认您的DRG已附加到您的VCN。 如果没有,现在附加。
-
更新您的路由表以通过IPSec连接发送适当的流量。
以下截屏显示如何通过Oracle到Cato的IPSec连接设置默认路由。
-
0 条评论
请登录写评论。