HA VPN zu AWS-Peer-Gateways erstellen

Beim Konfigurieren eines externen HA VPN-Gateways zu Amazon Web Services (AWS) können Sie entweder ein Transit-Gateway oder ein virtuelles privates Gateway verwenden. Nur das Transit-Gateway unterstützt ECMP-Routing (Equal Cost Multipath). Wenn ECMP aktiviert ist, wird der Traffic gleichmäßig auf die aktiven Tunnel verteilt. Die unterstützte Topologie erfordert zwei AWS Site-to-Site-VPN-Verbindungen, A und B, jeweils mit zwei externen IP-Adressen. Diese Topologie erzeugt in AWS insgesamt vier externe IP-Adressen: A1, A2, B1 und B2.

Bekanntes Problem: Verwenden Sie beim Konfigurieren von VPN-Tunneln zu AWS das IKEv2-Verschlüsselungsprotokoll und wählen Sie weniger AWS-Transform-Sets aus, da die Neuverschlüsselung des Cloud VPN-Tunnels andernfalls möglicherweise fehlschlägt. Wählen Sie zum Beispiel eine Kombination aus Verschlüsselungsalgorithmen für eine einzelne Phase 1 und Phase 2, Integritätsalgorithmen und DH-Gruppennummern aus. Das Neuverschlüsselungsproblem wird durch eine umfangreiche SA-Nutzlastgröße für den Standardsatz von AWS-Transform-Sets verursacht. Die umfangreiche Nutzlastgröße führt zu einer IP-Fragmentierung von IKE-Paketen auf der AWS-Seite, die von Cloud VPN nicht unterstützt wird.

HA VPN zu AWS-Peer-Gateways erstellen

Beim Konfigurieren eines externen HA VPN-Gateways zu Amazon Web Services (AWS) können Sie entweder ein Transit-Gateway oder ein virtuelles privates Gateway verwenden. Nur das Transit-Gateway unterstützt ECMP-Routing (Equal Cost Multipath). Wenn ECMP aktiviert ist, wird der Traffic gleichmäßig auf die aktiven Tunnel verteilt. Die unterstützte Topologie erfordert zwei AWS Site-to-Site-VPN-Verbindungen, A und B, jeweils mit zwei externen IP-Adressen. Diese Topologie erzeugt in AWS insgesamt vier externe IP-Adressen: A1, A2, B1 und B2.

  1. Konfigurieren Sie die vier AWS-IP-Adressen als ein einzelnes externes HA VPN-Gateway mit FOUR_IPS_REDUNDANCY, wobei:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. Erstellen Sie vier Tunnel auf dem HA VPN-Gateway, um das SLA von 99,99 % zu erreichen. Verwenden Sie dabei die folgende Konfiguration:
    • HA VPN interface 0 zu AWS interface 0
    • HA VPN interface 0 zu AWS interface 1
    • HA VPN interface 1 zu AWS interface 2
    • HA VPN interface 1 zu AWS interface 3

Richten Sie HA VPN bei AWS ein:

  1. Erstellen Sie in Google Cloud ein HA VPN-Gateway und einen Cloud Router in der gewünschten Region. Dadurch werden zwei externe IP-Adressen erstellt, eine für jede Gateway-Schnittstelle. Notieren Sie sich die externen IP-Adressen für die Verwendung im nächsten Schritt.
  2. Erstellen Sie in AWS zwei Kunden-Gateways. Nutzen Sie dazu Folgendes:
    • Die Routingoption Dynamisch
    • Die Google-ASN des Cloud Routers
    • Die externen IP-Adressen der in Google Cloud erstellten HA VPN-Gateways interfaces 0 und 1
  3. Führen Sie die Schritte entsprechend der von Ihnen verwendeten AWS-VPN-Option aus:
    • Transit-Gateway
      1. Erstellen Sie für das erste Kunden-Gateway (interface 0) einen VPN-Anhang des Transit-Gateways und verwenden Sie die Routingoption Dynamisch.
      2. Wiederholen Sie den vorherigen Schritt für das zweite Kunden-Gateway (interface 1).
    • Virtual Private Gateway
      1. Erstellen Sie eine Site-to-Site-VPN-Verbindung für das erste Kunden-Gateway (interface 0) so:
        • Einen Ziel-Gateway-Typ von Virtual Private Gateway
        • Die Routingoption Dynamisch
      2. Wiederholen Sie den vorherigen Schritt für das zweite Kunden-Gateway (interface 1).
  4. Laden Sie die AWS-Konfigurationsdateien für die beiden erstellten Verbindungen herunter. Die Dateien enthalten Informationen, die Sie in den nächsten Schritten dieses Verfahrens benötigen, einschließlich vorinstallierter Authentifizierungsschlüssel, externer Tunnel-IP-Adressen und interner Tunnel-IP-Adressen.
  5. Gehen Sie in Google Cloud so vor:
    1. Erstellen Sie ein neues Peer-VPN-Gateway mit vier Schnittstellen. Verwenden Sie dazu die externen AWS-IP-Adressen aus den Dateien, die Sie im vorherigen Schritt heruntergeladen haben.
    2. Erstellen Sie vier VPN-Tunnel auf dem HA VPN-Gateway, das Sie in Schritt 1 erstellt haben. Konfigurieren Sie für jeden Tunnel die HA VPN-Gateway-Schnittstelle mit der entsprechenden Peer-VPN-Gateway-Schnittstelle und vorinstallierten Schlüsseln. Verwenden Sie dazu die Informationen in den heruntergeladenen AWS-Konfigurationsdateien.
    3. Konfigurieren Sie BGP-Sitzungen auf dem Cloud Router mithilfe der BGP-IP-Adressen aus den heruntergeladenen AWS-Konfigurationsdateien.

Externes HA VPN-Gateway konfigurieren

  1. Konfigurieren Sie die vier AWS-IP-Adressen als ein einzelnes externes HA VPN-Gateway mit FOUR_IPS_REDUNDANCY, wobei:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. Erstellen Sie vier Tunnel auf dem HA VPN-Gateway, um das SLA von 99,99 % zu erreichen. Verwenden Sie dabei die folgende Konfiguration:
    • HA VPN interface 0 zu AWS interface 0
    • HA VPN interface 0 zu AWS interface 1
    • HA VPN interface 1 zu AWS interface 2
    • HA VPN interface 1 zu AWS interface 3

Richten Sie HA VPN bei AWS ein:

  1. Erstellen Sie in Google Cloud ein HA VPN-Gateway und einen Cloud Router in der gewünschten Region. Dadurch werden zwei externe IP-Adressen erstellt, eine für jede Gateway-Schnittstelle. Notieren Sie sich die externen IP-Adressen für die Verwendung im nächsten Schritt.
  2. Erstellen Sie in AWS zwei Kunden-Gateways. Nutzen Sie dazu Folgendes:
    1. Die Routingoption Dynamisch
    2. Die Google-ASN des Cloud Routers
    3. Die externen IP-Adressen der in Google Cloud erstellten HA VPN-Gateways interfaces 0 und 1
  3. Führen Sie die Schritte entsprechend der von Ihnen verwendeten AWS-VPN-Option aus:

    1. Transit-Gateway:
      1. Erstellen Sie für das erste Kunden-Gateway (interface 0) einen VPN-Anhang des Transit-Gateways und verwenden Sie die Routingoption Dynamisch.
      2. Wiederholen Sie den vorherigen Schritt für das zweite Kunden-Gateway (interface 1).
    2. Virtuelles privates Gateway:
      1. Erstellen Sie eine Site-to-Site-VPN-Verbindung für das erste Kunden-Gateway (interface 0) so:
        • Einen Ziel-Gateway-Typ von Virtual Private Gateway
        • Die Routingoption Dynamisch
      2. Wiederholen Sie den vorherigen Schritt für das zweite Kunden-Gateway (interface 1).
  4. Laden Sie die AWS-Konfigurationsdateien für die beiden erstellten Verbindungen herunter. Die Dateien enthalten Informationen, die Sie in den nächsten Schritten dieses Verfahrens benötigen, einschließlich vorinstallierter Authentifizierungsschlüssel, externer Tunnel-IP-Adressen und interner Tunnel-IP-Adressen.

  5. Gehen Sie in Google Cloud so vor:

    1. Erstellen Sie ein neues Peer-VPN-Gateway mit vier Schnittstellen. Verwenden Sie dazu die externen AWS-IP-Adressen aus den Dateien, die Sie im vorherigen Schritt heruntergeladen haben.
    2. Erstellen Sie vier VPN-Tunnel auf dem HA VPN-Gateway, das Sie in Schritt 1 erstellt haben. Konfigurieren Sie für jeden Tunnel die HA VPN-Gateway-Schnittstelle mit der entsprechenden Peer-VPN-Gateway-Schnittstelle und vorinstallierten Schlüsseln. Verwenden Sie dazu die Informationen in den heruntergeladenen AWS-Konfigurationsdateien.
    3. Konfigurieren Sie BGP-Sitzungen auf dem Cloud Router mithilfe der BGP-IP-Adressen aus den heruntergeladenen AWS-Konfigurationsdateien.

Nächste Schritte