Conecta una VPN con alta disponibilidad a puertas de enlace AWS de intercambio de tráfico

Cuando configuras una puerta de enlace externa de VPN con alta disponibilidad en Amazon Web Services (AWS), puedes usar una puerta de enlace de tránsito o una puerta de enlace privada virtual. Solo la puerta de enlace de tránsito admite el enrutamiento de ruta múltiple de igual costo (ECMP). Cuando está habilitado, el ECMP distribuye de igual manera el tráfico entre los túneles activos. La topología admitida requiere dos conexiones VPN de sitio a sitio de AWS, A y B, cada una con dos direcciones IP externas. Esta topología genera cuatro direcciones IP externas en AWS: A1, A2, B1 y B2.

Problema conocido: Cuando configures los túneles VPN en AWS, usa el protocolo de encriptación IKEv2 y selecciona menos conjuntos de transformaciones en AWS. De lo contrario, el túnel de Cloud VPN puede no cambiar las claves. Por ejemplo, selecciona una combinación de algoritmos de encriptación únicos de fase 1 y fase 2, algoritmos de integridad y números de grupos DH. Este problema de cambio de claves se debe a un gran tamaño de carga útil de SA para el conjunto predeterminado de conjuntos de transformación de AWS. Este gran tamaño de carga útil da como resultado la fragmentación de IP de los paquetes IKE en AWS, que no admite Cloud VPN.

Crea una VPN con alta disponibilidad para puertas de enlace AWS de intercambio de tráfico

Cuando configuras una puerta de enlace de VPN externa de VPN con alta disponibilidad en Amazon Web Services (AWS), puedes usar una puerta de enlace de transporte público o una puerta de enlace privada virtual. Solo la puerta de enlace de tránsito admite el enrutamiento de ruta múltiple de igual costo (ECMP). Cuando está habilitado, ECMP difunde de igual manera el tráfico entre los túneles activos. La topología admitida requiere dos conexiones VPN de sitio a sitio de AWS, A y B, cada una con dos direcciones IP externas. Esta topología genera cuatro direcciones IP externas en AWS: A1, A2, B1 y B2.

1. Configura las cuatro direcciones IP de AWS como una sola puerta de enlace externa de VPN con alta disponibilidad con FOUR_IPS_REDUNDANCY, en la que:
• IP de AWS 0=A1
• IP de AWS 1=A2
• IP de AWS 2=B1
• IP de AWS 3=B2
2. Crea cuatro túneles en la puerta de enlace de VPN con alta disponibilidad para cumplir con el ANS del 99.99% mediante la siguiente configuración:
• interface 0 de VPN con alta disponibilidad a la interface 0 de AWS
• interface 0 de VPN con alta disponibilidad a la interface 1 de AWS
• interface 1 de VPN con alta disponibilidad a la interface 2 de AWS
• interface 1 de VPN con alta disponibilidad a la interface 3 de AWS

Configura la VPN con alta disponibilidad con AWS:

1. En Google Cloud, crea una puerta de enlace de VPN con alta disponibilidad y un Cloud Router en la región que desees. Esto crea dos direcciones IP externas, una para cada interfaz de puerta de enlace. Registra las direcciones IP externas para usarlas en el paso siguiente.
2. En AWS, crea dos puertas de enlace de clientes con lo siguiente:
   • La opción de enrutamiento Dinámico
   • El ASN de Google del Cloud Router
   • Las direcciones IP externas de la puerta de enlace de VPN con alta disponibilidad de Google Cloud interfaces 0 y 1
3. Completa los pasos que corresponden a la opción de VPN de AWS que usas:
   • Puerta de enlace de tránsito
   1. Crea un adjunto de VPN de puerta de enlace de transporte público para la primera puerta de enlace del cliente (interface 0) y usa la opción de enrutamiento Dinámico.
   2. Repite el paso anterior para la segunda puerta de enlace del cliente (interface 1).
   • Puerta de enlace privada virtual
   1. Usa lo siguiente a fin de crear una conexión de VPN de sitio a sitio para la primera puerta de enlace del cliente (interface 0):
      • Un Tipo de puerta de enlace de destino de puerta de enlace privada virtual
      • La opción de enrutamiento Dinámico
   2. Repite el paso anterior para la segunda puerta de enlace del cliente (interface 1).
4. Descarga los archivos de configuración de AWS para las dos conexiones que creaste. Los archivos contienen información que necesitas durante los pasos siguientes en este procedimiento, incluidas las claves de autenticación compartidas previamente, las direcciones IP del túnel externo y las direcciones IP del túnel.
5. En Google Cloud, haz lo siguiente:
   1. Crea una puerta de enlace de VPN de intercambio de tráfico nueva con cuatro interfaces mediante las direcciones IP externas de AWS de los archivos que descargaste en el paso anterior.
   2. Crea cuatro túneles VPN en la puerta de enlace de VPN con alta disponibilidad que creaste en el paso 1. En cada túnel, configura la interfaz de la puerta de enlace de VPN con alta disponibilidad con la interfaz de puerta de enlace de VPN de intercambio de tráfico adecuada y las claves precompartidas con la información en los archivos de configuración de AWS que descargaste.
   3. Configura las sesiones de BGP en el Cloud Router mediante las direcciones IP de BGP de los archivos de configuración de AWS descargados.

Configura la puerta de enlace de VPN con alta disponibilidad externa

1. Configura las cuatro direcciones IP de AWS como una sola puerta de enlace externa de VPN con alta disponibilidad con FOUR_IPS_REDUNDANCY, en la que:
   • IP de AWS 0=A1
   • IP de AWS 1=A2
   • IP de AWS 2=B1
   • IP de AWS 3=B2
2. Crea cuatro túneles en la puerta de enlace de VPN con alta disponibilidad para cumplir con el ANS del 99.99% mediante la siguiente configuración:
   • interface 0 de VPN con alta disponibilidad a la interface 0 de AWS
   • interface 0 de VPN con alta disponibilidad a la interface 1 de AWS
   • interface 1 de VPN con alta disponibilidad a la interface 2 de AWS
   • interface 1 de VPN con alta disponibilidad a la interface 3 de AWS

Configura una VPN con alta disponibilidad con AWS

1. En Google Cloud, crea una puerta de enlace de VPN con alta disponibilidad y un Cloud Router en la región que desees. Esto crea dos direcciones IP externas, una para cada interfaz de puerta de enlace. Registra las direcciones IP externas para usarlas en el paso siguiente.
2. En AWS, crea dos puertas de enlace de clientes con lo siguiente:
   1. La opción de enrutamiento Dinámico
   2. El ASN de Google del Cloud Router
   3. Las direcciones IP externas de la puerta de enlace de VPN con alta disponibilidad de Google Cloud interfaces 0 y 1

3. Completa los pasos que corresponden a la opción de VPN de AWS que usas:

   1. Puerta de enlace de tránsito
      1. Crea un adjunto de VPN de puerta de enlace de transporte público para la primera puerta de enlace del cliente (interface 0) y usa la opción de enrutamiento Dinámico.
      2. Repite el paso anterior para la segunda puerta de enlace del cliente (interface 1).
   2. Puerta de enlace privada virtual
      1. Usa lo siguiente a fin de crear una conexión de VPN de sitio a sitio para la primera puerta de enlace del cliente (interface 0):
         • Un Tipo de puerta de enlace de destino de puerta de enlace privada virtual
         • La opción de enrutamiento Dinámico
      2. Repite el paso anterior para la segunda puerta de enlace del cliente (interface 1).

4. Descarga los archivos de configuración de AWS para las dos conexiones que creaste. Los archivos contienen información que necesitas durante los pasos siguientes en este procedimiento, incluidas las claves de autenticación compartidas previamente, las direcciones IP del túnel externo y las direcciones IP del túnel.

5. En Google Cloud, haz lo siguiente:

   1. Crea una puerta de enlace de VPN de intercambio de tráfico nueva con cuatro interfaces mediante las direcciones IP externas de AWS de los archivos que descargaste en el paso anterior.
   2. Crea cuatro túneles VPN en la puerta de enlace de VPN con alta disponibilidad que creaste en el paso 1. En cada túnel, configura la interfaz de la puerta de enlace de VPN con alta disponibilidad con la interfaz de puerta de enlace de VPN de intercambio de tráfico adecuada y las claves precompartidas con la información en los archivos de configuración de AWS que descargaste.
   3. Configura las sesiones de BGP en el Cloud Router mediante las direcciones IP de BGP de los archivos de configuración de AWS descargados.

¿Qué sigue?

• Para controlar qué direcciones IP se permiten en las puertas de enlace de VPN de intercambio de tráfico, consulta Restringe las direcciones IP para las puertas de enlace de VPN de intercambio de tráfico.