Associer des passerelles de pairs entre VPN haute disponibilité et AWS

Lors de la configuration d'une passerelle VPN haute disponibilité externe vers Amazon Web Services (AWS), vous pouvez utiliser une passerelle de transit ou une passerelle réseau privé virtuel. Seule la passerelle de transit est compatible avec le routage ECMP (Equal-Cost Multi-Path). Lorsque le protocole ECMP est activé, il répartit équitablement le trafic entre les tunnels actifs. La topologie compatible nécessite deux connexions AWS Site-to-Site VPN, A et B, chacune ayant deux adresses IP externes. Cette topologie engendre quatre adresses IP externes au total dans AWS : A1, A2, B1 et B2.

Problème connu : Lors de la configuration des tunnels VPN vers AWS, vous devez utiliser le protocole de chiffrement IKEv2 et sélectionner une plus petite quantité d'ensembles de transformation du côté AWS. Sinon, le renouvellement de la clé du tunnel Cloud VPN peut échouer. Par exemple, combinez des algorithmes uniques de chiffrement de phase 1 et de phase 2, des algorithmes d'intégrité et des nombres de groupes DH (Diffie-Hellman). Ce problème de renouvellement de clé est causé par la taille élevée de la charge utile dédiée à l'association de sécurité pour l'ensemble de transformation AWS par défaut. Cette charge utile de taille élevée fragmente les adresses IP des paquets IKE situés du côté AWS, ce qui n'est pas compatible avec Cloud VPN.

Créer des passerelles de pairs entre VPN haute disponibilité et AWS

Lors de la configuration d'une passerelle VPN haute disponibilité externe vers Amazon Web Services (AWS), vous pouvez utiliser une passerelle de transit ou une passerelle réseau privé virtuel. Seule la passerelle de transit est compatible avec le routage ECMP (Equal-Cost Multi-Path). Lorsque le protocole ECMP est activé, il répartit équitablement le trafic entre les tunnels actifs. La topologie compatible nécessite deux connexions AWS Site-to-Site VPN, A et B, chacune ayant deux adresses IP externes. Cette topologie engendre quatre adresses IP externes au total dans AWS : A1, A2, B1 et B2.

1. Configurez les quatre adresses IP AWS comme une seule passerelle VPN haute disponibilité externe à l'aide de FOUR_IPS_REDUNDANCY, où :
• l'adresse IP AWS 0 équivaut à A1 ;
• l'adresse IP AWS 1 équivaut à A2 ;
• l'adresse IP AWS 2 équivaut à B1 ;
• l'adresse IP AWS 3 équivaut à B2.
2. Créez quatre tunnels sur la passerelle VPN haute disponibilité pour atteindre le contrat de niveau de service de 99,99 % à l'aide de la configuration suivante :
• interface 0 VPN haute disponibilité vers interface 0 AWS
• interface 0 VPN haute disponibilité vers interface 1 AWS
• interface 1 VPN haute disponibilité vers interface 2 AWS
• interface 1 VPN haute disponibilité vers interface 3 AWS

Configurez un VPN haute disponibilité avec AWS :

1. Dans Google Cloud, créez une passerelle VPN haute disponibilité et un routeur Cloud Router dans la région de votre choix. Deux adresses IP externes sont alors créées, une pour chaque interface de passerelle. Notez les adresses IP externes à utiliser à l'étape suivante.
2. Dans AWS, créez deux passerelles client à l'aide des éléments suivants :
   • L'option de routage Dynamique
   • Le numéro ASN Google du routeur Cloud Router
   • Adresses IP externes de la passerelle VPN haute disponibilité Google Cloud interfaces 0 et 1
3. Suivez la procédure correspondant à l'option de VPN AWS que vous utilisez :
   • Passerelle de transit
   1. Créez un rattachement de passerelle de transit avec un VPN pour la première passerelle client (interface 0) et utilisez l'option de routage Dynamique.
   2. Répétez l'étape précédente pour la deuxième passerelle client (interface 1).
   • Passerelle réseau privé virtuel
   1. Créez une connexion Site-to-Site VPN pour la première passerelle client (interface 0) à l'aide des éléments suivants :
      • Le type de passerelle cible Passerelle réseau privé virtuel
      • L'option de routage Dynamique
   2. Répétez l'étape précédente pour la deuxième passerelle client (interface 1).
4. Téléchargez les fichiers de configuration AWS pour les deux connexions que vous avez créées. Ces fichiers contiennent les informations dont vous aurez besoin lors des étapes suivantes de cette procédure, y compris les clés d'authentification pré-partagées, les adresses IP externes des tunnels et les adresses IP internes des tunnels.
5. Dans Google Cloud, procédez comme suit :
   1. Créez une passerelle VPN de pairs avec quatre interfaces en utilisant les adresses IP externes AWS contenues dans les fichiers téléchargés à l'étape précédente.
   2. Créez quatre tunnels VPN sur la passerelle VPN haute disponibilité que vous avez créée à l'étape 1. Pour chaque tunnel, configurez l'interface de passerelle VPN haute disponibilité avec l'interface de passerelle VPN de pairs et les clés pré-partagées appropriées, en utilisant les informations contenues dans les fichiers de configuration AWS que vous avez téléchargés.
   3. Configurez des sessions BGP sur le routeur Cloud Router à l'aide des adresses IP BGP contenues dans les fichiers de configuration AWS téléchargés.

Configurer la passerelle VPN haute disponibilité externe

1. Configurez les quatre adresses IP AWS comme une seule passerelle VPN haute disponibilité externe à l'aide de FOUR_IPS_REDUNDANCY, où :
   • l'adresse IP AWS 0 équivaut à A1.
   • l'adresse IP AWS 1 équivaut à A2 ;
   • l'adresse IP AWS 2 équivaut à B1 ;
   • l'adresse IP AWS 3 équivaut à B2.
2. Créez quatre tunnels sur la passerelle VPN haute disponibilité pour atteindre le contrat de niveau de service de 99,99 % à l'aide de la configuration suivante :
   • interface 0 VPN haute disponibilité vers interface 0 AWS
   • interface 0 VPN haute disponibilité vers interface 1 AWS
   • interface 1 VPN haute disponibilité vers interface 2 AWS
   • interface 1 VPN haute disponibilité vers interface 3 AWS

Configurez un VPN haute disponibilité avec AWS :

1. Dans Google Cloud, créez une passerelle VPN haute disponibilité et un routeur Cloud Router dans la région de votre choix. Deux adresses IP externes sont alors créées, une pour chaque interface de passerelle. Notez les adresses IP externes à utiliser à l'étape suivante.
2. Dans AWS, créez deux passerelles client à l'aide des éléments suivants :
   1. L'option de routage Dynamique
   2. Le numéro ASN Google du routeur Cloud Router
   3. Adresses IP externes de la passerelle VPN haute disponibilité Google Cloud interfaces 0 et 1

3. Suivez la procédure correspondant à l'option de VPN AWS que vous utilisez :

   1. Passerelle de transit
      1. Créez un rattachement de passerelle de transit avec un VPN pour la première passerelle client (interface 0) et utilisez l'option de routage Dynamique.
      2. Répétez l'étape précédente pour la deuxième passerelle client (interface 1).
   2. Passerelle réseau privé virtuel
      1. Créez une connexion Site-to-Site VPN pour la première passerelle client (interface 0) à l'aide des éléments suivants :
         • Le type de passerelle cible Passerelle réseau privé virtuel
         • L'option de routage Dynamique
      2. Répétez l'étape précédente pour la deuxième passerelle client (interface 1).

4. Téléchargez les fichiers de configuration AWS pour les deux connexions que vous avez créées. Ces fichiers contiennent les informations dont vous aurez besoin lors des étapes suivantes de cette procédure, y compris les clés d'authentification pré-partagées, les adresses IP externes des tunnels et les adresses IP internes des tunnels.

5. Dans Google Cloud, procédez comme suit :

   1. Créez une passerelle VPN de pairs avec quatre interfaces en utilisant les adresses IP externes AWS contenues dans les fichiers téléchargés à l'étape précédente.
   2. Créez quatre tunnels VPN sur la passerelle VPN haute disponibilité que vous avez créée à l'étape 1. Pour chaque tunnel, configurez l'interface de passerelle VPN haute disponibilité avec l'interface de passerelle VPN de pairs et les clés pré-partagées appropriées, en utilisant les informations contenues dans les fichiers de configuration AWS que vous avez téléchargés.
   3. Configurez des sessions BGP sur le routeur Cloud Router à l'aide des adresses IP BGP contenues dans les fichiers de configuration AWS téléchargés.

Étapes suivantes

• Pour contrôler les adresses IP autorisées pour les passerelles VPN de pairs, consultez la page Limiter les adresses IP pour les passerelles VPN de pairs.