Connetti la VPN ad alta disponibilità ai gateway peer AWS

Quando configuri un gateway VPN ad alta disponibilità esterno che si connette ad Amazon Web Services (AWS), puoi utilizzare un gateway di transito o un gateway privato virtuale. Solo il gateway di transito supporta il routing ECMP (Equal-cost multipath). Se abilitato, il routing ECMP distribuisce equamente il traffico tra i tunnel attivi. La topologia supportata richiede due connessioni VPN Site-to-Site AWS, A e B, ognuna con due indirizzi IP esterni. Questa topologia genera quattro indirizzi IP esterni in AWS: A1, A2, B1 e B2.

Problema noto: quando configuri i tunnel VPN su AWS, utilizza il protocollo di crittografia IKEv2 e seleziona meno set di trasformazione lato AWS. In caso contrario, la ricodificazione del tunnel Cloud VPN potrebbe non riuscire. Ad esempio, seleziona una combinazione di algoritmi di crittografia di fase 1 e 2, algoritmi di integrità e numeri di gruppi DH. Questo problema di ricreazione della chiave è causato da dimensioni del payload dell'account servizio elevate per il set predefinito di set di trasformazione AWS. Questa dimensione elevata del payload comporta la frammentazione IP dei pacchetti IKE lato AWS, che Cloud VPN non supporta.

Crea VPN ad alta disponibilità connesse a gateway peer AWS

  1. Configura i quattro indirizzi IP AWS come un singolo gateway VPN ad alta disponibilità esterno con FOUR_IPS_REDUNDANCY, dove:
    • IP AWS 0=A1
    • IP AWS 1=A2
    • IP AWS 2=B1
    • IP AWS 3=B2
  2. Crea quattro tunnel sul gateway VPN ad alta disponibilità per soddisfare lo SLA del 99,99% utilizzando la seguente configurazione:
    • VPN ad alta disponibilità interface 0 ad AWS interface 0
    • VPN ad alta disponibilità interface 0 ad AWS interface 1
    • VPN ad alta disponibilità interface 1 ad AWS interface 2
    • VPN ad alta disponibilità interface 1 ad AWS interface 3

Configura la VPN ad alta disponibilità con AWS:

  1. In Google Cloud, crea un gateway VPN ad alta disponibilità e un router Cloud nella regione che preferisci. Questa azione crea due indirizzi IP esterni, uno per ogni interfaccia del gateway. Registra gli indirizzi IP esterni da utilizzare nel passaggio successivo.
  2. In AWS, crea due gateway dei clienti utilizzando quanto segue:
    • L'opzione di routing Dinamico
    • L'ASN Google del router Cloud
    • Gli indirizzi IP esterni del Google Cloud gateway VPN ad alta disponibilitàinterfaces 0 e 1
  3. Completa i passaggi corrispondenti all'opzione VPN AWS in uso:
    • Transit Gateway
      1. Crea un collegamento VPN del gateway di transito per il primo gateway del cliente (interface 0) e utilizza l'opzione di routing Dinamico.
      2. Ripeti il passaggio precedente per il secondo gateway del cliente (interface 1).
    • Virtual Private Gateway
      1. Crea una connessione VPN Site-to-Site per il primo gateway del cliente (interface 0) utilizzando quanto segue:
        • Un tipo di gateway di destinazione Gateway privato virtuale
        • L'opzione di routing Dinamico
      2. Ripeti il passaggio precedente per il secondo gateway del cliente (interface 1).
  4. Scarica i file di configurazione AWS per entrambe le connessioni che hai creato. I file contengono informazioni di cui avrai bisogno durante i passaggi successivi di questa procedura, tra cui chiavi di autenticazione pre-condivise, indirizzi IP esterni e indirizzi IP interni del tunnel.
  5. In Google Cloud, procedi nel seguente modo:
    1. Crea un nuovo gateway VPN peer con quattro interfacce utilizzando gli indirizzi IP esterni AWS dei file scaricati nel passaggio precedente.
    2. Crea quattro tunnel VPN sul gateway VPN ad alta disponibilità che hai creato nel passaggio 1. Per ogni tunnel, configura l'interfaccia del gateway VPN ad alta disponibilità con l'interfaccia del gateway VPN peer e le chiavi pre-condivise appropriate utilizzando le informazioni contenute nei file di configurazione AWS che hai scaricato.
    3. Configura le sessioni BGP sul router Cloud utilizzando gli indirizzi IP BGP dei file di configurazione AWS scaricati.

Configura il gateway VPN ad alta disponibilità esterno

  1. Configura i quattro indirizzi IP AWS come un singolo gateway VPN ad alta disponibilità esterno con FOUR_IPS_REDUNDANCY, dove:
    • IP AWS 0=A1
    • IP AWS 1=A2
    • IP AWS 2=B1
    • IP AWS 3=B2
  2. Crea quattro tunnel sul gateway VPN ad alta disponibilità per soddisfare lo SLA (accordo sul livello del servizio) del 99,99% utilizzando la seguente configurazione:
    • VPN ad alta disponibilità interface 0 ad AWS interface 0
    • VPN ad alta disponibilità interface 0 ad AWS interface 1
    • VPN ad alta disponibilità interface 1 ad AWS interface 2
    • VPN ad alta disponibilità interface 1 ad AWS interface 3

Configurare la VPN ad alta disponibilità con AWS

  1. In Google Cloud, crea un gateway VPN ad alta disponibilità e un router Cloud nella regione che preferisci. Questa azione crea due indirizzi IP esterni, uno per ogni interfaccia del gateway. Prendi nota degli indirizzi IP esterni da utilizzare nel passaggio successivo.
  2. In AWS, crea due gateway dei clienti utilizzando quanto segue:
    1. L'opzione di routing Dinamico
    2. L'ASN Google del router Cloud
    3. Gli indirizzi IP esterni dei Google Cloud gateway VPN HAinterfaces 0 e 1

  3. Completa i passaggi corrispondenti all'opzione VPN AWS in uso:

    1. Transit Gateway
      1. Crea un collegamento VPN al gateway di transito per il primo gateway del cliente (interface 0) e utilizza l'opzione di routing Dinamico.
      2. Ripeti il passaggio precedente per il secondo gateway del cliente (interface 1).
    2. Virtual Private Gateway
      1. Crea una connessione VPN Site-to-Site per il primo gateway del cliente (interface 0) utilizzando quanto segue:
        • Un tipo di gateway di destinazione Gateway privato virtuale
        • L'opzione di routing Dinamico
      2. Ripeti il passaggio precedente per il secondo gateway del cliente (interface 1).

  4. Scarica i file di configurazione AWS per entrambe le connessioni che hai creato. I file contengono le informazioni necessarie per i passaggi successivi di questa procedura, tra cui le chiavi di autenticazione predefinite, gli indirizzi IP esterni e interni del tunnel.

  5. In Google Cloud, procedi nel seguente modo:

    1. Crea un nuovo gateway VPN peer con quattro interfacce utilizzando gli indirizzi IP esterni AWS dei file scaricati nel passaggio precedente.
    2. Crea quattro tunnel VPN sul gateway VPN ad alta disponibilità che hai creato nel passaggio 1. Per ogni tunnel, configura l'interfaccia del gateway VPN ad alta disponibilità con l'interfaccia del gateway VPN peer e le chiavi pre-condivise appropriate utilizzando le informazioni contenute nei file di configurazione AWS che hai scaricato.
    3. Configura le sessioni BGP sul router Cloud utilizzando gli indirizzi IP BGP dei file di configurazione AWS scaricati.

Passaggi successivi