Connetti la VPN ad alta disponibilità ai gateway peer AWS

Quando configuri un gateway VPN esterno VPN ad alta disponibilità per Amazon Web Services (AWS), puoi utilizzare un gateway di transito o un gateway privato virtuale. Solo il gateway di transito supporta il routing ECMP (Equal-cost multipath). Se abilitato, il routing ECMP distribuisce equamente il traffico tra i tunnel attivi. La topologia supportata richiede due connessioni VPN AWS Site-to-Site, A e B, ciascuna con due indirizzi IP esterni. Questa topologia restituisce quattro indirizzi IP esterni in AWS: A1, A2, B1 e B2.

Problema noto: quando configuri i tunnel VPN in AWS, utilizza il protocollo di crittografia IKEv2 e seleziona meno set di trasformazione sul lato AWS. In caso contrario, il tunnel Cloud VPN potrebbe non riuscire a eseguire la nuova chiave. Ad esempio, seleziona una combinazione di algoritmi di crittografia a singola fase 1 e 2 di fase, algoritmi di integrità e numeri di gruppi DH. Questo problema di rekeying è causato da una dimensione del payload SA elevata per il set predefinito di set AWS transform. Queste grandi dimensioni del payload comportano la frammentazione IP dei pacchetti IKE sul lato AWS, azione non supportata da Cloud VPN.

Crea gateway da VPN ad alta disponibilità a peer AWS

Quando configuri un gateway VPN esterno VPN ad alta disponibilità per Amazon Web Services (AWS), puoi utilizzare un gateway di transito o un gateway privato virtuale. Solo il gateway di transito supporta il routing ECMP (Equal-cost multipath). Se abilitato, il routing ECMP distribuisce equamente il traffico tra i tunnel attivi. La topologia supportata richiede due connessioni VPN AWS Site-to-Site, A e B, ciascuna con due indirizzi IP esterni. Questa topologia restituisce quattro indirizzi IP esterni in AWS: A1, A2, B1 e B2.

1. Configura i quattro indirizzi IP AWS come singolo gateway VPN ad alta disponibilità esterno con FOUR_IPS_REDUNDANCY, dove:
• IP AWS 0=A1
• IP AWS 1=A2
• IP AWS 2=B1
• IP AWS 3=B2
2. Crea quattro tunnel sul gateway VPN ad alta disponibilità per soddisfare lo SLA (accordo sul livello del servizio) del 99,99% utilizzando la seguente configurazione:
• Da VPN ad alta disponibilità interface 0 ad AWS interface 0
• Da VPN ad alta disponibilità interface 0 ad AWS interface 1
• Da VPN ad alta disponibilità interface 1 ad AWS interface 2
• Da VPN ad alta disponibilità interface 1 ad AWS interface 3

Configura la VPN ad alta disponibilità con AWS:

1. In Google Cloud, crea un gateway VPN ad alta disponibilità e un router Cloud nella regione che preferisci. Questa azione crea due indirizzi IP esterni, uno per ogni interfaccia gateway. Registra gli indirizzi IP esterni da utilizzare nel passaggio successivo.
2. In AWS, crea due gateway cliente utilizzando quanto segue:
   • L'opzione di routing dinamico
   • L'ASN Google del router Cloud
   • Gli indirizzi IP esterni del gateway VPN ad alta disponibilità di Google Cloud interfaces 0 e 1
3. Completa i passaggi corrispondenti all'opzione VPN AWS in uso:
   • Gateway di trasporto pubblico
   1. Crea un collegamento VPN del gateway di transito per il primo gateway del cliente (interface 0) e utilizza l'opzione di routing dinamico.
   2. Ripeti il passaggio precedente per il secondo gateway cliente (interface 1).
   • Gateway privato virtuale
   1. Crea una connessione VPN Site-to-Site per il primo gateway del cliente (interface 0) utilizzando quanto segue:
      • Un tipo di gateway di destinazione di gateway privato virtuale
      • L'opzione di routing dinamico
   2. Ripeti il passaggio precedente per il secondo gateway cliente (interface 1).
4. Scarica i file di configurazione AWS per entrambe le connessioni create. I file contengono le informazioni di cui hai bisogno nei passaggi successivi di questa procedura, tra cui chiavi di autenticazione precondivise, indirizzi IP dei tunnel esterni e indirizzi IP dei tunnel.
5. In Google Cloud, esegui queste operazioni:
   1. Crea un nuovo gateway VPN peer con quattro interfacce utilizzando gli indirizzi IP esterni AWS contenuti nei file scaricati nel passaggio precedente.
   2. Crea quattro tunnel VPN sul gateway VPN ad alta disponibilità creato al passaggio 1. Per ogni tunnel, configura l'interfaccia del gateway VPN ad alta disponibilità con l'interfaccia del gateway VPN peer appropriata e le chiavi precondivise utilizzando le informazioni contenute nei file di configurazione AWS che hai scaricato.
   3. Configura le sessioni BGP sul router Cloud utilizzando gli indirizzi IP BGP dei file di configurazione AWS scaricati.

Configura il gateway VPN ad alta disponibilità esterno

1. Configura i quattro indirizzi IP AWS come singolo gateway VPN ad alta disponibilità esterna con FOUR_IPS_REDUNDANCY, dove:
   • IP AWS 0=A1
   • IP AWS 1=A2
   • IP AWS 2=B1
   • IP AWS 3=B2
2. Crea quattro tunnel sul gateway VPN ad alta disponibilità per soddisfare lo SLA (accordo sul livello del servizio) del 99,99% utilizzando la seguente configurazione:
   • Da VPN ad alta disponibilità interface 0 ad AWS interface 0
   • Da VPN ad alta disponibilità interface 0 ad AWS interface 1
   • Da VPN ad alta disponibilità interface 1 ad AWS interface 2
   • Da VPN ad alta disponibilità interface 1 ad AWS interface 3

Configurare la VPN ad alta disponibilità con AWS

1. In Google Cloud, crea un gateway VPN ad alta disponibilità e un router Cloud nella regione desiderata. Questa azione crea due indirizzi IP esterni, uno per ogni interfaccia del gateway. Registra gli indirizzi IP esterni da utilizzare nel passaggio successivo.
2. In AWS, crea due gateway cliente utilizzando quanto segue:
   1. L'opzione di routing dinamico
   2. L'ASN Google del router Cloud
   3. Gli indirizzi IP esterni del gateway VPN ad alta disponibilità di Google Cloud interfaces 0 e 1

3. Completa i passaggi corrispondenti all'opzione AWS VPN in uso:

   1. Gateway di trasporto pubblico
      1. Crea un allegato VPN del gateway di transito per il primo gateway del cliente (interface 0) e utilizza l'opzione di routing dinamico.
      2. Ripeti il passaggio precedente per il secondo gateway cliente (interface 1).
   2. Gateway privato virtuale
      1. Crea una connessione VPN Site-to-Site per il primo gateway del cliente (interface 0) utilizzando quanto segue:
         • Un tipo di gateway di destinazione di gateway privato virtuale
         • L'opzione di routing dinamico
      2. Ripeti il passaggio precedente per il secondo gateway cliente (interface 1).

4. Scarica i file di configurazione AWS per entrambe le connessioni create. I file contengono le informazioni di cui hai bisogno nei passaggi successivi di questa procedura, tra cui chiavi di autenticazione precondivise, indirizzi IP all'esterno del tunnel e indirizzi IP all'interno del tunnel.

5. In Google Cloud, segui questi passaggi:

   1. Crea un nuovo gateway VPN peer con quattro interfacce utilizzando gli indirizzi IP esterni di AWS dai file scaricati nel passaggio precedente.
   2. Crea quattro tunnel VPN sul gateway VPN ad alta disponibilità creato nel passaggio 1. Per ogni tunnel, configura l'interfaccia gateway VPN ad alta disponibilità con l'interfaccia gateway VPN peer appropriata e le chiavi precondivise utilizzando le informazioni nei file di configurazione AWS che hai scaricato.
   3. Configura le sessioni BGP sul router Cloud utilizzando gli indirizzi IP BGP dai file di configurazione AWS scaricati.

Passaggi successivi

• Per controllare quali indirizzi IP sono consentiti per i gateway VPN peer, consulta Limitare gli indirizzi IP per i gateway VPN peer.