如何在 AWS 和 Microsoft Azure 之间配置使用动态路由的 Site-to-Site VPN 连接?
我想要使用边界网关协议(BGP)在 AWS 和 Microsoft Azure 之间配置 AWS Site-to-Site VPN 连接。
解决方法
注意: 有关优化性能的详细信息,请参阅 AWS Site-to-Site VPN,选择正确的选项来优化性能。
先决条件
在配置连接之前,请检查以下各项:
- 确保您有与虚拟专用网关关联或连接到中转网关的 Amazon Virtual Private Cloud(Amazon VPC)CIDR。
- 确保 Amazon VPC CIDR 与 Microsoft Azure 网络 CIDR 不重叠。
AWS 配置
1. 创建客户网关。
2. 验证自治系统号(ASN)。您可以添加自己的选项,或使用默认选项(65000)。如果您选择默认值,AWS 会为您的客户网关提供 ASN。
3. 对于客户网关 IP 地址,输入 Microsoft Azure 公有 IP 地址。当您在 Microsoft Azure 门户中配置虚拟网络网关时,会为您提供此地址。有关详细信息,请参考本文中“Microsoft Azure 配置”部分的步骤 2。
5. 从 Microsoft Azure 预留 APIPA 地址范围中为 Site-to-Site VPN 选择地址。这是必要步骤,因为您在为 Microsoft Azure 设置 BGP Site-to-Site VPN,而 AWS Site-to-Site VPN 设备为 BGP 使用 APIPA 地址。对于 IPv4 CIDR 地址内的隧道,此范围从 169.254.21.0 到 169.254.22.255。请参见以下示例:
地址示例: 169.254.21.0/30
BGP IP 地址(AWS): 169.254.21.1
BGP 对等 IP 地址(Microsoft Azure): 169.254.21.2
6. 为网关选择虚拟专用网关或中转网关,然后为路由选项选择动态。
7. 选择您的 VPN ID,然后对于供应商选择一般。
8. 下载 AWS 配置文件。
如果您要与中转网关建立 Site-to-Site VPN 连接,确保您有正确的中转网关连接。同时对 Amazon VPC 和 Site-to-Site VPN 执行此操作。此外,启用路由传播。最初,只会传播 Amazon VPC 路由。在建立 BGP 之前,Microsoft Azure 虚拟网络 CIDR 不会在中转网关路由表中传播。
Microsoft Azure 配置
1. 按照 Microsoft 网站上的说明在 Microsoft Azure 中创建虚拟网络。
2. 按照 Microsoft 网站上的说明创建分配有公有 IP 地址的虚拟网络网关。使用以下详细信息:
**区域:**选择要在其中部署虚拟网络网关的区域。
网关类型: VPN
VPN 类型: 基于路由
**SKU:**选择符合您的工作负载、吞吐量、功能和 SLA 要求的 SKU。
虚拟网络: 虚拟网络与虚拟网络网关关联(类似于 AWS 环境中的 VPC)。
启用主动-主动模式: 选择禁用。这将创建新的公有 IP 地址,在 AWS 管理控制台中用作客户网关 IP 地址。
配置 BGP: 选择启用。
自定义 Azure APIPA BGP IP 地址: (169.254.21.2)。
注意: 您为虚拟网络网关指定的 ASN 必须与 AWS 管理控制台中的客户网关 ASN(65000)相同。
3. 按照 Microsoft 网站上的说明创建本地网络网关。使用以下详细信息:
IP 地址: 输入您在创建 AWS Site-to-Site VPN 时收到的隧道 1 的公有 IP 地址。您可以在从 AWS 管理控制台下载的配置文件中查看此信息。
地址空间: 输入 Amazon VPC CIDR 块。
自治系统号(ASN): 输入 AWS ASN。
**BGP 对等 IP 地址:**输入 AWS BGP IP(如 AWS 配置的步骤 5 所示)。
4. 按照 Microsoft 网站上的说明在启用 BGP 的情况下在 Microsoft Azure 门户中创建 Site-to-Site VPN 连接。
**注意:**Microsoft Azure 端和 AWS 端的加密算法和 PSK 是相同的。
第 1 阶段(IKE):
Encryption: AES56 Authentication: SHA256 DH Group: 14
第 2 阶段(IPSEC):
Encryption: AES256 Authentication: SHA256 DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure. Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)
在 AWS 和 Microsoft Azure 之间使用 AWS Site-to-Site VPN 设置主动/主动 BGP 失效转移
1. 按照 Microsoft 网站上的说明创建虚拟网络网关。对于启用主动-主动模式,选择启用。这将提供两个公有 IP 地址。
2. 打开 AWS Site-to-Site VPN 控制台。使用 Microsoft Azure 门户中虚拟网络网关的两个公有 IP 地址创建两个客户网关。使用以下详细信息:
**IP 地址:**为第一个客户网关输入 Azure 公有节点 1 IP 地址,为第二个客户网关输入 Azure 公有节点 2 IP 地址。
**BGP ASN:**输入您在 Microsoft Azure 端配置的 ASN。
路由类型:选择动态。
3. 在 AWS 管理控制台中,创建两个连接到虚拟专用网关或中转网关的 Site-to-Site VPN 连接。对于两个 Site-to-Site VPN 连接的隧道 1,为 BGP 对等 IP 地址输入:
Site-to-Site VPN 1: 169.254.21.0/30
Site-to-Site VPN 2: 169.254.22.0/30
IP /30 地址中的第一个 IP 地址被分配给 AWS Site-to-Site VPN BGP IP 地址(169.254.21.1 或 69.254.22.1),第二个 IP 地址被分配给 Microsoft Azure BGP IP(169.254.21.2 或 69.254.22.2)。
4. 使用 Microsoft Azure 门户,创建两个 Microsoft Azure 本地网络网关。对于 IP 地址,使用您的 AWS Site-to-Site VPN 隧道中的隧道 1 公有 IP 地址。另外,请确保 ASN 与虚拟专用网关或中转网关匹配。
5. 使用 Microsoft Azure 门户,创建两个 Microsoft Azure Site-to-Site VPN 连接。确保每个连接都有 Microsoft Azure 虚拟网络网关,指向您在上一步中创建的本地网络网关。
启用中转网关 ECMP 支持
在主动/主动设置中,两个 Site-to-Site VPN 连接在中转网关上终止,两个 Site-to-Site VPN 均配置了单一隧道。因此,在可能有的四个 Site-to-Site VPN 隧道中,有两个处于活动状态。当中转网关启用 ECMP 支持时,可以在两个 Site-to-Site VPN 连接之间实现流量负载均衡。如果一个 Site-to-Site VPN 连接进入关闭状态,将通过 BGP 自动失效转移到冗余链接。
验证 VPN 连接状态
- 建立 Site-to-Site VPN 配置后,检查 VPN 隧道状态是否处于正常运行状态。要完成此任务,在 Site-to-Site VPN 控制台上选择隧道详细信息选项卡。
- 在 Microsoft Azure 门户上,验证 VPN 连接。确认状态为成功,之后在成功建立连接时状态变为已连接。
- 在您的 Amazon VPC 中创建 Amazon Elastic Compute Cloud(Amazon EC2)实例,验证 AWS 和 Microsoft Azure 之间的连接。然后,按照 Microsoft 网站上的说明连接到 Microsoft Azure VM 私有 IP 地址,确认 Site-to-Site VPN 连接已建立。
有关详细信息,请参阅测试 Site-to-Site VPN 连接和我如何
相关内容
- AWS 官方已更新 1 个月前
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 4 个月前