Amazon Virtual Private Cloud - 网络管理员指南 PDF
Preview Amazon Virtual Private Cloud - 网络管理员指南
Amazon Virtual Private Cloud 网络管理员指南 Amazon Virtual Private Cloud 网络管理员指南 Amazon Virtual Private Cloud: 网络管理员指南 Copyright © 2019 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon. Amazon Virtual Private Cloud 网络管理员指南 Table of Contents 欢迎使用............................................................................................................................................ 1 您的客户网关..................................................................................................................................... 2 客户网关是什么?....................................................................................................................... 2 您的角色 ............................................................................................................................ 3 设置 VPN 连接概述..................................................................................................................... 4 Network Information............................................................................................................ 4 AWS VPN CloudHub 和冗余客户网关............................................................................................ 5 配置通往您的 VPC 的多个 VPN 连接............................................................................................. 5 我们已测试的客户网关设备........................................................................................................... 6 您的客户网关的要求 .................................................................................................................... 7 在 Internet 和客户网关之间配置防火墙........................................................................................... 9 示例:使用 BGP 的检查点设备............................................................................................................ 11 客户网关的宏观视图 .................................................................................................................. 11 配置文件 .................................................................................................................................. 11 配置检查点设备 ......................................................................................................................... 12 步骤 1:配置隧道接口........................................................................................................ 12 步骤 2:配置 BGP............................................................................................................ 13 步骤 3:创建网络对象........................................................................................................ 14 步骤 4:创建 VPN 社区并配置 IKE 和 IPsec......................................................................... 15 步骤 5:配置防火墙........................................................................................................... 16 步骤 6:启用失效对端检测和 TCP MSS 固定 ........................................................................ 17 如何测试客户网关配置............................................................................................................... 18 示例:检查点设备 (无 BGP)................................................................................................................ 20 客户网关的宏观视图 .................................................................................................................. 20 配置文件 .................................................................................................................................. 21 配置检查点设备 ......................................................................................................................... 21 步骤 1:配置隧道接口........................................................................................................ 22 步骤 2:配置静态路由........................................................................................................ 23 步骤 3:创建网络对象........................................................................................................ 24 步骤 4:创建 VPN 社区并配置 IKE 和 IPsec......................................................................... 25 步骤 5:配置防火墙........................................................................................................... 27 步骤 6:启用失效对端检测和 TCP MSS 固定 ........................................................................ 27 如何测试客户网关配置............................................................................................................... 28 示例:Cisco ASA 设备....................................................................................................................... 31 客户网关的宏观视图 .................................................................................................................. 31 示例配置 .................................................................................................................................. 32 如何测试客户网关配置............................................................................................................... 35 示例:带 VTI 和 BGP 的 Cisco ASA 设备 ............................................................................................. 37 客户网关的宏观视图 .................................................................................................................. 37 示例配置 .................................................................................................................................. 37 如何测试客户网关配置............................................................................................................... 43 示例:带 VTI 的 Cisco ASA 设备 (不带 BGP) ........................................................................................ 45 客户网关的宏观视图 .................................................................................................................. 45 示例配置 .................................................................................................................................. 46 如何测试客户网关配置............................................................................................................... 51 示例:Cisco IOS 设备....................................................................................................................... 53 客户网关的宏观视图 .................................................................................................................. 54 客户网关的详细视图和示例配置 ................................................................................................... 55 如何测试客户网关配置............................................................................................................... 61 示例:Cisco IOS 设备 (无 BGP).......................................................................................................... 63 客户网关的宏观视图 .................................................................................................................. 63 客户网关的详细视图和示例配置 ................................................................................................... 64 如何测试客户网关配置............................................................................................................... 69 示例:Dell SonicWALL 设备............................................................................................................... 71 iii Amazon Virtual Private Cloud 网络管理员指南 客户网关的宏观视图 .................................................................................................................. 71 示例配置文件............................................................................................................................ 71 使用管理界面配置 SonicWALL 设备............................................................................................. 75 如何测试客户网关配置............................................................................................................... 75 示例:Dell SonicWALL 设备 (无 BGP)................................................................................................. 77 客户网关的宏观视图 .................................................................................................................. 77 示例配置文件............................................................................................................................ 78 使用管理界面配置 SonicWALL 设备............................................................................................. 81 如何测试客户网关配置............................................................................................................... 82 示例:Fortinet Fortigate 设备.............................................................................................................. 84 客户网关的宏观视图 .................................................................................................................. 85 客户网关的详细视图和示例配置 ................................................................................................... 85 如何测试客户网关配置............................................................................................................... 93 示例:Juniper J-Series JunOS 设备..................................................................................................... 95 客户网关的宏观视图 .................................................................................................................. 96 客户网关的详细视图和示例配置 ................................................................................................... 97 如何测试客户网关配置.............................................................................................................. 103 示例:Juniper SRX JunOS 设备........................................................................................................ 105 客户网关的宏观视图 ................................................................................................................. 106 客户网关的详细视图和示例配置 ................................................................................................. 107 如何测试客户网关配置.............................................................................................................. 113 示例:Juniper ScreenOS 设备........................................................................................................... 115 客户网关的宏观视图 ................................................................................................................. 116 客户网关的详细视图和示例配置 ................................................................................................. 117 如何测试客户网关配置.............................................................................................................. 122 示例:Netgate PfSense 设备 (无 BGP)............................................................................................... 124 客户网关的宏观视图 ................................................................................................................. 124 示例配置 ................................................................................................................................ 125 如何测试客户网关配置.............................................................................................................. 128 示例:Palo Alto Networks 设备......................................................................................................... 130 客户网关的宏观视图 ................................................................................................................. 131 客户网关的详细视图和示例配置 ................................................................................................. 131 如何测试客户网关配置.............................................................................................................. 137 示例:Yamaha 设备........................................................................................................................ 139 客户网关的宏观视图 ................................................................................................................. 140 客户网关的详细视图和示例配置 ................................................................................................. 140 如何测试客户网关配置.............................................................................................................. 146 示例:使用 BGP 的通用客户网关....................................................................................................... 148 客户网关的宏观视图 ................................................................................................................. 149 客户网关的详细视图和示例配置 ................................................................................................. 149 如何测试客户网关配置.............................................................................................................. 154 示例:通用客户网关 (无 BGP)........................................................................................................... 156 客户网关的宏观视图 ................................................................................................................. 157 客户网关的详细视图和示例配置 ................................................................................................. 157 如何测试客户网关配置.............................................................................................................. 161 故障排除........................................................................................................................................ 163 Cisco ASA 客户网关连接性....................................................................................................... 163 IKE............................................................................................................................... 163 IPsec............................................................................................................................. 164 路由选择 ........................................................................................................................ 165 Cisco IOS 客户网关连接性........................................................................................................ 166 IKE............................................................................................................................... 166 IPsec............................................................................................................................. 166 隧道 .............................................................................................................................. 168 BGP.............................................................................................................................. 169 虚拟专用网关连接 ............................................................................................................ 170 Cisco IOS 客户网关连接性 (无 BGP).......................................................................................... 170 iv Amazon Virtual Private Cloud 网络管理员指南 IKE............................................................................................................................... 170 IPsec............................................................................................................................. 170 隧道 .............................................................................................................................. 172 虚拟专用网关连接 ............................................................................................................ 174 Juniper JunOS 客户网关连接性................................................................................................. 174 IKE............................................................................................................................... 174 IPsec............................................................................................................................. 174 隧道 .............................................................................................................................. 175 BGP.............................................................................................................................. 175 虚拟专用网关连接 ............................................................................................................ 177 Juniper ScreenOS 客户网关连接性............................................................................................ 177 IKE 和 IPsec.................................................................................................................. 177 隧道 .............................................................................................................................. 177 BGP.............................................................................................................................. 178 虚拟专用网关连接 ............................................................................................................ 179 Yamaha 客户网关连接性.......................................................................................................... 179 IKE............................................................................................................................... 180 IPsec............................................................................................................................. 180 隧道 .............................................................................................................................. 181 BGP.............................................................................................................................. 181 虚拟专用网关连接 ............................................................................................................ 182 通用设备客户网关连接性........................................................................................................... 182 通用设备客户网关连接性 (无 BGP)............................................................................................. 184 配置 Windows Server 2008 R2 作为客户网关...................................................................................... 187 配置 Windows Server.............................................................................................................. 187 步骤 1:创建 VPN 连接并配置您的 VPC.................................................................................... 188 第 2 步:下载 VPN 连接的配置文件 ........................................................................................... 188 步骤 3:配置 Windows Server.................................................................................................. 190 第 4 步:设置 VPN 隧道 .......................................................................................................... 192 选项 1:运行 netsh 脚本.................................................................................................. 192 选项 2:使用 Windows Server 用户界面............................................................................. 192 第 5 步:启用失效网关检测 ....................................................................................................... 198 步骤 6:测试 VPN 连接........................................................................................................... 198 将 Windows Server 2012 R2 配置为客户网关...................................................................................... 200 配置 Windows Server.............................................................................................................. 200 步骤 1:创建 VPN 连接并配置您的 VPC.................................................................................... 201 第 2 步:下载 VPN 连接的配置文件 ........................................................................................... 201 步骤 3:配置 Windows Server.................................................................................................. 203 第 4 步:设置 VPN 隧道 .......................................................................................................... 204 选项 1:运行 netsh 脚本.................................................................................................. 204 选项 2:使用 Windows Server 用户界面............................................................................. 204 2.4:配置 Windows 防火墙............................................................................................... 207 第 5 步:启用失效网关检测 ....................................................................................................... 208 步骤 6:测试 VPN 连接........................................................................................................... 210 文档历史记录.................................................................................................................................. 211 v Amazon Virtual Private Cloud 网络管理员指南 欢迎使用 欢迎使用 Amazon VPC 网络管理员指南。本指南面向计划将 AWS Site-to-Site VPN 连接用于其 Virtual Private Cloud (VPC) 的客户。本指南中的主题帮助您配置客户网关,该网关是您的 VPN 连接端设备。 尽管“VPN 连接”术语是一个泛指术语,但是在本文档中,“VPN 连接”是指您的 VPC 和您的本地网络之间的 连接。站点到站点 VPN 支持 Internet 协议安全 (IPsec) VPN 连接。有关我们测试过的客户网关的列表,请参 阅the section called “我们已测试的客户网关设备” (p. 6)。 利用 VPN 连接,您可以桥接 VPC 和 IT 基础设施。将现有安全和管理策略扩展到 VPC 中的 EC2 实例,就 像这些实例在您自己的基础设施内运行一样。 有关更多信息,请参阅以下主题: • 您的客户网关 (p. 2) • 示例:带边界网关协议的检查点设备 (p. 11) • 示例:无边界网关协议的检查点设备 (p. 20) • 示例:Cisco ASA 设备 (p. 31) • 示例:Cisco IOS 设备 (p. 53) • 示例:没有边界网关协议的 Cisco IOS 设备 (p. 63) • 示例:带虚拟隧道接口和边界网关协议的 Cisco ASA 设备 (p. 37) • 示例:带虚拟隧道接口的 Cisco ASA 设备 (不带边界网关协议) (p. 45) • 示例:没有边界网关协议的 Dell SonicWALL SonicOS 设备 (p. 77) • 示例:Dell SonicWALL 设备 (p. 71) • 示例:Juniper J-Series JunOS 设备 (p. 95) • 示例:Juniper SRX JunOS 设备 (p. 105) • 示例:Juniper ScreenOS 设备 (p. 115) • 示例:无边界网关协议的 Netgate PfSense 设备 (p. 124) • 示例:Palo Alto Networks 设备 (p. 130) • 示例:Yamaha 设备 (p. 139) • 示例:使用边界网关协议的通用客户网关 (p. 148) • 示例:无边界网关协议的通用客户网关 (p. 156) • 配置 Windows Server 2008 R2 作为客户网关 (p. 187) • 将 Windows Server 2012 R2 配置为客户网关 (p. 200) 1 Amazon Virtual Private Cloud 网络管理员指南 客户网关是什么? 您的客户网关 主题 • 客户网关是什么? (p. 2) • 设置 VPN 连接概述 (p. 4) • AWS VPN CloudHub 和冗余客户网关 (p. 5) • 配置通往您的 VPC 的多个 VPN 连接 (p. 5) • 我们已测试的客户网关设备 (p. 6) • 您的客户网关的要求 (p. 7) • 在 Internet 和客户网关之间配置防火墙 (p. 9) 客户网关是什么? Amazon VPC VPN 连接将您的数据中心或(或网络)链接到您的 Amazon VPC 虚拟私有云 (VPC)。客户网 关是连接中您那一端使用的定位标记。它可以是物理或软件设备。VPN 连接中的 AWS 一端称为虚拟专用网 关。 下面的示意图显示您的网络、客户网关、通往虚拟专用网关的 VPN 连接以及 VPC。在客户网关和虚拟专用 网关之间有两条线路,因为 VPN 连接由两条隧道组成,以便为 Amazon VPC 服务提供更高的可用性。如果 AWS 中发生设备故障,您的 VPN 连接会自动故障转移到第二条隧道,防止您的访问被打断。有时,AWS 还会对虚拟专用网关进行例行维护,这可能会暂时禁用两条 VPN 连接隧道之一。该维护执行期间您的 VPN 连接会自动故障转移到第二条隧道。因此,在您配置客户网关时,务必配置这两条隧道。 2 Amazon Virtual Private Cloud 网络管理员指南 您的角色 您可以使用相同的客户网关设备向其他 VPC 添加额外 VPN 连接。您可以为这些 VPN 连接中的每一个重复 使用相同的客户网关 IP 地址。 如果创建 VPN 连接,在 VPN 连接您这一端生成流量时,VPN 隧道就会启动。虚拟专用网关不是启动程序; 您的客户网关必须启动隧道。AWS VPN 终端节点支持 rekey,如果客户网关没有发送任何重新协商通信,则 当阶段 1 即将到期时,可以启动谈判。 有关 VPN 连接的组件的更多信息,请参阅 AWS Site-to-Site VPN User Guide 中的 VPN 连接。 为防止在您的客户网关变得不可用时失去连接,可再设置一个 VPN 连接。有关冗余连接的更多信息,请参阅 AWS Site-to-Site VPN User Guide 中的使用冗余 VPN 连接以提供故障转移。 您的角色 在整个指南中,我们都会谈到贵公司的整合团队,亦即贵公司中将贵公司的基础设施与 Amazon VPC 进行整 合的人员。此团队(可能包括您,也可能不包括您)必须使用 AWS 管理控制台来创建 VPN 连接并获取配置 客户网关所需的信息。您的公司可能分别由不同团队执行各项任务(使用 AWS 管理控制台的整合团队)。 3 Amazon Virtual Private Cloud 网络管理员指南 设置 VPN 连接概述 它们可能有一个可以访问网络设备和配置客户网关的单独的网络工程团队。本指南假定您是网络工程团队中 的一员,可从贵公司的整合团队接收消息,以便随后用以配置客户网关设备。 设置 VPN 连接概述 Amazon VPC 用户指南 中讲述了在 AWS 中设置 VPN 连接的过程。总体过程中的一项任务是配置客户网 关。要创建 VPN 连接,AWS 需要有关客户网关的信息,并且您必须配置客户网关设备本身。 要创建 VPN 连接,请执行以下常规步骤: 1. 指定将作为您的客户网关使用的设备。有关更多信息,请参阅 我们已测试的客户网关设备 (p. 6) 和 您 的客户网关的要求 (p. 7)。 2. 获取必要的 Network Information (p. 4),并向要在 AWS 中创建 VPN 连接的团队提供此信息。 3. 在 AWS 中创建 VPN 连接并获得客户网关的配置文件。有关如何配置 AWS VPN 连接的更多信息,请参 阅 AWS Site-to-Site VPN User Guide 中的设置 AWS VPN 连接。 4. 使用配置文件中的信息配置客户网关。本指南中提供了一些示例。 5. 从您的 VPN 连接端生成通信,以产生 VPN 隧道。 Network Information 要在 AWS 中创建 VPN 连接,您需要以下信息。 项目 注释 客户网关供应商 (例如 Cisco)、平台 (例如 ISR 系列 此信息用于为客户网关生成配置文件。 路由器) 和软件版本 (例如 IOS 12.4) 客户网关设备外部接口的可在 Internet 上路由的 IP 该值必须为静态。您的客户网关可以位于执行网络 地址。 地址转换 (NAT) 的设备之后。 Note 对于 NAT 配置,跨 VPN 隧道发送的流量 无法转换为客户网关 IP 地址。 (可选) 客户网关的边界网关协议 (BGP) 自治系统编 您可以使用指定给您的网络的现有 ASN。如果您没 号 (ASN)。 有 ASN,您可以使用专用 ASN (在 64512–65534 范围内)。否则,我们假定该客户网关的 BGP ASN 为 65000。 (可选) BGP 会话中 Amazon 端的 ASN。 在创建虚拟专用网关时指定。如果您未指定值,则 会应用默认 ASN。有关更多信息,请参阅虚拟专用 网关。 (可选) 每个 VPN 隧道的隧道信息 您可以为 VPN 连接指定以下隧道信息: • 隧道内部 CIDR • 预共享密钥,用于在虚拟专用网关和客户网关之 间建立初始 IKE 安全关联。 有关配置 VPN 隧道的更多信息,请参阅 AWS Site- to-Site VPN User Guide 中的为您的 VPN 连接配置 VPN 隧道。 4 Amazon Virtual Private Cloud 网络管理员指南 AWS VPN CloudHub 和冗余客户网关 您的客户网关的配置文件包括您为上述项目指定的值。它还包含设置 VPN 隧道所需的任何其他值,包括虚拟 专用网关的外部 IP 地址。除非重新创建 AWS 中的 VPN 连接,否则此值为静态值。 AWS VPN CloudHub 和冗余客户网关 您可以从多个客户网关建立多个 VPN 连接到单个虚拟专用网关。此配置可通过不同的方式使用。您在数据中 心和 VPC 之间可以有冗余客户网关,也可以有连接到 AWS VPN CloudHub 的多个位置。 如果您有冗余客户网关,每个客户网关都会公布相同的前缀 (例如 0.0.0.0/0) 给虚拟专用网关。我们使用 BGP 路由确定流量的路径。如果一个客户网关发生故障,则虚拟专用网关会将所有流量定向到正常工作的客 户网关。 如果使用 AWS VPN CloudHub 配置,那么多个站点均可访问您的 VPC 或使用简单的枢纽辐射型模式安全地 互相访问。您配置各个客户网关以公布具体站点相关的前缀 (例如 10.0.0.0/24、10.0.1.0/24) 给虚拟专用网 关。虚拟专用网关将所有流量导向适当的站点,并将该站点的可到达性公布给所有其他站点。 如需配置 AWS VPN CloudHub,可以使用 Amazon VPC 控制台创建多个客户网关,每个网关都使用该网关 的公有 IP 地址。您必须对每个网关使用唯一的边界网关协议 (BGP) 自治系统编号 (ASN)。然后创建每个客 户网关与通用虚拟专用网关之间的 VPN 连接。使用随后的指导来配置各个客户网关,以便连接到虚拟专用网 关。 如需让 VPC 中的实例能够到达虚拟专用网关 (然后到达您的客户网关),您就必须在 VPC 的路由表中配 置路由。有关完整说明,请参阅 AWS Site-to-Site VPN User Guide 中的 VPN 连接。对于 AWS VPN CloudHub,您可以在 VPC 路由表中配置聚合路由(例如,10.0.0.0/16)。在客户网关和虚拟专用网关之间 使用更特殊的前缀。 配置通往您的 VPC 的多个 VPN 连接 您可以为 VPC 创建高达十个 VPN 连接。您可以使用多个 VPN 连接来将您的远程办公室关联到相同的 VPC。例如,如果您在洛杉矶、芝加哥、纽约和迈阿密分别设有办公室,您可以将这些办公室连接到您的 VPC。您可以使用多个 VPN 连接,从单个地点建立冗余客户网关。 Note 如果您需要十个以上的 VPN 连接,请完整填写 Amazon VPC 限额提高申请表,申请提高限额。 创建多个 VPN 连接后,虚拟专用网关将使用静态分配的路由或 BGP 路由通告将网络流量发送到适当的 VPN 连接。使用哪一个取决于配置 VPN 连接的方式。在虚拟专用网关中存在相同路由的情况下,优先选择静态分 配的路由,而非 BGP 通告路由。如果选择使用 BGP 通告的选项,则无法指定静态路由。 您在多个地理位置布置了客户网关后,各个客户网关应通告该位置专有的唯一 IP 地址集。在单个位置建立了 冗余客户网关后,两个网关均会通告相同的 IP 地址。 虚拟专用网关从所有客户网关接收路由信息,然后使用 BGP 最佳路径选定算法计算首选路径集。应用于 VPC 的情况下,该算法的规则是: 1. 首选更具体的 IP 地址前缀 (例如 10.0.0.0/24 优先于 10.0.0.0/16).有关更多信息,请参阅 Amazon VPC 用 户指南 中的路由优先级。 2. 前缀相同的情况下,若存在静态配置的 VPN 连接,则首选此类连接。对于各个 VPN 连接使用 BGP 的情 况下的匹配前缀,对 AS PATH 进行比较并首选最短的 AS PATH。另外,您也可以预先挂起 AS_PATH, 以便降低该路径的优先度。 3. 各个 AS PATH 长度相等时,则比较路径来源。有内部网关协议 (IGP) 来源的前缀优先于外部网关协议 (EGP) 来源,而后者又优先于未知来源。 5
The list of books you might like
