Amazon Virtual Private Cloud Guia do administrador de redes Amazon Virtual Private Cloud Guia do administrador de redes Amazon Virtual Private Cloud: Guia do administrador de redes Copyright © 2019 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon. Amazon Virtual Private Cloud Guia do administrador de redes Table of Contents Bem-vindo......................................................................................................................................... 1 Seu gateway do cliente....................................................................................................................... 2 O que é um gateway do cliente?.................................................................................................. 2 Sua função........................................................................................................................ 4 Visão geral da configuração de uma conexão VPN.......................................................................... 4 Informações da rede........................................................................................................... 4 AWS VPN CloudHub e gateways do cliente redundantes.................................................................. 5 Configuração de várias conexões VPN para a VPC......................................................................... 6 Dispositivos de gateway do cliente testados................................................................................... 7 Requisitos do seu gateway do cliente............................................................................................ 8 Configuração de um firewall entre o seu gateway do cliente e a Internet............................................ 11 Exemplo: dispositivo Check Point usando BGP..................................................................................... 13 Visão detalhada do gateway do cliente........................................................................................ 13 Arquivo de configuração............................................................................................................ 13 Configuração do dispositivo Check Point...................................................................................... 14 Etapa 1: configurar a interface dos túneis............................................................................. 15 Etapa 2: configurar o BGP................................................................................................. 16 Etapa 3: Criar objetos de rede............................................................................................ 16 Etapa 4: criar uma comunidade VPN e configurar o IKE e IPsec .............................................. 17 Etapa 5: configurar o firewall.............................................................................................. 19 Etapa 6: ativar o Dead Peer Detection e o ajuste de MSS TCP ................................................ 20 Como testar a configuração do gateway do cliente........................................................................ 21 Exemplo: dispositivo Check Point (sem BGP)........................................................................................ 24 Visão detalhada do gateway do cliente........................................................................................ 24 Arquivo de configuração............................................................................................................ 25 Configuração do dispositivo Check Point...................................................................................... 25 Etapa 1: configurar uma interface de túnel............................................................................ 26 Etapa 2: configurar uma rota estática................................................................................... 27 Etapa 3: Criar objetos de rede............................................................................................ 29 Etapa 4: criar uma comunidade VPN e configurar o IKE e IPsec .............................................. 30 Etapa 5: configurar o firewall.............................................................................................. 31 Etapa 6: ativar o Dead Peer Detection e o ajuste de MSS TCP ................................................ 32 Como testar a configuração do gateway do cliente........................................................................ 33 Exemplo: dispositivo Cisco ASA.......................................................................................................... 36 uma visão detalhada do gateway do cliente.................................................................................. 36 Umaa configuração de exemplo.................................................................................................. 37 Como testar a configuração do gateway do cliente........................................................................ 41 Exemplo: dispositivo de Cisco ASA com VTI e BGP.............................................................................. 43 uma visão detalhada do gateway do cliente.................................................................................. 43 Exemplo de configuração........................................................................................................... 44 Como testar a configuração do gateway do cliente........................................................................ 49 Exemplo: dispositivo de Cisco ASA com VTI (sem BGP)........................................................................ 51 uma visão detalhada do gateway do cliente.................................................................................. 51 Exemplo de configuração........................................................................................................... 52 Como testar a configuração do gateway do cliente........................................................................ 57 Exemplo: dispositivo Cisco IOS........................................................................................................... 59 uma visão detalhada do gateway do cliente.................................................................................. 60 Uma visão detalhada do gateway do cliente e uma configuração de exemplo..................................... 61 Como testar a configuração do gateway do cliente........................................................................ 67 Exemplo: dispositivo Cisco IOS (sem BGP).......................................................................................... 70 uma visão detalhada do gateway do cliente.................................................................................. 70 Uma visão detalhada do gateway do cliente e uma configuração de exemplo..................................... 71 Como testar a configuração do gateway do cliente........................................................................ 76 Exemplo: dispositivo Dell SonicWALL.................................................................................................. 79 iii Amazon Virtual Private Cloud Guia do administrador de redes uma visão detalhada do gateway do cliente.................................................................................. 79 Exemplo: arquivo de configuração............................................................................................... 80 Configurar o dispositivo SonicWALL, usando a interface de gerenciamento........................................ 83 Como testar a configuração do gateway do cliente........................................................................ 84 Exemplo: dispositivo Dell SonicWALL (sem BGP).................................................................................. 86 uma visão detalhada do gateway do cliente.................................................................................. 86 Exemplo: arquivo de configuração............................................................................................... 87 Configurar o dispositivo SonicWALL, usando a interface de gerenciamento........................................ 90 Como testar a configuração do gateway do cliente........................................................................ 92 Exemplo: dispositivo Fortinet Fortigate................................................................................................. 94 uma visão detalhada do gateway do cliente.................................................................................. 95 Uma visão detalhada do gateway do cliente e uma configuração de exemplo..................................... 95 Como testar a configuração do gateway do cliente....................................................................... 103 Exemplo: dispositivo Juniper J-Series com o JunOS............................................................................. 105 uma visão detalhada do gateway do cliente................................................................................ 106 Uma visão detalhada do gateway do cliente e uma configuração de exemplo................................... 107 Como testar a configuração do gateway do cliente....................................................................... 113 Exemplo: dispositivo Juniper SRX com o JunOS.................................................................................. 115 uma visão detalhada do gateway do cliente................................................................................ 116 Uma visão detalhada do gateway do cliente e uma configuração de exemplo................................... 117 Como testar a configuração do gateway do cliente....................................................................... 123 Exemplo: Dispositivo Juniper ScreenOS............................................................................................. 125 uma visão detalhada do gateway do cliente................................................................................ 126 Uma visão detalhada do gateway do cliente e uma configuração de exemplo................................... 127 Como testar a configuração do gateway do cliente....................................................................... 132 Exemplo: dispositivo Netgate PfSense (sem BGP)............................................................................... 135 uma visão detalhada do gateway do cliente................................................................................ 135 Configuração de exemplo......................................................................................................... 136 Como testar a configuração do gateway do cliente....................................................................... 139 Exemplo: Dispositivo Palo Alto Networks............................................................................................ 141 uma visão detalhada do gateway do cliente................................................................................ 142 Uma visão detalhada do gateway do cliente e uma configuração de exemplo................................... 142 Como testar a configuração do gateway do cliente....................................................................... 149 Exemplo: dispositivo Yamaha............................................................................................................ 151 uma visão detalhada do gateway do cliente................................................................................ 152 Uma visão detalhada do gateway do cliente e uma configuração de exemplo................................... 152 Como testar a configuração do gateway do cliente....................................................................... 158 Exemplo: gateway de cliente genérico que usa BGP............................................................................ 160 uma visão detalhada do gateway do cliente................................................................................ 161 Uma visão detalhada do gateway do cliente e uma configuração de exemplo................................... 161 Como testar a configuração do gateway do cliente....................................................................... 166 Exemplo: Generic Customer Gateway (sem BGP)................................................................................ 168 uma visão detalhada do gateway do cliente................................................................................ 169 Uma visão detalhada do gateway do cliente e uma configuração de exemplo................................... 169 Como testar a configuração do gateway do cliente....................................................................... 174 Solução de problemas..................................................................................................................... 176 Conectividade de gateway de cliente Cisco ASA.......................................................................... 176 IKE............................................................................................................................... 176 IPsec............................................................................................................................. 177 Roteamento.................................................................................................................... 178 Conectividade de gateway de cliente do Cisco IOS...................................................................... 179 IKE............................................................................................................................... 179 IPsec............................................................................................................................. 180 Túnel............................................................................................................................. 181 BGP.............................................................................................................................. 182 Conexão de um gateway privado virtual............................................................................. 183 Conectividade de gateway de cliente do Cisco IOS (sem BGP)...................................................... 183 iv Amazon Virtual Private Cloud Guia do administrador de redes IKE............................................................................................................................... 184 IPsec............................................................................................................................. 184 Túnel............................................................................................................................. 186 Conexão de um gateway privado virtual............................................................................. 188 Conectividade de gateway de cliente do Juniper JunOS................................................................ 188 IKE............................................................................................................................... 188 IPsec............................................................................................................................. 188 Túnel............................................................................................................................. 189 BGP.............................................................................................................................. 189 Conexão de um gateway privado virtual............................................................................. 191 Conectividade de gateway de cliente do Juniper ScreenOS........................................................... 191 IKE e IPsec.................................................................................................................... 191 Túnel............................................................................................................................. 191 BGP.............................................................................................................................. 192 Conexão de um gateway privado virtual............................................................................. 194 Conectividade de gateway de cliente da Yamaha......................................................................... 194 IKE............................................................................................................................... 194 IPsec............................................................................................................................. 194 Túnel............................................................................................................................. 195 BGP.............................................................................................................................. 196 Conexão de um gateway privado virtual............................................................................. 197 Conectividade de gateway de cliente em dispositivo genérico........................................................ 197 Conectividade de gateway de cliente em dispositivo genérico (com BGP)........................................ 200 Configuração do Windows Server 2008 R2 como gateway do cliente...................................................... 204 Configuração do Windows Server.............................................................................................. 204 Etapa 1: Criar uma conexão VPN e configurar a VPC................................................................. 205 Etapa 2: fazer download do arquivo de configuração para a conexão VPN....................................... 206 Etapa 3: configurar o Windows Server....................................................................................... 207 Etapa 4: configurar o túnel de VPN........................................................................................... 210 Opção 1: Executar script netsh......................................................................................... 210 Opção 2: usar a interface de usuário do servidor Windows.................................................... 210 Etapa 5: habilitar a detecção de gateway inativo.......................................................................... 216 Etapa 6: testar a conexão VPN................................................................................................. 216 Configuração do Windows Server 2012 R2 como gateway do cliente...................................................... 218 Configuração do Windows Server.............................................................................................. 218 Etapa 1: Criar uma conexão VPN e configurar a VPC................................................................. 219 Etapa 2: fazer download do arquivo de configuração para a conexão VPN....................................... 220 Etapa 3: configurar o Windows Server....................................................................................... 222 Etapa 4: configurar o túnel de VPN........................................................................................... 222 Opção 1: Executar script netsh......................................................................................... 223 Opção 2: usar a interface de usuário do servidor Windows.................................................... 223 2.4: Configurar o Firewall do Windows............................................................................... 227 Etapa 5: habilitar a detecção de gateway inativo.......................................................................... 228 Etapa 6: testar a conexão VPN................................................................................................. 229 Histórico do documento.................................................................................................................... 231 v Amazon Virtual Private Cloud Guia do administrador de redes Bem-vindo Bem-vindo ao Guia de administrador de rede do Amazon VPC Este guia destina-se a clientes que pretendem usar uma conexão VPN de IPsec gerenciada pela AWS com sua nuvem privada virtual (VPC). Os tópicos deste guia podem ajudá-lo a configurar o gateway do cliente, que é o dispositivo da conexão VPN do seu lado. A conexão VPN permite que você faça uma ponte entre a VPC e a infraestrutura de TI. Você pode estender suas políticas existentes de segurança e gerenciamento para as instâncias do EC2 na VPC, como se elas estivessem sendo executadas em sua própria infraestrutura. Para obter mais informações, consulte os tópicos a seguir: • Seu gateway do cliente (p. 2) • Exemplo: dispositivo Check Point com protocolo de gateway de borda (p. 13) • Exemplo: dispositivo Check Point sem protocolo de gateway de borda (p. 24) • Exemplo: dispositivo Cisco ASA (p. 36) • Exemplo: dispositivo Cisco IOS (p. 59) • Exemplo: dispositivo Cisco IOS sem protocolo de gateway de borda (p. 70) • Exemplo: dispositivo de Cisco ASA com interface de túnel virtual e Border Gateway Protocol (p. 43) • Exemplo: dispositivo de Cisco ASA com interface de túnel virtual (sem Border Gateway Protocol) (p. 51) • Exemplo: dispositivo Dell SonicWALL SonicOS sem protocolo de gateway de borda (p. 86) • Exemplo: dispositivo Dell SonicWALL (p. 79) • Exemplo: dispositivo Juniper J-Series com o JunOS (p. 105) • Exemplo: dispositivo Juniper SRX com o JunOS (p. 115) • Exemplo: Dispositivo Juniper ScreenOS (p. 125) • Exemplo: dispositivo Netgate PfSense sem protocolo de gateway de ponta (p. 135) • Exemplo: Dispositivo Palo Alto Networks (p. 141) • Exemplo: dispositivo Yamaha (p. 151) • Exemplo: gateway de cliente genérico que usa protocolo de gateway de borda (p. 160) • Exemplo: Generic Customer Gateway without Border Gateway Protocol (p. 168) • Configuração do Windows Server 2008 R2 como gateway do cliente (p. 204) • Configuração do Windows Server 2012 R2 como gateway do cliente (p. 218) 1 Amazon Virtual Private Cloud Guia do administrador de redes O que é um gateway do cliente? Seu gateway do cliente Tópicos • O que é um gateway do cliente? (p. 2) • Visão geral da configuração de uma conexão VPN (p. 4) • AWS VPN CloudHub e gateways do cliente redundantes (p. 5) • Configuração de várias conexões VPN para a VPC (p. 6) • Dispositivos de gateway do cliente testados (p. 7) • Requisitos do seu gateway do cliente (p. 8) • Configuração de um firewall entre o seu gateway do cliente e a Internet (p. 11) O que é um gateway do cliente? Uma conexão VPN do Amazon VPC vincula seu datacenter (ou rede) à nuvem privada virtual (VPC) do seu Amazon VPC. O gateway do cliente é a âncora do seu lado nesta conexão. Isso pode ser um dispositivo físico ou software. A âncora do lado da AWS da conexão VPN é chamada de gateway privado virtual. O diagrama a seguir mostra a rede, o gateway do cliente, a conexão VPN que vai para o gateway privado virtual e a VPC. Há duas linhas entre o gateway do cliente e o gateway privado virtual, pois a conexão VPN consiste em dois túneis para fornecer maior disponibilidade ao serviço do Amazon VPC. Se houver uma falha no dispositivo dentro da AWS, sua conexão VPN realizará automaticamente failover no segundo túnel para que seu acesso não seja interrompido. De tempos em tempos, a AWS também executa manutenção rotineira no gateway privado virtual, que pode desativar brevemente um dos dois túneis da conexão VPN. Durante essa manutenção, a conexão VPN realizará failover automaticamente no segundo túnel. Ao configurar o gateway do cliente, é importante configurar ambos os túneis. 2 Amazon Virtual Private Cloud Guia do administrador de redes O que é um gateway do cliente? É possível criar conexões VPN adicionais para outras VPCs, usando o mesmo dispositivo de gateway do cliente. É possível reutilizar o mesmo endereço IP de gateway do cliente para cada uma das conexões VPN. Ao criar uma conexão VPN, o túnel VPN surge quando o tráfego é gerado no seu lado da conexão VPN. O gateway privado virtual não é o iniciador, seu gateway do cliente deve iniciar os túneis. Os endpoints da AWS VPN comportam rekey e podem iniciar renegociações quando a fase 1 está prestes a expirar, se o gateway de cliente não tiver enviado nenhum tráfego de renegociação. Para obter mais informações sobre os componentes de uma conexão VPN, consulte Conexões VPN no Guia do usuário da Amazon VPC. Caso o gateway do cliente fique indisponível, proteja-se da perda de conectividade, configurando uma segunda conexão VPN. Para obter mais informações, consulte Utilização de conexões VPN redundantes para realizar failover. 3 Amazon Virtual Private Cloud Guia do administrador de redes Sua função Sua função Ao longo deste guia, faremos referência à equipe de integração da sua empresa, que são as pessoas responsáveis pela integração da sua infraestrutura com a Amazon VPC. Esta equipe (que pode ser apenas você ou incluir mais pessoas) deve usar o Console de Gerenciamento da AWS para criar uma conexão VPN e obter as informações de que você precisa para configurar seu gateway do cliente. Sua empresa pode ter uma equipe separada para cada tarefa (uma equipe de integração que usa o Console de gerenciamento da AWS). Ela pode ter um grupo de engenharia de rede separado que tenha acesso aos dispositivos de rede e realize a configuração do gateway do cliente. Este guia pressupõe que você faz parte do grupo de engenharia de rede que recebe as informações da equipe de integração da empresa. Assim, você poderá configurar o dispositivo de gateway do cliente. Visão geral da configuração de uma conexão VPN O processo para configurar a conexão VPN na AWS está descrito no Guia do usuário da Amazon VPC. Uma das tarefas do processo geral é configurar o gateway do cliente. Para criar a conexão VPN, a AWS precisa de informações sobre o gateway do cliente e você deve configurar o dispositivo do gateway do cliente em si. Para configurar uma conexão VPN, siga estas etapas gerais: 1. Atribua um dispositivo para atuar como gateway do cliente. Para obter mais informações, consulte Dispositivos de gateway do cliente testados (p. 7) e Requisitos do seu gateway do cliente (p. 8). 2. Obtenha o Informações da rede (p. 4) necessário e forneça essas informações à equipe que vai criar a conexão VPN na AWS. 3. Crie a conexão VPN na AWS e obtenha o arquivo de configuração para seu gateway do cliente. Para obter mais informações, consulte Configuração de uma conexão VPN AWS no Guia do usuário da Amazon VPC. 4. Configure seu gateway do cliente usando as informações do arquivo de configuração. Os exemplos são fornecidos neste guia. 5. Gere tráfego do seu lado da conexão VPN para acessar o túnel da VPN. Informações da rede Para criar uma conexão VPN na AWS, você precisa das informações a seguir. Item Comentários O fornecedor do gateway do cliente (por exemplo, Essas informações são usadas para gerar um Cisco), a plataforma (por exemplo, roteadores da arquivo de configuração para o gateway do cliente. série ISR) e a versão do software (por exemplo, IOS 12.4) O endereço IP roteável na internet para a interface O valor deve ser estático. O gateway do cliente externa do dispositivo do gateway do cliente. pode estar por trás de um dispositivo que esteja executando a conversão de endereços de rede (NAT). Note Para configuração da NAT, o tráfego enviado em um túnel VPN não deve ser 4 Amazon Virtual Private Cloud Guia do administrador de redes AWS VPN CloudHub e gateways do cliente redundantes Item Comentários traduzido para o endereço IP do gateway do cliente. (Opcional) Número de sistema autônomo (ASN) É possível usar um ASN já existente e atribuído do Border Gateway Protocol (BGP) do gateway do para a rede. Se você não possuir um, poderá usar cliente. um ASN privado (no intervalo de 64512 a 65534). Caso contrário, supomos que o BGP ASN do gateway do cliente seja 65000. (Opcional) O ASN para o lado da Amazon da Especificado na criação de um gateway privado sessão BGP. virtual. Se você não especificar um valor, o ASN padrão será aplicado. Para obter mais informações, consulte Gateway privado virtual. (Opcional) Informações de túnel para cada túnel Você pode especificar as seguintes informações de VPN túnel para a conexão VPN: • Dentro do CIDR do túnel • Chave pré-compartilhada para estabelecer a associação de segurança IKE inicial entre o gateway privado virtual e o gateway do cliente. Para obter mais informações, consulte Configuração de túneis VPN para sua conexão VPN. O arquivo de configuração do gateway do cliente inclui os valores que você especifica para os itens acima. Também contém todos os valores adicionais necessários para configurar os túneis VPN incluindo o endereço IP fora do gateway privado virtual. Este atributo será estático a menos que você recrie a conexão VPN na AWS. AWS VPN CloudHub e gateways do cliente redundantes É possível estabelecer várias conexões VPN a partir de um único gateway privado virtual ou de múltiplos gateways do cliente. Essa configuração pode ser usada de diferentes maneiras. Você pode ter gateways de cliente redundantes entre seu datacenter e a VPC, ou com vários locais conectados ao AWS VPN CloudHub. Havendo gateways de cliente redundantes, cada gateway de cliente anuncia o mesmo prefixo (por exemplo, 0.0.0.0/0) para o gateway privado virtual. Usamos o roteamento BGP a fim de determinar o caminho para o tráfego. Se um gateway do cliente falhar, o gateway privado virtual direcionará todo o tráfego para o gateway do cliente em funcionamento. Ao usar a configuração AWS VPN CloudHub, vários sites podem acessar sua VPC ou acessar um ao outro de forma segura usando um modelo simples de hub e spoke. Configure cada gateway do cliente para anunciar um prefixo específico do site (como 10.0.0.0/24, 10.0.1.0/24) para o gateway privado virtual. O gateway privado virtual direciona o tráfego para o site apropriado e anuncia a acessibilidade de um site para todos os outros sites. Para configurar o AWS VPN CloudHub, use o console da Amazon VPC para criar vários gateways do cliente, cada um com o endereço IP público do gateway. Você deve usar um número de sistema autônomo 5