Hướng dẫn cấu hình vpn to site
Mặc định từ bên ngoài có thể kết nối TTDL On-premise tới Amazon VPC sử dụng VPN cứng hoặc mềm tùy thuộc mục đích và nhu cầu sử dụng thực thế. Cụ thể Amazon VPC cung cấp 2 cách để kết nối với môi trường mạng của doanh nghiệp đó là VPG and CGW.
VPN tunnel sẽ được thiết lập ngay sau khi lưu lượng dữ liệu được truyền tải giữa AWS và hệ thống mạng của khách hàng. Trong kết nối đó, ta phải chỉ rõ loại định tuyến sẽ được sử dụng để đảm bảo an toàn cũng như chất lượng về mặt truyền tải dữ liệu.
Nếu CGW ở phía khách hàng có hỗ trợ Border Gateway Protocol (BGP), thì trong cấu hình VPN connection ta bắt buộc phải đặt định tuyến là dynamic routing.
Còn ngược lại ta phải cấu hình định tuyến kết nối là static routing. Trường hợp sử dụng static routing, ta phải nhập chính xác những định tuyến cần thiết cho việc kết nối từ phía Khách hàng tới VPG được thiết lập ở đầu AWS. Đồng thời định tuyến cho VPC cũng phải được cấu hình Amazon VPC cung cấp nhiều loại CGWs, và từng CGW được gán với một VPG nhưng 1 VPG có thể kết hợp với nhiều CGW (many-to-one design). Để hỗ trợ mô hình này thì địa chỉ IP của CGW phải là duy nhất trong một region. Amazon VPC cũng cung cấp các thông tin cần thiết cho Nhân viên quản trị mnagj có thể cấu hình CGW và thiết lập kết nối VPN tới VPG trên AWS. Kết nối VPN luôn bao gồm 2 Internet Protocol Security (IPSec) tunnels để đảm bảo tính sẵn sàng cao của kết nối. Bên dưới là những đặc điểm quan trọng mà ta cần nắm về VPG, CGW, and VPN:
Bài lab giúp chúng ta học được cách thiết lập một kết nối Site to Site VPN trong AWS. Trong thực tế, giải pháp này khá được ưa chuộng do ưu điểm giá thành rẻ, đồng thời rất dễ cấu hình do AWS cung cấp hướng dẫn cho từng loại thiết bị phía đầu Customer. Việc Cust bận tâm duy nhất đó là chuẩn bị đường internet để từ đó tạo đường hầm an toàn bí mật (sử dụng ipsec) kết nối tới AWS thông qua AWS VPN tunnel. Trong phạm vi bài lab, giả lập rằng chúng ta có Main office và Branch office đặt tại 2 VPC thuộc 2 AZ khác nhau để có sự khác biệt về mặt network. Trên mỗi VPC thực hiện tạo 2 EC2 cho phép SSH từ bên ngoài, nhưng không có khả năng kết nối và ping lẫn nhau sử dụng địa chỉ Private IP của mỗi EC2. Việc ta cần làm là cấu hình VPN để các địa chỉ Private IP có thể ping được lẫn nhau sử dụng VPN Site-to-Site. 1. Cấu hình Network
2. Khởi tạo EC2 trên mỗi VPCTại thời điểm ban đầu, 2 địa chỉ Private IP của 2 EC2 đều không thể ping được lẫn nhau. Tạo Security Group cho EC2 thuộc Main Office
Tạo Security Group cho EC2 thuộc Branch Office
Tạo EC2 thuộc mạng của Main Office
Tạo EC2 thuộc mạng của Branch Office
3. Cấu hình Site to Site VPN tại Main officeTạo Virtual Private Gateway tại Main Office
Tạo & cấu hình Customer Gateway tại Main Office
Tạo & cấu hình kết nối Site-to-Site tại Main Office
Bật propagate cho Route table của VPC-Main-ASG:
4. Cấu hình Site to Site VPN tại Branch officeTrên máy chủ EC2-Bra-ASG thực hiện các bước sau:
Chú ý:
5. Test ping từ Pub-Linux tới Pub-Linux-Bra và ngược lại |