IBM Cloud Docs
Verbindung zu einem AWS-Peer herstellen

Verbindung zu einem AWS-Peer herstellen

Mit IBM Cloud VPN for VPC können Sie Ihre VPC über einen VPN-Tunnel sicher mit einem lokalen Netz zu verbinden. Dieser Abschnitt enthält eine Anleitung dazu, wie Sie Ihr AWS-VPN-Gateway für die Verbindung zu VPN for VPC konfigurieren.

Da für AWS die Funktion PFS in Phase 2 aktiviert sein muss, müssen Sie eine angepasste IPsec-Richtlinie erstellen, um die Standardrichtlinie für das VPN in Ihrer VPC zu ersetzen. Weitere Informationen finden Sie unter IPsec-Richtlinie erstellen.

Wenn das AWS-VPN eine Verbindungsanforderung von VPN for VPC empfängt, verwendet das AWS-VPN IPsec-Parameter der Phase 1, um eine sichere Verbindung herzustellen und das VPN for VPC -Gateway zu authentifizieren. Wenn die Sicherheitsrichtlinie die Verbindung zulässt, richtet das AWS-VPN den Tunnel unter Verwendung der IPsec Phase 2-Parameter ein und wendet die IPsec-Sicherheitsrichtlinie an. Schlüsselmanagement, Authentifizierung und Sicherheitsservices werden über das IKE-Protokoll dynamisch vereinbart.

Überprüfen Sie die VPN-Gateway-Einschränkungen, bevor Sie eine Verbindung zum lokalen Peer herstellen.

Zur Unterstützung dieser Funktionen müssen Sie die folgenden allgemeinen Konfigurationsschritte für das AWS-VPN ausführen:

  • Definieren Sie die Phase 1-Parameter, die das AWS-VPN zum Authentifizieren des fernen Peers und zum Einrichten einer sicheren Verbindung benötigt.
  • Definieren Sie die Phase 2-Parameter, die das AWS-VPN zum Erstellen eines VPN-Tunnels mit VPN for VPC benötigt.

Verbindung eines auf IBM Richtlinien basierenden VPN zu einem AWS-Peer herstellen

Sie können ein richtlinienbasiertes VPN for VPC-VPN verwenden, um eine Verbindung zu einem AWS-Routing-basierten VPN herzustellen. Richtlinienbasierte VPNs erfordern jedoch separate Sicherheitszuordnungen (Security Associations, SAs) für jedes Teilnetz, während routenbasierte VPNs einen einzigen SA für den gesamten verschlüsselten Datenverkehr verwenden. Daher ist eine Verbindung zwischen einem richtlinienbasierten VPN und einem routenbasierten VPN auf einen SA beschränkt, der einem einzelnen CID-Bereich zugeordnet ist.

Wenn Sie mehrere Teilnetze mit einem zusammenhängenden Adressbereich haben, können Sie eine Verbindung mit einer CIDR erstellen, die eine Obermenge Ihrer Teilnetze ist. Beispiel: 192.168.0.0/24 und 192.168.1.0/24 werden von CIDR 192.168.0.0/23 abgedeckt.

Richtlinienbasiertes IBM-VPN mit einem AWS-Peer verbinden
Abbildung 1: Richtlinienbasiertes IBM-VPN mit einem AWS-Peer verbinden

AWS konfigurieren

Führen Sie die folgenden Schritte aus, um einen AWS-Peer zu konfigurieren:

  1. Erstellen Sie ein AWS-Kundengateway unter Verwendung einer IBM richtlinienbasierten VPN-IP-Adresse.

  2. Erstellen Sie ein AWS Virtual Private Gateway und verbinden Sie es mit der AWS-VPC, die Datenverkehr an die IBM VPC senden muss.

  3. Erstellen Sie eine einzelne AWS-Site-to-Site-Verbindung:

    • Setzen Sie Virtual Private Gateway auf das Gateway, das Sie in Schritt 2 erstellt haben.

    • Legen Sie als Kundengateway das in Schritt 1 erstellte Kundengateway fest.

    • Geben Sie für Routing Option die Option Static an.

    • Fügen Sie die einzelne CIDR auf der IBM Seite zu Static IP Prefixes hinzu.

      Um mehrere zusammenhängende Teilnetze in IBM VPC zu erreichen, verwenden Sie einen größeren CIDR-Bereich, der alle erforderlichen Teilnetze abdeckt.

    • Geben Sie einen vorab verteilten Schlüssel für tunnel1 und tunnel2 ein.

    • Wählen Sie für beide AWS-Tunnel Optionen für Tunnel X bearbeiten aus und wählen Sie anschließend die gewünschten Sicherheitsparameter aus. Sie können für jeden Parameter mehrere Werte auswählen, wenn sie auch vom IBM VPNunterstützt werden.

      AWS-Tunneloptionen
      Abbildung 2: AWS

  4. Wenn die Site-to-Site-Verbindung AWS den Status Verfügbar hat, rufen Sie die Registerkarte Statische Routen auf, um zu überprüfen, ob die richtige Route automatisch hinzugefügt wurde. Nehmen Sie bei Bedarf manuelle Anpassungen vor.

    Die folgende Abbildung zeigt, dass Netze 10.240.128.0/27 und 10.240.128.32/27 auf der IBM VPC-Seite mit dem neuen Ziel 10.240.128.0/26 weitergeleitet werden.

    AWS-Verbindungsstatische Routen
    Abbildung 3: AWS-Verbindungsstatische Routen

  5. Rufen Sie AWS Routentabellen im Abschnitt Virtuelle private Cloud auf und suchen Sie die Routentabelle, die der VPC zugeordnet ist, der das VPN zugeordnet wurde. Klicken Sie auf Routen bearbeitenund fügen Sie dieselbe Route zur Routentabelle hinzu.

    RoutentabelleAWS
    Abbildung 4: Routentabelle AWS

  6. Überprüfen Sie den Verbindungsstatus auf der Seite Site-to-Site-Verbindung.

  7. Überprüfen Sie, ob die ACL AWS und die Sicherheitsgruppenregeln so angepasst sind, dass der erforderliche Datenverkehr zugelassen wird.

Richtlinienbasiertes IBM VPN konfigurieren

Führen Sie die folgenden Schritte aus, um ein IBM richtlinienbasiertes VPN für einen AWS-Peer zu konfigurieren:

  1. Erstellen Sie eine neue Verbindung für eine der AWS Tunnel-IPs. Verwenden Sie nur eine CIDR für Lokale Teilnetze und Peer-Teilnetze.

    Da für AWS PFS in Phase 2 aktiviert sein muss, müssen Sie eine angepasste IPsec-Richtlinie erstellen, um die Standardrichtlinie für das VPN in Ihrer VPC zu ersetzen. Weitere Informationen finden Sie unter Angepasste IPsec-Richtlinie in VPN for VPC erstellen.

  2. Nachdem der Status der Verbindung Aktiv lautet, überprüfen Sie den Datenverkehr zwischen Ihren Teilnetzen.

Verbindung eines auf IBM Routen basierenden VPN zu einem AWS-Peer herstellen

Für diese Konfiguration benötigen Sie ein IBM VPN-Gateway und zwei AWS-VPN-Verbindungen (insgesamt vier Tunnel).

IBM-Routing-basiertes VPN mit einem AWS-Peer verbinden
Abbildung 5: IBM-Routing-basiertes VPN mit einem AWS-Peer verbinden

AWS konfigurieren

Führen Sie die folgenden Schritte aus, um einen AWS-Peer zu konfigurieren:

  1. Erstellen Sie zwei AWS-Kundengateways mit jeder der IP-Adressen der IBM routenbasierten VPN-Mitglieder.

  2. Erstellen Sie ein AWS Virtual Private Gateway und verbinden Sie es mit der AWS-VPC, die Datenverkehr an die IBM VPC senden muss.

  3. Erstellen Sie die erste AWS-Site-to-Site-Verbindung.

    • Setzen Sie Virtual Private Gateway auf das Gateway, das Sie in Schritt 2 erstellt haben.
    • Legen Sie als Kundengateway das erste in Schritt 1 erstellte Kundengateway fest.
    • Geben Sie für Routing Option die Option Static an.
    • Teilen Sie das IBM VPC-Teilnetz in zwei kleinere Teilnetze auf und fügen Sie sie zu Static IP Prefixes hinzu. Auf diese Weise wird die erste Verbindung gegenüber der zweiten Verbindung bevorzugt.
    • Geben Sie einen vorab verteilten Schlüssel für tunnel1 und tunnel2 ein.
    • Wählen Sie für beide AWS-Tunnel Edit Tunnel X Options aus und wählen Sie die erforderlichen Sicherheitsparameter aus. Sie können für jeden Parameter mehrere Werte auswählen, wenn sie auch vom IBM VPNunterstützt werden.

  4. Erstellen Sie die zweite AWS-Site-to-Site-Verbindung.

    • Setzen Sie Virtual Private Gateway auf das Gateway, das Sie in Schritt 2 erstellt haben.
    • Legen Sie als Kundengateway das zweite in Schritt 1 erstellte Kundengateway fest.
    • Geben Sie für Routing Option die Option Static an.
    • Fügen Sie das IBM VPC-Teilnetz zu Static IP Prefixes hinzu.
    • Geben Sie einen vorab verteilten Schlüssel für tunnel1 und tunnel2 ein.
    • Wählen Sie für beide AWS-Tunnel Edit Tunnel X Options aus und wählen Sie die erforderlichen Sicherheitsparameter aus. Sie können für jeden Parameter mehrere Werte auswählen, wenn sie auch vom IBM VPNunterstützt werden.

    AWS-Tunneloptionen
    Abbildung 6: AWS-Tunneloptionen

  5. Nachdem sich die Site-to-Site-Verbindungen AWS im Status Verfügbar befinden, wechseln Sie zur Registerkarte Statische Routen jeder Site-to-Site-Verbindung, um zu überprüfen, ob die richtigen Routen automatisch hinzugefügt wurden. Nehmen Sie bei Bedarf manuelle Anpassungen vor. Die folgenden Abbildungen zeigen, dass das Netz 10.248.0.0/24 über beide Verbindungen weitergeleitet wird.

    AWS-Verbindungsstatische Routen
    Abbildung 7: AWS-Verbindungsstatische Routen

    AWS-Verbindungsstatische Routen
    Abbildung 8: AWS-Verbindungsstatische Routen

  6. Rufen Sie AWS Routentabellen unter VIRTUAL PRIVATE CLOUD auf und suchen Sie die Routentabelle, die der VPC zugeordnet ist, an die das VPN angehängt ist. Klicken Sie auf Routen bearbeitenund fügen Sie dieselbe Route zur Routentabelle hinzu.

    RoutentabelleAWS
    Abbildung 9: Routentabelle AWS

  7. Überprüfen Sie den Verbindungsstatus auf der Seite Site-to-Site-Verbindung.

  8. Überprüfen Sie, ob die ACL AWS und die Sicherheitsgruppenregeln so angepasst sind, dass der erforderliche Datenverkehr zugelassen wird.

IBM-Routing-basiertes VPN konfigurieren

Führen Sie die folgenden Schritte aus, um ein IBM-routenbasiertes VPN für einen AWS-Peer zu konfigurieren:

  1. Erstellen Sie vier neue Verbindungen, eine für jede AWS-Tunnel-IP.

    Da für AWS die Funktion PFS in Phase 2 aktiviert sein muss, müssen Sie eine angepasste IPsec-Richtlinie erstellen, um die Standardrichtlinie für das VPN in Ihrer VPC zu ersetzen. Weitere Informationen finden Sie unter Angepasste IPsec-Richtlinie in VPN for VPC erstellen.

  2. Erstellen Sie vier Routen für jedes Peer-Teilnetz, wobei die Option Nächster Hop auf jede in Schritt 1 erstellte Verbindung verweist. Setzen Sie dann jede Route auf einen anderen Wert für Priorität.

    Die Route mit dem niedrigsten Wert für Priorität ist die Prioritätsroute.

    IBM Routing-Tabelle
    Abbildung 5: IBM Routing-Tabelle

  3. Nachdem der Status für beide Verbindungen Aktiv lautet, überprüfen Sie den Datenverkehr zwischen Ihren Teilnetzen.

    Stellen Sie sicher, dass die bevorzugte Verbindung in AWS mit der in IBM identisch ist, um asymmetrisches Routing zu vermeiden.