1. Bài Toán và Yêu Cầu

Bài toán: Hệ thống của Công ty AT (viết tắt là AT) đang chạy trên hạ tầng AWS cần kết nối với hệ thống On-Premise để gọi API và lấy thông tin cần thiết.

Yêu cầu từ phía On-Premise: Công ty AT phải sử dụng dải IP 172.0.0.128/28 để thực hiện các lệnh gọi sang On-Premise. Phía On-Premise sẽ sử dụng dải IP 10.4.198.0/24 và 10.4.97.0/24 để thiết lập kết nối VPN thông qua một địa chỉ IP public là 123.123.123.123. Thiết bị phía On-Premise sử dụng để thiết lập và kết nối VPN sẽ là Cisco với nền tảng ISR. Bài viết này sẽ hướng dẫn cách triển khai hệ thống VPN site-to-site trên AWS để kết nối với hệ thống On-Premise.

2. Phân Tích Bài Toán

Kết nối VPN site-to-site là giải pháp tối ưu cho yêu cầu này, kết hợp giữa khả năng kết nối và bảo mật cho cả hai hệ thống. Để khởi tạo kết nối VPN site-to-site giữa AWS và On-Premise, cần có những thông tin sau:

• Địa chỉ IP public của On-Premise để kết nối VPN.
• Dải IP nội bộ mà môi trường On-Premise sử dụng cho kết nối qua VPN.
• Dải IP nội bộ mà môi trường AWS sử dụng để kết nối VPN (phía On-Premise yêu cầu nhà cung cấp phải sử dụng dải IP đã nêu).
• Địa chỉ IP Tunnel phải là một block CIDR /30 thuộc dải 254.0.0/16.

Cần lưu ý rằng dải VPC trên AWS không được sử dụng mà chồng lấn với bất kỳ dải IP nào từ cả hai phía để tránh xung đột trong việc khởi tạo subnet và khai báo route tables trên AWS. Địa chỉ IP Public để kết nối VPN phía On-Premise là 123.123.123.123, đây là IP dùng để khởi tạo Customer Gateway trên AWS.

3. Mô Hình và Triển Khai

3.1. Mô Hình Triển Khai

Dưới đây là mô hình triển khai hệ thống VPN site-to-site:

(Hình ảnh mô tả)

3.2. Triển Khai Hệ Thống (Phía AT trên AWS)

3.2.1. Khởi Tạo VPC và Subnet

Để đáp ứng yêu cầu của On-Premise, cần khởi tạo dải VPC và subnet với các IP nằm trong khoảng 172.0.0.128/28:

• Khởi tạo VPC 172.0.0.0/24 và subnet là 172.0.0.128/28.

Lưu ý: Trên AWS, CIDR block cho VPC và subnet tối thiểu phải là /28 và các dải IP này cần tách biệt với dải IP của On-Premise để tránh chồng chéo.

3.2.2. Khởi Tạo Customer Gateway

Vào mục VPC -> Customer gateway, tiến hành khởi tạo Customer Gateway bằng cách nhập địa chỉ IP public của On-Premise rồi chọn Create customer gateway.

3.2.3. Khởi Tạo Virtual Private Gateway

Vào mục VPC -> Virtual Private Gateway, tạo Virtual Private Gateway và chọn Create Virtual Private Gateway.

3.2.4. Khởi Tạo Kết Nối VPN Site-to-Site

Thực hiện khai báo cấu hình cho kết nối VPN như sau:

• Tên: VPN-AT
• Loại gateway mục tiêu: Virtual private gateway -> chọn virtual private gateway đã khởi tạo ở mục 3.2.3 (VPG-On-PremiseCommunity)
• Customer gateway: Existing -> chọn Customer gateway ID đã khởi tạo ở mục 3.2.2 (CGW-AT-On-Premise-250).
• Tùy chọn routing: Static -> 10.4.198.0/24 và 10.4.97.0/24
• CIDR mạng IPv4 nội bộ: 10.4.198.0/24 và 10.4.97.0/24
• CIDR mạng IPv4 từ xa: 172.0.0.128/28

3.3. Triển Khai Hệ Thống (Phía On-Premise)

Sau khi cài đặt xong VPN, trong AWS, vào phần VPN -> Site-to-Site VPN connection, chọn VPN có tên “vpn-0cead44252cd7c41f” và Download Configuration.

Gửi lại file cấu hình cho On-Premise để họ thực hiện cài đặt theo hướng dẫn đã download.

4. Kiểm Tra Kết Quả

Khi phía On-Premise đã cấu hình VPN theo file tại mục 3.3, tiến hành kiểm tra kết nối:

Phía AT tạo các EC2 có địa chỉ IP trong dải 172.0.0.128/28 và thử ping đến các IP của On-Premise. Nếu kết quả trả về thành công, kết nối giữa AT và On-Premise đã được thiết lập thành công. Phía On-Premise cũng nên kiểm tra kết nối bằng cách ping đến các địa chỉ IP tunnel và IP thuộc CIDR block 172.0.0.128/28 để xác minh kết nối hai chiều đã hoạt động tốt.

Nếu cả hai chiều đều thông, như vậy VPN đã được thiết lập thành công.
source: viblo