Wie kann ich Probleme mit asymmetrischem Routing lösen, wenn ich ein VPN als Backup für Direct Connect in einem Transit-Gateway erstelle?
Ich habe eine AWS-Direct-Connect-Verbindung. Das Direct-Connect-Gateway ist mit einem AWS Transit Gateway verknüpft. Ich habe ein Site-to-Site-VPN als Backup für die Direct-Connect-Verbindung erstellt, habe aber Probleme mit asymmetrischem Routing.
Kurzbeschreibung
Wenn Sie eine Virtual Private Network (VPN)-Verbindung als Backup für Direct Connect verwenden, können Probleme mit asymmetrischem Routing auftreten. Asymmetrisches Routing tritt auf, wenn Netzwerkdatenverkehr über eine Verbindung eingeht und über eine andere Verbindung ausgeht. Wenn der eingehende Datenverkehr nicht in der zustandsbehafteten Tabelle protokolliert wird, können Netzwerkgeräte wie Firewalls Pakete verwerfen.
Behebung
Ausgehender Datenverkehr von AWS zu Ihrem Netzwerk
Verwenden Sie für ausgehenden Datenverkehr von AWS zu Ihrem Netzwerk die folgenden bewährten Methoden:
- Verwenden Sie Border Gateway Protocol (BGP), um das VPN mit dynamischem Routing zu konfigurieren.
- Stellen Sie sicher, dass Ihre Geräte mit VPN und Direct Connect dieselben oder weniger spezifische Präfixe von On-Premises zu AWS ankündigen. Beispielsweise ist 10.0.0.0/16 weniger spezifisch als 10.0.0.0/24.
- Bei einer Präfixlänge desselben Werts sendet AWS On-Premises-Datenverkehr an Ihr Netzwerk mit einem höheren Präferenzwert für Direct Connect als VPN-Verbindungen. Verwenden Sie für das AWS Transit Gateway eine statische Route, die auf einen VPN-Anhang anstelle einer dynamisch weitergeleiteten Direct-Connect-Gateway-Route verweist.
- Für Direct Connect, das mit dynamischem VPN als Backup bereitgestellt wird, ist es keine bewährte Methode, AS PATH vorangestellt zu verwenden. Wenn die Präfixe identisch sind, verwenden Sie Direct-Connect-Routen unabhängig von der Länge des „AS PATH“-Prepends.
Weitere Informationen finden Sie unter Routing.
Eingehender Datenverkehr von Ihrem Netzwerk zu AWS
Verwenden Sie für eingehenden Datenverkehr von Ihrem Netzwerk zu AWS die folgenden bewährten Methoden:
- Konfigurieren Sie die Einstellungen Ihrer Netzwerkgeräte so, dass der Rückdatenverkehr über die Direct-Connect-Verbindung gesendet wird.
- Wenn die Präfixe, die von AWS auf Ihrem Netzwerkgerät angekündigt werden, für Direct Connect und VPN identisch sind, verwenden Sie das BGP-Attribut für lokale Präferenzen. Das BGP-Attribut für lokale Präferenzen zwingt Ihr Gerät, ausgehenden Datenverkehr über die Direct-Connect-Verbindung an AWS zu senden. Stellen Sie den Direct-Connect-Pfad mit einem höheren lokalen Präferenzwert ein und legen Sie eine niedrigere Präferenz für VPN fest. Stellen Sie beispielsweise die lokale Präferenz für Direct Connect auf 200 und für VPN auf 100 ein.
Wichtig: Für in Direct Connect zulässige Präfixe, die zusammengefasst und weniger spezifisch sind als die über VPN angekündigten Routen, bevorzugen Netzwerkgeräte die über VPN empfangenen Routen.
Siehe folgende Beispielausgabe:
- Die vom Transit-Gateway weitergeleiteten Routen sind VPC-A CIDR 10.0.0.0/16, VPC-B CIDR 10.1.0.0/16 und VPC-C 10.2.0.0/16.
- Um dem Kontingent von 20 Präfixen gerecht zu werden, ist das zusammengefasste Präfix auf den zulässigen Präfixen des Direct-Connect-Gateways 10.0.0.0/14.
Für jede Virtual Private Cloud (VPC) über VPN kündigt Direct Connect das Direct-Connect-Gateway-Präfix 10.0.0.0/14 an, während das VPN-Transit-Gateway die /16-CIDRs ankündigt.
Um dieses Problem zu beheben, fügen Sie die zusammengefasste Direct-Connect-Gateway-Route in die Routing-Tabelle des Transit-Gateways ein. Fügen Sie beispielsweise eine statische Route 10.0.0.0/14 hinzu, die auf einen VPC-Anhang verweist, sodass das Transit-Gateway das zusammengefasste Netzwerk über VPN ankündigt. Ihre Netzwerkgeräte erhalten dasselbe Präfix von Direct Connect und VPN. Konfigurieren Sie dann Ihr Gateway so, dass es die spezifischen Präfixe herausfiltert, die empfangen werden. Stellen Sie sicher, dass nur das zusammengefasste Präfix vom VPN-Peer in der Routing-Tabelle installiert ist. Abhängig von den Spezifikationen des Anbieters gibt es verschiedene Optionen zum Herausfiltern von Routen, z. B. route-maps, prefix-lists und router-filter-lists.
Der Datenverkehr von Ihrem Netzwerk zu AWS erreicht die Routing-Tabelle des Transit-Gateways. Das Gateway führt eine Suche durch, um die spezifischsten Routen aus jedem VPC-Anhang auszuwählen.
Siehe folgendes Beispiel:
- Anhang A, der auf VPC-A CIDR verweist, ist 10.0.0.0/16.
- Anhang B, der auf VPC-B CIDR verweist, ist 10.1.0.0/16.
- Anhang C, der auf VPC-C CIDR verweist, ist 10.2.0.0/16.
Verwandte Informationen
How do I configure Direct Connect and VPN failover with Transit Gateway?
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor einem Jahr