Wie konfiguriere ich meine Site-to-Site-VPN-Verbindung so, dass Tunnel A gegenüber Tunnel B bevorzugt wird?
Meine AWS Site-to-Site VPN-Verbindung besteht aus zwei Virtual Private Network (VPN)-Tunneln. Diese Tunnel bestehen zwischen einem Kunden-Gateway-Gerät und entweder einem Virtual Private Gateway oder einem Transit-Gateway. Wie kann ich sicher sein, dass Tunnel A dem Tunnel B vorgezogen wird, wenn Datenverkehr von AWS an ein lokales Netzwerk gesendet wird?
Lösung
Statische VPNs, die zwischen einem Kunden-Gateway und entweder einem Virtual Private Gateway oder einem Transit-Gateway erstellt wurden
In diesem Szenario sendet das Virtual Private Gateway oder Transit-Gateway den Datenverkehr von AWS über einen einzigen VPN-Tunnel an das lokale Netzwerk. Dieser Tunnel wird von AWS nach dem Zufallsprinzip ausgewählt und als bevorzugter Tunnel bezeichnet.
Wenn die AWS-VPN-Verbindung (statischer Routing-Typ) eine Aktiv/Aktiv-Konfiguration hat (beide Tunnel sind AKTIV), können Sie AWS nicht so konfigurieren, dass ein bestimmter Tunnel zum Senden von Datenverkehr bevorzugt wird. Beispielsweise wurde Tunnel A zufällig von AWS als bevorzugter VPN-Tunnel für das Senden von Datenverkehr von AWS an das On-Premises-Netzwerk ausgewählt. Wenn Tunnel A ausfällt, wird der Datenverkehr von AWS automatisch auf Tunnel B umgeleitet.
Hinweis: Wenn Sie Aktiv/Aktiv-Konfigurationen verwenden, muss das asymmetrische Routing für das Kunden-Gateway auf den virtuellen Tunnelschnittstellen aktiviert sein.
Wenn die AWS-VPN-Verbindung (statischer Routing-Typ) eine Aktiv/Passiv-Konfiguration hat (Tunnel A ist AKTIV, Tunnel B ist PASSIV), durchquert der Datenverkehr von AWS zum On-Premises-Netzwerk Tunnel A, da er sich im Status AKTIV befindet.
Dynamische VPNs, die zwischen einem Kunden-Gateway und entweder einem Virtual Private Gateway oder einem Transit-Gateway erstellt werden
Für Virtual Private Gateway- oder Transit-Gateway-Konfigurationen mit deaktiviertem ECMP
Der Datenverkehr von AWS zum lokalen Netzwerk wird über den bevorzugten Tunnel (von AWS zufällig ausgewählt) gesendet, wenn die AWS-VPN-Verbindung:
- Eine Aktiv/Aktiv-Konfiguration (beide Tunnel sind AKTIV) hat und
- Dieselben Präfixe für das Virtual Private Gateway oder Transit-Gateway mit denselben Border Gateway Protocol (BGP)-Attributen ankündigt.
Hinweis: Wenn Sie Aktiv/Aktiv-Konfigurationen verwenden, muss das asymmetrische Routing für das Kunden-Gateway auf den virtuellen Tunnelschnittstellen aktiviert sein.
Wenn die AWS-VPN-Verbindung (dynamischer Routing-Typ) eine Aktiv/Passiv-Konfiguration hat (Tunnel A ist AKTIV, Tunnel B ist PASSIV), durchquert der Datenverkehr von AWS zum On-Premises-Netzwerk Tunnel A, da er sich im Status UP befindet.
Für Transit-Gateway-Konfigurationen mit aktiviertem ECMP
Das Transit-Gateway verteilt die Last des Datenverkehrs von AWS zum On-Premises-Netzwerk zwischen den VPN-Tunneln:
- Wenn dieselben Präfixe vom Kunden-Gateway-Gerät über die Tunnel angekündigt werden, und
- Die BGP-Attribute für die vom Kunden-Gateway-Gerät angekündigten Präfixe in den VPN-Tunneln identisch sein müssen. Zu diesen BGP-Attributen gehören der AS-Pfad und das erste AS in AS_SEQUENCE, MED.
Für dynamische AWS-VPN-Verbindungen
Stellen Sie das Kunden-Gateway-Gerät so ein, dass es einen VPN-Tunnel dem anderen vorzieht, indem Sie die Kriterien für die Reihenfolge der Präferenzen nutzen:
- Kündigen Sie dem Virtual Private Gateway oder Transit-Gateway auf dem Tunnel, den der Kunde bevorzugt, um Datenverkehr von AWS zu empfangen, ein spezifischeres Präfix an.
- Bei passenden Präfixen, bei denen jede VPN-Verbindung BGP verwendet, wird der AS-PATH verglichen und das Präfix mit dem kürzesten AS-PATH wird bevorzugt.
- Wenn die AS-PATHs dieselbe Länge haben und das erste AS in AS_SEQUENCE über mehrere Pfade hinweg gleich ist, werden Mehrfachausgangsdiskriminatoren (MEDs) verglichen. Der Pfad mit dem niedrigsten MED-Wert wird bevorzugt.
Hinweis: Es hat sich bewährt, den AS-Pfad nicht vorangestellt zu verwenden, sodass beide Tunnel den gleichen AS-PATH-Wert haben. Bei einem gleichen AS-PATH-Wert bestimmt der MED-Wert, den AWS bei Aktualisierungen des VPN-Tunnelendpunkts für den Tunnel festlegt, die Tunnelpriorität.
ECMP wird für Site-to-Site-VPN-Verbindungen auf einem Virtual Private Gateway nicht unterstützt.
ECMP wird für Site-to-Site-VPN-Verbindungen auf einem Transit-Gateway unterstützt.
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 2 Jahren