Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Wie konfiguriere ich meine Site-to-Site-VPN-Verbindung so, dass Tunnel A gegenüber Tunnel B bevorzugt wird?

Lesedauer: 3 Minute
0

Meine AWS Site-to-Site VPN-Verbindung besteht aus zwei Virtual Private Network (VPN)-Tunneln. Diese Tunnel bestehen zwischen einem Kunden-Gateway-Gerät und entweder einem Virtual Private Gateway oder einem Transit-Gateway. Wie kann ich sicher sein, dass Tunnel A dem Tunnel B vorgezogen wird, wenn Datenverkehr von AWS an ein lokales Netzwerk gesendet wird?

Lösung

Statische VPNs, die zwischen einem Kunden-Gateway und entweder einem Virtual Private Gateway oder einem Transit-Gateway erstellt wurden

In diesem Szenario sendet das Virtual Private Gateway oder Transit-Gateway den Datenverkehr von AWS über einen einzigen VPN-Tunnel an das lokale Netzwerk. Dieser Tunnel wird von AWS nach dem Zufallsprinzip ausgewählt und als bevorzugter Tunnel bezeichnet.

Wenn die AWS-VPN-Verbindung (statischer Routing-Typ) eine Aktiv/Aktiv-Konfiguration hat (beide Tunnel sind AKTIV), können Sie AWS nicht so konfigurieren, dass ein bestimmter Tunnel zum Senden von Datenverkehr bevorzugt wird. Beispielsweise wurde Tunnel A zufällig von AWS als bevorzugter VPN-Tunnel für das Senden von Datenverkehr von AWS an das On-Premises-Netzwerk ausgewählt. Wenn Tunnel A ausfällt, wird der Datenverkehr von AWS automatisch auf Tunnel B umgeleitet.
Hinweis: Wenn Sie Aktiv/Aktiv-Konfigurationen verwenden, muss das asymmetrische Routing für das Kunden-Gateway auf den virtuellen Tunnelschnittstellen aktiviert sein.

Wenn die AWS-VPN-Verbindung (statischer Routing-Typ) eine Aktiv/Passiv-Konfiguration hat (Tunnel A ist AKTIV, Tunnel B ist PASSIV), durchquert der Datenverkehr von AWS zum On-Premises-Netzwerk Tunnel A, da er sich im Status AKTIV befindet.

Dynamische VPNs, die zwischen einem Kunden-Gateway und entweder einem Virtual Private Gateway oder einem Transit-Gateway erstellt werden

Für Virtual Private Gateway- oder Transit-Gateway-Konfigurationen mit deaktiviertem ECMP

Der Datenverkehr von AWS zum lokalen Netzwerk wird über den bevorzugten Tunnel (von AWS zufällig ausgewählt) gesendet, wenn die AWS-VPN-Verbindung:

  • Eine Aktiv/Aktiv-Konfiguration (beide Tunnel sind AKTIV) hat und
  • Dieselben Präfixe für das Virtual Private Gateway oder Transit-Gateway mit denselben Border Gateway Protocol (BGP)-Attributen ankündigt.
    Hinweis: Wenn Sie Aktiv/Aktiv-Konfigurationen verwenden, muss das asymmetrische Routing für das Kunden-Gateway auf den virtuellen Tunnelschnittstellen aktiviert sein.

Wenn die AWS-VPN-Verbindung (dynamischer Routing-Typ) eine Aktiv/Passiv-Konfiguration hat (Tunnel A ist AKTIV, Tunnel B ist PASSIV), durchquert der Datenverkehr von AWS zum On-Premises-Netzwerk Tunnel A, da er sich im Status UP befindet.

Für Transit-Gateway-Konfigurationen mit aktiviertem ECMP

Das Transit-Gateway verteilt die Last des Datenverkehrs von AWS zum On-Premises-Netzwerk zwischen den VPN-Tunneln:

  • Wenn dieselben Präfixe vom Kunden-Gateway-Gerät über die Tunnel angekündigt werden, und
  • Die BGP-Attribute für die vom Kunden-Gateway-Gerät angekündigten Präfixe in den VPN-Tunneln identisch sein müssen. Zu diesen BGP-Attributen gehören der AS-Pfad und das erste AS in AS_SEQUENCE, MED.

Für dynamische AWS-VPN-Verbindungen

Stellen Sie das Kunden-Gateway-Gerät so ein, dass es einen VPN-Tunnel dem anderen vorzieht, indem Sie die Kriterien für die Reihenfolge der Präferenzen nutzen:

  1. Kündigen Sie dem Virtual Private Gateway oder Transit-Gateway auf dem Tunnel, den der Kunde bevorzugt, um Datenverkehr von AWS zu empfangen, ein spezifischeres Präfix an.
  2. Bei passenden Präfixen, bei denen jede VPN-Verbindung BGP verwendet, wird der AS-PATH verglichen und das Präfix mit dem kürzesten AS-PATH wird bevorzugt.
  3. Wenn die AS-PATHs dieselbe Länge haben und das erste AS in AS_SEQUENCE über mehrere Pfade hinweg gleich ist, werden Mehrfachausgangsdiskriminatoren (MEDs) verglichen. Der Pfad mit dem niedrigsten MED-Wert wird bevorzugt.

Hinweis: Es hat sich bewährt, den AS-Pfad nicht vorangestellt zu verwenden, sodass beide Tunnel den gleichen AS-PATH-Wert haben. Bei einem gleichen AS-PATH-Wert bestimmt der MED-Wert, den AWS bei Aktualisierungen des VPN-Tunnelendpunkts für den Tunnel festlegt, die Tunnelpriorität.

ECMP wird für Site-to-Site-VPN-Verbindungen auf einem Virtual Private Gateway nicht unterstützt.
ECMP wird für Site-to-Site-VPN-Verbindungen auf einem Transit-Gateway unterstützt.


AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren