¿Cómo puedo configurar Direct Connect y la conmutación por error de VPN con Transit Gateway?

Resolución

Creación de una puerta de enlace de tránsito y asociación de Amazon VPC, VPN y Direct Connect

Sigue estos pasos:

1. Crea una puerta de enlace de tránsito.
2. Adjunta tu Amazon Virtual Private Cloud (Amazon VPC) a la puerta de enlace de tránsito.
   Nota: Anota el identificador del adjunto para usarlo en un paso posterior.
3. Crea un adjunto de AWS Site-to-Site VPN.
   Nota: Para una VPN estática, utiliza rutas estáticas que tengan un CIDR más amplio que las rutas propagadas del protocolo de puerta de enlace fronteriza (BGP). Para obtener más información, consulta Route evaluation order (Orden de evaluación de rutas).
4. Asocia AWS Direct Connect a la puerta de enlace de tránsito.
   Nota: Para cada adjunto de VPC, debes añadir el rango CIDR de Amazon VPC a las interacciones de prefijos permitidas de la puerta de enlace de Direct Connect. Luego, AWS anuncia los prefijos en el lado remoto a través de una interfaz virtual de tránsito.

Nota: En una interfaz virtual de tránsito, puedes anunciar un máximo de 200 prefijos para cada puerta de enlace de tránsito desde AWS a las redes locales. Para anunciar más de 200 prefijos CIDR, resume las rutas para que sean iguales o inferiores a 200 prefijos CIDR según las cuotas de servicio. Después de resumir las rutas, añádelas a la sección de interacción de prefijos permitidos. Para obtener más información, consulta AWS Direct Connect quotas (Cuotas de AWS Direct Connect).

(Opcional) Impedir el enrutamiento asimétrico cuando las rutas de VPN son más específicas

Los CIDR de VPC que anuncias desde las tablas de enrutamiento de VPN de Transit Gateway son más específicos que los CIDR que anuncias a través de una interfaz virtual de tránsito. Como resultado, la puerta de enlace de cliente puede priorizar Site-to-Site VPN en lugar de Direct Connect y provocar un enrutamiento asimétrico.

Nota: Al crear rutas resumidas para los CIDR de Amazon VPC en el campo Direct Connect Gateway allowed prefix (Prefijo permitido de puerta de enlace de Direct Connect), AWS VPN en la red local anuncia los CIDR de Amazon VPC.

Para resolver el enrutamiento asimétrico, completa los pasos siguientes:

1. Añade las rutas resumidas que asociaste a la puerta de enlace de Direct Connect al adjunto de Site-to-Site VPN que asociaste a la tabla de enrutamiento de la puerta de enlace de tránsito. Para el adjunto de destino de la tabla de enrutamiento, selecciona una Amazon VPC con un CIDR. El CIDR debe formar parte de la ruta resumida a la tabla de enrutamiento de la puerta de enlace de tránsito del adjunto de Site-to-Site VPN. Debes anunciar la ruta resumida y las rutas específicas a través de Site-to-Site VPN.
2. En la puerta de enlace de cliente de Site-to-Site VPN, descarta las rutas que anuncian prefijos CIDR más específicos a través de la VPN. La puerta de enlace de cliente debe tener las mismas rutas resumidas en ambas conexiones. La puerta de enlace prefiere la conexión de AWS Direct Connect.

Creación de tablas de enrutamiento de puerta de enlace de tránsito y configuración de la propagación de rutas

Nota: Anuncia el mismo conjunto de prefijos en las sesiones de BGP en las interfaces virtuales de tránsito de Direct Connect y en la VPN.

Sigue estos pasos

1. Abre la consola de Amazon VPC.
2. En el panel de navegación, elige Puertas de enlace de tránsito.
3. Comprueba que la tabla de enrutamiento de asociación predeterminada esté establecida en False. Si está establecida en True, continúa con el siguiente paso.
4. Elige Tablas de rueto de gateway de tránsito.
5. Elige Create transit gateway route table (Crear una tabla de enrutamiento de la puerta de enlace de tránsito).
6. En Etiqueta de nombre, introduce Tabla de enrutamiento A.
7. En ID de gateway de tránsito, selecciona el ID de tu puerta de enlace de tránsito.
8. Elige Create transit gateway route table (Crear una tabla de enrutamiento de la puerta de enlace de tránsito).
9. Selecciona Tabla de enrutamiento A o la tabla de enrutamiento predeterminada de la puerta de enlace de tránsito y, a continuación, selecciona Asociaciones.
10. A continuación, elige Crear asociación.
11. En Choose attachment to associate (Elegir adjunto para asociar), elige los ID de asociación de tus Amazon VPC y, a continuación, elige Crear asociación.
    Nota: Repite el paso anterior hasta que la puerta de enlace de Direct Connect, la VPN y las Amazon VPC aparezcan en Asociación.
12. Elige Route table propagation (Propagación de tablas de enrutamiento).
13. Elige Propagation (Propagación).
14. En Choose attachment to propagate (Elegir adjunto para propagar), selecciona la puerta de enlace de Direct Connect, la VPN y las Amazon VPC.

Actualización de las tablas de enrutamiento de subred de Amazon VPC

Sigue estos pasos:

1. Abre la consola de Amazon VPC.
2. En el panel de navegación, selecciona Tablas de enrutamiento.
3. Selecciona la tabla de enrutamiento que está adjunta a la subred del adjunto.
4. Elige la pestaña Rutas y, a continuación, elige Editar rutas.
5. Selecciona la pestaña Añadir ruta.
6. En Destino, selecciona la subred de la red local.
7. En Destino, seleccione su puerta de enlace de tránsito.
8. Seleccione Guardar rutas.

Nota: Para ver los eventos de actualización de enrutamientos, activa Transit Gateway Network Manager (Administrador de redes de Transit Gateway). Para obtener más información, consulta Routing update events (Eventos de actualización de enrutamiento).

Prueba de la conmutación por error

Utiliza la prueba de conmutación por error de Direct Connect del kit de herramientas de resiliencia para probar una conmutación por error.

Información relacionada

Conectividad híbrida a AWS Transit Gateway