Je dispose d'une connexion AWS Direct Connect. La passerelle Direct Connect est associée à AWS Transit Gateway. J'ai créé un Site-to-Site VPN en tant que sauvegarde pour la connexion Direct Connect, mais je rencontre des problèmes de routage asymétrique.
Brève description
Lorsque vous utilisez une connexion réseau privé virtuel (VPN) comme sauvegarde pour Direct Connect, des problèmes de routage asymétrique peuvent survenir. Le routage asymétrique survient lorsque le trafic réseau entre via une connexion donnée et sort via une autre connexion. Si le trafic reçu n'est pas enregistré dans votre table avec état, les périphériques réseau, tels que les pare-feux, peuvent supprimer des paquets.
Résolution
Trafic sortant d'AWS vers votre réseau
Appliquez les meilleures pratiques suivantes pour le trafic sortant d'AWS vers votre réseau :
- Utilisez le protocole de passerelle frontière (BGP) pour configurer le VPN avec un routage dynamique.
- Assurez-vous que vos appareils proposent des préfixes identiques ou moins spécifiques sur site à AWS grâce au VPN et à Direct Connect. Par exemple, 10.0.0.0/16 est moins spécifique que 10.0.0.0/24.
- Pour une longueur de préfixe de même valeur, AWS envoie le trafic sur site vers votre réseau avec une valeur de préférence plus élevée pour les connexions Direct Connect plutôt que pour les connexions VPN. Pour AWS Transit Gateway, utilisez une route statique qui pointe vers un attachement VPN plutôt qu'une route de passerelle Direct Connect propagée dynamiquement.
- Lorsque Direct Connect est déployé avec un VPN dynamique en tant que sauvegarde, il n'est pas recommandé d'utiliser le préfixe AS PATH. Si les préfixes sont identiques, utilisez les routes Direct Connect quelle que soit la longueur du préfixe AS PATH.
Pour en savoir plus, consultez la page Routage.
Trafic entrant depuis votre réseau vers AWS
Appliquez les bonnes pratiques suivantes pour le trafic entrant de votre réseau vers AWS :
- Configurez vos préférences en matière de périphérique réseau pour envoyer le trafic de retour via la connexion Direct Connect.
- Si les préfixes annoncés par AWS sur votre périphérique réseau sont les mêmes pour Direct Connect et le VPN, utilisez l'attribut de préférence locale BGP. L'attribut de préférence locale BGP force votre appareil à envoyer le trafic sortant via la connexion Direct Connect vers AWS. Paramétrez le chemin Direct Connect avec une valeur de préférence locale plus élevée et définissez une préférence inférieure pour le VPN. Par exemple, définissez la préférence locale sur 200 pour Direct Connect et 100 pour le VPN.
Important : dans le cas de préfixes autorisés par Direct Connect qui sont résumés et moins spécifiques que les routes proposées via le VPN, les périphériques réseau préfèrent les routes reçues via le VPN.
Exemple de scénario :
- Les routes propagées par la passerelle de transit sont VPC-A CIDR 10.0.0.0/16, VPC-B CIDR 10.1.0.0/16 et VPC-C 10.2.0.0/16.
- Pour respecter le quota de 20 préfixes, le préfixe résumé pour les préfixes autorisés de la passerelle Direct Connect est 10.0.0.0/14.
Pour chaque cloud privé virtuel (VPC) via VPN, Direct Connect propose le préfixe de passerelle Direct Connect 10.0.0.0/14 et la passerelle de transit VPN propose les CIDR /16.
Pour résoudre ce problème, insérez le résumé de la route de la passerelle Direct Connect dans la table de routage de la passerelle de transit. Par exemple, ajoutez une route statique 10.0.0.0/14 qui pointe vers un attachement VPC afin que la passerelle de transit propose le réseau résumé via VPN. Vos périphériques réseau reçoivent alors le même préfixe en provenance de Direct Connect et du VPN. Configurez ensuite votre passerelle pour filtrer les préfixes spécifiques reçus. Assurez-vous que seul le préfixe résumé est installé dans la table de routage depuis l'homologue VPN. En fonction des spécifications des fournisseurs, il existe différentes options pour filtrer les routes, telles que route-maps, prefix-lists et router-filter-lists.
Le trafic de votre réseau vers AWS atteint la table de routage de la passerelle de transit. La passerelle effectue une recherche pour sélectionner les routes les plus spécifiques à partir de chaque attachement VPC.
Exemple :
- L’attachement A qui pointe vers VPC-A CIDR est 10.0.0.0/16.
- L’attachement B qui pointe vers VPC-B CIDR est 10.1.0.0/16.
- L’attachement C qui pointe vers VPC-C CIDR est 10.2.0.0/16.
Informations connexes
Priorité d'acheminement
Comment configurer Direct Connect et le basculement VPN avec AWS Transit Gateway ?