Come posso risolvere i problemi di routing asimmetrico quando creo una VPN come backup di Direct Connect in un gateway di transito?
Dispongo di una connessione AWS Direct Connect. Il gateway Direct Connect è associato a un AWS Transit Gateway. Ho creato una VPN da sito a sito come backup della connessione Direct Connect, ma ho problemi di routing asimmetrico.
Breve descrizione
Quando si utilizza una connessione di rete privata virtuale (VPN) come backup di Direct Connect, possono verificarsi problemi di routing asimmetrico. Il routing asimmetrico si verifica quando il traffico di rete entra attraverso una connessione ed esce da un'altra connessione. Alcuni dispositivi di rete come i firewall rilasciano pacchetti se il traffico ricevuto non è registrato nella tabella stateful.
Risoluzione
Traffico in uscita da AWS verso la rete
Utilizza le seguenti best practice per il traffico in uscita da AWS verso la rete:
- Utilizza Border Gateway Protocol (BGP) per configurare la VPN con routing dinamico.
- Assicurati che i dispositivi pubblicizzino prefissi uguali o meno specifici dall'on-premises ad AWS con VPN e Direct Connect. Ad esempio, 10.0.0.0/16 è meno specifico di 10.0.0.0/24.
- AWS utilizza un valore di preferenza più elevato per Direct Connect rispetto alle connessioni VPN quando si invia traffico on-premise alla rete se la lunghezza del prefisso ricevuto è lo stesso valore. Per AWS Transit Gateway, utilizza un percorso statico che punti a un allegato VPN, anziché un percorso del gateway Direct Connect propagata dinamicamente.
- Per Direct Connect distribuito con VPN dinamica come backup, l’anteposizione AS PATH non è consigliata.. Se i prefissi sono gli stessi, utilizza il percorso Direct Connect indipendentemente dalla lunghezza dell’anteposizione AS PATH.
Per ulteriori informazioni, consulta Routing.
Traffico in entrata dalla rete verso AWS
Utilizza le seguenti best practice per il traffico in entrata dalla rete verso AWS:
- Configura le preferenze del dispositivo di rete per inviare traffico di ritorno tramite la connessione Direct Connect.
- Se i prefissi pubblicizzati da AWS sul dispositivo di rete sono gli stessi per Direct Connect e VPN, utilizza l'attributo di preferenza locale BGP. L'attributo di preferenza locale BGP impone al dispositivo di inviare il traffico in uscita tramite la connessione Direct Connect verso AWS. Imposta il percorso Direct Connect con un valore di preferenza locale più alto e imposta una preferenza inferiore per VPN. Ad esempio, imposta la preferenza locale su 200 per Direct Connect e 100 per VPN.
Importante: per i prefissi consentiti da Direct Connect che sono riepilogati e meno specifici dei percorsi pubblicizzati tramite VPN, i dispositivi di rete preferiscono i percorsi ricevuti tramite VPN.
Considera il seguente scenario di esempio:
- I percorsi propagati del gateway di transito sono VPC-A CIDR 10.0.0.0/16, VPC-B CIDR 10.1.0.0/16 e VPC-C 10.2.0.0/16.
- Per soddisfare la quota di 20 prefissi, il prefisso riepilogato sui prefissi consentiti del gateway Direct Connect è 10.0.0.0/14.
Per ogni cloud privato virtuale (VPC) su VPN, Direct Connect pubblicizza il prefisso del gateway Direct Connect 10.0.0.0/14 e il gateway di transito VPN pubblicizza i CIDR /16.
Per risolvere questo problema, inserisci il percorso del gateway Direct Connect riepilogato nella tabella dei percorsi del gateway di transito. Ad esempio, aggiungi un percorso statico 10.0.0.0/14 che punti a un allegato VPC in modo che il gateway di transito pubblicizzi la rete riepilogata tramite VPN. I dispositivi di rete ricevono lo stesso prefisso da Direct Connect e VPN. Quindi, configura il gateway per filtrare i prefissi specifici ricevuti. Assicurati che solo il prefisso riepilogato sia installato nella tabella di routing dal peer VPN. A seconda delle specifiche del fornitore, esistono diverse opzioni per filtrare i percorsi, come mappe dei percorsi, elenchi di prefissi e elenchi di filtri dei router.
Il traffico dalla rete verso AWS raggiunge la tabella di routing del gateway di transito. Il gateway esegue una ricerca per selezionare i percorsi più specifici da ciascun allegato VPC.
Considera l'esempio seguente:
- L'allegato A che punta al CIDR VPC-A è 10.0.0.0/16.
- L'allegato B che punta al CIDR VPC-B è 10.1.0.0/16.
- L'allegato C che punta al CIDR VPC-C è 10.2.0.0/16.
Informazioni correlate
How do I configure Direct Connect and VPN failover with Transit Gateway?
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata un anno fa