Come faccio a risolvere i problemi di failover relativi a Direct Connect e VPN?

6 minuti di lettura
0

Desidero risolvere i miei problemi di failover con AWS Direct Connect e VPN.

Risoluzione

Risolvi i problemi di failover di AWS Direct Connect e VPN in base alla VPN che stai utilizzando:

  • VPN basata su gateway virtuali
  • VPN basata su AWS Transit Gateway

VPN basata su gateway virtuali

Il traffico da AWS a quello locale preferisce Direct Connect a connessioni VPN dinamiche o statiche. Il tuo traffico potrebbe non riuscire a cambiare per i seguenti motivi:

VPN basata su BGP

  • Il gateway del cliente non pubblicizza il prefisso on-premise della sessione BGP sul tunnel VPN.
  • Il gateway del cliente sta filtrando il prefisso pubblicizzato nella sessione VPN BGP.
  • La politica del firewall non consente il traffico in entrata o in uscita tra AWS e on-premise.
  • Per le connessioni VPN con entrambi i tunnel attivi (Attivo/Attivo), verifica se il gateway del cliente supporta il routing asimmetrico. AWS sceglie il tunnel di uscita in modo casuale se pubblicizzi gli stessi prefissi. Per ulteriori informazioni, consulta How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?
  • Una route statica per la rete AWS punta al peer gateway Direct Connect invece di fare affidamento sulle route BGP.

VPN statica

  • La connessione VPN non dispone di una route statica per la rete on-premise aggiunta nel percorso di connessione VPN.
  • Il gateway del cliente non dispone di un percorso statico per AWS CIDR che punti all'interfaccia del tunnel. Se esiste un percorso statico per la rete AWS, assicurati che punti all'interfaccia tunnel corretta. Se utilizzi una VPN basata su policy, assicurati che la policy corrisponda alle reti AWS e on-premise.
  • La politica del firewall non consente il traffico in entrata o in uscita tra AWS e on-premise.
  • Per le connessioni VPN con entrambi i tunnel attivi (Attivo/Attivo), verifica se il gateway del cliente supporta il routing asimmetrico. AWS sceglie il tunnel di uscita in modo casuale se pubblicizzi gli stessi prefissi. Per ulteriori informazioni, consulta How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?

Gateway privato virtuale

Per una VPN come backup di Direct Connect che termina su un gateway privato virtuale, assicurati di quanto segue:

  • Per le VPN basate su dinamiche, pubblicizza lo stesso prefisso su VPN e Direct Connect. AWS preferisce Direct Connect. Per il dispositivo on-premise, assicurati che Direct Connect sia preferito come percorso di uscita verso AWS.
  • Per le VPN statiche, utilizza lo stesso percorso statico per la rete on-premise del percorso pubblicizzato dal gateway del cliente tramite Direct Connect. I gateway privati virtuali preferiscono Direct Connect come percorso di uscita verso l'ambiente on-premise. Assicurati di disporre di un percorso meno specifico per Amazon Virtual Private Cloud (Amazon VPC) CIDR. Le rotte statiche sui gateway dei clienti hanno metriche inferiori rispetto ai percorsi BGP.

Nota: per le VPN basate su gateway privati virtuali, invia un valore MED di 100 e 200. Se non è applicato alcun filtro di importazione sulle route ricevute, il gateway del cliente preferisce Direct Connect a causa del suo valore MED pari a 0.

VPN basata su Transit Gateway

Direct Connect associato a Transit Gateway utilizza il gateway Direct Connect e consente un massimo di 200 prefissi. Per le VPN dinamiche, Transit Gateway pubblicizza i percorsi in base alla tabella di routing di Transit Gateway associata alla connessione VPN. Inoltre, il gateway del cliente riceve prefissi specifici tramite la connessione VPN e preferisce indirizzare i prefissi AWS dal tunnel VPN.

Il tuo traffico può non riuscire a passare per i seguenti motivi:

VPN basata su BGP

  • Il gateway del cliente non pubblicizza il prefisso on-premise della sessione BGP sul tunnel VPN.
  • Il gateway del cliente sta filtrando il prefisso pubblicizzato nella sessione VPN BGP.
  • La tabella di routing di Transit Gateway associata alla sorgente di traffico.
  • La politica del firewall non consente il traffico in entrata o in uscita tra AWS e on-premise.
  • Per le connessioni VPN con entrambi i tunnel attivi (Attivo/Attivo), verifica se il gateway del cliente supporta il routing asimmetrico. AWS sceglie il tunnel di uscita in modo casuale se pubblicizzi gli stessi prefissi. Per ulteriori informazioni, consulta How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?
  • Una route statica per la rete AWS punta al peer Direct Connect invece di fare affidamento sulle route BGP.

VPN statica

  • La connessione VPN non ha una route statica per la rete on-premise aggiunta nella tabella di routing di Transit Gateway che punta all'allegato della connessione VPN.
  • Il gateway del cliente non dispone di un percorso statico per AWS CIDR che punti all'interfaccia del tunnel. Se esiste un percorso statico per la rete AWS, assicurati che punti all'interfaccia tunnel corretta. Se utilizzi una VPN basata su policy, assicurati che la policy corrisponda alle reti AWS e locali.
  • La politica del firewall non consente il traffico in entrata o in uscita tra AWS e on-premise.
  • Per le VPN accelerate, assicurati che NAT-T sia attivato. Per ulteriori informazioni, consulta How can I troubleshoot issues with Accelerated VPN?
  • Per le connessioni VPN con entrambi i tunnel attivi (Attivo/Attivo), verifica se il gateway del cliente supporta il routing asimmetrico. AWS sceglie il tunnel di uscita in modo casuale se pubblicizzi gli stessi prefissi. Per ulteriori informazioni, consulta How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?

Transit Gateway

Per una VPN come backup di Direct Connect che termina su un gateway di transito, assicurati di quanto segue:

  • Per le VPN basate su dinamiche, pubblicizza lo stesso prefisso su VPN e Direct Connect. AWS preferisce Direct Connect. Per il dispositivo on-premise, filtra il percorso specifico appreso tramite la connessione VPN. Assicurati che il traffico in uscita dal gateway del cliente preferisca Direct Connect alla connessione VPN.
  • Per le VPN statiche sul lato AWS, aggiungi percorsi statici meno specifici per la rete on-premise sul Transit Gateway che puntano all'allegato VPN. Le route statiche sono preferite rispetto alle route propagate da Direct Connect (il traffico in uscita verso il gateway del cliente preferisce la VPN). Sul lato on-premise, assicurati di disporre di un percorso meno specifico per Amazon VPC CIDR. Le route statiche hanno metriche inferiori rispetto alle route BGP.

Nota: per le connessioni VPN basate su Transit Gateway, invia un valore MED di 100 su entrambi i tunnel VPN. Se non è applicato alcun filtro di importazione sulle route ricevute, il gateway del cliente preferisce Direct Connect a causa del suo valore MED pari a 0.

Informazioni correlate

How can I resolve asymmetric routing issues when I create a VPN as a backup to Direct Connect in a transit gateway?

How do I configure Direct Connect and VPN failover with Transit Gateway?

I have a primary connection Direct Connect gateway with a backup VPN connection. Why is traffic prioritizing the backup connection?

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa