Come faccio a evitare l'asimmetria in una VPN basata sul percorso con routing statico?

4 minuti di lettura

Voglio evitare il routing asimmetrico in una VPN basata sul percorso configurata per il routing statico.

Breve descrizione

La VPN sito-sito AWS fornisce due endpoint per connessione VPN per raggiungere la stessa rete di destinazione. AWS utilizza uno dei tunnel attivi per indirizzare il traffico verso la stessa destinazione.

I tunnel VPN sono generalmente ospitati su firewall "stateful". I dispositivi firewall si aspettano che un pacchetto utilizzi la stessa interfaccia tunnel per inviare e ricevere traffico. Il routing asimmetrico si verifica quando il pacchetto entra in Amazon Virtual Private Cloud (Amazon VPC) attraverso un tunnel ed esce attraverso l'altro tunnel sulla stessa VPN sito-sito. Quando il pacchetto ritorna attraverso un'altra interfaccia tunnel, non corrisponde alla sessione "stateful" e quindi viene eliminato.

Risoluzione

Non è necessario creare una nuova VPN con routing dinamico per risolvere il problema del routing asimmetrico. Continua invece a utilizzare il routing statico dopo aver apportato modifiche che rispecchino la logica di routing dinamico, come illustrato di seguito.

Prerequisito

Conferma di avere un routing asimmetrico controllando le metriche di Amazon CloudWatch:

Visualizza le metriche per ogni tunnel

Se disponi di una sola connessione VPN con configurazione attiva/attiva:

Apri la console CloudWatch.
Nel riquadro di navigazione, scegli Metriche.
In Tutte le metriche, scegli lo spazio dei nomi delle metriche VPN.
Seleziona Metriche del tunnel VPN.
Seleziona le metriche di CloudWatch TunnelDataIn e TunnelDataOut. Se è presente un routing asimmetrico, un tunnel ha punti dati per la metrica TunnelDataIn. Il secondo tunnel contiene punti dati per la metrica TunnelDataOut.

Visualizza le metriche per l'intera connessione VPN (metriche aggregate)

Se disponi di più connessioni VPN:

Apri la console CloudWatch.
Nel riquadro di navigazione, scegli Metriche.
In Tutte le metriche, scegli lo spazio dei nomi delle metriche VPN.
Seleziona Metriche di connessione VPN.
Seleziona le metriche di CloudWatch TunnelDataIn e TunnelDataOut. Se è presente un routing asimmetrico, una connessione ha punti dati per la metrica TunnelDataIn. L'altra connessione dispone di punti dati per la metrica TunnelDataOut.

Per ulteriori informazioni sulle metriche dei tunnel, consulta Monitorare i tunnel VPN con CloudWatch.

Scenari di routing asimmetrico

Esamina le seguenti opzioni per evitare il routing asimmetrico in questi scenari:

Una singola connessione VPN configurata come attiva/attiva

Per evitare un routing asimmetrico:

Utilizza la funzionalità di aggregazione IPsec se il gateway del cliente la supporta. Per ulteriori informazioni, consulta Aggregazione IPsec per la ridondanza e il bilanciamento del carico del tunnel sul sito Web di Fortinet.
Se il gateway del cliente supporta il routing asimmetrico, assicurati che il routing asimmetrico sia attivato nelle interfacce del tunnel virtuale.
Se il gateway del cliente non supporta il routing asimmetrico, assicurati che l'impostazione VPN sia attiva/passiva. Questa configurazione identifica un tunnel come UP e il secondo come DOWN. In questa impostazione, il traffico da AWS alla rete locale attraversa solo il tunnel nello stato UP. Per ulteriori informazioni, vedi Come faccio a configurare la mia VPN sito-sito per preferire il tunnel A rispetto al tunnel B?

Due connessioni VPN (VPN-Pry e VPN-Sec) si connettono allo stesso VPC

In questo scenario, le connessioni VPN si connettono allo stesso Amazon VPC, utilizzando lo stesso gateway privato virtuale.

Nota: questo scenario si applica solo alle connessioni VPN con il gateway privato virtuale.

Entrambe le connessioni:

Usa il routing statico
Pubblicizza gli stessi prefissi locali. Ad esempio, 10.170.0.0/20 e 10.167.0.0/20
Connettiti allo stesso VPC tramite il gateway privato virtuale
Disponi di IP pubblici del gateway del cliente diversi

Implementa quanto segue per evitare il routing asimmetrico:

Percorsi statici per VPN-Pry (connessione primaria):

10.170.0.0/21

10.170.8.0/21

10.167.0.0/21

10.167.8.0/21

Percorsi statici per VPN-Sec (connessione secondaria):

10.170.0.0/20

10.167.0.0/20

In queste impostazioni, AWS sceglie VPN-Pry come connessione preferita rispetto a VPN-Sec. AWS utilizza la corrispondenza di prefissi più lunga nella tabella di routing che corrisponde al traffico per determinare come indirizzare il traffico.

Nota: se il gateway del cliente non presenta un routing asimmetrico in questo scenario, configura ogni impostazione VPN come attiva/passiva. In questo modo viene identificato un tunnel come attivo per ogni connessione VPN. Il traffico passa al tunnel attivo della connessione secondaria se entrambi i tunnel della connessione attiva sono inattivi.

Per ulteriori informazioni sulla priorità dei routing VPN, consulta Tabelle di routing e priorità dei routing VPN.

Argomenti

Networking e distribuzione di contenuti

Tag

AWS Virtual Private Network (VPN)

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Come posso utilizzare VPN sito-sito AWS per creare una VPN basata su certificati?
AWS UFFICIALEAggiornata 9 mesi fa
Come posso creare un endpoint VPN Client utilizzando l'autenticazione basata su certificati?
AWS UFFICIALEAggiornata 2 anni fa
Come faccio a creare una VPN basata sul routing dinamico utilizzando un firewall Palo-Alto e AWS VPN?
AWS UFFICIALEAggiornata un anno fa
Come posso risolvere i problemi di connessione tra un endpoint VPN AWS e una VPN basata su policy?
AWS UFFICIALEAggiornata un anno fa