Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo

Come posso configurare la mia connessione VPN sito-sito per preferire il tunnel A al tunnel B?

4 minuti di lettura
0

La mia connessione VPN sito-sito AWS è costituita da due tunnel di rete privata virtuale (VPN). Questi tunnel esistono tra un dispositivo gateway del cliente e un gateway privato virtuale o un gateway di transito. Come posso essere sicuro che il tunnel A sia preferito rispetto al tunnel B quando invio traffico da AWS a una rete on-premises?

Risoluzione

VPN statiche create tra un gateway del cliente e un gateway privato virtuale o un gateway di transito

In questo scenario, il gateway privato virtuale o il gateway di transito invia il traffico da AWS alla rete on-premises su un singolo tunnel VPN. Questo tunnel viene scelto a caso da AWS e viene definito tunnel preferito.

Se la connessione VPN AWS (tipo di routing statico) ha una configurazione Attiva/Attiva (entrambi i tunnel sono ATTIVI), non puoi configurare AWS in modo che preferisca un tunnel specifico per inviare traffico. Ad esempio, il tunnel A è stato scelto a caso da AWS come tunnel VPN preferito per l'invio di traffico da AWS alla rete on-premises. Se il tunnel A si arresta, il traffico proveniente da AWS passerà automaticamente al tunnel B.
Nota: quando utilizzi la configurazione Attiva/Attiva, il gateway del cliente deve avere il routing asimmetrico attivato sulle interfacce del tunnel virtuale.

Se la connessione VPN AWS (tipo di routing statico) ha una configurazione Attiva/Passiva (il tunnel A è ATTIVO, ma il tunnel B è INATTIVO), il traffico da AWS alla rete on-premises attraverserà il tunnel A perché è nello stato ATTIVO.

VPN dinamiche create tra un gateway del cliente e un gateway privato virtuale o un gateway di transito

Per le configurazioni di gateway privati virtuali o gateway di transito con ECMP disattivato

Il traffico da AWS alla rete on-premises viene inviato tramite il tunnel preferito (scelto a caso da AWS) quando la connessione VPN AWS:

  • Ha una configurazione Attiva/Attiva (entrambi i tunnel sono ATTIVI) e
  • Pubblicizza gli stessi prefissi sul gateway privato virtuale o sul gateway di transito con gli stessi attributi Border Gateway Protocol (BGP).
    Nota: quando utilizzi la configurazione Attiva/Attiva, il gateway del cliente deve avere il routing asimmetrico attivato sulle interfacce del tunnel virtuale.

Se la connessione VPN AWS (tipo di routing dinamico) ha una configurazione Attiva/Passiva (il tunnel A è ATTIVO, ma il tunnel B è INATTIVO), il traffico da AWS alla rete on-premises attraverserà il tunnel A perché è nello stato ATTIVO.

Per le configurazioni di gateway di transito con ECMP attivato

Il gateway di transito bilancia il carico di traffico instradato da AWS alla rete on-premises tra i tunnel VPN:

  • Se gli stessi prefissi vengono pubblicizzati dal dispositivo gateway del cliente sui tunnel e
  • Gli attributi BGP per i prefissi pubblicizzati dal dispositivo gateway del cliente devono essere identici sui tunnel VPN. Questi attributi BGP includono l'anteposizione AS-Path e il primo AS in AS_SEQUENCE, MED.

Per connessioni VPN AWS dinamiche

Imposta il dispositivo gateway del cliente in modo che preferisca un tunnel VPN rispetto all'altro sfruttando i criteri dell'ordine di preferenza:

  1. Pubblicizza un prefisso più specifico verso il gateway privato virtuale o il gateway di transito sul tunnel in cui il cliente preferisce ricevere traffico da AWS.
  2. Per i prefissi corrispondenti in cui ogni connessione VPN utilizza BGP, l'AS PATH verrà confrontato e verrà preferito il prefisso con l'AS PATH più breve.
  3. Quando gli AS PATH hanno la stessa lunghezza e il primo AS in AS_SEQUENCE è lo stesso su più percorsi, vengono confrontati i discriminatori multi-uscita (MED). Il percorso con il valore MED più basso viene preferito.

Nota: è consigliabile evitare di utilizzare l'anteposizione AS Path in modo che entrambi i tunnel abbiano un valore AS PATH uguale. A parità di valore AS PATH, il valore MED che AWS imposta sul tunnel durante gli aggiornamenti degli endpoint del tunnel VPN determinerà la priorità del tunnel.

ECMP non è supportato per le connessioni VPN sito-sito su un gateway privato virtuale.
ECMP è supportato per le connessioni VPN sito-sito su un gateway di transito.


AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa