AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
トランジットゲートウェイで VPN を Direct Connect 接続のバックアップとして作成する際に非対称ルーティングの問題を解決するにはどうすればよいですか?
AWS Direct Connect 接続があります。Direct Connect ゲートウェイが AWS Transit Gateway に関連付けられています。Site-to-Site VPN を作成して Direct Connect 接続のバックアップとしましたが、非対称ルーティングの問題があります。
簡単な説明
仮想プライベートネットワーク (VPN) 接続を Direct Connect のバックアップとして使用すると、非対称ルーティングの問題が発生することがあります。非対称ルーティングは、ネットワークトラフィックがある1つの接続から入って別の接続から出ると発生します。受信したトラフィックがステートフルテーブルのログに記録されていないと、ファイアウォールなどのネットワークデバイスでパケットがドロップすることがあります。
解決方法
AWS からネットワークへのアウトバウンドトラフィック
AWS からネットワークへのアウトバウンドトラフィックでは、次のベストプラクティスを採用します。
- ボーダーゲートウェイプロトコル (BGP) を使用して、VPN に動的ルーティングを設定します。
- VPN と Direct Connect で、デバイスによってオンプレミスから AWS へアドバタイズされるプレフィックスが同じか具体性の低いものになるようにします。たとえば、10.0.0.0/16は10.0.0.0/24よりも具体性が低いです。
- プレフィックス長の値が同じであれば、AWS からは Direct Connect の優先値が高い方のオンプレミストラフィックが自分のネットワークへ VPN 接続経由で送信されます。AWS Transit Gateway では、動的に伝播される Direct Connect ゲートウェイルートではなく、VPN アタッチメントを指す静的ルートを使用します。
- Direct Connect で動的 VPN をバックアップとしてデプロイする場合、AS PATH プリペンディングを使用することはベストプラクティスではありません。プレフィックスが同じであれば、AS PATH プリペンド長に関係なく Direct Connect ルートを使用します。
詳細については、「ルーティング」を参照してください。
ネットワークから AWS へのインバウンドトラフィック
ネットワークから AWS へのインバウンドトラフィックでは、次のベストプラクティスを採用します。
- ネットワークデバイスプリファレンスは、リターントラフィックが Direct Connect 接続経由で送信されるよう設定します。
- AWS からネットワークデバイスへアドバタイズされるプレフィックスが Direct Connect と VPN とで同じであれば、BGP ローカルプリファレンス属性を使用します。BGP ローカルプリファレンス属性では、デバイスからアウトバウンドトラフィックが Direct Connect 接続経由で AWS へ送信されるよう強制します。Direct Connect パスのローカルプリファレンスに設定する値の方を大きく、VPN のプリファレンスに設定する値の方を小さくします。たとえば、ローカルプリファレンスの設定を Direct Connect は200、VPN は 100 にする、などです。
**重要:**Direct Connect で許可されるプレフィックスが集約されていて、VPN 経由でアドバタイズされるルートよりも具体性が低い場合、ネットワークデバイスでは VPN 経由で受信するルートを優先します。
次のサンプルシナリオを参照してください。
- トランジットゲートウェイで伝播されるルートは、VPC-A CIDR 10.0.0.0/16、VPC-B CIDR 10.1.0.0/16、VPC-C 10.2.0.0/16です。
- 20プレフィックスというクォータに合わせるため、Direct Connect ゲートウェイで許可されるプレフィクスを集約したプレフィクスは、10.0.0.0/14です。
VPN 経由の仮想プライベートクラウド (VPC) ごとに、Direct Connect では Direct Connect ゲートウェイプレフィックス10.0.0.0/14をアドバタイズし、VPN トランジットゲートウェイでは /16 CIDR をアドバタイズします。
この問題を解決するには、Direct Connect ゲートウェイルートを集約してトランジットゲートウェイルートテーブルへ挿入します。たとえば、VPC アタッチメントを指す静的ルート10.0.0.0/14を追加すると、トランジットゲートウェイではネットワークを集約して VPN 経由でアドバタイズできます。ネットワークデバイスでは Direct Connect と VPN から同じプレフィックスを受信します。続いて、受信したプレフィックスから具体性のあるものを除外するようゲートウェイを設定します。集約されたプレフィックスだけが VPN ピアからのルーティングテーブルにインストールされるようにします。ベンダーの仕様に応じて、ルートマップ、プレフィックスリスト、ルーターフィルターリストといったルートを除外するオプションは異なります。
ネットワークから AWS へのトラフィックの到達先は、トランジットゲートウェイのルートテーブルです。ゲートウェイでは、VPC アタッチメントごとに最も具体性のあるルートを探し出して選択します。
次の例を参照してください。
- VPC-A CIDR を指すアタッチメント A は10.0.0.0/16です。
- VPC-B CIDR を指すアタッチメント B は10.1.0.0/16です。
- VPC-C CIDR を指すアタッチメント C は10.2.0.0/16です。
関連情報
Transit Gateway から Direct Connect と VPN フェイルオーバーを設定するにはどうすればよいですか?
- 言語
- 日本語
