Transit Gateway がプライマリ Direct Connect ゲートウェイよりもバックアップ VPN 接続を優先している原因を教えてください。
オンプレミスネットワークへのプライマリ接続と、フェイルオーバー用のバックアップ VPN 接続がある AWS Direct Connect ゲートウェイを使用していますが、トラフィックはプライマリ AWS Direct Connect 接続ではなくバックアップ VPN 接続を経由してルーティングされます。
解決策
カスタマーゲートウェイから AWS へのトラフィック
静的ルートを使用する VPN 接続では、カスタマーゲートウェイが Direct Connect 接続よりも詳細度が低いルートを使用するように設定します。
動的ルートを使用する VPN 接続では、Direct Connect ゲートウェイで許可されているプレフィックスと同等以上の範囲が必要です。Direct Connect では、最大 200 個のプレフィックスを使用できます。カスタマーゲートウェイは、最も詳細に指定されたルートのパスを優先します。集約ルートを追加し、すべてのプレフィックスをカバーするようにした場合、VPN ルートは Direct Connect トランジット仮想インターフェイスよりも詳細に指定される可能性があります。VPN と Direct Connect 経由で同じルートをアドバタイズする場合、カスタマーゲートウェイは Direct Connect 接続を優先します。
動的ルートがある場合は、次の手順を実行します。
- VPN アタッチメントの Transit Gateway ルートテーブルでルートを確認します。
- AWS Site-to-Site VPN がカスタマーゲートウェイでアドバタイズする特定のルートをフィルター処理します。
- Site-to-Site VPN アタッチメントのルートテーブルが、Direct Connect ゲートウェイと Transit Gateway の関連付けで許可されているプレフィックスと一致していることを確認します。
AWS からカスタマーゲートウェイへのトラフィック
Transit Gateway のルートテーブルに正しい優先ルートが表示されていることを確認します。AWS Transit Gateway は次の順序でルートを選択します。
- 宛先アドレス用の最も詳細指定されたルート
- CIDR ブロックが同じでアタッチメントタイプが異なるルート
ルートの CIDR ブロックが同じでアタッチメントタイプが異なる場合、Transit Gateway は次の順序でルートに優先順位を付けます。
- 静的ルート
- プレフィックスリストの参照ルート
- 伝播されたルートを持つ Direct Connect ゲートウェイ
- プライベート IP Site-to-Site VPN 接続
- Site-to-Site VPN 接続
注: Transit Gateway は優先ルートのみを表示します。Direct Connect ゲートウェイと Site-to-Site VPN 経由で同じルートをアドバタイズすると、Transit Gateway は Direct Connect ゲートウェイのルートのみを優先ルートとして表示します。Site-to-Site VPN のルートは、Direct Connect ゲートウェイがルートのアドバタイズを停止した場合にのみ表示されます。
関連情報
Amazon VPC Transit Gateway の仕組み
Transit Gateway を使用して Direct Connect と VPN フェイルオーバーを設定する方法を教えてください
- 言語
- 日本語
