Como posso resolver problemas de roteamento assimétrico ao criar uma VPN como backup para o Direct Connect em um gateway de trânsito?
Tenho uma conexão com o AWS Direct Connect. O gateway Direct Connect está associado a um AWS Transit Gateway. Eu criei uma VPN site a site como backup da conexão Direct Connect, mas tenho problemas de roteamento assimétrico.
Breve descrição
Quando você usa uma conexão de rede virtual privada (VPN) como backup do Direct Connect, problemas de roteamento assimétrico podem ocorrer. O roteamento assimétrico ocorre quando o tráfego de rede entra por uma conexão e sai por outra conexão. Se o tráfego recebido não estiver logado em sua tabela de status, os dispositivos de rede, como firewalls, poderão descartar pacotes.
Resolução
Tráfego de saída da AWS para sua rede
Use as práticas recomendadas a seguir para o tráfego de saída da AWS para sua rede:
- Use o Protocolo de Gateway da Borda (BGP) para configurar a VPN com roteamento dinâmico.
- Certifique-se de que seus dispositivos anunciem os mesmos prefixos ou menos específicos on-premises para a AWS com a VPN e o Direct Connect. Por exemplo, 10.0.0.0/16 é menos específico do que 10.0.0.0/24.
- Para um comprimento de prefixo com o mesmo valor, a AWS envia tráfego on-premises para sua rede com um valor de preferência maior para o Direct Connect em conexões VPN. Para o AWS Transit Gateway, use uma rota estática que aponte para um anexo de VPN em vez de uma rota de gateway Direct Connect propagada dinamicamente.
- Para o Direct Connect que você implanta com VPN dinâmica como backup, não é uma prática recomendada usar o AS PATH prependente. Se os prefixos forem iguais, use as rotas do Direct Connect independentemente do comprimento do prefixo AS PATH.
Para mais informações, consulte Roteamento.
Tráfego de entrada da sua rede para a AWS
Use as práticas recomendadas a seguir para o tráfego de entrada da sua rede para a AWS:
- Configure sua preferência de dispositivo de rede para enviar tráfego de retorno por meio da conexão Direct Connect.
- Se os prefixos anunciados pela AWS para seu dispositivo de rede forem os mesmos para Direct Connect e VPN, use o atributo de preferência local BGP. O atributo de preferência local do BGP força seu dispositivo a enviar tráfego de saída por meio da conexão Direct Connect para a AWS. Defina o caminho do Direct Connect com um valor de preferência local maior e defina uma preferência menor para VPN. Por exemplo, defina a preferência local como 200 para Direct Connect e 100 para VPN.
**Importante:**Para prefixos permitidos pelo Direct Connect que são resumidos e menos específicos do que as rotas anunciadas por meio da VPN, os dispositivos de rede preferem as rotas recebidas pela VPN.
Veja um exemplo de cenário a seguir:
- As rotas propagadas do gateway de trânsito são VPC-A CIDR 10.0.0.0/16, VPC-B CIDR 10.1.0.0/16, e VPC-C 10.2.0.0/16.
- Para acomodar a cota de 20 prefixos, o prefixo resumido nos prefixos permitidos do gateway Direct Connect é 10.0.0.0/14.
Para cada nuvem privada virtual (VPC) via VPN, o Direct Connect anuncia o prefixo 10.0.0.0/14 do gateway Direct Connect e o gateway de trânsito VPN anuncia os CIDRs /16.
Para resolver esse problema, insira a rota resumida do gateway Direct Connect na tabela de rotas do gateway de trânsito. Por exemplo, adicione uma rota estática 10.0.0.0/14 que aponte para um anexo VPC para que o gateway de trânsito anuncie a rede resumida pela VPN. Seus dispositivos de rede recebem o mesmo prefixo do Direct Connect e da VPN. Em seguida, configure seu gateway para filtrar os prefixos específicos recebidos. Certifique-se de que somente o prefixo resumido esteja instalado na tabela de roteamento do par VPN. Dependendo das especificações do fornecedor, existem diferentes opções para filtrar rotas, como mapas de rotas, listas de prefixos e listas de filtros de roteadores.
O tráfego da sua rede para a AWS chega à tabela de rotas do gateway de trânsito. O gateway faz uma pesquisa para selecionar as rotas mais específicas de cada anexo da VPC.
Veja o exemplo a seguir:
- O anexo A que aponta para o VPC-A CIDR é 10.0.0.0/16.
- O anexo B que aponta para o VPC-B CIDR é 10.1.0.0/16.
- O anexo C que aponta para o VPC-C CIDR is 10.2.0.0/16.
Informações relacionadas
Como configurar o Direct Connect e failover de VPN com o Transit Gateway?
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há um ano