Como configuro minha conexão do Site-to-Site VPN para preferir o túnel A em vez do túnel B?
Minha conexão do AWS Site-to-Site VPN consiste em dois túneis de rede privada virtual (VPN). Esses túneis existem entre um dispositivo de gateway do cliente e um gateway privado virtual ou um gateway de trânsito. Como posso ter certeza de que o túnel A é preferível ao túnel B ao enviar tráfego da AWS para uma rede on-premises?
Resolução
VPNs estáticas criadas entre um gateway do cliente e um gateway privado virtual ou um gateway de trânsito
Nesse cenário, o gateway privado virtual ou gateway de trânsito envia tráfego da AWS para a rede on-premises em um único túnel VPN. Esse túnel é escolhido aleatoriamente pela AWS e é chamado de túnel preferido.
Se a conexão VPN da AWS (tipo de roteamento estático) tiver uma configuração Ativo/Ativo (os dois túneis estão UP), você não poderá configurar a AWS para preferir um túnel específico para enviar tráfego. Por exemplo, o túnel A foi escolhido aleatoriamente pela AWS como o túnel VPN preferido para enviar tráfego da AWS para a rede on-premises. Se o túnel A cair, o tráfego da AWS será automaticamente transferido para o túnel B.
Observação: com uma configuração Ativo/Ativo, o gateway do cliente deve ter o roteamento assimétrico ativado nas interfaces do túnel virtual.
Se a conexão VPN da AWS (tipo de roteamento estático) tiver uma configuração Ativo/Passivo (o túnel A está UP, mas o túnel B está DOWN), o tráfego da AWS para a rede on-premises atravessa o túnel A porque está no estado UP.
VPNs dinâmicas criadas entre um gateway do cliente e um gateway privado virtual ou um gateway de trânsito
Para configurações de gateway privado virtual ou gateway de trânsito com o ECMP desativado
O tráfego da AWS para a rede on-premises é enviado pelo túnel preferido (escolhido aleatoriamente pela AWS) quando a conexão VPN da AWS:
- Tem uma configuração Ativo/Ativo (ambos os túneis estão UP) e
- Está anunciando os mesmos prefixos para o gateway privado virtual ou gateway de trânsito com os mesmos atributos do Protocolo de Gateway da Borda (BGP).
Observação: com uma configuração Ativo/Ativo, o gateway do cliente deve ter o roteamento assimétrico ativado nas interfaces do túnel virtual.
Se a conexão VPN da AWS (tipo de roteamento dinâmico) tiver uma configuração Ativo/Passivo (o túnel A está UP, mas o túnel B está DOWN), o tráfego da AWS para a rede on-premises atravessa o túnel A porque está no estado UP.
Para configurações de gateway de trânsito com o ECMP ativado
O gateway de trânsito equilibra a carga do tráfego da AWS para a rede on-premises entre os túneis da VPN:
- Se os mesmos prefixos forem anunciados pelo dispositivo de gateway do cliente pelos túneis, e
- Os atributos do BGP para os prefixos anunciados pelo dispositivo de gateway do cliente devem ser idênticos nos túneis VPN. Esses atributos do BGP incluem o prefixo AS-Path e o primeiro AS em AS_SEQUENCE, MED.
Para conexões de VPN AWS dinâmicas
Configure o dispositivo de gateway do cliente para preferir um túnel VPN em vez de outro, aproveitando os critérios de ordem de preferência:
- Anuncie um prefixo mais específico para o gateway privado virtual ou gateway de trânsito no túnel em que o cliente prefere receber tráfego da AWS.
- Para prefixos correspondentes em que cada conexão VPN usa BGP, o AS PATH é comparado, e o prefixo com o AS PATH mais curto é o preferido.
- Quando os AS PATHs têm o mesmo comprimento e o primeiro AS em AS_SEQUENCE é o mesmo em vários caminhos, os discriminadores de múltiplas saídas (MEDs) são comparados. O caminho com o menor valor de MED é o preferido.
Observação: é uma prática recomendada evitar o uso do prefixo AS Path para que ambos os túneis tenham um valor de AS PATH igual. Com um valor AS PATH igual, o valor MED que a AWS define no túnel durante as atualizações do endpoint do túnel VPN determina a prioridade do túnel.
O ECMP não é compatível com conexões Site-to-Site VPN em um gateway virtual privado.
O ECMP é compatível com conexões Site-to-Site VPN em um gateway de trânsito.
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano