如何使用 Transit Gateway 配置 Direct Connect 和 VPN 失效转移？

解决方法

1.    创建中转网关。

2.    将 Amazon Virtual Private Cloud (Amazon VPC) 连接到中转网关。

3.    创建 AWS Site-to-Site VPN，将其连接到中转网关。
**注意：**如果您使用静态 VPN，则需确保定义的静态路由使用相比 BGP 传播路由较不具体的 CIDR。根据使用相同 CIDR 的路由的路由评估顺序，Transit Gateway 会首选静态路由，而不是 BGP 传播路由。

4.    将您的 Direct Connect 网关连接到中转网关。此外，您必须将 Amazon VPC CIDR 范围添加到每个 Amazon VPC 连接的 Direct Connect 网关允许的前缀交互。添加前缀后，会通过中转虚拟接口将前缀播发到远程端。
注意：在中转虚拟接口上，每个中转网关最多可以从 AWS 向本地播发 200 个前缀。要播发超过 200 个 CIDR 前缀，请根据服务限额汇总路由，使路由数量等于或小于 200 个 CIDR 前缀。汇总路由后，将它们添加到允许的前缀交互部分。有关更多信息，请参阅 AWS Direct Connect 限额。

5.    （可选）从 AWS VPN Transit Gateway 关联路由表播发的 VPC CIDR 比中转虚拟接口播发的 CIDR 更具体。这可能会导致客户网关优先选择 VPN 而不是 AWS Direct Connect 连接，并可能导致潜在的非对称路由情况的发生。要解决此问题，请完成以下步骤：
**注意：**在“Direct Connect Gateway 允许的前缀”字段中为 Amazon VPC CIDR 创建汇总路由时，本地 AWS VPN 会播发 Amazon VPC CIDR。

1. 将与 Direct Connect 网关关联的汇总路由添加到与 Transit Gateway 路由表关联的 VPN 连接。对于路由表中的目标连接，选择具有 CIDR 的 Amazon VPC。CIDR 必须属于到 Site-to-Site VPN 连接 Transit Gateway 路由表的汇总路由。汇总路由和特定路由都必须通过 Site-to-Site VPN 播发。
2. 在 VPN 客户网关中，筛选出通过 Site-to-Site VPN 播发更具体的 CIDR 前缀的路由。客户网关在两个连接上的汇总路由必须相同。网关会首选 AWS Direct Connect 连接。

6.    创建 Transit Gateway 路由表，然后为所有连接启用路由传播：
**注意：**在 Direct Connect 中转虚拟接口和 Site-to-Site VPN 中，通过 BGP 会话播发相同的前缀集。

1. 打开 Amazon VPC 控制台。
2. 在导航窗格中，选择中转网关。
3. 验证您的中转网关的默认关联路由表设置是否设置为 False。如果设置为 True，继续执行下一步。
4. 选择中转网关路由表。
5. 选择创建中转网关路由表。
6. 为名称标签输入路由表 A。
7. 对于中转网关 ID，为中转网关选择中转网关 ID。
8. 选择创建中转网关路由表。
9. 选择路由表 A（或您的中转网关的默认路由表），然后选择关联。
10. 选择创建关联。
11. 为选择要关联的连接选择您的 Amazon VPC 的关联 ID，然后选择创建关联。重复此步骤，直到您的 Direct Connect 网关、VPN 和 Amazon VPC 全部显示在关联下。
12. 选择路由表传播。
13. 选择传播。为选择要传播的连接选择您的 Direct Connect 网关、VPN 和 Amazon VPC。

7.    配置与您的 Amazon VPC 和连接子网关联的路由表：

1. 打开 Amazon VPC 控制台。
2. 从导航窗格中选择路由表。
3. 选择连接到连接子网的路由表。
4. 选择路由选项卡，然后选择编辑路由。
5. 选择添加路由选项卡。
6. 对于目的地，选择本地网络的子网。
7. 对于目标，选择您的中转网关。
8. 选择保存路由。

注意：为进一步了解您的路由更新事件，最佳做法是打开 Transit Gateway Network Manager。有关更多信息，请参阅路由更新事件。

8.    要测试环境冗余，请使用 Direct Connect 失效转移测试关闭 Direct Connect 连接。有关更多信息，请参阅使用弹性工具包测试 AWS Direct Connect 弹性 – 失效转移测试。

相关信息

与 AWS Transit Gateway 的混合连接