我有一个 AWS Direct Connect 网关,同时我的主连接设置为本地。我还有一个备份 VPN 连接,可作为我的 AWS Direct Connect 连接的失效转移目标。从我的本地连接到 AWS 的流量优先考虑备份连接(VPN 连接),而不是主连接(Direct Connect 连接)。为什么会出现这种情况,我该怎样解决呢?
简短描述
客户网关首选指向 Amazon Virtual Private Cloud(Amazon VPC)的最具体路由。如果 VPN 连接具有最具体路由,则优先于 Direct Connect 连接。
解决方法
AWS Site-to-Site VPN 支持两种部署类型:静态部署和动态部署。根据您的使用案例,参阅相关解决方法。
静态 VPN:
为客户网关配置 VPN 连接的具体路由少于 Direct Connect 连接。
动态 VPN:
确认您在 VPN 连接和 Direct Connect 连接上传播相同的路由。
如果客户网关在 VPN 和 Direct Connect 连接上接收的路由相同,则始终首选 Direct Connect。
但是,如果您的客户网关在 VPN 上的路由比 Direct Connect 连接更具体,则首选 VPN。例如,Direct Connect 最多允许 20 个前缀。如果添加汇总路由来覆盖所有前缀,则相较于在 Direct Connect 上传播的 CIDR,在 VPN 上传播的 CIDR 更具体。因此,客户网关将 VPN 优先于 Direct Connect 连接。
要解决此问题,请执行以下步骤:
- 将与 Direct Connect 关联的相同路由添加到 Site-to-Site VPN 路由表。因此 Site-to-Site VPN 会传播具体路由和您添加的路由。
- 在客户网关中,筛选由 Site-to-Site VPN 传播的具体路由。客户网关随后在两个连接上具有相同路由,并且会首选 Direct Connect 连接。
从 AWS 到客户网关的流量
如果流量来自连接到客户网关的 AWS,则首选更具体路由。如果路由相同,则对于同一本地子网,AWS 首选 Direct Connect 连接而不是 VPN 连接。
要将您的 AWS 连接设置为首选 VPN 而不是 Direct Connect:
- 对于静态 VPN,请在静态 VPN 路由表中添加更具体路由。
- 对于边界网关协议(BGP)VPN,请在 Direct Connect 连接上传播不太具体的路由。出于首选最具体路由的考虑,将会首选 VPN 连接。
相关信息
路由表和 VPN 路由优先级
路由优先级