如何解决 Direct Connect 和 VPN 失效转移问题?

2 分钟阅读
0

我想解决我的 AWS Direct Connect 和 VPN 失效转移问题。

解决方法

根据您使用的 VPN 解决您的 AWS Direct Connect 和 VPN 失效转移问题:

  • 基于虚拟网关的 VPN
  • 基于 AWS Transit Gateway 的 VPN

基于虚拟网关的 VPN

从 AWS 到本地的流量更喜欢 Direct Connect,而不是动态或静态 VPN 连接。您的流量可能由于以下原因而无法切换:

基于 BGP 的 VPN

  • 客户网关未在 VPN 隧道上播发 BGP 会话中的本地前缀。
  • 客户网关正在筛选通过 VPN BGP 会话播发的前缀。
  • 防火墙策略不允许 AWS 和本地之间的入站或出站流量。
  • 对于两条隧道均正常运行(主动/主动)的 VPN 连接,检查客户网关是否支持非对称路由。如果您播发相同的前缀,AWS 会随机选择出口隧道。有关详细信息,请参阅如何将我的 Site-to-Site VPN 连接配置为优先使用隧道 A 而不是隧道 B?
  • AWS 网络的静态路由指向 Direct Connect 对等网关,而不是依赖 BGP 路由。

静态 VPN

  • VPN 连接在 VPN 连接路由下没有为本地网络添加静态路由。
  • 客户网关没有指向隧道接口的 AWS CIDR 的静态路由。如果 AWS 网络有静态路由,确保它指向正确的隧道接口。如果您使用的是基于策略的 VPN,确保该策略与 AWS 和本地网络相匹配。
  • 防火墙策略不允许 AWS 和本地之间的入站或出站流量。
  • 对于两条隧道均正常运行(主动/主动)的 VPN 连接,检查客户网关是否支持非对称路由。如果您播发相同的前缀,AWS 会随机选择出口隧道。有关详细信息,请参阅如何将我的 Site-to-Site VPN 连接配置为优先使用隧道 A 而不是隧道 B?

虚拟私有网关

对于作为 Direct Connect 备份并终止于虚拟私有网关的 VPN,请确保以下几点:

  • 对于基于动态的 VPN,在 VPN 和 Direct Connect 上播发相同的前缀。AWS 首选 Direct Connect。对于本地设备,确保首选 Direct Connect 作为通往 AWS 的出口路径。
  • 对于静态 VPN,使用与客户网关通过 Direct Connect 播发的路由相同的本地网络静态路由。虚拟私有网关首选 Direct Connect 作为本地的出口路径。确保您有一条不太具体的 Amazon Virtual Private Cloud(Amazon VPC)CIDR 路由。客户网关上的静态路由的指标低于 BGP 路由。

**注意:**对于基于虚拟私有网关的 VPN,请发送 MED100200。如果未对收到的路由应用导入筛选器,则客户网关首选 Direct Connect,因为其 MED 值为 0

基于中转网关的 VPN

与中转网关关联的 Direct Connect 使用 Direct Connect 网关,最多允许 200 个前缀。对于动态 VPN,中转网关根据与 VPN 连接关联的中转网关路由表播发路由。此外,客户网关通过 VPN 连接接收特定的前缀,并首选从 VPN 隧道路由 AWS 前缀。

由于以下原因,您的流量可能无法切换:

基于 BGP 的 VPN

  • 客户网关未在 VPN 隧道上播发 BGP 会话中的本地前缀。
  • 客户网关正在筛选通过 VPN BGP 会话播发的前缀。
  • 与流量源关联的中转网关路由表。
  • 防火墙策略不允许 AWS 和本地之间的入站或出站流量。
  • 对于两条隧道均正常运行(主动/主动)的 VPN 连接,检查客户网关是否支持非对称路由。如果您播发相同的前缀,AWS 会随机选择出口隧道。有关详细信息,请参阅如何将我的 Site-to-Site VPN 连接配置为优先使用隧道 A 而不是隧道 B?
  • AWS 网络的静态路由指向 Direct Connect 对等项,而不是依赖 BGP 路由。

静态 VPN

  • VPN 连接没有在中转网关路由表下添加指向 VPN 连接的本地网络静态路由。
  • 客户网关没有指向隧道接口的 AWS CIDR 的静态路由。如果 AWS 网络有静态路由,则确保它指向正确的隧道接口。如果您使用基于策略的 VPN,则确保该策略与 AWS 和本地网络相匹配。
  • 防火墙策略不允许 AWS 和本地之间的入站或出站流量。
  • 对于加速 VPN,确保已启用 NAT-T。有关详细信息,请参阅如何解决加速 VPN 的问题?
  • 对于两条隧道均正常运行(主动/主动)的 VPN 连接,检查客户网关是否支持非对称路由。如果您播发相同的前缀,AWS 会随机选择出口隧道。有关详细信息,请参阅如何将我的 Site-to-Site VPN 连接配置为优先使用隧道 A 而不是隧道 B?

中转网关

对于作为 Direct Connect 备份并终止于中转网关的 VPN,请确保以下几点:

  • 对于基于动态的 VPN,在 VPN 和 Direct Connect 上播发相同的前缀。AWS 首选 Direct Connect。对于本地设备,筛选通过 VPN 连接学习的特定路由。确保流出客户网关的流量首选 Direct Connect,而不是 VPN 连接。
  • 对于 AWS 端的静态 VPN,在中转网关上为指向 VPN 连接的本地网络添加不太具体的静态路由。静态路由优先于来自 Direct Connect 的传播路由(流向客户网关的出口流量首选 VPN)。在本地端,确保您有一条不太具体的 Amazon VPC CIDR 路由。静态路由的指标低于 BGP 路由。

**注意:**对于基于中转网关的 VPN 连接,在两个 VPN 隧道上发送 MED100。如果未对收到的路由应用导入筛选器,则客户网关首选 Direct Connect,因为其 MED 值为 0

相关信息

如何解决在中转网关中创建 VPN 作为 Direct Connect 的备份时出现的非对称路由问题?

如何使用 Transit Gateway 配置 Direct Connect 和 VPN 故障转移?

我有一个带有备份 VPN 连接的主连接 Direct Connect 网关。为什么流量优先考虑备用连接?

AWS 官方
AWS 官方已更新 1 年前