我想避免在為靜態路由設定的路由 VPN 中進行非對稱路由。
簡短描述
AWS Site-to-Site VPN 為每個 VPN 連線提供兩個端點,以連線相同的目的地網路。AWS 使用其中一個作用中通道將流量路由到相同的目的地。
VPN 通道通常託管在「可設定狀態」防火牆上。防火牆裝置預期封包使用相同的通道介面來傳送和接收流量。當封包透過一個通道進入 Amazon Virtual Private Cloud (Amazon VPC),並透過相同 Site-to-Site VPN 上的另一個通道結束時,就會發生非對稱路由。當封包透過另一個通道介面返回時,它與「可設定狀態」工作階段不相符,因此被捨棄。
解決方案
您無需使用動態路由建立新 VPN 來解決非對稱路由的問題。而是在進行變更以反映動態路由邏輯之後繼續使用靜態路由,如下所示。
先決條件
透過檢查 Amazon CloudWatch 指標,確認您擁有非對稱路由:
檢視每個通道的指標
如果只有一個 VPN 連線與主動/主動組態:
- 開啟 CloudWatch 主控台。
- 在瀏覽窗格中,選擇指標。
- 在所有指標下,選擇 VPN 指標命名空間。
- 選取 VPN 通道指標。
- 選取 CloudWatch 指標 TunnelDataIn 和 TunnelDataOut。如果存在非對稱路由,則一個通道具有指標 TunnelDataIn 的資料點。第二個通道具有指標 TunnelDataOut 的資料點。
檢視整個 VPN 連線的指標 (彙總指標)
如果您有多個 VPN 連線:
- 開啟 CloudWatch 主控台。
- 在瀏覽窗格中,選擇指標。
- 在所有指標下,選擇 VPN 指標命名空間。
- 選取 VPN 連線指標。
- 選取 CloudWatch 指標 TunnelDataIn 和 TunnelDataOut。如果存在非對稱路由,則一個連線具有指標 TunnelDataIn 的資料點。另一個連線具有指標 TunnelDataOut 的資料點。
如需有關通道指標的詳細資訊,請參閱使用 CloudWatch 監控 VPN 通道。
非對稱路由案例
檢閱下列選項,以避免在這些情況下出現非對稱路由:
設定為主動/主動的單一 VPN 連線
要避免非對稱路由:
兩個 VPN 連線 (VPN-Pry 和 VPN-Sec) 連線到同一個 VPC
在這個案例中,VPN 連線會使用相同的虛擬私人閘道連線到相同的 Amazon VPC。
**注意:**此案例僅適用於具有虛擬私人閘道的 VPN 連線。
兩個連線:
- 使用靜態路由
- 通告相同的內部部署前置詞。例如,10.170.0.0/20 和 10.167.0.0/20
- 透過虛擬私人閘道連線至相同的 VPC
- 擁有不同的客戶閘道公用 IP
實作下列項目以避免非對稱路由:
VPN-Pry (主要連線) 的靜態路由:
10.170.0.0/21
10.170.8.0/21
10.167.0.0/21
10.167.8.0/21
VPN-Sec (次要連線) 的靜態路由:
10.170.0.0/20
10.167.0.0/20
在這些設定中,AWS 會選擇 VPN-Pry 作為透過 VPN 的慣用連線。AWS 使用路由表中與流量相符的最長前置詞配對,以決定如何路由流量。
**注意:**如果您的客戶閘道在此情況下沒有非對稱路由,請將每個 VPN 設定為主動/被動。這樣做會將根據 VPN 連線將一個通道識別為作用中通道。如果作用中連線的兩個通道都關閉,則流量會容錯移轉至次要連線的作用中通道。
如需 VPN 路由優先順序的詳細資訊,請參閱路由表和 VPN 路由優先順序。