如何使用靜態路由避免在路由 VPN 中非對稱？

簡短描述

AWS Site-to-Site VPN 為每個 VPN 連線提供兩個端點，以連線相同的目的地網路。AWS 使用其中一個作用中通道將流量路由到相同的目的地。

VPN 通道通常託管在「可設定狀態」防火牆上。防火牆裝置預期封包使用相同的通道介面來傳送和接收流量。當封包透過一個通道進入 Amazon Virtual Private Cloud (Amazon VPC)，並透過相同 Site-to-Site VPN 上的另一個通道結束時，就會發生非對稱路由。當封包透過另一個通道介面返回時，它與「可設定狀態」工作階段不相符，因此被捨棄。

解決方案

您無需使用動態路由建立新 VPN 來解決非對稱路由的問題。而是在進行變更以反映動態路由邏輯之後繼續使用靜態路由，如下所示。

先決條件

透過檢查 Amazon CloudWatch 指標，確認您擁有非對稱路由：

檢視每個通道的指標

如果只有一個 VPN 連線與主動/主動組態：

1. 開啟 CloudWatch 主控台。
2. 在瀏覽窗格中，選擇指標。
3. 在所有指標下，選擇 VPN 指標命名空間。
4. 選取 VPN 通道指標。
5. 選取 CloudWatch 指標 TunnelDataIn 和 TunnelDataOut。如果存在非對稱路由，則一個通道具有指標 TunnelDataIn 的資料點。第二個通道具有指標 TunnelDataOut 的資料點。

檢視整個 VPN 連線的指標 (彙總指標)

如果您有多個 VPN 連線：

1. 開啟 CloudWatch 主控台。
2. 在瀏覽窗格中，選擇指標。
3. 在所有指標下，選擇 VPN 指標命名空間。
4. 選取 VPN 連線指標。
5. 選取 CloudWatch 指標 TunnelDataIn 和 TunnelDataOut。如果存在非對稱路由，則一個連線具有指標 TunnelDataIn 的資料點。另一個連線具有指標 TunnelDataOut 的資料點。

如需有關通道指標的詳細資訊，請參閱使用 CloudWatch 監控 VPN 通道。

非對稱路由案例

檢閱下列選項，以避免在這些情況下出現非對稱路由：

設定為主動/主動的單一 VPN 連線

要避免非對稱路由：

• 如果客戶閘道支援 IPsec 彙總，請使用 IPSec 彙總功能。如需詳細資訊，請參閱 Fortinet 網站上的用於備援和通道負載平衡的 IPsec 彙總。
• 如果客戶閘道支援非對稱路由，請確定虛擬通道介面上的非對稱路由已開啟。
• 如果客戶閘道不支援非對稱路由，請確定 VPN 設定為主動/被動。此組態會將一個通道識別為 UP，第二個通道識別為 DOWN。在此設定中，從 AWS 到內部部署網路的流量只會穿過處於 UP 狀態的通道。如需詳細資訊，請參閱如何將 Site-to-Site VPN 設定為偏好通道 A 而非通道 B？

兩個 VPN 連線 (VPN-Pry 和 VPN-Sec) 連線到同一個 VPC

在這個案例中，VPN 連線會使用相同的虛擬私人閘道連線到相同的 Amazon VPC。

**注意：**此案例僅適用於具有虛擬私人閘道的 VPN 連線。

兩個連線：

• 使用靜態路由
• 通告相同的內部部署前置詞。例如，10.170.0.0/20 和 10.167.0.0/20
• 透過虛擬私人閘道連線至相同的 VPC
• 擁有不同的客戶閘道公用 IP

實作下列項目以避免非對稱路由：

VPN-Pry (主要連線) 的靜態路由：

10.170.0.0/21

10.170.8.0/21

10.167.0.0/21

10.167.8.0/21

VPN-Sec (次要連線) 的靜態路由：

10.170.0.0/20

10.167.0.0/20

在這些設定中，AWS 會選擇 VPN-Pry 作為透過 VPN 的慣用連線。AWS 使用路由表中與流量相符的最長前置詞配對，以決定如何路由流量。

**注意：**如果您的客戶閘道在此情況下沒有非對稱路由，請將每個 VPN 設定為主動/被動。這樣做會將根據 VPN 連線將一個通道識別為作用中通道。如果作用中連線的兩個通道都關閉，則流量會容錯移轉至次要連線的作用中通道。

如需 VPN 路由優先順序的詳細資訊，請參閱路由表和 VPN 路由優先順序。