如何使用与中转网关关联的多个 Site-to-Site VPN 隧道实现 ECMP 路由？

解决方法

创建中转网关，然后连接 Amazon VPC 和 Site-to-Site VPN

1. 创建中转网关。
   重要事项： 创建中转网关时，必须启用 VPN ECMP 支持。
2. 将 Amazon Virtual Private Cloud (Amazon VPC) 连接到中转网关。
3. 创建 Site-to-Site VPN，然后将其连接到中转网关。
   重要事项： 亚马逊云科技提供静态和动态两种路由选项来创建 Site-to-Site VPN 连接。动态选项使用边界网关协议 (BGP, Border Gateway Protocol)。创建 Site-to-Site VPN 时，必须为路由选项选择动态。静态路由不支持 ECMP。

确认您的客户网关 BGP 配置

1. 务必在您的客户网关上启用非对称路由。检查客户网关是否已配置为对所有 Site-to-Site VPN 隧道传出到亚马逊云科技的流量执行 ECMP。为此，请在所有 Site-to-Site VPN 隧道上配置相等的本地首选项值或权重。如有必要，请将您的客户网关 BGP 配置为接受来自亚马逊云科技的路由。这意味着客户网关安装了所有具有相同指标的路由。

   **注意：**如果未将客户网关配置为执行 ECMP，并且未启用非对称路由，则可能会发生数据包丢失。

2. 确认您的客户网关正在使用相同的 BGP AS PATH 属性向亚马逊云科技播发本地前缀。为方便亚马逊云科技选择所有可用的 ECMP 路径，AS 路径和邻居 AS 编号必须匹配。

   例如，您想将 ECMP 与两个 Site-to-Site VPN 连接结合使用。您的客户网关的 AS 编号是 65270。在这种情况下，请按照以下示例配置您的 Site-to-Site VPN：

   Site-to-Site VPN-A
   隧道 1 – AS 路径： 65270（在播发前缀时）
   隧道 2 – AS 路径： 65270（在播发前缀时）
   Site-to-Site VPN-B
   隧道 1 – AS 路径： 65270（在播发前缀时）
   隧道 2 – AS 路径： 65270（在播发前缀时）

   使用上述配置，亚马逊云科技在所有四个 Site-to-Site VPN 隧道均启用 ECMP 的情况下发送流量。

   注意： 您必须在中转网关上启用动态 VPN 和 VPN ECMP 支持，ECMP 才能正常运行。修改中转网关以启用或关闭 VPN ECMP 支持。

创建中转网关路由表，并将您的 Amazon VPC 和 Site-to-Site VPN 与其关联

1. 打开 Amazon VPC 控制台。
2. 在导航窗格中，选择中转网关。
3. 查看中转网关的默认关联路由表设置。如果设置为 False，则继续执行步骤 4。如果设置为 True，则所有关联都已在默认路由表中体现，您可以继续执行步骤 6。
4. 选择中转网关路由表。
5. 选择创建中转网关路由表，然后完成以下操作：
   对于名称标签，输入路由表 A。
   对于中转网关 ID，为中转网关选择中转网关 ID。
   选择创建中转网关路由表。
6. 选择路由表 A（或中转网关的默认路由表）。
7. 选择关联，然后选择创建关联。
8. 对于选择要关联的挂载，选择 Amazon VPC 和 Site-to-Site VPN 的关联 ID。然后，选择创建关联。
9. 重复步骤 8，直到所有 Amazon VPC 和 Site-to-Site VPN 显示在关联下。

从中转网关路由表上的 Amazon VPC 和 Site-to-Site VPN 传播路由

1. 选择路由表 A 传播。
2. 选择传播。
3. 对于选择要传播的挂载，选择 Site-to-Site VPN 和 Amazon VPC 传播。