¿Cómo puedo resolver los problemas de enrutamiento asimétrico cuando creo una VPN como copia de seguridad de Direct Connect en una gateway de tránsito?

Última actualización: 02/12/2021

Tengo una conexión de AWS Direct Connect. La gateway de Direct Connect está asociada a AWS Transit Gateway. Creé una VPN de sitio a sitio como copia de seguridad de la conexión de Direct Connect, pero tengo problemas de enrutamiento asimétrico. ¿Cómo puedo resolver los problemas de enrutamiento asimétrico y mantener la conmutación por error automática con la VPN de AWS?

Descripción corta

El uso de una conexión de VPN como copia de seguridad de Direct Connect puede provocar problemas de enrutamiento asimétrico. El enrutamiento asimétrico se produce cuando el tráfico de red ingresa a través de una conexión y sale por medio de otra conexión. Algunos dispositivos de red, como los firewalls, descartan paquetes si el tráfico recibido no se registra en la tabla con estado.

Resolución

Siga estas prácticas recomendadas para configurar el tráfico de red saliente y entrante.

Prácticas recomendadas para el tráfico saliente de AWS a su red

  • Configure la VPN con enrutamiento dinámico mediante el Protocolo de puerta de enlace fronteriza (BGP).
  • Asegúrese de que los dispositivos anuncien los mismos prefijos locales que en AWS con VPN y Direct Connect, o prefijos de VPN menos específicos. Por ejemplo, 10.0.0.0/16 es menos específico en comparación con 10.0.0.0/24.
  • AWS establece un valor de preferencia más alto para Direct Connect en lugar de la conexión de VPN al enviar tráfico local a la red si la longitud del prefijo recibida es el mismo valor.
  • Para AWS Transit Gateway, se prefiere más una ruta estática que apunte a una conexión de VPN que una ruta de gateway de Direct Connect propagada dinámicamente si la longitud del prefijo es el mismo valor.
  • Para Direct Connect implementado con una VPN dinámica como copia de seguridad, no se recomienda anteponer AS PATH. Esto se debe a que si los prefijos son los mismos, se prefieren las rutas de Direct Connect independientemente de la longitud de AS PATH.

Para obtener más información, consulte Tablas de enrutamiento y prioridad de VPN.

Prácticas recomendadas para el tráfico entrante desde la red a AWS

  • Asegúrese de que el dispositivo de red esté configurado para preferir enviar tráfico de retorno a través de la conexión de Direct Connect.
  • Si los prefijos anunciados por AWS en el dispositivo de red son los mismos para Direct Connect y VPN, el atributo de preferencia local del BGP se puede utilizar para forzar al dispositivo a enviar tráfico saliente a través de la conexión de Direct Connect hacia AWS. Establezca la ruta de Direct Connect con un valor de preferencia local más alto y una preferencia más baja por VPN. Por ejemplo, preferencia local 200 para Direct Connect y 100 para VPN.

Importante:

Si se resume el prefijo permitido de Direct Connect y las rutas anunciadas a través de VPN son más específicas, los dispositivos de red prefieren las rutas recibidas a través de VPN.

Por ejemplo:

  • Las rutas propagadas de la gateway de tránsito son CIDR de VPC-A 10.0.0.0/16, CIDR de VPC-B 10.1.0.0/16 y VPC-C 10.2.0.0/16.
  • El prefijo resumido en los prefijos permitidos de la gateway de Direct Connect es 10.0.0.0/14 para adaptarse al límite de 20 prefijos.

Direct Connect anuncia el prefijo de gateway de Direct Connect 10.0.0.0/14 y la gateway de tránsito de VPN anuncia los CIDR /16 para cada VPC a través de VPN.

Para resolver este problema, inserte la ruta resumida de la gateway de Direct Connect en la tabla de enrutamiento de la gateway. Por ejemplo, agregue una ruta estática 10.0.0.0/14 que apunte a un adjunto de VPC. Esto asegura que la gateway de tránsito anuncie la red resumida a través de VPN. Los dispositivos de red reciben el mismo prefijo de Direct Connect y VPN. A continuación, configure la gateway para filtrar los prefijos específicos recibidos a fin de asegurarse de que solo el prefijo resumido se instale en la tabla de enrutamiento desde el par de VPN. Hay diferentes opciones disponibles para filtrar las rutas según las especificaciones del proveedor. Por ejemplo, mapas de rutas, listas de prefijos, listas de filtros de enrutadores, etc.

El tráfico de la red a AWS llega a la tabla de enrutamiento de la gateway de tránsito y la gateway realiza una búsqueda para seleccionar las rutas más específicas de cada adjunto de VPC. Por ejemplo:

El adjunto A que apunta al CIDR de VPC-A es 10.0.0.0/16.

El adjunto B que apunta al CIDR de VPC-B es 10.1.0.0/16.

El adjunto C que apunta al CIDR de VPC-C es 10.2.0.0/16.