Comment puis-je résoudre les problèmes de routage asymétrique lorsque je crée un VPN en tant que sauvegarde de Direct Connect dans une passerelle de transit ?

Dernière mise à jour : 02/12/2021

J’ai une connexion AWS Direct Connect. La passerelle Direct Connect est associée à une AWS Transit Gateway. J'ai créé un VPN de site à site en tant que sauvegarde de la connexion Direct Connect, mais j'ai des problèmes de routage asymétrique. Comment puis-je résoudre les problèmes de routage asymétrique et maintenir le basculement automatique avec le VPN AWS ?

Brève description

L'utilisation d'une connexion VPN en tant que sauvegarde de Direct Connect peut entraîner des problèmes de routage asymétriques. Le routage asymétrique se produit lorsque le trafic réseau entre par une connexion et sort par une autre connexion. Certains périphériques réseau, tels que les pare-feu, abandonnent les paquets si le trafic reçu n'est pas enregistré dans votre table d'état.

Résolution

Suivez ces bonnes pratiques pour configurer le trafic réseau sortant et entrant.

Bonnes pratiques pour le trafic sortant d'AWS vers votre réseau

  • Configurez le VPN avec un routage dynamique à l'aide du protocole BGP (Border Gateway Protocol).
  • Assurez-vous que vos appareils affichent les mêmes préfixes sur site vers AWS avec le VPN et Direct Connect, ou des préfixes VPN moins spécifiques. Par exemple, 10.0.0.0/16 est moins spécifique que 10.0.0.0/24.
  • AWS définit une valeur de préférence plus élevée pour Direct Connect par rapport à la connexion VPN lors de l'envoi de trafic sur site vers votre réseau si la longueur du préfixe reçu est de même valeur.
  • Pour AWS Transit Gateway, une route statique pointant vers une connexion VPN est préférable à une route de passerelle Direct Connect propagée dynamiquement si la longueur du préfixe est de même valeur.
  • Pour Direct Connect déployé avec un VPN dynamique en tant que sauvegarde, l'ajout de AS PATH n'est pas recommandée. En effet, si les préfixes sont les mêmes, les routes Direct Connect sont préférées quelle que soit la longueur du préfixe AS PATH.

Pour plus d'informations, veuillez consulter la section Tables de routage et priorité VPN.

Bonnes pratiques pour le trafic entrant de votre réseau vers AWS

  • Assurez-vous que votre périphérique réseau est configuré pour préférer envoyer le trafic de retour via la connexion Direct Connect.
  • Si les préfixes annoncés par AWS vers votre appareil réseau sont les mêmes pour Direct Connect et le VPN, l'attribut de préférence locale BGP peut être utilisé pour forcer votre appareil à envoyer du trafic sortant via la connexion Direct Connect vers AWS. Définissez le chemin Direct Connect avec une valeur de préférence locale supérieure et une préférence inférieure pour le VPN. Par exemple, la préférence locale 200 pour Direct Connect et 100 pour le VPN.

Important :

Si le préfixe autorisé Direct Connect est résumé et que les routes annoncées via VPN sont plus spécifiques, vos appareils réseau préfèrent les routes reçues via VPN.

Par exemple :

  • Les routes propagées par la passerelle de transit sont VPC-A CIDR 10.0.0.0/16, VPC-B CIDR 10.1.0.0/16 et VPC-C 10.2.0.0/16.
  • Le préfixe résumé sur les préfixes autorisés de la passerelle Direct Connect est 10.0.0.0/14 afin de respecter la limite de 20 préfixes.

Direct Connect annonce le préfixe de passerelle Direct Connect 10.0.0.0/14, et la passerelle de transit VPN annonce les CIDR /16 pour chaque VPC sur VPN.

Pour résoudre ce problème, insérez la route résumée de la passerelle Direct Connect dans la table de routage de la passerelle de transit. Par exemple, ajoutez une route statique 10.0.0.0/14 pointant vers un attachement VPC. Cela permet de s'assurer que la passerelle de transit annonce le réseau résumé via VPN. Vos appareils réseau reçoivent le même préfixe de Direct Connect et de VPN. Ensuite, configurez votre passerelle pour filtrer les préfixes spécifiques reçus afin de vous assurer que seul le préfixe résumé est installé dans la table de routage à partir du pair VPN. Différentes options sont disponibles pour filtrer les routes en fonction des spécifications du fournisseur. Par exemple, des feuilles de route, des listes de préfixe, des listes de filtres de routeur, etc.

Le trafic de votre réseau vers AWS atteint la table de routage de la passerelle de transit et la passerelle effectue une recherche pour sélectionner les itinéraires les plus spécifiques de chaque attachement VPC. Par exemple :

Attachement A pointant vers l'adresse CIDR VPC-A est 10.0.0.0/16.

Attachement B pointant vers l'adresse CIDR VPC-B est 10.1.0.0/16.

Attachement C pointant vers l'adresse CIDR VPC-C est 10.2.0.0/16.