J'ai une passerelle Direct Connect comme connexion principale avec une connexion VPN de secours. Pourquoi le trafic donne-t-il la priorité à la connexion de secours ?

Dernière mise à jour : 27/07/2022

J'ai une passerelle AWS Direct Connect avec ma connexion principale configurée sur site. J'ai également une connexion VPN de secours pour le basculement avec ma connexion AWS Direct Connect. Le trafic de ma connexion sur site vers AWS donne la priorité à la connexion de secours (connexion VPN) et non à la connexion principale (connexion Direct Connect). Pourquoi cela se produit-il et comment puis-je résoudre le problème ?

Brève description

Les passerelles clients préfèrent la route la plus spécifique vers Amazon Virtual Private Cloud (Amazon VPC). Si la connexion VPN a la route la plus spécifique, elle est préférée à la connexion Direct Connect.

Résolution

AWS Site-to-Site VPN prend en charge deux types de déploiement : statique et dynamique. En fonction de votre cas d'utilisation, reportez-vous à la résolution relative.

VPN statique :

Configurez votre passerelle client avec des routes moins spécifiques pour la connexion VPN que la connexion Direct Connect.

VPN dynamique :

Assurez-vous que vous annoncez les mêmes routes pour la connexion VPN et la connexion Direct Connect.

Si la passerelle client reçoit les mêmes routes sur les connexions VPN et Direct Connect, elle préfère toujours Direct Connect.

Toutefois, si votre passerelle client a une route plus spécifique sur le VPN que la connexion Direct Connect, alors le VPN est préférable. Par exemple, Direct Connect dispose d'un maximum de 20 préfixes autorisés. Si vous ajoutez des routes résumées pour traiter tous les préfixes, les CIDR annoncés sur le VPN deviennent plus spécifiques que les CIDR annoncés sur Direct Connect. Par conséquent, la passerelle client donne la priorité au VPN par rapport à la connexion Direct Connect.

Pour résoudre ce problème, procédez comme suit :

  1. Ajoutez la même route associée à Direct Connect à la table de routage du VPN Site-à-Site. Le VPN Site-à-Site annonce alors les routes spécifiques et la route que vous avez ajoutée.
  2. Dans la passerelle client, filtrez les routes spécifiques annoncées par le VPN de site à site. La passerelle client a alors les mêmes routes sur les deux connexions et préfère la connexion Direct Connect.

Trafic d'AWS vers la passerelle client

Si le trafic provient d'une connexion AWS vers votre passerelle client, la route la plus spécifique est préférée. Si les routes sont les mêmes, AWS préfère une connexion Direct Connect à une connexion VPN pour le même sous-réseau sur site.

Pour configurer votre connexion AWS afin qu'elle préfère le VPN à Direct Connect :

  • Pour un VPN statique, ajoutez une route plus spécifique dans la table de routage VPN statique.
  • Pour un VPN du protocole de passerelle frontière (BGP), annoncez une route moins spécifique sur la connexion Direct Connect. Comme la route la plus spécifique est préférée, la connexion VPN est alors préférée.

Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?