Comment configurer ma connexion VPN de site à site pour préférer le tunnel A au tunnel B ?

Dernière mise à jour : 02/02/2021

Ma connexion VPN de site à site AWS se compose de deux tunnels VPN. Ces tunnels existent entre un appareil de passerelle client et une passerelle privée virtuelle ou une passerelle de transit. Comment être sûr que le tunnel A est préféré au tunnel B lors de l'envoi du trafic d'AWS vers un réseau sur site ?

Résolution

Les VPN statiques créés entre une passerelle client et une passerelle privée virtuelle ou une passerelle de transit

Dans ce scénario, la passerelle privée virtuelle ou la passerelle de transit envoie le trafic d'AWS vers le réseau sur site sur un seul tunnel VPN. Ce tunnel est choisi au hasard par AWS et est appelé tunnel préféré.

Si la connexion AWS VPN ​​(type de routage statique) a une configuration Active/Active (les deux tunnels sont UP), vous ne pouvez pas configurer AWS pour préférer un tunnel spécifique pour envoyer le trafic. Par exemple, le tunnel A a été choisi au hasard par AWS comme tunnel VPN préféré pour l'envoi du trafic d'AWS vers le réseau sur site. Si le tunnel A tombe en panne, le trafic d'AWS bascule automatiquement vers le tunnel B.
Remarque : avec une configuration Active/Active, la passerelle client doit avoir le routage asymétrique activé sur les interfaces de tunnel virtuel.

Si la connexion AWS VPN ​​(type de routage statique) a une configuration Active/Passive (le tunnel A est UP, mais le tunnel B est ARRÊTÉ), le trafic d'AWS vers le réseau sur site traverse le tunnel A car il est à l'état UP.

Les VPN dynamiques créés entre une passerelle client et une passerelle privée virtuelle ou une passerelle de transit

Pour les configurations de passerelle privée virtuelle ou de passerelle de transit avec ECMP désactivé

Le trafic d'AWS vers le réseau sur site est envoyé via le tunnel préféré (choisi au hasard par AWS) lorsque la connexion AWS VPN :

  • A une configuration Active/Active (les deux tunnels sont UP), et
  • Annonce les mêmes préfixes à la passerelle privée virtuelle ou à la passerelle de transit avec les mêmes attributs BGP (Border Gateway Protocol).
    Remarque : avec une configuration Active/Active, la passerelle client doit avoir le routage asymétrique activé sur les interfaces de tunnel virtuel.

Si la connexion AWS VPN ​​(type de routage dynamique) a une configuration Active/Passive (le tunnel A est UP, mais le tunnel B est ARRÊTÉ), le trafic d'AWS vers le réseau sur site traverse le tunnel A car il est à l'état UP.

Pour les configurations de passerelle de transit avec ECMP activé

La passerelle de transit équilibre la charge du trafic entre AWS et le réseau sur site entre les tunnels VPN :

  • Si les mêmes préfixes sont annoncés à partir du appareil de passerelle client sur les tunnels, et
  • Les attributs BGP pour les préfixes annoncés à partir du appareil de passerelle client doivent être identiques sur les tunnels VPN. Ces attributs BGP comprennent l'ajout du préfixe AS-Path et le premier AS dans l'AS_SEQUENCE, MED.

Pour les connexions AWS VPN dynamiques

Configurez le appareil de passerelle client pour qu'il préfère un tunnel VPN à l'autre en utilisant l'ordre des critères de préférence :

  1. Annoncez un préfixe plus spécifique à la passerelle privée virtuelle ou à la passerelle de transit sur le tunnel que le client préfère recevoir du trafic d'AWS.
  2. Pour les préfixes correspondants où chaque connexion VPN utilise BGP, AS PATH est comparé et le préfixe avec le plus court AS PATH est préféré.
  3. Lorsque les chemins d’accès AS PATH sont de la même longueur et que le premier AS de l'AS_SEQUENCE est le même sur plusieurs chemins, des discriminateurs à sorties multiples (MED) sont comparés. Le chemin avec la valeur MED la plus basse est préféré.

Remarque : il est recommandé d'éviter d'utiliser le préfixe AS Path afin que les deux tunnels aient une valeur AS PATH égale. Avec une valeur AS PATH égale, la valeur MED définie par AWS sur le tunnel lors des mises à jour des points de terminaison du tunnel VPN détermine la priorité du tunnel.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?