Come posso risolvere i problemi di routing asimmetrico quando creo una VPN come backup di Direct Connect in un gateway di transito?

Ultimo aggiornamento: 02-12-2021

Ho una connessione AWS Direct Connect. Il gateway Direct Connect è associato a un AWS Transit Gateway. Ho creato una VPN da sito a sito come backup della connessione Direct Connect, ma ho problemi di routing asimmetrico. Come posso risolvere i problemi di routing asimmetrico e mantenere il failover automatico con la VPN AWS?

Breve descrizione

L'utilizzo di una connessione VPN come backup su Direct Connect può causare problemi di routing asimmetrici. Il routing asimmetrico si verifica quando il traffico di rete entra attraverso una connessione ed esce da un'altra connessione. Alcuni dispositivi di rete come i firewall rilasciano pacchetti se il traffico ricevuto non è registrato nella tabella stateful.

Risoluzione

Segui queste best practice per configurare il traffico di rete in uscita e in entrata.

Best practice per il traffico in uscita da AWS alla tua rete

  • Configura la VPN con routing dinamico utilizzando Border Gateway Protocol (BGP).
  • Assicurati che i tuoi dispositivi pubblicizzino gli stessi prefissi dall'on-premise ad AWS con VPN e Direct Connect o prefissi VPN meno specifici. Ad esempio, 10.0.0.0/16 è meno specifico rispetto a 10.0.0.0/24.
  • AWS imposta un valore di preferenza più elevato per Direct Connect rispetto alla connessione VPN quando si invia traffico on-premise alla rete se la lunghezza del prefisso ricevuto è lo stesso valore.
  • Per AWS Transit Gateway, una route statica che punta a un allegato VPN è preferibile a una route del gateway Direct Connect propagata dinamicamente se la lunghezza del prefisso è lo stesso valore.
  • Per Direct Connect distribuito con VPN dinamica come backup, la prependenza di AS PATH non è consigliata. Questo perché se i prefissi sono gli stessi, i percorsi Direct Connect sono preferiti indipendentemente dalla lunghezza del prepend AS PATH.

Per maggiori informazioni, consulta Tabelle di routing e priorità VPN.

Best practice per il traffico in entrata dalla rete ad AWS

  • Assicurati che il tuo dispositivo di rete sia configurato per preferire l'invio del traffico di ritorno tramite la connessione Direct Connect.
  • Se i prefissi pubblicizzati da AWS al tuo dispositivo di rete sono gli stessi per Direct Connect e VPN, allora l'attributo delle preferenze locali BGP può essere utilizzato per forzare il tuo dispositivo a inviare traffico in uscita attraverso la connessione Direct Connect verso AWS. Imposta il percorso Direct Connect con un valore di preferenza locale più alto e una preferenza inferiore per la VPN. Ad esempio, preferenza locale 200 per Direct Connect e 100 per VPN.

Importante:

se il prefisso consentito Direct Connect è riepilogato e i percorsi pubblicizzati tramite VPN sono più specifici, i dispositivi di rete preferiscono i percorsi ricevuti tramite VPN.

Ad esempio:

  • Le route propagate del gateway di transito sono VPC-A CIDR 10.0.0.0/16, VPC-B CIDR 10.1.0.0/16 e VPC-C 10.2.0.0/16.
  • Il prefisso riepilogato sui prefissi consentiti del gateway Direct Connect è 10.0.0.0/14 per adattarsi al limite di 20 prefissi.

Direct Connect pubblicizza il prefisso del gateway Direct Connect 10.0.0.0/14 e il gateway di transito VPN pubblicizza i /16 CIDR per ogni VPC su VPN.

Per risolvere questo problema, inserisci il percorso del gateway Direct Connect riepilogato nella tabella di routing del gateway di transito. Ad esempio, aggiungi una route statica 10.0.0.0/14 che punti a un allegato VPC. Ciò assicura che il gateway di transito pubblicizzi la rete riepilogata tramite VPN. I dispositivi di rete ricevono lo stesso prefisso da Direct Connect e VPN. Quindi, configura il tuo gateway per filtrare i prefissi specifici ricevuti per assicurarti che solo il prefisso riepilogato sia installato nella tabella di routing dal peer VPN. Sono disponibili diverse opzioni per filtrare le route in base alle specifiche del fornitore. Ad esempio, mappe di percorso, elenchi di prefissi, elenchi di filtri router e così via.

Il traffico dalla rete ad AWS raggiunge la tabella di routing del gateway di transito e il gateway esegue una ricerca per selezionare i percorsi più specifici da ogni allegato VPC. Ad esempio:

L'allegato A che punta al CIDR di VPC-A è 10.0.0.0/16.

L'allegato B che punta al CIDR di VPC-B è 10.1.0.0/16.

L'allegato C che punta al CIDR di VPC-C è 10.2.0.0/16.