Ho un gateway Direct Connect di connessione principale con una connessione VPN di backup. Perché il traffico dà la priorità alla connessione di backup?

Ultimo aggiornamento: 27/07/2022

Ho un gateway AWS Direct Connect con la connessione principale impostata su on-premise. Ho anche una connessione VPN di backup per il failover con la connessione AWS Direct Connect. Il traffico dalla connessione on-premise ad AWS dà priorità alla connessione di backup (connessione VPN) e non alla connessione principale (connessione Direct Connect). Perché si verifica questo problema e come posso evitarlo?

Breve descrizione

I gateway dei clienti preferiscono il percorso più specifico per il Cloud privato virtuale Amazon (Amazon VPC). Se la connessione VPN ha il percorso più specifico, viene preferita alla connessione Direct Connect.

Risoluzione

La VPN sito-sito AWS supporta due tipi di implementazione: statica e dinamica. In base al tuo caso d'uso, consulta la relativa risoluzione.

VPN statica:

configura il tuo gateway del cliente con percorsi per la connessione VPN meno specifici rispetto a quelli per la connessione Direct Connect.

VPN dinamica:

verifica se stai pubblicizzando gli stessi percorsi sulla connessione VPN e sulla connessione Direct Connect.

Se il gateway del cliente riceve gli stessi percorsi sulle connessioni VPN e Direct Connect, preferisce sempre Direct Connect.

Tuttavia, se sulla VPN il gateway del cliente ha un percorso più specifico rispetto alla connessione Direct Connect, allora dà priorità alla VPN. Ad esempio, Direct Connect ha un massimo di 20 prefissi consentiti. Se aggiungi dei percorsi riepilogati per coprire tutti i prefissi, i CIDR pubblicizzati tramite VPN diventano più specifici dei CIDR pubblicizzati su Direct Connect. Di conseguenza, il gateway del cliente dà priorità alla VPN anziché alla connessione Direct Connect.

Per risolvere questo problema, attieniti alla seguente procedura:

  1. Aggiungi lo stesso percorso associato a Direct Connect alla tabella di instradamento della VPN sito-sito. In questo modo, la VPN sito-sito pubblicizza i percorsi specifici e il percorso che hai aggiunto.
  2. Nel gateway del cliente, filtra i percorsi specifici pubblicizzati dalla VPN sito-sito. In questo modo, il gateway del cliente ha gli stessi percorsi su entrambe le connessioni e preferisce la connessione Direct Connect.

Traffico da AWS al gateway del cliente

Se il traffico proviene da una connessione AWS al gateway del cliente, la priorità è assegnata al percorso più specifico. Se i percorsi sono gli stessi, AWS preferisce una connessione Direct Connect rispetto a una connessione VPN per la stessa sottorete on-premise.

Per impostare la tua connessione AWS in modo che preferisca la VPN rispetto a Direct Connect:

  • Per una VPN statica, aggiungi un percorso più specifico nella tabella di instradamento della VPN statica.
  • Per una VPN Border Gateway Protocol (BGP), pubblicizza un percorso meno specifico rispetto alla connessione Direct Connect. Poiché la priorità è assegnata al percorso più specifico, viene preferita la connessione VPN.

Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?