Come posso ottenere il routing ECMP con più tunnel VPN sito-sito associati a un gateway di transito?

4 minuti di lettura

Voglio ottenere un routing equal-cost multi-path (ECMP) con più tunnel VPN sito-sito AWS associati a un gateway di transito.

Soluzione

Crea un gateway di transito, quindi collega Amazon VPC e una VPN sito-sito

Crea un gateway di transito.
Importante: Quando crei il tuo gateway di transito, devi attivare il supporto VPN ECMP.
Collega i tuoi Amazon Virtual Private Cloud (Amazon VPC) al tuo gateway di transito.
Crea una VPN sito-sito e collegala al tuo gateway di transito.
Importante: AWS offre due opzioni di routing per creare connessioni VPN sito-sito, statiche e dinamiche. L'opzione dinamica utilizza il Border Gateway Protocol (BGP). Quando crei la tua VPN sito-sito, devi scegliere Dynamic (Dinamica) nella sezione Routing options (Opzioni di routing). Il routing statico non supporta ECMP.

Conferma la configurazione BGP del gateway del cliente

Assicurati di attivare il routing asimmetrico sul tuo gateway del cliente. Verifica che il gateway del cliente sia configurato per eseguire l'ECMP per il traffico in uscita verso AWS di tutti i tunnel VPN sito-sito. Per farlo, configura lo stesso valore o peso delle preferenze locali su tutti i tunnel VPN sito-sito. Se necessario, configura il tuo gateway cliente BGP in modo che accetti il percorso da AWS. Ciò significa che il gateway del cliente installa tutti i percorsi con la stessa metrica.

Nota: Se il gateway del cliente non è configurato per eseguire l'ECMP e il routing asimmetrico non è attivato, può verificarsi una perdita di pacchetti.
Verifica che il tuo gateway del cliente stia pubblicizzando il prefisso on-premise di AWS con lo stesso attributo BGP AS PATH. Affinché AWS scelga tutti i percorsi ECMP disponibili, l'AS Path (Percorso AS) e l'AS Number (Numero AS) adiacente devono corrispondere.

Ad esempio, se vuoi utilizzare ECMP con due connessioni VPN sito-sito. Il numero AS del gateway del cliente è 65270. In questo scenario, configura le tue VPN sito-sito come nell'esempio seguente:

VPN-A sito-sito
Tunnel 1 – AS PATH: 65270 (quando si pubblicizza il prefisso)
Tunnel 2 – AS PATH: 65270 (quando si pubblicizza il prefisso)
VPN-B sito-sito
Tunnel 1 – AS PATH: 65270 (quando si pubblicizza il prefisso)
Tunnel 2 – AS PATH: 65270 (quando si pubblicizza il prefisso)

Con le configurazioni precedenti, AWS invia traffico con ECMP attivato per tutti e quattro i tunnel VPN sito-sito.

Nota: È necessario attivare Dynamic VPN (VPN dinamica) e VPN ECMP support (Supporto VPN ECMP) sul gateway di transito affinché ECMP funzioni correttamente. Modifica il gateway di transito per attivare o disattivare VPN ECMP Support (Supporto VPN ECMP).

Crea una tabella di routing del gateway di transito e associa ad essa i tuoi Amazon VPC e la VPN sito-sito

Apri la console Amazon VPC.
Dal pannello di navigazione, scegli Transit Gateways (Gateway di transito).
Controlla l'impostazione Default association route table (Tabella di routing di associazione predefinita) per il tuo gateway di transito. Se è impostata su False (Falso), procedi al passaggio 4. Se è impostata su True (Vero), tutte le associazioni fanno già parte della tabella di routing predefinita, quindi puoi procedere al passaggio 6.
Scegli Transit Gateway Route Tables (Tabelle di routing del gateway di transito).
Scegli Create Transit Gateway Route Table (Crea tabella di routing del gateway di transito), quindi completa quanto segue:
In Name tag (Tag nome), inserisci Route Table A (Tabella di routing A).
In Transit Gateway ID (ID gateway di transito), scegli l'ID del gateway di transito per il tuo gateway di transito.
Scegli Create Transit Gateway Route Table (Crea tabella di routing del gateway di transito).
Scegli Route Table A (Tabella di routing A) (o la tabella di routing predefinita del tuo gateway di transito).
Scegli Associations (Associazioni), quindi seleziona Create Association (Crea associazione).
In Choose attachment to associate (Scegli allegato da associare), scegli gli ID di associazione per i tuoi Amazon VPC e le VPN sito-sito. Quindi, scegli Create association (Crea associazione).
Ripeti il passaggio 8 fino a visualizzare tutti i tuoi Amazon VPC e VPN sito-sito nella sezione Association (Associazione).

Propaga i percorsi dai tuoi Amazon VPC e dalle VPN sito-sito nella tabella di routing del gateway di transito

Scegli Route Table A Propagation (Propagazione tabella di routing A).
Scegli Propagation (Propagazione).
In Choose attachment to propagate (Scegli allegato da propagare), scegli la propagazione per le VPN sito-sito e Amazon VPC.

Argomenti

Networking e distribuzione di contenuti

Tag

AWS Virtual Private Network (VPN)

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Come posso abilitare la comunicazione tra più VPC da un'unica connessione VPN collegata al mio gateway di transito senza consentire l'accesso tra VPC diversi?
AWS UFFICIALEAggiornata 2 anni fa
Come faccio a migrare la mia VPN da un gateway privato virtuale a un gateway di transito?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere i problemi di routing asimmetrico quando creo una VPN come backup di Direct Connect in un gateway di transito?
AWS UFFICIALEAggiornata 2 anni fa
Come posso monitorare il mio gateway di transito e la VPN da sito a sito su un gateway di transito utilizzando Network Manager?
AWS UFFICIALEAggiornata 2 anni fa