Come posso configurare la mia connessione VPN sito-sito per preferire il tunnel A al tunnel B?

Risoluzione

VPN statiche create tra un gateway del cliente e un gateway privato virtuale o un gateway di transito

In questo scenario, il gateway privato virtuale o il gateway di transito invia il traffico da AWS alla rete on-premises su un singolo tunnel VPN. Questo tunnel viene scelto a caso da AWS e viene definito tunnel preferito.

Se la connessione VPN AWS (tipo di routing statico) ha una configurazione Attiva/Attiva (entrambi i tunnel sono ATTIVI), non puoi configurare AWS in modo che preferisca un tunnel specifico per inviare traffico. Ad esempio, il tunnel A è stato scelto a caso da AWS come tunnel VPN preferito per l'invio di traffico da AWS alla rete on-premises. Se il tunnel A si arresta, il traffico proveniente da AWS passerà automaticamente al tunnel B.
Nota: quando utilizzi la configurazione Attiva/Attiva, il gateway del cliente deve avere il routing asimmetrico attivato sulle interfacce del tunnel virtuale.

Se la connessione VPN AWS (tipo di routing statico) ha una configurazione Attiva/Passiva (il tunnel A è ATTIVO, ma il tunnel B è INATTIVO), il traffico da AWS alla rete on-premises attraverserà il tunnel A perché è nello stato ATTIVO.

VPN dinamiche create tra un gateway del cliente e un gateway privato virtuale o un gateway di transito

Per le configurazioni di gateway privati virtuali o gateway di transito con ECMP disattivato

Il traffico da AWS alla rete on-premises viene inviato tramite il tunnel preferito (scelto a caso da AWS) quando la connessione VPN AWS:

• Ha una configurazione Attiva/Attiva (entrambi i tunnel sono ATTIVI) e
• Pubblicizza gli stessi prefissi sul gateway privato virtuale o sul gateway di transito con gli stessi attributi Border Gateway Protocol (BGP).
  Nota: quando utilizzi la configurazione Attiva/Attiva, il gateway del cliente deve avere il routing asimmetrico attivato sulle interfacce del tunnel virtuale.

Se la connessione VPN AWS (tipo di routing dinamico) ha una configurazione Attiva/Passiva (il tunnel A è ATTIVO, ma il tunnel B è INATTIVO), il traffico da AWS alla rete on-premises attraverserà il tunnel A perché è nello stato ATTIVO.

Per le configurazioni di gateway di transito con ECMP attivato

Il gateway di transito bilancia il carico di traffico instradato da AWS alla rete on-premises tra i tunnel VPN:

• Se gli stessi prefissi vengono pubblicizzati dal dispositivo gateway del cliente sui tunnel e
• Gli attributi BGP per i prefissi pubblicizzati dal dispositivo gateway del cliente devono essere identici sui tunnel VPN. Questi attributi BGP includono l'anteposizione AS-Path e il primo AS in AS_SEQUENCE, MED.

Per connessioni VPN AWS dinamiche

Imposta il dispositivo gateway del cliente in modo che preferisca un tunnel VPN rispetto all'altro sfruttando i criteri dell'ordine di preferenza:

1. Pubblicizza un prefisso più specifico verso il gateway privato virtuale o il gateway di transito sul tunnel in cui il cliente preferisce ricevere traffico da AWS.
2. Per i prefissi corrispondenti in cui ogni connessione VPN utilizza BGP, l'AS PATH verrà confrontato e verrà preferito il prefisso con l'AS PATH più breve.
3. Quando gli AS PATH hanno la stessa lunghezza e il primo AS in AS_SEQUENCE è lo stesso su più percorsi, vengono confrontati i discriminatori multi-uscita (MED). Il percorso con il valore MED più basso viene preferito.

Nota: è consigliabile evitare di utilizzare l'anteposizione AS Path in modo che entrambi i tunnel abbiano un valore AS PATH uguale. A parità di valore AS PATH, il valore MED che AWS imposta sul tunnel durante gli aggiornamenti degli endpoint del tunnel VPN determinerà la priorità del tunnel.

ECMP non è supportato per le connessioni VPN sito-sito su un gateway privato virtuale.
ECMP è supportato per le connessioni VPN sito-sito su un gateway di transito.