Como posso resolver problemas de roteamento assimétrico ao criar uma VPN como backup para o Direct Connect em um gateway de trânsito?

Data da última atualização: 02/12/2021

Eu tenho uma conexão com o AWS Direct Connect. O gateway do Direct Connect está associado a um AWS Transit Gateway. Eu criei uma VPN Site to Site como um backup para a conexão Direct Connect, mas tenho problemas de roteamento assimétrico. Como posso resolver os problemas de roteamento assimétrico e manter o failover automático com a VPN da AWS?

Breve descrição

Usar uma conexão VPN como backup do Direct Connect pode resultar em problemas de roteamento assimétrico. O roteamento assimétrico ocorre quando o tráfego de rede entra por uma conexão e sai por outra. Alguns dispositivos de rede, como firewalls, descartam pacotes se o tráfego recebido não estiver registrado em sua tabela com estado.

Resolução

Siga estas práticas recomendadas para configurar o tráfego de rede de entrada e de saída.

Práticas recomendadas para tráfego de saída da AWS para sua rede

  • Configure a VPN com roteamento dinâmico usando o Protocolo BGP.
  • Certifique-se de que seus dispositivos anunciem os mesmos prefixos de on-premises para a AWS com a VPN e o Direct Connect, ou prefixos de VPN menos específicos. Por exemplo, 10.0.0.0/16 é menos específico em comparação com 10.0.0.0/24.
  • A AWS define um valor de preferência mais alto para o Direct Connect em relação à conexão VPN ao enviar tráfego local para sua rede se o comprimento do prefixo recebido for o mesmo valor.
  • Para o AWS Transit Gateway, uma rota estática que aponta para um anexo da VPN é mais razoável que uma rota de gateway do Direct Connect propagada dinamicamente se o comprimento do prefixo for do mesmo valor.
  • Para o Direct Connect implantado com VPN dinâmica como backup, o AS PATH precedente não é recomendado. Isso ocorre porque, se os prefixos forem os mesmos, as rotas do Direct Connect serão preferidas independentemente do tamanho do prefixo AS PATH.

Para obter mais informações, consulte Tabelas de rotas e prioridade de VPN.

Práticas recomendadas para tráfego de entrada da sua rede para a AWS

  • Verifique se o dispositivo de rede está configurado para preferir enviar tráfego de retorno por meio da conexão do Direct Connect.
  • Se os prefixos anunciados da AWS para o dispositivo de rede forem os mesmos para o Direct Connect e a VPN, o atributo de preferência local do BGP poderá ser usado para forçar o dispositivo a enviar tráfego de saída por meio da conexão do Direct Connect para a AWS. Defina o caminho do Direct Connect com um valor de preferência local mais alto e uma preferência menor para VPN. Por exemplo, preferência local 200 para Direct Connect e 100 para VPN.

Importante:

Se o prefixo permitido do Direct Connect estiver resumido e as rotas anunciadas por meio da VPN forem mais específicas, seus dispositivos de rede preferem as rotas recebidas pela VPN.

Por exemplo:

  • As rotas propagadas do gateway de trânsito são VPC-A CIDR 10.0.0.0/16, VPC-B CIDR 10.1.0.0/16 e VPC-C 10.2.0.0/16.
  • O prefixo resumido nos prefixos permitidos do gateway do Direct Connect é 10.0.0.0/14 para acomodar o limite de 20 prefixos.

O Direct Connect anuncia o prefixo do gateway do Direct Connect 10.0.0.0/14, e o gateway de trânsito da VPN anuncia os CIDRs /16 para cada VPC sobre VPN.

Para resolver esse problema, insira a rota resumida do gateway do Direct Connect na tabela de rotas do gateway de trânsito. Por exemplo, adicione uma rota estática 10.0.0.0/14 apontando para um anexo de VPC. Isso garante que o gateway de trânsito anuncie a rede resumida pela VPN. Seus dispositivos de rede recebem o mesmo prefixo do Direct Connect e da VPN. Em seguida, configure seu gateway para filtrar os prefixos específicos recebidos para garantir que apenas o prefixo resumido esteja instalado na tabela de roteamento do par da VPN. Existem diferentes opções disponíveis para filtrar rotas, dependendo das especificações do fornecedor. Por exemplo, mapas de rotas, listas de prefixos, listas de filtros de roteadores e assim por diante.

O tráfego da sua rede para a AWS chega à tabela de rotas do gateway de trânsito e o gateway faz uma pesquisa para selecionar as rotas mais específicas de cada anexo de VPC. Por exemplo:

O anexo A apontando para o CIDR da VPC-A é 10.0.0.0/16.

O anexo B apontando para o CIDR da VPC-B é 10.1.0.0/16.

O anexo C apontando para o CIDR da VPC-C é 10.2.0.0/16.