在傳輸閘道中建立 VPN 作為 Direct Connect 的備份時,如何解決非對稱路由問題?

2 分的閱讀內容
0

我有一個 AWS Direct Connect 連線。Direct Connect 閘道與 AWS Transit Gateway 關聯。我建立了一個 Site to Site VPN 作為 Direct Connect 的備份,但遇到非對稱路由問題。如何使用 AWS VPN 解決非對稱路由問題並保持自動容錯移轉?

簡短描述

將 VPN 連接用作 Direct Connect 的備份可能會導致非對稱路由問題。當網路流量透過一個連線進入並透過另一個連線結束時,即發生非對稱路由。如果收到的流量未記錄在您的有狀態表中,有些網路裝置 (如防火牆) 會捨棄封包。

解決方案

請遵循以下最佳實務來設定傳出和傳入網路流量。

適用於從 AWS 到您的網路的傳出流量的最佳實務

  • 使用邊界閘道協定 (BGP) 設定使用動態路由的 VPN。
  • 確定您的裝置使用 VPN 和 Direct Connect 將相同的前綴從內部部署公告到 AWS,或者公告不太具體的 VPN 前綴。例如,10.0.0.0/16 就不如 10.0.0.0/24 具體。
  • 如果收到的前綴長度相同,則 AWS 會在向網路傳送內部部署流量時,透過 VPN 連接為 Direct Connect 設定較高的偏好值。
  • 對於 AWS Transit Gateway,如果前綴長度相同,則相比動態傳播的 Direct Connect 閘道路由,系統更偏好指向 VPN 連接的靜態路由。
  • 對於以動態 VPN 作為備份部署的 Direct Connect,不建議使用 AS PATH 前置。這是因為如果前綴相同,不管 AS PATH 前置前綴的長度為多少,系統都偏好 Direct Connect 路由。

如需詳細資訊,請參閲路由表和 VPN 優先順序

適用於從您的網路到 AWS 的傳入流量的最佳實務

  • 請確定您的網路裝置已設定為偏好透過 Direct Connect 連線傳送返回流量。
  • 如果從 AWS 公告給您的網路裝置的前綴對於 Direct Connect 和 VPN 相同,則可以使用 BGP 本機偏好屬性強制裝置透過 Direct Connect 到 AWS 的連線傳送傳出流量。將 Direct Connect 路徑設定為較高的本機偏好值,將 VPN 設定為較低的偏好值。例如,將 Direct Connect 的本機偏好值設為 200,將 VPN 設為 100。

重要提示:

如果匯總了 Direct Connect 允許的前綴,並且透過 VPN 公告的路由更具體,則您的網路裝置將偏好透過 VPN 接收的路由。

例如:

  • 傳輸閘道傳播的路由為 VPC-A CIDR 10.0.0.0/16、VPC-B CIDR 10.1.0.0/16 和 VPC-C 10.2.0.0/16。
  • 為適應 20 個前綴的限制,Direct Connect 閘道上匯總的前綴允許的前綴為 10.0.0.0/14。

Direct Connect 將公告 Direct Connect 閘道前綴 10.0.0.0/14,VPN 傳輸閘道將透過 VPN 為每個 VPC 公告 /16 CIDR。

若要解決此問題,請將匯總的 Direct Connect 閘道路由插入到傳輸閘道路由表中。例如,新增指向 VPC 連接的靜態路由 10.0.0.0/14。這樣可以確定傳輸閘道透過 VPN 公告匯總的網路。您的網路裝置從 Direct Connect 和 VPN 收到相同的前綴。然後,設定閘道以篩選出收到的特定前綴,從而確定來自 VPN 對等方的路由表中僅安裝了匯總的前綴。根據供應商規格,有不同的選項可用於篩選路由,例如,route-maps、prefix-lists、router-filter-lists 等等。

從您的網路到 AWS 的流量會到達傳輸閘道路由表,閘道將執行查詢以從每個 VPC 連接中選取最具體的路由。例如:

指向 VPC-A CIDR 的連接 A 為 10.0.0.0/16。

指向 VPC-B CIDR 的連接 B 為 10.1.0.0/16。

指向 VPC-C CIDR 的連接 C 為 10.2.0.0/16。


相關資訊

AWS Site to Site VPN 路由

Amazon VPC 路由表優先順序

如何使用 Transit Gateway 設定 Direct Connect 和 VPN 容錯移轉?

AWS 官方
AWS 官方已更新 2 年前