我有一個主要連線 Direct Connect 閘道，搭配備份 VPN 連線。為什麼流量優先採用備份連線？

簡短描述

客戶閘道偏好採用通往 Amazon Virtual Private Cloud (Amazon VPC) 的最明確路由。如果 VPN 連線具有最明確的路由，就會偏好採用 VPN 而非 Direct Connect 連線。

解決方案

AWS Site-to-Site VPN 支援兩種部署類型：靜態和動態。根據您的使用案例，請參閱相關解決方案。

靜態 VPN：

將您的客戶閘道設定為 VPN 連線比 Direct Connect 連線更不明確。

動態 VPN：

確認您透過 VPN 連線和 Direct Connect 連線公告相同的路由。

如果客戶閘道透過 VPN 和 Direct Connect 接收到相同的路由，則一律偏好採用 Direct Connect。

但是，如果您的客戶閘道在 VPN 上的路由比 Direct Connect 連線更明確，則會偏好採用VPN。例如，Direct Connect 最多可以有 20 個允許的前綴。如果您新增摘要路由以涵蓋所有前綴字元，則透過 VPN 公告的 CIDR 會比透過 Direct Connect 公告的 CIDR 更明確。因此，客戶閘道會優先採用 VPN 而不是 Direct Connect 連線。

若要解決這個問題，請依照下列步驟執行：

1. 將與 Direct Connect 相關聯的相同路由新增至 Site-to-Site VPN 路由表。這會導致 Site-to-Site VPN 公告明確的路由和您新增的路由。
2. 在客戶閘道中，篩選出 Site-to-Site VPN 所公告的明確路由。然後，客戶閘道在兩個連線上具有相同的路由，並且更偏好 Direct Connect 連線。

從 AWS 到客戶閘道的流量

如果流量來自 AWS 連線到客戶閘道，則偏好採用更明確的路由。如果路由相同，則 AWS 對於相同的內部部署子網，會偏好採用 Direct Connect 連線而非 VPN 連線。

若要將 AWS 連線設定為偏好採用 VPN 而非 Direct Connect：

• 對於靜態 VPN，請在靜態 VPN 路由表中新增更明確的路由。
• 對於邊界閘道協定 (BGP) VPN，請透過 Direct Connect 連線公告較不明確的路由。由於流量會偏好採用最明確的路由，因此會偏好 VPN 連線。

---

相關資訊

路由表和 VPN 路由優先順序

路由優先順序