如何將 Site-to-Site VPN 連線設定為優先於通道 B 的通道 A？

解決方法

在客戶閘道與虛擬私有閘道或傳輸閘道之間建立的靜態 VPN

在這種情況下，虛擬私有閘道或傳輸閘道會對單一 VPN 通道將流量從 AWS 傳送到內部部署網路。AWS 隨機選擇此通道，稱為優先通道。

如果 AWS VPN 連線 (靜態路由類型) 具有「主動/主動」組態 (兩個通道皆處於 UP 狀態)，則您無法將 AWS 設定為偏好傳送流量的特定通道。例如，AWS 隨機選擇通道 A 作為將流量從 AWS 傳送到內部部署網路的優先 VPN 通道。如果通道 A 關閉，則 AWS 的流量會自動容錯移轉至通道 B。
**注意：**使用「主動/主動」組態時，客戶閘道必須對虛擬通道介面啟動非對稱路由。

如果 AWS VPN 連線 (靜態路由類型) 具有「主動/被動」組態 (通道 A 處於 UP 狀態，但通道 B 處於 DOWN 狀態)，則從 AWS 到內部部署網路的流量會遍訪通道 A，因為它處於 UP 狀態。

在客戶閘道與虛擬私有閘道或傳輸閘道之間建立的動態 VPN

若為虛擬私有閘道或已停用 ECMP 的傳輸閘道組態

AWS VPN 連線時，從 AWS 到內部部署網路的流量會透過優先通道 (由 AWS 隨機選擇) 進行傳送：

• 具有「主動/主動」組態 (兩個通道皆處於 UP 狀態)，以及
• 對虛擬私有閘道或具有相同邊界閘道協定 (BGP) 屬性的傳輸閘道公告相同的字首。
  **注意：**使用「主動/主動」組態時，客戶閘道必須對虛擬通道介面啟動非對稱路由。

如果 AWS VPN 連線 (動態路由類型) 具有「主動/被動」組態 (通道 A 處於 UP 狀態，但通道 B 處於 DOWN 狀態)，則從 AWS 到內部部署網路的流量會遍訪通道 A，因為它處於 UP 狀態。

若為已啟用 ECMP 的傳輸閘道組態

從 VPN 通道之間的 AWS 到內部部署網路的傳輸閘道負載平衡流量：

• 如果透過通道從客戶閘道裝置公告相同的字首，以及
• 透過 VPN 通道從客戶閘道裝置公告的字首的 BGP 屬性必須相同。這些 BGP 屬性包括 AS-PATH 前置和 AS_SEQUENCE 中的第一個 AS，MED。

若為動態 AWS VPN 連線

利用偏好設定條件的順序，將客戶閘道裝置設定為優先於其他 VPN 通道的 VPN 通道：

1. 對客戶優先從 AWS 接收流量的通道上的虛擬私有閘道或傳輸閘道公告更具體的字首。
2. 若要符合每個 VPN 連線在其中使用 BGP 的字首，系統會比較 AS PATH，並優先使用最短 AS PATH 的字首。
3. AS PATH 的長度相同，且 AS_SEQUENCE 中的第一個 AS 在多個路徑之中皆相同時，則會比較多出口鑑別器 (MED)。最優先的是具有最低 MED 值的路徑。

**注意：**最佳實務是避免使用 AS PATH 前置，以便兩個通道都具有相等的 AS PATH 值。使用相等的 AS PATH 值時，AWS 在 VPN 通道端點更新期間對通道設定的 MED 值會決定通道優先順序。

虛擬私有閘道上的 Site-to-Site VPN 連線不支援 ECMP。
傳輸閘道上的 Site-to-Site VPN 連線會支援 ECMP。

---