Wie kann ich Probleme mit asymmetrischem Routing lösen, wenn ich ein VPN als Backup für Direct Connect in einem Transit-Gateway erstelle?

Lesedauer: 4 Minute

Ich habe eine AWS Direct Connect-Verbindung. Das Direct Connect-Gateway ist mit einem AWS Transit Gateway verknüpft. Ich habe ein Standort-zu-Standort-VPN als Backup für die Direct Connect-Verbindung erstellt, habe aber asymmetrische Routing-Probleme. Wie kann ich die Probleme mit dem asymmetrischen Routing lösen und ein automatisches Failover mit dem AWS VPN aufrechterhalten?

Kurzbeschreibung

Die Verwendung einer VPN-Verbindung als Backup zu Direct Connect kann zu asymmetrischen Routingproblemen führen. Asymmetrisches Routing tritt auf, wenn der Netzwerkverkehr über eine Verbindung eintritt und über eine andere Verbindung beendet wird. Einige Netzwerkgeräte, wie z. B. Firewalls, lassen Pakete fallen, wenn der empfangene Datenverkehr nicht in der zustandsbehafteten Tabelle protokolliert ist.

Auflösung

Befolgen Sie diese bewährten Methoden für die Konfiguration von ausgehendem und eingehendem Netzwerkverkehr.

Bewährte Methoden für ausgehenden Datenverkehr von AWS zu Ihrem Netzwerk

Konfigurieren Sie das VPN mit dynamischem Routing mithilfe des Border Gateway Protocol (BGP).
Stellen Sie sicher, dass Ihre Geräte dieselben Präfixe von On-Premises zu AWS mit dem VPN und Direct Connect oder weniger spezifischen VPN-Präfixen bekannt geben. Beispielsweise ist 10.0.0.0/16 im Vergleich zu 10.0.0.0/24 weniger spezifisch.
AWS legt einen höheren Präferenzwert für Direct Connect über die VPN-Verbindung fest, wenn der On-Premises-Datenverkehr an Ihr Netzwerk gesendet wird, wenn die empfangene Präfixlänge dem gleichen Wert entspricht.
Für das AWS Transit Gateway wird eine statische Route, die auf eine VPN-Anlage verweist, einer dynamisch weitergegebenen Direct Connect-Gateway-Route bevorzugter, wenn die Präfixlänge dem gleichen Wert entspricht.
Für Direct Connect, das mit dynamischem VPN als Backup bereitgestellt wird, wird AS PATH voranstehend nicht empfohlen. Dies liegt daran, dass Direct Connect-Routen unabhängig von der Länge des AS PATH-Prepends bevorzugt werden, wenn die Präfixe identisch sind.

Weitere Informationen finden Sie unter Routentabellen und VPN-Priorität.

Bewährte Methoden für eingehenden Datenverkehr von Ihrem Netzwerk zu AWS

Stellen Sie sicher, dass Ihr Netzwerkgerät so konfiguriert ist, dass es lieber Rückverkehr über die Direct Connect-Verbindung sendet.
Wenn die von AWS an Ihr Netzwerkgerät angekündigten Präfixe für Direct Connect und VPN identisch sind, kann das lokale Präferenzattribut von BGP verwendet werden, um Ihr Gerät zu zwingen, ausgehenden Datenverkehr über die Direct Connect-Verbindung an AWS zu senden. Stellen Sie den Direct Connect-Pfad mit einem höheren lokalen Präferenzwert und einer niedrigeren Präferenz für VPN ein. Zum Beispiel Lokale Präferenz 200 für Direct Connect und 100 für VPN.

Wichtig:

Wenn das Direct Connect erlaubte Präfix zusammengefasst ist und die über VPN angekündigten Routen spezifischer sind, bevorzugen Ihre Netzwerkgeräte die über VPN empfangenen Routen.

Beispiel:

Die Transit-Gateway-Routen sind VPC-A CIDR 10.0.0.0/16, VPC-B CIDR 10.1.0.0/16 und VPC-C 10.2.0.0/16.
Das zusammengefasste Präfix auf den zulässigen Präfixen des Direct Connect-Gateways ist 10.0.0.0/14, um das Limit von 20 Präfixen zu berücksichtigen.

Direct Connect kündigt das Direct Connect-Gateway-Präfix 10.0.0.0/14 an, und das VPN-Transit-Gateway kündigt die /16 CIDRs für jede VPC über VPN an.

Um dieses Problem zu beheben, fügen Sie die zusammengefasste Direct Connect-Gateway-Route in die Transit-Gateway-Routentabelle ein. Fügen Sie beispielsweise eine statische Route 10.0.0.0/14 hinzu, die auf eine VPC-Anlage verweist. Dadurch wird sichergestellt, dass das Transit-Gateway das zusammengefasste Netzwerk über VPN ankündigt. Ihre Netzwerkgeräte erhalten dasselbe Präfix von Direct Connect und VPN. Konfigurieren Sie dann Ihr Gateway so, dass es die spezifischen empfangenen Präfixe herausfiltert, um sicherzustellen, dass nur das zusammengefasste Präfix vom VPN-Peer in der Routing-Tabelle installiert ist. Je nach den Spezifikationen des Anbieters stehen verschiedene Optionen zum Herausfiltern von Routen zur Verfügung. Zum Beispiel Routenzuordnungen, Präfixlisten, Router-Filter-Listen und so weiter.

Der Datenverkehr von Ihrem Netzwerk zu AWS erreicht die Transit-Gateway-Routentabelle, und das Gateway führt eine Suche durch, um die spezifischsten Routen aus jeder VPC-Anlage auszuwählen. Beispiel:

Anlage A, die auf VPC-A CIDR verweist, ist 10.0.0.0/16.

Anlage B, die auf VPC-B CIDR zeigt, ist 10.1.0.0/16.

Anlage C, die auf VPC-C CIDR zeigt, ist 10.2.0.0/16.

Relevante Informationen

VPN-Routing von Standort zu Standort für AWS

Priorität der Amazon VPC-Routentabelle

Wie konfiguriere ich Direct Connect und VPN-Failover mit Transit Gateway?

Themen

Vernetzung & Bereitstellung von Inhalten

Relevanter Inhalt

Wie behebe ich Probleme mit Direct Connect und VPN-Failover?
AWS OFFICIALAktualisiert vor 10 Monaten
Ich habe ein Direct-Connect-Gateway mit primärer Verbindung und einer Backup-VPN-Verbindung. Warum priorisiert der Datenverkehr die Backup-Verbindung?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich Probleme beim Direct Connect Gateway Routing-Verfahren beheben?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie konfiguriere ich Direct Connect und einen VPN-Failover mit Transit Gateway?
AWS OFFICIALAktualisiert vor 10 Monaten