Ich habe ein Direct-Connect-Gateway mit primärer Verbindung und einer Backup-VPN-Verbindung. Warum priorisiert der Datenverkehr die Backup-Verbindung?

Lesedauer: 2 Minute

.Ich habe ein AWS-Direct-Connect-Gateway, bei dem meine primäre Verbindung auf lokal eingestellt ist. Ich habe auch eine Backup-VPN-Verbindung für ein Failover mit meiner AWS-Direct-Connect-Verbindung. Der Datenverkehr von meiner lokalen Verbindung zu AWS priorisiert die Backup-Verbindung (VPN-Verbindung) und nicht die primäre Verbindung (Direct-Connect-Verbindung). Woran liegt das und wie kann ich es beheben?

Kurzbeschreibung

Kunden-Gateways bevorzugen die spezifischste Route zur Amazon Virtual Private Cloud (Amazon VPC). Wenn die VPN-Verbindung die spezifischste Route hat, wird sie der Direct-Connect-Verbindung vorgezogen.

Auflösung

AWS Site-to-Site VPN unterstützt zwei Arten der Bereitstellung: statische und dynamische. Sehen Sie sich je nach Anwendungsfall die zugehörige Lösung an.

Statisches VPN:

Konfigurieren Sie Ihr Kunden-Gateway mit weniger spezifischen Routen für die VPN-Verbindung als die Direct-Connect-Verbindung.

Dynamisches VPN:

Bestätigen Sie, dass Sie dieselben Routen über die VPN-Verbindung und die Direct-Connect-Verbindung bewerben.

Wenn das Kunden-Gateway dieselben Routen über die VPN- und Direct-Connect-Verbindungen empfängt, bevorzugt es immer Direct Connect.

Wenn Ihr Kunden-Gateway jedoch eine spezifischere Route über das VPN hat als die Direct-Connect-Verbindung, wird VPN bevorzugt. Beispielsweise hat Direct Connect maximal 20 zulässige Präfixe. Wenn Sie zusammengefasste Routen hinzufügen, um alle Präfixe abzudecken, werden die über VPN beworbenen CIDRs spezifischer als die über Direct Connect angekündigten CIDRs. Infolgedessen priorisiert das Kunden-Gateway das VPN gegenüber der Direct-Connect-Verbindung.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

Fügen Sie dieselbe Route, die mit Direct Connect verknüpft ist, zur Site-to-Site-VPN-Routingtabelle hinzu. Dies führt dazu, dass das Site-to-Site-VPN die spezifischen Routen und die Route, die Sie hinzugefügt haben, anwirbt.
Filtern Sie im Kunden-Gateway die spezifischen Routen heraus, die vom Site-to-Site-VPN angekündigt werden. Das Kunden-Gateway hat dann die gleichen Routen über beide Verbindungen und bevorzugt die Direct-Connect-Verbindung.

Datenverkehr von AWS zum Kunden-Gateway

Wenn der Datenverkehr von einer AWS-Verbindung zu Ihrem Kunden-Gateway kommt, wird die spezifischere Route bevorzugt. Wenn die Routen identisch sind, bevorzugt AWS eine Direct-Connect-Verbindung gegenüber einer VPN-Verbindung für dasselbe lokale Subnetz.

So richten Sie Ihre AWS-Verbindung so ein, dass VPN gegenüber Direct Connect bevorzugt wird:

Fügen Sie für ein statisches VPN eine spezifischere Route in der statischen VPN-Routing-Tabelle hinzu.
Geben Sie für ein Border-Gateway-Protocol-VPN (BGP) eine weniger spezifische Route über die Direct-Connect-Verbindung an. Da die spezifischste Route bevorzugt wird, wird dann die VPN-Verbindung bevorzugt.

Relevante Informationen

Routing-Tabellen und Priorität der VPN

Priorität der Route

Themen

Vernetzung & Bereitstellung von Inhalten

Relevanter Inhalt

Wie erstelle ich ein Internet-Gateway und verbinde es mit einer VPC?
AWS OFFICIALAktualisiert vor einem Jahr
Warum kann ich keine Verbindung zu einem Service herstellen, wenn die Sicherheitsgruppe und die Netzwerk-ACL eingehenden Datenverkehr zulassen?
AWS OFFICIALAktualisiert vor einem Jahr
Wie beschränke ich den direkten Datenverkehr auf eine ALB und erlaube den Datenverkehr nur über CloudFront mit AWS WAF?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich NAT auf meinem VPC-CIDR für Datenverkehr konfigurieren, der über eine VPN-Verbindung läuft?
AWS OFFICIALAktualisiert vor 2 Jahren