Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie behebe ich Probleme mit Direct Connect und VPN-Failover?

Lesedauer: 6 Minute
0

Ich möchte meine Probleme mit AWS Direct Connect und VPN-Failover beheben.

Behebung

Beheben Sie Ihre Probleme mit AWS Direct Connect und VPN-Failover je nachdem, welches VPN Sie verwenden:

  • Virtuelles Gateway-basiertes VPN
  • Auf AWS Transit-Gateway basierendes VPN

Virtuelles Gateway-basiertes VPN

Der Datenverkehr von AWS zu On-Premises bevorzugt Direct Connect gegenüber dynamischen oder statischen VPN-Verbindungen. Ihr Traffic kann aus den folgenden Gründen nicht wechseln:

BGP-basiertes VPN

  • Das Kunden-Gateway wirbt nicht für das On-Premises Präfix aus der BGP-Sitzung im VPN-Tunnel.
  • Das Kunden-Gateway filtert das über die VPN-BGP-Sitzung angekündigte Präfix.
  • Die Firewall-Richtlinie erlaubt keinen eingehenden oder ausgehenden Datenverkehr zwischen AWS und On-Premises.
  • Prüfen Sie bei VPN-Verbindungen, bei denen beide Tunnel aktiv sind (Active/Active), ob das Kunden-Gateway asymmetrisches Routing unterstützt. AWS wählt den Ausgangstunnel nach dem Zufallsprinzip aus, wenn Sie dieselben Präfixe bewerben. Weitere Informationen finden Sie unter How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?
  • Eine statische Route für das AWS-Netzwerk verweist auf das Direct Connect-Peer-Gateway, anstatt sich auf BGP-Routen zu verlassen.

Statisches VPN

  • Die VPN-Verbindung hat keine statische Route für das On-Premises Netzwerk, die unter der VPN-Verbindungsroute hinzugefügt wurde.
  • Das Kunden-Gateway hat keine statische Route für das AWS CIDR, die auf die Tunnelschnittstelle verweist. Wenn es eine statische Route für das AWS-Netzwerk gibt, stellen Sie sicher, dass diese auf die richtige Tunnelschnittstelle verweist. Wenn Sie ein richtlinienbasiertes VPN verwenden, stellen Sie sicher, dass die Richtlinie mit den AWS-Netzwerken und On-Premises Netzwerken übereinstimmt.
  • Die Firewall-Richtlinie erlaubt keinen eingehenden oder ausgehenden Datenverkehr zwischen AWS und On-Premises.
  • Prüfen Sie bei VPN-Verbindungen, bei denen beide Tunnel aktiv sind (Active/Active), ob das Kunden-Gateway asymmetrisches Routing unterstützt. AWS wählt den Ausgangstunnel nach dem Zufallsprinzip aus, wenn Sie dieselben Präfixe bewerben. Weitere Informationen finden Sie unter How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?

Virtuelles privates Gateway

Stellen Sie bei einem VPN als Backup von Direct Connect, das auf einem Virtual Private Gateway endet, Folgendes sicher:

  • Bei dynamischen VPNs sollten Sie dasselbe Präfix über das VPN und Direct Connect bewerben. AWS bevorzugt Direct Connect. Stellen Sie für das On-Premises Gerät sicher, dass Direct Connect als Ausgangspfad zu AWS bevorzugt wird.
  • Verwenden Sie für statische VPNs dieselbe statische Route für das On-Premises Netzwerk wie die vom Kunden-Gateway über Direct Connect angekündigte Route. Virtuelle private Gateways bevorzugen Direct Connect als Ausgangspfad zu On-Premises. Stellen Sie sicher, dass Sie eine weniger spezifische Route für die Amazon Virtual Private Cloud (Amazon VPC) CIDR haben. Statische Routen auf Kunden-Gateways haben niedrigere Metriken als BGP-Routen.

**Hinweis:**Senden Sie für virtuelle private Gateway-basierte VPNs einen MED-Wert von 100 und 200. Wenn auf die empfangenen Routen kein Importfilter angewendet wird, bevorzugt das Kunden-Gateway Direct Connect aufgrund seines MED-Wertes von 0.

Transit-Gateway-basiertes VPN

Direct Connect, das mit Transit-Gateway verbunden ist, verwendet das Direct Connect-Gateway und erlaubt maximal 200 Präfixe. Bei dynamischen VPNs kündigt das Transit-Gateway Routen auf der Grundlage der Transit-Gateway-Routing-Tabelle an, die der VPN-Verbindung zugeordnet ist. Außerdem erhält das Kunden-Gateway bestimmte Präfixe über die VPN-Verbindung und leitet AWS-Präfixe lieber aus dem VPN-Tunnel weiter.

Ihr Traffic kann aus den folgenden Gründen nicht umschalten:

BGP-basiertes VPN

  • Das Kunden-Gateway wirbt nicht für das On-Premises Präfix aus der BGP-Sitzung im VPN-Tunnel.
  • Das Kunden-Gateway filtert das über die VPN-BGP-Sitzung angekündigte Präfix.
  • Die Transit-Gateway-Routing-Tabelle, die der Verkehrsquelle zugeordnet ist.
  • Die Firewall-Richtlinie erlaubt keinen eingehenden oder ausgehenden Datenverkehr zwischen AWS und On-Premises.
  • Prüfen Sie bei VPN-Verbindungen, bei denen beide Tunnel aktiv sind (Active/Active), ob das Kunden-Gateway asymmetrisches Routing unterstützt. AWS wählt den Ausgangstunnel nach dem Zufallsprinzip aus, wenn Sie dieselben Präfixe bewerben. Weitere Informationen finden Sie unter How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?
  • Eine statische Route für das AWS-Netzwerk verweist auf den Direct Connect-Peer, anstatt sich auf BGP-Routen zu verlassen.

Statisches VPN

  • Für die VPN-Verbindung wurde in der Transit-Gateway-Routing-Tabelle keine statische Route für das On-Premises Netzwerk hinzugefügt, die auf den VPN-Verbindungsanhang verweist.
  • Das Kunden-Gateway hat keine statische Route für das AWS CIDR, die auf die Tunnelschnittstelle verweist. Wenn es eine statische Route für das AWS-Netzwerk gibt, stellen Sie sicher, dass diese auf die richtige Tunnelschnittstelle verweist. Wenn Sie ein richtlinienbasiertes VPN verwenden, stellen Sie sicher, dass die Richtlinie mit AWS und On-Premises Netzwerken übereinstimmt.
  • Die Firewall-Richtlinie erlaubt keinen eingehenden oder ausgehenden Datenverkehr zwischen AWS und On-Premises.
  • Stellen Sie bei beschleunigten VPNs sicher, dass NAT-T aktiviert ist. Weitere Informationen finden Sie unter How can I troubleshoot issues with Accelerated VPN?
  • Prüfen Sie bei VPN-Verbindungen, bei denen beide Tunnel aktiv sind (Active/Active), ob das Kunden-Gateway asymmetrisches Routing unterstützt. AWS wählt den Ausgangstunnel nach dem Zufallsprinzip aus, wenn Sie dieselben Präfixe bewerben. Weitere Informationen finden Sie unter How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?

Transit-Gateway

Stellen Sie bei einem VPN als Backup von Direct Connect, das auf einem Transit-Gateway endet, Folgendes sicher:

  • Bei dynamischen VPNs sollten Sie dasselbe Präfix über das VPN und Direct Connect bewerben. AWS bevorzugt Direct Connect. Filtern Sie für das On-Premises Gerät die spezifische Route, die über die VPN-Verbindung gelernt wurde. Stellen Sie sicher, dass der vom Kunden-Gateway ausgehende Datenverkehr Direct Connect der VPN-Verbindung vorzieht.
  • Fügen Sie für statische VPNs auf der AWS-Seite weniger spezifische statische Routen für das On-Premises Netzwerk auf dem Transit-Gateway hinzu, die auf den VPN-Anhang verweisen. Statische Routen werden den propagierten Routen von Direct Connect vorgezogen (ausgehender Verkehr zum Kunden-Gateway bevorzugt das VPN). Stellen Sie auf der On-Premises Seite sicher, dass Sie eine weniger spezifische Route für das Amazon VPC CIDR haben. Statische Routen haben niedrigere Metriken als BGP-Routen.

**Hinweis:**Senden Sie für auf Transit-Gateway basierende VPN-Verbindungen einen MED-Wert von 100 an beide VPN-Tunnel. Wenn auf die empfangenen Routen kein Importfilter angewendet wird, bevorzugt das Kunden-Gateway Direct Connect aufgrund seines MED-Wertes von 0.

Verwandte Informationen

Wie kann ich Probleme mit asymmetrischem Routing lösen, wenn ich ein VPN als Backup für Direct Connect in einem Transit-Gateway erstelle?

Wie konfiguriere ich Direct Connect und VPN-Failover mit Transit-Gateway?

Ich habe ein Direct Connect-Gateway mit primärer Verbindung mit einer Backup-VPN-Verbindung. Warum priorisiert der Datenverkehr die Backup-Verbindung?

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
AWS Direct Connect
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren

Relevanter Inhalt