Wie vermeide ich Asymmetrie in routenbasierten VPNs mit statischem Routing?

Lesedauer: 4 Minute

Ich möchte asymmetrisches Routing in routenbasierten VPNs vermeiden, die für statisches Routing konfiguriert sind.

Kurze Beschreibung

AWS Seite-bis-Seite VPN bietet zwei Endpunkte pro VPN-Verbindung, um dasselbe Zielnetzwerk zu erreichen. AWS verwendet einen der aktiven Tunnel, um den Verkehr an dasselbe Ziel weiterzuleiten.

VPN-Tunnel werden normalerweise auf „stateful“ Firewalls gehostet. Die Firewall-Geräte erwarten, dass ein Paket dieselbe Tunnelschnittstelle zum Senden und Empfangen von Datenverkehr verwendet. Asymmetrisches Routing tritt auf, wenn das Paket über einen Tunnel in Amazon Virtual Private Cloud (Amazon VPC) eingeht und durch den anderen Tunnel auf demselben Site-to-Site-VPN wieder austritt. Wenn das Paket über eine andere Tunnelschnittstelle zurückkehrt, entspricht es nicht der „stateful-Sitzung“ und wird daher verworfen.

Auflösung

Sie müssen kein neues VPN mit dynamischem Routing erstellen, um das Problem des asymmetrischen Routings zu lösen. Verwenden Sie stattdessen weiterhin statisches Routing, nachdem Sie Änderungen vorgenommen haben, um die dynamische Routing-Logik widerzuspiegeln, wie unten gezeigt.

Voraussetzung

Vergewissern Sie sich, dass Sie über asymmetrisches Routing verfügen, indem Sie die Amazon CloudWatch-Metriken überprüfen:

Metriken für jeden Tunnel anzeigen

Wenn Sie nur eine VPN-Verbindung mit Active/Active-Konfiguration haben:

Öffnen Sie die CloudWatch-Konsole.
Wählen Sie im Navigationsbereich Metrics aus.
Wählen Sie unter Alle Metriken den VPN-Metrik-Namespace aus.
Wählen Sie VPN Tunnel Metricsaus.
Wählen Sie die CloudWatch-Metriken TunnelDataIn und TunnelDataOut aus. Bei asymmetrischem Routing hat ein Tunnel Datenpunkte für die Metrik TunnelDataIn. Der zweite Tunnel enthält Datenpunkte für die Metrik TunnelDataOut.

Metriken für die gesamte VPN-Verbindung anzeigen (aggregierte Metriken)

Wenn Sie mehrere VPN-Verbindungen haben:

Öffnen Sie die CloudWatch-Konsole.
Wählen Sie im Navigationsbereich Metrics aus.
Wählen Sie unter Alle Metriken den VPN-Metrik-Namespace aus.
Wählen Sie VPN-Verbindungsmetriken aus.
Wählen Sie die CloudWatch-Metriken TunnelDataIn und TunnelDataOut aus. Bei asymmetrischem Routing hat eine Verbindung Datenpunkte für die Metrik TunnelDataIn. Die andere Verbindung hat Datenpunkte für die Metrik TunnelDataOut.

Weitere Informationen zu Tunnelmetriken finden Sie unter Überwachen von VPN-Tunneln mit CloudWatch.

Asymmetrische Routing-Szenarien

Überprüfen Sie die folgenden Optionen, um asymmetrisches Routing in diesen Szenarien zu vermeiden:

Eine einzelne VPN-Verbindung, die als Aktiv/Aktiv konfiguriert ist

Um asymmetrisches Routing zu vermeiden:

Verwenden Sie die IPSec-Aggregatfunktion, wenn das Kunden-Gateway sie unterstützt. Weitere Informationen finden Sie unter IPSec-Aggregat für Redundanz und Tunnel-Loadbalancing auf der Fortinet-Website.
Wenn das Kunden-Gateway asymmetrisches Routing unterstützt, stellen Sie sicher, dass das asymmetrische Routing auf den virtuellen Tunnelschnittstellen aktiviert ist.
Wenn das Kunden-Gateway kein asymmetrisches Routing unterstützt, stellen Sie sicher, dass die VPN-Einstellung Aktiv/Passiv ist. Diese Konfiguration identifiziert einen Tunnel als UP und den zweiten Tunnel als DOWN. In dieser Einstellung wird der Datenverkehr von AWS zum lokalen Netzwerk nur durch den Tunnel im Status UP geleitet. Weitere Informationen finden Sie unter Wie konfiguriere ich mein Site-to-Site-VPN so, dass es Tunnel A dem Tunnel B vorzieht?

Zwei VPN-Verbindungen (VPN-Pry und VPN-Sec) stellen eine Verbindung zu derselben VPC her

In diesem Szenario stellen VPN-Verbindungen über dasselbe virtuelle private Gateway eine Verbindung zu derselben Amazon VPC her.

**Hinweis:**Dieses Szenario gilt nur für VPN-Verbindungen mit dem Virtual Private Gateway.

Beide Verbindungen:

Verwenden Sie statisches Routing
Werben Sie für dieselben lokalen Präfixe. Zum Beispiel 10.170.0.0/20 und 10.167.0.0/20
Stellen Sie über das Virtual Private Gateway eine Verbindung zu derselben VPC her
Habe verschiedene öffentliche IPs für Kunden-Gateways

Implementieren Sie Folgendes, um asymmetrisches Routing zu vermeiden:

Statische Routen für VPN-Pry (primäre Verbindung):

10.170.0.0/21

10.170.8.0/21

10.167.0.0/21

10.167.8.0/21

Statische Routen für VPN-Sec (sekundäre Verbindung):

10.170,0,0/20

10.167.0.0/20

In diesen Einstellungen wählt AWS VPN-Pry als bevorzugte Verbindung gegenüber VPN-Sec. AWS verwendet die längste Präfixübereinstimmung in Ihrer Routentabelle, die dem Traffic entspricht, um zu bestimmen, wie der Verkehr weitergeleitet werden soll.

**Hinweis:**Wenn Ihr Kunden-Gateway in diesem Szenario kein asymmetrisches Routing hat, konfigurieren Sie jede VPN-Einstellung als Aktiv/Passiv. Dadurch wird ein Tunnel pro VPN-Verbindung als aktiv identifiziert. Wenn beide Tunnel der aktiven Verbindung ausgefallen sind, erfolgt ein Failover zum aktiven Tunnel der sekundären Verbindung.

Weitere Informationen zur VPN-Routenpriorität finden Sie unter Routentabellen und VPN-Routenpriorität.

Themen

Vernetzung & Bereitstellung von Inhalten

Relevanter Inhalt

Wie behebe ich Verbindungsprobleme zwischen einem AWS-VPN-Endpunkt und einem richtlinienbasierten VPN?
AWS OFFICIALAktualisiert vor einem Jahr
Wie kann ich ECMP-Routing mit mehreren Site-to-Site-VPN-Tunneln einrichten, die einem Transit-Gateway zugeordnet sind?
AWS OFFICIALAktualisiert vor einem Jahr
Wie funktioniert DNS mit meinem Endpunkt im AWS Client VPN?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie kann ich mithilfe einer Palo-Alto-Firewall und AWS-VPN ein auf dynamischem Routing basierendes VPN aufbauen?
AWS OFFICIALAktualisiert vor einem Jahr