AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Wie konfiguriere ich meine Site-to-Site-VPN-Verbindung so, dass Tunnel A gegenüber Tunnel B bevorzugt wird?

Lesedauer: 3 Minute

Ich möchte, dass meine AWS Site-to-Site-VPN-Verbindung einen bestimmten Tunnel bevorzugt, wenn sie Datenverkehr von AWS an ein lokales Netzwerk sendet.

Lösung

Konfigurieren einer Site-to-Site-VPN-Verbindung, um einen bestimmten Tunnel mit statischen oder dynamischen VPNs zu bevorzugen.

Statische VPNs zwischen einem Kunden-Gateway und entweder einem Virtual Private Gateway oder einem Transit-Gateway

Bei statischen VPNs sendet das Virtual Private Gateway oder Transit-Gateway den Datenverkehr von AWS über einen einzigen VPN-Tunnel an das On-Premises-Netzwerk. Das Site-to-Site-VPN wählt einen bevorzugten Tunnel aus. Um ein Site-to-Site-VPN so zu konfigurieren, dass ein bestimmter Tunnel bevorzugt wird, verwende eine aktive/passive Konfiguration, bei der Tunnel A AKTIV, Tunnel B jedoch AUSGEFALLEN ist. Da Tunnel A AKTIV ist, durchquert der Datenverkehr vom Site-to-Site-VPN zum On-Premises-Netzwerk Tunnel A.

Wenn die statischer Routing-Verbindung eine Aktiv/Aktiv-Konfiguration hat (beide Tunnel sind AKTIV), kannst du Site-to-Site-VPN nicht so konfigurieren, dass ein bestimmter Tunnel bevorzugt wird. Beispielsweise kann das Site-to-Site-VPN zufällig Tunnel A als bevorzugten VPN-Tunnel auswählen, um Datenverkehr von AWS an das lokale Netzwerk zu senden. Wenn Tunnel A ausfällt, wechselt der Datenverkehr vom Site-to-Site-VPN automatisch zu Tunnel B.

Dynamische VPNs, die zwischen einem Kunden-Gateway und entweder einem Virtual Private Gateway oder einem Transit-Gateway erstellt werden

Für Virtual Private Gateway- oder Transit-Gateway-Konfigurationen mit deaktiviertem ECMP

Wenn du das Routing Equal Cost Multipath (ECMP) deaktivierst, sendet das Site-to-Site-VPN den Datenverkehr über Tunnel A an das lokale Netzwerk, wenn beide der folgenden Bedingungen zutreffen:

Die Site-to-Site-VPN-Verbindung hat eine Aktiv/Aktiv-Konfiguration (beide Tunnel sind AKTIV).
Die Site-to-Site-VPN kündigt dieselben Präfixe für das Virtual Private Gateway oder Transit-Gateway mit denselben Border Gateway Protocol (BGP)-Attributen an.

Hinweis: Bei einer Aktiv/Aktiv-Konfiguration musst du für das Kunden-Gateway asymmetrisches Routing auf den virtuellen Tunnelschnittstellen aktivieren.

Das Ergebnis einer Aktiv/Aktiv-Konfiguration ist für dynamisches Routing dasselbe wie für passives Routing. Da Tunnel A AKTIV ist, durchquert der Datenverkehr vom Site-to-Site-VPN zum On-Premises-Netzwerk Tunnel A.

Transit-Gateway-Konfigurationen mit aktiviertem ECMP-Routing

Wenn du das ECMP-Routing aktivierst, verteilt das Transit-Gateway den Datenverkehr zwischen den VPN-Tunneln, wenn beide der folgenden Bedingungen zutreffen:

Das Kunden-Gateway-Gerät kündigt dieselben Präfixe über die Tunnel an.
Die BGP-Attribute für die vom Kunden-Gateway-Gerät angekündigten Präfixe sind in den VPN-Tunneln identisch. Zu diesen BGP-Attributen gehören das AS-Path-Prepend, das erste Autonome System (AS) in AS_SEQUENCE und der Multi-Exit Discriminator (MED).

Weitere Informationen findest du unter Wie kann ich ECMP-Routing mit mehreren Site-to-Site-VPN-Tunneln einrichten, die einem Transit-Gateway zugeordnet sind?

Einschränkungen bei der Verwendung von ECMP mit Transit Gateway findest du unter Routing Equal Cost Multipath.

Kunden-Gateway-Konfigurationen

Stelle dein Kunden-Gateway-Gerät so ein, dass ein Site-to-Site-VPN-Tunnel dem anderen vorgezogen wird. Ergreife dazu eine der folgenden Aktionen:

Kündige dem Virtual Private Gateway oder Transit-Gateway auf dem bevorzugten Tunnel ein spezifischeres Präfix an.
Kürze den AS PATH-Wert. Wenn die Präfixe übereinstimmen und jede VPN-Verbindung BGP verwendet, bevorzugt das Kunden-Gateway das Präfix mit dem kürzesten AS-PFAD.
Senke den MED-Wert. Wenn die AS PATH-Werte dieselbe Länge haben und der erste AS-Wert in AS_SEQUENCE für alle Pfade gleich ist, vergleicht das Kunden-Gateway die MED-Werte. Das Kunden-Gateway bevorzugt den Pfad mit dem niedrigsten MED-Wert.

Hinweis: Es hat sich bewährt, keine AS-Pfad-Werte voranzustellen, sodass beide Tunnel den gleichen AS-PATH-Wert haben. Bei einem gleichen AS-PATH-Wert bestimmt der MED-Wert, den AWS bei Aktualisierungen des VPN-Tunnelendpunkts für den Tunnel festlegt, die Tunnelpriorität.

Hinweis: AWS VPN unterstützt ECMP für Site-to-Site-VPN-Verbindungen auf einem Virtual Private Gateway nicht. AWS VPN unterstützt ECMP für Site-to-Site-VPN-Verbindungen auf einem Transit-Gateway.

Themen: Networking & Content Delivery
Tags: AWS Virtual Private Network (VPN)
Sprache: Deutsch

AWS OFFICIALAktualisiert vor 6 Monaten

Relevanter Inhalt

Wie behebe ich die Inaktivität des Site-to-Site-VPN-Tunnels, das Flattern eines Tunnels oder den Ausfall eines Tunnels auf meinem Kunden-Gateway-Gerät?
AWS OFFICIALAktualisiert vor 7 Monaten
Wie überwache ich AWS-VPN-Tunnel mithilfe von Amazon-CloudWatch-Alarmen?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie behebe ich Probleme bei der VPN-Tunnel-Konnektivität mit einer Amazon VPC?
AWS OFFICIALAktualisiert vor 7 Monaten
Wie verwende ich einen SSH-Tunnel über AWS Systems Manager, um auf meine privaten VPC-Ressourcen zuzugreifen?
AWS OFFICIALAktualisiert vor 3 Jahren