Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

¿Cómo puedo resolver los problemas de enrutamiento asimétrico cuando creo una VPN como copia de seguridad de Direct Connect en una puerta de enlace de tránsito?

5 minutos de lectura

Tengo una conexión de AWS Direct Connect. La puerta de enlace de Direct Connect está asociada a una AWS Transit Gateway. He creado una VPN de sitio a sitio como copia de seguridad de la conexión de Direct Connect, pero tengo problemas de enrutamiento asimétrico.

Descripción corta

El uso de una conexión de red privada virtual (VPN) como copia de seguridad de Direct Connect puede provocar problemas de enrutamiento asimétrico. El enrutamiento asimétrico se produce cuando el tráfico de red entra por una conexión y sale por otra. Algunos dispositivos de red, como los firewalls, descartan paquetes si el tráfico recibido no se registra en la tabla con estado.

Resolución

Tráfico saliente de AWS a su red

Utilice las siguientes prácticas recomendadas para el tráfico saliente de AWS a su red:

Utilice el protocolo de puerta de enlace fronteriza (BGP) para configurar la VPN con enrutamiento dinámico.
Asegúrese de que los dispositivos anuncien los mismos prefijos locales o prefijos menos específicos que en AWS con VPN y Direct Connect. Por ejemplo, 10.0.0.0/16 es menos específico que 10.0.0.0/24.
Para una longitud de prefijo del mismo valor, AWS envía el tráfico local a su red con un valor de preferencia más alto para Direct Connect que para las conexiones de VPN. Para AWS Transit Gateway, utilice una ruta estática que apunte a una conexión de VPN en lugar de una ruta de puerta de enlace de Direct Connect que se propaga dinámicamente.
En el caso de Direct Connect que se implementa con una VPN dinámica como copia de seguridad, no se recomienda anteponer AS PATH. Si los prefijos son los mismos, utilice las rutas de Direct Connect independientemente de la longitud del prefijo AS PATH antepuesto.

Para obtener más información, consulte Routing.

Tráfico entrante de su red a AWS

Utilice las siguientes prácticas recomendadas para el tráfico entrante de su red a AWS:

Configure sus preferencias de dispositivo de red para enviar tráfico de retorno a través de la conexión de Direct Connect.
Si los prefijos que AWS anuncia para su dispositivo de red son los mismos para Direct Connect y VPN, utilice el atributo de preferencia local del BGP. El atributo de preferencia local del BGP obliga al dispositivo a enviar tráfico saliente a AWS a través de la conexión de Direct Connect. Establezca la ruta de Direct Connect con un valor de preferencia local más alto y una preferencia más baja para VPN. Por ejemplo, preferencia local 200 para Direct Connect y 100 para VPN.

Importante: En el caso de los prefijos permitidos de Direct Connect que son resumidos y menos específicos que las rutas anunciadas a través de VPN, los dispositivos de red prefieren las rutas recibidas a través de VPN.

Vea el siguiente ejemplo:

Las rutas propagadas de la puerta de enlace de tránsito son VPC-A CIDR 10.0.0.0/16, VPC-B CIDR 10.1.0.0/16 y VPC-C 10.2.0.0/16.
Para adaptarse al límite de 20 prefijos, el prefijo resumido de los prefijos permitidos en la puerta de enlace de Direct Connect es 10.0.0.0/14.

Para cada nube virtual privada (VPC) a través de VPN, Direct Connect anuncia el prefijo de puerta de enlace de Direct Connect 10.0.0.0/14 y la puerta de enlace de tránsito de VPN anuncia los CIDR /16.

Para resolver este problema, inserte la ruta resumida de la puerta de enlace de Direct Connect en la tabla de enrutamiento de la puerta de enlace de tránsito. Por ejemplo, añada una ruta estática 10.0.0.0/14 que apunte a una conexión de VPC para que la puerta de enlace de tránsito anuncie la red resumida a través de una VPN. Los dispositivos de red reciben el mismo prefijo de Direct Connect y VPN. A continuación, configure su puerta de enlace para filtrar los prefijos específicos que se reciben. Asegúrese de que solo esté instalado el prefijo resumido en la tabla de enrutamiento del par de VPN. Según las especificaciones del proveedor, hay diferentes opciones para filtrar las rutas, como mapas de rutas, listas de prefijos y listas de filtros de enrutadores.

El tráfico de su red a AWS llega a la tabla de enrutamiento de la puerta de enlace de tránsito. La puerta de enlace realiza una búsqueda para seleccionar las rutas más específicas de cada conexión de VPC.

Vea el siguiente ejemplo:

La conexión A que apunta al CIDR de la VPC-A es 10.0.0.0/16.
La conexión B que apunta al CIDR de la VPC-B es 10.1.0.0/16.
La conexión C que apunta al CIDR de la VPC-C es 10.2.0.0/16.

Información relacionada

Prioridad de la ruta

How do I configure Direct Connect and VPN failover with Transit Gateway?

Temas

Redes y entrega de contenido

Etiquetas

AWS Direct Connect

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Sin comentarios

Contenido relevante

Bot lex cuando se integra con connect no opera en idioma español
Respuesta aceptada
hvilla
preguntada hace 2 meses
Autenticación de usuarios en chat en Amazon Connect
Eric Vega
preguntada hace 3 meses
Problema con el registro de mi cuenta.
Brayan Leonardo Alvarez Reyes
preguntada hace 3 meses
Rout 53 CNAME record for subdomain
Agustin
preguntada hace un mes
Problema de acceso a instancia
Jmortega
preguntada hace un mes
¿Cómo puedo solucionar los problemas de conmutación por error de Direct Connect y VPN?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo configurar Direct Connect y la conmutación por error de VPN con Transit Gateway?
OFICIAL DE AWSActualizada hace 2 meses
¿Cómo puedo solucionar los problemas de enrutamiento de la puerta de enlace de Direct Connect?
OFICIAL DE AWSActualizada hace 2 años
Tengo una puerta de enlace de Direct Connect de conexión principal con una conexión de VPN de respaldo. ¿Por qué el tráfico da prioridad a la conexión de respaldo?
OFICIAL DE AWSActualizada hace 3 años