Tengo una puerta de enlace de AWS Direct Connect con mi conexión principal configurada como en las instalaciones. También tengo una conexión de VPN de respaldo para conmutación por error con mi conexión de AWS Direct Connect. El tráfico de mi conexión en las instalaciones a AWS prioriza la conexión de respaldo (conexión de VPN) y no la conexión principal (conexión de Direct Connect). ¿Por qué sucede esto y cómo puedo solucionarlo?
Descripción corta
Las puertas de enlace de cliente prefieren la ruta más específica a Amazon Virtual Private Cloud (Amazon VPC). Si la conexión de VPN tiene la ruta más específica, entonces se prefiere frente a la conexión de Direct Connect.
Resolución
AWS Site-to-Site VPN admite dos tipos de implementación: estática y dinámica. En función del caso de uso, consulte la resolución correspondiente.
VPN estática:
Configure su puerta de enlace de cliente con rutas menos específicas para la conexión de VPN que para la conexión de Direct Connect.
VPN dinámica:
Confirme que anuncia las mismas rutas a través de la conexión de VPN y de la conexión de Direct Connect.
Si la puerta de enlace de cliente recibe las mismas rutas a través de las conexiones de VPN y Direct Connect, siempre prefiere la de Direct Connect.
Sin embargo, si la puerta de enlace de cliente tiene una ruta más específica a través de la conexión de VPN que de la de Direct Connect, entonces se prefiere la de VPN. Por ejemplo, Direct Connect tiene un máximo de 20 prefijos permitidos. Si se agregan rutas resumidas para cubrir todos los prefijos, los CIDR anunciados a través de la VPN se vuelven más específicos que los CIDR anunciados a través de Direct Connect. Como resultado, la puerta de enlace de cliente da prioridad a la conexión de VPN frente a la de Direct Connect.
Para resolver este problema, siga estos pasos:
- Agregue la misma ruta asociada a Direct Connect a la tabla de enrutamiento de la VPN de sitio a sitio. Esto hace que la VPN de sitio a sitio anuncie las rutas específicas y la ruta que agregó.
- En la puerta de enlace de cliente, filtre las rutas específicas anunciadas por la VPN de sitio a sitio. La puerta de enlace de cliente tiene entonces las mismas rutas en ambas conexiones y prefiere la conexión de Direct Connect.
Tráfico desde AWS a la puerta de enlace de cliente
Si el tráfico procede de una conexión de AWS a la puerta de enlace de cliente, se prefiere la ruta más específica. Si las rutas son iguales, AWS prefiere una conexión de Direct Connect frente a una conexión VPN para la misma subred en las instalaciones.
A fin de configurar la conexión de AWS para que prefiera la VPN frente a Direct Connect:
- En el caso de una VPN estática, agregue una ruta más específica en la tabla de enrutamiento de VPN estática.
- En el caso de una VPN de protocolo de puerta de enlace fronteriza (BGP), anuncie una ruta menos específica frente a la conexión de Direct Connect. Como se prefiere la ruta más específica, se prefiere la conexión de VPN.
Información relacionada
Tablas de enrutamiento y prioridad de rutas de VPN
Prioridad de la ruta