Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

¿Cómo puedo solucionar los problemas de conmutación por error de Direct Connect y VPN?

7 minutos de lectura
0

Quiero solucionar mis problemas de conmutación por error de AWS Direct Connect y VPN.

Resolución

Solucione sus problemas de conmutación por error de AWS Direct Connect y VPN en función de la VPN que utilice:

  • VPN basada en una puerta de enlace virtual
  • VPN basada en AWS Transit Gateway

VPN basada en una puerta de enlace virtual

El tráfico de AWS a las redes locales prefiere Direct Connect en lugar de las conexiones VPN dinámicas o estáticas. Es posible que el tráfico no cambie por los siguientes motivos:

VPN basada en el BGP

  • La puerta de enlace de cliente no anuncia el prefijo local de la sesión del BGP en el túnel VPN.
  • La puerta de enlace de cliente filtra el prefijo anunciado en la sesión del BGP en VPN.
  • La política de firewall no permite el tráfico entrante o saliente entre AWS y las redes locales.
  • En las conexiones VPN con ambos túneles activos (activo/activo), compruebe si la puerta de enlace de cliente admite el enrutamiento asimétrico. AWS elige aleatoriamente el túnel de salida si anuncia los mismos prefijos. Para obtener más información, consulte How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?
  • Una ruta estática de la red de AWS apunta a la puerta de enlace del mismo nivel de Direct Connect en lugar de depender de las rutas del BGP.

VPN estática

  • La conexión VPN no tiene una ruta estática para la red local agregada a la ruta de la conexión VPN.
  • La puerta de enlace de cliente no tiene una ruta estática para el CIDR de AWS que apunte a la interfaz de túnel. Si hay una ruta estática para la red de AWS, asegúrese de que apunte a la interfaz de túnel correcta. Si utiliza una VPN basada en políticas, asegúrese de que la política coincida con las redes locales y de AWS.
  • La política de firewall no permite el tráfico entrante o saliente entre AWS y las redes locales.
  • En las conexiones VPN con ambos túneles activos (activo/activo), compruebe si la puerta de enlace de cliente admite el enrutamiento asimétrico. AWS elige aleatoriamente el túnel de salida si anuncia los mismos prefijos. Para obtener más información, consulte How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?

Puerta de enlace privada virtual

Para una VPN como respaldo de Direct Connect que termine en una puerta de enlace privada virtual, asegúrese de lo siguiente:

  • En el caso de las VPN dinámicas, anuncie el mismo prefijo en la VPN y Direct Connect. AWS prefiere Direct Connect. Para el dispositivo local, asegúrese de que se prefiera Direct Connect como ruta de salida hacia AWS.
  • Para las VPN estáticas, utilice la misma ruta estática para la red local que la ruta anunciada por la puerta de enlace de cliente a través de Direct Connect. Las puertas de enlace privadas virtuales prefieren Direct Connect como ruta de salida a la red local. Asegúrese de tener una ruta menos específica para el CIDR de Amazon Virtual Private Cloud (Amazon VPC). Las rutas estáticas en las puertas de enlace de cliente tienen métricas más bajas que las rutas del BGP.

Nota: Para las VPN basadas en puertas de enlace privadas virtuales, envíe un valor MED de 100 y 200. Si no se aplica ningún filtro de importación a las rutas recibidas, la puerta de enlace de cliente prefiere Direct Connect debido a su valor MED de 0.

VPN basada en Transit Gateway

Direct Connect asociado a Transit Gateway utiliza la puerta de enlace de Direct Connect y permite un máximo de 200 prefijos. Para las VPN dinámicas, Transit Gateway anuncia las rutas en función de la tabla de enrutamiento de Transit Gateway asociada a la conexión VPN. Además, la puerta de enlace de cliente recibe prefijos específicos a través de la conexión VPN y prefiere enrutar los prefijos de AWS desde el túnel VPN.

Es posible que su tráfico no se conmute por los siguientes motivos:

VPN basada en el BGP

  • La puerta de enlace de cliente no anuncia el prefijo local de la sesión del BGP en el túnel VPN.
  • La puerta de enlace de cliente filtra el prefijo anunciado en la sesión del BGP en VPN.
  • La tabla de enrutamiento de Transit Gateway asociada al origen del tráfico.
  • La política de firewall no permite el tráfico entrante o saliente entre AWS y las redes locales.
  • En las conexiones VPN con ambos túneles activos (activo/activo), compruebe si la puerta de enlace de cliente admite el enrutamiento asimétrico. AWS elige aleatoriamente el túnel de salida si anuncia los mismos prefijos. Para obtener más información, consulte How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?
  • Una ruta estática de la red de AWS apunta a la puerta de enlace del mismo nivel de Direct Connect en lugar de depender de las rutas del BGP.

VPN estática

  • La conexión VPN no tiene una ruta estática para la red local agregada en la tabla de enrutamiento de Transit Gateway que apunte al adjunto de la conexión VPN.
  • La puerta de enlace de cliente no tiene una ruta estática para el CIDR de AWS que apunte a la interfaz de túnel. Si hay una ruta estática para la red de AWS, asegúrese de que apunte a la interfaz de túnel correcta. Si utiliza una VPN basada en políticas, asegúrese de que la política coincida con las redes locales y de AWS.
  • La política de firewall no permite el tráfico entrante o saliente entre AWS y las redes locales.
  • Para las VPN aceleradas, asegúrate de que NAT-T esté activado. Para obtener más información, consulte How can I troubleshoot issues with Accelerated VPN?
  • En las conexiones VPN con ambos túneles activos (activo/activo), compruebe si la puerta de enlace de cliente admite el enrutamiento asimétrico. AWS elige aleatoriamente el túnel de salida si anuncia los mismos prefijos. Para obtener más información, consulte How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?

Transit Gateway

Para una VPN como respaldo de Direct Connect que termine en Transit Gateway, asegúrese de lo siguiente:

  • En el caso de las VPN dinámicas, anuncie el mismo prefijo en la VPN y Direct Connect. AWS prefiere Direct Connect. Para el dispositivo local, filtre la ruta específica aprendida a través de la conexión VPN. Asegúrese de que el tráfico que sale de la puerta de enlace de cliente prefiera Direct Connect en lugar de la conexión VPN.
  • Para las VPN estáticas del lado de AWS, añada rutas estáticas menos específicas para la red local en Transit Gateway que apunten al adjunto de la VPN. Se prefieren las rutas estáticas a las rutas propagadas desde Direct Connect (el tráfico de salida hacia la puerta de enlace de cliente prefiere la VPN). En el lado local, asegúrese de tener una ruta menos específica para el CIDR de Amazon VPC. Las rutas estáticas tienen métricas más bajas que las rutas del BGP.

Nota: Para las conexiones VPN basadas en Transit Gateway, envíe un valor MED de 100 en ambos túneles VPN. Si no se aplica ningún filtro de importación a las rutas recibidas, la puerta de enlace de cliente prefiere Direct Connect debido a su valor MED de 0.

Información relacionada

Para obtener más información, consulte ¿Cómo puedo resolver los problemas de enrutamiento asimétrico cuando creo una VPN como copia de seguridad de Direct Connect en una gateway de tránsito?

How do I configure Direct Connect and VPN failover with Transit Gateway?

Tengo una puerta de enlace de Direct Connect de conexión principal con una conexión de VPN de respaldo. ¿Por qué el tráfico da prioridad a la conexión de respaldo?

Temas
Redes y entrega de contenido
Etiquetas
AWS Direct Connect
Idioma
Español
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 10 meses

Contenido relevante