¿Cómo evito la asimetría en una VPN basada en rutas con enrutamiento estático?

5 minutos de lectura

Quiero evitar el enrutamiento asimétrico en una VPN basada en rutas que está configurada para el enrutamiento estático.

Descripción breve

La VPN de sitio a sitio de AWS proporciona dos puntos de conexión por conexión VPN para llegar a la misma red de destino. AWS usa uno de los túneles activos para dirigir el tráfico al mismo destino.

Los túneles VPN suelen estar alojados en firewalls «con estado». Los dispositivos de firewall esperan que un paquete utilice la misma interfaz de túnel para enviar y recibir tráfico. El enrutamiento asimétrico se produce cuando el paquete entra en Amazon Virtual Private Cloud (Amazon VPC) a través de un túnel y sale por el otro túnel en la misma VPN de sitio a sitio. Cuando el paquete regresa a través de otra interfaz de túnel, no coincide con la sesión «con estado» y, por lo tanto, se descarta.

Resolución

No es necesario crear una nueva VPN con enrutamiento dinámico para abordar el problema del enrutamiento asimétrico. En su lugar, siga utilizando el enrutamiento estático después de realizar cambios para reflejar la lógica de enrutamiento dinámico, como se muestra a continuación.

Requisito previo

Confirme que tiene un enrutamiento asimétrico consultando las métricas de Amazon CloudWatch:

Ver las métricas de cada túnel

Si solo tiene una conexión VPN con configuración activa/activa:

Abra la consola de CloudWatch.
En el panel de navegación, seleccione Métricas.
En Todas las métricas, seleccione el espacio de nombres de métricas de VPN.
Seleccione Métricas del túnel VPN.
Seleccione las métricas TunnelDataIn y TunnelDataOut de CloudWatch. Si hay un enrutamiento asimétrico, un túnel tiene puntos de datos para la métrica TunnelDataIn. El segundo túnel tiene puntos de datos para la métrica TunnelDataOut.

Ver las métricas de toda la conexión VPN (métricas agregadas)

Si tiene varias conexiones VPN:

Abra la consola de CloudWatch.
En el panel de navegación, seleccione Métricas.
En Todas las métricas, seleccione el espacio de nombres de métricas de VPN.
Seleccione Métricas de conexión VPN.
Seleccione las métricas TunnelDataIn y TunnelDataOut de CloudWatch. Si hay un enrutamiento asimétrico, una conexión tiene puntos de datos para la métrica TunnelDataIn. La otra conexión tiene puntos de datos para la métrica TunnelDataOut.

Para obtener más información sobre las métricas de los túneles, consulte Supervisión de túneles VPN mediante CloudWatch.

Escenarios de enrutamiento asimétrico

Revise las siguientes opciones para evitar el enrutamiento asimétrico en estos escenarios:

Una única conexión VPN configurada como Activa/Activa

Para evitar el enrutamiento asimétrico:

Utilice la función de agregación de IPSec si la puerta de enlace de cliente la admite. Para obtener más información, consulte el agregado de IPSec para la redundancia y el equilibrio de carga de los túneles en el sitio web de Fortinet.
Si la puerta de enlace de cliente admite el enrutamiento asimétrico, asegúrese de que el enrutamiento asimétrico esté activado en las interfaces del túnel virtual.
Si la puerta de enlace de cliente no admite el enrutamiento asimétrico, asegúrese de que la configuración de VPN sea activa/pasiva. Esta configuración identifica un túnel como UP (ACTIVO) y el segundo como DOWN (INACTIVO). En esta configuración, el tráfico de AWS a la red local solo atraviesa el túnel en estado UP (ACTIVO). Para obtener más información, consulte ¿Cómo configuro mi VPN de sitio a sitio para que prefiera el túnel A en lugar del túnel B?

Dos conexiones VPN (VPN-Pry y VPN-sec) se conectan a la misma VPC

En este escenario, las conexiones VPN se conectan a la misma Amazon VPC mediante la misma puerta de enlace privada virtual.

Nota: Este escenario solo se aplica a las conexiones VPN con la puerta de enlace privada virtual.

Ambas conexiones:

Utilizan el enrutamiento estático
Anuncian los mismos prefijos locales. Por ejemplo, 10.170.0.0/20 y 10.167.0.0/20
Se conectan a la misma VPC a través de la puerta de enlace privada virtual
Tienen diferentes IP públicas de puerta de enlace de cliente

Implemente lo siguiente para evitar el enrutamiento asimétrico:

Rutas estáticas para VPN-Pry (conexión principal):

10.170.0.0/21

10.170.8.0/21

10.167.0.0/21

10.167.8.0/21

Rutas estáticas para VPN-Sec (conexión secundaria):

10.170.0.0/20

10.167.0.0/20

En esta configuración, AWS elige VPN-Pry como la conexión preferida en lugar de VPN-sec. AWS utiliza la coincidencia de prefijos más larga de la tabla de enrutamiento que coincida con el tráfico para determinar cómo enrutar el tráfico.

Nota: Si su puerta de enlace de cliente no tiene un enrutamiento asimétrico en este escenario, configure cada configuración de VPN como activa/pasiva. Al hacerlo, se identifica un túnel como activo por conexión VPN. El tráfico pasa por error al túnel activo de la conexión secundaria si ambos túneles de la conexión activa están inactivos.

Para obtener más información sobre la prioridad de la ruta VPN, consulte las Tablas de enrutamiento y la prioridad de la ruta de VPN.

Temas

Redes y entrega de contenido

Etiquetas

AWS Virtual Private Network (VPN)

Idioma

Español

OFICIAL DE AWSActualizada hace un año

Contenido relevante

¿Cómo puedo resolver los problemas de enrutamiento asimétrico cuando creo una VPN como copia de seguridad de Direct Connect en una gateway de tránsito?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo soluciono los problemas de conexión entre un punto de conexión VPN de AWS y una VPN basada en políticas?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo crear un punto de conexión de Client VPN mediante la autenticación basada en certificados?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo elimino o termino un punto de conexión de VPN de cliente en AWS Client VPN?
OFICIAL DE AWSActualizada hace 2 años