¿Cómo puedo configurar mi conexión de Site-to-Site VPN para que prefiera el túnel A al túnel B?

5 minutos de lectura

Mi conexión de AWS Site-to-Site VPN consta de dos túneles de red privada virtual (VPN). Estos túneles se encuentran entre un dispositivo de puerta de enlace de cliente y una puerta de enlace privada virtual o una puerta de enlace de tránsito. ¿Cómo puedo asegurarme de que se preferirá el túnel A al túnel B cuando se envíe tráfico desde AWS a una red local?

Solución

VPN estáticas creadas entre una puerta de enlace de cliente y una puerta de enlace privada virtual o una puerta de enlace de tránsito

En este escenario, la puerta de enlace privada virtual o la puerta de enlace de tránsito envía el tráfico de AWS a la red local por un único túnel de VPN. AWS elige este túnel, el preferido, al azar.

Si la conexión de AWS VPN (tipo de enrutamiento estático) tiene una configuración de tipo Activo/Activo (ambos túneles están activos), no puede configurar AWS para que prefiera un túnel específico para enviar tráfico. Por ejemplo, supongamos que AWS ha elegido al azar el túnel A como túnel de VPN preferido para enviar tráfico desde AWS a la red local. Si el túnel A deja de funcionar, se producirá una conmutación por error automática del tráfico de AWS al túnel B.
Nota: Con una configuración de tipo Activo/Activo, la puerta de enlace de cliente debe tener activado el enrutamiento asimétrico en las interfaces del túnel virtual.

Si la conexión VPN de AWS (tipo de enrutamiento estático) tiene una configuración de tipo Activo/Pasivo (el túnel A está ACTIVO, pero el túnel B está INACTIVO), el tráfico de AWS a la red local atravesará el túnel A porque está en estado ACTIVO.

VPN dinámicas creadas entre una puerta de enlace de cliente y una puerta de enlace privada virtual o una puerta de enlace de tránsito

En el caso de configuraciones de puerta de enlace privada virtual o puerta de enlace de tránsito con la opción ECMP desactivada

El tráfico de AWS a la red local se envía a través del túnel preferido (elegido al azar por AWS) cuando la conexión VPN de AWS:

Tiene una configuración de tipo Activo/Activo (ambos túneles están activos).
Anuncia los mismos prefijos para la puerta de enlace privada virtual o la puerta de enlace de tránsito con los mismos atributos del protocolo de puerta de enlace fronteriza (BGP).
Nota: Con una configuración de tipo Activo/Activo, la puerta de enlace de cliente debe tener activado el enrutamiento asimétrico en las interfaces del túnel virtual.

Si la conexión VPN de AWS (tipo de enrutamiento dinámico) tiene una configuración de tipo Activo/Pasivo (el túnel A está ACTIVO, pero el túnel B está INACTIVO), el tráfico de AWS a la red local atravesará el túnel A porque está en estado ACTIVO.

En el caso de configuraciones de puertas de enlace de tránsito con la opción ECMP activada

La puerta de enlace de tránsito equilibra la carga del tráfico desde AWS a la red local entre los túneles de VPN si se cumple lo siguiente:

Se anuncian los mismos prefijos desde el dispositivo de puerta de enlace de cliente a través de los túneles.
Los atributos del BGP de los prefijos anunciados desde el dispositivo de puerta de enlace de cliente deben ser idénticos en los túneles de VPN. Estos atributos del BGP están precedidos por AS-Path y el primer AS de AS_SEQUENCE, MED.

En el caso de conexiones VPN dinámicas de AWS

Aproveche los criterios de orden de preferencia para configurar el dispositivo de puerta de enlace de cliente de modo que prefiera un túnel VPN a otro:

Anuncie un prefijo más específico para la puerta de enlace privada virtual o la puerta de enlace de tránsito en el túnel en el que el cliente prefiera recibir el tráfico de AWS.
En el caso de los prefijos coincidentes en los que cada conexión de VPN usa el BGP, se compara AS PATH y se prefiere el prefijo con el valor más corto de AS PATH.
Si la longitud de AS PATH es la misma en ambos casos, y el primer AS de AS_SEQUENCE es el mismo en varias rutas, se compararán los discriminadores de varias salidas (MED). Se prefiere la ruta con el valor de MED más bajo.

Nota: Se recomienda evitar anteponer AS Path para que ambos túneles tengan el mismo valor de AS PATH. Si el valor de AS PATH es el mismo en ambos casos, el valor del MED que AWS establezca en el túnel durante las actualizaciones de los puntos de enlace del túnel de VPN determinará la prioridad del túnel.

La opción ECMP no es compatible con las conexiones de Site-to-Site VPN en una puerta de enlace privada virtual.
La opción ECMP es compatible con las conexiones de Site-to-Site VPN en una puerta de enlace de tránsito.

Temas

Redes y entrega de contenido

Etiquetas

AWS Virtual Private Network (VPN)

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Contenido relevante

¿Cómo puedo solucionar los problemas de inactividad, inestabilidad o desconexión de los túneles de VPN en mi dispositivo de puerta de enlace de cliente?
OFICIAL DE AWSActualizada hace un año
¿Cómo utilizo un BGP dinámico para crear un túnel VPN entre AWS y Oracle Cloud Infrastructure?
OFICIAL DE AWSActualizada hace 10 meses
El túnel VPN entre la puerta de enlace de cliente y la puerta de enlace privada virtual está activo, pero el tráfico no pasa por él. ¿Qué puedo hacer?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo lograr el enrutamiento ECMP con varios túneles Site-to-Site VPN asociados a una puerta de enlace de tránsito?
OFICIAL DE AWSActualizada hace un año