¿Cómo puedo configurar mi conexión de Site-to-Site VPN para que prefiera el túnel A al túnel B?

5 minutos de lectura

Quiero que mi conexión de AWS Site-to-Site VPN prefiera un túnel determinado cuando envíe tráfico desde AWS a una red local.

Resolución

Configura una Site-to-Site VPN para que prefiera un túnel determinado con VPN estáticas o dinámicas.

VPN estáticas entre una puerta de enlace de cliente y una puerta de enlace privada virtual o una puerta de enlace de tránsito

Con las VPN estáticas, la puerta de enlace privada virtual o la puerta de enlace de tránsito envía el tráfico de AWS a la red local por un único túnel de VPN. Site-to-Site VPN elige un túnel preferido. Para configurar una Site-to-Site VPN para que prefiera un túnel específico, utiliza una configuración activa/pasiva en la que el túnel A esté activo pero el túnel B esté inactivo. Como el túnel A está activo, el tráfico de Site-to-Site VPN a la red local atraviesa el túnel A.

Si la conexión de enrutamiento estático tiene una configuración activa/activa en la que ambos túneles están activos, no puedes configurar Site-to-Site VPN para que prefiera un túnel específico. Por ejemplo, Site-to-Site VPN puede elegir al azar el túnel A como el túnel de VPN preferido para enviar tráfico de AWS a la red local. Si el túnel A deja de funcionar, el tráfico de Site-to-Site VPN se transfiere automáticamente por error al túnel B.

VPN dinámicas creadas entre una puerta de enlace de cliente y una puerta de enlace privada virtual o una puerta de enlace de tránsito

Configuraciones de puerta de enlace privada virtual o puerta de enlace de tránsito con el enrutamiento ECMP desactivado

Si desactivas el enrutamiento de rutas múltiples de igual coste (ECMP), Site-to-Site VPN envía el tráfico a la red local a través del túnel A cuando se cumplen las siguientes condiciones:

La conexión de Site-to-Site VPN tiene una configuración activa/activa (ambos túneles están activos).
La conexión de Site-to-Site VPN anuncia los mismos prefijos para la puerta de enlace privada virtual o la puerta de enlace de tránsito con los mismos atributos del protocolo de puerta de enlace fronteriza (BGP).

Nota: Con una configuración activa/activa, debes activar el enrutamiento asimétrico en las interfaces de túnel virtual de la puerta de enlace de cliente.

El resultado de una configuración activa/pasiva es el mismo para el enrutamiento dinámico que para el enrutamiento pasivo. Como el túnel A está activo, el tráfico de Site-to-Site VPN a la red local atraviesa el túnel A.

Configuraciones de puertas de enlace de tránsito con el enrutamiento ECMP activado

Si activas el enrutamiento ECMP, la carga de la puerta de enlace de tránsito equilibra la carga del tráfico entre los túneles VPN cuando se cumplen las siguientes condiciones:

El dispositivo de puerta de enlace de cliente anuncia los mismos prefijos en los túneles.
Los atributos del BGP de los prefijos anunciados desde el dispositivo de puerta de enlace de cliente son idénticos en los túneles de VPN. Estos atributos de BGP incluyen el prefijo AS-Path, el primer sistema autónomo (AS) del AS_SEQUENCE y el discriminador de varias salidas (MED).

Para obtener más información, consulta ¿Cómo puedo lograr el enrutamiento ECMP con varios túneles Site-to-Site VPN asociados a una puerta de enlace de tránsito?

Para conocer las restricciones sobre el uso de ECMP con puerta de enlace de tránsito, consulta Enrutamiento de rutas múltiples de igual coste.

Configuraciones de puerta de enlace de cliente

Configura tu dispositivo de puerta de enlace de cliente para que prefiera un túnel de Site-to-Site VPN a otro. Para ello, realiza una de las siguientes acciones:

Anuncia un prefijo más específico para la puerta de enlace privada virtual o la puerta de enlace de tránsito en el túnel preferido.
Acorta el valor de AS PATH. Si los prefijos coinciden y cada conexión VPN usa BGP, la puerta de enlace de cliente prefiere el prefijo con el AS PATH más corto.
Reduce el valor de MED. Si los valores de AS PATH tienen la misma longitud y el primer valor de AS de AS_SEQUENCE es el mismo en todas las rutas, la puerta de enlace de cliente compara los valores de MED. La puerta de enlace de cliente prefiere la ruta con el valor de MED más bajo.

Nota: Se recomienda no anteponer los valores de AS PATH para que ambos túneles tengan un valor de AS PATH igual. Si el valor de AS PATH es el mismo en ambos casos, el valor de MED que AWS establezca en el túnel durante las actualizaciones de los puntos de enlace del túnel de VPN determinará la prioridad del túnel.

Nota: AWS VPN no admite la opción ECMP para las conexiones de Site-to-Site VPN en una puerta de enlace privada virtual. AWS VPN no admite la opción ECMP para las conexiones de Site-to-Site VPN en una puerta de enlace de tránsito.

Temas: Networking & Content Delivery
Etiquetas: AWS Virtual Private Network (VPN)
Idioma: Español

OFICIAL DE AWSActualizada hace 10 meses

Sin comentarios

Contenido relevante

Seguridad entre dos instancias de EC2
cesar_hernandez
preguntada hace 9 meses
Problema de Conexión entre MySQL Externo y AWS
Levi Hernandez
preguntada hace un año
Conexion a mi instancia
User-8146114
preguntada hace un año
Problema de cors en cloudfront
Jorge
preguntada hace un año
no me puedo conectar a mi servidor
User-8377706
preguntada hace 7 meses
¿Cómo compruebo el estado actual de mi túnel VPN?
OFICIAL DE AWSActualizada hace 10 meses
¿Cómo soluciono los problemas de conectividad del túnel VPN con una Amazon VPC?
OFICIAL DE AWSActualizada hace 10 meses
¿Cómo desactivo las notificaciones de túnel único para mi Site-to-Site VPN?
OFICIAL DE AWSActualizada hace 7 meses
¿Cómo utilizo un BGP dinámico para crear un túnel VPN entre AWS y Oracle Cloud Infrastructure?
OFICIAL DE AWSActualizada hace 3 años