Comment gérer le routage asymétrique avec Direct Connect ?

Lecture de 10 minute(s)

Je souhaite utiliser AWS Direct Connect avec des interfaces virtuelles publiques, privées et de transit afin de gérer le routage asymétrique entre mon réseau sur site et les ressources AWS.

Résolution

La résolution suivante explique comment gérer le flux de trafic sortant depuis AWS vers votre réseau sur site. Pour le flux de trafic entrant de votre réseau sur site vers AWS, vous devez utiliser les options de routage préférées pour définir la préférence pour un chemin particulier.

Pour gérer le routage asymétrique avec Direct Connect, utilisez la longueur du préfixe et les attributs du protocole de passerelle frontière (BGP) afin de déterminer la sélection du chemin pour différents types d'interfaces virtuelles.

Remarque : pour les interfaces virtuelles publiques, AWS utilise AS_PATH et le préfixe le plus long pour déterminer le chemin de routage.

Utiliser des préfixes spécifiques pour préférer Direct Connect à Internet

Si vous annoncez le même préfixe à la fois sur Internet et sur une interface virtuelle publique, utilisez des routes plus spécifiques sur l'interface virtuelle publique. Le trafic préfère alors Direct Connect.

Par exemple, vous annoncez le préfixe 80.80.80./24 à la fois sur Internet et sur votre interface virtuelle publique. Pour permettre au trafic de préférer l'interface virtuelle publique, remplacez le préfixe de votre interface virtuelle par un préfixe plus spécifique, tel que 80.80.80.0/25 ou 80.80.80.128/25.

Acheminer le trafic depuis la région d'origine et la région distante avec des attributs BGP et des longueurs de préfixes identiques

AWS donne la priorité à la région AWS d'origine pour le trafic sortant dans le scénario suivant :

Vous annoncez les mêmes préfixes sur les interfaces virtuelles publiques de la région d'origine et de la région distante avec des attributs BGP et des longueurs de préfixes identiques.

Pour effectuer un routage entre les régions, annoncez votre préfixe sur les interfaces virtuelles publiques de la région d'origine et de la région distante. Cette configuration permet au trafic de préférer l'interface virtuelle située dans la même région que le VPC.

Acheminer le trafic depuis la région d'origine et la région distante avec des longueurs de préfixes identiques

AWS donne la priorité au lien ayant le chemin AS_PATH le plus court dans le scénario suivant :

Vous annoncez les mêmes préfixes sur les interfaces virtuelles publiques de la région d'origine et de la région distante avec des longueurs de préfixes identiques.

Pour acheminer le trafic entre plusieurs régions, annoncez votre préfixe sur les interfaces virtuelles de la région d'origine et de la région distante. Ensuite, annoncez votre préfixe sur l'interface virtuelle de votre région d'origine avec un chemin AS_PATH plus long. Cette configuration permet au trafic provenant du VPC de votre région d'origine de préférer l'interface virtuelle de la région distante.

Acheminer le trafic provenant de deux régions distantes avec des longueurs de préfixes identiques

AWS donne la priorité au lien ayant le chemin AS_PATH le plus court dans le scénario suivant :

Vous annoncez les mêmes préfixes à partir d'interfaces virtuelles publiques de deux régions distantes avec des longueurs de préfixes identiques.

Pour acheminer le trafic entre plusieurs régions, annoncez votre préfixe sur les interfaces virtuelles publiques des régions distantes. Ensuite, annoncez votre préfixe sur l'une des interfaces virtuelles publiques distantes avec un chemin AS_PATH plus long. Cette configuration permet au trafic provenant du VPC de la région d'origine de préférer l'interface virtuelle distante qui ne possède pas le chemin AS_PATH le plus long.

Acheminer le trafic provenant de plusieurs régions avec un ASN public et un ASN privé

Remarque : le préfixage fonctionne avec un numéro de système autonome (ASN) public, et votre ASN prédéfini est visible par les autres réseaux. Si vous utilisez le préfixe avec un ASN privé, AWS remplace votre ASN privé par l'ASN 7224. Lorsque vous utilisez un ASN privé sur une interface virtuelle publique, le préfixage de l'ASN ne détermine pas les décisions de routage en dehors d'AWS.

AWS donne la priorité au lien ayant le chemin AS_PATH le plus court dans le scénario suivant :

Vous annoncez les mêmes préfixes à partir d'interfaces virtuelles publiques de deux régions avec des longueurs de préfixes identiques.

Pour acheminer le trafic entre plusieurs régions lorsque vous utilisez des ASN publics et privés, annoncez votre préfixe sur les interfaces virtuelles de chaque région distante. Dans une région distante, annoncez votre préfixe avec un chemin AS_PATH d’ASN privé le plus long. Dans l'autre région distante, annoncez votre préfixe avec un chemin AS_PATH d’ASN public le plus court. Cette configuration permet au trafic provenant du VPC de la région d'origine de préférer l'interface virtuelle avec le chemin AS_PATH d’ASN privé le plus long.

Remarque : Direct Connect remplace les ASN par les ASN publics de votre passerelle Direct Connect ou par l'ASN de la région. Sur le réseau AWS, Direct Connect voit « [votre préfixe], as_path [YOUR_PUBLIC_ASN] » depuis l'interface virtuelle avec le chemin AS_PATH de l’ASN privé le plus long. À partir de l'interface virtuelle avec l'ASN public plus court AS_PATH, ** « [votre préfixe], as_path [YOUR_PUBLIC_ASN] 1111 1111 » apparaît**.

Partage de charge à partir de plusieurs connexions dans la même région

Pour modifier le partage de la charge du trafic sortant entre plusieurs connexions Direct Connect, annoncez des préfixes avec les mêmes attributs de chemin.

Remarque : vous ne pouvez utiliser des interfaces virtuelles de partage de charge que dans la même région.

Pour partager la charge à partir de plusieurs connexions, annoncez votre préfixe avec la même longueur de préfixe sur toutes les interfaces virtuelles publiques situées dans la même région que votre VPC.

Utiliser les préférences locales pour choisir un chemin réseau pour les interfaces virtuelles privées et de transit

Utilisez les communautés BGP pour modifier la préférence locale. Une préférence locale plus élevée est préférable.

Pour définir la préférence locale, utilisez l'une des identifications de communauté BGP suivantes :

7224:7100 (faible préférence)
7224:7200 (préférence moyenne)
7224:7300 (préférence élevée)

Les exemples de scénarios suivants montrent comment utiliser les préférences locales pour choisir un chemin réseau pour les interfaces virtuelles privées et de transit. Les scénarios supposent que vous avez connecté vos interfaces virtuelles de transit à une seule passerelle Direct Connect.

Remarque : il est recommandé d'utiliser l'attribut BGP de préférence locale avec les chemins de routage pour les connexions actives et passives et lorsque vous annoncez les mêmes longueurs de préfixes. Vous devez définir la valeur de préférence locale pour chaque région afin de privilégier les emplacements Direct Connect associés à la même région. Définissez la valeur sur 7224:7200 (préférence moyenne). Si vous n'avez pas associé la région locale à l'emplacement Direct Connect, définissez la préférence locale sur une valeur inférieure. Cela s'applique uniquement lorsque vous n'attribuez pas d’identifications de communauté de préférence locale.

Deux interfaces virtuelles dans la même région

Lorsque deux interfaces virtuelles se trouvent dans la même région, ajoutez une identification de communauté à votre interface virtuelle principale. N'ajoutez pas d’identification de communauté à votre interface virtuelle secondaire. Puis, annoncez votre préfixe sur les deux interfaces virtuelles. Cette configuration permet au trafic provenant du VPC de la même région de préférer l'interface virtuelle avec l’identification de communauté.

Remarque : la valeur par défaut de la préférence locale BGP est 7224:7200 (préférence moyenne).

Une interface virtuelle dans une région différente

Vous disposez d'une interface virtuelle dans la même région que votre VPC et d'une autre dans une région distante. N'ajoutez pas d’identification de communauté à l'interface virtuelle d'accueil ou à l'interface virtuelle distante. Puis, annoncez votre préfixe sur les deux interfaces virtuelles. Cette configuration permet au trafic de préférer l'interface virtuelle située dans la même région que votre VPC.

Remarque : la valeur par défaut de la préférence locale BGP est 7224:7200 (préférence moyenne).

Interfaces virtuelles situées dans une région différente de celle de votre VPC

Les deux interfaces virtuelles se trouvent dans une région différente de celle de votre VPC. N'ajoutez d’identification de communauté à aucune des interfaces virtuelles distantes, puis annoncez votre préfixe sur les deux interfaces virtuelles. Cette configuration permet au trafic provenant du VPC d'équilibrer la charge sur les deux interfaces virtuelles distantes.

Utiliser l'attribut AS_PATH pour choisir un chemin réseau

Si l'option de préférence locale n'est pas disponible, utilisez l'attribut AS_PATH pour choisir un chemin réseau. Vous devez annoncer des préfixes avec des longueurs de chemin AS_PATH différentes pour diriger le trafic, mais uniquement lorsque vos préfixes ont la même préférence locale. Il est recommandé d'utiliser un chemin AS_PATH plus court.

Les exemples de scénarios suivants montrent comment utiliser l'attribut AS_PATH pour choisir un chemin réseau pour les interfaces virtuelles privées et de transit.

Remarque : les scénarios suivants supposent que vous avez connecté vos interfaces virtuelles de transit à une seule passerelle Direct Connect.

Deux interfaces virtuelles dans la même région

Vous disposez de deux interfaces virtuelles dans la même région. N'ajoutez pas d’identifications de communauté aux interfaces virtuelles. Annoncez votre préfixe sur les deux interfaces virtuelles, puis appliquez un chemin AS_PATH plus long à l'une des interfaces virtuelles. Cette configuration permet au trafic provenant du VPC de préférer l'interface virtuelle qui ne possède pas le chemin AS\ _PATH le plus long.

Remarque : la valeur par défaut de la préférence locale BGP est 7224:7200 (préférence moyenne).

Une interface virtuelle dans une région différente

Vous disposez d'une interface virtuelle dans la même région que votre VPC et d'une autre dans une région différente. N'ajoutez pas d’identifications de communauté à l'interface virtuelle de la région d'origine ou à l'interface virtuelle distante. Annoncez votre préfixe sur les deux interfaces virtuelles, puis choisissez une combinaison de préférences AS_PATH. Cette configuration permet au trafic de préférer l'interface virtuelle située dans la même région que le VPC.

Remarque : la valeur par défaut de la préférence locale BGP pour la région d'origine est 7224:7200 (préférence moyenne). Vous ne pouvez pas utiliser l'attribut AS_PATH pour modifier la préférence en « Région d'origine » : 7224:7200 = Préférence moyenne ». La préférence locale remplace toute préférence AS_PATH.

Interfaces virtuelles situées dans une région différente de celle de votre VPC

Les deux interfaces virtuelles se trouvent dans une région différente de celle de votre VPC. N'ajoutez d’identification de communauté à aucune de vos interfaces virtuelles. Annoncez votre préfixe sur les deux interfaces virtuelles avec la même préférence AS_PATH. Puis, appliquez un chemin AS_PATH plus long sur l'une des interfaces virtuelles. Cette configuration permet au trafic provenant du VPC de préférer l'interface virtuelle qui ne possède pas le chemin AS\ _PATH le plus long.

Remarque : la valeur par défaut de la préférence locale BGP pour les régions distantes est 7224:7100 (préférence faible).

Suivre les bonnes pratiques pour gérer le routage asymétrique

Implémentez les bonnes pratiques suivantes :

Pour les interfaces virtuelles publiques, utilisez des routes plus spécifiques sur Direct Connect dans la mesure du possible afin que votre trafic préfère la connexion dédiée à Internet.
Surveillez régulièrement vos routes BGP et vos modèles de trafic pour vous assurer que votre configuration de routage fonctionne.
Si vous utilisez plusieurs interfaces virtuelles à des fins de redondance, configurez votre réseau sur site pour gérer d'éventuels scénarios de routage asymétrique.
Testez vos configurations de routage avant de les implémenter dans des environnements de production.

Informations connexes

Politiques de routage Direct Connect et communautés BGP

Sujets: Networking & Content Delivery
Balises: AWS Direct Connect
Langue: Français

AWS OFFICIELA mis à jour il y a 5 mois

Aucun commentaire

Contenus pertinents

Appels sortants à partir de salesforce / Amazon Connect
benoit paternotte
demandé il y a 2 ans
IP public et SSH inaccessible sur un EC2
ogbadou
demandé il y a un an
Résillier tous les abonnements et les moniteurs
rePost-User-8704861
demandé il y a un an
Mon loadbalancer ne marche pas comme il devrait
zerros
demandé il y a 3 ans
Crash avec Lightsail
rePost-User-7022435
demandé il y a 3 ans
Comment résoudre les problèmes de routage asymétrique rencontrés lorsque je crée un VPN en tant que sauvegarde pour Direct Connect dans une passerelle de transit ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je dépanner et résoudre les problèmes de routage asymétrique et de trafic de retour sur ma passerelle de transit ?
AWS OFFICIELA mis à jour il y a 4 mois
Comment éviter l'asymétrie dans un VPN basé sur le routage avec un routage statique ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment configurer le routage de mon interface virtuelle privée Direct Connect ?
AWS OFFICIELA mis à jour il y a 4 ans