Comment résoudre les problèmes liés à Direct Connect et au basculement du VPN ?

Lecture de 7 minute(s)
0

Je souhaite résoudre des problèmes liés à AWS Direct Connect et au basculement du VPN.

Résolution

La procédure de résolution des problèmes liés à AWS Direct Connect et au basculement du VPN dépend du VPN que vous utilisez :

  • VPN basé sur une passerelle virtuelle
  • VPN basé sur AWS Transit Gateway

VPN basé sur une passerelle virtuelle

Le trafic d'AWS vers le réseau sur site privilégie Direct Connect aux connexions VPN dynamiques ou statiques. Il se peut que le basculement de votre trafic échoue pour les raisons suivantes :

VPN basé sur BGP

  • La passerelle client n'annonce pas le préfixe sur site issu de la session BGP sur le tunnel VPN.
  • La passerelle client filtre le préfixe annoncé sur la session BGP VPN.
  • La politique de pare-feu n'autorise pas le trafic entrant ou sortant entre AWS et le réseau sur site.
  • Pour les connexions VPN avec les deux tunnels actifs (actif/actif), vérifiez si la passerelle client prend en charge le routage asymétrique. AWS choisit le tunnel de sortie de manière aléatoire si vous annoncez les mêmes préfixes. Pour en savoir plus, consultez la page Comment configurer mon VPN de site à site pour privilégier le tunnel A au tunnel B ?
  • Un routage statique lié au réseau AWS pointe vers la passerelle homologue Direct Connect au lieu de reposer sur des routages BGP.

VPN statique

  • La connexion VPN ne présente aucun routage statique pour le réseau sur site ajouté sous le routage de connexion VPN.
  • La passerelle client ne possède pas de routage statique pour le routage inter-domaines sans classe (CIDR) d'AWS pointant vers l'interface de tunnel. S'il existe un routage statique pour le réseau AWS, assurez-vous qu'il pointe vers la bonne interface de tunnel. Si vous utilisez un VPN basé sur une politique, assurez-vous qu'elle correspond aux réseaux AWS et sur site.
  • La politique de pare-feu n'autorise pas le trafic entrant ou sortant entre AWS et le réseau sur site.
  • Pour les connexions VPN avec les deux tunnels actifs (actif/actif), vérifiez si la passerelle client prend en charge le routage asymétrique. AWS choisit le tunnel de sortie de manière aléatoire si vous annoncez les mêmes préfixes. Pour en savoir plus, consultez la page Comment configurer mon VPN de site à site pour privilégier le tunnel A au tunnel B ?

Passerelle privée virtuelle

Pour un VPN servant de sauvegarde à Direct Connect qui prend fin sur une passerelle privée virtuelle, vérifiez ce qui suit :

  • Pour les VPN dynamiques, annoncez le même préfixe sur le VPN et sur Direct Connect. AWS privilégie Direct Connect. Pour le périphérique sur site, assurez-vous que Direct Connect est privilégié comme chemin de sortie vers AWS.
  • Pour les VPN statiques, utilisez le même routage statique pour le réseau sur site que celui annoncé par la passerelle client via Direct Connect. Les passerelles privées virtuelles privilégient Direct Connect comme chemin de sortie vers le réseau sur site. Assurez-vous de disposer d'un routage moins spécifique pour le CIDR Amazon Virtual Private Cloud (Amazon VPC). Les routages statiques sur les passerelles clients ont des métriques inférieures à celles des routages BGP.

Remarque : Pour les VPN basés sur une passerelle privée virtuelle, envoyez une valeur MED de 100 et 200. Si aucun filtre d'importation n'est appliqué aux routages reçus, la passerelle client privilégie Direct Connect en raison de sa valeur MED de 0.

VPN basé sur Transit Gateway

Direct Connect associé à Transit Gateway utilise la passerelle Direct Connect et autorise un maximum de 200 préfixes. Pour les VPN dynamiques, Transit Gateway annonce les routages en fonction de la table de routage de Transit Gateway associée à la connexion VPN. De plus, la passerelle client reçoit des préfixes spécifiques via la connexion VPN et privilégie le routage des préfixes AWS à partir du tunnel VPN.

Il se peut que le basculement de votre trafic échoue pour les raisons suivantes :

VPN basé sur BGP

  • La passerelle client n'annonce pas le préfixe sur site issu de la session BGP sur le tunnel VPN.
  • La passerelle client filtre le préfixe annoncé sur la session BGP VPN.
  • La table de routage Transit Gateway est associée à la source de trafic.
  • La politique de pare-feu n'autorise pas le trafic entrant ou sortant entre AWS et le réseau sur site.
  • Pour les connexions VPN avec les deux tunnels actifs (actif/actif), vérifiez si la passerelle client prend en charge le routage asymétrique. AWS choisit le tunnel de sortie de manière aléatoire si vous annoncez les mêmes préfixes. Pour en savoir plus, consultez la page Comment configurer mon VPN de site à site pour privilégier le tunnel A au tunnel B ?
  • Un routage statique lié au réseau AWS pointe vers l'homologue Direct Connect au lieu de reposer sur des routages BGP.

VPN statique

  • La connexion VPN ne présente aucun routage statique pour le réseau sur site ajouté sous la table de routage Transit Gateway qui pointe vers l'association de connexion VPN.
  • La passerelle client ne possède pas de routage statique pour le routage inter-domaines sans classe (CIDR) d'AWS pointant vers l'interface de tunnel. S'il existe un routage statique pour le réseau AWS, assurez-vous qu'il pointe vers la bonne interface de tunnel. Si vous utilisez un VPN basé sur une politique, assurez-vous qu'elle correspond aux réseaux AWS et sur site.
  • La politique de pare-feu n'autorise pas le trafic entrant ou sortant entre AWS et le réseau sur site.
  • Pour les VPN accélérés, assurez-vous que NAT-T est activé. Pour en savoir plus, consultez la page Comment puis-je résoudre les problèmes liés au VPN accéléré ?
  • Pour les connexions VPN avec les deux tunnels actifs (actif/actif), vérifiez si la passerelle client prend en charge le routage asymétrique. AWS choisit le tunnel de sortie de manière aléatoire si vous annoncez les mêmes préfixes. Pour en savoir plus, consultez la page Comment configurer mon VPN de site à site pour privilégier le tunnel A au tunnel B ?

Transit Gateway

Pour un VPN servant de sauvegarde à Direct Connect qui prend fin sur Transit Gateway, vérifiez ce qui suit :

  • Pour les VPN dynamiques, annoncez le même préfixe sur le VPN et sur Direct Connect. AWS privilégie Direct Connect. Pour le périphérique sur site, filtrez le routage spécifique identifié via la connexion VPN. Assurez-vous que le trafic sortant issu de la passerelle client privilégie Direct Connect à la connexion VPN.
  • Pour les VPN statiques côté AWS, ajoutez des routages statiques moins spécifiques pour le réseau sur site sur Transit Gateway pointant vers l'association VPN. Les routages statiques sont privilégiés aux routages propagés depuis Direct Connect (le trafic sortant vers la passerelle client privilégie le VPN). En ce qui concerne le réseau sur site, assurez-vous de disposer d'un routage moins spécifique pour le CIDR Amazon VPC. Les routages statiques ont des métriques inférieures à celles des routages BGP.

Remarque : Pour les connexions VPN basées sur Transit Gateway, envoyez une valeur MED de 100 sur les deux tunnels VPN. Si aucun filtre d'importation n'est appliqué aux routages reçus, la passerelle client privilégie Direct Connect en raison de sa valeur MED de 0.

Informations connexes

Comment puis-je résoudre les problèmes de routage asymétrique lorsque je crée un VPN en tant que sauvegarde de Direct Connect dans une passerelle de transit ?

Comment configurer Direct Connect et le basculement VPN avec Transit Gateway ?

J'ai une passerelle Direct Connect de connexion principale avec une connexion VPN de sauvegarde. Pourquoi le trafic donne-t-il la priorité à la connexion de sauvegarde ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an