Comment puis-je réaliser un routage ECMP avec plusieurs tunnels Site-to-Site VPN associés à une passerelle de transit ?

Lecture de 4 minute(s)

Je souhaite obtenir un routage multi-chemin à coût égal (ECMP) avec plusieurs tunnels AWS Site-to-Site VPN associés à une passerelle de transit.

Résolution

Créer une passerelle de transit, puis connecter votre Amazon VPC et un Site-to-Site VPN

Créez une passerelle de transit.
Important : lorsque vous créez votre passerelle de transit, vous devez activer le support VPN ECMP.
Connectez vos Amazon Virtual Private Clouds (Amazon VPC) à votre passerelle de transit.
Créez un Site-to-Site VPN, puis associez-le à votre passerelle de transit.
Important : AWS propose deux options de routage pour créer des connexions Site-to-Site VPN : statique et dynamique. L’option dynamique utilise le protocole de passerelle frontière (BGP). Lorsque vous créez votre Site-to-Site VPN, vous devez choisir Dynamique pour les options de routage. Le routage statique ne prend pas en charge le routage ECMP.

Vérifiez la configuration BGP de votre passerelle client

Veillez à activer le routage asymétrique sur votre passerelle client. Vérifiez que la passerelle client est configurée pour exécuter le routage ECMP pour le trafic sortant vers AWS pour tous les tunnels Site-to-Site VPN. Pour ce faire, configurez une valeur ou un poids de préférence locale identique sur tous les tunnels Site-to-Site VPN. Si nécessaire, configurez votre passerelle client BGP pour accepter le routage depuis AWS. Cela signifie que la passerelle client installe toutes les routes avec la même métrique.

Remarque : si la passerelle client n’est pas configurée pour exécuter le routage ECMP et que le routage asymétrique n’est pas activé, une perte de paquets peut se produire.
Vérifiez que votre passerelle client annonce le préfixe sur site auprès d’AWS avec le même attribut BGP AS PATH. Pour qu’AWS puisse choisir tous les chemins ECMP disponibles, le chemin AS et le numéro AS voisin doivent correspondre.

Par exemple, vous souhaitez utiliser le routage ECMP avec deux connexions Site-to-Site VPN. Le numéro AS de votre passerelle client est 65270. Dans ce cas, configurez vos Site-to-Site VPN de la même manière que dans l’exemple suivant :

Site-to-Site VPN-A
Tunnel 1 – AS PATH : 65270 (avec préfixe annoncé)
Tunnel 2 – AS PATH : 65270 (avec préfixe annoncé)
Site-to-Site VPN-B
Tunnel 1 – AS PATH : 65270 (avec préfixe annoncé)
Tunnel 2 – AS PATH : 65270 (avec préfixe annoncé)

Lorsque les configurations précédentes sont définies, AWS envoie le trafic avec routage ECMP activé pour les quatre tunnels Site-to-Site VPN.

Remarque : vous devez activer le VPN dynamique et VPN ECMP Support sur la passerelle de transit pour que le routage ECMP fonctionne correctement. Modifiez la passerelle de transit pour activer ou désactiver VPN ECMP Support.

Créer une table de routage pour la passerelle de transit et y associer vos Amazon VPC et Site-to-Site VPN

Ouvrez la console Amazon VPC.
Dans le volet de navigation, choisissez Passerelles de transit.
Vérifiez le paramètre de la table de routage d’association par défaut pour votre passerelle de transit. S’il est défini sur Faux, passez à l’étape 4. S’il est défini sur Vrai, toutes les associations font déjà partie de la table de routage par défaut. Vous pouvez donc passer à l’étape 6.
Choisissez Tables de routage des passerelles de transit.
Choisissez Créer une table de routage pour la passerelle de transit, puis procédez comme suit :
Pour le champ Balise de nom, saisissez Table de routage A.
Pour le champ ID de passerelle de transit, choisissez l’ID de votre passerelle de transit.
Choisissez Créer une table de routage pour la passerelle de transit.
Choisissez la table de routage A (ou la table de routage par défaut de votre passerelle de transit).
Choisissez Associations, puis choisissez Créer une association.
Dans Choisir un attachement à associer, choisissez les identifiants d’association pour vos Amazon VPC et Site-to-Site VPN. Choisissez ensuite Créer une association.
Répétez l’étape 8 jusqu’à ce que tous vos Amazon VPC et Site-to-Site VPN s’affichent sous Association.

Propager les routes à partir de vos Amazon VPC et Site-to-Site VPN sur la table de routage de la passerelle de transit

Choisissez Propagation de la table de routage A.
Choisissez Propagation.
Pour le champ Choisir un attachement à propager, choisissez la propagation pour les Site-to-Site VPN et Amazon VPC.

Sujets

Réseaux et diffusion de contenu

Balises

AWS Virtual Private Network (VPN)

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

AWS SES Bloqué suite à un problème critique lié à votre envoi d'e-mails
rePost-User-2050300
demandé il y a un an
IP public et SSH inaccessible sur un EC2
ogbadou
demandé il y a 5 mois
Appels sortants à partir de salesforce / Amazon Connect
benoit paternotte
demandé il y a un an
Utiliser plusieurs répertoires différents avec AWS Workdocs Drive
Julien MAUCLAIR
demandé il y a un an
Comment changer une région aws pour un compartiment déjà créé ?
RAV3D
demandé il y a 10 mois
Comment puis-je surveiller ma passerelle de transit et Site-to-Site VPN sur une passerelle de transit à l'aide de Network Manager ?
AWS OFFICIELA mis à jour il y a 3 ans
Pourquoi ne puis-je pas associer une passerelle de transit à ma passerelle Direct Connect ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment effectuer la migration de mon VPN d'une passerelle réseau privé virtuel vers une passerelle de transit ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment résoudre les problèmes de routage asymétrique rencontrés lorsque je crée un VPN en tant que sauvegarde pour Direct Connect dans une passerelle de transit ?
AWS OFFICIELA mis à jour il y a un an