En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Comment éviter l'asymétrie dans un VPN basé sur le routage avec un routage statique ?

Lecture de 4 minute(s)
0

Je souhaite éviter le routage asymétrique dans un VPN basé sur le routage configuré pour le routage statique.

Brève description

AWS Site-to-Site VPN fournit deux points de terminaison par connexion VPN pour atteindre le même réseau de destination. AWS utilise l'un des tunnels actifs pour acheminer le trafic vers la même destination.

Les tunnels VPN sont généralement hébergés sur des pare-feux « dynamiques ». Les dispositifs de pare-feu s'attendent à ce qu'un paquet utilise la même interface de tunnel pour envoyer et recevoir du trafic. Le routage asymétrique se produit lorsque le paquet entre dans Amazon Virtual Private Cloud (Amazon VPC) via un tunnel et sort par l'autre tunnel sur le même VPN de site à site. Lorsque le paquet revient via une autre interface de tunnel, il ne correspond pas à la session « dynamique » et est donc abandonné.

Résolution

Vous n'avez pas besoin de créer un nouveau VPN avec routage dynamique pour résoudre le problème du routage asymétrique. Continuez plutôt à utiliser le routage statique après avoir apporté des modifications pour refléter la logique de routage dynamique, comme indiqué ci-dessous.

Prérequis

Vérifiez que vous disposez d'un routage asymétrique en consultant les métriques Amazon CloudWatch :

Afficher les métriques pour chaque tunnel

Si vous ne disposez que d'une seule connexion VPN avec une configuration active/active :

  1. Ouvrez la console CloudWatch.
  2. Dans le volet de navigation, choisissez Métriques.
  3. Sous Toutes les métriques, choisissez l'espace de noms des métriques VPN.
  4. Sélectionnez VPN Tunnel Metrics.
  5. Sélectionnez les métriques CloudWatch TunnelDataIn et TunnelDataOut. En cas de routage asymétrique, un tunnel possède des points de données pour la métrique TunnelDataIn. Le second tunnel contient des points de données pour la métrique TunnelDataOut.

Afficher les statistiques pour l'ensemble de la connexion VPN (statistiques agrégées)

Si vous disposez de plusieurs connexions VPN :

  1. Ouvrez la console CloudWatch.
  2. Dans le volet de navigation, choisissez Métriques.
  3. Sous Toutes les métriques, choisissez l'espace de noms des métriques VPN.
  4. Sélectionnez VPN Connection Metrics.
  5. Sélectionnez les métriques CloudWatch TunnelDataIn et TunnelDataOut. En cas de routage asymétrique, une connexion possède des points de données pour la métrique TunnelDataIn. L'autre connexion possède des points de données pour la métrique TunnelDataOut.

Pour plus d'informations sur les métriques des tunnels, consultez la section Surveillance des tunnels VPN à l'aide de CloudWatch.

Scénarios de routage asymétrique

Passez en revue les options suivantes pour éviter le routage asymétrique dans ces scénarios :

Une connexion VPN unique configurée comme active/active

Pour éviter un routage asymétrique :

  • Utilisez la fonctionnalité d'agrégation IPsec si la passerelle client la prend en charge. Pour plus d'informations, consultez l'agrégat IPsec pour la redondance et l'équilibrage de charge des tunnels sur le site Web de Fortinet.
  • Si la passerelle client prend en charge le routage asymétrique, assurez-vous que le routage asymétrique est activé sur les interfaces du tunnel virtuel.
  • Si la passerelle client ne prend pas en charge le routage asymétrique, assurez-vous que le paramètre VPN est actif/passif. Cette configuration identifie un tunnel comme étant UP et le second tunnel comme étant DOWN. Dans ce paramètre, le trafic entre AWS et le réseau sur site passe uniquement par le tunnel à l'état UP. Pour plus d'informations, consultez Comment configurer mon VPN de site à site pour préférer le tunnel A au tunnel B ?

Deux connexions VPN (VPN-Pry et VPN-Sec) se connectent au même VPC

Dans ce scénario, les connexions VPN se connectent au même Amazon VPC, à l'aide de la même passerelle privée virtuelle.

**Remarque :**Ce scénario s'applique uniquement aux connexions VPN avec la passerelle privée virtuelle.

Les deux connexions :

  • Utiliser le routage statique
  • Annoncez les mêmes préfixes locaux. Par exemple, 10.170.0.0/20 et 10.167.0.0/20
  • Connectez-vous au même VPC via la passerelle privée virtuelle
  • Disposer d'adresses IP publiques différentes pour les passerelles clients

Implémentez ce qui suit pour éviter le routage asymétrique :

Routes statiques pour VPN-Pry (connexion principale) :

10.170.0.0/21

10.170.8.0/21

10.167.0.0/21

10.167.8.0/21

Routes statiques pour VPN-Sec (connexion secondaire) :

10.170.0.0/20

10.167.0.0/20

Dans ces paramètres, AWS choisit VPN-Pry comme connexion préférée à VPN-Sec. AWS utilise la correspondance de préfixe la plus longue de votre table de routage qui correspond au trafic pour déterminer comment acheminer le trafic.

**Remarque :**Si votre passerelle client n'a pas de routage asymétrique dans ce scénario, configurez chaque paramètre VPN comme actif/passif. Cela permet d'identifier un tunnel comme étant actif par connexion VPN. Le trafic bascule vers le tunnel actif de la connexion secondaire si les deux tunnels de la connexion active sont en panne.

Pour plus d'informations sur la priorité des routes VPN, consultez Tables de routage et priorité des routes VPN.

Sujets
Réseaux et diffusion de contenu
Balises
AWS Virtual Private Network (VPN)
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents