Comment puis-je configurer ma connexion VPN de site à site pour préférer le tunnel A au tunnel B ?

Résolution

VPN statiques créés entre une passerelle client et une passerelle privée virtuelle ou une passerelle de transit

Dans ce scénario, la passerelle privée virtuelle ou la passerelle de transit envoie le trafic d’AWS vers le réseau sur site sur un seul tunnel VPN. Ce tunnel est choisi au hasard par AWS et est appelé tunnel préféré.

Si la connexion VPN AWS (type de routage statique) a une configuration Active/Active (les deux tunnels sont UP), vous ne pouvez pas configurer AWS pour préférer un tunnel spécifique pour envoyer le trafic. Par exemple, le tunnel A a été choisi au hasard par AWS comme tunnel VPN préféré pour l’envoi du trafic d’AWS vers le réseau sur site. Si le tunnel A tombe en panne, le trafic AWS bascule automatiquement vers le tunnel B.
Remarque : avec une configuration Active/Active, la passerelle client doit avoir le routage asymétrique activé sur les interfaces de tunnel virtuel.

Si la connexion VPN AWS (type de routage statique) a une configuration Active/Passive (le tunnel A est UP, mais le tunnel B est DOWN), le trafic d’AWS vers le réseau sur site traverse le tunnel A, car il est à l’état UP.

VPN dynamiques créés entre une passerelle client et une passerelle privée virtuelle ou une passerelle de transit

Pour les configurations de passerelle privée virtuelle ou de passerelle de transit avec ECMP désactivé

Le trafic AWS vers le réseau sur site est envoyé via le tunnel préféré (choisi au hasard par AWS) lorsque la connexion VPN AWS :

• a une configuration Active/Active (les deux tunnels sont UP), et
• annonce les mêmes préfixes à la passerelle privée virtuelle ou à la passerelle de transit avec les mêmes attributs de protocole de passerelle frontière (BGP).
  Remarque : avec une configuration Active/Active, la passerelle client doit avoir le routage asymétrique activé sur les interfaces de tunnel virtuel.

Si la connexion VPN AWS (type de routage dynamique) a une configuration Active/Passive (le tunnel A est UP, mais le tunnel B est DOWN), le trafic d’AWS vers le réseau sur site traverse le tunnel A, car il est à l’état UP.

Pour les configurations de passerelle de transit avec ECMP activé

L’équilibre de la charge du trafic entre AWS et le réseau sur site est assuré par la passerelle de transit entre les tunnels VPN :

• lorsque des préfixes identiques sont annoncés par le dispositif de passerelle client sur les tunnels, et
• les attributs BGP des préfixes annoncés par la passerelle client devront être identiques sur les tunnels VPN. Ces attributs BGP comprennent l’ajout du préfixe AS-Path et le premier AS dans l’AS_SEQUENCE, MED.

Pour les connexions AWS VPN dynamiques

Configurez l’appareil de passerelle client pour qu’il préfère un tunnel VPN à l’autre en utilisant l’ordre des critères de préférence :

1. annoncez un préfixe plus spécifique à la passerelle privée virtuelle ou à la passerelle de transit sur le tunnel sur lequel le client préfère recevoir du trafic d’AWS.
2. Pour les préfixes compatibles pour lesquels chaque connexion VPN utilise BGP, l’AS PATH est comparé et le préfixe avec l’AS PATH le plus court est préféré.
3. Lorsque les AS PATH couvrent la même longueur et que le premier AS de la séquence AS_SEQUENCE est le même sur plusieurs chemins, les discriminateurs à sorties multiples (MED) sont comparés. Le chemin présentant la valeur MED minimale est privilégié.

Remarque : il est recommandé d’éviter d’utiliser le préfixe AS Path afin que les deux tunnels aient une valeur AS PATH égale. Pour une valeur AS PATH égale, celle de MED définie par AWS sur le tunnel lors des mises à jour des points de terminaison du tunnel VPN détermine la priorité du tunnel.

ECMP n’est pas pris en charge pour les connexions VPN de site à site sur une passerelle réseau privée virtuelle.
ECMP est pris en charge pour les connexions VPN de site à site sur une passerelle de transit.