AWS Direct Connect ゲートウェイで、プライマリ接続をオンプレミスに設定しています。AWS Direct Connect 接続で、フェイルオーバー用のバックアップ VPN 接続もしています。オンプレミス接続から AWS へのトラフィックには、プライマリ接続 (Direct Connect 接続) ではなく、バックアップ接続 (VPN 接続) が優先されています。こうした問題が発生する理由と、解決方法を教えてください。
簡単な説明
カスタマーゲートウェイでは、Amazon Virtual Private Cloud (Amazon VPC) への最も特定的なルートが優先されます。VPN 接続に最も特定的なルートがある場合は、Direct Connect 接続よりも優先されます。
解決方法
AWS Site-to-Site VPN では、静的および動的な 2 種類のデプロイをサポートしています。ユースケースに基づいて、関連する解決策を参照してください。
静的 VPN:
カスタマーゲートウェイで VPN 接続の特定的なルートを Direct Connect 接続よりも少なく設定します。
動的 VPN:
VPN 接続と Direct Connect 接続で同じルートをアドバタイズしていることを確認します。
カスタマーゲートウェイが VPN 接続と Direct Connect 接続で同じルートを受信した場合、常に Direct Connect が優先されます。
ただし、カスタマーゲートウェイに Direct Connect 接続よりも VPN を介した特定的なルートがある場合は、VPN が優先されます。たとえば、Direct Connect では最大 20 のプレフィックスが使用可能です。すべてのプレフィックスをカバーする集約ルートが追加されると、VPN 経由でアドバタイズされる CIDR は、Direct Connect でアドバタイズされる CIDR よりも特定的になります。その結果、カスタマーゲートウェイでは、Direct Connect 接続よりも VPN を優先します。
この問題を解決するには、以下の手順を実行します:
- Direct Connect に関連付けられた同じルートを Site-to-Site VPN ルーティングテーブルに追加します。これにより、Site-to-Site VPN では特定的なルートと追加したルートをアドバタイズします。
- カスタマーゲートウェイでは、Site-to-Site VPN によってアドバタイズされる特定的なルートを除外します。この場合、カスタマーゲートウェイでは両方の接続で同じルートを持ち、Direct Connect 接続が優先されます。
AWS からカスタマーゲートウェイへのトラフィック
AWS 接続からカスタマーゲートウェイにトラフィックがある場合、より特定的なルートが優先されます。ルートが同じ場合、AWS では同じオンプレミスサブネットの VPN 接続よりも Direct Connect 接続を優先されます。
AWS 接続にて、Direct Connect よりも VPN を優先するように設定するには:
- 静的 VPN の場合は、静的 VPN ルートテーブルに、より特定的なルートを追加します。
- ボーダーゲートウェイプロトコル (BGP) VPN の場合は、Direct Connect 接続でより特定的でないルートをアドバタイズします。最も特定的なルートが優先されるため、VPN 接続が優先されます。
関連情報
ルートテーブルと VPN ルーティングの優先度
ルーティングの優先度