私の AWS Site-to-Site VPN 接続は 2 つの仮想プライベートネットワーク (VPN) トンネルで構成されています。これらのトンネルは、カスタマーゲートウェイデバイスと仮想プライベートゲートウェイまたはトランジットゲートウェイの間に存在します。AWS からオンプレミス ネットワークにトラフィックを送信するときに、トンネル A がトンネル B よりも優先されることを確認するにはどうすればよいですか?
解決策
カスタマーゲートウェイと仮想プライベートゲートウェイまたはトランジットゲートウェイとの間に作成された静的 VPN
このシナリオでは、仮想プライベートゲートウェイまたはトランジットゲートウェイは、単一の VPN トンネルで AWS からオンプレミスネットワークにトラフィックを送信します。このトンネルは AWS によってランダムに選択され、優先トンネルと呼ばれます。
AWS VPN 接続 (静的ルーティングタイプ) にアクティブ/アクティブ構成がある (両方のトンネルが稼働している) 場合、トラフィックの送信に特定のトンネルを優先するように AWS を構成することはできません。例えば、トンネル A は、AWS からオンプレミスネットワークにトラフィックを送信するための優先 VPN トンネルとして AWS によってランダムに選択されました。トンネル A がダウンすると、AWS からのトラフィックは自動的にトンネル B にフェールオーバーします。
**注:**アクティブ/アクティブ構成では、カスタマーゲートウェイの仮想トンネルインターフェイスで非対称ルーティングが有効になっている必要があります。
AWS VPN 接続 (静的ルーティングタイプ) にアクティブ/パッシブ構成がある場合 (トンネル A は稼働しているが、トンネル B は停止中)、AWS からオンプレミスネットワークへのトラフィックは UP 状態であるため、トンネル A を経由します。
カスタマーゲートウェイと仮想プライベートゲートウェイまたはトランジットゲートウェイとの間に作成された動的 VPN
**ECMP を無効にした仮想プライベートゲートウェイまたはトランジットゲートウェイ構成の場合 **
AWS VPN 接続が以下の場合、AWS からオンプレミスネットワークへのトラフィックは、**優先トンネル ** (AWS がランダムに選択) を介して送信されます:
- アクティブ/アクティブ構成があり (両方のトンネルが稼働中)、および
- 同じボーダーゲートウェイプロトコル (BGP) 属性を持つ同じプレフィックスを仮想プライベートゲートウェイまたはトランジットゲートウェイにアドバタイズしています。
**注:**アクティブ/アクティブ構成では、カスタマーゲートウェイの仮想トンネルインターフェイスで非対称ルーティングが有効になっている必要があります。
AWS VPN 接続 (動的ルーティングタイプ) にアクティブ/パッシブ構成 (トンネル A は稼働しているがトンネル B は停止中) の場合、トンネル A は UP 状態であるため、AWS からオンプレミスネットワークへのトラフィックはトンネル A を通過します。
**ECMP が有効なトランジットゲートウェイ構成の場合 **
トランジットゲートウェイは、AWS からオンプレミスネットワークへのトラフィックを VPN トンネル間で負荷分散します:
- 同じプレフィックスがトンネルを介してカスタマーゲートウェイデバイスからアドバタイズされた場合、および
- カスタマーゲートウェイデバイスからアドバタイズされるプレフィックスの BGP 属性は、VPN トンネル上で同一である必要があります。これらの BGP 属性には、AS パスのプリペンドと AS\ _SEQUENCE の最初の AS、MED が含まれます。
動的な AWS VPN 接続の場合
優先順位の基準を利用して、カスタマーゲートウェイデバイスがある VPN トンネルを他方よりも優先するように設定します。
- お客様が AWS からのトラフィックの受信を希望するトンネル上の仮想プライベートゲートウェイまたはトランジットゲートウェイに、より具体的なプレフィックスをアドバタイズします。
- 各 VPN 接続が BGP を使用するプレフィックスの照合のために、AS PATH が比較され、AS PATH が最短のプレフィックスが優先されます。
- AS PATH の長さが同じで、AS_SEQUENCE の最初の AS が複数のパス間で同じである場合、Multi-Exit-Discriminator (MED) が比較されます。MED 値が最も小さいパスが優先されます。
注: 両方のトンネルに AS PATH 値が等しくなるように、[AS パス] の先頭への追加を使用しないことがベストプラクティスです。同じ AS PATH 値を使用すると、VPN トンネルエンドポイントの更新時に AWS がトンネルに設定する MED 値によって、トンネルの優先順位が決定されます。
ECMP は、仮想プライベートゲートウェイでのサイト間 VPN 接続ではサポートされていません。
ECMP は、Transit Gateway の Site-to-Site VPN 接続でサポートされます。