Eu tenho um gateway Direct Connect de conexão primária, com uma conexão VPN de backup. Por que o tráfego está priorizando a conexão de backup?

3 minuto de leitura
0

Eu tenho um gateway AWS Direct Connect, com a conexão principal definida como on-premises. Também tenho uma conexão VPN de backup para failover com a conexão AWS Direct Connect. O tráfego da minha conexão on-premises com a AWS está priorizando a conexão de backup (conexão VPN) e não a conexão primária (conexão Direct Connect). Por que isso está acontecendo e como posso corrigir?

Breve descrição

Os gateways dos clientes dão preferência à rota mais específica para a Amazon Virtual Private Cloud (Amazon VPC). Se a conexão VPN tiver a rota mais específica, ela será preferida à conexão Direct Connect.

Resolução

A AWS Site-to-Site VPN é compatível com dois tipos de implantação: estática e dinâmica. Com base no caso de uso, consulte a resolução relacionada.

VPN estática:

Configure o gateway do cliente com rotas menos específicas para a conexão VPN do que a conexão Direct Connect.

VPN dinâmica:

Confirme se você está anunciando as mesmas rotas pela conexão VPN e pela conexão Direct Connect.

Se o gateway do cliente receber as mesmas rotas pelas conexões VPN e Direct Connect, sempre dará preferência à Direct Connect.

Porém, se o gateway do cliente tiver uma rota mais específica pela VPN do que a conexão Direct Connect, a VPN terá preferência. Por exemplo, a Direct Connect tem no máximo 20 prefixos permitidos. Se você adicionar rotas resumidas para cobrir todos os prefixos, os CIDRs anunciados pela VPN se tornarão mais específicos do que os CIDRs anunciados pela Direct Connect. Como resultado, o gateway do cliente priorizará a VPN em lugar da conexão Direct Connect.

Para resolver esse problema, siga estas etapas:

  1. Adicione a mesma rota associada à Direct Connect à tabela de roteamento da Site-to-Site VPN. Isso faz com que a Site-to-Site VPN anuncie as rotas específicas e a rota que você adicionou.
  2. No gateway do cliente, filtre as rotas específicas anunciadas pela Site-to-Site VPN. O gateway do cliente tem as mesmas rotas em ambas as conexões e dá preferência à conexão Direct Connect.

Tráfego da AWS para o gateway do cliente

Se o tráfego estiver vindo de uma conexão da AWS com o gateway do cliente, a rota mais específica terá preferência. Se as rotas forem as mesmas, a AWS preferirá uma conexão Direct Connect a uma conexão VPN para a mesma sub-rede on-premises.

Para definir a conexão com a AWS para preferir a VPN à Direct Connect:

  • Para uma VPN estática, adicione uma rota mais específica na tabela de rotas da VPN estática.
  • Para uma VPN BGP (Protocolo de Gateway da Borda) anuncie uma rota menos específica pela conexão Direct Connect. Como a rota mais específica têm preferência, a conexão VPN terá preferência.

Informações relacionadas

Tabelas de rotas e prioridade da rota VPN

Prioridade de rotas

AWS OFICIAL
AWS OFICIALAtualizada há 2 anos