Como solucionar problemas com o Direct Connect e failover de VPN?
Quero solucionar problemas com o AWS Direct Connect e failover de VPN.
Resolução
Solucione os problemas com o AWS Direct Connect e failover de VPN com base na VPN sendo utilizada:
- VPN baseada em gateway virtual
- VPN baseada no AWS Transit Gateway
VPN baseada em gateway virtual
O tráfego da AWS para on-premises dá preferência ao Direct Connect em vez de conexões VPN dinâmicas ou estáticas. Seu tráfego pode não ser transmitido pelos seguintes motivos:
VPN baseada em BGP
- O gateway do cliente não anuncia o prefixo on-premises da sessão BGP no túnel VPN.
- O gateway do cliente filtra o prefixo anunciado na sessão BGP da VPN.
- A política de firewall não permite tráfego de entrada ou saída entre AWS e on-premises.
- Para conexões VPN com os dois túneis ativos (ativo/ativo), verifique se o gateway do cliente é compatível com roteamento assimétrico. A AWS escolherá aleatoriamente o túnel de saída se você anunciar os mesmos prefixos. Para obter mais informações, consulte Como configurar uma conexão Site-to-Site VPN para preferir o túnel A ao túnel B?
- Uma rota estática para a rede da AWS aponta para o gateway de pares do Direct Connect em vez de depender de rotas BGP.
VPN estática
- A conexão VPN não tem uma rota estática para a rede on-premises adicionada sob a rota de conexão VPN.
- O gateway do cliente não tem uma rota estática para o CIDR da AWS que aponte para a interface de túnel. Se houver uma rota estática para a rede da AWS, garanta que ela aponte para a interface de túnel correta. Se você estiver usando uma VPN baseada em políticas, garanta que a política corresponda às redes on-premises e da AWS.
- A política de firewall não permite tráfego de entrada ou saída entre AWS e on-premises.
- Para conexões VPN com os dois túneis ativos (ativo/ativo), verifique se o gateway do cliente é compatível com roteamento assimétrico. A AWS escolherá aleatoriamente o túnel de saída se você anunciar os mesmos prefixos. Para obter mais informações, consulte Como configurar uma conexão Site-to-Site VPN para preferir o túnel A ao túnel B?
Gateway privado virtual
Para uma VPN como backup do Direct Connect que termina em um gateway privado virtual, certifique-se do seguinte:
- Para VPNs dinâmicas, anuncie o mesmo prefixo na VPN e no Direct Connect. A AWS dá preferência ao Direct Connect. Para o dispositivo on-premises, garanta que o Direct Connect seja preferido como o caminho de saída para a AWS.
- Para VPNs estáticas, use a mesma rota estática para a rede on-premises que a rota anunciada pelo gateway do cliente no Direct Connect. Os gateways privados virtuais dão preferência ao Direct Connect como caminho de saída para on-premises. Tenha uma rota menos específica para o CIDR da Amazon Virtual Private Cloud (Amazon VPC). As rotas estáticas nos gateways do cliente têm métricas mais baixas do que as rotas BGP.
Observação: para VPNs virtuais privadas baseadas em gateway, envie um valor MED de 100 e 200. Se não houver nenhum filtro de importação aplicado às rotas recebidas, o gateway do cliente dará preferência ao Direct Connect devido ao valor MED igual a 0.
VPN baseada no Transit Gateway
O Direct Connect associado ao Transit Gateway utiliza o gateway do Direct Connect e permite um máximo de 200 prefixos. Para VPNs dinâmicas, o Transit Gateway anuncia rotas com base na tabela de rotas do Transit Gateway associada à conexão VPN. Além disso, o gateway do cliente recebe prefixos específicos pela conexão VPN e prefere rotear os prefixos da AWS a partir do túnel de VPN.
Seu tráfego pode não ser transferido pelos seguintes motivos:
VPN baseada em BGP
- O gateway do cliente não anuncia o prefixo on-premises da sessão BGP no túnel VPN.
- O gateway do cliente filtra o prefixo anunciado na sessão BGP da VPN.
- Tabela de rotas do Transit Gateway associada à origem do tráfego.
- A política de firewall não permite tráfego de entrada ou saída entre AWS e on-premises.
- Para conexões VPN com os dois túneis ativos (ativo/ativo), verifique se o gateway do cliente é compatível com roteamento assimétrico. A AWS escolherá aleatoriamente o túnel de saída se você anunciar os mesmos prefixos. Para obter mais informações, consulte Como configurar uma conexão Site-to-Site VPN para preferir o túnel A ao túnel B?
- Uma rota estática para a rede da AWS aponta para o ponto do Direct Connect em vez de depender das rotas BGP.
VPN estática
- A conexão VPN não tem uma rota estática para a rede on-premises incluída na tabela de rotas do Transit Gateway apontando para o anexo da conexão VPN.
- O gateway do cliente não tem uma rota estática para o CIDR da AWS que aponte para a interface de túnel. Se houver uma rota estática para a rede da AWS, certifique-se de que ela aponte para a interface de túnel correta. Se você estiver usando uma VPN baseada em políticas, certifique-se de que a política corresponde às redes on-premises e da AWS.
- A política de firewall não permite tráfego de entrada ou saída entre AWS e on-premises.
- Para VPNs aceleradas, garanta que o NAT-T esteja ativado. Para obter mais informações, consulte Como solucionar problemas com VPN acelerada?
- Para conexões VPN com os dois túneis ativos (ativo/ativo), verifique se o gateway do cliente é compatível com roteamento assimétrico. A AWS escolherá aleatoriamente o túnel de saída se você anunciar os mesmos prefixos. Para obter mais informações, consulte Como configurar uma conexão Site-to-Site VPN para preferir o túnel A ao túnel B?
Transit Gateway
Para uma VPN como backup do Direct Connect que termina em um Transit Gateway, certifique-se do seguinte:
- Para VPNs dinâmicas, anuncie o mesmo prefixo na VPN e no Direct Connect. A AWS dá preferência ao Direct Connect. Para o dispositivo on-premises, filtre a rota específica aprendida por meio da conexão VPN. Garanta que o tráfego de saída do gateway do cliente prefira o Direct Connect à conexão VPN.
- Para VPNs estáticas no lado da AWS, adicione rotas estáticas menos específicas para a rede on-premises no Transit Gateway apontando para o anexo de VPN. As rotas estáticas têm preferência às rotas propagadas pelo Direct Connect (o tráfego de saída em direção ao gateway do cliente prefere a VPN). No lado da rede on-premises, certifique-se de ter uma rota menos específica para o CIDR do Amazon VPC. As rotas estáticas têm métricas mais baixas do que as rotas BGP.
Observação: para conexões VPN baseadas no Transit Gateway, envie um valor MED igual a 100 em ambos os túneis VPN. Se não houver nenhum filtro de importação aplicado às rotas recebidas, o gateway do cliente dará preferência ao Direct Connect devido ao valor MED igual a 0.
Informações relacionadas
Como configurar o Direct Connect e failover de VPN com o Transit Gateway?
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos