Como configuro minha conexão do Site-to-Site VPN para preferir o túnel A em vez do túnel B?

Resolução

VPNs estáticas criadas entre um gateway do cliente e um gateway privado virtual ou um gateway de trânsito

Nesse cenário, o gateway privado virtual ou gateway de trânsito envia tráfego da AWS para a rede on-premises em um único túnel VPN. Esse túnel é escolhido aleatoriamente pela AWS e é chamado de túnel preferido.

Se a conexão VPN da AWS (tipo de roteamento estático) tiver uma configuração Ativo/Ativo (os dois túneis estão UP), você não poderá configurar a AWS para preferir um túnel específico para enviar tráfego. Por exemplo, o túnel A foi escolhido aleatoriamente pela AWS como o túnel VPN preferido para enviar tráfego da AWS para a rede on-premises. Se o túnel A cair, o tráfego da AWS será automaticamente transferido para o túnel B.
Observação: com uma configuração Ativo/Ativo, o gateway do cliente deve ter o roteamento assimétrico ativado nas interfaces do túnel virtual.

Se a conexão VPN da AWS (tipo de roteamento estático) tiver uma configuração Ativo/Passivo (o túnel A está UP, mas o túnel B está DOWN), o tráfego da AWS para a rede on-premises atravessa o túnel A porque está no estado UP.

VPNs dinâmicas criadas entre um gateway do cliente e um gateway privado virtual ou um gateway de trânsito

Para configurações de gateway privado virtual ou gateway de trânsito com o ECMP desativado

O tráfego da AWS para a rede on-premises é enviado pelo túnel preferido (escolhido aleatoriamente pela AWS) quando a conexão VPN da AWS:

• Tem uma configuração Ativo/Ativo (ambos os túneis estão UP) e
• Está anunciando os mesmos prefixos para o gateway privado virtual ou gateway de trânsito com os mesmos atributos do Protocolo de Gateway da Borda (BGP).
  Observação: com uma configuração Ativo/Ativo, o gateway do cliente deve ter o roteamento assimétrico ativado nas interfaces do túnel virtual.

Se a conexão VPN da AWS (tipo de roteamento dinâmico) tiver uma configuração Ativo/Passivo (o túnel A está UP, mas o túnel B está DOWN), o tráfego da AWS para a rede on-premises atravessa o túnel A porque está no estado UP.

Para configurações de gateway de trânsito com o ECMP ativado

O gateway de trânsito equilibra a carga do tráfego da AWS para a rede on-premises entre os túneis da VPN:

• Se os mesmos prefixos forem anunciados pelo dispositivo de gateway do cliente pelos túneis, e
• Os atributos do BGP para os prefixos anunciados pelo dispositivo de gateway do cliente devem ser idênticos nos túneis VPN. Esses atributos do BGP incluem o prefixo AS-Path e o primeiro AS em AS_SEQUENCE, MED.

Para conexões de VPN AWS dinâmicas

Configure o dispositivo de gateway do cliente para preferir um túnel VPN em vez de outro, aproveitando os critérios de ordem de preferência:

1. Anuncie um prefixo mais específico para o gateway privado virtual ou gateway de trânsito no túnel em que o cliente prefere receber tráfego da AWS.
2. Para prefixos correspondentes em que cada conexão VPN usa BGP, o AS PATH é comparado, e o prefixo com o AS PATH mais curto é o preferido.
3. Quando os AS PATHs têm o mesmo comprimento e o primeiro AS em AS_SEQUENCE é o mesmo em vários caminhos, os discriminadores de múltiplas saídas (MEDs) são comparados. O caminho com o menor valor de MED é o preferido.

Observação: é uma prática recomendada evitar o uso do prefixo AS Path para que ambos os túneis tenham um valor de AS PATH igual. Com um valor AS PATH igual, o valor MED que a AWS define no túnel durante as atualizações do endpoint do túnel VPN determina a prioridade do túnel.

O ECMP não é compatível com conexões Site-to-Site VPN em um gateway virtual privado.
O ECMP é compatível com conexões Site-to-Site VPN em um gateway de trânsito.