为什么 Transit Gateway 优先使用我的备份 VPN 连接而非我的主 Direct Connect 网关？

解决方法

从客户网关到 AWS 的流量

对于具有静态路由的 VPN 连接，请将客户网关配置为使用不如 Direct Connect 连接具体的路由。

具有动态路由的 VPN 连接的前缀必须与 Direct Connect 网关的允许前缀相同或不那么具体。Direct Connect 最多支持 200 个允许前缀。客户网关会优先选择路由最具体的路径。如果您添加汇总路由以涵盖所有前缀，则 VPN 路由可能会比 Direct Connect 中转虚拟接口的路由更具体。当您通过 VPN 和 Direct Connect 播发相同的路由时，客户网关会优先使用 Direct Connect 连接。

如果您具有动态路由，请执行以下操作：

• 检查您的 VPN 连接的中转网关路由表中的路由。
• 筛选出 AWS Site-to-Site VPN 在您的客户网关中播发的特定路由。
• 验证 Site-to-Site VPN 连接的路由表是否与 Direct Connect 网关到中转网关关联上的允许前缀相匹配。

从 AWS 到客户网关的流量

验证中转网关路由表是否显示了正确的首选路由。AWS Transit Gateway 按以下顺序选择路由：

• 目标地址的最具体路由
• 具有相同 CIDR 块但来自不同连接类型的路由

对于具有相同 CIDR 块和不同连接类型的路由，Transit Gateway 将按以下顺序对路由进行优先级排序：

• 静态路由
• 前缀列表引用的路由
• 具有传播路由的 Direct Connect 网关
• 私有 IP Site-to-Site VPN 连接
• Site-to-Site VPN 连接

**注意：**Transit Gateway 仅显示首选路由。当您通过 Direct Connect 网关和 Site-to-Site VPN 播发相同的路由时，Transit Gateway 仅会将 Direct Connect 网关路由显示为首选路由。仅当 Direct Connect 网关停止播发路由时，Site-to-Site VPN 路由才会显示。

相关信息

Amazon VPC Transit Gateway 的工作原理

如何使用 Transit Gateway 配置 Direct Connect 和 VPN 失效转移？