如何使用与中转网关关联的多个 Site-to-Site VPN 隧道实现 ECMP 路由?

2 分钟阅读
0

我想通过与中转网关关联的多个 Amazon Site-to-Site VPN 隧道实现等价多路径 (ECMP, Equal-Cost Multi-Path) 路由。

解决方法

创建中转网关,然后连接 Amazon VPC 和 Site-to-Site VPN

  1. 创建中转网关。
    重要事项: 创建中转网关时,必须启用 VPN ECMP 支持
  2. 将 Amazon Virtual Private Cloud (Amazon VPC) 连接到中转网关。
  3. 创建 Site-to-Site VPN,然后将其连接到中转网关。
    重要事项: 亚马逊云科技提供静态和动态两种路由选项来创建 Site-to-Site VPN 连接。动态选项使用边界网关协议 (BGP, Border Gateway Protocol)。创建 Site-to-Site VPN 时,必须为路由选项选择动态。静态路由不支持 ECMP。

确认您的客户网关 BGP 配置

  1. 务必在您的客户网关上启用非对称路由。检查客户网关是否已配置为对所有 Site-to-Site VPN 隧道传出到亚马逊云科技的流量执行 ECMP。为此,请在所有 Site-to-Site VPN 隧道上配置相等的本地首选项值或权重。如有必要,请将您的客户网关 BGP 配置为接受来自亚马逊云科技的路由。这意味着客户网关安装了所有具有相同指标的路由。

    **注意:**如果未将客户网关配置为执行 ECMP,并且未启用非对称路由,则可能会发生数据包丢失。

  2. 确认您的客户网关正在使用相同的 BGP AS PATH 属性向亚马逊云科技播发本地前缀。为方便亚马逊云科技选择所有可用的 ECMP 路径,AS 路径和邻居 AS 编号必须匹配。

    例如,您想将 ECMP 与两个 Site-to-Site VPN 连接结合使用。您的客户网关的 AS 编号是 65270。在这种情况下,请按照以下示例配置您的 Site-to-Site VPN:

    Site-to-Site VPN-A
    隧道 1 – AS 路径: 65270(在播发前缀时)
    隧道 2 – AS 路径: 65270(在播发前缀时)
    Site-to-Site VPN-B
    隧道 1 – AS 路径: 65270(在播发前缀时)
    隧道 2 – AS 路径: 65270(在播发前缀时)

    使用上述配置,亚马逊云科技在所有四个 Site-to-Site VPN 隧道均启用 ECMP 的情况下发送流量。

    注意: 您必须在中转网关上启用动态 VPNVPN ECMP 支持,ECMP 才能正常运行。修改中转网关以启用或关闭 VPN ECMP 支持

创建中转网关路由表,并将您的 Amazon VPC 和 Site-to-Site VPN 与其关联

  1. 打开 Amazon VPC 控制台
  2. 在导航窗格中,选择中转网关
  3. 查看中转网关的默认关联路由表设置。如果设置为 False,则继续执行步骤 4。如果设置为 True,则所有关联都已在默认路由表中体现,您可以继续执行步骤 6。
  4. 选择中转网关路由表
  5. 选择创建中转网关路由表,然后完成以下操作:
    对于名称标签,输入路由表 A
    对于中转网关 ID,为中转网关选择中转网关 ID。
    选择创建中转网关路由表
  6. 选择路由表 A(或中转网关的默认路由表)。
  7. 选择关联,然后选择创建关联
  8. 对于选择要关联的挂载,选择 Amazon VPC 和 Site-to-Site VPN 的关联 ID。然后,选择创建关联
  9. 重复步骤 8,直到所有 Amazon VPC 和 Site-to-Site VPN 显示在关联下。

从中转网关路由表上的 Amazon VPC 和 Site-to-Site VPN 传播路由

  1. 选择路由表 A 传播
  2. 选择传播
  3. 对于选择要传播的挂载,选择 Site-to-Site VPN 和 Amazon VPC 传播。
AWS 官方
AWS 官方已更新 9 个月前