通过主从数据中心VPN连接从TGW路由到一个IP前缀
【以下的问题经过翻译处理】 客户正在设置一个TGW,该TGW将路由到一个本地前缀。为了提高可用性,计划通过VPN隧道连接到主数据中心的主路由,以及通过VPN隧道连接到从数据中心的同一前缀的次路由。
这个想法是,如果由于某种原因导致TGW和主数据中心之间的连接的两个VPN隧道都断开,那么流量仍然可以通过与从数据中心的VPN连接路由到该前缀。我知道可以通过在BGP中使用更具体的前缀或在定义通过主数据中心的路由时使用静态路由来实现这种行为。
但是,我想知道是否有更优雅的方法,类似于在处理两个Direct Connect时使用Local Preference BGP community的方法。我也考虑过使用AS path填充,但在文档中不鼓励这样做,以便在进行维护并需要切换主和从隧道时应考虑MED值。
如果有建议或确认上述选项是我们能做的最好的选择,那将不胜感激。
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 AWS文档中不鼓励在Local_Pref或AS path填充覆盖MED的情况适用于IPSec VPN终止在VGW时。在这种情况下,两个隧道中只有一个是活动的,通过MED,我们有效地指定了其中一个。对于Transit Gateway,您不会面临这个问题。
终止在TGW上的AWS站点到站点VPN在同一连接中或不同连接中支持ECMP和MED。因此,您有多种选项:
MED:使用MED来指示您在AWS到本地的流量上使用主VPN隧道(较低的MED值)还是使用从VPN隧道(较高的MED值)。这假定相同的前缀在所有隧道上都有通告。在相反的流量方向(本地 -> AWS)中使用Local_Pref。
AS path填充:使用AS path填充来人为地加长从AWS到本地的从VPN隧道上的流量路径。在相反的流量方向(本地 -> AWS)中使用Local_Pref。