ASA VTI到VPC Transit Gateway的双活隧道（非BGP）

Question

【以下的问题经过翻译处理】 根据这里的教程：https://docs.aws.amazon.com/vpc/latest/adminguide/cisco-asa-vti-no-bgp.html，我已经建立了到AWS的双隧道，终结在一个Transit Gateway上。

由于两个隧道都处于活动状态，我注意到流量离开隧道1然后返回到隧道2，这导致了ASA隧道2接口上的“Deny TCP (no connection)”错误。流量无法成功传递到ASA内部的客户端。

是否有一些在指南中遗漏的配置，导致无法工作，或者可以配置Transit Gateway只使用一个隧道吗？

禁用其中一个隧道允许流量传递到ASA内部的客户端。

谢谢，John。

Answer

【以下的回答经过翻译处理】 我是Cohesive Networks的Pat Kerpan。

很高兴如果能有一个更了解TGW（Transit Gateway）的人告诉你一些与我建议所不同的信息，我将鼓励他们加入讨论。

话虽如此，根据我们的经验，目前没有特定的方法来确定你的两个VTI路由隧道中哪一个被视为主要隧道，哪一个是次要隧道，除非像你所做的那样查看流量。

由于流量“返回”到隧道2，那么隧道2实际上是你的主要隧道。答案是在ASA配置中更改你的静态路由指标，以便当前的隧道2成为主要隧道，而隧道1成为次要隧道。

否则有可能会引发问题，允许非对称路由可能不符合你的组织政策——即ASA允许流量从一个隧道“上行”，然后从另一个隧道“下行”。

我建议您尝试更改静态路由。

相关内容