在傳輸閘道中建立 VPN 作為 Direct Connect 連線的備份時,如何解決非對稱路由問題?

2 分的閱讀內容
0

我有 AWS Direct Connect 連線。Direct Connect 閘道與 AWS Transit Gateway 相關聯。我建立了一個站點對站點 VPN 作為 Direct Connect 連線的備份,但遇到非對稱路由問題。

簡短說明

當您使用虛擬私有網路 (VPN) 連線作為 Direct Connect 的備份時,可能會發生非對稱路由問題。當網路流量透過某個連線進入並透過另一個連線退出時,即發生非對稱路由。如果接收的流量未記錄在您的狀態表格中,則網路裝置 (例如防火牆) 可能會掉落封包。

解決方法

從 AWS 到您的網路的傳出流量

對從 AWS 到網路的傳出流量,請遵循下列最佳做法:

  • 使用邊界閘道協定 (BGP) 設定具有動態路由的 VPN。
  • 請確保您的裝置透過 VPN 和 Direct Connect,從內部部署向 AWS 公告相同或更少的特定前置詞。例如,10.0.0.0/16 不如 10.0.0.0/24 具體。
  • 當前置詞長度具有相同的值時,AWS 會將內部流量傳送至您的網路,並且對 Direct Connect 的偏好值高於 VPN 連接。對於 AWS Transit Gateway,請使用指向 VPN 附件的靜態路由,而不是動態傳播的 Direct Connect 閘道路由。
  • 對於使用動態 VPN 作為備份部署的 Direct Connect,使用 AS PATH 前置並不是最佳做法。如果前置詞相同,則無論 AS PATH 前置長度為何,都請使用 Direct Connect 路由。

如需詳細資訊,請參閱路由

從您的網路到 AWS 的傳入流量

對從您的網路到 AWS 的傳入流量,請遵循下列最佳做法:

  • 設定您的網路裝置偏好設定,以透過 Direct Connect 連線傳送返回流量。
  • 如果從 AWS 向您的網路裝置公告的前置詞對於 Direct Connect 和 VPN 是一樣的,請使用 BGP 本機偏好設定屬性。BGP 本機偏好設定屬性會強制您的裝置透過 Direct Connect 連線將傳出流量傳送至 AWS。對 Direct Connect 路徑設定較高的本機偏好值,對 VPN 則設定較低的偏好。例如,對於 Direct Connect,將本機偏好設定為 200,對於 VPN 則設定為 100。

**重要事項:**對於允許通過 Direct Connect 的前置詞,如果這些前置詞是經過彙總並且比透過 VPN 公告的路徑更不具體,則網路裝置將優先選擇透過 VPN 接收到的路徑。

請參閱下列範例案例:

  • 傳輸閘道傳播的路由是 VPC-A CIDR 10.0.0.0/16、VPC-B CIDR 10.1.0.0/16 和 VPC-C 10.2.0.0/16。
  • 為了適應 20 個前置詞的配額限制,Direct Connect 閘道允許的前置詞上的彙總前置詞設為 10.0.0.0/14。

對於透過 VPN 的每個虛擬私有雲端 (VPC),Direct Connect 會公告 Direct Connect 閘道前置詞 10.0.0.0/14,而 VPN 傳輸閘道則會公告 /16 CIDR。

若要解決此問題,請將彙總的 Direct Connect 閘道路由插入到傳輸閘道路由表中。例如,新增指向 VPC 附件的靜態路由 10.0.0.0/14,以便傳輸閘道透過 VPN 公告彙總的網路。您的網路裝置會從 Direct Connect 和 VPN 收到相同的前置詞。然後,設定您的閘道以篩選出收到的特定前置詞。請確定 VPN 對等裝置的路由表中僅安裝彙總的前置詞。視供應商規格而定,有不同的選項可以篩選出路由,例如 route-maps、prefix-lists 和 router-filter-lists。

從您的網路到 AWS 的流量會到達傳輸閘道路由表。閘道會進行查詢,從每個 VPC 附件中選取最特定的路由。

請參閱下列範例:

  • 指向 VPC-A CIDR 的附件 A 為 10.0.0.0/16。
  • 指向 VPC-B CIDR 的附件 B 為 10.1.0.0/16。
  • 指向 VPC-C CIDR 的附件 C 為 10.2.0.0/16。

相關資訊

路由優先順序

如何使用傳輸閘道設定直接連線和 VPN 容錯移轉?

AWS 官方
AWS 官方已更新 10 個月前