如何將 Site-to-Site VPN 連線設定為優先於通道 B 的通道 A？

解決方法

將 Site-to-Site VPN 設定為優先使用特定隧道，適用於靜態或動態 VPN。

客戶閘道與虛擬私有閘道或傳輸閘道之間的靜態 VPN

使用靜態 VPN 時，虛擬私有閘道或傳輸閘道會透過單一 VPN 通道，將流量從 AWS 傳送到內部部署網路。Site-to-Site VPN 會選擇優先通道。若要設定 Site-to-Site VPN 以優先使用特定通道，請使用主動/被動組態，其中通道 A 為啟用，但通道 B 為停用。由於通道 A 為啟用，Site-to-Site VPN 傳往內部部署網路的流量會通過通道 A。

如果靜態路由連線具有主動/主動組態，且兩個通道皆為啟用，則無法將 Site-to-Site VPN 設定為優先使用特定通道。例如，Site-to-Site VPN 可能會隨機選擇通道 A 作為優先 VPN 通道，將流量從 AWS 傳送到內部部署網路。如果通道 A 發生故障，則 Site-to-Site VPN 的流量會自動容錯移轉到通道 B。

客戶閘道與虛擬私有閘道或傳輸閘道之間的動態 VPN

虛擬私有閘道或已停用 ECMP 路由的傳輸閘道組態

如果停用等價多路徑 (ECMP) 路由，則在以下兩個條件皆成立時，Site-to-Site VPN 會透過通道 A 將流量傳送到內部部署網路：

• Site-to-Site VPN 連線具有主動/主動組態 (兩個通道皆為啟用)。
• Site-to-Site VPN 連線以相同的邊界閘道協定 (BGP) 屬性向虛擬私有閘道或傳輸閘道宣告相同的首碼。

**注意：**在主動/動主組態下，必須在客戶閘道虛擬通道介面上啟用非對稱路由。

主動/被動組態對動態路由的結果與對被動路由相同。由於通道 A 為啟用，Site-to-Site VPN 傳往內部部署網路的流量會通過通道 A。

啟用 ECMP 路由的傳輸閘道組態

如果啟用 ECMP 路由，則在以下兩個條件皆成立時，傳輸閘道會在 VPN 通道之間進行流量負載平衡：

• 客戶閘道裝置會透過各通道宣告相同的首碼。
• 來自客戶閘道裝置宣告的首碼的 BGP 屬性在所有 VPN 通道上皆相同。這些 BGP 屬性包括 AS-Path 前置、AS_SEQUENCE 中的第一個自治系統 (AS)，以及出口鑑別器 (MED)。

如需更多資訊，請參閱如何在關聯傳輸閘道的多個 Site-to-Site VPN 通道上實現 ECMP 路由？

有關在傳輸閘道使用 ECMP 的限制，請參閱等價多路徑路由。

客戶閘道組態

將您的客戶閘道裝置設定為優先選擇其中一條 Site-to-Site VPN 通道。若要這樣做，可採取以下任一措施：

• 在優先通道上向虛擬私有閘道或傳輸閘道宣告更具體的首碼。
• 縮短 AS PATH 值。如果首碼相符，且每個 VPN 連線都使用 BGP，則客戶閘道會優先選擇 AS PATH 最短的首碼。
• 降低 MED 值。如果 AS PATH 值長度相同，且 AS_SEQUENCE 中的第一個 AS 值在各路徑一致，則客戶閘道會比較 MED 值。客戶閘道會優先選擇 MED 值最低的路徑。

**注意：**最佳實務是不要在 AS PATH 值上前置，讓兩個通道具有相同的 AS PATH 值。在 AS PATH 值相同的情況下，AWS 在 VPN 通道端點更新時設定的 MED 值會決定通道優先順序。

注意： AWS VPN 不支援虛擬私有閘道的 Site-to-Site VPN 連線使用 ECMP。AWS VPN 支援傳輸閘道的 Site-to-Site VPN 連線使用 ECMP。