Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Routentabellen und AWS Site-to-Site VPN Routenpriorität
Routentabellen bestimmen, wohin der Netzwerkverkehr von Ihrem geleitet VPC wird. In Ihrer VPC Routentabelle müssen Sie eine Route für Ihr Remote-Netzwerk hinzufügen und das Virtual Private Gateway als Ziel angeben. Dadurch kann der Datenverkehr von IhnenVPC, der für Ihr Remote-Netzwerk bestimmt ist, über das Virtual Private Gateway und über einen der VPN Tunnel geleitet werden. Sie können die Option Route Propagation für Ihre Routing-Tabelle aktivieren, damit Ihre Netzwerk-Routen automatisch an die Routing-Tabelle weitergeleitet werden.
Wir verwenden die spezifischste mit dem Datenverkehr übereinstimmende Route in der Routing-Tabelle, um Datenverkehr weiterzuleiten (Übereinstimmung mit längstem Präfix). Wenn Ihre Routing-Tabelle sich überschneidende oder übereinstimmende Routen enthält, gelten die folgenden Regeln:
-
Wenn sich von einer Site-to-Site VPN Verbindung oder AWS Direct Connect Verbindung weitergeleitete Routen mit der lokalen Route für Sie überschneidenVPC, wird die lokale Route am meisten bevorzugt, auch wenn die weitergegebenen Routen spezifischer sind.
-
Wenn weitergegebene Routen von einer Site-to-Site VPN Verbindung oder AWS Direct Connect Verbindung denselben CIDR Zielblock wie andere bestehende statische Routen haben (die längste Präfixübereinstimmung kann nicht angewendet werden), priorisieren wir die statischen Routen, deren Ziele ein Internet-Gateway, ein virtuelles privates Gateway, eine Netzwerkschnittstelle, eine Instanz-ID, eine VPC Peering-Verbindung, ein NAT Gateway, ein Transit-Gateway oder ein VPC Gateway-Endpunkt sind.
Die folgende Routing-Tabelle enthält z. B. eine statische Route zu einem Internet-Gateway und eine propagierte Route zu einem Virtual Private Gateway. Beide Routen haben den Zielbereich 172.31.0.0/24. In diesem Fall wird der gesamte Datenverkehr für 172.31.0.0/24 an das Internet-Gateway geleitet, da die statische Route gegenüber der propagierten Route Priorität hat.
| Zielbereich | Ziel |
|---|---|
| 10.0.0.0/16 | Local |
| 172.31.0.0/24 | vgw-11223344556677889 (propagiert) |
| 172.31.0.0/24 | igw-12345678901234567 (statisch) |
Nur IP-Präfixe, die dem Virtual Private Gateway bekannt sind, sei es durch BGP Werbung oder einen statischen Routeneintrag, können Datenverkehr von Ihrem empfangenVPC. Das Virtual Private Gateway leitet keinen anderen Datenverkehr weiter, der außerhalb von empfangenen BGP Ankündigungen, statischen Routeneinträgen oder damit verbundenen Verbindungen bestimmt ist. VPC CIDR Virtuelle private Gateways unterstützen IPv6 keinen Datenverkehr.
Wenn ein virtuelles privates Gateway Routing-Informationen empfängt, bestimmt es anhand der Pfadauswahl, wie der Datenverkehr geleitet wird. Die längste Präfixübereinstimmung gilt, wenn alle Endpunkte fehlerfrei sind. Der Zustand eines Tunnelendpunkts hat Vorrang vor anderen Routing-Attributen. Dieser Vorrang gilt für virtuelle private Gateways und Transit-Gateways. VPNs Wenn die Präfixe gleich sind, dann priorisiert das Virtual Private Gateway die Routen wie folgt (von den am meisten bevorzugten zu den am wenigsten bevorzugten):
-
BGPvon einer Verbindung weitergeleitete Routen AWS Direct Connect
Blackhole-Routen werden nicht über an ein Site-to-Site VPN Kunden-Gateway weitergegeben. BGP
-
Manuell hinzugefügte statische Routen für eine Verbindung Site-to-Site VPN
-
BGPvon einer Verbindung weitergeleitete Site-to-Site VPN Routen
-
Bei übereinstimmenden Präfixen, die jede Site-to-Site VPN Verbindung verwendetBGP, PATH wird das AS verglichen, wobei das Präfix mit dem kürzesten AS bevorzugt PATH wird.
Anmerkung
AWS empfiehlt dringend, Kunden-Gateway-Geräte zu verwenden, die asymmetrisches Routing unterstützen.
Für Kunden-Gateway-Geräte, die asymmetrisches Routing unterstützen, empfehlen wir nicht, AS PATH Prepending zu verwenden, um sicherzustellen, dass beide Tunnel dasselbe AS haben. PATH Dadurch wird sichergestellt, dass der multi-exit discriminator Der Wert (MED), den wir bei Tunnelendpunktaktualisierungen für einen VPN Tunnel festlegen, wird verwendet, um die Tunnelpriorität zu bestimmen.
Für Kunden-Gateway-Geräte, die kein asymmetrisches Routing unterstützen, können Sie AS PATH Prepending und Local Preference verwenden, um einen Tunnel dem anderen vorzuziehen. Wenn sich der Ausgangspfad jedoch ändert, kann dies zu einem Rückgang des Datenverkehrs führen.
-
Wenn PATHs die AS dieselbe Länge haben und wenn das erste AS im AS_ über mehrere Pfade hinweg identisch SEQUENCE ist, multi-exit discriminators (MEDs) werden verglichen. Der Pfad mit dem niedrigsten MED Wert wird bevorzugt.
Die Routenpriorität wird bei Aktualisierungen der VPN Tunnelendpunkte beeinträchtigt.
AWS Wählt bei einer Site-to-Site VPN Verbindung einen der beiden redundanten Tunnel als primären Ausgangspfad aus. Diese Auswahl kann sich gelegentlich ändern. Es wird nachdrücklich empfohlen, beide Tunnel für hohe Verfügbarkeit zu konfigurieren und asymmetrisches Routing zu gewähren. Der Zustand eines Tunnelendpunkts hat Vorrang vor anderen Routing-Attributen. Diese Priorität gilt für virtuelle private Gateways und Transit-Gateways. VPNs
Für ein virtuelles privates Gateway wird ein Tunnel für alle Site-to-Site VPN Verbindungen auf dem Gateway ausgewählt. Um mehr als einen Tunnel zu verwenden, empfehlen wir, Equal Cost Multipath (ECMP) zu testen, das für Site-to-Site VPN Verbindungen auf einem Transit-Gateway unterstützt wird. Weitere Informationen finden Sie unter Transit-Gateways in Amazon VPC Transit Gateways. ECMPwird für Site-to-Site VPN Verbindungen auf einem virtuellen privaten Gateway nicht unterstützt.
Bei Site-to-Site VPN Verbindungen, die verwendenBGP, kann der primäre Tunnel anhand des multi-exit discriminator (MED) Wert. Wir empfehlen, spezifischere BGP Routen anzukündigen, um die Routing-Entscheidungen zu beeinflussen.
Bei Site-to-Site VPN Verbindungen, die statisches Routing verwenden, kann der primäre Tunnel anhand von Verkehrsstatistiken oder Metriken identifiziert werden.
