Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Tablas de enrutamiento y prioridad de AWS Site-to-Site VPN enrutamiento
Las tablas de enrutamiento determinan hacia dónde VPC se dirige el tráfico de su red. En la tabla de VPC enrutamiento, debe agregar una ruta para la red remota y especificar la puerta de enlace privada virtual como destino. Esto permite VPC que el tráfico procedente de su red remota se dirija a través de la puerta de enlace privada virtual y atraviese uno de los VPN túneles. Puede habilitar la propagación de rutas para que su tabla de ruteo propague automáticamente las rutas de red a la tabla.
Para determinar cómo dirigir tráfico, se utiliza la ruta más específica de su tabla de ruteo que coincida con el tráfico en cuestión (coincidencia del prefijo más largo). Si la tabla de enrutamiento tiene rutas superpuestas o coincidentes, se aplican las siguientes reglas:
-
Si las rutas propagadas desde una Site-to-Site VPN conexión o una AWS Direct Connect conexión se superponen con la ruta localVPC, la ruta local es la más preferida, incluso si las rutas propagadas son más específicas.
-
Si las rutas propagadas desde una Site-to-Site VPN conexión o AWS Direct Connect conexión tienen el mismo CIDR bloque de destino que otras rutas estáticas existentes (no se puede aplicar la coincidencia de prefijo más larga), priorizamos las rutas estáticas cuyos destinos son una puerta de enlace de Internet, una puerta de enlace privada virtual, una interfaz de red, un ID de instancia, una conexión de VPC emparejamiento, una puerta de enlace, una NAT puerta de enlace de tránsito o un VPC punto final de puerta de enlace.
Por ejemplo, la siguiente tabla de enrutamiento tiene una ruta estática a una gateway de Internet y una ruta propagada a una gateway privada virtual. Ambas rutas tienen el destino 172.31.0.0/24. En este caso, todo el tráfico con destino 172.31.0.0/24 se dirige a la gateway de Internet, ya que se trata de una ruta estática con prioridad sobre la ruta propagada.
| Destino | Objetivo |
|---|---|
| 10.0.0.0/16 | Local |
| 172.31.0.0/24 | vgw-11223344556677889 (propagada) |
| 172.31.0.0/24 | igw-12345678901234567 (estática) |
Solo los prefijos IP que conoce la puerta de enlace privada virtual, ya sea a través de BGP anuncios o de una entrada de ruta estática, pueden recibir tráfico de su parteVPC. La puerta de enlace privada virtual no enruta ningún otro tráfico con destino ajeno a los BGP anuncios recibidos, a las entradas de rutas estáticas o a los enlaces adjuntos VPCCIDR. Las pasarelas privadas virtuales no admiten IPv6 tráfico.
Cuando una gateway privada virtual recibe información de direccionamiento, usa la selección de rutas para determinar cómo debe dirigir el tráfico de las rutas. Se aplica la coincidencia de prefijos más larga si todos los puntos de conexión están en buen estado. El estado de un punto de conexión de túnel tiene prioridad sobre otros atributos de enrutamiento. Esta prioridad se aplica a las pasarelas privadas virtuales y a VPNs las pasarelas de tránsito. Si los prefijos son los mismos, la gateway privada virtual da prioridad a las rutas de la siguiente manera, desde la más preferida a la menos preferida:
-
BGPrutas propagadas desde una conexión AWS Direct Connect
Las rutas de Blackhole no se propagan a la pasarela de un Site-to-Site VPN cliente a través de. BGP
-
Rutas estáticas añadidas manualmente para una conexión Site-to-Site VPN
-
BGPrutas propagadas desde una conexión Site-to-Site VPN
-
Para hacer coincidir los prefijos que utiliza cada Site-to-Site VPN conexiónBGP, PATH se compara el AS y se prefiere el prefijo con el AS PATH más corto.
nota
AWS recomienda encarecidamente utilizar dispositivos de puerta de enlace para clientes que admitan el enrutamiento asimétrico.
En el caso de los dispositivos de puerta de enlace del cliente que admiten el enrutamiento asimétrico, no recomendamos usar PATH AS antes para garantizar que ambos túneles tengan el mismo AS. PATH Esto ayuda a garantizar que el multi-exit discriminator (MED) El valor que establecemos en un túnel durante las actualizaciones de los puntos finales VPN del túnel se utiliza para determinar la prioridad del túnel.
En el caso de los dispositivos de puerta de enlace del cliente que no admiten el enrutamiento asimétrico, puede utilizar el PATH prefijo AS y la preferencia local para preferir un túnel en lugar de otro. Sin embargo, cuando la ruta de salida cambia, esto puede provocar una caída del tráfico.
-
Cuando los AS PATHs tienen la misma longitud y si el primer AS del AS_ SEQUENCE es el mismo en varias rutas, multi-exit discriminators (MEDs) se comparan. Se prefiere la ruta con el MED valor más bajo.
La prioridad de la ruta se ve afectada durante las actualizaciones de los puntos finales VPN del túnel.
En una Site-to-Site VPN conexión, AWS selecciona uno de los dos túneles redundantes como ruta de salida principal. Esta selección puede cambiar en algún momento, por lo que le recomendamos que configure ambos túneles para una alta disponibilidad y que permita el enrutamiento asimétrico. El estado de un punto de conexión de túnel tiene prioridad sobre otros atributos de enrutamiento. Esta prioridad se aplica a las pasarelas privadas virtuales y a VPNs las pasarelas de tránsito.
En el caso de una puerta de enlace privada virtual, se seleccionará un túnel que atraviese todas Site-to-Site VPN las conexiones de la puerta de enlace. Para usar más de un túnel, recomendamos explorar Equal Cost Multipath (ECMP), que es compatible con las Site-to-Site VPN conexiones en una pasarela de tránsito. Para obtener más información, consulte Pasarelas de tránsito en Amazon VPC Transit Gateways. ECMPno es compatible con las Site-to-Site VPN conexiones en una puerta de enlace privada virtual.
En el Site-to-Site VPN caso de las conexiones que se utilizanBGP, el túnel principal se puede identificar mediante multi-exit discriminator valor (MED). Recomendamos anunciar BGP rutas más específicas para influir en las decisiones de enrutamiento.
En el Site-to-Site VPN caso de las conexiones que utilizan el enrutamiento estático, el túnel principal se puede identificar mediante estadísticas o métricas de tráfico.
