Tabelle di routing e priorità delle AWS Site-to-Site VPN rotte - AWS Site-to-Site VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tabelle di routing e priorità delle AWS Site-to-Site VPN rotte

Le tabelle di routing determinano dove VPC viene diretto il traffico di rete proveniente dal tuo. Nella tabella delle VPC rotte, è necessario aggiungere una route per la rete remota e specificare il gateway privato virtuale come destinazione. Ciò consente al traffico proveniente dall'utente VPC destinato alla rete remota di essere instradato attraverso il gateway privato virtuale e su uno dei VPN tunnel. Puoi abilitare la propagazione della route per la tabella di routing per propagare automaticamente le route di rete alla tabella.

Utilizziamo la route più specifica della tua tabella di routing che corrisponde al traffico per determinare il modo in cui instradare il traffico (corrispondenza di prefisso più lunga). Se la tabella di routing presenta percorsi sovrapposti o corrispondenti, si applicano le seguenti regole:

  • Se le route propagate provenienti da una Site-to-Site VPN connessione o da una AWS Direct Connect connessione si sovrappongono alla route locale dell'utenteVPC, la route locale è la preferita anche se le rotte propagate sono più specifiche.

  • Se le route propagate da una Site-to-Site VPN connessione o da una AWS Direct Connect connessione hanno lo stesso CIDR blocco di destinazione di altre route statiche esistenti (non è possibile applicare il prefisso più lungo), diamo priorità alle route statiche le cui destinazioni sono un gateway Internet, un gateway privato virtuale, un'interfaccia di rete, un ID di istanza, una connessione VPC peering, un NAT gateway, un gateway di transito o un VPC endpoint gateway.

Ad esempio, la seguente tabella di routing dispone di una route statica a un Internet Gateway e una route propagata a una gateway virtuale privato. La destinazione di entrambe le regole è 172.31.0.0/24. In questo caso, tutto il traffico destinato a 172.31.0.0/24 viene instradato all'Internet gateway, perché si tratta di una route statica che ha priorità sulla route propagata.

Destinazione Target
10.0.0.0/16 Locale
172.31.0.0/24 vgw-11223344556677889 (propagato)
172.31.0.0/24 igw-12345678901234567 (statico)

Solo i prefissi IP noti al gateway privato virtuale, sia tramite BGP pubblicità che tramite un percorso statico, possono ricevere traffico dal tuoVPC. Il gateway privato virtuale non indirizza nessun altro traffico destinato al di fuori degli BGP annunci pubblicitari ricevuti, delle immissioni statiche del percorso o del relativo collegamento. VPC CIDR I gateway privati virtuali non supportano IPv6 il traffico.

Quando un gateway virtuale privato riceve informazioni di routing, utilizza la selezione percorso per determinare in che modo instradare il traffico. Si applica la corrispondenza di prefisso più lunga, se tutti gli endpoint sono integri. L'integrità di un endpoint del tunnel ha la precedenza sugli altri attributi di routing. Questa precedenza si applica ai VPNs gateway privati virtuali e ai gateway di transito. Se i prefissi sono identici, il gateway virtuale privato assegna la priorità alle route come segue, dalla più preferita alla meno preferita:

  • BGProtte propagate da una connessione AWS Direct Connect

    Le route Blackhole non vengono propagate al gateway di un Site-to-Site VPN cliente tramite. BGP

  • Percorsi statici aggiunti manualmente per una connessione Site-to-Site VPN

  • BGProtte propagate da una connessione Site-to-Site VPN

  • Per abbinare i prefissi utilizzati da ciascuna Site-to-Site VPN connessioneBGP, PATH viene confrontato l'AS e si preferisce il prefisso con l'AS più breve. PATH

    Nota

    AWS consiglia vivamente di utilizzare dispositivi gateway per i clienti che supportano il routing asimmetrico.

    Per i dispositivi gateway dei clienti che supportano il routing asimmetrico, non è consigliabile utilizzare la PATH prependenza AS, per garantire che entrambi i tunnel abbiano lo stesso AS. PATH Ciò aiuta a garantire che il multi-exit discriminator (MED) il valore che impostiamo su un tunnel durante gli aggiornamenti degli endpoint del tunnel viene utilizzato per determinare la priorità VPN del tunnel.

    Per i dispositivi gateway dei clienti che non supportano il routing asimmetrico, puoi utilizzare AS PATH prepending e Local Preference per preferire un tunnel rispetto all'altro. Tuttavia, quando il percorso di uscita cambia, ciò può causare una riduzione del traffico.

  • Quando gli AS PATHs hanno la stessa lunghezza e se il primo AS nell'AS_ SEQUENCE è lo stesso su più percorsi, multi-exit discriminators (MEDs) vengono confrontati. È preferibile il percorso con il MED valore più basso.

La priorità del percorso viene influenzata durante gli aggiornamenti degli endpoint VPN del tunnel.

In una Site-to-Site VPN connessione, AWS seleziona uno dei due tunnel ridondanti come percorso di uscita principale. Questa selezione a volte può cambiare e si consiglia di configurare entrambi i tunnel per la disponibilità elevata e per consentire un routing asimmetrico. L'integrità di un endpoint del tunnel ha la precedenza sugli altri attributi di routing. Questa precedenza si applica ai gateway privati virtuali e ai gateway di VPNs transito.

Per un gateway privato virtuale, verrà selezionato un tunnel attraverso tutte le Site-to-Site VPN connessioni sul gateway. Per utilizzare più di un tunnel, consigliamo di esplorare Equal Cost Multipath (ECMP), che è supportato per Site-to-Site VPN le connessioni su un gateway di transito. Per ulteriori informazioni, consulta Transit Gateways in Amazon VPC Transit Gateways. ECMPnon è supportato per le Site-to-Site VPN connessioni su un gateway privato virtuale.

Per Site-to-Site VPN le connessioni che utilizzanoBGP, il tunnel principale può essere identificato dal multi-exit discriminator valore (MED). Ti consigliamo di pubblicizzare BGP percorsi più specifici per influenzare le decisioni di routing.

Per Site-to-Site VPN le connessioni che utilizzano il routing statico, il tunnel principale può essere identificato mediante statistiche o metriche sul traffico.