Tabelas de rotas e prioridade de AWS Site-to-Site VPN rotas - AWS Site-to-Site VPN

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tabelas de rotas e prioridade de AWS Site-to-Site VPN rotas

As tabelas de rotas determinam para onde o seu tráfego de rede VPC é direcionado. Em sua tabela de VPC rotas, você deve adicionar uma rota para sua rede remota e especificar o gateway privado virtual como destino. Isso permite VPC que o tráfego de sua rede remota, destinado à sua rede remota, seja roteado pelo gateway privado virtual e por um dos VPN túneis. Você pode habilitar a propagação automática de rotas da rede para a tabela de rotas.

Para determinar como o tráfego deve ser roteado, usamos a rota mais específica em sua tabela de rotas que corresponde ao tráfego (correspondência de prefixo mais longa). Se a tabela de rotas tiver rotas sobrepostas ou correspondentes, as seguintes regras serão aplicadas:

  • Se as rotas propagadas de uma Site-to-Site VPN conexão ou AWS Direct Connect conexão se sobrepuserem à rota local da suaVPC, a rota local será a preferida, mesmo que as rotas propagadas sejam mais específicas.

  • Se as rotas propagadas de uma Site-to-Site VPN conexão ou AWS Direct Connect conexão tiverem o mesmo CIDR bloco de destino de outras rotas estáticas existentes (a correspondência de prefixo mais longa não pode ser aplicada), priorizamos as rotas estáticas cujos destinos são um gateway de internet, um gateway privado virtual, uma interface de rede, um ID de instância, uma conexão de VPC peering, um gateway, um NAT gateway de trânsito ou um endpoint de gateway. VPC

Por exemplo, a tabela de rotas a seguir tem uma rota estática para um gateway da Internet e uma rota propagada para um gateway privado virtual. O destino de ambas as rotas é 172.31.0.0/24. Nesse caso, todo tráfego destinado para 172.31.0.0/24 é roteado para o gateway da Internet – é uma rota estática e, portanto, tem prioridade sobre a rota propagada.

Destino Destino
10.0.0.0/16 Local
172.31.0.0/24 vgw-11223344556677889 (propagado)
172.31.0.0/24 igw-12345678901234567 (estático)

Somente prefixos IP conhecidos pelo gateway privado virtual, seja por meio de BGP anúncios ou de uma entrada de rota estática, podem receber tráfego do seu. VPC O gateway privado virtual não roteia nenhum outro tráfego destinado fora dos BGP anúncios recebidos, das entradas de rotas estáticas ou de seus anexos. VPC CIDR Os gateways privados virtuais não oferecem suporte ao IPv6 tráfego.

Quando um gateway privado virtual recebe informações de roteamento, ele usa a seleção de caminho para determinar como rotear o tráfego. A correspondência de prefixo mais longa se aplicará se todos os endpoints estiverem íntegros. A integridade de um endpoint de túnel tem precedência sobre outros atributos de roteamento. Essa precedência se aplica a VPNs gateways privados virtuais e gateways de trânsito. Se os prefixos forem os mesmos, o gateway privado virtual prioriza as rotas da seguinte forma, da mais preferida para a menos preferida:

  • BGProtas propagadas a partir de uma conexão AWS Direct Connect

    As rotas do Blackhole não são propagadas para um gateway Site-to-Site VPN do cliente via. BGP

  • Rotas estáticas adicionadas manualmente para uma Site-to-Site VPN conexão

  • BGProtas propagadas a partir de uma conexão Site-to-Site VPN

  • Para combinar os prefixos usados por cada Site-to-Site VPN conexãoBGP, o AS PATH é comparado e o prefixo com o AS mais curto é preferido. PATH

    nota

    AWS recomenda fortemente o uso de dispositivos de gateway do cliente que suportem roteamento assimétrico.

    Para dispositivos de gateway de clientes que suportam roteamento assimétrico, não recomendamos o uso de AS PATH prependente, para garantir que ambos os túneis tenham AS igual. PATH Isso ajuda a garantir que o multi-exit discriminator (MED) o valor que definimos em um túnel durante as atualizações do endpoint VPN do túnel é usado para determinar a prioridade do túnel.

    Para dispositivos de gateway do cliente que não oferecem suporte ao roteamento assimétrico, você pode usar o AS PATH prependente e o Local Preference para preferir um túnel ao outro. No entanto, quando o caminho de saída muda, o tráfego pode cair.

  • Quando o PATHs AS tem o mesmo comprimento e se o primeiro AS no AS_ SEQUENCE é o mesmo em vários caminhos, multi-exit discriminators (MEDs) são comparados. O caminho com o MED valor mais baixo é o preferido.

A prioridade da rota é afetada durante as atualizações VPN do endpoint do túnel.

Em uma Site-to-Site VPN conexão, AWS seleciona um dos dois túneis redundantes como o caminho de saída principal. Essa seleção pode mudar às vezes, e é altamente recomendável que você configure ambos os túneis para alta disponibilidade e permita o roteamento assimétrico. A integridade de um endpoint de túnel tem precedência sobre outros atributos de roteamento. Essa precedência se aplica a VPNs gateways privados virtuais e gateways de trânsito.

Para um gateway privado virtual, um túnel em todas as Site-to-Site VPN conexões no gateway será selecionado. Para usar mais de um túnel, recomendamos explorar o Equal Cost Multipath (ECMP), que é compatível com Site-to-Site VPN conexões em um gateway de trânsito. Para obter mais informações, consulte Gateways de trânsito no Amazon VPC Transit Gateways. ECMPnão é compatível com Site-to-Site VPN conexões em um gateway privado virtual.

Para Site-to-Site VPN conexões que usamBGP, o túnel primário pode ser identificado pelo multi-exit discriminator (MED) valor. Recomendamos anunciar BGP rotas mais específicas para influenciar as decisões de roteamento.

Para Site-to-Site VPN conexões que usam roteamento estático, o túnel primário pode ser identificado por estatísticas ou métricas de tráfego.