As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tabelas de rotas determinam para onde o tráfego da VPC é direcionado. Na tabela de rotas da VPC, adicione uma rota à rede remota e especifique o gateway privado virtual como destino. Isso permite que o tráfego da VPC destinado para a rede remota seja roteado por meio do gateway privado virtual e sobre um dos túneis VPN. É possível habilitar a propagação automática de rotas da rede para a tabela de rotas.
Para determinar como o tráfego deve ser roteado, usamos a rota mais específica em sua tabela de rotas que corresponde ao tráfego (correspondência de prefixo mais longa). Se a tabela de rotas tiver rotas sobrepostas ou correspondentes, as seguintes regras serão aplicadas:
-
Se as rotas propagadas de uma conexão Site-to-Site VPN ou AWS Direct Connect conexão se sobrepuserem à rota local da sua VPC, a rota local será a preferida, mesmo que as rotas propagadas sejam mais específicas.
-
Se as rotas propagadas de uma conexão ou AWS Direct Connect conexão Site-to-Site VPN tiverem o mesmo bloco CIDR de destino de outras rotas estáticas existentes (a correspondência de prefixo mais longa não pode ser aplicada), priorizamos as rotas estáticas cujos destinos são um gateway de internet, um gateway privado virtual, uma interface de rede, um ID de instância, uma conexão de emparelhamento de VPC, um gateway NAT, um gateway de trânsito ou um gateway VPC endpoint.
Por exemplo, a tabela de rotas a seguir tem uma rota estática para um gateway da Internet e uma rota propagada para um gateway privado virtual. O destino de ambas as rotas é 172.31.0.0/24. Nesse caso, todo tráfego destinado para 172.31.0.0/24 é roteado para o gateway da Internet – é uma rota estática e, portanto, tem prioridade sobre a rota propagada.
| Destino | Destino |
|---|---|
| 10.0.0.0/16 | Local |
| 172.31.0.0/24 | vgw-11223344556677889 (propagado) |
| 172.31.0.0/24 | igw-12345678901234567 (estático) |
Somente os prefixos IP que sejam conhecidos do gateway privado virtual, seja por meio de anúncios BGP ou de uma entrada da rota estática, podem receber o tráfego da VPC. O gateway privado virtual não roteia nenhum outro tráfego cujo destino seja fora dos anúncios BGP recebidos, das entradas de rota estática ou do CIDR da VPC anexada. Os gateways privados virtuais não oferecem suporte ao IPv6 tráfego.
Quando um gateway privado virtual recebe informações de roteamento, ele usa a seleção de caminho para determinar como rotear o tráfego. A correspondência de prefixo mais longa se aplicará se todos os endpoints estiverem íntegros. A integridade de um endpoint de túnel tem precedência sobre outros atributos de roteamento. Essa precedência se aplica a VPNs gateways privados virtuais e gateways de trânsito. Se os prefixos forem os mesmos, o gateway privado virtual prioriza as rotas da seguinte forma, da mais preferida para a menos preferida:
-
Rotas propagadas pelo BGP a partir de uma conexão AWS Direct Connect
As rotas do Blackhole não são propagadas para um gateway de cliente Site-to-Site VPN via BGP.
-
Rotas estáticas adicionadas manualmente para uma conexão Site-to-Site VPN
-
Rotas propagadas pelo BGP a partir de uma conexão VPN Site-to-Site
-
Para combinar prefixos em que cada conexão Site-to-Site VPN usa BGP, o AS PATH é comparado e o prefixo com o AS PATH mais curto é preferido.
nota
AWS recomenda fortemente o uso de dispositivos de gateway do cliente que suportem roteamento assimétrico.
Para dispositivos de gateway do cliente compatíveis com roteamento assimétrico, nós não recomendamos usar o prefixo AS PATH, para garantir que os dois túneis tenham um AS PATH igual. Isso ajuda a garantir que o multi-exit discriminator valor (MED) que definimos em um túnel durante as atualizações de endpoint do túnel VPN seja usado para determinar a prioridade do túnel.
Para dispositivos de gateway do cliente incompatíveis com o roteamento assimétrico, use no início AS PATH e a preferência local para escolher um túnel em vez do outro. No entanto, quando o caminho de saída muda, o tráfego pode cair.
-
Quando o PATHs AS tiver o mesmo comprimento e se o primeiro AS no AS_SEQUENCE for o mesmo em vários caminhos, multi-exit discriminators (MEDs) são comparados. O caminho com o menor valor MED será o preferido.
A prioridade de rota é afetada durante as atualizações de endpoint do túnel de VPN.
Em uma conexão Site-to-Site VPN, AWS seleciona um dos dois túneis redundantes como o caminho de saída principal. Essa seleção pode mudar às vezes, e é altamente recomendável que você configure ambos os túneis para alta disponibilidade e permita o roteamento assimétrico. A integridade de um endpoint de túnel tem precedência sobre outros atributos de roteamento. Essa precedência se aplica a VPNs gateways privados virtuais e gateways de trânsito.
Para um gateway privado virtual, um túnel em todas as conexões Site-to-Site VPN no gateway será selecionado. Para usar mais de um túnel, recomendamos explorar o Equal Cost Multipath (ECMP), que é compatível com conexões Site-to-Site VPN em um gateway de trânsito. Para obter mais informações, consulte Gateways de trânsito em Gateways de trânsito da Amazon VPC. O ECMP não é compatível com conexões Site-to-Site VPN em um gateway privado virtual.
Para conexões Site-to-Site VPN que usam BGP, o túnel primário pode ser identificado pelo multi-exit discriminator valor (MED). Recomendamos anunciar rotas BGP mais específicas para influenciar as decisões de roteamento.
Para conexões Site-to-Site VPN que usam roteamento estático, o túnel primário pode ser identificado por estatísticas ou métricas de tráfego.
