Tablas de enrutamiento y prioridad de rutas de AWS Site-to-Site VPN
Las tablas de enrutamiento determinan dónde se dirige el tráfico de red de la VPC. En la tabla de enrutamiento de la VPC, tiene que agregar una ruta para su red remota y especificar la gateway privada virtual como destino. Esto permite que el tráfico desde su VPC que está dirigido a su red remota se enrute a través de la gateway privada virtual y a través de uno de los túneles de VPN. Puede habilitar la propagación de rutas para que su tabla de ruteo propague automáticamente las rutas de red a la tabla.
Para determinar cómo dirigir tráfico, se utiliza la ruta más específica de su tabla de ruteo que coincida con el tráfico en cuestión (coincidencia del prefijo más largo). Si la tabla de enrutamiento tiene rutas superpuestas o coincidentes, se aplican las siguientes reglas:
-
Si las rutas propagadas de una conexión Site-to-Site VPN o de una conexión Direct Connect se solapan con la ruta local para su VPC, la ruta local es la más preferida aunque las rutas propagadas sean más específicas.
-
Si las rutas propagadas desde una conexión de Site-to-Site VPN o Direct Connect tienen el mismo bloque de CIDR de destino que otras rutas estáticas (cuando no sea posible aplicar la coincidencia de prefijo más largo), se dará prioridad a las rutas estáticas cuyos objetivos sean puertas de enlace de Internet, puertas de enlace privadas virtuales, interfaces de red, ID de instancia, una conexión de emparejamiento de VPC, puertas de enlace NAT, transit gateway o puntos de conexión de VPC de una puerta de enlace.
Por ejemplo, la siguiente tabla de enrutamiento tiene una ruta estática a una gateway de Internet y una ruta propagada a una gateway privada virtual. Ambas rutas tienen el destino 172.31.0.0/24. En este caso, todo el tráfico con destino 172.31.0.0/24 se dirige a la gateway de Internet, ya que se trata de una ruta estática con prioridad sobre la ruta propagada.
| Destino | Objetivo |
|---|---|
| 10.0.0.0/16 | Local |
| 172.31.0.0/24 | vgw-11223344556677889 (propagada) |
| 172.31.0.0/24 | igw-12345678901234567 (estática) |
Solo los prefijos IP que la gateway privada virtual conozca, ya sea mediante anuncios de BGP o por introducción de una ruta estática, podrán recibir tráfico de su VPC. La gateway privada virtual no direcciona el tráfico cuyo destino no sea el mencionado en los anuncios de BGP recibidos, las entradas de ruta estática o los CIDR de VPC asociados. Las puerta de enlaces privadas virtuales no admiten el tráfico IPv6.
Cuando una gateway privada virtual recibe información de direccionamiento, usa la selección de rutas para determinar cómo debe dirigir el tráfico de las rutas. Se aplica la coincidencia de prefijos más larga si todos los puntos de conexión están en buen estado. El estado de un punto de conexión de túnel tiene prioridad sobre otros atributos de enrutamiento. Esta prioridad se aplica a las VPN en puertas de enlace privadas virtuales y puertas de enlace de tránsito. Si los prefijos son los mismos, la gateway privada virtual da prioridad a las rutas de la siguiente manera, desde la más preferida a la menos preferida:
-
Rutas propagadas de BGP desde una conexión de Direct Connect
Las rutas de agujeros negros no se propagan a una puerta de enlace de cliente de Site-to-Site VPN mediante BGP.
-
Rutas estáticas agregadas manualmente para una conexión de Site-to-Site VPN
-
Rutas propagadas por ASN desde una conexión de Site-to-Site VPN
-
En los prefijos que coinciden donde cada conexión de Site-to-Site VPN utiliza ASN, se compara la ruta AS PATH y se elige el prefijo con la ruta AS PATH más corta.
nota
AWS recomienda encarecidamente utilizar dispositivos de puerta de enlace de clientes que admiten enrutamiento asimétrico.
Para los dispositivos de puerta de enlace de clientes que admiten enrutamiento asimétrico, no recomiendamos usar la ruta AS PATH prepending para asegurar que ambos túneles tengan la misma ruta AS PATH. De esta forma, podrá asegurarse de que el valor multi-exit discriminator (MED) que establecemos en un túnel durante las actualizaciones de puntos de enlace del túnel VPN se utilice para determinar la prioridad del túnel.
En el caso de los dispositivos de puerta de enlace de cliente que no admiten enrutamiento asimétrico, puede utilizar AS PATH antepuesto y la preferencia local para dar prioridad a un túnel sobre el otro. Sin embargo, cuando la ruta de salida cambia, esto puede provocar una caída del tráfico.
-
Cuando las rutas AS PATH tengan la misma longitud y si el primer AS de AS_SEQUENCE es el mismo en varias rutas, se comparan los multi-exit discriminators (MED). Se prefiere la ruta con el valor de MED más bajo.
La prioridad de ruta se ve afectada durante las actualizaciones del punto de enlace del túnel de la VPN.
En una conexión de Site-to-Site VPN, AWS selecciona uno de los dos túneles redundantes como ruta de salida principal. Esta selección puede cambiar en algún momento, por lo que le recomendamos que configure ambos túneles para una alta disponibilidad y que permita el enrutamiento asimétrico. El estado de un punto de conexión de túnel tiene prioridad sobre otros atributos de enrutamiento. Esta prioridad se aplica a las VPN en puertas de enlace privadas virtuales y puertas de enlace de tránsito.
En una gateway privada virtual, se seleccionará un solo túnel entre todas las conexiones de Site-to-Site VPN de la gateway. Para utilizar varios túneles, le recomendamos que considere las rutas múltiples de igual costo (ECMP), que se admiten en conexiones de Site-to-Site VPN de las gateways de tránsito. Para obtener más información, consulte Gateways de tránsito en Gateways de tránsito de Amazon VPC. ECMP no es puede utilizarse con las conexiones de Site-to-Site VPN de una gateway privada virtual.
En las conexiones de Site-to-Site VPN que utilizan ASN, el túnel principal se puede identificar mediante el valor multi-exit discriminator (MED). Recomendamos anunciar rutas ASN más específicas para influir en las decisiones de enrutamiento.
En las conexiones de Site-to-Site VPN que utilizan un direccionamiento estático, el túnel principal se puede identificar a través de estadísticas de tráfico o métricas.
