Tabelas de rotas e prioridade de rota do AWS Site-to-Site VPN - AWS Site-to-Site VPN

Tabelas de rotas e prioridade de rota do AWS Site-to-Site VPN

Tabelas de rotas determinam para onde o tráfego da VPC é direcionado. Na tabela de rotas da VPC, adicione uma rota à rede remota e especifique o gateway privado virtual como destino. Isso permite que o tráfego da VPC destinado para a rede remota seja roteado por meio do gateway privado virtual e sobre um dos túneis VPN. É possível habilitar a propagação automática de rotas da rede para a tabela de rotas.

Para determinar como o tráfego deve ser roteado, usamos a rota mais específica em sua tabela de rotas que corresponde ao tráfego (correspondência de prefixo mais longa). Se a tabela de rotas tiver rotas sobrepostas ou correspondentes, as seguintes regras serão aplicadas:

  • Se qualquer rota propagada de uma conexão VPN de local a local ou de uma conexão do Direct Connect se sobrepuser à rota local de sua VPC, a rota local será a preferencial, mesmo que as rotas propagadas sejam mais específicas.

  • Se as rotas propagadas de uma conexão VPN de local a local ou de uma conexão do Direct Connect tiver o mesmo bloco CIDR de destino que outras rotas estáticas existentes (não é possível aplicar a correspondência de prefixo mais longa), priorizaremos as rotas estáticas cujos destinos sejam um gateway da Internet, um gateway privado virtual, uma interface de rede, o ID de uma instância, uma conexão de emparelhamento da VPC, um gateway NAT, um transit gateway ou um endpoint da VPC do gateway.

Por exemplo, a tabela de rotas a seguir tem uma rota estática para um gateway da Internet e uma rota propagada para um gateway privado virtual. O destino de ambas as rotas é 172.31.0.0/24. Nesse caso, todo tráfego destinado para 172.31.0.0/24 é roteado para o gateway da Internet – é uma rota estática e, portanto, tem prioridade sobre a rota propagada.

Destino Destino
10.0.0.0/16 Local
172.31.0.0/24 vgw-11223344556677889 (propagado)
172.31.0.0/24 igw-12345678901234567 (estático)

Somente os prefixos IP que sejam conhecidos do gateway privado virtual, seja por meio de anúncios BGP ou de uma entrada da rota estática, podem receber o tráfego da VPC. O gateway privado virtual não roteia nenhum outro tráfego cujo destino seja fora dos anúncios BGP recebidos, das entradas de rota estática ou do CIDR da VPC anexada. Gateways privados virtuais não são compatíveis com o tráfego IPv6.

Quando um gateway privado virtual recebe informações de roteamento, ele usa a seleção de caminho para determinar como rotear o tráfego. A correspondência de prefixo mais longa se aplicará se todos os endpoints estiverem íntegros. A integridade de um endpoint de túnel tem precedência sobre outros atributos de roteamento. Essa precedência se aplica a VPNs em gateways privados virtuais e gateways de trânsito. Se os prefixos forem os mesmos, o gateway privado virtual prioriza as rotas da seguinte forma, da mais preferida para a menos preferida:

  • Rotas BGP propagadas de uma conexão do Direct Connect

    As rotas blackhole não são propagadas para um gateway do cliente Site-to-Site VPN via BGP.

  • Rotas estáticas adicionadas manualmente a uma conexão da Site-to-Site VPN

  • Rotas BGP propagadas de uma conexão da Site-to-Site VPN

  • Para os prefixos correspondentes, em que cada conexão da Site-to-Site VPN usa o BGP, deve-se comparar o AS PATH e dar preferência ao prefixo com AS PATH mais curto.

    nota

    A AWS recomenda fortemente o uso de dispositivos de gateway do cliente compatíveis com roteamento assimétrico.

    Para dispositivos de gateway do cliente compatíveis com roteamento assimétrico, nós não recomendamos usar o prefixo AS PATH, para garantir que os dois túneis tenham um AS PATH igual. Isso ajuda a garantir que o valor multi-exit discriminator (MED) que definimos em um túnel durante as atualizações de endpoint do túnel VPN seja usado para determinar a prioridade do túnel.

    Para dispositivos de gateway do cliente incompatíveis com o roteamento assimétrico, use no início AS PATH e a preferência local para escolher um túnel em vez do outro. No entanto, quando o caminho de saída muda, o tráfego pode cair.

  • Quando os AS PATHs tiverem o mesmo comprimento e se o primeiro AS no AS_SEQUENCE for o mesmo em vários caminhos, os multi-exit discriminators (MEDs) serão comparados. O caminho com o menor valor MED será o preferido.

A prioridade de rota é afetada durante as atualizações de endpoint do túnel de VPN.

Em uma conexão Connect, a AWS seleciona um dos dois túneis redundantes como o caminho de saída principal. Essa seleção pode mudar às vezes, e é altamente recomendável que você configure ambos os túneis para alta disponibilidade e permita o roteamento assimétrico. A integridade de um endpoint de túnel tem precedência sobre outros atributos de roteamento. Essa precedência se aplica a VPNs em gateways privados virtuais e gateways de trânsito.

Para um gateway privado virtual, será selecionado um túnel em todas as conexões da Site-to-Site VPN no gateway. Para usar mais de um túnel, recomendamos explorar o Equal Cost Multipath (ECMP), que é compatível com conexões da Site-to-Site VPN em um gateway de trânsito. Para obter mais informações, consulte Gateways de trânsito em Gateways de trânsito da Amazon VPC. O ECMP não é compatível com conexões da Site-to-Site VPN em um gateway privado virtual.

Para conexões da Site-to-Site VPN que usam BGP, o túnel primário pode ser identificado pelo valor multi-exit discriminator (MED). Recomendamos anunciar rotas BGP mais específicas para influenciar as decisões de roteamento.

Para conexões da Site-to-Site VPN que usam roteamento estático, o túnel primário pode ser identificado por métricas ou estatísticas de tráfego.