Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Options de routage Site-to-Site VPN
Lorsque vous créez une connexion Site-to-Site VPN, vous devez procéder comme suit :
-
Spécifiez le type de routage que vous prévoyez d'utiliser (statique ou dynamique)
-
Mettez à jour la table de routage de votre sous-réseau
Le nombre de routes que vous pouvez ajouter à une table de routage est limité. Pour plus d'informations, consultez la section Tables de routage dans Quotas Amazon VPC dans le Guide de l'utilisateur Amazon VPC.
Rubriques
Routage statique et dynamique
Le type de routage que vous sélectionnez peut dépendre de la marque et du modèle de votre périphériques de passerelle client. Si votre périphérique de passerelle client prend en charge le Border Gateway Protocol (BGP), spécifiez un routage dynamique lorsque vous configurez votre connexion Site-to-Site VPN. Si votre périphérique de passerelle client ne prend pas en charge le BGP, spécifiez un routage statique.
Si vous utilisez un périphérique qui prend en charge les annonces BGP, vous n'avez pas besoin de spécifier de routes statiques vers la connexion Site-to-Site VPN puisque le périphérique utilise BGP pour publier ses routes vers la passerelle réseau privé virtuel. Si vous utilisez un périphérique qui ne prend pas en charge les annonces BGP, vous devez sélectionner un routage statique et entrer les routes (préfixes IP) pour votre réseau qui doivent être communiquées à la passerelle réseau privé virtuel.
Nous vous recommandons d'utiliser des périphériques compatibles avec BGP, quand c'est possible, puisque le protocole BGP offre de solides contrôles de détection du caractère vivant qui peuvent assister le failover vers le second tunnel VPN si le premier tunnel s'arrête. Les périphériques qui ne prennent pas en charge BGP peuvent également exécuter des vérifications de l'état pour assister le failover vers le second tunnel lorsque c'est nécessaire.
Vous devez configurer votre périphérique de passerelle client pour acheminer le trafic de votre réseau sur site vers la connexion Site-to-Site VPN. La configuration dépend de la marque et du modèle de votre périphérique. Pour de plus amples informations, veuillez consulter Votre périphérique de passerelle client.
Tables de routage et priorité de route VPN
Les tables de routage déterminent où le trafic réseau de votre VPC est dirigé. Dans votre table de routage VPC, vous devez ajouter une route pour votre réseau distant et spécifier la passerelle réseau privé virtuel comme cible. Cela permet au trafic de votre VPC destiné à votre réseau distant de s'acheminer via la passerelle réseau privé virtuel et sur l'un des tunnels VPN. Vous pouvez autoriser la propagation du routage pour votre table de routage pour automatiquement propager vos routes réseau vers la table pour vous.
Nous utilisons la route la plus spécifique de votre table de routage qui correspond au trafic afin de déterminer comment router le trafic (correspondance de préfixe le plus long). Si votre table de routage comporte des routes qui se chevauchent ou correspondent, les règles suivantes s'appliquent :
-
Si les acheminements propagés à partir d'une connexion Site-to-Site VPN ou d'une connexion AWS Direct Connect chevauchent l'acheminement local de votre VPC, l'acheminement local est privilégié, même si les acheminements reproduits sont plus spécifiques.
-
Si les acheminement propagés à partir d'une connexion Site-to-Site VPN ou d'une connexion AWS Direct Connect ont le même bloc d'adresse CIDR de destination que d'autres acheminements statiques existants (la correspondance du préfixe le plus long ne peut pas s'appliquer), la priorité est accordée aux acheminements statiques dont les cibles sont une passerelle Internet, une passerelle réseau privé virtuel, une interface réseau, un ID d'instance, une connexion d'appairage de VPC, une passerelle NAT, une passerelle de transit ou un point de terminaison d'un VPC de passerelle.
Par exemple, la table de routage suivante a une route statique vers une passerelle Internet et une route propagée vers une passerelle réseau privé virtuel. Les deux routes ont pour destination : 172.31.0.0/24. Dans ce cas, tout le trafic destiné à l'adresse 172.31.0.0/24 est routé vers la passerelle Internet. Il s'agit d'une route statique qui a donc priorité sur la route propagée.
| Destination | Cible |
|---|---|
| 10.0.0.0/16 | Locale |
| 172.31.0.0/24 | vgw-11223344556677889 (propagée) |
| 172.31.0.0/24 | igw-12345678901234567 (statique) |
Seuls les préfixes IP connus de la passerelle réseau privé virtuel, que ce soit par une annonce BGP ou une entrée de routage statique, peuvent recevoir du trafic sortant de votre VPC. La passerelle réseau privé virtuel n'achemine pas d'autre trafic destiné en dehors des annonces BGP reçues, des saisies de routage statique ou du CIDR de VPC attaché. Les passerelles réseau privé virtuel ne prennent pas en charge le trafic IPv6.
Quand une passerelle réseau privé virtuel reçoit des informations de routage, elle utilise la sélection des chemins pour déterminer comment acheminer le trafic. La correspondance de préfixe la plus longue s'applique si tous les points de terminaison sont sains. L'état du point de terminaison d'un tunnel est prioritaire par rapport aux autres attributs de routage. Cette priorité s'applique aux VPN sur les passerelles réseau privé virtuel et les passerelles de transit. Si les préfixes sont les mêmes, la passerelle réseau privé virtuel donne la priorité suivante aux routes, de la route la plus préférée à la route la moins préférée :
-
Acheminements propagés BGP depuis une connexion AWS Direct Connect
-
Routes statiques ajoutées manuellement pour une connexion Site-to-Site VPN
-
Routes propagées BGP à partir d'une connexion Site-to-Site VPN
-
Pour les préfixes qui correspondent lorsque chaque connexion Site-to-Site VPN utilise BGP, le chemin d'AS est comparé et le préfixe comportant le chemin d'AS le plus court est privilégié.
Note
AWS recommande fortement d'utiliser des périphériques de passerelle client qui prennent en charge l'acheminement asymétrique.
Pour les périphériques de passerelle client qui prennent en charge l'acheminement asymétrique, nous déconseillons d'utiliser le préfixe AS PATH, afin de garantir que les deux tunnels ont le même AS PATH. Cela permet de s'assurer que la valeur multi-exit discriminator (MED) que nous avons définie sur un tunnel lors des mises à jour du point de terminaison du tunnel VPN est utilisée pour déterminer la priorité du tunnel.
Pour les périphériques de passerelle client qui ne prennent pas en charge l'acheminement asymétrique, vous pouvez utiliser AS PATH prepending et Local Preference pour préférer un tunnel à l'autre. Toutefois, lorsque le chemin de sortie change, cela peut entraîner une baisse du trafic.
-
Lorsque les chemins d'AS ont la même longueur et si le premier AS dans AS_SEQUENCE est le même sur plusieurs chemins, les attributs MED (multi-exit discriminators) sont comparés. Le chemin avec la valeur MED la plus faible est préféré.
La priorité de route est affectée lors des mises à jour des points de terminaison du tunnel VPN.
Sur une connexion Site-to-Site VPN, AWS sélectionne l'un des deux tunnels redondants comme chemin d'évacuation principal. Cette sélection peut parfois changer, et nous vous recommandons fortement de configurer les deux tunnels pour une haute disponibilité, et permet un routage asymétrique. L'état du point de terminaison d'un tunnel est prioritaire par rapport aux autres attributs de routage. Cette priorité s'applique aux VPN sur les passerelles réseau privé virtuel et les passerelles de transit.
Pour une passerelle réseau privé virtuel, un tunnel à travers toutes les connexions Site-to-Site VPN de la passerelle sera sélectionné. Pour utiliser plusieurs tunnels, nous vous recommandons d'explorer Equal Cost Multipath (ECMP), qui est pris en charge pour les connexions Site-to-Site VPN sur une passerelle de transit. Pour plus d'informations, consultez Passerelles de transit dans Passerelles de transit Amazon VPC. ECMP n'est pas pris en charge pour les connexions Site-to-Site VPN sur une passerelle réseau privé virtuel.
Pour les connexions Site-to-Site VPN qui utilisent BGP, le tunnel principal peut être identifié par la valeur multi-exit discriminator (MED). Nous vous recommandons de publier des itinéraires BGP plus spécifiques pour influencer les décisions de routage.
Pour les connexions Site-to-Site VPN qui utilisent le routage statique, le tunnel principal peut être identifié par des statistiques de trafic ou des métriques.
Routage pendant les mises à jour des points de terminaison du tunnel VPN
Une connexion Site-to-Site VPN est composée de deux tunnels VPN entre un périphérique de passerelle client et une passerelle réseau privé virtuel ou une passerelle de transit. Nous vous recommandons de configurer les deux tunnels pour la redondance. De temps en temps, AWS effectue également des opérations de maintenance habituelles sur votre connexion VPN, ce qui peut désactiver brièvement l'un des deux tunnels de votre connexion VPN. Pour de plus amples informations, veuillez consulter Notifications de remplacement des points de terminaison du tunnel.
Lorsque nous effectuons des mises à jour sur un tunnel VPN, nous définissons une valeur MED (multi-exit discriminator) inférieure sur l'autre tunnel. Si vous avez configuré votre périphérique de passerelle client afin qu'il utilise les deux tunnels, votre connexion VPN utilise l'autre tunnel (en amont) pendant le processus de mise à jour du point de terminaison du tunnel.
Note
Pour vous assurer que le tunnel en amont avec la valeur MED inférieure est préféré, assurez-vous que votre périphérique de passerelle client utilise les mêmes valeurs de poids et de préférence locale pour les deux tunnels (les valeurs de poids et de préférence locale ont une priorité plus élevée que la valeur MED).
