Opções de roteamento do Site-to-Site VPN - AWS Site-to-Site VPN

Opções de roteamento do Site-to-Site VPN

Ao criar uma conexão do Site-to-Site VPN, faça o seguinte:

  • Especifique o tipo de roteamento que você planeja usar (estático ou dinâmico)

  • Atualize a tabela de rotas da sub-rede

Existem cotas para o número de rotas que podem ser adicionadas a uma tabela de rotas. Para obter mais informações, consulte a seção Tabelas de rotas em Cotas da Amazon VPC no Guia do usuário da Amazon VPC.

Roteamento estático e dinâmico

O tipo de roteamento selecionado pode depender da marca e do modelo do dispositivo de gateway do cliente. Se o dispositivo de gateway do cliente oferecer suporte ao Border Gateway Protocol (BGP), especifique o roteamento dinâmico ao configurar a conexão do Site-to-Site VPN. Se o dispositivo de gateway do cliente não for compatível com BGP, especifique o roteamento estático.

Se você usar um dispositivo que permita publicidade BGP, não especifique rotas estáticas para a conexão do Site-to-Site VPN porque o dispositivo usa BGP para anunciar as rotas para o gateway privado virtual. Caso use um dispositivo que não ofereça suporte para publicidade BGP, selecione o roteamento estático e insira as rotas (prefixos IP) para a rede que fazem a comunicação com o gateway privado virtual.

Recomendamos, quando disponíveis, o uso de dispositivos compatíveis com o protocolo BGP que verificam se a detecção é de boa qualidade, o quê pode ajudar o failover para o segundo túnel VPN, caso haja uma redução do primeiro túnel. Os dispositivos que não oferecem suporte para o BGP também podem verificar a integridade, auxiliando o failover para o segundo túnel, quando necessário.

Você deve configurar o dispositivo de gateway do cliente para encaminhar o tráfego da rede local para a conexão do Site-to-Site VPN. A configuração depende da marca e do modelo do seu dispositivo. Para obter mais informações, consulte . O dispositivo de gateway do cliente.

Tabelas de rotas e prioridade de rota da VPN

Tabelas de rotas determinam para onde o tráfego da VPC é direcionado. Na tabela de rotas da VPC, adicione uma rota à rede remota e especifique o gateway privado virtual como destino. Isso permite que o tráfego da VPC destinado para a rede remota seja roteado por meio do gateway privado virtual e sobre um dos túneis VPN. Você pode habilitar a propagação automática de rotas da rede para a tabela de rotas.

Para determinar como o tráfego deve ser roteado, usamos a rota mais específica em sua tabela de rotas que corresponde ao tráfego (correspondência de prefixo mais longa). Se a tabela de rotas tiver rotas sobrepostas ou correspondentes, as seguintes regras serão aplicadas:

  • Se qualquer rota propagada de uma conexão VPN de local a local ou de uma conexão do AWS Direct Connect se sobrepuser à rota local de sua VPC, a rota local será a preferencial, mesmo que as rotas propagadas sejam mais específicas.

  • Se as rotas propagadas de uma conexão VPN de local a local ou de uma conexão do AWS Direct Connect tiver o mesmo bloco CIDR de destino que outras rotas estáticas existentes (não é possível aplicar a correspondência de prefixo mais longa), priorizaremos as rotas estáticas cujos destinos sejam um gateway da Internet, um gateway privado virtual, uma interface de rede, o ID de uma instância, uma conexão de emparelhamento da VPC, um gateway NAT, um transit gateway ou um endpoint da VPC do gateway.

Por exemplo, a tabela de rotas a seguir tem uma rota estática para um gateway da Internet e uma rota propagada para um gateway privado virtual. O destino de ambas as rotas é 172.31.0.0/24. Nesse caso, todo tráfego destinado para 172.31.0.0/24 é roteado para o gateway da Internet – é uma rota estática e, portanto, tem prioridade sobre a rota propagada.

Destino Destino
10.0.0.0/16 Local
172.31.0.0/24 vgw-11223344556677889 (propagado)
172.31.0.0/24 igw-12345678901234567 (estático)

Somente os prefixos IP que sejam conhecidos do gateway privado virtual, seja por meio de anúncios BGP ou de uma entrada da rota estática, podem receber o tráfego da VPC. O gateway privado virtual não roteia nenhum outro tráfego cujo destino seja fora dos anúncios BGP recebidos, das entradas de rota estática ou do CIDR da VPC anexada. Gateways privados virtuais não oferecem suporte ao tráfego IPv6.

Quando um gateway privado virtual recebe informações de roteamento, ele usa a seleção de caminho para determinar como rotear o tráfego. A correspondência de prefixo mais longa se aplica. Se os prefixos forem os mesmos, o gateway privado virtual prioriza as rotas da seguinte forma, da mais preferida para a menos preferida:

  • Rotas BGP propagadas de uma conexão do AWS Direct Connect

  • Rotas estáticas adicionadas manualmente a uma conexão do Site-to-Site VPN

  • Rotas BGP propagadas de uma conexão do Site-to-Site VPN

  • Para os prefixos correspondentes, em que cada conexão do Site-to-Site VPN usa o BGP, deve-se comparar o AS PATH e dar preferência ao prefixo com AS PATH mais curto.

    nota

    A AWS recomenda fortemente o uso de dispositivos de gateway do cliente com suporte a roteamento assimétrico.

    Para dispositivos de gateway do cliente com suporte a roteamento assimétrico, nós não recomendamos usar o prefixo AS PATH, para garantir que os dois túneis tenham um AS PATH igual. Isso ajuda a garantir que o valor multi-exit discriminator (MED) que definimos em um túnel durante as atualizações de endpoint do túnel VPN seja usado para determinar a prioridade do túnel.

    Para dispositivos de gateway do cliente sem suporte a roteamento assimétrico, use AS-path-prepending e Local-Preference para escolher um túnel em vez do outro.

  • Quando os AS PATHs tiverem o mesmo comprimento e se o primeiro AS no AS_SEQUENCE for o mesmo em vários caminhos, os multi-exit discriminators (MEDs) serão comparados. O caminho com o menor valor MED será o preferido.

A prioridade de rota é afetada durante as atualizações de endpoint do túnel de VPN.

Em uma conexão Connect, a AWS seleciona um dos dois túneis redundantes como o caminho de saída principal. Essa seleção pode mudar às vezes, e é altamente recomendável que você configure ambos os túneis para alta disponibilidade e permita o roteamento assimétrico.

Para um gateway privado virtual, será selecionado um túnel em todas as conexões do Site-to-Site VPN no gateway. Para usar mais de um túnel, recomendamos explorar o Equal Cost Multipath (ECMP), que é compatível com conexões do Site-to-Site VPN em um gateway de trânsito. Para obter mais informações, consulte Gateways de trânsito em Gateways de trânsito da Amazon VPC. O ECMP não é compatível com conexões do Site-to-Site VPN em um gateway privado virtual.

Para conexões do Site-to-Site VPN que usam BGP, o túnel primário pode ser identificado pelo valor multi-exit discriminator (MED). Recomendamos anunciar rotas BGP mais específicas para influenciar as decisões de roteamento.

Para conexões do Site-to-Site VPN que usam roteamento estático, o túnel primário pode ser identificado por métricas ou estatísticas de tráfego.

Roteamento durante atualizações de endpoint do túnel de VPN

Uma conexão do Site-to-Site VPN consiste em dois túneis de VPN entre um dispositivo de gateway do cliente e um gateway privado virtual ou um gateway de trânsito. Recomendamos que você configure ambos os túneis para redundância. De tempos em tempos, a AWS também executa manutenção de rotina na conexão VPN, o que pode desabilitar brevemente um dos dois túneis da conexão VPN. Para obter mais informações, consulte . Notificações de substituição de endpoint do túnel.

Quando realizamos atualizações em um túnel de VPN, definimos um valor menor de multi-exit discriminator (MED) no outro túnel. Se você configurou o dispositivo de gateway do cliente para usar os dois túneis, a conexão VPN usará o outro túnel (ativo) durante o processo de atualização do endpoint do túnel.

nota

Para garantir que o túnel ativo com o valor MED inferior seja o preferencial, certifique-se de que o dispositivo de gateway do cliente use os mesmos valores de Peso e Preferência Local para ambos os túneis (Peso e Preferência Local têm prioridade mais alta do que MED).