Site-to-Site VPN 路由选项 - AWS Site-to-Site VPN

Site-to-Site VPN 路由选项

在创建 Site-to-Site VPN 连接时,您必须执行以下操作:

  • 指定您计划使用的路由的类型(动态或静态)

  • 更新子网的路由表

可添加到路由表的路由数有配额。有关更多信息,请参阅 Amazon VPC 用户指南Amazon VPC 配额的“路由表”部分。

静态和动态路由

您选择的路由类型可由您的客户网关设备品牌和型号决定。如果您的客户网关设备支持边界网关协议 (BGP),您可以在配置Site-to-Site VPN 连接时指定动态路由。如果您的客户网关设备不支持 BGP,请指定静态路由。有关已经过测试可用于Site-to-Site VPN 的静态和动态路由设备列表,请参阅我们已测试的客户网关设备

如果您使用支持 BGP 通告的设备,则不需要为Site-to-Site VPN 连接指定静态路由,因为设备会使用 BGP 将其路由通告虚拟私有网关。如果您的设备不支持 BGP 通告,则必须选择静态路由,并输入您的网络的路由 (IP 前缀),以便与虚拟私有网关建立通信。

我们建议您在适用的情况下使用支持 BGP 的设备,因为 BGP 协议可提供稳健的活性探测检查,可以在第一条隧道出现故障时协助对第二条 VPN 隧道进行故障转移。不支持 BGP 的设备也可执行健康检查,以便在需要时协助故障转移到第二条隧道。

您必须将客户网关设备配置为将流量从本地网络路由到Site-to-Site VPN 连接。配置取决于设备的品牌和型号。有关更多信息,请参阅客户网关设备

路由表和 VPN 路由优先级

路由表决定了将网络流量从您的 VPC 定向到何处。在您的 VPC 路由表中,您必须为您的远程网络添加路由,并将虚拟私有网关指定为目标。这将使从 VPC 传送到您的远程网络的流量能够通过虚拟专用网关和其中一个 VPN 隧道进行路由。您可以为路由表启用路由传播,从而自动将您的网络路由传播到表。

我们使用路由表中与流量匹配的最具体的路由来判断数据流的路由方式 (最长前缀匹配)。如果路由表具有重叠或匹配的路由,则应用以下规则:

  • 如果来自 Site-to-Site VPN 连接或 AWS Direct Connect 连接的传播路由与 VPC 的本地路由重叠,则本地路由的优先级最高,即使传播路由更特定也是如此。

  • 如果来自 Site-to-Site VPN 连接或 AWS Direct Connect 连接的传播路由的目标 CIDR 块与其他现有静态路由的相同(无法应用最长前缀匹配),我们将设置其目标为互联网网关、虚拟私有网关、网络接口、实例 ID、VPC 对等连接、NAT 网关、中转网关 或网关 VPC 终端节点的静态路由的优先级。

例如,以下路由表具有指向互联网网关的静态路由和指向虚拟私有网关的传播路由。这两条路由的目的地均为 172.31.0.0/24。在这种情况下,目的地为 172.31.0.0/24 的所有流量均路由到 Internet 网关 — 这是静态路由,因此,其优先级高于传播路由。

目的地 目标
10.0.0.0/16 本地
172.31.0.0/24 vgw-11223344556677889(传播)
172.31.0.0/24 igw-12345678901234567(静态)

只有虚拟私有网关已知的 IP 前缀可接收来自您的 VPC 的数据流量,无论是通过 BGP 通告还是静态路由条目。虚拟专用网关不路由任何不以收到的 BGP 通告、静态路由条目或其附加 VPC CIDR 为目标的其他流量。

在虚拟私有网关收到路由信息时,它使用路径选择来决定如何路由流量。应用最长前缀匹配。如果前缀相同,则虚拟私有网关按照以下方式对路由进行优先排序:

  • 来自 AWS Direct Connect 连接的 BGP 传播路由

  • 为 Site-to-Site VPN 连接手动添加的静态路由

  • 来自 Site-to-Site VPN 连接的 BGP 传播路由

  • 对于各个 Site-to-Site VPN 连接使用 BGP 的情况下的匹配前缀,对 AS PATH 进行比较并首选最短的 AS PATH。另外,您也可以预先附加 AS_PATH,以便降低该路径的优先度。

  • 当 AS PATHs 的长度相同时,如果 AS_SEQUENCE 中的第一个 AS 在多个路径上相同,则会比较多出口标识 (MED)。首选具有最低 MED 值的路径。

VPN 隧道终端节点更新期间,路由优先级受到影响。

我们建议通告更为具体的 BGP 路由,以影响虚拟私有网关中的路由决策。

VPN 隧道终端节点更新期间的路由

Site-to-Site VPN 连接由客户网关设备与虚拟私有网关或中转网关之间的两个 VPN 隧道组成。我们建议您配置两个隧道以实现冗余。当我们在两条隧道中的一条上执行隧道终端节点更新时,您的 VPN 连接可能会遇到短暂地丢失冗余性。隧道终端节点更新可能出于多种原因进行,包括运行状况原因、软件升级以及基础硬件停用。

当我们在一个 VPN 隧道上执行更新时,我们会在另一个隧道上设置一个较低的出站多出口标识 (MED) 值。如果您已将客户网关设备配置为使用两个隧道,则 VPN 连接在隧道终端节点更新过程中使用另一条(上行)隧道。

注意

要确保首选具有较低 MED 的上行隧道,请确保您的客户网关设备对两个隧道使用相同的“权重和本地首选项”值(“权重和本地首选项”的优先级高于 MED)。