站台對站台 VPN 路由選項 - AWS Site-to-Site VPN
靜態或動態路由路由表與 VPN 路由優先順序VPN 通道端點更新期間的路由

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

站台對站台 VPN 路由選項

建立站台對站台 VPN 連接時,您必須執行下列作業:

  • 指定您計畫要使用的路由類型 (靜態或動態)

  • 更新您子網路的路由表

您可新增至路由表的路由有數目配額。如需詳細資訊,請參閱《Amazon VPC 使用者指南》Amazon VPC 配額的路由表章節。

主題

靜態或動態路由

您選取的路由類型取決於客戶閘道裝置廠牌和型號。若您的客戶閘道裝置支援邊界閘道協定 (BGP),請在設定您的站台對站台 VPN 連接時指定動態路由。如果客戶閘道裝置不支援 BGP,請指定靜態路由。

當您使用支援 BGP 公告的裝置時,您不需要指定站台對站台 VPN 連接的靜態路由,因為裝置會使用 BGP 向虛擬私有閘道公告其路由。如果使用不支援 BGP 公告的裝置,您必須選取靜態路由,並輸入應與虛擬私有閘道通訊之網路的路由 (IP 前綴)。

我們建議您盡可能使用具有 BGP 功能的裝置,因為 BGP 通訊協定提供穩健的存活偵測檢查,好在第一個通道關閉時,得以協助容錯移轉至第二個 VPN 通道。不支援 BGP 的裝置也可能執行運作狀態檢查,會在需要時協助容錯移轉至第二個通道。

您必須設定客戶閘道裝置,將流量從內部部署網路路由傳送至站台對站台 VPN 連接。此組態取決於您裝置的廠牌和型號。如需更多詳細資訊,請參閱 客戶閘道裝置

路由表與 VPN 路由優先順序

路由表會決定 VPC 中的網路流量導向何處。您必須在您的 VPC 路由表中,為您的遠端網路新增路由,並指定虛擬私有閘道為目標。這可讓您 VPC 中以遠端網路為目標的流量,透過虛擬私有閘道以及在其中一個 VPN 通道上路由。您可以為您的路由表啟用路由傳播,為您將網路路由自動傳播到表格。

我們會使用您路由表中最明確且符合流量的路由,以判斷如何路由流量 (最長的前綴相符)。如果您的路由表有重疊或相符的路由,則會套用以下規則:

  • 如果來自 Site-to-Site VPN 連接或 AWS Direct Connect 連線的傳播路由與您 VPC 的本機路由重疊,即使傳播路由更為精確,仍會偏好本機路由。

  • 如果來自 Site-to-Site VPN 連接或 AWS Direct Connect 連線的傳播路由,和其他現有靜態路由 (不套用最長的相符前綴) 有相同的目標 CIDR 區塊,則具有下列目標的靜態路由為優先:網際網路閘道、虛擬私有閘道、網路界面、執行個體 ID、VPC 對等互連連線、NAT 閘道、傳輸閘道或閘道 VPC 端點。

例如,下列路由表具有連向網際網路閘道的靜態路由,以及連向虛擬私有閘道的傳播路由。兩種路由的目標都是 172.31.0.0/24。在此情況下,所有以 172.31.0.0/24 為目標的流量都會路由到網際網路閘道 — 其為靜態路由,因此優先於傳播路由。

目的地 目標
10.0.0.0/16 區域
172.31.0.0/24 vgw-11223344556677889 (傳播)
172.31.0.0/24 igw-12345678901234567 (靜態)

只有虛擬私有閘道已知的 IP 前綴 (無論是透過 BGP 公告或靜態路由項目) 可接收來自您 VPC 的流量。虛擬私有閘道只會路由以已接收之 BGP 公告、靜態路由項目或其連接之 VPC CIDR 為目標的流量。虛擬私有閘道不支援 IPv6 流量。

當虛擬私有閘道收到路由資訊時,會使用路徑選項決定流量路由方式。若所有端點狀態良好,則套用最長字首相符項目。通道端點的運作狀態優先於其他路由屬性。此優先順序適用於虛擬私有閘道和傳輸閘道上的 VPN。如果字首相同,則虛擬私有閘道會依照下列方式排列路由的優先順序,從最偏好排列到最不偏好:

  • 來自 AWS Direct Connect 連線之 BGP 傳播的路由

  • 手動新增站台對站台 VPN 連接的靜態路由

  • 來自站台對站台 VPN 連接的 BGP 傳播路由

  • 如果相符字首的每個站台對站台 VPN 連接都使用 BGP,則會比對 AS PATH,且含最短 AS PATH 的路徑優先。

    注意

    AWS 強烈建議使用支援非對稱路由的客戶閘道設備。

    對於支援非對稱路由的客戶閘道設備,我們不建議使用 AS PATH 前置,以確保兩個通道都有相等的 AS PATH。這有助於確保在 VPN 通道端點更新期間,我們在通道上設定的 multi-exit discriminator (MED) 值可用於判斷通道優先順序。

    對於不支援非對稱路由的客戶閘道設備,您可以使用 AS PATH 前置和本地偏好,以便於兩條通道中選出一條偏好的通道。但是若傳出路徑有所變更,這可能導致流量下降。

  • 當 AS PATH 的長度相同且 AS_SEQUENCE 中的第一個 AS 在多個路徑中都相同時,則會比較 multi-exit discriminators (MED)。優先使用具有最低 MED 值的路徑。

VPN 通道端點更新期間會影響路由優先順序。

在 Site-to-Site VPN 連接時,AWS 會選取兩個冗餘通道的其中一個做為主要輸出路徑。此選項可能會不時變更,強烈建議您將這兩個通道設定為高可用性通道,並允許不對稱路由傳送。通道端點的運作狀態優先於其他路由屬性。此優先順序適用於虛擬私有閘道和傳輸閘道上的 VPN。

針對虛擬私有閘道,則會選取跨越閘道上所有站台對站台 VPN 連接的其中一個通道。如要使用這不只一個通道,建議您瀏覽相等成本多重路徑 (ECMP),傳輸閘道上的站台對站台 VPN 連接支援此路徑。如需詳細資訊,請參閱《Amazon VPC 傳輸閘道》中的傳輸閘道。虛擬私有閘道上的站台對站台 VPN 連接不支援 ECMP。

針對使用 BGP 的站台對站台 VPN 連接,主要通道可以透過 multi-exit discriminator (MED) 值進行識別。建議您推廣更具體的 BGP 路由來影響路由決策。

針對使用竟態路由的站台對站台 VPN 連接,主要通道可以透過流量統計或指標進行識別。

VPN 通道端點更新期間的路由

站台對站台 VPN 連接由兩個位於客戶閘道裝置和虛擬私有閘道或傳輸閘道間的 VPN 通道組成。我們建議您同時設定這兩個通道以供備援。有時候,AWS 也會針對您的 VPN 連接執行例行維護,這可能會短暫停用 VPN 連接兩個通道中的其中一個。如需更多詳細資訊,請參閱 通道端點更換通知

當我們在一個 VPN 通道上執行更新時,我們會在另一個通道上設定較低的傳出 multi-exit discriminator (MED) 值。如果您已將客戶閘道裝置設定為同時使用這兩個通道,VPN 連接會在通道端點更新程序期間使用另一個 (上) 通道。

注意

若要確保偏好使用 MED 較低的上通道,請確保您的客戶閘道裝置對兩個通道使用相同的「加權」和「本機偏好設定」值 (「加權」和「本機偏好設定」的優先順序高於 MED)。