Резервное VPN-соединение с AWS с использованием одного физического маршрутизатора

Question

Резервное VPN-соединение с AWS с использованием одного физического маршрутизатора

Я пытаюсь сделать VPN-соединение избыточным, как описано в этой статье. https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html

Чего я хочу добиться, так это настроить два клиентских шлюза (CGW) для каждого интернет-соединения, и, если одно соединение оборвется, я хочу, чтобы маршрутизатор автоматически переключался на другое соединение, чтобы мы могли поддерживать VPN-соединение.

Вкратце: могу ли я использовать Multi-Exit Discriminator(MED) для определения приоритетов маршрута от одного и того же физического маршрутизатора, используя два CGW к одному VGW?

Длинная версия: у меня есть два разных интернет-соединения, и они подключены к одному YAMAHA RTX1210. Сеть клиента на диаграмме имеет только один сетевой адрес, скажем, 192.168.1.0/24.

Я полагаю, что использование статической маршрутизации сохранит маршрут от основного CGW, даже если соединение будет разорвано. Поэтому я использую динамическую маршрутизацию BGP(я не специалист по маршрутизации). В руководстве Yamaha RTX указано, что только один номер AS может быть настроен на одном физическом RTX(в настоящее время 65000). И я подключаюсь только к одному VPC, который подключен к одному виртуальному частному шлюзу (VGW), а ASN VGW в настоящее время настроен как 64512.

Если я могу использовать только один маршрутизатор (BGP ASN 65000) для подключения к одному VGW с использованием двух разных клиентских шлюзов, ASN VGW будет одинаковым (ASN 64512) для всех соседей bgp, поэтому я считаю, что невозможно использовать AS PATH для расставить приоритеты по маршруту. В таком случае я смогу использовать MED для установки приоритета на маршруте?

Jyothsna @ AWS упоминает о доступности MED на этих форумах. https://forums.aws.amazon.com/thread.jspa?threadID=120388

Но на этом слайде (на японском) есть упоминание, что MED официально не доступен. https://www.slideshare.net/qt_takada/awsvpn

Может кто-нибудь сказать, пожалуйста, как я могу выполнить избыточную настройку? Я думаю, что этого можно добиться, добавив следующую конфигурацию, но я не уверен, что AWS ее примет.

# BGP neighbor for connection A
# by adding metric=, lower metric Neighbor would have higher priority?(will not use MED on bgp import filter)
bgp neighbor 1 64512 xxx.xxx.xxx.x1 hold-time=30 local-address=xxx.xxx.xxx.x1 metric=1
bgp neighbor 2 64512 xxx.xxx.xxx.x2 hold-time=30 local-address=xxx.xxx.xxx.x2 metric=2

# BGP neighbor for connection B
bgp neighbor 3 64512 xxx.xxx.xxx.x3 hold-time=30 local-address=xxx.xxx.xxx.x3 metric=3
bgp neighbor 4 64512 xxx.xxx.xxx。x4 hold-time=30 local-address=xxx.xxx.xxx.x4 metric=4

Я знаю, что должен спрашивать техническую поддержку, но у меня есть только базовая поддержка. заранее спасибо

0

router vpn amazon-web-services bgp

Источник

Junichi 11 апр '19 в 00:52

1 ответ

Другие вопросы по тегам router vpn amazon-web-services bgp

Junichi 18 апр '19 в 06:07 2019-04-18 06:07 · Answer 1 · 2019-04-18 06:07

Для всех, кто заинтересовался, я смог выполнить настройку, добавив Hide, Weight 0 к шлюзу по умолчанию.

# bgp neighbors as above
ip route default gateway pp 1 hide gateway pp 2 weight 0
ip route xx.xx.xx.xx/xx gateway tunnel 1 hide gateway tunnel 2 hide ...

Когда основное интернет-соединение живо, оно будет использовать первых двух соседей и туннелей bgp. У 3-го и 4-го соседей bgp будет состояние простоя, а туннели не подключены. Когда первичное соединение отключено и вторичное становится активным, будут доступны 3-й и 4-й BGP-соседи и туннели. Поскольку соседи bgp и туннели переходят в состояние ожидания после отключения основного соединения, добавление метрики = к соседям bgp даже не было необходимости.

переключение соединения и активация VPN через вторичное соединение занимает около 30 секунд.