Häufig gestellte Fragen (FAQs) zu AWS

Klicken Sie auf eine dieser Fragen, um Vorschläge und Lösungen zu erhalten.

Wie kann ich VPN als Backup für meine Direct Connect-Verbindung konfigurieren?

Ich möchte eine Backup-VPN-Verbindung für Failover mit meiner AWS Direct Connect-Verbindung konfigurieren. Gibt es Empfehlungen und Best Practices?

Lösung

So konfigurieren Sie das Hardware-VPN als Backup für Ihre Direct Connect-Verbindung:

  • Achten Sie darauf, dass Sie sowohl für Direct Connect als auch für die VPN-Verbindung zur VPC dasselbe virtuelle private Gateway verwenden.
  • Wenn Sie ein VPN mit BGP (Border Gateway Protocol) konfigurieren, kündigen Sie dasselbe Präfix für Direct Connect und das VPN an.
  • Wenn Sie ein statisches VPN konfigurieren, fügen Sie der VPN-Verbindung die gleichen statischen Präfixe hinzu, die Sie mit der virtuellen Direct Connect-Schnittstelle ankündigen.
  • Wenn Sie dieselben Routen in Richtung der AWS-VPC ankündigen, wird der Direct Connect-Pfad immer bevorzugt, unabhängig von der Voranstellung des AS-Pfades.

Wichtig

Stellen Sie sicher, dass Direct Connect die bevorzugte Route von Ihrem Ende aus ist (und nicht über VPN), wenn die virtuelle Direct Connect-Schnittstelle aktiv ist, um asymmetrisches Routing zu vermeiden; dies könnte dazu führen, dass der Datenverkehr verworfen wird. Wir bevorzugen immer eine Direct Connect-Verbindung gegenüber VPN-Routen. Informationen zu Routenpriorität und Routing-Optionen finden Sie im AWS-Thema Routenpriorität.

Hinweis

Wenn Sie eine kurzfristige oder kostengünstigere Lösung wünschen, ziehen Sie die Konfiguration eines Hardware-VPN als Failover-Option für eine Direct Connect-Verbindung in Betracht. VPN-Verbindungen sind nicht für die gleiche Bandbreite ausgelegt, die den meisten Direct Connect-Verbindungen zur Verfügung steht. Stellen Sie sicher, dass Ihr Anwendungsfall oder Ihre Anwendung eine geringere Bandbreite tolerieren kann, wenn Sie ein VPN als Backup für eine Direct Connect-Verbindung konfigurieren.

Wie aktiviere ich BFD für die Verwendung mit Direct Connect?

Bidirectional Forwarding Detection (BFD) ist ein Netzwerk-Fehlererkennungsprotokoll, das kurze Fehlererkennungszeiten bietet, was eine kürzere Rekonvergenzzeit für dynamische Routing-Protokolle ermöglicht. Sie ist unabhängig von Medien, Routing-Protokoll und Daten. Wir empfehlen, BFD zu aktivieren, wenn Sie mehrere AWS Direct Connect-Verbindungen konfigurieren oder wenn Sie eine einzelne AWS Direct Connect-Verbindung und eine VPN-Verbindung als Backup konfigurieren, um eine schnelle Erkennung und Ausfallsicherung zu gewährleisten. Sie können BFD konfigurieren, um Verbindungs- oder Pfadausfälle zu erkennen und das dynamische Routing zu aktualisieren, da Direct Connect das BGP-Peering schnell beendet, so dass Backup-Routen in Kraft treten können. Dadurch wird sichergestellt, dass die BGP-Nachbarschaftsbeziehung schnell abgebaut wird, anstatt zu warten, bis 3 Keep-Alives mit einer Hold-Down-Zeit von 90 Sekunden fehlschlagen.

Lösung

Das BFD-Intervall gibt an, wie oft wir BFD-Pakete senden. „min_rx“ gibt an, wie oft ein Router erwartet, die Pakete zu empfangen, und der Multiplikator gibt an, wie viele Pakete wir verpassen können, bevor die BGP-Nachbarschaftsbeziehung als ausgefallen gilt.

Asynchrones BFD wird automatisch für jede virtuelle Direct Connect-Schnittstelle auf der AWS-Seite aktiviert. Es wird jedoch erst wirksam, wenn es auf Ihrem Router konfiguriert wird. Der Direct Connect-Standard setzt das Mindestintervall für die BFD-Lebendigkeitserkennung auf 300 ms und den Multiplikator der BFD-Lebendigkeitserkennung auf 3.

Bevor Sie den BFD-Echomodus mit Ihrem Netzwerkgerät verwenden, müssen Sie das Senden von Internet Control Message Protocol (ICMP) und Weiterleitungsnachrichten mit dem Befehl no ip redirect deaktivieren, um eine hohe CPU-Auslastung zu vermeiden.

Wie stelle ich eine aktive/passive Direct Connect-Verbindung ein?

Wenn Sie AWS Direct Connect verwenden, um Produktionsarbeitslasten zu und von AWS zu transportieren, wird empfohlen, duale virtuelle Direct Connect-Leitungen zu verwenden, entweder von einem einzelnen Port, einem Paar physischer Portverbindungen (entweder diskret oder LAG/LACP) in einer einzelnen DC oder verteilt über mehrere DC-Standorte.

Sie können Folgendes konfigurieren:

  • Zwei Router zum Abschluss der primären und sekundären DX-Verbindungen, um einen Single Point of Device Failure zu vermeiden.
  • Eine private virtuelle Schnittstelle auf jedem der DX-Router, die in derselben VPC enden. HA-Routing-Protokolle (wie HSRP, VRRF, GLBP usw.) auf zwei Routern, damit lokale Server mehrere Router verwenden können, die als ein einziger virtueller Router fungieren und die Konnektivität auch dann aufrechterhalten, wenn der primäre Router ausfällt, weil der sekundäre Router übernimmt und aktiv wird oder ein internes Routing-Protokoll wie iBGP ausführt, das Routen von Direct Connect EBGP lernt und Präfixe an interne iBGP-Gateways verteilt.
  • Aktiv/Passiv (Ausfallsicherung). Eine Verbindung wickelt den Datenverkehr ab, die andere ist im Standby-Modus. Wenn die aktive Verbindung nicht mehr verfügbar ist, wird der gesamte Datenverkehr über die passive Verbindung umgeleitet. Sie müssen die Routen auf einer Ihrer Verbindungen als AS-Pfad vorangestellt haben, damit sie die passive Verbindung ist. Weitere Informationen finden Sie unter Konfigurieren redundanter Verbindungen mit AWS Direct Connect.

Das lokale Präferenzattribut identifiziert einen bevorzugten Ausgangspunkt aus dem lokalen autonomen System (AS). Wenn es mehrere Ausgangspunkte aus dem AS gibt, wählt das lokale Präferenzattribut den Ausgangspunkt für eine bestimmte Route aus.

Beeinflussung des ausgehenden AWS-Datenverkehrs mit AS-Pfadvoranstellung

Der BGP-Best Path-Algorithmus entscheidet, wie der beste Pfad zu einem autonomen System ausgewählt wird. Ein gängiger Wert zur Bestimmung des besten Pfads ist die AS-Pfadlänge. Wenn zwei oder mehr Routen existieren, um ein Präfix zu erreichen, bevorzugt BGP die Route mit dem kürzesten AS-Pfad.

Der sekundäre Router kündigt einen längeren AS-Pfad an, so dass der Datenverkehr von der VPC zu Ihrem Netzwerk immer über den primären Router läuft.

Meine öffentliche virtuelle Schnittstelle steckt im Status „Verifizierung“ fest. Was kann ich tun?

Wenn Sie eine öffentliche virtuelle Schnittstelle erstellen und die öffentlichen Peer-IP-Adressen angeben, ist eine Genehmigung durch das AWS Direct Connect-Team erforderlich (private VIFs/VXCs erfordern diese Genehmigung nicht und sind innerhalb von Minuten verfügbar). Bevor öffentliche IP-Präfixe oder öffentliche ASNs genehmigt werden, muss das AWS Direct Connect-Team die Eigentümerschaft der öffentlichen IP-Präfixe und BGP-ASNs überprüfen. Das AWS Direct Connect-Team überprüft die Eigentümerschaft, indem es bestätigt, dass die regionale Registrierung zu dem in Ihrem AWS-Konto aufgeführten Organisationsnamen gehört.

Lösung

Wenn sich der Status der öffentlichen virtuellen Schnittstelle seit mehr als 72 Stunden im Verifizierungsstatus befindet, überprüfen Sie die für Ihr AWS-Konto registrierte E-Mail-Adresse. Möglicherweise haben Sie eine E-Mail vom AWS Direct Connect-Team erhalten, wenn der Eigentümer der BGP-ASN oder einer Ihrer beworbenen Routen nicht mit Ihren Kontodaten übereinstimmt.

Wenn die BGP-ASN oder eine beworbene Route nicht mit Ihrem Konto übereinstimmt, können Sie:

  • den Eigentümer der IP-Adresse per E-Mail an directconnect-requests@amazon.com bitten, Ihnen mitzuteilen, dass er die öffentlichen IP-Präfixe für die öffentliche virtuelle Schnittstelle dxvif-xxx genehmigt hat.

    oder

  • den Inhaber der IP-Adresse bitten, ein auf einem Firmenbriefkopf verfasstes Autorisierungsschreiben einzureichen, oder ihn bitten, eine E-Mail zu senden, in der er die Verwendung des öffentlichen IP-Präfixes für die öffentliche virtuelle Schnittstelle dxvif-xxx mit Ihrem AWS-Konto autorisiert. Melden Sie sich dann am Konto an, der die öffentliche virtuelle Schnittstelle von Direct Connect besitzt, öffnen Sie einen Fall und hängen Sie das Autorisierungsschreiben an Ihren Fall an.

Der BGP-Status der virtuellen Schnittstelle ist in der AWS-Konsole ausgefallen. Was soll ich tun?

Der Status Ihrer virtuellen Schnittstelle ist möglicherweise aufgrund von Konfigurationsproblemen mit dem OSI-Layer 2 oder dem Border Gateway Protocol (BGP) ausgefallen.

Konfiguration des OSI-Layers 2

Überprüfen Sie zunächst, ob Ihr OSI-Layer 2 richtig konfiguriert ist. Überprüfen Sie die folgenden Angaben:

  • Sie haben auf Ihrem Gerät (z. B. einem Router oder Switch) die richtige VLAN-ID mit dot1Q-Kapselung konfiguriert. Die VLAN-ID wird auf der Registerkarte „Portal Information“ (Portalinformationen) als A-End-Dienst für Ihren VXC angezeigt.

  • Die Konfiguration der Peer-IP-Adresse ist auf Ihrem Gerät über das Portal und in der AWS Direct Connect-Konsole identisch.

  • Alle zwischengeschalteten Geräte sind für das VLAN-Tagging mit der entsprechenden VLAN-ID konfiguriert, und der mit VLAN-Tags versehene Datenverkehr bleibt im AWS Direct Connect-Endpunkt erhalten.

  • Ihr Gerät lernt die MAC-Adresse (Media Access Control) des AWS Direct Connect-Endpunktes für die konfigurierte VLAN-ID aus der ARP-Tabelle (Address Resolution Protocol).

  • Ihr Gerät kann die Amazon-Peer-IP anpingen, die von Ihrer Peer-IP-Adresse stammt.

BGP-Konfiguration

Wenn die Testergebnisse des OSI-Layers 2 positiv sind, dann bestätigen Sie die BGP-Konfiguration auf Ihrem Gerät. Überprüfen Sie Folgendes:

  • Die lokale ASN und die Remote-ASN, wie auf der Registerkarte „Portal Information“ (Portalinformationen) als A-End-Dienst für Ihren VXC angegeben.
  • Die Nachbar-IP-Adresse und das BGP-MD5-Passwort, wie auf der Registerkarte „Portal Information“ (Portalinformationen) als A-End-Dienst für Ihren VXC angegeben.
  • Ihr Gerät blockiert nicht den Eingang oder Ausgang von TCP-Port 179 (BGP) und anderen geeigneten kurzlebigen Ports.
  • Ihr Gerät kündigt nicht mehr als 100 Präfixe pro BGP bei AWS an. Standardmäßig akzeptiert AWS nur bis zu 100 Präfixe über eine BGP-Sitzung auf AWS Direct Connect.

Nachdem Sie diese Konfigurationen bestätigt haben, sollte der BGP-Status Ihrer virtuellen Schnittstelle „up“ (aktiv) sein.


Letztes Update: