Foire aux questions (FAQ) sur AWS

Cliquez sur l’une de ces FAQ pour obtenir des suggestions et des solutions.

Comment puis-je configurer le VPN comme sauvegarde de ma connexion Direct Connect ?

Je veux configurer une connexion VPN de sauvegarde pour le basculement avec ma connexion AWS Direct Connect. Y a-t-il des recommandations et des bonnes pratiques ?

Résolution

Pour configurer le VPN matériel en tant que sauvegarde de votre connexion Direct Connect :

  • Assurez-vous que vous utilisez la même passerelle privée virtuelle pour Direct Connect et pour la connexion VPN au VPC.
  • Si vous configurez un VPN Border Gateway Protocol (BGP), annoncez le même préfixe pour Direct Connect et le VPN.
  • Si vous configurez un VPN statique, ajoutez les mêmes préfixes statiques à la connexion VPN que ceux que vous annoncez avec l’interface virtuelle Direct Connect.
  • Si vous annoncez les mêmes routes vers le VPC AWS, le chemin Direct Connect est toujours préféré, indépendamment du préfixage de chemin AS.

Important

Assurez-vous que Direct Connect est la route préférée depuis votre extrémité, et non via VPN lorsque l’interface virtuelle Direct Connect est en service afin d’éviter un routage asymétrique ; cela pourrait entraîner un abandon de trafic. Nous préférons toujours une connexion Direct Connect aux routes VPN. Pour plus d’informations sur la priorité des routes et les options de routage, voir le sujet AWS Priorité de route.

Remarque

Si vous souhaitez une solution à court terme ou à moindre coût, envisagez de configurer un VPN matériel comme option de basculement pour une connexion Direct Connect. Les connexions VPN ne sont pas conçues pour fournir le même niveau de bande passante que celui disponible pour la plupart des connexions Direct Connect. Assurez-vous que votre cas d’utilisation ou votre application peut tolérer une bande passante plus faible si vous configurez un VPN comme sauvegarde d’une connexion Direct Connect.

Comment puis-je activer le BFD pour l’utiliser avec Direct Connect ?

Le BFD (Bidirectional Forwarding Detection) est un protocole de détection des défaillances du réseau qui permet de détecter rapidement les défaillances, ce qui facilite le temps de reconvergence des protocoles de routage dynamique. Il est indépendant du support, du protocole de routage et des données. Nous recommandons d’activer le BFD lors de la configuration de plusieurs connexions AWS Direct Connect ou lors de la configuration d’une seule connexion AWS Direct Connect et d’une connexion VPN comme sauvegarde pour assurer une détection et un basculement rapides. Vous pouvez configurer le BFD pour détecter les défaillances des liens ou des chemins et mettre à jour le routage dynamique puisque Direct Connect met rapidement fin au peering BGP afin que les routes de sauvegarde puissent se mettre en place. Cela garantit que la relation de voisinage Bidirectional Forwarding Detection (BGP) est rapidement supprimée au lieu d’attendre 3 défaillances de Keepalive à un temps de maintien de 90 secondes.

Résolution

L’intervalle BFD spécifie la fréquence d’envoi de paquets BFD, la valeur min_rx est la fréquence à laquelle un routeur s’attend à recevoir les paquets, et le multiplicateur est le nombre d’envois que nous pouvons manquer avant que la relation de voisinage BGP ne soit considérée comme hors service.

Le BFD asynchrone est automatiquement activé pour chaque interface virtuelle Direct Connect du côté d’AWS, mais il ne prend effet qu’une fois configuré sur votre routeur. La valeur par défaut de Direct Connect fixe l’intervalle minimum de détection de présence du BFD à 300 ms et le multiplicateur de détection de présence du BFD à 3.

Avant d’utiliser le mode écho BFD avec votre appareil réseau, vous devez désactiver l’envoi du protocole ICMP (Internet Control Message Protocol) et rediriger les messages avec la commande no ip redirect pour éviter une forte utilisation du CPU.

Comment puis-je établir une connexion Direct Connect active/passive ?

Lorsque l’on utilise AWS Direct Connect pour transporter des charges de travail de production vers et depuis AWS, il est recommandé d’utiliser des circuits virtuels doubles Direct Connect, soit à partir d’un seul port, soit à partir d’une paire de connexions de ports physiques (discrètes ou LAG/LACP) dans un seul centre de données, soit répartis sur plusieurs emplacements de centres de données.

Vous pouvez configurer les éléments suivants :

  • Deux routeurs pour terminer les connexions DX primaire et secondaire afin d’éviter un point de défaillance unique d’appareil.
  • Une interface virtuelle privée sur chacun des routeurs DX qui se terminent sur le même VPC. Des protocoles de routage haute disponibilité (tels que HSRP, VRRF, GLBP, etc.) sur deux routeurs pour permettre aux serveurs locaux d’utiliser plusieurs routeurs qui agissent comme un seul routeur virtuel, en maintenant la connectivité même si le routeur primaire tombe en panne, car le routeur secondaire prendra le relais et deviendra actif, ou qui exécutent un protocole de routage interne tel que iBGP qui apprendra les routes à partir d’un eBGP Direct Connect et distribuera les préfixes aux passerelles iBGP internes.
  • Actif/passif (basculement). Une connexion gère le trafic et l’autre est en attente. Si la connexion active devient indisponible, tout le trafic est routé via la connexion passive. Vous devrez utiliser un préfixe de chemin AS pour les routes sur l’un de vos liens pour que celui-ci soit le lien passif. Pour plus d’informations, voir Configurer les connexions redondantes avec AWS Direct Connect.

L’attribut de préférence locale identifie un point de sortie privilégié du système autonome (AS) local. S’il y a plusieurs points de sortie de l’AS, l’attribut de préférence locale sélectionne le point de sortie pour une route spécifique.

Influencer le trafic sortant AWS en utilisant le préfixage de chemin AS

L’algorithme de meilleur chemin BGP décide de la manière dont le meilleur chemin vers un système autonome est sélectionné. Une valeur commune pour déterminer le meilleur chemin est la longueur de chemin AS. Lorsque deux routes ou plus existent pour atteindre un préfixe, le défaut dans le BGP est de préférer la route avec le chemin AS le plus court.

Le routeur secondaire annoncera un chemin AS plus long, de sorte que le trafic du VPC vers votre réseau passera toujours par le routeur primaire.

Mon interface virtuelle publique est bloquée dans l’état « verifying » (vérification). Que puis-je faire ?

Lorsque vous créez une interface virtuelle publique et que vous spécifiez les adresses IP publiques des pairs, cela doit être approuvé par l’équipe AWS Direct Connect (les VIF/VXC privées ne nécessitent pas cette autorisation et sont disponibles en quelques minutes). Avant d’approuver les préfixes IP publics ou les ASN publics, l’équipe AWS Direct Connect doit vérifier la propriété des préfixes IP publics et de l’ASN BGP. L’équipe AWS Direct Connect vérifie la propriété en confirmant que le registre régional appartient au nom de l’entreprise figurant dans votre compte AWS.

Résolution

Si l’interface virtuelle publique est en état de vérification pendant plus de 72 heures, vérifiez l’adresse e-mail enregistrée sur votre compte AWS. Vous avez peut-être reçu un e-mail de l’équipe AWS Direct Connect si le propriétaire de l’ASN BGP ou l’une des routes annoncées ne correspond pas aux détails de votre compte.

Si l’ASN BGP ou une route annoncée ne correspond pas à votre compte, voici ce que vous pouvez faire :

  • Demandez au propriétaire de l’adresse IP d’envoyer un e-mail à l’adresse directconnect-requests@amazon.com en indiquant qu’il autorise l’approbation des préfixes IP publics pour l’interface virtuelle publique dxvif-xxx.

    ou

  • Demandez au propriétaire de l’adresse IP de soumettre une lettre d’autorisation écrite sur un papier avec l’en-tête de l’entreprise ou demandez-lui d’envoyer un e-mail autorisant l’utilisation du préfixe IP public pour l’interface virtuelle publique dxvif-xxx avec votre compte AWS. Ensuite, connectez-vous au compte qui possède l’interface virtuelle publique Direct Connect, ouvrez une demande et joignez la lettre d’autorisation à votre demande.

Le statut BGP de l’interface virtuelle est désactivé dans la console AWS. Que dois-je faire ?

Le statut de votre interface virtuelle peut être désactivé en raison de problèmes de configuration avec la couche 2 OSI ou le Border Gateway Protocol (BGP).

Configuration de la couche 2 OSI

Tout d’abord, vérifiez que votre couche 2 OSI est correctement configurée. Vérifiez les détails suivants :

  • Vous avez configuré le bon ID VLAN avec l’encapsulation dot1Q sur votre appareil (tel qu’un routeur ou un commutateur). L’ID VLAN apparaît dans l’onglet Information du portail comme étant le service A-End de votre VXC.

  • La configuration de l’adresse IP des pairs est identique sur votre appareil, via le portail, et dans la console AWS Direct Connect.

  • Tous les appareils intermédiaires sont configurés pour le balisage VLAN avec l’ID VLAN approprié, et le trafic balisé VLAN est préservé dans le point de terminaison AWS Direct Connect.

  • Votre appareil apprend l’adresse MAC (Media Access Control) du point de terminaison AWS Direct Connect pour l’ID VLAN configuré à partir de la table ARP (Address Resolution Protocol).

  • Votre appareil peut envoyer un ping à l’IP pair Amazon à partir de votre IP pair.

Configuration BGP

Si les résultats de test de la couche 2 OSI sont positifs, confirmez la configuration BGP sur votre appareil. Vérifiez les éléments suivants :

  • L’ASN local et l’ASN distant tels que fournis dans l’onglet Information du portail comme étant le service A-End pour votre VXC.
  • L’adresse IP voisine et le mot de passe BGP MD5 tels que fournis dans l’onglet Information du portail comme service A-End pour votre VXC.
  • Votre appareil ne bloque pas l’entrée ou la sortie du port TCP 179 (BGP) et d’autres ports éphémères pertinents.
  • Votre appareil n’annonce pas plus de 100 préfixes à AWS par BGP. Par défaut, AWS accepte uniquement un maximum de 100 préfixes utilisant une session BGP sur AWS Direct Connect.

Après confirmation de ces configurations, le statut BGP de votre interface virtuelle devrait être en ligne.


Dernière mise à jour: