action.skip
Megaport Documentation
FAQ AWS
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Foire aux questions (FAQs) sur AWS

Cliquez sur l’une des FAQ dans la navigation de droite pour des suggestions et des solutions.

Comment puis-je configurer un VPN en tant que secours pour ma connexion Direct Connect?

Je souhaite configurer une connexion VPN de secours pour le basculement avec ma connexion AWS Direct Connect. Des recommandations et des meilleures pratiques?

Solution

Pour configurer le VPN matériel comme sauvegarde pour votre connexion Direct Connect:

  • Assurez-vous d’utiliser la même passerelle privée virtuelle pour les connexions Direct Connect et VPN vers le VPC.
  • Si vous configurez un VPN Protocole de Passerelle Frontière (BGP), annoncez le même préfixe pour Direct Connect et le VPN.
  • Si vous configurez un VPN statique, ajoutez les mêmes préfixes statiques à la connexion VPN que vous annoncez avec l’interface virtuelle Direct Connect.
  • Si vous annoncez les mêmes routes vers le VPC AWS, le chemin Direct Connect sera toujours préféré, indépendamment de la préfixation de chemin AS.

Important

Assurez-vous que Direct Connect est la route préférée depuis votre côté, et non pas sur le VPN lorsque l’interface virtuelle Direct Connect est activée afin d’éviter le routage asymétrique ; cela pourrait provoquer la perte du trafic. Nous préférons toujours une connexion Direct Connect aux routes VPN. Pour des informations sur la priorité des routes et les options de routage, consultez le sujet AWS Priorité des Routes.

Remarque

Si vous souhaitez une solution à court terme ou à moindre coût, envisagez de configurer un VPN matériel comme option de basculement pour une connexion Direct Connect. Les connexions VPN ne sont pas conçues pour fournir le même niveau de bande passante disponible pour la plupart des connexions Direct Connect. Assurez-vous que votre cas d’utilisation ou votre application peut tolérer une bande passante inférieure si vous configurez un VPN en tant que sauvegarde pour une connexion Direct Connect.

Comment activer BFD avec Direct Connect?

La Bidirectional Forwarding Detection (BFD) est un protocole de détection de pannes réseau qui détecte toute défaillance de chemin entre des voisins BGP directement connectés. Elle offre des temps de détection de panne rapides, ce qui facilite des temps de reconvergence plus rapides pour les protocoles de routage BGP dynamiques. Elle est indépendante des supports, du protocole de routage et des données.

Nous recommandons d’activer BFD lors de la configuration de plusieurs connexions AWS Direct Connect ou lors de la configuration d’une seule connexion AWS Direct Connect et d’une connexion VPN en tant que sauvegarde pour garantir une détection et un basculement rapides. BFD détecte les défaillances de lien ou de chemin et met à jour le routage dynamique car Direct Connect termine rapidement le peering BGP afin que les routes de sauvegarde puissent prendre le relais. Cela garantit que la relation de voisinage Bidirectional Forwarding Detection (BGP) est rapidement interrompue au lieu d’attendre l’échec de 3 keep-alives à un temps de maintien de 90 secondes.

Solution

L’intervalle BFD spécifie la fréquence à laquelle nous envoyons les paquets BFD, le min_rx est la fréquence à laquelle un routeur s’attend à recevoir les paquets, et le multiplicateur est le nombre que nous pouvons manquer avant que la relation de voisinage BGP ne soit considérée comme interrompue.

BFD asynchrone est automatiquement activé pour chaque interface virtuelle Direct Connect du côté AWS, mais il ne prend effet que lorsqu’il est configuré sur votre routeur. La configuration par défaut de Direct Connect fixe l’intervalle minimum de détection de l’activité BFD à 300 millisecondes et le multiplicateur de détection de l’activité BFD à 3.

Avant d’utiliser le mode écho BFD avec votre dispositif réseau, vous devez désactiver l’envoi de messages de redirection et de Protocole de Message de Contrôle Internet (ICMP) avec la commande no ip redirect pour éviter une utilisation élevée du processeur.

Comment configurer une connexion Direct Connect Active/Passive?

Lorsque vous utilisez AWS Direct Connect pour transporter des charges de travail de production vers et depuis AWS, il est recommandé d’utiliser des Circuits Virtuels Direct Connect doubles, soit à partir d’un seul Port, d’une paire de connexions de Port physiques (discrètes ou LAG/LACP) dans un seul DC, ou réparties sur plusieurs emplacements DC.

Vous pouvez configurer les éléments suivants:

  • Deux routeurs pour terminer les connexions DX primaires et secondaires pour éviter un point unique de défaillance de l’appareil.
  • Une interface virtuelle privée sur chacun des routeurs DX qui termine dans le même VPC. Des protocoles de routage HA (tels que HSRP, VRRF, GLBP, etc.) sur deux routeurs pour permettre aux serveurs locaux d’utiliser plusieurs routeurs agissant comme un seul routeur virtuel, maintenant la connectivité même si le routeur principal tombe en panne, car le routeur secondaire prendra le relais et deviendra actif, ou exécutez un protocole de routage interne tel qu’iBGP qui apprendra les routes depuis Direct Connect EBGP et distribuera les préfixes aux passerelles iBGP internes.
  • Actif/Passif (basculement). Une connexion gère le trafic, et l’autre est en attente. Si la connexion active devient indisponible, tout le trafic est dirigé via la connexion passive. Vous devrez préfixer AS path les routes sur l’un de vos liens pour qu’il soit le lien passif. Pour plus d’informations, voir Configurer des Connexions Redondantes avec AWS Direct Connect.

L’attribut de préférence locale identifie un point de sortie préféré du système autonome (AS) local. S’il y a plusieurs points de sortie depuis l’AS, l’attribut de préférence locale sélectionne le point de sortie pour une route spécifique.

Influencer le trafic sortant AWS en utilisant la préfixation AS Path

L’algorithme de meilleur chemin BGP détermine comment le meilleur chemin vers un système autonome est sélectionné. Une valeur courante pour déterminer le meilleur chemin est la longueur du chemin AS. Lorsqu’il existe deux ou plusieurs routes pour atteindre un préfixe, la valeur par défaut dans BGP est de préférer la route avec le chemin AS le plus court.

Le routeur secondaire annoncera un chemin AS plus long, de sorte que le trafic du VPC vers votre réseau passera toujours par le routeur principal.

Mon interface publique virtuelle est bloquée dans l’état “vérification”. Que puis-je faire?

Lorsque vous créez une interface virtuelle publique et que vous spécifiez les adresses IP de pairage publiques, cela nécessite l’approbation de l’équipe AWS Direct Connect (les VIFs privés/VXCs n’ont pas besoin de cette autorisation et sont disponibles en quelques minutes). Avant d’approuver les préfixes IP publics ou les ASNs publics, l’équipe AWS Direct Connect doit vérifier la propriété des préfixes IP publics et du BGP ASN. L’équipe AWS Direct Connect vérifie la propriété en confirmant que le registre régional appartient au nom de l’organisation listée dans votre compte AWS.

Solution

Si l’état de l’interface virtuelle publique est en vérification depuis plus de 72 heures, vérifiez l’adresse email enregistrée sur votre compte AWS. Vous pourriez avoir reçu un email de l’équipe AWS Direct Connect si le propriétaire du BGP ASN ou l’une de vos routes annoncées ne correspond pas à vos détails de compte.

Si le BGP ASN ou une route annoncée ne correspond pas à votre compte, vous pouvez:

  • Demandez au propriétaire de l’adresse IP d’envoyer un email à directconnect-requests@amazon.com indiquant qu’ils autorisent les préfixes IP publics à être approuvés pour l’interface virtuelle publique dxvif-xxx.

    ou

  • Demandez au propriétaire de l’adresse IP de soumettre une lettre d’autorisation sur papier à en-tête de la société ou demandez-lui d’envoyer un email autorisant l’utilisation du préfixe IP public pour l’interface virtuelle publique dxvif-xxx avec votre compte AWS. Ensuite, connectez-vous au compte qui possède l’interface virtuelle publique Direct Connect, ouvrez un cas, et joignez la lettre d’autorisation à votre cas.

Le statut BGP de l’interface virtuelle est désactivé dans la console AWS. Que devrais-je faire?

Votre statut d’interface virtuelle pourrait être désactivé en raison de problèmes de configuration avec la couche 2 OSILe modèle d’Interconnexion des systèmes ouverts (OSI) est un modèle qui caractérise et standardise les fonctions de communication d’un système de télécommunication ou informatique. La plupart des produits Megaport sont de couche 2 (ou L2) avec certaines constructions OSI s’étendant à la couche 3 (L3) où les informations d’adressage IP sont échangées, connues sous le nom de service L2/L3.
 ou le Protocole de Passerelle Frontière (BGP)Le Border Gateway Protocol (BGP) est un protocole de routage standardisé conçu pour échanger des informations de route et de portée entre les systèmes autonomes (AS) sur internet.
.

Configuration de la couche 2 OSI

Tout d’abord, vérifiez que votre couche 2 OSI est correctement configurée. Vérifiez les détails suivants:

  • Vous avez configuré le bon ID VLAN avec encapsulation dot1Q sur votre appareil (tel qu’un routeur ou un commutateur). L’ID VLAN apparaît dans l’onglet Informations du Portail en tant que service A-End pour votre VXC.

  • La configuration de l’adresse IP du pair est identique sur votre appareil, via le Portal, et dans la console AWS Direct Connect.

  • Tous les appareils intermédiaires sont configurés pour le marquage VLAN avec l’ID VLAN approprié, et le trafic tagué VLAN est préservé dans le point de terminaison AWS Direct Connect.

  • Votre appareil apprend l’adresse de contrôle d’accès média (MAC) du point de terminaison AWS Direct Connect pour l’ID VLAN configuré à partir de la table de Protocole de Résolution d’Adresse (ARP).

  • Votre appareil peut pinguer l’IP de pair Amazon en émettant depuis votre IP de pair.

Configuration BGP

Si les résultats des tests de la couche 2 OSI sont positifs, alors confirmez la configuration BGP sur votre appareil. Vérifiez les points suivants:

  • L’ASN local et l’ASN distant tels que fournis dans l’onglet Informations du Portail en tant que service A-End pour votre VXC.
  • L’adresse IP du voisin et le mot de passe BGP MD5 tels que fournis dans l’onglet Informations du Portail en tant que service A-End pour votre VXC.
  • Votre appareil ne bloque pas l’entrée ou la sortie depuis le port TCP 179 (BGP) et d’autres ports éphémères appropriés.
  • Votre appareil n’annonce pas plus de 100 préfixes à AWS par BGP. Par défaut, AWS n’accepte que jusqu’à 100 préfixes via une session BGP sur AWS Direct Connect.

Après avoir confirmé ces configurations, votre statut BGP de l’interface virtuelle devrait être activé.