Site-to-Site VPN 备份 Direct Connect 方案

Amazon VPN

在《Amazon Direct Connect 高可用路由设计》一文中，笔者叙述了两条 Amazon Direct Connect（以下简称 DX）连接场景下的混合云组网最佳实践和选路规则。然而，考虑到 DX 的成本相对较高，对于价格敏感型的用户，使用 Amazon Site-to-Site VPN 对 DX 进行冗余备份是一种性价比更高的方案。本文首先会介绍 Amazon Site-to-Site VPN 的冗余性技术原理，然后分别描述六种不同的 VPN 备份 DX 方案的使用场景及其优劣势。 ## **Amazon Site-to-Site VPN** Amazon Site-to-Site VPN 是一项完全托管的服务，它使用 IPSec 加密隧道在 Amazon 与本地数据中心之间建立安全的连接。Amazon Virtual Private Gateway（以下简称 VGW）和 Transit Gateway（以下简称 TGW）提供了 Site-to-Site VPN 服务，每个 VPN 连接使用两条 VPN 隧道（VPN tunnel）保证冗余性。在路由协议方面，有 BGP 动态路由和静态路由可供选择。如果本地网关设备支持 BGP 动态路由，建议使用动态路由协议配置 Site-to-Site VPN 连接。 ### **VGW VPN** 当 VGW 启用了 Site-to-Site VPN 服务后，其所关联的 VPC 就能和本地网络互连互通。每一个 VPN 连接会产生两条 VPN tunnel，tunnel 1 和 tunnel 2。如果采用 BGP 动态路由，并且两条 tunnel 的状态都是 up，默认情况下 Amazon 会随机选择一条 tunnel（比如 tunnel 1）向本地网络发送流量。此时，Amazon 会在 tunnel 1 的 BGP peer 上设置 MED 的值为100，在 tunnel 2 上设置 MED 的值为200。这样本地网关设备的入云流量会选择 MED 更小的 tunnel 1，确保了路由的对称性。当 tunnel 1 对应的 Amazon VPN 终端节点进行维护时，Amazon 会在tunnel 2 上设置一个更小的 MED 值，从而达到平滑切换的目的。如果采用静态路由，并且两条 tunnel 的状态都是 up，Amazon 会随机选择一条 tunnel 向本地网络发送流量。当其中一条 VPN tunnel 发生中断时，Amazon 会自动切换至另一条状态是 up 的 VPN tunnel，本地网关设备根据 ICMP 探测结果切换至另一条 VPN tunnel 上。在这种情况下，本地网关设备必须在虚拟 tunnel 接口上支持非对称路由。 ### **TGW VPN** TGW 是 Amazon 托管的路由服务，它可以创建 Site-to-Site VPN 连接 VPC 和本地网络。如果采用 BGP 动态路由，在不启用 ECMP 的条件下，Amazon 会随机选择一条 tunnel 向本地网络发送流量。Amazon 会在 tunnel 1 和 tunnel 2 的 BGP peer 上设置 MED 的值为100。这里，不建议在本地网关设备上修改任何包括 MED 在内的 BGP 属性。因为当其中一个 Amazon VPN 终端节点进行维护时，Amazon 会在另一条 VPN tunnel 上设置一个更小的 MED 值，从而达到平滑切换的目的。在这种情况下，本地网关设备必须在虚拟 tunnel 接口上支持非对称路由。在 TGW 和本地网关设备都开启 BGP ECMP 的条件下，VPN 带宽可从单条 tunnel 的1.25Gbps 扩展至跨多条 tunnel 的 50Gbps。如果采用静态路由，TGW 和本地设备的两条 VPN tunnel 的主备选择和切换与 VGW VPN 静态路由的行为一致。 ### **第三方 VPN** 由于北京和宁夏区域不支持 Amazon Site-to-Site VPN，用户须在 EC2 实例上运行开源或者 Amazon Marketplace 上提供的商业化虚拟 VPN 软件构建混合云。与 Amazon 托管 VPN 服务不同的是，自建第三方 VPN 连接的可靠性、性能，以及 EC2 操作系统的安全维护等多方面因素需要由用户自己考虑。 ## **Site-to-Site VPN 备份 Direct Connect 方案** 上文主要阐述了 Amazon Site-to-Site VPN 两条隧道的主备选择和切换的技术原理。鉴于用户混合云组网的多样性，本文总结了六种常见的 VPN 备份 DX 的方案。每种方案会介绍出云（流量从 Amazon 至本地网络）和入云（流量从本地网络至 Amazon）方向的选路规则，以及各个方案的使用场景和优劣势。 ### **DX/VGW 为主线，VPN/VGW 为备线** 该方案将 DX 和 VPN 都终结在 VGW 上，由 VGW 控制路由的主备选择和切换。如果 VGW VPN 使用动态路由，VGW 会从 DX 和 VPN 同时接收到相同的路由前缀192.168.52.0/24。此时，VGW 会默认选择 DX 作为出云方向的主线路。对于入云方向，设置本地网关设备 DX 的 Local preference 为200，让 DX 成为主线路。在本地网关的 DX 接口上配置 BFD，使得 DX 自动切换至 VPN 的时间降低至秒级。 ![image.png](https://dev-media.amazoncloud.cn/2ac0d46cce4c405baaa4989ec3a42b98_image.png "image.png") 如果 VGW VPN 使用静态路由，在 VGW 上配置和从 DX 传播过来相同的静态路由前缀192.168.52.0/24。此时，VGW 会默认选择 DX 作为出云方向的主线路。对于入云方向，调整静态路由的掩码长度或者其管理距离（DX 所用的 EBGP 管理距离为20），让本地网关优先选择 DX 作为主线路。在本地网关的 DX 接口上配置 BFD，使得 DX 自动切换至 VPN 的时间降低至秒级。 ![image.png](https://dev-media.amazoncloud.cn/78d789bc03cd4ee8abc23b5f4697fb5a_image.png "image.png") 使用 VGW 终结 VPN 连接的局限性在于 VGW 和 VPC 有一一对应的关系。该方案适用于网络架构为一个或少量 VPC 的环境。如果是多 VPC 环境，则需要建立和维护多条 VPN 连接。此外，VGW VPN 带宽最大为 1.25Gbps。如果 DX 的流量大于 1.25Gbps，切换后的 VPN 连接将会发生超载。 ### **DX/VGW 为主线，第三方 VPN 为备线** 该方案使用 VGW 终结 DX，利用第三方 VPN 软件（vCPE）完成 Site-to-Site VPN 功能。在 VPC 路由表中开启 VGW 的路由传播功能，并设置一条掩码更短的192.168.0.0/16静态路由指向 vCPE 的 ENI 网卡。此时，VPC 路由表会根据最长掩码匹配原则优先选择 DX 作为出云方向的主线路。对于入云方向，使用相同的方法设置一条掩码更短的10.42.0.0/16静态路由指向 VPN tunnel 接口，或者调整静态路由的管理距离（DX 所用的 EBGP 管理距离为20），让本地网关优先选择 DX 作为主线路。在本地网关的 DX 接口上配置 BFD，使得 DX 自动切换至 VPN 的时间降低至秒级。 ![image.png](https://dev-media.amazoncloud.cn/18ac0fd6f3b245129243166c391caa13_image.png "image.png") 该方案适用于原生不支持 Site-to-Site VPN 的 Amazon 北京和宁夏区域，且网络架构为一个或少量 VPC 的环境。如果是多 VPC 环境，则需要创建和维护多台 vCPE 及其 VPN 连接。 ### **DX/TGW 为主线，VPN/TGW 为备线** 该方案将 DX 和 VPN 都终结在 TGW 上，由 TGW 控制路由的主备选择和切换。如果 TGW VPN 使用动态路由，TGW 会从 DX 和 VPN 同时接收到相同的路由前缀192.168.52.0/24。此时，TGW 会默认选择 DX 作为出云方向的主线路。对于入云方向，设置本地网关设备 DX 的 Local preference 为200，让 DX 成为主线路。 ![image.png](https://dev-media.amazoncloud.cn/d7c616ce111d41d6abb058c8d0762835_image.png "image.png") 如果 TGW VPN 使用静态路由，在 TGW 上配置掩码更短的192.168.0.0/16静态路由指向 TGW VPN 附件。此时，TGW 根据最长掩码匹配原则优先选择 DX 作为出云方向的主线路。对于入云方向，以同样方式调整静态路由的掩码或者其管理距离（DX 所用的 EBGP 管理距离为20），让本地网关选择 DX 作为主线路。 ![image.png](https://dev-media.amazoncloud.cn/8adf3b987afe4fddb14c5c118830a4d5_image.png "image.png") TGW 建立在 Amazon Hyperplane 之上，这是一种高可靠且水平可扩展的分布式交换结构。在路由收敛方面，TGW 相比传统路由器需要更长的收敛时间。从 DX 切换至 VPN 的端到端时间在20至30秒之间。如果要求更短的切换时间，建议使用两条 DX 的方案或者下文的方案六。用户可以利用 TGW 构建集中式网络拓扑（Hub-and-Spoke），即关联在同一个 TGW 上的所有 VPC 都可以复用同一对集中式部署的 DX 和 VPN 访问本地网络。使用 TGW 组网的优势适用于下文的方案四、五、六。此外，TGW VPN 可以启用全球加速功能，加速的 VPN 连接使用 Amazon Global Accelerator 将流量从本地网络路由到离用户网关设备最近的 Amazon 边缘站点，避免在互联网上可能发生的网络中断。 ### **DX/TGW 为主线，VPN/TGW Connect 为备线** 考虑到北京和宁夏区域不支持 Site-to-Site VPN，需要由第三方 VPN 软件（vCPE）部署 Site-to-Site VPN。该方案中，TGW 和 vCPE 之间通过 GRE 隧道交换 BGP 路由信息，即 TGW Connect 方案。如果 TGW 分别从 DX 和 TGW Connect 接收到相同的路由前缀192.168.52.0/24，TGW 会默认选择 DX 作为出云方向的主线路。对于入云方向，本地网关设备也会默认优选 DX，因为其 AS_Path 比 VPN 更短。 ![image.png](https://dev-media.amazoncloud.cn/3e83b579ca5f47d88d6a12d255df3f9a_image.png "image.png") 正如方案三所描述，DX 切换至 VPN 的端到端时间在20至30秒之间。如果要求更短的切换时间，建议使用两条 DX 的方案或者下文的方案六。有关 TGW Connect 的部署和详细配置请参考《Transit Gateway Connect 连接类型集成 FortiGate 安全服务》和《基于 TGW 和思科云业务路由器的企业混合云网络互联》。 ### **DX/TGW 为主线，第三方 VPN 为备线** 该方案由 TGW 关联 DX，由第三方 VPN 软件（vCPE）部署 Site-to-Site VPN。与方案四不同的是，由于一些开源 VPN 软件不支持 GRE 和 BGP 协议，此方案中的 TGW 和 vCPE 之间采用静态路由。在 TGW 路由表里设置一条掩码更短的192.168.0.0/16静态路由指向 vCPE 所在的 VPN VPC 附件，然后在 VPN VPC 中 TGW ENI 所在的子网路由里设置192.168.0.0/16静态路由指向 vCPE ENI 网卡。vCPE 需要设置 VPC 回程路由指向 TGW。TGW 会根据最长掩码匹配原则优先选择 DX 作为出云方向的主线路。对于入云方向，使用相同的方式设置一条掩码更短的10.42.0.0/16静态路由指向 VPN tunnel 接口，或者调整静态路由的管理距离（DX 所用的 EBGP 管理距离为20），让本地网关优先选择 DX 作为主线路。正如方案三所描述，DX 切换至 VPN 的端到端时间在20至30秒之间。如果要求更短的切换时间，建议使用两条 DX 的方案或者下文的方案六。 ![image.png](https://dev-media.amazoncloud.cn/0a6897eaded3482996911e23a113ccbb_image.png "image.png") ### **第三方 SDWAN 方案** 该方案把 DX 和 VPN 作为 underlay，云上 vCPE 和云下 CPE 之间采用 SDWAN overlay 的方式互连。出云和入云方向的路径选择均由 SDWAN 策略来控制。为了确保高可用，云上至少部署两台 vCPE，TGW 和两台 vCPE 之间通过 GRE 隧道交换 BGP 路由信息，即 TGW Connect 方案。采用 SDWAN 的优势在于触发切换的条件可以是链路质量，即不满足网络丢包、延迟和抖动的 SLA 时，就能发生切换。由于 BFD 的支持，该方案的切换时间在秒级。 ![image.png](https://dev-media.amazoncloud.cn/e7c570d49001451fb67b0d0963a86750_image.png "image.png") ## **总结** 本文首先讲述了基于 VGW 和 TGW 的 VPN 两条 tunnel 的主备选择，然后介绍了 VPN 备份 DX 的六种常见组网方案。在每一种方案中分析了如何利用动态和静态路由协议控制 DX 为主线，VPN 为备线，以及各自的使用场景和优劣势。六种 Site-to-Site VPN 备份 Direct Connect 方案的对比总结如下： ![image.png](https://dev-media.amazoncloud.cn/0ee71e865ab7424a850c446caf860710_image.png "image.png") 参考文档 1. 《Amazon Direct Connect 高可用路由设计》： https://aws.amazon.com/cn/blogs/china/aws-direct-connect-highly-available-routing-design/ 2. 《Transit Gateway Connect 连接类型集成 FortiGate 安全服务》： https://aws.amazon.com/cn/blogs/china/transit-gateway-connect-connection-type-integrates-fortigate-security-service/ 3. 《基于 TGW 和思科云业务路由器的企业混合云网络互联》： https://aws.amazon.com/cn/blogs/china/enterprise-hybrid-cloud-network-interconnection-based-on-tgw-and-cisco-cloud-service-router/ 4. Amazon Direct Connect 冗余性建议 https://aws.amazon.com/cn/directconnect/resiliency-recommendation/?nc1=h_ls 5. 如何将我的 Site-to-Site VPN 连接配置为首选隧道 A 而不是隧道 B？ https://aws.amazon.com/cn/premiumsupport/knowledge-center/vpn-configure-tunnel-preference/?nc1=h_ls 6. Site-to-Site VPN 路由设置选项 https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html 7. 如何解决在中转网关中创建 VPN 作为 Direct Connect 的备份时出现的非对称路由问题？ https://aws.amazon.com/cn/premiumsupport/knowledge-center/direct-connect-asymmetric-routing/?nc1=h_ls