Acabei de habilitar um novo ISP no PA-3220 no trabalho e agora preciso configurar túneis IPSec com AWS. Eles disseram que precisamos ativar o BGP. A ideia é enviar algum tráfego pelo novo ISP enquanto outro passa pelo outro ISP. Em caso de problemas, eles fazem failover.
Os túneis estão criados e estão ATIVOS. No entanto:
Não sei quantos AS são necessários. O parceiro da AWS criou dois, mas tenho curiosidade de por que, se é o mesmo dispositivo com as mesmas rotas.
Precisamos ativar o BGP em cada VR ou devemos ativá-los apenas em um.
Existem documentos sobre isso?
Obrigado!
ATUALIZAÇÃO: a configuração fica assim:
Dois VRs, um para cada ISP, de acordo com a Palo (link acima).
AWS Transit GW atribuiu um AS (65000/65001) para cada ISP.
Configurado BGP em cada VR.
Ativado ECMP para ativos/ativos nos túneis.
O BGP está funcionando… mas não como eu queria.
Preciso, por exemplo, enviar alguns prefixos preferencialmente por um VPN e outros por outro. Mesmo se eu configurar o Preferência Local na Exportação, a AWS atualiza um ou o outro.
Abri um caso com a Palo e o parceiro local para ver como funciona.
então você está apenas fazendo peer com uma região da AWS, certo?
você só precisa de um AS na VR que tem sua interface de túnel e uma rota para o vizinho BGP, a menos que eu não esteja entendendo completamente sua configuração.
Cada conexão VPN da AWS é composta por dois túneis, então com uma configuração de dual ISP, você deve ter um total de quatro túneis. Você está fazendo peer com um transit gateway ou VPG? A documentação da AWS recomenda deixar assimetric com custo igual, mas um transit gateway suporta ECMP.
Em uma conexão VPN de site a site, a AWS seleciona um dos dois túneis redundantes como o caminho de saída principal. Essa seleção pode mudar às vezes, e recomendamos fortemente que você configure ambos os túneis para alta disponibilidade, e permita roteamento assimetric.
Para um gateway privado virtual, um túnel entre todas as conexões VPN de site a site no gateway será selecionado. Para usar mais de um túnel, recomendamos explorar o Multipath de Custo Igual (ECMP), que é suportado para conexões VPN de site a site em um transit gateway. Para mais informações, veja Transit gateways no Amazon VPC Transit Gateways. ECMP não é suportado para conexões VPN de site a site em um gateway privado virtual.
Resumindo, você terá um AS na AWS e um na Palo. Você deve ter 4 vizinhos na AWS assumindo que está aproveitando os túneis redundantes que eles oferecem. Não sei por que você está usando VRs para separar os ISPs, então talvez precise adaptar a configuração para seu ambiente específico.