Acabei de habilitar um novo ISP no PA-3220 no trabalho e agora preciso configurar túneis IPSec com a AWS. Eles disseram que precisamos habilitar o BGP. A ideia é enviar algum tráfego pelo novo ISP enquanto outro passa pelo outro ISP. Em caso de problemas, eles fazem failover.
Os túneis foram criados e estão ATIVOS. No entanto:
Não sei quantos AS são necessários. O parceiro da AWS criou dois, mas estou curioso para saber por quê, se é o mesmo dispositivo com as mesmas rotas.
Precisamos habilitar o BGP em cada VR ou devemos habilitá-los apenas em um?
Existem documentos sobre isso?
Obrigado!
ATUALIZAÇÃO: então, a configuração parece assim:
Dois VRs, um para cada ISP, de acordo com a Palo (link acima).
AWS Transit GW atribuiu um AS (65000/65001) para cada ISP.
Configurei o BGP em cada VR.
Ativei ECMP para atuar em modo ativo/ativo nos túneis.
O BGP está funcionando.. mas não como eu queria.
Preciso, por exemplo, enviar alguns prefixos preferencialmente por uma VPN e outros por outra. Mesmo configurando o PrefLocal na exportação, a AWS só atualiza um ou outro.
Abri um caso com a Palo e o parceiro local para ver como tudo se desenrola.
então você está apenas trocando via uma região da AWS, correto?
você só precisa de um AS na VR onde está sua interface de túnel e uma rota para o vizinho BGP, a menos que eu não esteja entendendo completamente sua configuração.
Cada conexão VPN da AWS possui dois túneis, então com configuração de ISP duplo, você deve ter quatro túneis no total. Você está trocando com um transit gateway ou VPG? A documentação da AWS recomenda deixar assim com assimetria e custo igual, mas um transit gateway suporta ECMP.
Em uma conexão VPN Site-to-Site, a AWS seleciona um dos dois túneis redundantes como o caminho de saída principal. Essa seleção pode mudar às vezes, e recomendamos fortemente que configure ambos os túneis para alta disponibilidade, permitindo roteamento assimétrico.
Para um gateway privado virtual, um túnel será selecionado em todas as conexões VPN do Site-to-Site no gateway. Para usar mais de um túnel, sugerimos explorar o ECMP, que é suportado para conexões VPN Site-to-Site em um transit gateway. Para mais informações, veja Transit gateways na Amazon VPC Transit Gateways. ECMP não é suportado para conexões VPN Site-to-Site em um gateway privado virtual.
Resumindo, você terá um AS na AWS e um na Palo. Você deve ter 4 vizinhos na AWS, assumindo que aproveita os túneis redundantes que oferecem. Não sei por que você está usando VRs para separar os ISPs, então pode precisar adaptar a configuração ao seu ambiente específico.
Não totalmente relacionado ao que você está perguntando, mas você deve conseguir se virar com apenas um VR para ambas as conexões do ISP se ativar o ECMP strict source path (10.0 e acima) ECMP Strict Source Path
Os túneis usarão um AS privado (você pode escolher ao criar o gateway do cliente; caso contrário, acho que o padrão é 65000, e se você não especificar, o transit gateway usa 64512). A Amazon fornecerá uma faixa 169.254.x.x/30 usada para o peering dos túneis por padrão, a menos que você especifique algo específico ao criar a conexão site-a-site.