我有一些复杂的问题:
我已将多个 VPC 与 EC2 实例(IPSec)连接起来,以便在跨区域的 VPC 之间路由流量,并且我已经与每个 aws 区域建立了 VPN 连接,并且一切运行正常。
Traffic from my office to 10.20.*.* go to ->
VPN connection LINE 1 in AWS eu-west-1 ->
vpc_ireland - CIDR 10.20.0.0/16
here I have ipsec instance that route the traffic from 10.60.0.0/16 to vpc_viriginia
Traffic from my office to 10.60.*.* go to ->
VPN connection LINE 2 in AWS us-east-1 ->
vpc_viriginia - CIDR 10.60.0.0/16
in AWS us-east-1 I have ipsec instance that route the traffic from 10.20.0.0/16 to vpc_ireland
我想确保如果其中一个 vpn 连接/线路出现故障,我仍然能够通过其他 aws 区域的其他 VPN 访问 aws 区域。
例如,如果VPN connection LINE 2 (virginia)
发生故障,那么从我的办公室到的所有流量10.60.*.*
都会自动转到那里VPN connection LINE 1 (vpc_ireland)
,并从那里路由到vpc_viriginia
我的 IPSec 实例,就像什么都没发生一样。
例如:如果VPN connection LINE 2
发生以下情况:myoffice -> 10.60.203.11 -> VPN connection LINE 1 -> vpc_ireland -> ipsec instance in ireland -> vpc_viriginia
正如我所说,我的各个区域与 IPSec 实例之间有连接。
我的问题是,如果 VPN 连接 LINE 2 中断,所有到 的流量10.60.*.*
将自动从我的办公室路由到vpc_ireland - CIDR 10.20.0.0/16
,但我猜vpc_ireland
会拒绝它们,因为它们的 IP10.60.*.*
不在 的同一网络中vpc_ireland - CIDR 10.20.0.0/16
。
所以我想知道我有哪些选择(不删除我当前的 AWS VPN)?
10.60.111.9
更具体地说,我如何通过爱尔兰 VPN 连接(当弗吉尼亚 VPN 连接中断时)将流量从 IP(比如说)路由到vpc_ireland
,但我路由的 IP 不在同一个网络中CIDR 10.20.0.0/16
?
在我从办公室路由流量之后,该问题仅涉及 AWS 方面。
如果我的问题无法理解,我很乐意回答。
提前致谢!!
更新-我将尝试更具体地回答我的问题:
- 弗吉尼亚州的 AWS VPN 出现故障。
- 来自我办公室的所有流量都
10.60.*.*
路由到 AWS VPN 连接 LINE 1AWS eu-west-1
。 - 因此,如果我现在从我的办公室 ping 到,
10.60.100.13
它将路由到爱尔兰 VPN。4. 但爱尔兰的 VPC 有CIDR block 10.20.0.0/16
。
如果我能以某种方式将从 IP 到爱尔兰 VPN 的流量路由CIDR block 10.60.*.*
到我当前在爱尔兰的 VPC CIDR block 10.20.0.0/16
,我可以使用我的路由表和我的 IPSEC 实例将其路由回弗吉尼亚 VPC。
是否有可能将流量从不同的子网路由到 VPC 中的另一个 CIDR 块?IP10.60.100.13
到CIDR block 10.20.0.0/16
?
答案1
你可以尝试做这样的事情
eu-west-1 - VPC1 - VPNGatewway1 -- office (direct route)
eu-west-1 - VPC1 - VPNGatewway1 -- office (via VPC2 route)
|
peer
|
eu-west-1 - VPC2 - VPNGatewway2 -- office (direct route)
eu-west-1 - VPC2 - VPNGatewway2 -- office (via VPC1 route)
但在您执行任何操作之前,请注意,VPN 网关有两个入口点,因此已经构建了冗余。
有一件事你需要考虑,即使路由表有办公室和其他VPC 将发送流量到默认您的办公室的路由(vpn 网关)。为此,您需要编写一个更改路由优先级的小脚本,因此如果 VPNGateway1 无法连接到您的办公室,则您将其设置为较低的优先级并通过 VPC2 路由 office_space/netmask。