服务器 Gind.cn
  1. 服务器 Gind.cn
  3. AWS VPN – 容错跨区域和VPC CIDR块
Intereting Posts
testsaslauthd – 权限被拒绝 如何在Windows上设置手动添加路线的度量? Apache2logging到包含服务器IP地址的文件 Mongodb本地数据库文件大小/数量爆炸 运行Windows 2008 x64 Microsoft VPC所需的主机 使用FileZilla和SFTP上传的文件缺less权限 AD:本地,全球和全球性组织有什么区别? 运行CPanel的CentOS用尽了空间,无法启动mysql或mysqld 是否有可能从虚拟机采取保留的IP,并将其放置在Azure负载平衡器? :-) 在IIS 7手动与Web平台上安装PHP Nginx没有caching头?随机查询string 如何使用Apache和Dlink 524Tredirectstream量? 没有DLP软件的帮助,是否可以在活动目录中find已删除的对象? Sparc T5240 ILOM密码悲痛 不受限制的访问单个文件+ FastCGI与basic_auth整个域在Nginx

AWS VPN – 容错跨区域和VPC CIDR块

我有一些复杂的问题:

我已经连接多个VPC与EC2实例(IPSec)之间路由stream量之间的VPC的跨地区,我有VPN连接到每个aws区域,一切工作正常。 

Traffic from my office to 10.20.*.* go to -> VPN connection LINE 1 in AWS eu-west-1 -> vpc_ireland - CIDR 10.20.0.0/16 here I have ipsec instance that route the traffic from 10.60.0.0/16 to vpc_viriginia Traffic from my office to 10.60.*.* go to -> VPN connection LINE 2 in AWS us-east-1 -> vpc_viriginia - CIDR 10.60.0.0/16 in AWS us-east-1 I have ipsec instance that route the traffic from 10.20.0.0/16 to vpc_ireland

我想确保如果其中一个vpn连接/线路断开,我仍然可以通过其他aws区域中的另一个VPN访问aws区域。

例如,如果VPN connection LINE 2 (virginia)出现故障,自动从我的办公室到10.60.*.*所有通信将自动转到VPN connection LINE 1 (vpc_ireland)然后从那里通过我的IPSec实例路由到vpc_viriginia ,什么都没发生。

例如:如果VPN connection LINE 2断开: myoffice -> 10.60.203.11 -> VPN connection LINE 1 -> vpc_ireland -> ipsec instance in ireland -> vpc_viriginia

正如我所说,我有我的地区与IPSec实例之间的连接。

我的问题是,如果VPN连接线路2closures,所有到10.60.*.*的stream量将自动从我的办公室路由到vpc_ireland - CIDR 10.20.0.0/16 ,但我想vpc_ireland会拒绝他们,因为IP 10.60.*.*不在vpc_ireland - CIDR 10.20.0.0/16的同一networking中vpc_ireland - CIDR 10.20.0.0/16

所以我想知道我的select是什么(不删除当前的AWS VPN)?

更具体地说,我如何通过爱尔兰VPN连接(当弗吉尼亚VPN连接断开时)将stream量从IP(例如可以是10.60.111.9 )路由到vpc_ireland ,但是我路由的IP不在同一个networkingCIDR 10.20.0.0/16

这个问题在我从我的办公室路由stream量之后,只涉及AWS方面。

如果我的问题不能理解,我会很乐意回答任何问题。

提前致谢!!

更新 – 我会尽量对我的问题更具体:

  1. 弗吉尼亚州的AWS VPN瘫痪了。
  2. 来自我办公室的所有stream量10.60.*.*路由到AWS eu-west-1 AWS VPN连接LINE AWS eu-west-1
  3. 所以如果我现在从我的办公室ping到10.60.100.13这将是路由到爱尔兰VPN。 4.但在CIDR block 10.20.0.0/16爱尔兰VPC。

如果我能以某种方式将来自爱尔兰VPN的stream量从CIDR block 10.60.*.* IP路由到CIDR block 10.20.0.0/16在爱尔兰的当前VPC,我可以使用我的路由表和我的IPSEC实例将其路由回弗吉尼亚州VPC。

是否有可能将来自不同子网的stream量路由到VPC中的另一个CIDR块? IP 10.60.100.13CIDR block 10.20.0.0/16

你可以尝试做这样的事情 

 eu-west-1 - VPC1 - VPNGatewway1 -- office (direct route) eu-west-1 - VPC1 - VPNGatewway1 -- office (via VPC2 route) | peer | eu-west-1 - VPC2 - VPNGatewway2 -- office (direct route) eu-west-1 - VPC2 - VPNGatewway2 -- office (via VPC1 route)

但在你做任何事情之前,VPN网关有两个入口点,所以已经build立了冗余。

有一件事你需要考虑,路由表,即使他们有办公室和其他 VPC条目将发送stream量到您的办公室的默认路由(VPN网关)。 为此,您需要制作一个更改路由优先级的小脚本,因此,如果VPNGateway1无法连接到您的办公室,则可以通过VPC2将该优先级设置为较低优先级并路由office_space / netmask。