最近勉強中のAWSですが、先週StaticルートでVPNを張ってみました。
ハードウェアVPNが時間課金だということは知っていたので
検証が終わったら対向のCiscoを落としていました。
が、しかし
今日billページでVPNの課金が100Hになっていて6$も加算されてました!
AWSのVPN課金はトンネルがDownになってても課金されます!
悔しいですが、この辺は都度全部削除したほうが良さそうです。
前回StaticルートでAWSに接続したので、今回はBGPで接続してみました。
cgwが同じIPの場合、cgwをStatic,BGPで2つ作ることができないので
新たにDynamicでcgwを作って紐付けします。
またまたAWSの便利機能、ConfigDownloadを活用し、
そのまま流し込めば簡単でしょう。
ただネットワーク屋さんには必ず知っておいてもらいたい
重要なオプションがあることに気づきました。
1 Propagateオプションに注意せよ
■本来こうなってほしい
ユーザ拠点のセグメントがBGPで配信されて、AWSルータのルーティングテーブルに載る、
のが希望する動きですが
■デフォルトだと
AWSルータにルートが注入されません。
【AWS発表】Amazon VPCに2つの新機能が追加 – BGPをサポートしないデバイスでもVPCに接続可能に
ここでPropagateオプションが登場します。
Route Tablesメニューから、Route Propagationタブを選んで
Propagateにチェックを入れます。
これを有効化することで、vgwからAWSルータに再配送されるわけです。
ネット上の情報だと、わざわざStaticで書き足す、という内容で
掲載されていたりするので気をつけましょう。
2 BGPのサンプルConfigに注意せよ
これは投入Config見ればすぐわかるのですが、
router bgp 65534 neighbor 169.254.252.25 default-originate
デフォルトルートの再配送をするようになっています。
ここに気付かず投入すると、AWSルータまでデフォルトルートが再配送されて
インターネットへはigwを使う環境の場合、
デフォルトルートが2つ存在することになり、危険です。
この2点を注意すればハードウェアVPN with BGPは簡単ですね。