Tutorial: Einbinden Ihrer ASN in IPAM - Amazon Virtual Private Cloud
Onboarding-Voraussetzungen für Ihre ASNSchritte des Tutorials

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Einbinden Ihrer ASN in IPAM

Wenn Ihre Anwendungen vertrauenswürdige IP-Adressen und autonome Systemnummern (ASNs) verwenden, die Ihre Partner oder Kunden in ihrem Netzwerk zugelassen haben, können Sie diese Anwendungen ausführen, AWS ohne dass Ihre Partner oder Kunden ihre Zulassungslisten ändern müssen.

Eine autonome Systemnummer (ASN) ist eine weltweit eindeutige Nummer, die es ermöglicht, eine Gruppe von Netzwerken über das Internet zu identifizieren und mithilfe des Border Gateway Protocol Routing-Daten dynamisch mit anderen Netzwerken auszutauschen. Internetdienstanbieter (ISPs) verwenden beispielsweise ASNs, um die Quelle des Netzwerkdatenverkehrs zu identifizieren. Nicht alle Organisationen kaufen ihre eigenen ASNs, aber Organisationen, die dies tun, können ihre ASN an andere weitergeben. AWS

Mit BYOASN (Bring Your Own Autonomous System Number) können Sie die IP-Adressen, an die Sie weiterleiten, AWS mit Ihrer eigenen öffentlichen ASN statt mit der ASN bewerben. AWS Wenn Sie BYOASN verwenden, überträgt der von Ihrer IP-Adresse ausgehende Datenverkehr Ihre ASN anstelle der ASN, und Ihre Workloads sind für Kunden oder Partner erreichbar, die den aufgelisteten Datenverkehr auf der Grundlage Ihrer IP-Adresse und AWS ASN zugelassen haben.

Wichtig

  • Schließen Sie dieses Tutorial mit dem IPAM-Administratorkonto in der Heimatregion Ihres IPAM ab.

  • In diesem Tutorial wird davon ausgegangen, dass Sie Eigentümer der öffentlichen ASN sind, die Sie auf IPAM übertragen möchten, und dass Sie bereits eine BYOIP-CIDR installiert und für einen Pool in Ihrem öffentlichen Bereich bereitgestellt haben. AWS Sie können jederzeit eine ASN auf IPAM übertragen, aber um sie verwenden zu können, müssen Sie sie mit einer CIDR verknüpfen, die Sie Ihrem Konto hinzugefügt haben. AWS In diesem Tutorial wird davon ausgegangen, dass Sie dies bereits gemacht haben. Weitere Informationen finden Sie unter Tutorial: Mitbringen eigener IP-Adressen in IPAM.

  • Sie können ohne Verzögerung zwischen Ihrer eigenen ASN und einer AWS ASN wechseln, sind jedoch darauf beschränkt, einmal pro Stunde von einer AWS ASN zu Ihrer eigenen ASN zu wechseln.

  • Wenn Ihr BYOIP-CIDR derzeit beworben wird, müssen Sie ihn nicht aus der Werbung entfernen, um ihn mit Ihrer ASN zu verknüpfen.

Onboarding-Voraussetzungen für Ihre ASN

Für dieses Tutorial benötigen Sie Folgendes:

  • Ihre öffentliche 2-Byte- oder 4-Byte-ASN.

  • Wenn Sie bereits einen IP-Adressbereich mitgebracht habenTutorial: Mitbringen eigener IP-Adressen in IPAM, benötigen Sie den AWS CIDR-Bereich für IP-Adressen. Sie benötigen außerdem einen privaten Schlüssel. Sie können den privaten Schlüssel verwenden, den Sie erstellt haben, als Sie den IP-Adress-CIDR-Bereich hinzugefügt haben, AWS oder Sie können einen neuen privaten Schlüssel erstellen, wie unter Erstellen eines privaten Schlüssels und Generieren eines X.509-Zertifikats im EC2-Benutzerhandbuch beschrieben.

  • Wenn Sie einen IP-Adressbereich hinzufügenTutorial: Mitbringen eigener IP-Adressen in IPAM, erstellen Sie ein X.509-Zertifikat und laden das X.509-Zertifikat in den RDAP-Eintrag in Ihrem RIR hoch. AWS Sie müssen das gleiche Zertifikat, das Sie erstellt haben, in den RDAP-Eintrag in Ihrem RIR für die ASN hochladen. Achten Sie darauf, dass die -----BEGIN CERTIFICATE------ und -----END CERTIFICATE------Zeichenfolgen vor und nach dem kodierten Teil enthalten sind. Der gesamte Inhalt muss sich in einer einzigen, langen Zeile befinden. Das Verfahren zum Aktualisieren des RDAP hängt von Ihrem RIR ab:

    • Verwenden Sie für ARIN das Accountmanager-Portal, um das Zertifikat im Abschnitt „Öffentliche Kommentare“ für das Objekt „Netzwerkinformationen“ hinzuzufügen, das Ihre ASN darstellt, indem Sie die Option „ASN ändern“ verwenden. Fügen Sie es nicht dem Kommentarbereich Ihrer Organisation hinzu.

    • Für RIPE fügen Sie das Zertifikat als neues Feld „descr“ zum Objekt „aut-num“ hinzu, das Ihre ASN darstellt. Diese finden Sie normalerweise im Bereich „Meine Ressourcen“ des

      RIPE-Datenbankportals. Fügen Sie sie nicht in den Kommentarbereich für Ihre Organisation oder in das Feld „Anmerkungen“ des Objekts „aut-num“ ein.

    • Senden Sie für APNIC das Zertifikat per E-Mail an helpdesk@apnic.net, um es manuell in das Feld „Anmerkungen“ für Ihre ASN aufzunehmen. Senden Sie die E-Mail über den autorisierten APNIC-Kontakt für die ASN.

Schritte des Tutorials

Führen Sie die folgenden Schritte mit der Konsole oder dem aus AWS . AWS CLI

AWS Management Console

  1. Öffnen Sie die IPAM-Konsole unter https://console.aws.amazon.com/ipam/.

  2. Wählen Sie im linken Navigationsbereich die Option IPAMs.

  3. Wählen Sie Ihren IPAM.

  4. Wählen Sie die Registerkarte BYOASNS und dann BYOASNs bereitstellen.

  5. Geben Sie die ASN ein. Infolgedessen wird das Nachrichtenfeld automatisch mit der Nachricht gefüllt, die Sie im nächsten Schritt signieren müssen.

    • Die Nachricht hat das folgende Format: ACCOUNT ist Ihre AWS Kontonummer, ASN ist die ASN, die Sie an IPAM senden, und YYYYMMDD ist das Ablaufdatum der Nachricht (standardmäßig der letzte Tag des nächsten Monats). Beispiel:

      text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"

  6. Kopieren Sie die Nachricht und ersetzen Sie das Ablaufdatum ggf. durch Ihren eigenen Wert.

  7. Signieren Sie die Nachricht mit dem privaten Schlüssel. Beispiel:

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

  8. Geben Sie unter Signatur die Signatur ein.

  9. (Optional) Um eine weitere ASN bereitzustellen, wählen Sie Weitere ASN bereitstellen aus. Sie können bis zu 5 ASNs bereitstellen. Informationen zur Erhöhung dieses Kontingents finden Sie unter Kontingente für Ihr IPAM.

  10. Wählen Sie Bereitstellung.

  11. Sehen Sie sich den Bereitstellungsprozess auf der Registerkarte BYOASNs an. Warten Sie, bis der Status von Pending-provision zu Provisioned wechselt. BYOASNs mit dem Status Failed-provision werden nach 7 Tagen automatisch entfernt. Sobald die ASN erfolgreich bereitgestellt wurde, können Sie sie einem BYOIP-CIDR zuordnen.

  12. Wählen Sie im linken Navigationsbereich Pools aus.

  13. Wählen Sie Ihren öffentlichen Bereich. Weitere Informationen zu Bereichen finden Sie unter Funktionsweise von IPAM.

  14. Wählen Sie einen regionalen Pool, für den ein BYOIP-CIDR bereitgestellt wurde. Für den Pool muss Service auf EC2 eingestellt sein und es muss ein Gebietsschema ausgewählt sein.

  15. Wählen Sie die Registerkarte CIDRs und wählen Sie einen BYOIP-CIDR aus.

  16. Wählen Sie Aktionen > BYOASN-Zuweisungen verwalten.

  17. Wählen Sie unter Zugeordnet durch OASNs die ASN aus, zu der Sie weitergeleitet haben. AWS Wenn Sie mehrere ASNs haben, können Sie dem BYOIP-CIDR mehrere ASNs zuweisen. Sie können so viele ASNs zuweisen, wie Sie in IPAM einbinden können. Beachten Sie, dass Sie standardmäßig bis zu 5 ASNs in IPAM einbinden können. Weitere Informationen finden Sie unter Kontingente für Ihr IPAM.

  18. Wählen Sie Associate aus.

  19. Warten Sie, bis der ASN-Zuweisung abgeschlossen ist. Sobald die ASN erfolgreich mit dem BYOIP-CIDR verknüpft wurde, können Sie den BYOIP-CIDR erneut bewerben.

  20. Wählen Sie die Registerkarte Pool-CIDRs.

  21. Wählen Sie das BYOIP CIDR und Aktionen > Werben aus. Daraufhin werden Ihre ASN-Optionen angezeigt: die Amazon-ASN und alle ASNs, die Sie in IPAM eingebunden haben.

  22. Wählen Sie die ASN aus, die Sie in IPAM eingebunden haben, und wählen Sie Werben Sie für CIDR. Als Ergebnis wird der BYOIP CIDR beworben und der Wert in der Spalte Werbung ändert sich von „Zurückgezogen“ auf „Beworben“. In der Spalte Autonome Systemnummer wird die dem CIDR zugeordnete ASN angezeigt.

  23. (optional) Wenn Sie entscheiden, dass Sie die ASN-Zuweisung wieder zur Amazon-ASN ändern möchten, wählen Sie den BYOIP CIDR aus und wählen Sie erneut Aktionen > Werben. Wählen Sie dieses Mal die Amazon-ASN aus. Sie können jederzeit zur Amazon-ASN zurückkehren, aber Sie können nur einmal pro Stunde zu einer benutzerdefinierten ASN wechseln.

Das Tutorial ist abgeschlossen.

Bereinigen

  1. Trennen der ASN vom BYOIP-CIDR

    • Um den BYOIP-CIDR aus der Werbung zurückzuziehen, wählen Sie in Ihrem Pool im öffentlichen Bereich den BYOIP-CIDR aus und wählen Sie Aktionen > Von der Werbung zurückziehen.

    • Um die ASN vom CIDR zu trennen, wählen Sie Aktionen > BYOASN-Zuweisungen verwalten.

  2. Aufheben der Bereitstellung der ASN

    • Um die Bereitstellung der ASN aufzuheben, wählen Sie auf der Registerkarte „BYOASNs“ die ASN und anschließend die Option Bereitstellung der ASN aufheben. Infolgedessen wird die Bereitstellung der ASN aufgehoben. BYOASNs mit dem Status Deprovisioned werden nach 7 Tagen automatisch entfernt.

Die Bereinigung ist abgeschlossen.

Command line

  1. Stellen Sie Ihre ASN bereit, indem Sie Ihre ASN und Ihre Autorisierungsnachricht angeben. Die Signatur ist die Nachricht, die mit Ihrem privaten Schlüssel signiert wurde.

    aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

  2. Beschreiben Sie Ihre ASN, um den Bereitstellungsprozess nachzuverfolgen. Wenn die Anfrage erfolgreich ist, sollten Sie nach einigen Minuten sehen, dass sie auf bereitgestellt ProvisionStatusgesetzt ist.

    aws ec2 describe-ipam-byoasn

  3. Ordnen Sie Ihre ASN Ihrem BYOIP-CIDR zu. Jede benutzerdefinierte ASN, von der aus Sie Werbung schalten möchten, muss zunächst Ihrem CIDR zugewiesen werden.

    aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  4. Beschreiben Sie Ihren CIDR, um den Zuweisungsprozess nachzuverfolgen.

    aws ec2 describe-byoip-cidrs --max-results 10

  5. Werben Sie mit Ihrer ASN für Ihren CIDR. Wenn der CIDR bereits beworben wurde, wird dadurch die ursprüngliche ASN von Amazon auf Ihre übertragen.

    aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  6. Beschreiben Sie Ihren CIDR, um zu sehen, wie sich der ASN-Status von associated in advertised ändert.

    aws ec2 describe-byoip-cidrs --max-results 10

Das Tutorial ist abgeschlossen.

Bereinigen

  1. Führen Sie eine der folgenden Aktionen aus:

    • Um nur Ihre ASN-Werbung zurückzuziehen und wieder die Amazon-ASNs zu verwenden und gleichzeitig die angekündigte CIDR beizubehalten, müssen Sie advertise-byoip-cidr mit dem speziellen AWS Wert für den ASN-Parameter aufrufen. Sie können jederzeit zur Amazon-ASN zurückkehren, aber Sie können nur einmal pro Stunde zu einer benutzerdefinierten ASN wechseln.

      aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n

    • Um Ihre CIDR- und ASN-Werbung gleichzeitig zurückzuziehen, können Sie anrufen. withdraw-byoip-cidr

      aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n

  2. Um Ihre ASN zu bereinigen, müssen Sie sie zunächst von Ihrem BYOIP-CIDR trennen.

    aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  3. Sobald Ihre ASN von allen BYOIP-CIDRs, denen Sie sie zugewiesen haben, getrennt wurde, können Sie die Bereitstellung aufheben.

    aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345

  4. Die Bereitstellung des BYOIP-CIDR kann auch aufgehoben werden, sobald alle ASN-Zuweisungen entfernt wurden.

    aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

  5. Bestätigen Sie das Aufheben der Bereitstellung.

    aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

Die Bereinigung ist abgeschlossen.