Interacciones de prefijos permitidas para las puertas de enlace de AWS Direct Connect
Aprenda cómo interactúan los prefijos permitidos con las puertas de enlace de tránsito y las puertas de enlace privadas virtuales. Para obtener más información, consulte Routing policies and BGP communities.
Asociaciones de la gateway privada virtual
La lista de prefijos (IPv4 e IPv6) actúa como un filtro que permite anunciar los mismos CIDR, o un rango más pequeño de CIDR, a la puerta de enlace de Direct Connect. Debe establecer los prefijos en el mismo rango, o en uno más amplio, que el bloque CIDR de VPC.
nota
La lista de permitidos solo funciona como un filtro y solo el CIDR de VPC asociado se anunciará en la puerta de enlace de cliente.
Piense en una situación en la que tiene una VPC con el CIDR 10.0.0.0/16 adjunta a una gateway privada virtual.
-
Cuando la lista de prefijos permitidos se establece en 22.0.0.0/24, no recibe ninguna ruta porque 22.0.0.0/24 es diferente o más amplia que 10.0.0.0/16.
-
Cuando la lista de prefijos permitidos se establece en 10.0.0.0/24, no recibe ninguna ruta porque 10.0.0.0/24 es diferente o más amplia que 10.0.0.0/16.
-
Cuando la lista de prefijos permitidos se establece en 10.0.0.0/15, no recibe 10.0.0.0/16 porque la dirección IP es más amplia que 10.0.0.0/16.
Cuando elimina o agrega un prefijo permitido, el tráfico que no lo utiliza no se ve afectado. Durante las actualizaciones, el estado cambia de associated
a updating
. La modificación de un prefijo existente solo puede retrasar el tráfico que utiliza ese prefijo.
Asociaciones de la puerta de enlace de tránsito
En el caso de una asociación de puerta de enlace de tránsito, aprovisione la lista de prefijos permitidos de la puerta de enlace de Direct Connect. La lista enruta el tráfico en las instalaciones hacia o desde una puerta de enlace de Direct Connect, incluso cuando las VPC conectadas a la puerta de enlace de tránsito no tengan CIDR asignados. Los prefijos permitidos funcionan de forma diferente en función del tipo de puerta de enlace:
-
En el caso de las asociaciones de puerta de enlace de tránsito, solo se anunciarán en las instalaciones los prefijos permitidos ingresados. Se mostrarán como originarios del ASN de la puerta de enlace de Direct Connect.
-
En el caso de las puertas de enlace privadas virtuales, los prefijos permitidos ingresados actúan como un filtro para admitir CIDR iguales o menores.
Considere el escenario en que tiene una VPC con un CIDR 10.0.0.0/16 asociado a una puerta de enlace de tránsito.
-
Cuando la lista de prefijos permitidos se establece en 22.0.0.0/24, recibe 22.0.0.0/24 a través de BGP en su interfaz virtual de tránsito. No recibe 10.0.0.0/16 porque aprovisionamos directamente los prefijos que se encuentran en la lista de prefijos permitidos.
-
Cuando la lista de prefijos permitidos se establece en 10.0.0.0/24, recibe 10.0.0.0/24 a través de BGP en su interfaz virtual de tránsito. No recibe 10.0.0.0/16 porque aprovisionamos directamente los prefijos que se encuentran en la lista de prefijos permitidos.
-
Cuando la lista de prefijos permitidos se establece en 10.0.0.0/8, recibe 10.0.0.0/8 a través de BGP en su interfaz virtual de tránsito.
No se permiten las superposiciones de prefijos permitidos cuando hay varias puertas de enlace de tránsito asociadas a una puerta de enlace de Direct Connect. Por ejemplo, si tiene una puerta de enlace de tránsito con una lista de prefijos permitidos que incluye 10.1.0.0/16 y una segunda puerta de enlace de tránsito con una lista de prefijos permitidos que incluye 10.2.0.0/16 y 0.0.0.0/0, no puede establecer las asociaciones de la segunda puerta de enlace de tránsito en 0.0.0.0/0. Como 0.0.0.0/0 incluye todas las redes IPv4, no puede configurar 0.0.0.0/0 si hay varias puertas de enlace de tránsito asociadas a una puerta de enlace de Direct Connect. Se devuelve un error que indica que las rutas permitidas se superponen a una o más rutas permitidas existentes en la puerta de enlace de Direct Connect.
Cuando elimina o agrega un prefijo permitido, el tráfico que no lo utiliza no se ve afectado. Durante las actualizaciones, el estado cambia de associated
a updating
. La modificación de un prefijo existente solo puede retrasar el tráfico que utiliza ese prefijo.
Ejemplo: Prefijos permitidos en una configuración de puerta de enlace de tránsito
Considere la configuración en la que hay instancias en dos regiones de AWS diferentes que necesitan acceder al centro de datos corporativo. Puede utilizar los siguientes recursos para esta configuración:
-
Una puerta de enlace de tránsito en cada región.
-
Una conexión de intercambio de tráfico de puerta de enlace de tránsito.
-
Una puerta de enlace de Direct Connect.
-
Una asociación de puerta de enlace de tránsito entre una de las puertas de enlace de tránsito (la de us-east-1) y la puerta de enlace de Direct Connect.
-
Una interfaz virtual de tránsito desde la ubicación en las instalaciones y la ubicación de AWS Direct Connect.
Configure las siguientes opciones para los recursos.
-
Puerta de enlace de Direct Connect: establezca el ASN en 65030. Para obtener más información, consulte Crear una puerta de enlace de Direct Connect.
-
Interfaz virtual de tránsito: establezca la VLAN en 899 y el ASN en 65020. Para obtener más información, consulte Crear una interfaz virtual de tránsito en la puerta de enlace de Direct Connect.
-
Asociación de la puerta de enlace de Direct Connect con la puerta de enlace de tránsito: establezca los prefijos permitidos en 10.0.0.0/8.
Este bloque de CIDR cubre ambos bloques de CIDR de la VPC. Para obtener más información, consulte Asociar una puerta de enlace de tránsito a Direct Connect o desasociarla de este..
-
Ruta de la VPC: para enrutar el tráfico desde la VPC 10.2.0.0, cree una ruta en la tabla de enrutamiento de la VPC que tenga un destino de 0.0.0.0/0 y el ID de la puerta de enlace de tránsito como destino. Para obtener más información sobre el enrutamiento a la puerta de enlace de tránsito, consulte Enrutamiento de una puerta de enlace en la Guía del usuario de Amazon VPC.