Tutorial: Traer el ASN a IPAM - Amazon Virtual Private Cloud
Requisitos previos de incorporación para su ASNPasos del tutorial

Tutorial: Traer el ASN a IPAM

Si sus aplicaciones utilizan direcciones IP fiables y números de sistema autónomo (ASN) que sus socios o clientes han permitido en su red, puede ejecutar estas aplicaciones en AWS sin necesidad de que sus socios o clientes cambien sus listas de permisos.

Un número de sistema autónomo (ASN) es un número único a nivel global que permite identificar un grupo de redes a través de Internet e intercambiar datos de enrutamiento con otras redes de forma dinámica mediante el Protocolo puerta de enlace de borde. Los proveedores de servicios de Internet (ISP), por ejemplo, utilizan los ASN para identificar el origen del tráfico de red. No todas las organizaciones adquieren sus propios ASN, pero en el caso de las organizaciones que sí lo hacen, pueden traer sus ASN a AWS.

Uso de su propio número de sistema autónomo (BYOASN) le permite anunciar las direcciones IP a las que accede AWS con su propio ASN público en lugar de hacerlo con el ASN de AWS. Cuando utiliza BYOASN, el tráfico que se origina en su dirección IP tiene su ASN en lugar del ASN de AWS, y los clientes o socios que han autorizado el tráfico listado en función de su dirección IP y ASN pueden acceder a sus cargas de trabajo.

importante

  • Complete este tutorial con la cuenta de administrador de IPAM en la región de origen de su IPAM.

  • En este tutorial se da por sentado que es el propietario del ASN público que desea traer a IPAM, que ya ha traído un CIDR de BYOIP a AWS y que lo ha aprovisionado a un grupo de su alcance público. Puede incorporar un ASN a IPAM en cualquier momento, pero para utilizarlo tiene que asociarlo a un CIDR que haya traído a su cuenta de AWS. En este tutorial se asume que ya ha realizado dichas acciones. Para obtener más información, consulte Tutorial: incorpore sus direcciones IP a IPAM.

  • Puede cambiar entre su propio ASN o un ASN de AWS sin demora, pero solo puede cambiar de un ASN a su propio ASN de AWS una vez por hora.

  • Si su CIDR de BYOIP se encuentra anunciado actualmente, no es necesario que retire el anuncio para asociarlo a su ASN.

Requisitos previos de incorporación para su ASN

Necesitará lo siguiente para completar este tutorial:

  • Su ASN público de 2 o 4 bytes.

  • Si ya ha traído un rango de direcciones IP a AWS con Tutorial: incorpore sus direcciones IP a IPAM, necesitas el rango de CIDR de direcciones IP. También necesitarás una clave privada. Puede usar la clave privada que creó al cambiar el rango de CIDR de direcciones IP a AWS o puede crear una nueva clave privada como se describe en Crear una clave privada y generar un certificado X.509 en la Guía del usuario de EC2.

  • Al agregar un rango de direcciones IP a AWS con Tutorial: incorpore sus direcciones IP a IPAM, crea un certificado X.509 y lo carga en el registro de RDAP en su RIR. Debe cargar el mismo certificado que ha creado en el registro de RDAP en su RIR para el ASN. Asegúrese de incluir las cadenas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----- antes y después de la parte codificada. Todo este contenido debe estar en una sola línea larga. El procedimiento para actualizar el RDAP depende de su RIR:

    • Para ARIN, utilice el portal del administrador de cuentas para agregar el certificado en la sección “Public Comments” del objeto “Información de la red” que representa el ASN mediante la opción “Modify ASN”. No lo añada a la sección de comentarios de su organización.

    • Para RIPE, agregue el certificado como un nuevo campo “descr” al objeto “aut-num” que representa el ASN. Por lo general, se encuentran en la sección “Mis recursos” del

      portal de bases de datos de RIPE. No lo agregue a la sección de comentarios de la organización ni al campo “Observaciones” del objeto “aut-num”.

    • Para APNIC, envíe el certificado por correo electrónico a helpdesk@apnic.net para agregarla manualmente al campo “Observaciones”. Envíe el correo electrónico con el contacto autorizado de APNIC para el ASN.

Pasos del tutorial

Complete los pasos que se indican a continuación mediante la consola de AWS o la AWS CLI.

AWS Management Console

  1. Abra la consola de IPAM en https://console.aws.amazon.com/ipam/.

  2. En el panel de navegación izquierdo, elija IPAM.

  3. Seleccione su IPAM.

  4. Seleccione la pestaña BYOASN y elija Aprovisionar BYOASN.

  5. Ingrese el ASN. Como resultado, el campo Mensaje se completa de forma automática con el mensaje que necesitará para iniciar sesión en el siguiente paso.

    • El formato del mensaje es el siguiente: CUENTA es su número de cuenta de AWS, ASN es el ASN que trae a IPAM y AAAAMMDD es la fecha de caducidad del mensaje (que, de forma predeterminada, es el último día del mes siguiente). Ejemplo:

      text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"

  6. Copie el mensaje y reemplace la fecha de caducidad por su propio valor si lo desea.

  7. Firme el mensaje con la clave privada. Ejemplo:

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

  8. En Firma, introduzca la firma.

  9. (Opcional) Para aprovisionar otro ASN, elija Aprovisionar otro ASN. Puede aprovisionar hasta 5 ASN. Para aumentar esta cuota, consulte Cuotas de IPAM.

  10. Elija Aprovisionar.

  11. Consulte el proceso de aprovisionamiento en la pestaña BYOASN. Espere a que el Estado cambie de Aprovisionamiento pendiente a Aprovisionado. Los BYOASN en estado de Aprovisionamiento fallido se eliminan de forma automática después de 7 días. Una vez que el ASN se haya aprovisionado de forma correcta, puede asociarlo a un CIDR de BYOIP.

  12. En el panel de navegación izquierdo, elija Grupos.

  13. Seleccione el alcance público. Para obtener más información acerca de los alcances, consulte Cómo funciona IPAM.

  14. Elija un grupo regional que tenga un CIDR de BYOIP aprovisionado. El grupo debe tener Servicio establecido en EC2 y debe contar con una configuración regional.

  15. Elija la pestaña CIDR y seleccione un CIDR de BYOIP.

  16. Seleccione Acciones > Administrar asociaciones de BYOASN.

  17. En los BYOASN asociados, elija el ASN que trajo a AWS. Si tiene varios ASN, puede asociar varios ASN al CIDR de BYOIP. Puede asociar tantos ASN como pueda traer a IPAM. Tenga en cuenta que, de forma predeterminada, puede traer hasta 5 ASN a IPAM. Para obtener más información, consulte Cuotas de IPAM.

  18. Seleccione Asociar.

  19. Espere a que se complete la asociación del ASN. Una vez que el ASN se haya asociado de forma correcta al CIDR de BYOIP, podrá volver a anunciar el CIDR de BYOIP.

  20. Elija la pestaña CIDR agrupados.

  21. Seleccione el CIDR de BYOIP y elija Actions (Acciones) > Advertise (Anunciar). Como resultado, se muestran sus opciones de ASN: el ASN de Amazon y cualquier ASN que haya traído a IPAM.

  22. Seleccione el ASN que haya traído a IPAM y elija Anunciar CIDR. Como resultado, se anuncia el CIDR de BYOIP y el valor en la columna Advertising (anuncio) cambia de Withdrawn (Retirado) a Advertised (Anunciado). En la columna del Número de sistema autónomo se muestra el ASN asociado al CIDR.

  23. (Opcional) Si decide volver a cambiar la asociación del ASN por el de Amazon, seleccione el CIDR de BYOIP y vuelva a elegir Acciones > Anunciar. Esta vez, elija el ASN de Amazon. Puede volver a cambiar al ASN de Amazon en cualquier momento, pero solo puede cambiar a un ASN personalizado una vez cada hora.

Se ha completado el tutorial.

Limpieza

  1. Desasociar el ASN del CIDR de BYOIP

    • Para retirar el CIDR de BYOIP del anuncio, en su grupo de alcance público, elija el CIDR de BYOIP y seleccione Acciones > Retirar del anuncio.

    • Para desasociar el ASN del CIDR, seleccione Acciones > Administrar las asociaciones de BYOASN.

  2. Desaprovisionar el ASN

    • Para desaprovisionar el ASN, en la pestaña BYOASN, elija el ASN y luego Desaprovisionar ASN. Como resultado, se desaprovisiona el ASN. Los BYOASN en estado Desaprovisionado se eliminan de forma automática después de 7 días.

Ha completado la limpieza.

Command line

  1. Aprovisione su ASN incluyendo su ASN y su mensaje de autorización. La firma es el mensaje firmado con tu clave privada.

    aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

  2. Describa su ASN para realizar un seguimiento del proceso de aprovisionamiento. Si la solicitud se realiza de forma correcta, debería ver ProvisionStatus establecido en Aprovisionado al cabo de unos minutos.

    aws ec2 describe-ipam-byoasn

  3. Asocie el ASN a su CIDR de BYOIP. Cualquier ASN personalizado desde el que desee anunciar primero debe estar asociado a su CIDR.

    aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  4. Describa su CIDR para realizar un seguimiento del proceso de asociación.

    aws ec2 describe-byoip-cidrs --max-results 10

  5. Anuncie el CIDR con su ASN. Si el CIDR ya se ha anunciado, se cambiará el ASN de origen del ASN de Amazon al suyo.

    aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  6. Describa su CIDR para ver cómo el estado del ASN cambia de asociado a anunciado.

    aws ec2 describe-byoip-cidrs --max-results 10

Se ha completado el tutorial.

Limpieza

  1. Realice una de las acciones siguientes:

    • Para retirar únicamente su anuncio de ASN y volver a utilizar los ASN de Amazon mientras se mantiene el CIDR anunciado, debe llamar a advertise-byoip-cidr con el valor especial de AWS del parámetro asn. Puede volver a cambiar al ASN de Amazon en cualquier momento, pero solo puede cambiar a un ASN personalizado una vez cada hora.

      aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n

    • Para retirar su anuncio del CIDR y ASN de forma simultánea, puede llamar a withdraw-byoip-cidr.

      aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n

  2. Para eliminar su ASN, primero debe desasociarlo de su CIDR de BYOIP.

    aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  3. Una vez que su ASN se haya disociado de todos los CIDR de BYOIP a los que lo asoció, puede desaprovisionarlo.

    aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345

  4. El CIDR de BYOIP también se puede desaprovisionar una vez que se hayan eliminado todas las asociaciones de ASN.

    aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

  5. Confirme el desaprovisionamiento.

    aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

Ha completado la limpieza.