Administración de tablas de enrutamiento para la VPC - Amazon Virtual Private Cloud

Administración de tablas de enrutamiento para la VPC

Las tablas de ruteo contienen conjuntos de reglas, denominadas rutas, que se usan para determinar adónde se dirige el tráfico de red desde su subred o gateway.

Conceptos de las tablas de enrutamiento

A continuación se enumeran los conceptos clave de las tablas de ruteo.

  • Tabla de enrutamiento principal: la tabla de enrutamiento que viene de forma automática con la VPC. Controla el direccionamiento de todas las subredes que no están explícitamente asociadas a ninguna otra tabla de ruteo.

  • Tabla de enrutamiento personalizada: una tabla de enrutamiento que se crea para la VPC.

  • Destino: el intervalo de direcciones IP a las que desea que vaya el tráfico (CIDR de destino). Por ejemplo, una red corporativa externa con un CIDR 172.16.0.0/12.

  • Destino: la gateway, interfaz de red o conexión a través de la cual enviar el tráfico de destino, por ejemplo, una gateway de Internet.

  • Asociación de tabla de enrutamiento: la asociación entre una tabla de enrutamiento y una subred, gateway de Internet o gateway privada virtual.

  • Tabla de enrutamiento de subred: una tabla de enrutamiento asociada con una subred.

  • Ruta local: una ruta predeterminada para la comunicación dentro de la VPC.

  • Propagación: la propagación de rutas permite que una gateway privada virtual propague rutas automáticamente a las tablas de enrutamiento. Esto significa que no es necesario introducir manualmente rutas de VPN en las tablas de ruteo. Para obtener más información acerca de las opciones de enrutamiento de VPN, consulte Opciones de enrutamiento de Site-to-Site VPN en la Guía del usuario de Site-to-Site VPN.

  • Tabla de enrutamiento de gateway: una tabla de enrutamiento asociada con una gateway de Internet o gateway privada virtual.

  • Asociación de borde: una tabla de enrutamiento que se utiliza para enrutar el tráfico de VPC entrante a un dispositivo. Asocie una tabla de ruteo a la gateway de Internet o a la gateway privada virtual y especifique la interfaz de red del dispositivo como objetivo para el tráfico de la VPC.

  • Tabla de enrutamiento de la transit gateway: una tabla de enrutamiento asociada con una transit gateway. Para obtener más información, consulte Tablas de enrutamiento de Transit Gateway en Transit Gateways de Amazon VPC.

  • Tabla de enrutamiento de gateway local: una tabla de enrutamiento asociada con una gateway local de Outposts. Para obtener más información, consulte Gateways locales en la Guía del usuario de AWS Outposts.

Tablas de enrutamiento de subred

Su VPC tiene un enrutador implícito y utiliza las tablas de ruteo para controlar dónde se dirige el tráfico de red. Cada subred de la VPC debe estar asociada a una tabla de ruteo que controla el direccionamiento de la subred (tabla de ruteo de la subred). Puede asociar de forma explícita una subred con una tabla de ruteo particular. De lo contrario, la subred se asocia de forma implícita con la tabla de ruteo principal. La subred solo puede asociarse a una tabla de ruteo a la vez. Sin embargo, puede asociar varias subredes a la misma tabla de ruteo de la subred.

Routes

Cada ruta en una tabla especifica un destino y un objetivo. Por ejemplo, para permitir que su subred acceda a Internet a través de una gateway de Internet, añada la siguiente ruta a su tabla de ruteo de la subred. El destino de la ruta es 0.0.0.0/0, que representa todas las direcciones IPv4. El objetivo es la gateway de Internet que se conecta a su VPC.

Destino Objetivo
0.0.0.0/0 igw-id

Los bloques de CIDR para las direcciones IPv4 e IPv6 se tratan de forma individual. Por ejemplo, una ruta con un CIDR de destino de 0.0.0.0/0 no incluye de forma automática todas las direcciones IPv6. Por ello, debe crear una ruta con un CIDR de destino de ::/0 para todas las direcciones IPv6.

Si hace referencia con frecuencia al mismo conjunto de bloques de CIDR en sus recursos de AWS, puede crear una lista de prefijos administrada por el cliente para agruparlos. A continuación, puede especificar la lista de prefijos como destino en la entrada de la tabla de ruteo.

Cada tabla de ruteo contiene una ruta local para la comunicación con la VPC. Esta ruta se agrega de forma predeterminada a todas las tablas de ruteo. Si la VPC tiene varios bloques de CIDR IPv4, las tablas de ruteo contienen una ruta local para CAD bloque de CIDR IPv4. Si ha asociado un bloque de CIDR IPv6 a su VPC, las tablas de ruteo contendrán una ruta local para el bloque de CIDR IPv6. No puede modificar ni eliminar estas rutas en una tabla de ruteo de la subred o en la tabla de ruteo principal.

Reglas y consideraciones

  • No puede agregar una ruta a sus tablas de enrutamiento que es más específica que la ruta local. El destino debe coincidir con todo el bloque de CIDR IPv4 o IPv6 de una subred en su VPC. El destino debe ser una gateway NAT, una interfaz de red o un punto de enlace del balanceador de carga de la gateway.

  • Si su ruta tiene varias rutas, para determinar cómo dirigir tráfico, se utiliza la ruta más específica que coincida con el tráfico en cuestión (coincidencia del prefijo más largo).

  • Puede agregar dispositivos middlebox a las vías de enrutamiento de su VPC. Para obtener más información, consulte Enrutamiento para un dispositivo middlebox.

Example

En el siguiente ejemplo, suponga que la VPC tiene tanto un bloque de CIDR IPv4 como un bloque de CIDR IPv6. En la tabla de enrutamiento:

  • El tráfico IPv6 destinado a permanecer en la VPC (2001:db8:1234:1a00::/56) se gestiona con la ruta Local y se direcciona dentro de la VPC.

  • El tráfico IPv4 e IPv6 se trata de manera individual; por lo tanto, todo el tráfico IPv6 (excepto el tráfico de la VPC) se direcciona a la gateway de Internet solo de salida.

  • Hay una ruta para el tráfico IPv4 172.31.0.0/16 que apunta a una interconexión.

  • Hay una ruta para todo el tráfico IPv4 (0.0.0.0/0) que apunta a una gateway de Internet.

  • Hay una ruta para todo el tráfico IPv6 (::/0) que apunta a una gateway de Internet de solo salida.

Destino Objetivo
10.0.0.0/16 Local
2001:db8:1234:1a00::/56 Local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567
::/0 eigw-aabbccddee1122334

Tabla de enrutamiento principal

Al crear una VPC, esta cuenta de manera automática con una tabla de ruteo principal. Si una subred no está asociada de forma explícita a una tabla de enrutamiento, se utilizará la tabla de enrutamiento principal de forma predeterminada. En la página Route Tables (Tablas de ruteo) de la consola de Amazon VPC, puede consultar la tabla de enrutamiento principal de la VPC si busca el valor Yes (Sí) en la columna Main (Principal).

De forma predeterminada, cuando se crea una VPC no predeterminada, la tabla de ruteo principal contiene sólo una ruta local. Cuando utiliza el asistente de la VPC en la consola para crear una VPC no predeterminada con una gateway NAT o una gateway privada virtual, el asistente añade de forma auto mática rutas a la tabla de ruteo principal para esas gateways.

Las siguientes reglas se aplican a la tabla de enrutamiento principal:

  • La tabla de enrutamiento principal no se puede eliminar.

  • No puede establecer una tabla de ruteo de gateway como la tabla de ruta principal.

  • Puede reemplazar la tabla de enrutamiento principal por una tabla de enrutamiento de subred personalizada.

  • De este modo, podrá añadir, quitar y modificar rutas en la tabla de ruteo principal.

  • También podrá asociar de manera explícita una subred a la tabla de ruteo principal incluso si ya está asociada de manera implícita.

    Es posible que desee hacerlo si cambia qué tabla es la tabla de ruteo principal. Cuando modifica la tabla que se considerará como tabla de ruteo principal, también modifica la opción predeterminada de las nuevas subredes adicionales o para las subredes que no están explícitamente asociadas a ninguna otra tabla de ruteo. Para obtener más información, consulte Sustituir la tabla de enrutamiento principal.

Tablas de enrutamiento personalizadas

De forma predeterminada, una tabla de ruteo personalizada está vacía y agrega rutas según sea necesario. Cuando utiliza el asistente de la VPC en la consola para crear una VPC con una gateway de Internet, el asistente crea una tabla de ruteo personalizada y agrega una ruta a la gateway de Internet. Una forma de proteger la VPC es dejar la tabla de ruteo principal en su estado predeterminado original. Después, asocie de forma explícita cada nueva subred que cree a una de las tablas de ruteo personalizadas que haya creado. De este modo, se asegurará de que controla de manera explícita el modo en que cada subred direcciona el tráfico.

De este modo, podrá añadir, quitar y modificar rutas en la tabla de ruteo personalizada. Sólo puede eliminar una tabla de ruteo personalizada si no tiene asociaciones.

Asociar una subred a la tabla de enrutamiento

Cada subred de su VPC debe estar asociada a una tabla de ruteo. Una subred se puede asociar de forma explícita a la tabla de ruteo personalizada o de manera implícita o explícita a la tabla de ruteo principal. Para obtener más información sobre la visualización de las asociaciones de la subred y la tabla de enrutamiento, consulte Determinar qué subredes o gateways están asociadas explícitamente a una tabla.

Las subredes que se encuentran en VPC asociadas a Outposts pueden tener un tipo de objetivo adicional de una gateway local. Esta es la única diferencia de direccionamiento con respecto a las subredes que no son de Outposts.

Ejemplo 1: asociación implícita y explícita de la subred

El diagrama siguiente muestra el direccionamiento de una VPC con una gateway de Internet, una gateway privada virtual, una subred pública y una subred de solo VPN. La tabla de ruteo principal tiene una ruta a la gateway privada virtual. La subred pública tiene asociada de forma explícita una tabla de ruteo personalizada. La tabla de ruteo personalizada tiene una ruta hacia Internet (0.0.0.0/0) a través de la gateway de Internet.


                    Tabla de ruteo principal y tabla personalizada

Si crea una nueva subred en esta VPC, esta se asociará automáticamente de forma implícita a la tabla de ruteo principal que dirige tráfico a la gateway privada virtual. Si establece la configuración inversa (en la que la tabla de ruteo principal tiene una ruta a la gateway de Internet y la tabla de ruteo personalizada tiene una ruta a la gateway privada virtual), la nueva subred tendría que disponer de manera automática de una ruta a la gateway de Internet.

Ejemplo 2: sustitución de la tabla de enrutamiento principal

Es posible que desee realizar cambios en la tabla de ruteo principal. Para evitar cualquier interrupción en el tráfico, le recomendamos que pruebe primero los cambios de la ruta mediante una tabla de ruteo personalizada. De este modo, cuando esté satisfecho con las pruebas, puede sustituir la tabla de ruteo principal con la nueva tabla personalizada.

El diagrama siguiente muestra una VPC con dos subredes asociadas de manera implícita a una tabla de ruteo principal (tabla de ruteo A) y una tabla de ruteo personalizada (tabla de ruteo B) que no está asociada a ninguna subred.


                    Reemplazo de la tabla principal: inicio

Puede crear una asociación explícita entre la subred 2 y la tabla de ruteo B.


                    Reemplazo de la tabla principal: tabla nueva

Una vez probada la tabla de ruteo B, podrá convertirla en tabla de ruteo principal. Tenga en cuenta que la subred 2 aún tiene una asociación explícita con la tabla de ruteo B y que la subred 1 tiene una asociación implícita con la tabla de ruteo B porque es la nueva tabla de ruteo principal. La tabla de ruteo A ha dejado de utilizarse.


                    Reemplazo de la tabla principal: reemplazo

Si desasocia la subred 2 de la tabla de ruteo B, seguirá existiendo una asociación implícita entre la subred 2 y la tabla de ruteo B. Por lo tanto, si ya no necesita la tabla de ruteo A, puede eliminarla.


                    Reemplazo de la tabla principal: desasociación

Tablas de ruteo de gateway

Puede asociar una tabla de ruteo a una gateway de Internet o a una gateway privada virtual. Cuando una tabla de ruteo está asociada a una gateway, se denomina tabla de ruteo de gateway. Puede crear una tabla de ruteo de gateway para el control detallado de la vía de direccionamiento del tráfico que entra a su VPC. Por ejemplo, puede interceptar el tráfico que entra en la VPC a través de una gateway de Internet redirigiendo ese tráfico a un dispositivo middlebox (como un dispositivo de seguridad) de la VPC.

Rutas de la tabla de enrutamiento de gateway

Una tabla de enrutamiento de gateway asociada a una gateway de Internet admite enrutamientos con los siguientes destinos:

Una tabla de enrutamientos de gateway asociada a una gateway privada virtual admite rutas con los siguientes destinos:

  • La ruta local predeterminada

  • Una interfaz de red para un dispositivo middlebox

Cuando el destino es punto de enlace del balanceador de carga de gateway o una interfaz de red, se permiten los siguientes destinos:

  • Todo el bloque de CIDR IPv4 o IPv6 de su VPC. En este caso, sustituye el objetivo de la ruta local predeterminada.

  • Todo el bloque de CIDR IPv4 o IPv6 de una subred en su VPC. Es una ruta más específica que la ruta predeterminada local.

Si cambia el objetivo de la ruta local en una tabla de ruteo de gateway a una interfaz de red en su VPC, puede restaurarlo más adelante al objetivo local predeterminado. Para obtener más información, consulte Reemplazar o restaurar el destino de una ruta local.

Example

En la siguiente tabla de ruteo de gateway, el tráfico destinado a una subred con el bloque de CIDR 172.31.0.0/20 se direcciona a una interfaz de red específica. El tráfico destinado a todas las demás subredes de la VPC utiliza la ruta local.

Destino Objetivo
172.31.0.0/16 Local
172.31.0.0/20 eni-id

Example

En la siguiente tabla de ruteo de gateway, el objetivo de la ruta local se sustituye por un ID de interfaz de red. El tráfico destinado a todas las subredes de la VPC se direcciona a la interfaz de red.

Destino Objetivo
172.31.0.0/16 eni-id

Reglas y consideraciones

No se puede asociar una tabla de ruteo con una gateway si se aplica alguna de las siguientes condiciones:

  • La tabla de enrutamiento contiene rutas existentes con objetivos distintos a una interfaz de red, un punto de enlace del balanceador de carga de gateway o la ruta local predeterminada.

  • La tabla de ruteo contiene rutas existentes a los bloques de CIDR fuera de los rangos de la VPC.

  • La propagación de rutas está habilitada para la tabla de ruteo.

Además, se aplican las siguientes reglas y consideraciones:

  • No puede agregar rutas a ningún bloque de CIDR fuera de los rangos de la VPC, incluidos rangos mayores que los bloques de CIDR de VPC individuales.

  • Solo puede especificar como destino una local, un punto de enlace del balanceador de carga de gateway o una interfaz de red. No puede especificar ningún otro tipo de destino, incluidas las direcciones IP de host individuales. Para obtener más información, consulte Opciones de enrutamiento de ejemplo.

  • No puede direccionar el tráfico de una gateway privada virtual a un punto de enlace del balanceador de carga de gateway. Si asocia la tabla de enrutamiento con una gateway privada virtual y agrega una ruta con un punto de enlace del balanceador de carga de gateway como destino, se elimina el tráfico destinado al punto de enlace.

  • No se puede especificar una lista de prefijos como destino.

  • No puede utilizar una tabla de ruteo de gateway para controlar o interceptar el tráfico fuera de la VPC, por ejemplo, el tráfico a través de una transit gateway conectada. Puede interceptar el tráfico que entra en la VPC y redirigirlo a otro objetivo en la misma VPC solamente.

  • Para asegurarse de que el tráfico llega al dispositivo middlebox, la interfaz de red de destino debe estar asociada a una instancia en ejecución. Para el tráfico que fluya a través de una gateway de Internet, la interfaz de red de destino también debe tener una dirección IP pública.

  • Al configurar el dispositivo Middlebox, tenga en cuenta las consideraciones del dispositivo.

  • Al enrutar el tráfico a través de un dispositivo Middlebox, el tráfico de retorno de la subred de destino debe enrutarse a través del mismo dispositivo. No se admite el enrutamiento asimétrico.

  • Las reglas de tabla de enrutamiento se aplican a todo el tráfico que sale de una subred. El tráfico que sale de una subred se define como el tráfico destinado a la dirección MAC del enrutador de gateway de esa subred. El tráfico destinado a la dirección MAC de otra interfaz de red en la subred utiliza el enrutamiento de enlace de datos (capa 2) en lugar de la red (capa 3), por lo que las reglas no se aplican a este tráfico.

Prioridad de la ruta

En general, el tráfico se dirige mediante la ruta mas especifica que concuerde con el tráfico. Esto se conoce como la concordancia de prefijos más larga. Si la tabla de enrutamiento tiene rutas superpuestas o concordantes, se aplican las siguientes reglas:

La concordancia de prefijo más larga

Las rutas a direcciones IPv4 e IPv6 o bloques de CIDR son independientes entre sí. Para determinar cómo dirigir tráfico, se usa la ruta más específica que coincida con el tráfico de IPv4 o IPv6 en cuestión.

En el siguiente ejemplo, la tabla de enrutamiento de la subred tiene una ruta para el tráfico de Internet IPv4 (0.0.0.0/0), que apunta a una gateway de Internet, y una ruta para el tráfico IPv4 172.31.0.0/16 que apunta a una interconexión (pcx-11223344556677889). El tráfico de la subred cuyo destino sea el rango de direcciones IP 172.31.0.0/16 utiliza la interconexión, ya que esta ruta es más específica que la ruta para la gateway de Internet. El tráfico cuyo destino se encuentre en la VPC (10.0.0.0/16) se gestiona con la ruta local y, por lo tanto, se direcciona dentro de la VPC. El resto de tráfico de la subred usa la gateway de Internet.

Destino Objetivo
10.0.0.0/16 local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567

Prioridad de ruta y rutas propagadas

Si ha asociado una gateway privada virtual a la VPC y ha habilitado la propagación de rutas en la tabla de enrutamiento de la subred, las rutas que representan la conexión de Site-to-Site VPN aparecerán automáticamente como rutas propagadas en la tabla de enrutamiento.

Si el destino de una ruta propagada se superpone a la ruta local, la ruta local tiene prioridad incluso si la ruta propagada es más específica. Si el destino de una ruta propagada se superpone a una ruta estática, la ruta estática tiene prioridad.

Si el destino de una ruta propagada es idéntico al destino de una ruta estática, la ruta estática tiene prioridad si el destino es uno de los siguientes:

  • gateway de Internet

  • gateway NAT

  • Interfaz de red

  • ID de instancia

  • Punto de enlace de la VPC de la gateway

  • Transit gateway

  • Interconexión de VPC

  • Punto de enlace del balanceador de carga de gateway

Para obtener más información, consulte Tablas de ruteo y prioridad de las rutas de VPN en la Guía del usuario de AWS Site-to-Site VPN.

En el siguiente ejemplo, la tabla de enrutamiento tiene una ruta estática hacia una gateway de Internet y una ruta propagada hacia una gateway privada virtual. Ambas rutas tienen el destino 172.31.0.0/24. Dado que una ruta estática hacia una gateway de Internet tiene prioridad, todo el tráfico destinado a172.31.0.0/24 se dirige a la gateway de Internet.

Destino Objetivo Propagado
10.0.0.0/16 local No
172.31.0.0/24 vgw-11223344556677889
172.31.0.0/24 igw-12345678901234567 No

Listas de prefijos y prioridad de ruta

Si la tabla de ruteo hace referencia a una lista de prefijos, se aplican las siguientes reglas:

  • Si la tabla de enrutamiento contiene una ruta estática con un bloque CIDR de destino que se superpone a una ruta estática con una lista de prefijos, la ruta estática con el bloque de CIDR tiene prioridad.

  • Si la tabla de enrutamiento contiene una ruta propagada que se superpone a una ruta con una lista de prefijos, la ruta que hace referencia a la lista de prefijos tiene prioridad.

  • Si la tabla de ruteo hace referencia a varias listas de prefijos que tienen bloques CIDR superpuestos a diferentes destinos, elegimos aleatoriamente qué ruta tiene prioridad. A partir de entonces, la misma ruta siempre tiene prioridad.

  • Si el bloque CIDR de una entrada de lista de prefijos no es válido para la tabla de enrutamiento, se omite ese bloque CIDR.

Cuotas de la tabla de enrutamiento

Existe una cuota en el número de tablas de ruteo que puede crear por VPC. Existe también una cuota en el número de rutas que puede añadir por tabla de ruteo. Para obtener más información, consulte Cuotas de Amazon VPC.