Tablas de ruteo - Amazon Virtual Private Cloud

Tablas de ruteo

Las tablas de ruteo contienen conjuntos de reglas, denominadas rutas, que se usan para determinar adónde se dirige el tráfico de red desde su subred o gateway.

Conceptos de las tablas de enrutamiento

A continuación se enumeran los conceptos clave de las tablas de ruteo.

  • Tabla de ruteo principal: la tabla de ruteo que viene de forma automática con su VPC. Controla el direccionamiento de todas las subredes que no están explícitamente asociadas a ninguna otra tabla de ruteo.

  • Tabla de ruteo personalizada: una tabla de ruteo que se crea para la VPC.

  • Asociación perimetral: una tabla de enrutamiento que se utiliza para enrutar el tráfico de la VPC entrante a un dispositivo. Asocie una tabla de ruteo a la gateway de Internet o a la gateway privada virtual y especifique la interfaz de red del dispositivo como objetivo para el tráfico de la VPC.

  • Asociación de tabla de ruteo: la asociación entre una tabla de ruteo y una subred, gateway de Internet o gateway privada virtual.

  • Tabla de ruteo de subred: una tabla de ruteo asociada a una subred.

  • Tabla de ruteo de gateway: tabla de ruta asociada a una gateway de Internet o gateway privada virtual.

  • Tabla de ruteo de gateway local: una tabla de ruteo asociada a una gateway local de Outpost. Para obtener más información sobre las gateways locales, consulte Gateways locales en la Guía del usuario de AWS Outposts.

  • Destination (Destino) Rango de direcciones IP a las que desea que vaya el tráfico (CIDR de destino). Por ejemplo, una red corporativa externa con un CIDR 172.16.0.0/12.

  • Propagación: la propagación de rutas permite que una gateway privada virtual propague rutas automáticamente a las tablas de enrutamiento. Esto significa que no es necesario introducir manualmente rutas de VPN en las tablas de ruteo. Para obtener más información sobre las opciones de enrutamiento de VPN, consulte Opciones de enrutamiento de Site-to-Site VPN en la Guía del usuario de Site-to-Site VPN.

  • Target (Objetivo): Puerta de enlace, interfaz de red o conexión a través de la cual enviar el tráfico de destino; por ejemplo, una gateway de internet.

  • Ruta local: ruta predeterminada para la comunicación dentro de la VPC.

Por ver opciones de enrutamiento de ejemplo, consulte Opciones de enrutamiento de ejemplo.

Cómo funcionan las tablas de enrutamiento

Su VPC tiene un enrutador implícito y utiliza las tablas de ruteo para controlar dónde se dirige el tráfico de red. Cada subred de la VPC debe estar asociada a una tabla de ruteo que controla el direccionamiento de la subred (tabla de ruteo de la subred). Puede asociar de forma explícita una subred con una tabla de ruteo particular. De lo contrario, la subred se asocia de forma implícita con la tabla de ruteo principal. La subred solo puede asociarse a una tabla de ruteo a la vez. Sin embargo, puede asociar varias subredes a la misma tabla de ruteo de la subred.

Puede asociar de forma opcional una tabla de ruteo a una gateway de Internet o a una gateway privada virtual (tabla de ruteo de gateway). Esto le permite especificar reglas de direccionamiento para el tráfico que entra en su VPC a través de la gateway. Para obtener más información, consulte Tablas de ruteo de gateway.

Existe una cuota en el número de tablas de ruteo que puede crear por VPC. Existe también una cuota en el número de rutas que puede añadir por tabla de ruteo. Para obtener más información, consulte Cuotas de Amazon VPC.

Rutas

Cada ruta en una tabla especifica un destino y un objetivo. Por ejemplo, para permitir que su subred acceda a Internet a través de una gateway de Internet, añada la siguiente ruta a su tabla de ruteo de la subred.

Destino Objetivo
0.0.0.0/0 igw-12345678901234567

El destino de la ruta es 0.0.0.0/0, que representa todas las direcciones IPv4. El objetivo es la gateway de Internet que se conecta a su VPC.

Los bloques de CIDR para las direcciones IPv4 e IPv6 se tratan de forma individual. Por ejemplo, una ruta con un CIDR de destino de 0.0.0.0/0 no incluye de forma automática todas las direcciones IPv6. Por ello, debe crear una ruta con un CIDR de destino de ::/0 para todas las direcciones IPv6.

Cada tabla de ruteo contiene una ruta local para la comunicación con la VPC. Esta ruta se agrega de forma predeterminada a todas las tablas de ruteo. Si la VPC tiene varios bloques de CIDR IPv4, las tablas de ruteo contienen una ruta local para CAD bloque de CIDR IPv4. Si ha asociado un bloque de CIDR IPv6 a su VPC, las tablas de ruteo contendrán una ruta local para el bloque de CIDR IPv6. No puede modificar ni eliminar estas rutas en una tabla de ruteo de la subred o en la tabla de ruteo principal.

Para obtener más información acerca de las rutas y las rutas locales en una tabla de ruteo de la gateway, consulte Tablas de ruteo de gateway.

Si su ruta tiene varias rutas, para determinar cómo dirigir tráfico, se utiliza la ruta más específica que coincida con el tráfico en cuestión (coincidencia del prefijo más largo).

En el siguiente ejemplo, se ha asociado un bloque de CIDR IPv6 a su VPC. En su tabla de ruteo:

  • El tráfico IPv6 destinado a permanecer en la VPC (2001:db8:1234:1a00::/56) se gestiona con la ruta Local y se direcciona dentro de la VPC.

  • El tráfico IPv4 e IPv6 se trata de manera individual; por lo tanto, todo el tráfico IPv6 (excepto el tráfico de la VPC) se direcciona a la gateway de Internet solo de salida.

  • Hay una ruta para el tráfico IPv4 172.31.0.0/16 que apunta a una interconexión.

  • Hay una ruta para todo el tráfico IPv4 (0.0.0.0/0) que apunta a una gateway de Internet.

  • Hay una ruta para todo el tráfico IPv6 (::/0) que apunta a una gateway de Internet de solo salida.

Destino Objetivo
10.0.0.0/16 Local
2001:db8:1234:1a00::/56 Local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567
::/0 eigw-aabbccddee1122334

Si hace referencia con frecuencia al mismo conjunto de bloques CIDR en sus recursos de AWS, puede crear una lista de prefijos administrada por el cliente para agruparlos. A continuación, puede especificar la lista de prefijos como destino en la entrada de la tabla de ruteo.

Tabla de enrutamiento principal

Al crear una VPC, esta cuenta de manera automática con una tabla de ruteo principal. La tabla de ruteo principal controla el direccionamiento de todas las subredes que no están explícitamente asociadas a ninguna otra tabla de ruteo. En la página Route Tables (Tablas de ruteo) de la consola de Amazon VPC, podrá ver la tabla de ruteo principal de las VPC si busca el valor Yes (Sí) en la columna Main (Principal).

De forma predeterminada, cuando se crea una VPC no predeterminada, la tabla de ruteo principal contiene sólo una ruta local. Cuando utiliza el asistente de la VPC en la consola para crear una VPC no predeterminada con una gateway NAT o una gateway privada virtual, el asistente añade de forma auto mática rutas a la tabla de ruteo principal para esas gateways.

De este modo, podrá añadir, quitar y modificar rutas en la tabla de ruteo principal. No puede crear una ruta más específica que la ruta local. No puede eliminar la tabla de ruteo principal, pero puede sustituir la tabla de ruteo principal por una tabla de ruteo de la subred personalizada que haya creado. No puede establecer una tabla de ruteo de gateway como la tabla de ruta principal.

También podrá asociar de manera explícita una subred a la tabla de ruteo principal incluso si ya está asociada de manera implícita. Es posible que desee hacerlo si cambia qué tabla es la tabla de ruteo principal. Cuando modifica la tabla que se considerará como tabla de ruteo principal, también modifica la opción predeterminada de las nuevas subredes adicionales o para las subredes que no están explícitamente asociadas a ninguna otra tabla de ruteo. Para obtener más información, consulte Sustituir la tabla de enrutamiento principal.

Tablas de enrutamiento personalizadas

De forma predeterminada, una tabla de ruteo personalizada está vacía y agrega rutas según sea necesario. Cuando utiliza el asistente de la VPC en la consola para crear una VPC con una gateway de Internet, el asistente crea una tabla de ruteo personalizada y agrega una ruta a la gateway de Internet. Una forma de proteger la VPC es dejar la tabla de ruteo principal en su estado predeterminado original. Después, asocie de forma explícita cada nueva subred que cree a una de las tablas de ruteo personalizadas que haya creado. De este modo, se asegurará de que controla de manera explícita el modo en que cada subred direcciona el tráfico.

De este modo, podrá añadir, quitar y modificar rutas en la tabla de ruteo personalizada. Sólo puede eliminar una tabla de ruteo personalizada si no tiene asociaciones.

Asociar una subred a la tabla de enrutamiento

Cada subred de su VPC debe estar asociada a una tabla de ruteo. Una subred se puede asociar de forma explícita a la tabla de ruteo personalizada o de manera implícita o explícita a la tabla de ruteo principal. Para obtener más información sobre la visualización de las asociaciones de la subred y la tabla de ruteo, consulte Determinar las subredes y/o gateways asociadas explícitamente a una tabla.

Las subredes que se encuentran en VPC asociadas a Outposts pueden tener un tipo de objetivo adicional de una gateway local. Esta es la única diferencia de direccionamiento con respecto a las subredes que no son de Outposts.

No se puede asociar una subred a una tabla de ruteo si se aplica alguna de las siguientes condiciones:

  • La tabla de ruteo contiene una ruta existente que es más específica que la ruta local predeterminada.

  • Se ha sustituido el objetivo de la ruta local predeterminada.

Ejemplo 1: asociación implícita y explícita de la subred

El diagrama siguiente muestra el direccionamiento de una VPC con una gateway de Internet, una gateway privada virtual, una subred pública y una subred de solo VPN. La tabla de ruteo principal tiene una ruta a la gateway privada virtual. La subred pública tiene asociada de forma explícita una tabla de ruteo personalizada. La tabla de ruteo personalizada tiene una ruta hacia Internet (0.0.0.0/0) a través de la gateway de Internet.


                    Tabla de ruteo principal y tabla personalizada

Si crea una nueva subred en esta VPC, esta se asociará automáticamente de forma implícita a la tabla de ruteo principal que dirige tráfico a la gateway privada virtual. Si establece la configuración inversa (en la que la tabla de ruteo principal tiene una ruta a la gateway de Internet y la tabla de ruteo personalizada tiene una ruta a la gateway privada virtual), la nueva subred tendría que disponer de manera automática de una ruta a la gateway de Internet.

Ejemplo 2: sustitución de la tabla de enrutamiento principal

Es posible que desee realizar cambios en la tabla de ruteo principal. Para evitar cualquier interrupción en el tráfico, le recomendamos que pruebe primero los cambios de la ruta mediante una tabla de ruteo personalizada. De este modo, cuando esté satisfecho con las pruebas, puede sustituir la tabla de ruteo principal con la nueva tabla personalizada.

El diagrama siguiente muestra una VPC con dos subredes asociadas de manera implícita a una tabla de ruteo principal (tabla de ruteo A) y una tabla de ruteo personalizada (tabla de ruteo B) que no está asociada a ninguna subred.


                    Reemplazo de la tabla principal: inicio

Puede crear una asociación explícita entre la subred 2 y la tabla de ruteo B.


                    Reemplazo de la tabla principal: tabla nueva

Una vez probada la tabla de ruteo B, podrá convertirla en tabla de ruteo principal. Tenga en cuenta que la subred 2 aún tiene una asociación explícita con la tabla de ruteo B y que la subred 1 tiene una asociación implícita con la tabla de ruteo B porque es la nueva tabla de ruteo principal. La tabla de ruteo A ha dejado de utilizarse.


                    Reemplazo de la tabla principal: reemplazo

Si desasocia la subred 2 de la tabla de ruteo B, seguirá existiendo una asociación implícita entre la subred 2 y la tabla de ruteo B. Por lo tanto, si ya no necesita la tabla de ruteo A, puede eliminarla.


                    Reemplazo de la tabla principal: desasociación

Tablas de ruteo de gateway

Puede asociar una tabla de ruteo a una gateway de Internet o a una gateway privada virtual. Cuando una tabla de ruteo está asociada a una gateway, se denomina tabla de ruteo de gateway. Puede crear una tabla de ruteo de gateway para el control detallado de la vía de direccionamiento del tráfico que entra a su VPC. Por ejemplo, puede interceptar el tráfico que entra en la VPC a través de una gateway de Internet redirigiendo ese tráfico a un dispositivo middlebox (como un dispositivo de seguridad) de la VPC.

Una tabla de enrutamiento de gateway admite rutas en las que el destino es local (la ruta local predeterminada) o una interfaz de red elástica (interfaz de red) en la VPC que está asociada al dispositivo middlebox. Cuando el objetivo es una interfaz de red, se permiten los siguientes destinos:

  • Todo el bloque de CIDR IPv4 o IPv6 de su VPC. En este caso, sustituye el objetivo de la ruta local predeterminada.

  • Todo el bloque de CIDR IPv4 o IPv6 de una subred en su VPC. Es una ruta más específica que la ruta predeterminada local.

Si cambia el objetivo de la ruta local en una tabla de ruteo de gateway a una interfaz de red en su VPC, puede restaurarlo más adelante al objetivo local predeterminado. Para obtener más información, consulte Reemplazar y restaurar el destino de una ruta local.

En la siguiente tabla de ruteo de gateway, el tráfico destinado a una subred con el bloque de CIDR 172.31.0.0/20 se direcciona a una interfaz de red específica. El tráfico destinado a todas las demás subredes de la VPC utiliza la ruta local.

Destino Objetivo
172.31.0.0/16 Local
172.31.0.0/20 eni-id

En la siguiente tabla de ruteo de gateway, el objetivo de la ruta local se sustituye por un ID de interfaz de red. El tráfico destinado a todas las subredes de la VPC se direcciona a la interfaz de red.

Destino Objetivo
172.31.0.0/16 eni-id

Reglas y consideraciones

No se puede asociar una tabla de ruteo con una gateway si se aplica alguna de las siguientes condiciones:

  • La tabla de ruteo contiene rutas existentes con objetivos distintos a una interfaz de red o la ruta local predeterminada.

  • La tabla de ruteo contiene rutas existentes a los bloques de CIDR fuera de los rangos de la VPC.

  • La propagación de rutas está habilitada para la tabla de ruteo.

Además, se aplican las siguientes reglas y consideraciones:

  • No puede agregar rutas a ningún bloque de CIDR fuera de los rangos de la VPC, incluidos rangos mayores que los bloques de CIDR de VPC individuales.

  • Sólo se puede especificar local o una interfaz de red como destino. No puede especificar ningún otro tipo de destino, incluidas las direcciones IP de host individuales.

  • No se puede especificar una lista de prefijos como destino.

  • No puede utilizar una tabla de ruteo de gateway para controlar o interceptar el tráfico fuera de la VPC, por ejemplo, el tráfico a través de una gateway de tránsito conectada. Puede interceptar el tráfico que entra en la VPC y redirigirlo a otro objetivo en la misma VPC solamente.

  • Para asegurarse de que el tráfico llega al dispositivo middlebox, la interfaz de red de destino debe estar asociada a una instancia en ejecución. Para el tráfico que fluye a través de una gateway de Internet, la interfaz de red de destino también debe tener una dirección IP pública.

  • Al configurar el dispositivo Middlebox, tenga en cuenta las consideraciones del dispositivo.

  • Al enrutar el tráfico a través de un dispositivo Middlebox, el tráfico de retorno de la subred de destino debe enrutarse a través del mismo dispositivo. No se admite el enrutamiento asimétrico.

Para obtener un ejemplo de enrutamiento para un dispositivo de seguridad, consulte Enrutar para un dispositivo middlebox en su VPC.

Prioridad de la ruta

Para determinar cómo dirigir tráfico, se utiliza la ruta más específica de su tabla de ruteo que coincida con el tráfico en cuestión (coincidencia del prefijo más largo).

Las rutas a direcciones IPv4 e IPv6 o bloques de CIDR son independientes entre sí. Para determinar cómo dirigir tráfico, se usa la ruta más específica que coincida con el tráfico de IPv4 o IPv6 en cuestión.

Por ejemplo, la siguiente tabla de ruteo de la subred tiene una ruta para el tráfico de Internet IPv4 (0.0.0.0/0), que apunta a una gateway de Internet y una ruta para el tráfico IPv4 172.31.0.0/16 que apunta a una interconexión (pcx-11223344556677889). El tráfico de la subred cuyo destino sea el rango de direcciones IP 172.31.0.0/16 utiliza la interconexión, ya que esta ruta es más específica que la ruta para la gateway de Internet. El tráfico cuyo destino se encuentre en la VPC (10.0.0.0/16) se gestiona con la ruta Local y, por lo tanto, se direcciona dentro de la VPC. El resto de tráfico de la subred usa la gateway de Internet.

Destino Objetivo
10.0.0.0/16 Local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567

Si ha asociado una gateway privada virtual a su VPC y ha habilitado la propagación de rutas en la tabla de ruteo de la subred, las rutas que representen la conexión de Site-to-Site VPN aparecerán automáticamente como rutas propagadas en la tabla de ruteo. Si las rutas propagadas se superponen con rutas estáticas y no se puede aplicar la coincidencia con el prefijo de mayor longitud, las rutas estáticas tienen prioridad sobre las rutas propagadas. Para obtener más información, consulte Tablas de enrutamiento y prioridad de las rutas de VPN en la Guía del usuario de AWS Site-to-Site VPN.

En este ejemplo, la tabla de ruteo tiene una ruta estática a una gateway de Internet (añadida manualmente) y una ruta propagada a una gateway privada virtual. Ambas rutas tienen el destino 172.31.0.0/24. En este caso, todo el tráfico con destino 172.31.0.0/24 se dirige a la gateway de Internet, ya que se trata de una ruta estática con prioridad sobre la ruta propagada.

Destino Objetivo
10.0.0.0/16 Local
172.31.0.0/24 vgw-11223344556677889 (propagada)
172.31.0.0/24 igw-12345678901234567 (estática)

La misma regla se aplica si la tabla de ruteo contiene una ruta estática a cualquiera de los siguientes elementos:

  • Gateway NAT

  • Interfaz de red

  • ID de instancia

  • Punto de enlace de la VPC de la gateway

  • Gateway de tránsito

  • Interconexión de VPC

Si los destinos de las rutas estáticas y propagadas son los mismos, la ruta estática tiene prioridad.

Prioridad de ruta para listas de prefijos

Si la tabla de ruteo hace referencia a una lista de prefijos, se aplican las siguientes reglas:

  • Si la tabla de ruteo contiene una ruta estática que coincide con otra ruta que hace referencia a una lista de prefijos, la ruta estática con el bloque CIDR de destino tiene prioridad.

  • Si la tabla de ruteo contiene una ruta propagada que coincide con una ruta que hace referencia a una lista de prefijos, la ruta que hace referencia a la lista de prefijos tiene prioridad.

  • Si la tabla de ruteo hace referencia a varias listas de prefijos que tienen bloques CIDR superpuestos a diferentes destinos, elegimos aleatoriamente qué ruta tiene prioridad. A partir de entonces, la misma ruta siempre tiene prioridad.

  • Si el bloque CIDR de una entrada de lista de prefijos no es válido para la tabla de enrutamiento, se omite ese bloque CIDR. Por ejemplo, en una tabla de enrutamiento de subred, si la lista de prefijos contiene una entrada con un CIDR más específico que el CIDR de VPC, se omite esa entrada.