Configurar tablas de enrutamiento
Las tablas de enrutamiento contienen conjuntos de reglas, denominadas rutas, que determinan adónde se dirige el tráfico de red desde la subred o puerta de enlace.
Contenido
Conceptos de las tablas de enrutamiento
A continuación se enumeran los conceptos clave de las tablas de ruteo.
-
Tabla de enrutamiento principal: la tabla de enrutamiento que viene de forma automática con la VPC. Controla el direccionamiento de todas las subredes que no están explícitamente asociadas a ninguna otra tabla de enrutamiento.
-
Tabla de enrutamiento personalizada: una tabla de enrutamiento que se crea para la VPC.
-
Destino: el intervalo de direcciones IP a las que desea que vaya el tráfico (CIDR de destino). Por ejemplo, una red corporativa externa con un CIDR
172.16.0.0/12. -
Destino: la puerta de enlace, interfaz de red o conexión a través de la cual enviar el tráfico de destino, por ejemplo, una puerta de enlace de Internet.
-
Asociación de tabla de enrutamiento: la asociación entre una tabla de enrutamiento y una subred, puerta de enlace de Internet o puerta de enlace privada virtual.
-
Tabla de enrutamiento de subred: una tabla de enrutamiento asociada con una subred.
-
Ruta local: una ruta predeterminada para la comunicación dentro de la VPC.
-
Propagación: si ha asociado una puerta de enlace privada virtual a la VPC y ha habilitado la propagación de rutas, agregamos automáticamente rutas para la conexión de su VPN a las tablas de enrutamiento de la subred. Esto significa que no es necesario agregar o eliminar rutas de VPN manualmente. Para obtener más información, consulte Opciones de enrutamiento de Site-to-Site VPN en la Guía del usuario de Site-to-Site VPN.
-
Tabla de enrutamiento de puerta de enlace: una tabla de enrutamiento asociada con una puerta de enlace de Internet o puerta de enlace privada virtual.
-
Asociación de borde: una tabla de enrutamiento que se utiliza para enrutar el tráfico de VPC entrante a un dispositivo. Asocie una tabla de enrutamiento a la puerta de enlace de Internet o a la puerta de enlace privada virtual y especifique la interfaz de red del dispositivo como objetivo para el tráfico de la VPC.
-
Tabla de enrutamiento de la transit puerta de enlace: una tabla de enrutamiento asociada con una transit puerta de enlace. Para obtener más información, consulte Tablas de enrutamiento de Transit Gateway en Transit Gateways de Amazon VPC.
-
Tabla de enrutamiento de puerta de enlace local: una tabla de enrutamiento asociada con una puerta de enlace local de Outposts. Para obtener más información, consulte Gateways locales en la Guía del usuario de AWS Outposts.
Tablas de enrutamiento de subred
Su VPC tiene un enrutador implícito y utiliza las tablas de ruteo para controlar dónde se dirige el tráfico de red. Cada subred de la VPC debe estar asociada a una tabla de enrutamiento que controla el direccionamiento de la subred (tabla de enrutamiento de la subred). Puede asociar de forma explícita una subred con una tabla de enrutamiento particular. De lo contrario, la subred se asocia de forma implícita con la tabla de enrutamiento principal. La subred solo puede asociarse a una tabla de enrutamiento a la vez. Sin embargo, puede asociar varias subredes a la misma tabla de enrutamiento de la subred.
Contenido
Rutas
Cada ruta en una tabla especifica un destino y un objetivo. Por ejemplo, para permitir que su subred acceda a Internet a través de una puerta de enlace de Internet, añada la siguiente ruta a su tabla de enrutamiento de la subred. El destino de la ruta es 0.0.0.0/0, que representa todas las direcciones IPv4. El objetivo es la puerta de enlace de Internet que se conecta a su VPC.
| Destino | Objetivo |
|---|---|
| 0.0.0.0/0 | igw-id |
Los bloques de CIDR para las direcciones IPv4 e IPv6 se tratan de forma individual. Por ejemplo, una ruta con un CIDR de destino de 0.0.0.0/0 no incluye de forma automática todas las direcciones IPv6. Por ello, debe crear una ruta con un CIDR de destino de ::/0 para todas las direcciones IPv6.
Si hace referencia con frecuencia al mismo conjunto de bloques de CIDR en sus recursos de AWS, puede crear una lista de prefijos administrada por el cliente para agruparlos. A continuación, puede especificar la lista de prefijos como destino en la entrada de la tabla de enrutamiento.
Cada tabla de enrutamiento contiene una ruta local para la comunicación con la VPC. Esta ruta se agrega de forma predeterminada a todas las tablas de ruteo. Si la VPC tiene varios bloques de CIDR IPv4, las tablas de ruteo contienen una ruta local para CAD bloque de CIDR IPv4. Si ha asociado un bloque de CIDR IPv6 a su VPC, las tablas de ruteo contendrán una ruta local para el bloque de CIDR IPv6. Puede reemplazar o restaurar el destino de cada ruta local según sea necesario.
Reglas y consideraciones
-
No puede agregar una ruta a sus tablas de enrutamiento que es más específica que la ruta local. El destino debe coincidir con todo el bloque de CIDR IPv4 o IPv6 de una subred en su VPC. El destino debe ser una puerta de enlace NAT, una interfaz de red o un punto de enlace del equilibrador de carga de la puerta de enlace.
-
Si su ruta tiene varias rutas, para determinar cómo dirigir tráfico, se utiliza la ruta más específica que coincida con el tráfico en cuestión (coincidencia del prefijo más largo).
-
No se pueden agregar rutas a direcciones IPv4 que coincidan de forma exacta o que sean un subconjunto del siguiente rango: 169.254.168.0/22. Este rango se encuentra dentro del espacio de direcciones locales de enlace y está reservado para ser utilizado por los servicios de AWS. Por ejemplo, Amazon EC2 utiliza direcciones en este rango para servicios a los que solo se puede acceder desde instancias de EC2, como el servicio de metadatos de instancia (IMDS) y el servidor DNS de Amazon. Puede utilizar un bloque de CIDR que sea mayor que el rango 169.254.168.0/22, pero se solape con este. No obstante, los paquetes destinados a las direcciones de 169.254.168.0/22 no se reenviarán.
-
No se pueden agregar rutas a direcciones IPv6 que coincidan de forma exacta o que sean un subconjunto del siguiente rango: fd00:ec2::/32. Este rango está dentro del espacio de direcciones locales únicas (ULA) y está reservado para que lo utilicen los servicios de AWS. Por ejemplo, Amazon EC2 utiliza direcciones en este rango para servicios a los que solo se puede acceder desde instancias de EC2, como el servicio de metadatos de instancia (IMDS) y el servidor DNS de Amazon. Puede utilizar un bloque de CIDR que sea mayor que el rango fd00:ec2::/32, pero se solape con este. No obstante, los paquetes destinados a las direcciones de fd00:ec2::/32 no se reenviarán.
-
Puede agregar dispositivos middlebox a las vías de enrutamiento de su VPC. Para obtener más información, consulte Enrutamiento para un dispositivo middlebox.
Ejemplo
En el siguiente ejemplo, suponga que la VPC tiene tanto un bloque de CIDR IPv4 como un bloque de CIDR IPv6. El tráfico IPv4 e IPv6 se tratan por separado, como se muestra en la siguiente tabla de enrutamiento.
| Destino | Objetivo |
|---|---|
| 10.0.0.0/16 | Local |
| 2001:db8:1234:1a00::/56 | Local |
| 172.31.0.0/16 | pcx-11223344556677889 |
| 0.0.0.0/0 | igw-12345678901234567 |
| ::/0 | eigw-aabbccddee1122334 |
-
El tráfico IPv4 que se enrutará dentro de la VPC (10.0.0.0/16) está cubierto por la ruta Local.
-
El tráfico IPv6 que se enrutará dentro de la VPC (2001:db8:1234:1a00::/56) está cubierto por la ruta Local.
-
La ruta para 172.31.0.0/16 envía tráfico a una conexión de emparejamiento.
-
La ruta de todo el tráfico IPv4 (0.0.0.0/0) envía el tráfico a una puerta de enlace de Internet. Por lo tanto, todo el tráfico IPv4, excepto el tráfico dentro de la VPC y hacia la interconexión, se enruta a la puerta de enlace de Internet.
-
La ruta para todo el tráfico IPv6 (::/0) envía tráfico a una puerta de enlace de Internet de solo salida. Por lo tanto, todo el tráfico IPv6, excepto el tráfico dentro de la VPC, se enruta a la puerta de enlace de Internet de solo salida.
Tabla de enrutamiento principal
Al crear una VPC, esta cuenta de manera automática con una tabla de enrutamiento principal. Si una subred no está asociada de forma explícita a una tabla de enrutamiento, se utilizará la tabla de enrutamiento principal de forma predeterminada. En la página Route tables (Tablas de enrutamiento) de la consola de Amazon VPC, puede consultar la tabla de enrutamiento de una VPC si busca el valor Yes (Sí) en la columna Main (Principal).
De forma predeterminada, cuando se crea una VPC no predeterminada, la tabla de enrutamiento principal contiene sólo una ruta local. Si Creación de una VPC y elija una puerta de enlace NAT, Amazon VPC añade automáticamente rutas a la tabla de enrutamiento principal de las puertas de enlace.
Las siguientes reglas se aplican a la tabla de enrutamiento principal:
-
De este modo, podrá añadir, quitar y modificar rutas en la tabla de enrutamiento principal.
-
La tabla de enrutamiento principal no se puede eliminar.
-
No puede establecer una tabla de enrutamiento de puerta de enlace como la tabla de enrutamiento principal.
-
Puede reemplazar la tabla de enrutamiento principal asociando una tabla de enrutamiento personalizada con una subred.
-
También podrá asociar de manera explícita una subred a la tabla de enrutamiento principal incluso si ya está asociada de manera implícita.
Es posible que desee hacerlo si cambia qué tabla es la tabla de enrutamiento principal. Cuando modifica la tabla que se considerará como tabla de enrutamiento principal, también modifica la opción predeterminada de las nuevas subredes adicionales o para las subredes que no están explícitamente asociadas a ninguna otra tabla de enrutamiento. Para obtener más información, consulte Sustituir la tabla de enrutamiento principal.
Tablas de enrutamiento personalizadas
De forma predeterminada, una tabla de enrutamiento contiene una ruta local para la comunicación dentro de la VPC. Si Creación de una VPC y elija una subred pública, Amazon VPC crea una tabla de enrutamiento personalizada y agrega una ruta que apunta a la puerta de enlace de Internet. Una forma de proteger la VPC es dejar la tabla de enrutamiento principal en su estado predeterminado original. Después, asocie de forma explícita cada nueva subred que cree a una de las tablas de ruteo personalizadas que haya creado. De este modo, se asegurará de que controla de manera explícita el modo en que cada subred direcciona el tráfico.
De este modo, podrá añadir, quitar y modificar rutas en la tabla de enrutamiento personalizada. Sólo puede eliminar una tabla de enrutamiento personalizada si no tiene asociaciones.
Asociar una subred a la tabla de enrutamiento
Cada subred de su VPC debe estar asociada a una tabla de enrutamiento. Una subred se puede asociar de forma explícita a la tabla de enrutamiento personalizada o de manera implícita o explícita a la tabla de enrutamiento principal. Para obtener más información sobre la visualización de las asociaciones de la subred y la tabla de enrutamiento, consulte Determinar qué subredes o puertas de enlace están asociadas explícitamente.
Las subredes que se encuentran en VPC asociadas a Outposts pueden tener un tipo de objetivo adicional de una puerta de enlace local. Esta es la única diferencia de direccionamiento con respecto a las subredes que no son de Outposts.
Ejemplo 1: asociación implícita y explícita de la subred
El diagrama siguiente muestra el direccionamiento de una VPC con una puerta de enlace de Internet, una puerta de enlace privada virtual, una subred pública y una subred de solo VPN.
La tabla de enrutamiento A es una tabla de enrutamiento personalizada asociada de forma explícita a la subred pública. Tiene una ruta que envía todo el tráfico a la puerta de enlace de Internet, que es lo que convierte a la subred en una subred pública.
| Destino | Objetivo |
|---|---|
CIDR DE VPC |
Local |
| 0.0.0.0/0 | igw-id |
La tabla de enrutamiento B es la tabla de enrutamiento principal. Está asociado implícitamente a la subred privada. Tiene una ruta que envía todo el tráfico a la puerta de enlace privada virtual, pero ninguna ruta a la puerta de enlace de Internet, que es lo que hace que la subred sea una subred solo de VPN. Si crea otra subred en esta VPC y no asocia una tabla de enrutamiento personalizada, la subred también se asociará implícitamente con esta tabla de enrutamiento porque es la tabla de rutas principal.
| Destino | Objetivo |
|---|---|
CIDR DE VPC |
Local |
| 0.0.0.0/0 | vgw-id |
Ejemplo 2: sustitución de la tabla de enrutamiento principal
Es posible que desee realizar cambios en la tabla de enrutamiento principal. Para evitar cualquier interrupción en el tráfico, le recomendamos que pruebe primero los cambios de la ruta mediante una tabla de enrutamiento personalizada. De este modo, cuando esté satisfecho con las pruebas, puede sustituir la tabla de enrutamiento principal con la nueva tabla personalizada.
El siguiente diagrama muestra dos subredes y dos tablas de enrutamiento. La subred A está asociada implícitamente a la tabla de enrutamiento A, la tabla de enrutamiento principal. La subred B está implícitamente asociada con la tabla de enrutamiento a la tabla de enrutamiento B, una tabla de enrutamiento personalizada, no está asociada con ninguna de las subredes.
Para reemplazar la tabla de enrutamiento principal, comience por crear una asociación explícita entre la subred B y la tabla de rutas B. Pruebe la tabla de rutas B.
Una vez probada la tabla de enrutamiento B, podrá convertirla en tabla de enrutamiento principal. La subred B todavía tiene una asociación explícita con la tabla de enrutamiento B. Sin embargo, la subred A ahora tiene una asociación implícita con la tabla de enrutamiento B, porque la tabla de enrutamiento B es la nueva tabla de enrutamiento principal. La tabla de enrutamiento A ya no está asociada a ninguna de las subredes.
(Opcional) Si desasocia la subred B de la tabla de enrutamiento B, aún existe una asociación implícita entre la subred B y la tabla de enrutamiento B. Si ya no necesita la tabla de enrutamiento A, puede eliminarla.
Tablas de ruteo de puerta de enlace
Puede asociar una tabla de enrutamiento a una puerta de enlace de Internet o a una puerta de enlace privada virtual. Cuando una tabla de enrutamiento está asociada a una puerta de enlace, se denomina tabla de enrutamiento de puerta de enlace. Puede crear una tabla de enrutamiento de puerta de enlace para el control detallado de la vía de direccionamiento del tráfico que entra a su VPC. Por ejemplo, puede interceptar el tráfico que entra en la VPC a través de una puerta de enlace de Internet redirigiendo ese tráfico a un dispositivo middlebox (como un dispositivo de seguridad) de la VPC.
Rutas de la tabla de enrutamiento de puerta de enlace
Una tabla de enrutamiento de puerta de enlace asociada a una puerta de enlace de Internet admite enrutamientos con los siguientes destinos:
-
La ruta local predeterminada
-
Un Punto de enlace del equilibrador de carga de puerta de enlace
-
Una interfaz de red para un dispositivo middlebox
Una tabla de enrutamientos de puerta de enlace asociada a una puerta de enlace privada virtual admite rutas con los siguientes destinos:
-
La ruta local predeterminada
-
Un Punto de enlace del equilibrador de carga de puerta de enlace
-
Una interfaz de red para un dispositivo middlebox
Cuando el destino es punto de enlace del equilibrador de carga de puerta de enlace o una interfaz de red, se permiten los siguientes destinos:
-
Todo el bloque de CIDR IPv4 o IPv6 de su VPC. En este caso, sustituye el objetivo de la ruta local predeterminada.
-
Todo el bloque de CIDR IPv4 o IPv6 de una subred en su VPC. Es una ruta más específica que la ruta predeterminada local.
Si cambia el objetivo de la ruta local en una tabla de enrutamiento de puerta de enlace a una interfaz de red en su VPC, puede restaurarlo más adelante al objetivo local predeterminado. Para obtener más información, consulte Reemplazar o restaurar el destino de una ruta local.
Ejemplo
En la siguiente tabla de enrutamiento de puerta de enlace, el tráfico destinado a una subred con el bloque de CIDR 172.31.0.0/20 se direcciona a una interfaz de red específica. El tráfico destinado a todas las demás subredes de la VPC utiliza la ruta local.
| Destino | Objetivo |
|---|---|
| 172.31.0.0/16 | Local |
| 172.31.0.0/20 | eni-id |
Ejemplo
En la siguiente tabla de enrutamiento de puerta de enlace, el objetivo de la ruta local se sustituye por un ID de interfaz de red. El tráfico destinado a todas las subredes de la VPC se direcciona a la interfaz de red.
| Destino | Objetivo |
|---|---|
| 172.31.0.0/16 | eni-id |
Reglas y consideraciones
No se puede asociar una tabla de enrutamiento con una puerta de enlace si se aplica alguna de las siguientes condiciones:
-
La tabla de enrutamiento contiene rutas existentes con objetivos distintos a una interfaz de red, un punto de enlace del equilibrador de carga de puerta de enlace o la ruta local predeterminada.
-
La tabla de enrutamiento contiene rutas existentes a los bloques de CIDR fuera de los rangos de la VPC.
-
La propagación de rutas está habilitada para la tabla de enrutamiento.
Además, se aplican las siguientes reglas y consideraciones:
-
No puede agregar rutas a ningún bloque de CIDR fuera de los rangos de la VPC, incluidos rangos mayores que los bloques de CIDR de VPC individuales.
-
Solo puede especificar como destino una
local, un punto de enlace del equilibrador de carga de puerta de enlace o una interfaz de red. No puede especificar ningún otro tipo de destino, incluidas las direcciones IP de host individuales. Para obtener más información, consulte Opciones de enrutamiento de ejemplo. -
No se puede especificar una lista de prefijos como destino.
-
No puede utilizar una tabla de enrutamiento de puerta de enlace para controlar o interceptar el tráfico fuera de la VPC, por ejemplo, el tráfico a través de una transit puerta de enlace conectada. Puede interceptar el tráfico que entra en la VPC y redirigirlo a otro objetivo en la misma VPC solamente.
-
Para asegurarse de que el tráfico llega al dispositivo middlebox, la interfaz de red de destino debe estar asociada a una instancia en ejecución. Para el tráfico que fluya a través de una puerta de enlace de Internet, la interfaz de red de destino también debe tener una dirección IP pública.
-
Al configurar el dispositivo Middlebox, tenga en cuenta las consideraciones del dispositivo.
-
Al enrutar el tráfico a través de un dispositivo Middlebox, el tráfico de retorno de la subred de destino debe enrutarse a través del mismo dispositivo. No se admite el enrutamiento asimétrico.
-
Las reglas de tabla de enrutamiento se aplican a todo el tráfico que sale de una subred. El tráfico que sale de una subred se define como el tráfico destinado a la dirección MAC del enrutador de puerta de enlace de esa subred. El tráfico destinado a la dirección MAC de otra interfaz de red en la subred utiliza el enrutamiento de enlace de datos (capa 2) en lugar de la red (capa 3), por lo que las reglas no se aplican a este tráfico.
-
No todas las zonas locales admiten la asociación de periferia con puertas de enlace privadas virtuales. Para obtener más información sobre las zonas disponibles, consulte Consideraciones en la Guía del usuario de Zonas locales de AWS.
Prioridad de la ruta
En general, el tráfico se dirige mediante la ruta mas especifica que concuerde con el tráfico. Esto se conoce como la concordancia de prefijos más larga. Si la tabla de enrutamiento tiene rutas superpuestas o concordantes, se aplican las siguientes reglas:
Contenido
La concordancia de prefijo más larga
Las rutas a direcciones IPv4 e IPv6 o bloques de CIDR son independientes entre sí. Para determinar cómo dirigir tráfico, se usa la ruta más específica que coincida con el tráfico de IPv4 o IPv6 en cuestión.
En el siguiente ejemplo, la tabla de enrutamiento de la subred tiene una ruta para el tráfico de Internet IPv4 (0.0.0.0/0), que apunta a una puerta de enlace de Internet, y una ruta para el tráfico IPv4 172.31.0.0/16 que apunta a una interconexión (pcx-11223344556677889). El tráfico de la subred cuyo destino sea el rango de direcciones IP 172.31.0.0/16 utiliza la interconexión, ya que esta ruta es más específica que la ruta para la puerta de enlace de Internet. El tráfico cuyo destino se encuentre en la VPC (10.0.0.0/16) se gestiona con la ruta local y, por lo tanto, se direcciona dentro de la VPC. El resto de tráfico de la subred usa la puerta de enlace de Internet.
| Destino | Objetivo |
|---|---|
| 10.0.0.0/16 | local |
| 172.31.0.0/16 | pcx-11223344556677889 |
| 0.0.0.0/0 | igw-12345678901234567 |
Prioridad de ruta y rutas propagadas
Si ha asociado una puerta de enlace privada virtual a la VPC y ha habilitado la propagación de rutas en la tabla de enrutamiento de la subred, las rutas que representan la conexión de Site-to-Site VPN aparecerán automáticamente como rutas propagadas en la tabla de enrutamiento.
Si el destino de una ruta propagada se superpone a una ruta estática, la ruta estática tiene prioridad.
Si el destino de una ruta propagada es idéntico al destino de una ruta estática, la ruta estática tiene prioridad si el destino es uno de los siguientes:
-
puerta de enlace de Internet
-
Puerta de enlace de NAT
-
Interfaz de red
-
ID de instancia
-
Punto de enlace de la VPC de la puerta de enlace
-
Transit puerta de enlace
-
Interconexión de VPC
-
Punto de enlace del equilibrador de carga de puerta de enlace
Para obtener más información, consulte Tablas de ruteo y prioridad de las rutas de VPN en la Guía del usuario de AWS Site-to-Site VPN.
En el siguiente ejemplo, la tabla de enrutamiento tiene una ruta estática hacia una puerta de enlace de Internet y una ruta propagada hacia una puerta de enlace privada virtual. Ambas rutas tienen el destino 172.31.0.0/24. Dado que una ruta estática hacia una puerta de enlace de Internet tiene prioridad, todo el tráfico destinado a172.31.0.0/24 se dirige a la puerta de enlace de Internet.
| Destino | Objetivo | Propagado |
|---|---|---|
| 10.0.0.0/16 | local | No |
| 172.31.0.0/24 | vgw-11223344556677889 | Sí |
| 172.31.0.0/24 | igw-12345678901234567 | No |
Listas de prefijos y prioridad de ruta
Si la tabla de enrutamiento hace referencia a una lista de prefijos, se aplican las siguientes reglas:
-
Si la tabla de enrutamiento contiene una ruta estática con un bloque de CIDR de destino que se superpone a una ruta estática con una lista de prefijos, la ruta estática con el bloque de CIDR tiene prioridad.
-
Si la tabla de enrutamiento contiene una ruta propagada que coincide con una ruta que hace referencia a una lista de prefijos, la ruta que hace referencia a la lista de prefijos tiene prioridad. Tenga en cuenta que para las rutas que se superponen, las rutas más específicas siempre tienen prioridad independientemente de si se trata de rutas propagadas, rutas estáticas o rutas que hacen referencia a listas de prefijos.
-
Si la tabla de enrutamiento hace referencia a varias listas de prefijos que tienen bloques de CIDR superpuestos a diferentes destinos, elegimos aleatoriamente qué ruta tiene prioridad. A partir de entonces, la misma ruta siempre tiene prioridad.
Cuotas de la tabla de enrutamiento
Existe una cuota en el número de tablas de ruteo que puede crear por VPC. Existe también una cuota en el número de rutas que puede añadir por tabla de enrutamiento. Para obtener más información, consulte Cuotas de Amazon VPC.
Solución de problemas de accesibilidad
Reachability Analyzer es una herramienta de análisis de configuración estática. Utilice Reachability Analyzer para analizar y depurar la accesibilidad de la red entre dos recursos en la VPC. Reachability Analyzer produce detalles salto a salto de la ruta virtual entre estos recursos cuando son accesibles y, en caso contrario, identifica el componente de bloqueo. Por ejemplo, puede identificar las rutas de la tabla de enrutamiento que faltan o están mal configuradas.
Para obtener más información, consulte la Guía del Analizador de accesibilidad.
