Configurar tablas de enrutamiento - Amazon Virtual Private Cloud

Configurar tablas de enrutamiento

Las tablas de enrutamiento contienen conjuntos de reglas, denominadas rutas, que determinan adónde se dirige el tráfico de red desde la subred o puerta de enlace.

Conceptos de las tablas de enrutamiento

A continuación se enumeran los conceptos clave de las tablas de ruteo.

  • Tabla de enrutamiento principal: la tabla de enrutamiento que viene de forma automática con la VPC. Controla el direccionamiento de todas las subredes que no están explícitamente asociadas a ninguna otra tabla de enrutamiento.

  • Tabla de enrutamiento personalizada: una tabla de enrutamiento que se crea para la VPC.

  • Destino: el intervalo de direcciones IP a las que desea que vaya el tráfico (CIDR de destino). Por ejemplo, una red corporativa externa con un CIDR 172.16.0.0/12.

  • Destino: la puerta de enlace, interfaz de red o conexión a través de la cual enviar el tráfico de destino, por ejemplo, una puerta de enlace de Internet.

  • Asociación de tabla de enrutamiento: la asociación entre una tabla de enrutamiento y una subred, puerta de enlace de Internet o puerta de enlace privada virtual.

  • Tabla de enrutamiento de subred: una tabla de enrutamiento asociada con una subred.

  • Ruta local: una ruta predeterminada para la comunicación dentro de la VPC.

  • Propagación: la propagación de rutas permite que una puerta de enlace privada virtual propague rutas automáticamente a las tablas de enrutamiento. Esto significa que no es necesario introducir manualmente rutas de VPN en las tablas de ruteo. Para obtener más información acerca de las opciones de enrutamiento de VPN, consulte Opciones de enrutamiento de Site-to-Site VPN en la Guía del usuario de Site-to-Site VPN.

  • Tabla de enrutamiento de puerta de enlace: una tabla de enrutamiento asociada con una puerta de enlace de Internet o puerta de enlace privada virtual.

  • Asociación de borde: una tabla de enrutamiento que se utiliza para enrutar el tráfico de VPC entrante a un dispositivo. Asocie una tabla de enrutamiento a la puerta de enlace de Internet o a la puerta de enlace privada virtual y especifique la interfaz de red del dispositivo como objetivo para el tráfico de la VPC.

  • Tabla de enrutamiento de la transit puerta de enlace: una tabla de enrutamiento asociada con una transit puerta de enlace. Para obtener más información, consulte Tablas de enrutamiento de Transit Gateway en Transit Gateways de Amazon VPC.

  • Tabla de enrutamiento de puerta de enlace local: una tabla de enrutamiento asociada con una puerta de enlace local de Outposts. Para obtener más información, consulte Gateways locales en la Guía del usuario de AWS Outposts.

Tablas de enrutamiento de subred

Su VPC tiene un enrutador implícito y utiliza las tablas de ruteo para controlar dónde se dirige el tráfico de red. Cada subred de la VPC debe estar asociada a una tabla de enrutamiento que controla el direccionamiento de la subred (tabla de enrutamiento de la subred). Puede asociar de forma explícita una subred con una tabla de enrutamiento particular. De lo contrario, la subred se asocia de forma implícita con la tabla de enrutamiento principal. La subred solo puede asociarse a una tabla de enrutamiento a la vez. Sin embargo, puede asociar varias subredes a la misma tabla de enrutamiento de la subred.

Rutas

Cada ruta en una tabla especifica un destino y un objetivo. Por ejemplo, para permitir que su subred acceda a Internet a través de una puerta de enlace de Internet, añada la siguiente ruta a su tabla de enrutamiento de la subred. El destino de la ruta es 0.0.0.0/0, que representa todas las direcciones IPv4. El objetivo es la puerta de enlace de Internet que se conecta a su VPC.

Destino Objetivo
0.0.0.0/0 igw-id

Los bloques de CIDR para las direcciones IPv4 e IPv6 se tratan de forma individual. Por ejemplo, una ruta con un CIDR de destino de 0.0.0.0/0 no incluye de forma automática todas las direcciones IPv6. Por ello, debe crear una ruta con un CIDR de destino de ::/0 para todas las direcciones IPv6.

Si hace referencia con frecuencia al mismo conjunto de bloques de CIDR en sus recursos de AWS, puede crear una lista de prefijos administrada por el cliente para agruparlos. A continuación, puede especificar la lista de prefijos como destino en la entrada de la tabla de enrutamiento.

Cada tabla de enrutamiento contiene una ruta local para la comunicación con la VPC. Esta ruta se agrega de forma predeterminada a todas las tablas de ruteo. Si la VPC tiene varios bloques de CIDR IPv4, las tablas de ruteo contienen una ruta local para CAD bloque de CIDR IPv4. Si ha asociado un bloque de CIDR IPv6 a su VPC, las tablas de ruteo contendrán una ruta local para el bloque de CIDR IPv6. Puede reemplazar o restaurar el destino de cada ruta local según sea necesario.

Reglas y consideraciones

  • No puede agregar una ruta a sus tablas de enrutamiento que es más específica que la ruta local. El destino debe coincidir con todo el bloque de CIDR IPv4 o IPv6 de una subred en su VPC. El destino debe ser una puerta de enlace NAT, una interfaz de red o un punto de enlace del equilibrador de carga de la puerta de enlace.

  • Si su ruta tiene varias rutas, para determinar cómo dirigir tráfico, se utiliza la ruta más específica que coincida con el tráfico en cuestión (coincidencia del prefijo más largo).

  • No se pueden agregar rutas a direcciones IPv4 que coincidan de forma exacta o que sean un subconjunto del siguiente rango: 169.254.169.0/22. Este rango se encuentra dentro del espacio de direcciones locales de enlace y está reservado para ser utilizado por los servicios de AWS. Por ejemplo, Amazon EC2 utiliza direcciones en este rango para servicios a los que solo se puede acceder desde instancias de EC2, como el servicio de metadatos de instancia (IMDS) y el servidor DNS de Amazon. Puede utilizar un bloque de CIDR que sea mayor que el rango 169.254.169.0/22, pero se solape con este. No obstante, los paquetes destinados a las direcciones de 169.254.169.0/22 no se reenviarán.

  • No se pueden agregar rutas a direcciones IPv6 que coincidan de forma exacta o que sean un subconjunto del siguiente rango: fd00:ec2::/32. Este rango está dentro del espacio de direcciones locales únicas (ULA) y está reservado para que lo utilicen los servicios de AWS. Por ejemplo, Amazon EC2 utiliza direcciones en este rango para servicios a los que solo se puede acceder desde instancias de EC2, como el servicio de metadatos de instancia (IMDS) y el servidor DNS de Amazon. Puede utilizar un bloque de CIDR que sea mayor que el rango fd00:ec2::/32, pero se solape con este. No obstante, los paquetes destinados a las direcciones de fd00:ec2::/32 no se reenviarán.

  • Puede agregar dispositivos middlebox a las vías de enrutamiento de su VPC. Para obtener más información, consulte Enrutamiento para un dispositivo middlebox .

Ejemplo

En el siguiente ejemplo, suponga que la VPC tiene tanto un bloque de CIDR IPv4 como un bloque de CIDR IPv6. En la tabla de enrutamiento:

  • El tráfico IPv6 destinado a permanecer en la VPC (2001:db8:1234:1a00::/56) se gestiona con la ruta Local y se direcciona dentro de la VPC.

  • El tráfico IPv4 e IPv6 se trata de manera individual; por lo tanto, todo el tráfico IPv6 (excepto el tráfico de la VPC) se direcciona a la puerta de enlace de Internet solo de salida.

  • Hay una ruta para el tráfico IPv4 172.31.0.0/16 que apunta a una interconexión.

  • Hay una ruta para todo el tráfico IPv4 (0.0.0.0/0) que apunta a una puerta de enlace de Internet.

  • Hay una ruta para todo el tráfico IPv6 (::/0) que apunta a una puerta de enlace de Internet de solo salida.

Destino Objetivo
10.0.0.0/16 Local
2001:db8:1234:1a00::/56 Local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567
::/0 eigw-aabbccddee1122334

Tabla de enrutamiento principal

Al crear una VPC, esta cuenta de manera automática con una tabla de enrutamiento principal. Si una subred no está asociada de forma explícita a una tabla de enrutamiento, se utilizará la tabla de enrutamiento principal de forma predeterminada. En la página Route tables (Tablas de enrutamiento) de la consola de Amazon VPC, puede consultar la tabla de enrutamiento de una VPC si busca el valor Yes (Sí) en la columna Main (Principal).

De forma predeterminada, cuando se crea una VPC no predeterminada, la tabla de enrutamiento principal contiene sólo una ruta local. Si Creación de una VPC y elija una puerta de enlace NAT, Amazon VPC añade automáticamente rutas a la tabla de enrutamiento principal de las puertas de enlace.

Las siguientes reglas se aplican a la tabla de enrutamiento principal:

  • La tabla de enrutamiento principal no se puede eliminar.

  • No puede establecer una tabla de enrutamiento de puerta de enlace como la tabla de ruta principal.

  • Puede reemplazar la tabla de enrutamiento principal por una tabla de enrutamiento de subred personalizada.

  • De este modo, podrá añadir, quitar y modificar rutas en la tabla de enrutamiento principal.

  • También podrá asociar de manera explícita una subred a la tabla de enrutamiento principal incluso si ya está asociada de manera implícita.

    Es posible que desee hacerlo si cambia qué tabla es la tabla de enrutamiento principal. Cuando modifica la tabla que se considerará como tabla de enrutamiento principal, también modifica la opción predeterminada de las nuevas subredes adicionales o para las subredes que no están explícitamente asociadas a ninguna otra tabla de enrutamiento. Para obtener más información, consulte Sustituir la tabla de enrutamiento principal.

Tablas de enrutamiento personalizadas

De forma predeterminada, una tabla de enrutamiento personalizada está vacía y agrega rutas según sea necesario. Si Creación de una VPC y elija una subred pública, Amazon VPC crea una tabla de enrutamiento personalizada y agrega una ruta que apunta a la puerta de enlace de Internet. Una forma de proteger la VPC es dejar la tabla de enrutamiento principal en su estado predeterminado original. Después, asocie de forma explícita cada nueva subred que cree a una de las tablas de ruteo personalizadas que haya creado. De este modo, se asegurará de que controla de manera explícita el modo en que cada subred direcciona el tráfico.

De este modo, podrá añadir, quitar y modificar rutas en la tabla de enrutamiento personalizada. Sólo puede eliminar una tabla de enrutamiento personalizada si no tiene asociaciones.

Asociar una subred a la tabla de enrutamiento

Cada subred de su VPC debe estar asociada a una tabla de enrutamiento. Una subred se puede asociar de forma explícita a la tabla de enrutamiento personalizada o de manera implícita o explícita a la tabla de enrutamiento principal. Para obtener más información sobre la visualización de las asociaciones de la subred y la tabla de enrutamiento, consulte Determinar qué subredes o puertas de enlace están asociadas explícitamente.

Las subredes que se encuentran en VPC asociadas a Outposts pueden tener un tipo de objetivo adicional de una puerta de enlace local. Esta es la única diferencia de direccionamiento con respecto a las subredes que no son de Outposts.

Ejemplo 1: asociación implícita y explícita de la subred

El diagrama siguiente muestra el direccionamiento de una VPC con una puerta de enlace de Internet, una puerta de enlace privada virtual, una subred pública y una subred de solo VPN.


                    Tabla de ruteo principal y tabla personalizada

La tabla de enrutamiento A es una tabla de enrutamiento personalizada asociada de forma explícita a la subred pública. Tiene una ruta que envía todo el tráfico a la puerta de enlace de Internet.

Destino Objetivo
CIDR DE VPC Local
0.0.0.0/0 igw-id

La tabla de enrutamiento B es la tabla de enrutamiento principal. Tiene una ruta que envía todo el tráfico a la puerta de enlace privada virtual.

Destino Objetivo
CIDR DE VPC Local
0.0.0.0/0 vgw-id

Si crea una nueva subred en esta VPC, esta se asociará automáticamente de forma implícita a la tabla de enrutamiento principal que dirige tráfico a la puerta de enlace privada virtual. Si establece la configuración inversa (en la que la tabla de enrutamiento principal tiene la ruta a la puerta de enlace de Internet y la tabla de enrutamiento personalizada tiene la ruta a la puerta de enlace privada virtual), el tráfico hacia la nueva subred es dirigido a la puerta de enlace de Internet.

Ejemplo 2: sustitución de la tabla de enrutamiento principal

Es posible que desee realizar cambios en la tabla de enrutamiento principal. Para evitar cualquier interrupción en el tráfico, le recomendamos que pruebe primero los cambios de la ruta mediante una tabla de enrutamiento personalizada. De este modo, cuando esté satisfecho con las pruebas, puede sustituir la tabla de enrutamiento principal con la nueva tabla personalizada.

El diagrama siguiente muestra una VPC con dos subredes asociadas de manera implícita a una tabla de enrutamiento principal (tabla de enrutamiento A) y una tabla de enrutamiento personalizada (tabla de enrutamiento B) que no está asociada a ninguna subred.


                    Reemplazo de la tabla principal: inicio

Puede crear una asociación explícita entre la subred 2 y la tabla de enrutamiento B.


                    Reemplazo de la tabla principal: tabla nueva

Una vez probada la tabla de enrutamiento B, podrá convertirla en tabla de enrutamiento principal. Tenga en cuenta que la subred 2 aún tiene una asociación explícita con la tabla de enrutamiento B y que la subred 1 tiene una asociación implícita con la tabla de enrutamiento B porque es la nueva tabla de enrutamiento principal. La tabla de enrutamiento A ha dejado de utilizarse.


                    Reemplazo de la tabla principal: reemplazo

Si desasocia la subred 2 de la tabla de enrutamiento B, seguirá existiendo una asociación implícita entre la subred 2 y la tabla de enrutamiento B. Por lo tanto, si ya no necesita la tabla de enrutamiento A, puede eliminarla.


                    Reemplazo de la tabla principal: desasociación

Tablas de ruteo de puerta de enlace

Puede asociar una tabla de enrutamiento a una puerta de enlace de Internet o a una puerta de enlace privada virtual. Cuando una tabla de enrutamiento está asociada a una puerta de enlace, se denomina tabla de enrutamiento de puerta de enlace. Puede crear una tabla de enrutamiento de puerta de enlace para el control detallado de la vía de direccionamiento del tráfico que entra a su VPC. Por ejemplo, puede interceptar el tráfico que entra en la VPC a través de una puerta de enlace de Internet redirigiendo ese tráfico a un dispositivo middlebox (como un dispositivo de seguridad) de la VPC.

Rutas de la tabla de enrutamiento de puerta de enlace

Una tabla de enrutamiento de puerta de enlace asociada a una puerta de enlace de Internet admite enrutamientos con los siguientes destinos:

Una tabla de enrutamientos de puerta de enlace asociada a una puerta de enlace privada virtual admite rutas con los siguientes destinos:

  • La ruta local predeterminada

  • Una interfaz de red para un dispositivo middlebox

Cuando el destino es punto de enlace del equilibrador de carga de puerta de enlace o una interfaz de red, se permiten los siguientes destinos:

  • Todo el bloque de CIDR IPv4 o IPv6 de su VPC. En este caso, sustituye el objetivo de la ruta local predeterminada.

  • Todo el bloque de CIDR IPv4 o IPv6 de una subred en su VPC. Es una ruta más específica que la ruta predeterminada local.

Si cambia el objetivo de la ruta local en una tabla de enrutamiento de puerta de enlace a una interfaz de red en su VPC, puede restaurarlo más adelante al objetivo local predeterminado. Para obtener más información, consulte Reemplazar o restaurar el destino de una ruta local .

Ejemplo

En la siguiente tabla de enrutamiento de puerta de enlace, el tráfico destinado a una subred con el bloque de CIDR 172.31.0.0/20 se direcciona a una interfaz de red específica. El tráfico destinado a todas las demás subredes de la VPC utiliza la ruta local.

Destino Objetivo
172.31.0.0/16 Local
172.31.0.0/20 eni-id

Ejemplo

En la siguiente tabla de enrutamiento de puerta de enlace, el objetivo de la ruta local se sustituye por un ID de interfaz de red. El tráfico destinado a todas las subredes de la VPC se direcciona a la interfaz de red.

Destino Objetivo
172.31.0.0/16 eni-id

Reglas y consideraciones

No se puede asociar una tabla de enrutamiento con una puerta de enlace si se aplica alguna de las siguientes condiciones:

  • La tabla de enrutamiento contiene rutas existentes con objetivos distintos a una interfaz de red, un punto de enlace del equilibrador de carga de puerta de enlace o la ruta local predeterminada.

  • La tabla de enrutamiento contiene rutas existentes a los bloques de CIDR fuera de los rangos de la VPC.

  • La propagación de rutas está habilitada para la tabla de enrutamiento.

Además, se aplican las siguientes reglas y consideraciones:

  • No puede agregar rutas a ningún bloque de CIDR fuera de los rangos de la VPC, incluidos rangos mayores que los bloques de CIDR de VPC individuales.

  • Solo puede especificar como destino una local, un punto de enlace del equilibrador de carga de puerta de enlace o una interfaz de red. No puede especificar ningún otro tipo de destino, incluidas las direcciones IP de host individuales. Para obtener más información, consulte Opciones de enrutamiento de ejemplo .

  • No puede direccionar el tráfico de una puerta de enlace privada virtual a un punto de enlace del equilibrador de carga de puerta de enlace. Si asocia la tabla de enrutamiento con una puerta de enlace privada virtual y agrega una ruta con un punto de enlace del equilibrador de carga de puerta de enlace como destino, se elimina el tráfico destinado al punto de enlace.

  • No se puede especificar una lista de prefijos como destino.

  • No puede utilizar una tabla de enrutamiento de puerta de enlace para controlar o interceptar el tráfico fuera de la VPC, por ejemplo, el tráfico a través de una transit puerta de enlace conectada. Puede interceptar el tráfico que entra en la VPC y redirigirlo a otro objetivo en la misma VPC solamente.

  • Para asegurarse de que el tráfico llega al dispositivo middlebox, la interfaz de red de destino debe estar asociada a una instancia en ejecución. Para el tráfico que fluya a través de una puerta de enlace de Internet, la interfaz de red de destino también debe tener una dirección IP pública.

  • Al configurar el dispositivo Middlebox, tenga en cuenta las consideraciones del dispositivo.

  • Al enrutar el tráfico a través de un dispositivo Middlebox, el tráfico de retorno de la subred de destino debe enrutarse a través del mismo dispositivo. No se admite el enrutamiento asimétrico.

  • Las reglas de tabla de enrutamiento se aplican a todo el tráfico que sale de una subred. El tráfico que sale de una subred se define como el tráfico destinado a la dirección MAC del enrutador de puerta de enlace de esa subred. El tráfico destinado a la dirección MAC de otra interfaz de red en la subred utiliza el enrutamiento de enlace de datos (capa 2) en lugar de la red (capa 3), por lo que las reglas no se aplican a este tráfico.

Prioridad de la ruta

En general, el tráfico se dirige mediante la ruta mas especifica que concuerde con el tráfico. Esto se conoce como la concordancia de prefijos más larga. Si la tabla de enrutamiento tiene rutas superpuestas o concordantes, se aplican las siguientes reglas:

La concordancia de prefijo más larga

Las rutas a direcciones IPv4 e IPv6 o bloques de CIDR son independientes entre sí. Para determinar cómo dirigir tráfico, se usa la ruta más específica que coincida con el tráfico de IPv4 o IPv6 en cuestión.

En el siguiente ejemplo, la tabla de enrutamiento de la subred tiene una ruta para el tráfico de Internet IPv4 (0.0.0.0/0), que apunta a una puerta de enlace de Internet, y una ruta para el tráfico IPv4 172.31.0.0/16 que apunta a una interconexión (pcx-11223344556677889). El tráfico de la subred cuyo destino sea el rango de direcciones IP 172.31.0.0/16 utiliza la interconexión, ya que esta ruta es más específica que la ruta para la puerta de enlace de Internet. El tráfico cuyo destino se encuentre en la VPC (10.0.0.0/16) se gestiona con la ruta local y, por lo tanto, se direcciona dentro de la VPC. El resto de tráfico de la subred usa la puerta de enlace de Internet.

Destino Objetivo
10.0.0.0/16 local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567

Prioridad de ruta y rutas propagadas

Si ha asociado una puerta de enlace privada virtual a la VPC y ha habilitado la propagación de rutas en la tabla de enrutamiento de la subred, las rutas que representan la conexión de Site-to-Site VPN aparecerán automáticamente como rutas propagadas en la tabla de enrutamiento.

Si el destino de una ruta propagada se superpone a una ruta estática, la ruta estática tiene prioridad.

Si el destino de una ruta propagada es idéntico al destino de una ruta estática, la ruta estática tiene prioridad si el destino es uno de los siguientes:

  • puerta de enlace de Internet

  • Puerta de enlace de NAT

  • Interfaz de red

  • ID de instancia

  • Punto de enlace de la VPC de la puerta de enlace

  • Transit puerta de enlace

  • Interconexión de VPC

  • Punto de enlace del equilibrador de carga de puerta de enlace

Para obtener más información, consulte Tablas de ruteo y prioridad de las rutas de VPN en la Guía del usuario de AWS Site-to-Site VPN.

En el siguiente ejemplo, la tabla de enrutamiento tiene una ruta estática hacia una puerta de enlace de Internet y una ruta propagada hacia una puerta de enlace privada virtual. Ambas rutas tienen el destino 172.31.0.0/24. Dado que una ruta estática hacia una puerta de enlace de Internet tiene prioridad, todo el tráfico destinado a172.31.0.0/24 se dirige a la puerta de enlace de Internet.

Destino Objetivo Propagado
10.0.0.0/16 local No
172.31.0.0/24 vgw-11223344556677889
172.31.0.0/24 igw-12345678901234567 No

Listas de prefijos y prioridad de ruta

Si la tabla de enrutamiento hace referencia a una lista de prefijos, se aplican las siguientes reglas:

  • Si la tabla de enrutamiento contiene una ruta estática con un bloque de CIDR de destino que se superpone a una ruta estática con una lista de prefijos, la ruta estática con el bloque de CIDR tiene prioridad.

  • Si la tabla de enrutamiento contiene una ruta propagada que coincide con una ruta que hace referencia a una lista de prefijos, la ruta que hace referencia a la lista de prefijos tiene prioridad. Tenga en cuenta que para las rutas que se superponen, las rutas más específicas siempre tienen prioridad independientemente de si se trata de rutas propagadas, rutas estáticas o rutas que hacen referencia a listas de prefijos.

  • Si la tabla de enrutamiento hace referencia a varias listas de prefijos que tienen bloques de CIDR superpuestos a diferentes destinos, elegimos aleatoriamente qué ruta tiene prioridad. A partir de entonces, la misma ruta siempre tiene prioridad.

  • Si el bloque de CIDR de una entrada de lista de prefijos no es válido para la tabla de enrutamiento, se omite ese bloque de CIDR.

Cuotas de la tabla de enrutamiento

Existe una cuota en el número de tablas de ruteo que puede crear por VPC. Existe también una cuota en el número de rutas que puede añadir por tabla de enrutamiento. Para obtener más información, consulte Cuotas de Amazon VPC .