Tablas de ruteo de puerta de enlace
Puede asociar una tabla de enrutamiento a una puerta de enlace de Internet o a una puerta de enlace privada virtual. Cuando una tabla de enrutamiento está asociada a una puerta de enlace, se denomina tabla de enrutamiento de puerta de enlace. Puede crear una tabla de enrutamiento de puerta de enlace para el control detallado de la vía de direccionamiento del tráfico que entra a su VPC. Por ejemplo, puede interceptar el tráfico que entra en la VPC a través de una puerta de enlace de Internet redirigiendo ese tráfico a un dispositivo middlebox (como un dispositivo de seguridad) de la VPC.
Rutas de la tabla de enrutamiento de puerta de enlace
Una tabla de enrutamiento de puerta de enlace asociada a una puerta de enlace de Internet admite enrutamientos con los siguientes destinos:
-
La ruta local predeterminada
-
Un Punto de enlace del equilibrador de carga de puerta de enlace
-
Una interfaz de red para un dispositivo middlebox
Una tabla de enrutamientos de puerta de enlace asociada a una puerta de enlace privada virtual admite rutas con los siguientes destinos:
-
La ruta local predeterminada
-
Un Punto de enlace del equilibrador de carga de puerta de enlace
-
Una interfaz de red para un dispositivo middlebox
Cuando el destino es punto de enlace del equilibrador de carga de puerta de enlace o una interfaz de red, se permiten los siguientes destinos:
-
Todo el bloque de CIDR IPv4 o IPv6 de su VPC. En este caso, sustituye el objetivo de la ruta local predeterminada.
-
Todo el bloque de CIDR IPv4 o IPv6 de una subred en su VPC. Es una ruta más específica que la ruta predeterminada local.
Si cambia el objetivo de la ruta local en una tabla de enrutamiento de puerta de enlace a una interfaz de red en su VPC, puede restaurarlo más adelante al objetivo local predeterminado. Para obtener más información, consulte Reemplazar o restaurar el destino de una ruta local.
Ejemplo
En la siguiente tabla de enrutamiento de puerta de enlace, el tráfico destinado a una subred con el bloque de CIDR 172.31.0.0/20 se direcciona a una interfaz de red específica. El tráfico destinado a todas las demás subredes de la VPC utiliza la ruta local.
| Destino | Objetivo |
|---|---|
| 172.31.0.0/16 | Local |
| 172.31.0.0/20 | eni-id |
Ejemplo
En la siguiente tabla de enrutamiento de puerta de enlace, el objetivo de la ruta local se sustituye por un ID de interfaz de red. El tráfico destinado a todas las subredes de la VPC se direcciona a la interfaz de red.
| Destino | Objetivo |
|---|---|
| 172.31.0.0/16 | eni-id |
Reglas y consideraciones
No se puede asociar una tabla de enrutamiento con una puerta de enlace si se aplica alguna de las siguientes condiciones:
-
La tabla de enrutamiento contiene rutas existentes con objetivos distintos a una interfaz de red, un punto de enlace del equilibrador de carga de puerta de enlace o la ruta local predeterminada.
-
La tabla de enrutamiento contiene rutas existentes a los bloques de CIDR fuera de los rangos de la VPC.
-
La propagación de rutas está habilitada para la tabla de enrutamiento.
Además, se aplican las siguientes reglas y consideraciones:
-
No puede agregar rutas a ningún bloque de CIDR fuera de los rangos de la VPC, incluidos rangos mayores que los bloques de CIDR de VPC individuales.
-
Solo puede especificar como destino una
local, un punto de enlace del equilibrador de carga de puerta de enlace o una interfaz de red. No puede especificar ningún otro tipo de destino, incluidas las direcciones IP de host individuales. Para obtener más información, consulte Opciones de enrutamiento de ejemplo. -
No se puede especificar una lista de prefijos como destino.
-
No puede utilizar una tabla de enrutamiento de puerta de enlace para controlar o interceptar el tráfico fuera de la VPC, por ejemplo, el tráfico a través de una transit puerta de enlace conectada. Puede interceptar el tráfico que entra en la VPC y redirigirlo a otro objetivo en la misma VPC solamente.
-
Para asegurarse de que el tráfico llega al dispositivo middlebox, la interfaz de red de destino debe estar asociada a una instancia en ejecución. Para el tráfico que fluya a través de una puerta de enlace de Internet, la interfaz de red de destino también debe tener una dirección IP pública.
-
Al configurar el dispositivo Middlebox, tenga en cuenta las consideraciones del dispositivo.
-
Al enrutar el tráfico a través de un dispositivo Middlebox, el tráfico de retorno de la subred de destino debe enrutarse a través del mismo dispositivo. No se admite el enrutamiento asimétrico.
-
Las reglas de tabla de enrutamiento se aplican a todo el tráfico que sale de una subred. El tráfico que sale de una subred se define como el tráfico destinado a la dirección MAC del enrutador de puerta de enlace de esa subred. El tráfico destinado a la dirección MAC de otra interfaz de red en la subred utiliza el enrutamiento de enlace de datos (capa 2) en lugar de la red (capa 3), por lo que las reglas no se aplican a este tráfico.
-
No todas las zonas locales admiten la asociación de periferia con puertas de enlace privadas virtuales. Para obtener más información sobre las zonas disponibles, consulte Consideraciones en la Guía del usuario de Zonas locales de AWS.
