Opciones de enrutamiento de ejemplo - Amazon Virtual Private Cloud

Opciones de enrutamiento de ejemplo

Los temas siguientes describen el direccionamiento de gateways o conexiones específicas de su VPC.

Enrutar a una gateway de Internet

Puede convertir una subred en una subred pública añadiendo una ruta en su tabla de ruteo de la subred hacia una gateway de Internet. Para ello, cree y adjunte una gateway de Internet a su VPC. A continuación, añada una ruta con el destino 0.0.0.0/0 para el tráfico IPv4 o con el destino ::/0 para el tráfico IPv6, así como un objetivo para el ID de la gateway de Internet (igw-xxxxxxxxxxxxxxxxx).

Destino Objetivo
0.0.0.0/0 igw-id
::/0 igw-id

Para obtener más información, consulte Puertos de enlace a internet.

Enrutar a un dispositivo NAT

Para habilitar instancias en una subred privada para conectarse a Internet, puede crear una gateway NAT o lanzar una instancia NAT en una subred pública. A continuación, agregue una ruta para la tabla de ruteo de la subred privada que dirija el tráfico de Internet de IPv4 (0.0.0.0/0) al dispositivo NAT.

Destino Objetivo
0.0.0.0/0 nat-gateway-id

También puede crear rutas más específicas a otros objetivos para evitar cargos innecesarios de procesamiento de datos innecesarios por utilizar la gateway NAT o para dirigir el tráfico de forma privada. En el ejemplo siguiente, el tráfico de Amazon S3 (pl-xxxxxxxx; un intervalo de direcciones IP específico para Amazon S3) se enruta al punto de enlace de la VPC de la gateway y el tráfico 10.25.0.0/16 se enruta a una interconexión de VPC. Los rangos de direcciones IP pl-xxxxxxxx y 10.25.0.0/16 son más específicos que 0.0.0.0/0. Cuando las instancias envían tráfico a Amazon S3 o a la VPC interconectada, el tráfico se envía al punto de enlace de la VPC de la gateway o a la interconexión de la VPC. El resto del tráfico se envía a la gateway NAT.

Destino Objetivo
0.0.0.0/0 nat-gateway-id
pl-xxxxxxxx vpce-id
10.25.0.0/16 pcx-id

Para obtener más información, consulte Gateways NAT y Instancias NAT. Los dispositivos NAT No se pueden utilizar para el tráfico IPv6.

Enrutar a una gateway privada virtual

Puede utilizar una conexión de VPN de sitio a sitio de AWS para permitir que las instancias de la VPC se comuniquen con su propia red. Para ello, cree y adjunte una gateway privada virtual a su VPC. A continuación, agregue una ruta en la tabla de ruteo de subred con el destino de la red y un objetivo de la gateway privada virtual (vgw-xxxxxxxxxxxxxxxxx).

Destino Objetivo
10.0.0.0/16 vgw-id

A continuación, puede crear y configurar la conexión de VPN de sitio a sitio. Para obtener más información, consulte ¿Qué es VPN de sitio a sitio de AWS? y Tablas de enrutamiento y prioridad de ruta VPN en la Guía del usuario de VPN de sitio a sitio de AWS.

Una conexión de VPN de sitio a sitio en una gateway privada virtual no admite tráfico IPv6. Sin embargo, sí que se admite el enrutamiento de tráfico IPv6 a través de una gateway privada virtual a conexiones de AWS Direct Connect. Para obtener más información, consulte la Guía del usuario de AWS Direct Connect.

Enrutar a una gateway local de AWS Outposts

Las subredes que se encuentran en VPC asociadas a AWS Outposts pueden tener un tipo de objetivo adicional de una gateway local. Tenga en cuenta el caso en el que desea que la gateway local dirija el tráfico con una dirección de destino de 192.168.10.0/24 a la red del cliente. Para ello, añada la siguiente ruta con la red de destino y un objetivo de la gateway local (lgw-xxxx).

Destino Objetivo
192.168.10.0/24 lgw-id
2002:bc9:1234:1a00::/56 igw-id

Enrutamiento a una gateway portadora de zonas de wavelength

Las subredes que se encuentran en zonas de Wavelength pueden tener un tipo de destino adicional de una gateway de operador. Tenga en cuenta el caso en el que desea que el tráfico de la gateway de operador enrute todo el tráfico que no sea VPC a la red del operador. Para ello, cree y asocie una gateway de operador a su VPC y, a continuación, agregue las siguientes rutas:

Destino Objetivo
0.0.0.0/0 cagw-id
::/0 cagw-id

Enrutar a una interconexión de VPC

Una interconexión de VPC es una conexión de redes entre dos VPC que permite direccionar el tráfico entre ellas mediante direcciones IPv4 privadas. Las instancias de ambas VPC se pueden comunicar entre sí si forman parte de la misma red.

Para permitir el direccionamiento de tráfico entre VPC en una interconexión de VPC, debe añadir una ruta hacia una o varias tabas de ruteo de la subred que apunten a la interconexión de VPC. Esto le permite acceder a todo o a parte del bloque de CIDR de la otra VPC en la interconexión. Del mismo modo, el propietario de la otra VPC deberá añadir una ruta a sus tablas de ruteo de la subred para direccionar el tráfico de vuelta a su VPC.

Supongamos que, por ejemplo, tiene una interconexión de VPC (pcx-11223344556677889) entre dos VPC con la información siguiente:

  • VPC A: bloque de CIDR 10.0.0.0/16

  • VPC B: bloque de CIDR 172.31.0.0/16

Para permitir el tráfico entre las VPC y facilitar el acceso a la totalidad del bloque de CIDR IPv4 de ambas VPC, la tabla de ruteo de la VPC A debe configurarse como se indica a continuación.

Destino Objetivo
10.0.0.0/16 Local
172.31.0.0/16 pcx-11223344556677889

La tabla de ruteo de la VPC B debe configurarse como se indica a continuación.

Destino Objetivo
172.31.0.0/16 Local
10.0.0.0/16 pcx-11223344556677889

La interconexión de la VPC también puede admitir la comunicación IPv6 entre instancias en las VPC, si las VPC y las instancias admiten la comunicación IPv6. Para obtener más información, consulte VPC y subredes. Para permitir el direccionamiento de tráfico IPv6 entre las VPC, debe añadir una ruta a la tabla de ruteo que apunte a la interconexión de la VPC para, de este modo, obtener acceso a la totalidad o a parte del bloque de CIDR IPv6 de la VPC del mismo nivel.

Supongamos que, por ejemplo, con la misma interconexión de VPC (pcx-11223344556677889) anterior, las VPC tienen la información siguiente:

  • VPC A: bloque de CIDR IPv6 2001:db8:1234:1a00::/56

  • VPC B: bloque de CIDR IPv6 2001:db8:5678:2b00::/56

Para permitir la comunicación IPv6 a través de la interconexión de VPC, añada la ruta siguiente a la tabla de ruteo de la subred para la VPC A.

Destino Objetivo
10.0.0.0/16 Local
172.31.0.0/16 pcx-11223344556677889
2001:db8:5678:2b00::/56 pcx-11223344556677889

Añada la siguiente ruta a la tabla de ruteo de la VPC B.

Destino Objetivo
172.31.0.0/16 Local
10.0.0.0/16 pcx-11223344556677889
2001:db8:1234:1a00::/56 pcx-11223344556677889

Para obtener más información acerca de las interconexiones de VPC, consulte la Guía de interconexión de Amazon VPC.

ClassicLink es una característica que permite enlazar una instancia de EC2-Classic con una VPC, lo que permite la comunicación entre la instancia de EC2-Classic y las instancias de la VPC mediante direcciones IPv4 privadas. Para obtener más información acerca de ClassicLink, consulte ClassicLink.

Cuando se configura una VPC para ClassicLink, se agrega una ruta a todas las tablas de enrutamiento de la subred con un destino 10.0.0.0/8 y el objetivo local. Esto permite la comunicación entre las instancias de la VPC y cualquier instancia de EC2-Classic enlazada a la VPC. Si agrega otra tabla de enrutamiento a una VPC habilitada para ClassicLink, recibe automáticamente una ruta con un destino 10.0.0.0/8 y un objetivo local. Si desactiva ClassicLink para una VPC, esta ruta se elimina automáticamente de todas las tablas de enrutamiento de la subred.

Si alguna de las tablas de enrutamiento de la subred tiene rutas existentes para intervalos de direcciones en el CIDR 10.0.0.0/8, no puede habilitar la VPC para ClassicLink. Esto no incluye las rutas locales de VPC con los rangos de direcciones IP 10.0.0.0/16 y 10.1.0.0/16.

Si ya tiene una VPC con ClassicLink, es posible que no pueda agregar ninguna ruta específica adicional a las tablas de enrutamiento para el intervalo de dirección IP 10.0.0.0/8.

Si modifica una interconexión de VPC para permitir la comunicación entre instancias de su VPC y una instancia de EC2-Classic vinculada a la VPC del mismo nivel, se añadirá automáticamente una ruta estática a las tablas de ruteo con el destino 10.0.0.0/8 y el objetivo local. Si modifica una interconexión de VPC para permitir la comunicación entre una instancia de EC2-Classic local vinculada a su VPC e instancias de una VPC del mismo nivel, deberá añadir manualmente una ruta a la tabla de ruteo principal con el bloque de CIDR de la VPC como destino y la interconexión de la VPC como objetivo. La instancia de EC2-Classic usa la tabla de ruteo principal para el direccionamiento a la VPC del mismo nivel. Para obtener más información, consulte Configuraciones con ClassicLink en la Guía de interconexión de Amazon VPC.

Enrutar a un punto de enlace de la VPC de la gateway

Un punto de enlace de la VPC de la gateway le permite crear una conexión privada entre la VPC y otros servicios de AWS. Cuando crea un punto de enlace de la gateway, especifica las tablas de ruteo de la subred en su VPC que utiliza el punto de enlace de la gateway. Se añadirá automáticamente una ruta a cada una de las tablas de ruteo con el ID de la lista de prefijos del servicio (pl-xxxxxxxx) como destino y el ID del punto de conexión (vpce-xxxxxxxxxxxxxxxxx) como objetivo. No es posible eliminar ni modificar de manera explícita la ruta del punto de conexión; sin embargo, es posible cambiar las tablas de ruteo que utiliza el punto de conexión.

Para obtener más información acerca del enrutamiento de los puntos de enlace y de las implicaciones para las rutas a los servicios de AWS, consulte Enrutamiento para puntos de enlace de gateway.

Enrutar a la gateway de Internet de solo salida

Puede crear gateways de Internet de solo salida para su VPC para permitir que las instancias de subredes privadas inicien comunicaciones salientes a Internet evitando que Internet inicie conexiones con dichas instancias. La gateway de Internet de solo salida se utiliza únicamente para el tráfico IPv6. Para configurar el direccionamiento de la gateway de Internet de solo salida, añada una ruta a la tabla de ruteo de la subred privada que direccione el tráfico de Internet IPv6 (::/0) a la gateway de Internet de solo salida.

Destino Objetivo
::/0 eigw-id

Para obtener más información, consulte Gateways de Internet de solo salida.

Enrutar para una gateway de tránsito

Al asociar una VPC a una gateway de tránsito, debe agregar una ruta a la tabla de enrutamiento de subredes para que el tráfico se enrute a través de la gateway de tránsito.

Considere el siguiente escenario, en el que tiene tres VPC asociadas a una gateway de tránsito. En este escenario, todas las conexiones se asocian a la tabla de enrutamiento de la gateway de tránsito y se propagan a la tabla de enrutamiento de la gateway de tránsito. Por lo tanto, todas las conexiones pueden enrutar paquetes entre sí y la gateway de tránsito actúa como un simple hub de IP de capa 3.

Supongamos que, por ejemplo, tiene dos VPC con la información siguiente:

  • VPC A: 10.1.0.0/16, ID de vinculación tgw-attach-11111111111111111

  • VPC B: 10.2.0.0/16, ID de vinculación tgw-attach-22222222222222222

Para permitir el tráfico entre las VPC y permitir el acceso a la gateway de tránsito, la tabla de enrutamiento de la VPC A debe configurarse como se muestra a continuación.

Destino Objetivo

10.1.0.0/16

local

10.0.0.0/8

tgw-id

A continuación, se muestra un ejemplo de las entradas de las tablas de enrutamiento de gateway de tránsito para las conexiones de VPC.

Destino Objetivo

10.1.0.0/16

tgw-attach-11111111111111111

10.2.0.0/16

tgw-attach-22222222222222222

Para obtener más información acerca de las tablas de enrutamiento de la gateway de tránsito, consulte Enrutamiento en Gateways de tránsito de Amazon VPC.

Enrutar para un dispositivo middlebox en su VPC

Puede interceptar el tráfico que entra a la VPC a través de una gateway de Internet o una gateway privada virtual, redirigiéndolo a un dispositivo middlebox en su VPC. Puede configurar el dispositivo para que se adapte a sus necesidades. Por ejemplo, puede configurar un dispositivo de seguridad que cribase todo el tráfico o un dispositivo de aceleración WAN. El dispositivo se implementa como una instancia Amazon EC2 en una subred de la VPC y se representa mediante una interfaz de red elástica (interfaz de red) en la subred.

Para dirigir el tráfico de VPC entrante a un dispositivo, asocie una tabla de ruteo a la gateway de Internet o a la gateway privada virtual y especifique la interfaz de red del dispositivo como objetivo para el tráfico de la VPC. Para obtener más información, consulte Tablas de ruteo de gateway. También puede dirigir el tráfico saliente de la subred a un dispositivo middlebox de otra subred.

nota

Si la propagación de rutas está habilitada en la tabla de enrutamiento de la subred de destino, tenga en cuenta la prioridad de las rutas. La ruta más específica es la que tiene mayor prioridad y, en caso de que coincidan, las rutas estáticas tendrán prioridad sobre las rutas propagadas. Revise las rutas para asegurarse de que el tráfico se enruta correctamente y de que no se produzcan consecuencias no deseadas si habilita o desactiva la propagación de rutas (por ejemplo, la propagación de rutas es necesaria para una conexión de AWS Direct Connect que admita tramas gigantes).

Consideraciones sobre el dispositivo

Puede elegir un dispositivo de terceros de AWS Marketplace o puede configurar su propio dispositivo. Al crear o configurar un dispositivo, tenga en cuenta lo siguiente:

  • El dispositivo debe configurarse en una subred independiente para el tráfico de origen o destino.

  • Debe deshabilitar la comprobación de origen/destino en el dispositivo. Para obtener más información, consulte Cambio de la comprobación de origen o destino en la Guía del usuario de Amazon EC2 para instancias de Linux.

  • No se admite el encadenamiento de servicio.

  • No se puede dirigir el tráfico entre hosts de la misma subred a través de un dispositivo.

  • No se puede dirigir el tráfico entre subredes a través de un dispositivo.

  • El dispositivo no tiene que realizar la conversión de las direcciones de red (NAT).

  • Para interceptar el tráfico IPv6, asegúrese de configurar la VPC, la subred y el dispositivo para IPv6. Para obtener más información, consulte Usar VPC y subredes. Las gateways privadas virtuales no admiten el tráfico IPv6.

Configuración del enrutamiento del dispositivo

Para dirigir el tráfico entrante a un dispositivo, cree una tabla de ruteo y añada una ruta que apunte el tráfico destinado a una subred a la interfaz de red del dispositivo. Esta ruta es más específica que la ruta local para la tabla de ruteo. Asocie esta tabla de ruteo con su gateway de Internet o gateway privada virtual. La siguiente tabla de ruteo dirige el tráfico IPv4 destinado a una subred a la interfaz de red del dispositivo.

Destino Objetivo
10.0.0.0/16 Local
10.0.1.0/24 eni-id

También puede sustituir el objetivo de la ruta local por la interfaz de red del dispositivo. Puede hacerlo para asegurarse de que todo el tráfico se dirige automáticamente al dispositivo, incluido el tráfico destinado a las subredes que agregue a la VPC más adelante.

Destino Objetivo
10.0.0.0/16 eni-id

Para dirigir el tráfico de la subred a un dispositivo de otra subred, añada una ruta a la tabla de ruteo de la subred que dirige el tráfico a la interfaz de red del dispositivo. El destino debe ser menos específico que el destino de la ruta local. Por ejemplo, para el tráfico destinado a Internet, especifique 0.0.0.0/0 (todas las direcciones IPv4) para el destino.

Destino Objetivo
10.0.0.0/16 Local
0.0.0.0/0 eni-id

A continuación, en la tabla de ruteo asociada a la subred del dispositivo, añada una ruta que dirija el tráfico a la gateway de Internet o a la gateway privada virtual.

Destino Objetivo
10.0.0.0/16 Local
0.0.0.0/0 igw-id

Puede aplicar la misma configuración de direccionamiento para el tráfico IPv6. Por ejemplo, en la tabla de ruteo de la gateway, puede sustituir el objetivo de las rutas locales IPv4 e IPv6 por la interfaz de red del dispositivo.

Destino Objetivo
10.0.0.0/16 eni-id
2001:db8:1234:1a00::/56 eni-id

En el diagrama que se muestra a continuación, se instala y configura un dispositivo de firewall en una instancia Amazon EC2 de la subred A de la VPC. El dispositivo inspecciona todo el tráfico que entra y sale de la VPC a través de la gateway de Internet. La tabla de ruteo A está asociada a la gateway de Internet. El tráfico destinado a la subred B que entra en la VPC a través de la gateway de Internet se dirige a la interfaz de red del dispositivo (eni-11223344556677889). Todo el tráfico que sale de la subred B también se dirige a la interfaz de red del dispositivo.


                        Direccionamiento IPv4 entrante a una VPC

El ejemplo siguiente tiene la misma configuración que el ejemplo anterior, pero incluye el tráfico IPv6. El tráfico IPv6 destinado a la subred B que entra en la VPC a través de la gateway de Internet se dirige a la interfaz de red del dispositivo (eni-11223344556677889). Todo el tráfico (IPv4 e IPv6) que sale de la subred B también se dirige a la interfaz de red del dispositivo.


                        Direccionamiento IPv4 e IPv6 de entrada a una VPC

Enrutamiento mediante una lista de prefijos

Si hace referencia con frecuencia al mismo conjunto de bloques CIDR en sus recursos de AWS, puede crear una lista de prefijos administrada por el cliente para agruparlos. A continuación, puede especificar la lista de prefijos como destino en la entrada de la tabla de ruteo. Posteriormente, puede agregar o quitar entradas para la lista de prefijos sin necesidad de actualizar las tablas de ruteo.

Por ejemplo, tiene una gateway de enlace de tránsito con varios archivos adjuntos de VPC. Las VPC deben poder comunicarse con dos adjuntos VPC específicos que tengan los siguientes bloques CIDR:

  • 10.0.0.0/16

  • 10.2.0.0/16

Usted crea una lista de prefijos con ambas entradas. En las tablas de ruteo de subred, se crea una ruta y se especifica la lista de prefijos como destino y la gateway de enlace de tránsito como destino.

Destino Objetivo
172.31.0.0/16 Local
pl-123abc123abc123ab tgw-id

El número máximo de entradas para las listas de prefijos es igual al mismo número de entradas en la tabla de ruteo.