AWS Site-to-Site VPN
Guía del usuario

Opciones de direccionamiento de Site-to-Site VPN

Cuando cree una conexión de Site-to-Site VPN, debe hacer lo siguiente:

  • Especifique el tipo de direccionamiento que va a usar (estático o dinámico)

  • Actualice la tabla de ruteo de la subred

Existen límites en cuanto al número de rutas que puede añadir a una tabla de ruteo. Para obtener más información, consulte la sección Tablas de ruteo en Límites de Amazon VPC en la Guía del usuario de Amazon VPC.

Direccionamiento estático y dinámico

El tipo de direccionamiento seleccionado puede depender del fabricante y del modelo de sus dispositivos de VPN. Si su dispositivo de VPN admite el protocolo de gateway fronteriza (BGP), especifique el direccionamiento dinámico al configurar la conexión de Site-to-Site VPN. Si su dispositivo no admite BGP, especifique el direccionamiento estático. Para obtener una lista de dispositivos de direccionamiento dinámico probados con Amazon VPC, consulte las preguntas frecuentes de Amazon Virtual Private Cloud.

Cuando utilice un dispositivo BGP, no será necesario especificar ninguna ruta estática a la conexión de Site-to-Site VPN, puesto que el dispositivo utiliza BGP para anunciar sus rutas a la gateway privada virtual. Si utiliza un dispositivo que admite publicidad BGP, no puede especificar rutas estáticas. Si utiliza un dispositivo que no admite BGP, debe seleccionar el direccionamiento estático y escribir las rutas (prefijos IP) de su red que deben comunicarse con la gateway privada virtual.

Se recomienda utilizar dispositivos que admitan BGP, siempre que estén disponibles, ya que el protocolo BGP ofrece comprobaciones de detección de conexión que pueden ayudar en la conmutación por error al segundo túnel de VPN en caso de error en el primero. Los dispositivos que no admiten BGP también pueden realizar comprobaciones de estado para ayudar en la conmutación por error al segundo túnel siempre que sea necesario.

Tablas de ruteo y prioridad de las rutas de VPN

Las tablas de ruteo determinan dónde se dirige el tráfico de red. En la tabla de ruteo, debe añadir una ruta para su red remota y especificar la gateway privada virtual como destino. Esto permite que el tráfico desde su VPC que está dirigido a su red remota se enrute a través de la gateway privada virtual y a través de uno de los túneles de VPN. Puede habilitar la propagación de rutas para que su tabla de ruteo propague automáticamente las rutas de red a la tabla.

Solo los prefijos IP conocidos para la gateway privada virtual, ya sea mediante anuncios de BGP o por introducción de ruta estática, podrán recibir tráfico de su VPC. La gateway privada virtual no direcciona el tráfico cuyo destino no sea el mencionado en los anuncios de BGP recibidos, las entradas de ruta estática o los CIDR de VPC asociados.

Cuando una gateway privada virtual recibe información de direccionamiento, usa la selección de rutas para determinar cómo dirigir el tráfico a su red remota. Se aplica la coincidencia con el prefijo más largo; en caso contrario, se aplican las siguientes reglas:

  • En caso de que alguna de las rutas propagadas de una conexión de Site-to-Site VPN o AWS Direct Connect se superpongan con la ruta local de su VPC, se preferirá la ruta local incluso si las rutas propagadas son más específicas.

  • Si alguna de las rutas propagadas desde una conexión de Site-to-Site VPN o AWS Direct Connect tiene el mismo bloque de CIDR de destino que otras rutas estáticas (cuando no sea posible aplicar la coincidencia de prefijo más largo), se dará prioridad a las rutas estáticas cuyos objetivos sean puertos de enlace a Internet, gateways privadas virtuales, interfaces de red, ID de instancia, interconexiones de VPC, gateways NAT o puntos de enlace de la VPC.

Si tiene rutas que se superponen en una conexión de Site-to-Site VPN y no es posible aplicar la coincidencia de prefijo más largo, se dará la prioridad siguiente a las rutas de la conexión de Site-to-Site VPN (ordenadas de mayor a menor preferencia):

  • Rutas propagadas de BGP desde una conexión de AWS Direct Connect

  • Rutas estáticas añadidas manualmente para una conexión de Site-to-Site VPN

  • Rutas propagadas de BGP desde una conexión de Site-to-Site VPN

En este ejemplo, la tabla de ruteo tiene una ruta estática a una gateway de Internet (añadida manualmente) y una ruta propagada a una gateway privada virtual. Ambas rutas tienen el destino 172.31.0.0/24. En este caso, todo el tráfico con destino 172.31.0.0/24 se dirige a la gateway de Internet, ya que se trata de una ruta estática con prioridad sobre la ruta propagada.

Destino Objetivo
10.0.0.0/16 Local
172.31.0.0/24 vgw-1a2b3c4d (propagado)
172.31.0.0/24 igw-11aa22bb