Collegamenti di Transit gateway Connect e peer di Transit Gateway Connect - Amazon VPC
Peer ConnectRequisiti e considerazioniCrea un collegamento Connect.Crea un peer Connect (tunnel GRE)Visualizza i Collegamenti Connect e peer ConnectModifica il collegamento Connect e i tag del peer ConnectElimina un peer ConnectElimina un collegamento Connect

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Collegamenti di Transit gateway Connect e peer di Transit Gateway Connect

Puoi creare un collegamento Connect del gateway di transito per stabilire una connessione tra un gateway di transito e appliance virtuali di terze parti (ad esempio le appliance SD-WAN) in esecuzione in un VPC. Un collegamento Connect supporta il protocollo del tunnel GRE (Generic Routing Encapsulation) per prestazioni elevate e Border Gateway Protocol (BGP) per il routing dinamico. Dopo aver creato un collegamento Connect, puoi creare uno o più tunnel GRE (detti anche peer di Transit Gateway Connect) sul collegamento Connect in modo da connettere il gateway di transito e l'appliance di terze parti. In questo modo vengono stabilite due sessioni BGP attraverso il tunnel GRE per scambiare informazioni di routing.

Importante

Un peer di Transit Gateway Connect è costituito da due sessioni di peering BGP che terminano sull'infrastruttura gestita da AWS. Le due sessioni di peering BGP forniscono la ridondanza del piano di routing, assicurando che la perdita di una sessione di peering BGP non influisca sulle operazioni di routing. Le informazioni di routing ricevute da entrambe le sessioni BGP vengono accumulate per il peer di Connect specificato. Le due sessioni di peering BGP proteggono anche da qualsiasi operazione sull'infrastruttura AWS come manutenzione ordinaria, applicazione di patch, aggiornamenti hardware e sostituzioni. Se il peer di Connect funziona senza la sessione di peering BGP doppia consigliata e configurata per la ridondanza, potrebbe verificarsi una momentanea perdita di connettività durante le operazioni sull'infrastruttura AWS. Consigliamo vivamente di configurare entrambe le sessioni di peering BGP sul peer di Connect. Se più peer di Connect sono stati configurati per supportare l'elevata disponibilità lato appliance, si consiglia di configurare entrambe le sessioni di peering BGP su ciascuno dei peer di Connect.

Un collegamento Connect utilizza un collegamento VPC o Direct Connect esistente come meccanismo di trasporto sottostante. Questo è detto collegamento di trasporto. Il gateway di transito identifica i pacchetti GRE corrispondenti dell'appliance di terze parti come traffico proveniente dal collegamento Connect. Tutti gli altri pacchetti, inclusi i pacchetti GRE con informazioni di origine o di destinazione errate, verranno trattati come traffico proveniente dal collegamento di trasporto.

Nota

Per utilizzare un allegato Direct Connect come meccanismo di trasporto, devi prima integrare Direct Connect con il gateway di transito di AWS. Per le istruzioni per creare questa integrazione, consulta Integra i dispositivi SD-WAN con il gateway di transito AWS e AWS Direct Connect.

Peer Connect

Un peer Connect (tunnel GRE) è costituito dai componenti riportati di seguito.

Blocchi CIDR interni (indirizzi BGP)

Gli indirizzi IP interni utilizzati per il peering BGP. Per IPv4 devi specificare un blocco /29 CIDR dall'intervallo 169.254.0.0/16. Facoltativamente puoi specificare un blocco CIDR /125 dall'intervallo fd00::/8 per IPv6. I seguenti blocchi CIDR sono riservati e non possono essere utilizzati:

  • 169.254.0.0/29

  • 169.254.1.0/29

  • 169.254.2.0/29

  • 169.254.3.0/29

  • 169.254.4.0/29

  • 169.254.5.0/29

  • 169.254.169.248/29

Il primo indirizzo dell'intervallo IPv4 deve essere configurato sull'appliance come indirizzo IP BGP. Se utilizzi IPv6, se il blocco CIDR interno è fd00::/125, allora dovrai configurare il primo indirizzo di questo intervallo (fd00::1) sull'interfaccia tunnel dell'appliance.

Gli indirizzi BGP devono essere univoci in tutti i tunnel di un gateway di transito.

Indirizzo IP peer

L'indirizzo IP peer (indirizzo IP esterno GRE) sul lato appliance del peer Connect. Questo può essere un qualsiasi indirizzo IP. L'indirizzo IP può essere un indirizzo IPv4 o IPv6, ma deve essere la stessa famiglia di indirizzi IP dell'indirizzo del gateway di transito.

Indirizzo gateway di transito

L'indirizzo IP peer (indirizzo IP esterno GRE) sul lato gateway di transito del peer Connect. L'indirizzo IP deve essere specificato dal blocco CIDR del gateway di transito e deve essere univoco tra i collegamenti Connect nel gateway di transito. Se non specifichi un indirizzo IP, verrà utilizzato il primo indirizzo disponibile dal blocco CIDR del gateway di transito.

Puoi aggiungere un blocco CIDR del gateway di transito quando crei o modifichi un gateway di transito.

L'indirizzo IP può essere un indirizzo IPv4 o IPv6, ma deve essere la stessa famiglia di indirizzi IP dell'indirizzo IP peer.

L'indirizzo IP peer e l'indirizzo del gateway di transito vengono utilizzati per identificare in modo univoco il tunnel GRE. Puoi riutilizzare entrambi gli indirizzi in più tunnel, ma non entrambi nello stesso tunnel.

Transit Gateway Connect per il peering BGP supporta solo BGP multiprotocollo (MP-BGP), dove l'indirizzamento Unicast IPv4 è richiesto per stabilire anche una sessione BGP per Unicast IPv6. Puoi usare sia indirizzi IPv4 che IPv6 per indirizzi IP esterni del GRE.

Nell'esempio seguente viene riportato un collegamento Connect tra un gateway di transito e un'appliance in un VPC.

Collegamento Connect del gateway di transito e peer Connect
Componente diagramma Description
Mostra come sono rappresentati i collegamenti VPC nel diagramma di esempio.
Collegamento VPC
Mostra come sono rappresentati i collegamenti Connect nel diagramma di esempio.
Collegamento Connect
Mostra come sono rappresentati i tunnel GRE nel diagramma di esempio.
Tunnel GRE (peer Connect)
Mostra come sono rappresentate le sessioni di peering BGP nel diagramma di esempio.
Sessione di peering BGP

Nell'esempio precedente viene creato un collegamento Connect su un collegamento VPC esistente (il collegamento di trasporto). Viene quindi creato un peer Connect sul collegamento Connect per stabilire una connessione a un’appliance nel VPC. L'indirizzo del gateway di transito è 192.0.2.1, e l'intervallo di indirizzi BGP è 169.254.6.0/29. Il primo indirizzo IP dell'intervallo (169.254.6.1) viene configurato sull'appliance come indirizzo IP BGP peer.

La tabella di routing della rottorete per il VPC C dispone di una route che instrada il traffico destinato al blocco CIDR del gateway di transito al gateway di transito.

Destinazione Target
172.31.0.0/16 Locale
192.0.2.0/24 tgw-id

Requisiti e considerazioni

Di seguito sono riportati i requisiti e le considerazioni per un collegamento Connect.

  • Per informazioni sulle regioni che supportano i collegamenti Connect, consulta le Domande frequenti su Transit Gateway di AWS.

  • L'appliance di terze parti deve essere configurata per inviare e ricevere traffico attraverso un tunnel GRE da e verso il gateway di transito tramite il collegamento Connect.

  • L'appliance di terze parti deve essere configurata per utilizzare BGP per gli aggiornamenti delle route dinamiche e i controlli di integrità.

  • Sono supportati i seguenti tipi di BGP:

    • BGP esterno (eBGP): utilizzato per la connessione a router che si trovano in un sistema autonomo diverso da quello del gateway di transito. Se utilizzi un eBGP, dovrai configurare ebgp-multihop con un valore time-to-live (TTL) pari a 2.

    • BGP interno (iBGP): utilizzato per la connessione a router che si trovano nello stesso sistema autonomo del gateway di transito. Il gateway di transito non installa route da un peer iBGP (appliance di terze parti), a meno che le route non siano originate da un peer eBGP e non devono avere next-hop-self configurato. Le route pubblicizzate dall'appliance di terze parti tramite il peering iBGP devono avere un ASN.

    • MP-BGP (estensioni multiprotocol for BGP): utilizzato per supportare più tipi di protocollo, ad esempio famiglie di indirizzi IPv4 e IPv6.

  • Il timeout di keep-alive BGP predefinito è di 10 secondi e il timer di attesa predefinito è di 30 secondi.

  • Il peering BGP IPv6 non è supportato; è supportato solo il peering BGP basato su IPv4. I prefissi IPv6 vengono scambiati tramite peering IPv4 BGP utilizzando MP-BGP.

  • Il rilevamento bidirezionale di inoltro (BFD) non è supportato.

  • Non è supportato il riavvio gestito automaticamente di BGP.

  • Se crei un peer del gateway di transito, se non specifichi un numero ASN peer, verrà selezionato il numero ASN del gateway di transito. Ciò significa che l'appliance e il gateway di transito saranno nello stesso sistema autonomo che esegue iBGP.

  • Un peer di Connect che utilizza l'attributo BGP AS-PATH è il percorso preferito quando disponi di due peer Connect.

    Per utilizzare il routing ECMP (Equal-Cost Multi-Path) tra più appliance, dovrai configurare l'appliance in modo che pubblicizzi gli stessi prefissi al gateway di transito con lo stesso attributo BGP AS-PATH. Affinché il gateway di transito scelga tutti i percorsi ECMP disponibili, l'AS-PATH e il numero di sistema autonomo (ASN) devono corrispondere. Il gateway di transito può utilizzare ECMP tra peer Connect per lo stesso collegamento Connect o tra collegamenti Connect sullo stesso gateway di transito. Il gateway di transito non può utilizzare ECMP tra entrambi i peering BGP ridondanti che un singolo peer stabilisce.

  • Per impostazione predefinita, con un allegato Connect le route vengono propagate a una tabella di routing del gateway di transito.

  • Le route statiche non sono supportate.

  • Assicurati che l'interfaccia esterna del tuo dispositivo di terze parti (sorgente tunnel) sia la Maximum Transmission Unit (MTU)

    • corrisponde all'MTU dell'interfaccia del tunnel GRE, oppure

    • dovrebbe essere maggiore di quella dell'interfaccia del tunnel GRE.

Crea un collegamento Connect.

Per creare un collegamento Connect, devi specificare un collegamento esistente come collegamento di trasporto. Puoi specificare un collegamento VPC o un collegamento Direct Connect come collegamento di trasporto.

Per creare un collegamento Connect utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, seleziona Collegamenti del gateway di transito alla VPN.

  3. Selezionare Create transit gateway attachments (crea collegamenti del gateway di transito).

  4. (Facoltativo) In Tag nome, specifica un nome di tag per il collegamento.

  5. Per ID gateway di transito, scegliere il gateway di transito per il collegamento.

  6. In Tipo collegamento, seleziona Connect.

  7. Per ID collegamento di trasporto, seleziona l'ID di un collegamento esistente (collegamento di trasporto).

  8. Selezionare Create transit gateway attachments (Crea collegamenti del gateway di transito).

Per creare un collegamento Connect utilizzando la AWS CLI

Utilizza il comando create-transit-gateway-connect.

Crea un peer Connect (tunnel GRE)

Puoi creare un peer Connect (tunnel GRE) per un collegamento Connect esistente. Prima di iniziare, assicurarsi di aver configurato un blocco CIDR del gateway di transito. Puoi configurare un blocco CIDR del gateway di transito quando crei o modifichi un gateway di transito.

Quando crei il peer Connect, devi specificare l'indirizzo IP esterno GRE sul lato appliance del peer Connect.

Per creare un peer Connect utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, seleziona Collegamenti del gateway di transito alla VPN.

  3. Seleziona il collegamento Connect e scegli Azioni, Crea peer connect.

  4. (Facoltativo) In Tag nome, specifica un tag di nome per il peer di Connect.

  5. (Facoltativo) In indirizzo GRE del gateway di transito, specifica l'indirizzo IP esterno GRE per il gateway di transito. Per impostazione predefinita, viene utilizzato il primo indirizzo disponibile dal blocco CIDR del gateway di transito.

  6. Per Indirizzo GRE peer, specifica l'indirizzo IP esterno GRE per il lato appliance del peer Connect.

  7. In IPv4 blocchi CIDR interni BGP, specifica l'intervallo di indirizzi IPv4 interni utilizzati per il peering BGP. Specifica un blocco CIDR /29 dall'intervallo 169.254.0.0/16.

  8. (Facoltativo) In IPv6 blocchi CIDR interni BGP, specifica l'intervallo di indirizzi IPv6 interni utilizzati per il peering BGP. Specifica un blocco CIDR /125 dall'intervallo fd00::/8.

  9. (Facoltativo) In ASN peer, specifica il Border Gateway Protocol (BGP) Autonomous System Number (ASN) per l'appliance. Puoi utilizzare un ASN esistente assegnato alla tua rete. Se non ne hai uno, puoi utilizzare un ASN privato compreso nell'intervallo 64512–65534 (ASN a 16 bit) o 4200000000–4294967294 (ASN a 32 bit).

    Il valore predefinito è lo stesso ASN del gateway di transito. Se configuri l'ASN peer in modo che sia diverso dall'ASN del gateway di transito (eBGP), dovrai configurare il parametro ebgp-multihop con un valore TTL (time-to-live) pari a 2.

  10. Scegliere Crea peer connect.

Per creare un peer di Connect utilizzando la AWS CLI

Utilizza il comando create-transit-gateway-connect-peer.

Visualizza i Collegamenti Connect e peer Connect

Puoi visualizzare i collegamenti Connect e i peer Connect.

Per visualizzare i collegamenti Connect e i peer Connect utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, seleziona Collegamenti del gateway di transito alla VPN.

  3. Seleziona il collegamento Connect.

  4. Per visualizzare i peer Connect per il collegamento, seleziona la scheda Peer Connect .

Per visualizzare i collegamenti Connect e i peer Connect utilizzando la AWS CLI

Utilizza i comandi describe-transit-gateway-connects e describe-transit-gateway-connect-peers.

Modifica il collegamento Connect e i tag del peer Connect

Puoi modificare i tag per il collegamento Connect.

Per modificare i tag del collegamento Connect utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, seleziona Collegamenti del gateway di transito.

  3. Seleziona il collegamento Connect, quindi seleziona Operazioni, Gestisci tag.

  4. Per aggiungere un tag, seleziona Aggiungi un nuovo tag e specifica il nome e il valore della chiave.

  5. Per rimuovere un tag, scegli Remove (Rimuovi).

  6. Seleziona Salva.

Puoi modificare i tag per il peer Connect.

Per modificare i tag del peer Connect utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, seleziona Collegamenti del gateway di transito.

  3. Seleziona il collegamento Connect, quindi seleziona Peer Connect.

  4. Seleziona il peer di Connect, quindi scegli Operazioni, Gestisci tag.

  5. Per aggiungere un tag, seleziona Aggiungi un nuovo tag e specifica il nome e il valore della chiave.

  6. Per rimuovere un tag, scegli Remove (Rimuovi).

  7. Seleziona Salva.

Per modificare l'allegato Connect e i tag del peer Connect utilizzando la AWS CLI

Utilizza i comandi create-tags e delete-tags.

Elimina un peer Connect

Se non hai più bisogno di un peer Connect, puoi eliminarlo.

Per eliminare un peer Connect utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, seleziona Collegamenti del gateway di transito alla VPN.

  3. Seleziona il collegamento Connect.

  4. Nella scheda Peer di Connect, seleziona il peer Connect e scegli Azioni, Elimina peer Connect.

Per eliminare un peer di Conncet utilizzando la AWS CLI

Utilizza il comando delete-transit-gateway-connect-peer.

Elimina un collegamento Connect

Se non hai più bisogno di un collegamento Connect, puoi eliminarlo. Per prima cosa, devi eliminare tutti i peer Connect per il collegamento.

Per eliminare un collegamento Connect utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, seleziona Collegamenti del gateway di transito alla VPN.

  3. Seleziona il collegamento Connect e scegli Operazioni, Eliminare il collegamento del gateway.

  4. Inserire delete, quindi scegliere Delete (Elimina).

Per eliminare un collegamento Connect utilizzando la AWS CLI

Utilizza il comando delete-transit-gateway-connect.