Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurare le tabelle di routing
Una tabella di instradamento contiene un insieme di regole, denominato route, che consente di determinare la direzione del traffico di rete dalla sottorete o dal gateway.
Indice
- Concetti relativi alla tabella di instradamento
- Tabelle di routing di sottoreti
- Tabelle di routing del gateway
- Priorità della route
- Quote della tabella di instradamento
- Risolvi i problemi di raggiungibilità
- Opzioni di routing di esempio
- Utilizzo delle tabelle di routing
- Procedura guidata di instradamento middlebox
Concetti relativi alla tabella di instradamento
Di seguito sono riportati i concetti chiave per le tabelle di routing.
-
Tabella di routing principale: la tabella di routing fornita automaticamente con il VPC. Controlla il routing di tutte le sottoreti che non sono state esplicitamente associate a un'altra tabella di routing.
-
Tabella di routing personalizzata: una tabella di routing creata per lo specifico VPC.
-
Destinazione: intervallo di indirizzi IP in cui si desidera incanalare il traffico (CIDR di destinazione). Ad esempio una rete aziendale esterna con il CIDR
172.16.0.0/12. -
Destinazione: il gateway, l'interfaccia di rete o la connessione tramite cui inviare il traffico di destinazione, ad esempio un gateway Internet.
-
Associazione di tabelle di routing: l'associazione tra una tabella di routing e una sottorete, un Internet gateway o un gateway virtuale privato.
-
Tabella di routing della sottorete: una tabella di routing associata a una sottorete.
-
Route locale: una route predefinita per la comunicazione all'interno del VPC.
-
Propagazione: se hai collegato un gateway privato virtuale al tuo VPC e abiliti la propagazione dei percorsi, i percorsi verranno aggiunti automaticamente per la connessione della VPN alle tabelle di instradamento della tua sottorete. In tal modo, non sarà necessario aggiungere o rimuovere manualmente i percorsi della VPN. Per ulteriori informazioni, consulta Opzioni di instradamento di VPN Site-to-Site nella Guida per l'utente di VPN Site-to-Site.
-
Tabella di routing del gateway: una tabella di routing associata a un Internet gateway o a un gateway virtuale privato.
-
Associazione Edge : tabella di routing utilizzata per instradare il traffico VPC in ingresso a un'appliance. Associa una tabella di routing all'Internet gateway o al gateway virtuale privato, quindi specifica l'interfaccia di rete dell'appliance come target per il traffico VPC.
-
Tabella di routing del Transit Gateway: una tabella di routing associata a un Transit Gateway. Per ulteriori informazioni, consulta Tebelle di routing del gateway di transito in Gateway di transito di Amazon VPC.
-
Tabella di routing del gateway locale: una tabella di routing associata a un gateway locale Outposts. Per ulteriori informazioni, consultare Gateway locali nella Guida per l'utente di AWS Outposts .
Tabelle di routing di sottoreti
Il VPC dispone di un router implicito e puoi utilizzare le tabelle di routing per controllare la direzione del traffico di rete. Ogni sottorete nel VPC deve essere associata a una tabella di instradamento, che controlla il routing per la sottorete (tabella di instradamento della sottorete). Puoi associare esplicitamente una sottorete a una particolare tabella di instradamento. In caso contrario, la sottorete è implicitamente associata alla tabella di instradamento principale. Una sottorete può essere associata a una sola tabella di instradamento alla volta, ma puoi associare più sottoreti alla stessa tabella di instradamento.
Indice
Route
Ogni route in una tabella specifica una destinazione e un target. Ad esempio, per consentire alla sottorete di accedere a Internet tramite un Internet gateway, aggiungi la seguente route alla tabella di instradamento della sottorete. La destinazione per la route è 0.0.0.0/0, che rappresenta tutti gli indirizzi IPv4. Il target è l'Internet gateway collegato al VPC.
| Destinazione | Target |
|---|---|
| 0.0.0.0/0 | igw-id |
I blocchi CIDR per IPv4 e IPv6 sono trattati separatamente. Ad esempio, una route con un CIDR di destinazione 0.0.0.0/0 non include automaticamente tutti gli indirizzi IPv6. Devi creare una route con un CIDR di destinazione ::/0 per tutti gli indirizzi IPv6.
Se fai spesso riferimento allo stesso set di blocchi CIDR tra AWS le tue risorse, puoi creare un elenco di prefissi gestito dal cliente per raggrupparli. È quindi possibile specificare l'elenco di prefissi come destinazione nella voce della tabella di instradamento.
Ogni tabella di instradamento contiene una route locale per la comunicazione all'interno del VPC. Questa route viene aggiunta per impostazione predefinita a tutte le tabelle di routing. Se il VPC include più blocchi CIDR IPv4, le tabelle di routing contengono una route locale per ogni blocco CIDR IPv4. Se al VPC hai associato un blocco CIDR IPv6, le tabelle di routing contengono una route locale per il blocco CIDR IPv6. Puoi sostituire o ripristinare la destinazione di ciascuna route locale in base alle esigenze.
Regole e considerazioni
-
È possibile aggiungere alle tabelle di routing una route che sia più specifica della route locale. La destinazione deve corrispondere all'intero blocco CIDR IPv4 o IPv6 di una sottorete nel VPC. La destinazione deve essere un gateway NAT, un'interfaccia di rete o un endpoint Gateway Load Balancer.
-
Se la tabella di instradamento ha più route, utilizziamo quella più specifica corrispondente al traffico (corrispondenza di prefisso più lunga) per determinare come instradare il traffico.
-
Non è possibile aggiungere percorsi agli indirizzi IPv4 che corrispondono esattamente o un sottoinsieme del seguente intervallo: 169.254.168.0/22. Questo intervallo rientra nello spazio degli indirizzi locali del collegamento ed è riservato all'uso da parte dei servizi. AWS Ad esempio, Amazon EC2 utilizza gli indirizzi in questo intervallo per i servizi accessibili solo dalle istanze EC2, come Instance Metadata Service (IMDS) e il server Amazon DNS. È possibile utilizzare un blocco CIDR più grande ma che si sovrappone a 169.254.168.0/22, ma i pacchetti destinati agli indirizzi in 169.254.168.0/22 non verranno inoltrati.
-
Non è possibile aggiungere percorsi agli indirizzi IPv6 che sono un'esatta corrispondenza o un sottoinsieme del seguente intervallo: fd00:ec2::/32. Questo intervallo rientra nello spazio degli indirizzi locali univoci (ULA) ed è riservato all'uso da parte AWS dei servizi. Ad esempio, Amazon EC2 utilizza gli indirizzi in questo intervallo per i servizi accessibili solo dalle istanze EC2, come Instance Metadata Service (IMDS) e il server Amazon DNS. È possibile utilizzare un blocco CIDR più grande di fd00:ec2::/32, ma i pacchetti destinati agli indirizzi in fd00:ec2::/32 non verranno inoltrati.
-
È possibile aggiungere appliance middlebox nei percorsi di routing per il VPC. Per ulteriori informazioni, consultare Routing per un'appliance middlebox.
Esempio
Nel seguente diagramma, un VPC dispone sia di un blocco CIDR IPv4 che di un blocco CIDR IPv6. Il traffico IPv4 e IPv6 viene trattato separatamente, come illustrato nella seguente tabella di routing.
| Destinazione | Target |
|---|---|
| 10.0.0.0/16 | Local |
| 2001:db8:1234:1a00::/56 | Local |
| 172.31.0.0/16 | pcx-11223344556677889 |
| 0.0.0.0/0 | igw-12345678901234567 |
| ::/0 | eigw-aabbccddee1122334 |
-
Il traffico IPv4 da instradare all'interno del VPC (10.0.0.0/16) è coperto dal percorso Local.
-
Il traffico IPv6 da instradare all'interno del VPC (2001:db8:1234:1a00::/56) è coperto dal percorso Local.
-
Il percorso per 172.31.0.0/16 invia il traffico a una connessione peering.
-
Il percorso per tutto il traffico IPv4 (0.0.0.0/0) invia il traffico a un gateway Internet. Pertanto, tutto il traffico IPv4, ad eccezione del traffico all'interno del VPC e verso la connessione peering, viene indirizzato al gateway Internet.
-
Il percorso per tutto il traffico IPv6 (::/0) invia il traffico a un gateway Internet di sola uscita. Pertanto, tutto il traffico IPv6, ad eccezione del traffico all'interno del VPC, viene indirizzato al gateway Internet di sola uscita.
Tabella di routing principale
Quando crei un VPC, questo include automaticamente una tabella di instradamento principale. Se una sottorete non è esplicitamente associata a una tabella di routing, per impostazione predefinita utilizza la tabella di routing principale. Nella pagina Tabelle di instradamento della console Amazon VPC, puoi visualizzare la tabella di instradamento principale di un VPC cercando Sì nella colonna Principale.
Per impostazione predefinita, quando crei un VPC non predefinito, la tabella di instradamento principale contiene solo una route locale. Se Crea un VPC e scegli un gateway NAT , Amazon VPC aggiunge automaticamente le route alla tabella di instradamento principale per i gateway.
Le seguenti regole si applicano alla tabella di instradamento principale:
-
Puoi aggiungere, rimuovere E modificare le route nella tabella di instradamento principale.
-
Non puoi eliminare la tabella di instradamento principale.
-
Non è possibile impostare una tabella di routing del gateway come tabella di routing principale.
-
È possibile sostituire la tabella di routing principale associando una tabella di routing personalizzata a una sottorete.
-
Puoi associare in modo esplicito una sottorete alla tabella di instradamento principale, anche se è già implicitamente associata.
Questa operazione può essere utile quando cambi la tabella di instradamento principale. In questo caso, viene modificata anche la tabella predefinita per le nuove sottoreti o per qualsiasi sottorete non esplicitamente associata ad altre tabelle di routing. Per ulteriori informazioni, consulta Sostituzione della tabella di instradamento principale.
Tabelle di routing personalizzate
Per impostazione predefinita, una tabella di routing contiene un percorso locale per la comunicazione all'interno del VPC. Se Crea un VPC e scegli una sottorete pubblica, Amazon VPC crea una tabella di instradamento personalizzata e aggiunta una route che punta al gateway Internet. Un modo per proteggere il VPC è lasciare la tabella di instradamento principale nel suo stato predefinito originale. Quindi, associare esplicitamente tutte le nuove sottoreti a una delle tabelle di routing personalizzate che hai creato. Ciò consente di controllare esplicitamente il modo in cui ogni sottorete instrada il traffico.
Puoi aggiungere, rimuovere e modificare le route in una tabella di instradamento personalizzata. Puoi eliminare una tabella di instradamento personalizzata solo se non ha associazioni.
Associazione di tabelle di routing della sottorete
Ogni sottorete nel VPC deve essere associata a una tabella di instradamento. Una sottorete può essere associata esplicitamente alla tabella di instradamento personalizzata oppure, implicitamente o esplicitamente, alla tabella di instradamento principale. Per maggiori informazioni sulla visualizzazione delle associazioni della sottorete e della tabella di instradamento, consulta Determinazione delle sottoreti o dei gateway associati esplicitamente.
Le sottoreti che si trovano in VPC associati a Outposts possono avere un tipo di target aggiuntivo per un gateway locale. Questa è l'unica differenza di routing rispetto alle sottoreti non Outposts.
Esempio 1: Associazione di sottoreti implicita ed esplicita
Il diagramma seguente mostra il routing per un VPC con un Internet gateway, un gateway virtuale privato, una sottorete pubblica e una sottorete solo VPN.
Una tabella di instradamento A è una tabella di instradamento personalizzata associata esplicitamente alla sottorete pubblica. Ha un percorso che invia tutto il traffico al gateway Internet, che è ciò che rende la sottorete una sottorete pubblica.
| Destinazione | Target |
|---|---|
CIDR VPC |
Locale |
| 0.0.0.0/0 | igw-id |
La tabella di instradamento B è la tabella di instradamento principale. È associato implicitamente alla sottorete privata. Ha un percorso che invia tutto il traffico al gateway privato virtuale ma nessun percorso verso il gateway Internet, che è ciò che rende la sottorete una sottorete solo VPN. Se crei un'altra sottorete in questo VPC e non associ una tabella di routing personalizzata, anche la sottorete verrà associata implicitamente a questa tabella di routing perché è la tabella di routing principale.
| Destinazione | Target |
|---|---|
CIDR VPC |
Locale |
| 0.0.0.0/0 | vgw-id |
Esempio 2: Sostituzione della tabella di instradamento principale
Se vuoi apportare modifiche alla tabella di instradamento principale ed evitare qualsiasi interruzione del traffico, è consigliabile testare prima le modifiche della route utilizzando una tabella di instradamento personalizzata. Quando sei soddisfatto del risultato del test, puoi sostituire la tabella di instradamento principale con la nuova tabella personalizzata.
Il diagramma seguente mostra due sottoreti e due tabelle di routing. La sottorete A è associata implicitamente alla tabella di routing A, la tabella di routing principale. La sottorete B è associata implicitamente alla tabella di routing A. La tabella di routing B, una tabella di routing personalizzata, non è associata ad alcuna sottorete.
Per sostituire la tabella di routing principale, inizia creando un'associazione esplicita tra la sottorete B e la tabella di routing B. Verifica la tabella di routing B.
Dopo aver testato la tabella di routing B, puoi definirla come la tabella di routing principale. La sottorete B ha ancora un'associazione esplicita con la tabella di routing. Tuttavia la sottorete A adesso ha un'associazione implicita con la tabella di routing B in quanto questa è la nuova tabella di routing principale. La tabella di routing A non è più associata ad alcuna sottorete.
(Facoltativo) Se dissoci la sottorete B dalla tabella di routing B, si ha ancora un'associazione implicita tra la sottorete B e la tabella di routing B. Se non hai più bisogno della tabella di routing A, puoi eliminarla.
Tabelle di routing del gateway
Puoi associare una tabella di instradamento a un Internet gateway o a un gateway virtuale privato. Quando una tabella di instradamento è associata a un gateway, viene chiamata tabella di instradamento del gateway. Puoi creare una tabella di instradamento del gateway per controllare dettagliatamente il percorso di routing del traffico che entra nel VPC. Ad esempio, puoi intercettare il traffico che entra nel VPC tramite un Internet gateway reindirizzandolo a un'appliance middlebox (come un'appliance di sicurezza) nel VPC.
Route delle tabelle di routing del gateway
Una tabella di instradamento del gateway associata a un gateway Internet supporta le route con i seguenti target:
-
La route locale di default
-
Un'interfaccia di rete per un'appliance middlebox
Una tabella di instradamento del gateway associata a un gateway virtuale privato supporta le route con i seguenti target:
-
La route locale di default
-
Un'interfaccia di rete per un'appliance middlebox
Quando la destinazione è un endpoint Gateway Load Balancer o un'interfaccia di rete, sono consentite le seguenti destinazioni:
-
L'intero blocco CIDR IPv4 o IPv6 del VPC. In questo caso, sostituisci il target della route locale predefinita.
-
L'intero blocco CIDR IPv4 o IPv6 di una sottorete nel VPC. Si tratta di una route più specifica rispetto alla route locale predefinita.
Se modifichi il target della route locale in una tabella di instradamento del gateway su un'interfaccia di rete nel VPC, puoi ripristinarlo in seguito sul target local predefinito. Per ulteriori informazioni, consulta Sostituzione o ripristino della destinazione per una route locale.
Esempio
Nella tabella di instradamento del gateway seguente, il traffico destinato a una sottorete con il blocco CIDR 172.31.0.0/20 viene instradato a un'interfaccia di rete specifica. Il traffico destinato a tutte le altre sottoreti nel VPC utilizza la route locale.
| Destinazione | Target |
|---|---|
| 172.31.0.0/16 | Locale |
| 172.31.0.0/20 | eni-id |
Esempio
Nella tabella di instradamento del gateway seguente, il target per la route locale viene sostituito con un ID dell'interfaccia di rete. Il traffico destinato a tutte le sottoreti all'interno del VPC viene instradato all'interfaccia di rete.
| Destinazione | Target |
|---|---|
| 172.31.0.0/16 | eni-id |
Regole e considerazioni
Non puoi associare una tabella di routing a un gateway se è vera una delle seguenti condizioni:
-
La tabella di routing contiene instradamenti esistenti con destinazioni diverse rispetto a un'interfaccia di rete, a un endpoint Gateway Load Balancer o alla route locale di default.
-
La tabella di routing contiene le route esistenti per i blocchi CIDR al di fuori degli intervalli nel VPC.
-
La propagazione delle route è abilitata per la tabella di instradamento.
Inoltre, si applicano le seguenti regole e considerazioni:
-
Non puoi aggiungere route ai blocchi CIDR al di fuori degli intervalli del VPC, inclusi gli intervalli maggiori dei singoli blocchi CIDR del VPC.
-
Come destinazione puoi specificare soltanto
local, un endpoint Gateway Load Balancer o un'interfaccia di rete. Non puoi specificare altri tipi di destinazioni, inclusi i singoli indirizzi IP host. Per ulteriori informazioni, consulta Opzioni di routing di esempio. -
Non è possibile specificare un elenco di prefissi come destinazione.
-
Non puoi utilizzare una tabella di instradamento del gateway per controllare o intercettare il traffico esterno al VPC, ad esempio il traffico che passa da un gateway di transito collegato. Puoi intercettare il traffico che entra nel VPC e reindirizzarlo a un altro target solo nello stesso VPC.
-
Per garantire che il traffico raggiunga l'appliance middlebox, l'interfaccia di rete di destinazione deve essere collegata a un'istanza in esecuzione. Per un traffico che passa attraverso un gateway Internet, l'interfaccia di rete di destinazione deve avere anche un indirizzo IP pubblico.
-
Durante la configurazione dell'accessorio middlebox, prendere nota delle considerazioni relative all'accessorio.
-
Quando si instrada il traffico attraverso un'appliance middlebox, il traffico di ritorno dalla sottorete di destinazione deve essere instradato attraverso la stessa appliance. Il routing asimmetrico non è supportato.
-
Le regole della tabella di instradamento si applicano a tutto il traffico che lascia una sottorete. Il traffico che lascia una sottorete è definito come traffico destinato all'indirizzo MAC del router gateway della sottorete. Il traffico destinato all'indirizzo MAC di un'altra interfaccia di rete nella sottorete utilizza il routing del collegamento dati (livello 2) anziché della rete (livello 3) in modo che le regole non si applichino a questo traffico.
-
Non tutte le zone locali supportano l'associazione edge con gateway privati virtuali. Per ulteriori informazioni sulle zone disponibili, consulta Considerazioni nella AWS Guida per l’utente delle zone locali.
Priorità della route
In generale, indirizziamo il traffico utilizzando il routing più specifico che corrisponde al traffico stesso. Ciò è noto come corrispondenza prefisso più lungo. Se la tabella di instradamento presenta routing sovrapposti o corrispondenti, si applicano le seguenti regole aggiuntive.
Indice
Corrispondenza prefisso più lungo
Le route verso indirizzi IPv4 e IPv6 o blocchi CIDR sono indipendenti l'uno dall'altro. Per determinare come instradare il traffico, viene usato il routing più specifico che corrisponde al traffico IPv4 o IPv6.
Ad esempio, la tabella di instradamento della sottorete seguente include una route per il traffico Internet IPv4 (0.0.0.0/0) che punta a un Gateway Internet e una route per il traffico IPv4 172.31.0.0/16 che punta a una connessione peering (pcx-11223344556677889). Il traffico dalla sottorete destinato all'intervallo di indirizzi IP 172.31.0.0/16 utilizza la connessione peering perché questa route è più specifica rispetto a quella per l'Internet gateway. Il traffico destinato a un target nel VPC (10.0.0.0/16) è coperto dalla route local ed è quindi instradato all'interno del VPC. Il resto del traffico dalla sottorete utilizza l'Internet gateway.
| Destinazione | Target |
|---|---|
| 10.0.0.0/16 | locale |
| 172.31.0.0/16 | pcx-11223344556677889 |
| 0.0.0.0/0 | igw-12345678901234567 |
Priorità del routing e routing propagati
Se hai collegato un gateway virtuale privato al VPC e abilitato la propagazione delle route sulla tabella di routing della sottorete, le route che rappresentano la connessione Site-to-Site VPN vengono automaticamente visualizzate come route propagate nella tua tabella di routing.
Se la destinazione di un routing propagato si sovrappone a un route statico, il secondo ha la priorità.
Se la destinazione di un percrouting orso propagato è identica alla destinazione di un routing statico, quello statico ha la priorità se la destinazione è una delle seguenti:
-
gateway Internet
-
Gateway NAT
-
Interfaccia di rete
-
ID istanza
-
Endpoint VPC del gateway
-
Gateway di transito
-
Connessione di peering di VPC
-
Endpoint Gateway Load Balancer
Per ulteriori informazioni, consulta Tabelle di routing e priorità della route VPN nella Guida per l'utente di AWS Site-to-Site VPN .
Ad esempio, la seguente tabella di routing dispone di un routing statico a un Gateway Internet e un routing propagato a un gateway virtuale privato. La destinazione di entrambe le regole è 172.31.0.0/24. Poiché il routing statico verso un Gateway Internet ha la priorità, tutto il traffico destinato a 172.31.0.0/24 viene indirizzato al Gateway Internet.
| Destinazione | Target | Propagato |
|---|---|---|
| 10.0.0.0/16 | locale | No |
| 172.31.0.0/24 | vgw-11223344556677889 | Sì |
| 172.31.0.0/24 | igw-12345678901234567 | No |
Elenco di priorità di route e prefisso
Se la tabella di instradamento fa riferimento a un elenco di prefissi, si applicano le seguenti regole:
-
Se la tabella di instradamento contiene un routing statico con un blocco CIDR di destinazione che si sovrappone a un routing statico con un elenco di prefissi, quello con il blocco CIDR ha la priorità.
-
Se la tabella di instradamento contiene una route propagata che corrisponde a una route che fa riferimento a un elenco di prefissi, la route che fa riferimento all'elenco di prefissi avrà la priorità. Nota che per le route che si sovrappongono, le route più specifiche hanno sempre la priorità indipendentemente dal fatto che si tratti di route propagate, route statiche o route che fanno riferimento a elenchi di prefissi.
-
Se la tabella di instradamento fa riferimento a più elenchi di prefissi che hanno blocchi CIDR sovrapposti a target diversi, la route che ha la priorità viene scelta in modo casuale. Successivamente, la stessa route avrà sempre la priorità.
Quote della tabella di instradamento
Esiste una quota per il numero di tabelle di routing che possono essere create per ogni VPC. C'è anche una quota per il numero di route che possono essere aggiunte a ogni tabella di instradamento. Per ulteriori informazioni, consulta Quote Amazon VPC.
Risolvi i problemi di raggiungibilità
Reachability Analyzer è uno strumento di analisi statica della configurazione. Usa Reachability Analyzer per analizzare ed eseguire il debug della raggiungibilità della rete tra due risorse nel tuo VPC. Reachability Analyzer hop-by-hop produce dettagli del percorso virtuale tra queste risorse quando sono raggiungibili e identifica il componente di blocco in caso contrario. Ad esempio, è in grado di identificare i percorsi mancanti o non configurati correttamente nella tabella delle rotte.
Per ulteriori informazioni, consulta la Guida di Reachability Analyzer.
