Interações de prefixos permitidos - AWS Direct Connect
Associações de gateways privados virtuaisAssociações de gateways de trânsito

Interações de prefixos permitidos

Saiba como os prefixos permitidos interagem com gateways de trânsito e gateways privados virtuais. Para obter mais informações, consulte Políticas de roteamento e comunidades BGP.

Associações de gateways privados virtuais

A lista de prefixos (IPv4 e IPv6) atua como um filtro que permite que os mesmos CIDRs, ou um intervalo menor de CIDRs, sejam anunciados no gateway do Direct Connect. É necessário definir os prefixos para um intervalo que seja o mesmo ou maior que o bloco CIDR da VPC.

nota

A lista de permissões só funciona como um filtro, e somente o CIDR de VPC associado será anunciado no gateway do cliente.

Considere o cenário em que você tem uma VPC com CIDR 10.0.0.0/16 anexada a um gateway privado virtual.

  • Quando a lista de prefixos permitidos é definida como 22.0.0.0/24, você não recebe nenhuma rota porque 22.0.0.0/24 não é igual nem maior do que 10.0.0.0/16.

  • Quando a lista de prefixos permitidos é definida como 10.0.0.0/24, você não recebe nenhuma rota porque 10.0.0.0/24 não é igual a 10.0.0.0/16.

  • Quando a lista de prefixos permitidos é definida como 10.0.0.0/15, você recebe 10.0.0.0/16 porque o endereço IP é maior do que 10.0.0.0/16.

Quando você remover ou adicionar um prefixo permitido, o tráfego que não usar esse prefixo não será afetado. Durante as atualizações, o status muda de associated para updating. A modificação de um prefixo existente pode atrasar somente o tráfego que usa esse prefixo.

Associações de gateways de trânsito

Para uma associação de gateway de trânsito, você provisiona a lista de prefixos permitidos no gateway do Direct Connect. A lista roteia o tráfego do ambiente on-premises de ou para um gateway do Direct Connect para o gateway de trânsito mesmo que as VPCs anexadas ao gateway de trânsito não tenham CIDRs atribuídos. Os prefixos permitidos funcionam de forma diferente de acordo com o tipo de gateway:

  • Para associações de gateway de trânsito, somente os prefixos permitidos inseridos serão anunciados no ambiente on-premises. Eles serão exibidos como originários do ASN do gateway do Direct Connect.

  • Para gateways privados virtuais, os prefixos permitidos inseridos atuam como um filtro para permitir os mesmos CIDRs ou CIDRs menores.

Considere o cenário no qual você tem uma VPC com CIDR 10.0.0.0/16 anexada a um gateway de trânsito.

  • Quando a lista de prefixos permitidos é definida como 22.0.0.0/24, você recebe 22.0.0.0/24 via BGP em sua interface virtual de trânsito. Você não receberá 10.0.0.0/16 porque provisionamos diretamente os prefixos que estão na lista de prefixos permitidos.

  • Quando a lista de prefixos permitidos é definida como 10.0.0.0/24, você recebe 10.0.0.0/24 via BGP em sua interface virtual de trânsito. Você não receberá 10.0.0.0/16 porque provisionamos diretamente os prefixos que estão na lista de prefixos permitidos.

  • Quando a lista de prefixos permitidos é definida como 10.0.0.0/8, você recebe 10.0.0.0/8 via BGP em sua interface virtual de trânsito.

Não é permitido ter sobreposições de prefixos permitidos quando houver vários gateways de trânsito associados a um gateway do Direct Connect. Por exemplo, se você tiver um gateway de trânsito com uma lista de prefixos permitidos que inclua 10.1.0.0/16 e um segundo gateway de trânsito com uma lista de prefixos permitidos que inclua 10.2.0.0/16 e 0.0.0.0/0, você não poderá definir as associações do segundo gateway de trânsito como 0.0.0.0/0. Como 0.0.0.0/0 inclui todas as redes IPv4, não é possível configurar 0.0.0.0/0 se houver vários gateways de trânsito associados a um gateway do Direct Connect. Um erro será retornado indicando que as rotas permitidas se sobrepõem a uma ou mais rotas permitidas existentes no gateway do Direct Connect.

Quando você remover ou adicionar um prefixo permitido, o tráfego que não usar esse prefixo não será afetado. Durante as atualizações, o status muda de associated para updating. A modificação de um prefixo existente pode atrasar somente o tráfego que usa esse prefixo.