Come posso pubblicizzare i percorsi VPC tramite una connessione Direct Connect su una rete on-premise tramite BGP?

4 minuti di lettura
0

Desidero pubblicizzare i percorsi Virtual Private Cloud (Amazon VPC) tramite una sessione BGP VIF di AWS Direct Connect su una rete on-premise.

Breve descrizione

I percorsi pubblicizzati da AWS su una rete on-premise tramite una sessione Border Gateway Protocol (BGP) di Direct Connect dipendono dai seguenti tipi di connessione:

  • VIF privata di Direct Connect connessa a un gateway privato virtuale (VGW)
  • VIF privata di Direct Connect connessa a un gateway Direct Connect associato a un VGW
  • VIF di transito di Direct Connect connessa a un gateway Direct Connect associato a un gateway di transito

Risoluzione

La rete on-premise Direct Connect pubblicizza i percorsi manualmente tramite BGP o tramite la ridistribuzione in BGP. I percorsi che AWS pubblicizza nuovamente on-premise variano in base al tipo di gateway.

VIF privata di Direct Connect connessa a un VGW

Il CIDR IPv4/IPv6 del VPC associato al VGW viene automaticamente pubblicizzato sul peer BGP on-premise. Ad esempio, un VPC con CIDR 10.55.0.0/16 VGW è associato direttamente a una VIF privata. Il prefisso 10.55.0.0/16 viene pubblicizzato automaticamente on-premise. Se ci sono altri CIDR associati al VPC, questi prefissi vengono pubblicizzati sul peer BGP.

VIF privata di Direct Connect connessa a un gateway Direct Connect associato a un VGW

È possibile avere fino a 20 VGW associati a un gateway Direct Connect. Tutti i prefissi del CIDR VPC vengono pubblicizzati sul peer BGP on-premise. L'elenco dei ](https://docs.aws.amazon.com/directconnect/latest/UserGuide/allowed-to-prefixes.html)prefissi consentiti[ filtra le pubblicità BGP da AWS verso il peer BGP on-premise.

L'elenco di prefissi consentiti permette agli stessi CIDR o a una sottorete più piccola dei CIDR di pubblicizzare sul gateway Direct Connect.

Nell'esempio seguente, il CIDR VPC-A 10.77.0.0/16 e i CIDR VPC-B 10.66.0.0/16 e VPC-C 192.168.0.0/16 sono collegati a un gateway Direct Connect

Se l'elenco dei prefissi consentiti ammette solo 10.0.0.0/8, il peer BGP on-premise riceverà i prefissi 10.77.0.0/16 e 10.66.0.0/16. I prefissi sono sottoreti dell'elenco di prefissi consentiti, ma il peer BGP on-premise non riceve 192.168.0.0/16.

Se l'elenco dei prefissi consentiti ammette 10.0.0.0/8 e 192.168.5.0/24, il peer BGP on-premise riceverà i prefissi 10.77.0.0/16 e 10.66.0.0/16. I prefissi sono sottoreti dell'elenco dei prefissi consentiti, ma il peer BGP on-premise non riceve 192.168.0.0/16 perché tale intervallo non corrisponde all'elenco consentito.

VIF di transito di Direct Connect che si connette a un gateway Direct Connect associato a un gateway di transito

È possibile associare un gateway Direct Connect a un massimo di sei gateway di transito. Centinaia di VPC possono inviare traffico attraverso il gateway di transito e tramite la connessione Direct Connect. La rete on-premise deve disporre dei percorsi per tutti i singoli VPC o utilizzare un percorso riepilogato. I percorsi pubblicizzati dal gateway di transito verso l'on-premise con Direct Connect sono definiti nei prefissi consentiti.

Tutti i prefissi pubblicizzano sul peer BGP on-premise. L'elenco dei prefissi consentiti pubblicizza dal gateway di transito sul peer Direct Connect on-premise. È possibile pubblicizzare un percorso per qualsiasi indirizzo IP, come 8.8.8.8/32, anche se non si tratta di un CIDR VPC connesso al gateway di transito.

L'elenco dei prefissi consentiti per il gateway di transito ha in totale un limite di 200 prefissi per IPv4 e IPv6. Nell'esempio seguente, il CIDR VPC-A 10.77.0.0/16 e i CIDR VPC-B 10.66.0.0/16 e VPC-C 192.168.0.0/16 sono collegati a un gateway di transito che si connette a un gateway Direct Connect. Se l'elenco dei prefissi consentiti è impostato per consentire 10.0.0.0/8 e 192.168.5.0/24, non si riceveranno i tre prefissi dei CIDR VPC sulla rete on-premise. Si riceveranno, invece, i prefissi 10.0.0.0/8 e 192.168.5.0/24 pubblicizzati sul BGP.

Se l'elenco dei prefissi consentiti è impostato per consentire 10.0.0.0/8 e 192.168.0.0/16, si riceveranno i prefissi 10.0.0.0/8 e 192.168.0.0/16 pubblicizzati sul BGP.

Se l'elenco dei prefissi consentiti è impostato per consentire solo 0.0.0.0/0, si riceverà solo il percorso predefinito 0.0.0.0/0 pubblicizzato sul BGP.

Le modifiche ai prefissi consentiti su un VGW o un'associazione di gateway di transito con un gateway Direct Connect vengono aggiornate per i percorsi. Non interrompono la sessione BGP.

Nota: la propagazione delle modifiche apportate all'elenco dei prefissi consentiti può richiedere diversi minuti.

Informazioni correlate

Interazioni dei prefissi consentiti

Quote Direct Connect

AWS UFFICIALE
AWS UFFICIALEAggiornata 6 mesi fa