BGP を介して Direct Connect 接続経由で VPC ルートをオンプレミスネットワークにアドバタイズするにはどうすればよいですか?

簡単な説明

Direct Connect の Border Gateway Protocol (BGP) セッションを介して AWS がオンプレミスネットワークにアドバタイズされるルートは、次の接続タイプによって異なります。

• 仮想プライベートゲートウェイ (VGW) に接続された Direct Connect プライベート VIF
• VGW に関連付けられた Direct Connect ゲートウェイに接続された Direct Connect プライベート VIF
• トランジットゲートウェイに関連付けられた Direct Connect ゲートウェイに接続された Direct Connect トランジット VIF

解決策

Direct Connect のオンプレミスネットワークは、BGP を通じて手動で、または BGP への再配布を通じて、ルートをアドバタイズします。AWS がオンプレミスにアドバタイズして返すルートは、ゲートウェイのタイプによって異なります。

VGW に接続する Direct Connect プライベート VIF

VGW に関連付けられた VPC の IPv4/IPv6 CIDR は、オンプレミス BGP ピアに自動的にアドバタイズされます。例えば、CIDR 10.55.0.0/16 VGW の VPC は、プライベート VIF に直接関連付けられます。プレフィックス 10.55.0.0/16 は、自動的にオンプレミスにアドバタイズされます。VPC に関連付けられている追加の CIDR がある場合、それらのプレフィックスは BGP ピアにアドバタイズされます。

VGW に関連付けられた Direct Connect ゲートウェイに接続されたダイレクトコネクトプライベート VIF

1 つの Direct Connect ゲートウェイには、最大 20 個の VGW を関連付けることができます。すべての VPC CIDR プレフィックスは、オンプレミスの BGP ピアにアドバタイズされます。[許可されたプレフィックス]リストは、AWS からオンプレミスの BGP ピアへの BGP アドバタイズメントをフィルタで抽出します。

[許可されたプレフィックス] リストを使用して、同じ CIDR、または CIDR のより小さなサブネットを、Direct Connect ゲートウェイにアドバタイズすることができます。

次の例では、VPC-A CIDR 10.77.0.0/16、VPC-B CIDR 10.66.0.0/16、および VPC-C 192.168.0.0/16 が Direct Connect ゲートウェイにアタッチされています

[許可されたプレフィックス] リストが 10.0.0.0/8 のみを許可するように設定されている場合、プレフィックス 10.77.0.0/16 と 10.66.0.0/16 がオンプレミスの BGP ピアで受信されます。プレフィックスは [許可されたプレフィックス] リストのサブネットですが、オンプレミスの BGP ピアは 192.168.0.0/16 を受信しません。

[許可されたプレフィックス] リストが 10.0.0.0/8 および 192.168.5.0/24 を許可するように設定されている場合、プレフィックス 10.77.0.0/16 および 10.66.0.0/16 はオンプレミスの BGP ピアで受信されます。プレフィックスは [許可されたプレフィックス] リストのサブネットですが、オンプレミスの BGP ピアは 192.168.0.0/16 を受信しません。その IP 範囲が [許可されたプレフィックス] リストに含まれていないためです。

トランジットゲートウェイに関連付けられた Direct Connect ゲートウェイに接続する Direct Connect トランジット VIF

1 つの Direct Connect ゲートウェイを最大 6 つのトランジットゲートウェイに関連付けることができます。トランジットゲートウェイ全体で、および Direct Connect 接続を介して、数百の VPC がトラフィックを送信できます。オンプレミスネットワークは、個々の VPC すべてに対するルートを有しているか、集約されたルートを使用する必要があります。Direct Connect を使用してトランジットゲートウェイからオンプレミスへアドバタイズされるルートは、[許可されたプレフィックス] で定義されます。

すべてのプレフィックスは、オンプレミスの BGP ピアにアドバタイズされます。[許可されたプレフィックス] リストは、トランジットゲートウェイからオンプレミスの Direct Connect ピアにアドバタイズします。トランジットゲートウェイに接続された VPC CIDR ではない場合でも、8.8.8.8/32 などの任意の IP アドレスのルートをアドバタイズできます。

トランジットゲートウェイ用の [許可されたプレフィックス] リストのプレフィックス数は IPv4 と IPv6 の合計で 200 個に制限されます。次の例では、VPC-A CIDR 10.77.0.0/16、VPC-B CIDR 10.66.0.0/16、および VPC-C 192.168.0.0/16 が、 Direct Connect ゲートウェイに接続するトランジットゲートウェイにアタッチされています。[許可されたプレフィックス] リストが 10.0.0.0/8 と 192.168.5.0/24 を許可するように設定されている場合、オンプレミスネットワークではその 3 つの VPC CIDR プレフィックスを受け取りません。代わりに、BGP を介してアドバタイズされるプレフィックス 10.0.0.0/8 および 192.168.5.0/24 を受け取ります。

[許可されたプレフィックス] リストが 10.0.0.0/8 および 192.168.0.0/16 を許可するように設定されている場合、BGP を介してアドバタイズされたプレフィックス 10.0.0.0/8 および 192.168.0.0/16 を受け取ります。

[許可されたプレフィックス] リストが 0.0.0.0/0 のみを許可するように設定されている場合、BGP を介してアドバタイズされたデフォルトルート 0.0.0.0/0 だけを受け取ります。

トランジットゲートウェイと Direct Connect ゲートウェイとの関連付けまたは VGW の [許可されたプレフィックス] に対する変更は、ルートについて更新され、BGP セッションは停止しません。

注: [許可されたプレフィックス] リストに加えられた変更は、反映されるまでに数分かかる場合があります。

関連情報

許可されたプレフィックスのインタラクション

AWS Direct Connect のクォータ