Como posso anunciar rotas de VPC em uma conexão do Direct Connect para uma rede on-premises via BGP?

4 minuto de leitura
0

Quero anunciar rotas de Virtual Private Cloud (Amazon VPC) em uma sessão BGP do AWS Direct Connect VIF para uma rede on-premises.

Breve descrição

As rotas que a AWS anuncia para uma rede on-premises por meio de uma sessão do Protocolo de Gateway da Borda (BGP) Direct Connect dependem desses tipos de conexão:

  • VIF privada do Direct Connect conectada a um gateway privado virtual (VGW)
  • VIF privada do Direct Connect conectada a um gateway do Direct Connect associado a um VGW
  • VIF de trânsito do Direct Connect conectada a um gateway do Direct Connect associado a um gateway de trânsito

Resolução

A rede on-premises do Direct Connect anuncia as rotas manualmente por meio do BGP ou por meio da redistribuição no BGP. As rotas que a AWS anuncia de volta para a rede on-premises dependem do tipo de gateway.

VIF privada do Direct Connect conectada a um VGW

O CIDR IPv4/IPv6 da VPC associado ao VGW anuncia automaticamente para um par BGP on-premises. Por exemplo, uma VPC com CIDR 10.55.0.0/16 VGW está associada diretamente a uma VIF privada. O prefixo 10.55.0.0/16 anuncia automaticamente para a arquitetura on-premises. Se houver CIDRs adicionais associados à VPC, esses prefixos serão anunciados para o par BGP.

VIF privada do Direct Connect conectada a um gateway do Direct Connect associado ao VGW

Você pode ter até 20 VGWs associados a um gateway do Direct Connect. Todos os prefixos CIDR da VPC são anunciados para o par BGP on-premises. A lista de prefixos permitidos filtra os anúncios BGP da AWS para par BGP on-premises.

A lista de prefixos permitidos permite que os mesmos CIDRs ou uma sub-rede menor dos CIDRs anunciem no gateway do Direct Connect.

No exemplo a seguir, a VPC-A CIDR 10.77.0.0/16, a VPC-B CIDR 10.66.0.0/16 e a VPC-C 192.168.0.0/16 estão conectadas a um gateway do Direct Connect

Se a lista de prefixos permitidos permitir somente 10.0.0.0/8, o par BGP on-premises receberá os prefixos 10.77.0.0/16 e 10.66.0.0/16. Os prefixos são sub-redes da lista de prefixos permitidos, mas o par BGP on-premises não recebe 192.168.0.0/16.

Se a lista de prefixos permitidos permitir 10.0.0.0/8 e 192.168.5.0/24, o par BGP on-premises receberá os prefixos 10.77.0.0/16 e 10.66.0.0/16. Os prefixos são sub-redes da lista de prefixos permitidos, mas o par BGP on-premises não recebe 192.168.0.0/16 porque esse intervalo não corresponde à lista de permissões.

VIF de trânsito do Direct Connect conectando-se a um gateway do Direct Connect associado a um gateway de trânsito

Você pode associar um gateway do Direct Connect a até seis gateways de trânsito. Centenas de VPCs podem enviar tráfego pelo gateway de trânsito e pela conexão do Direct Connect. A rede on-premises deve ter as rotas para todas as VPCs individuais ou usar uma rota resumida. As rotas anunciadas do gateway de trânsito para a arquitetura on-premises com o Direct Connect são definidas nos prefixos permitidos.

Todos os prefixos são anunciados para o par BGP on-premises. A lista de prefixos permitidos anuncia do gateway de trânsito para o par on-premises do Direct Connect. Você pode anunciar uma rota para qualquer endereço IP, como 8.8.8.8/32, mesmo que não seja um CIDR de VPC conectado ao gateway de trânsito.

A lista de prefixos permitidos para o gateway de trânsito tem um limite total combinado de 200 prefixos para IPv4 e IPv6. No exemplo a seguir, a VPC-A CIDR 10.77.0.0/16, a VPC-B CIDR 10.66.0.0/16 e a VPC-C 192.168.0.0/16 estão conectadas a um gateway de trânsito que se conecta a um gateway do Direct Connect. Se a lista de prefixos permitidos estiver definida para permitir 10.0.0.0/8 e 192.168.5.0/24, você não receberá os três prefixos CIDR da VPC na rede on-premises. Em vez disso, você receberá os prefixos 10.0.0.0/8 e 192.168.5.0/24 anunciados no BGP.

Se a lista de prefixos permitidos estiver definida para permitir 10.0.0.0/8 e 192.168.0.0/16, você receberá os prefixos 10.0.0.0/8 e 192.168.0.0/16 anunciados no BGP.

Se a lista de prefixos permitidos estiver definida para permitir somente 0.0.0.0/0, você receberá somente a rota padrão 0.0.0.0/0 anunciada no BGP.

Alterações nos prefixos permitidos em um VGW ou em uma associação de gateway de trânsito com uma atualização do gateway do Direct Connect para as rotas. Eles não anulam a sessão do BGP.

Observação: as alterações feitas na lista de prefixos permitidos podem levar vários minutos para serem propagadas.

Informações relacionadas

Allowed prefixes interactions

Direct Connect quotas

AWS OFICIAL
AWS OFICIALAtualizada há 6 meses