如何通过 BGP 通过 Direct Connect 至本地部署网络的连接公布 VPC 路由?

上次更新时间:2021 年 12 月 17 日

我想要通过至本地部署网络的 AWS Direct Connect VIF BGP 会话公布 Virtual Private Cloud (Amazon VPC) 路由。

简短描述

AWS 通过 Direct Connect 边界网关协议 (BGP) 会话向本地部署网络公布的路由取决于以下连接类型:

  • 连接到虚拟私有网关 (VGW) 的 Direct Connect 私有 VIF
  • 连接到与 VGW 关联的 Direct Connect 网关的 Direct Connect 私有 VIF
  • 连接到与中转网关关联的 Direct Connect 网关的 Direct Connect 中转 VIF

解决方法

Direct Connect 本地部署网络通过 BGP 或通过至 BGP 的重新分发手动公布路由。AWS 公布回本地的路由根据网关的类型而变化。

连接到 VGW 的 Direct Connect 私有 VIF

VGW 关联的 VPC 的 IPv4/IPv6 CIDR 会自动公布到本地部署 BGP 对等体。例如,CIDR 为 10.55.0.0/16 VGW 的 VPC 直接与私有 VIF 关联。前缀 10.55.0.0/16 会自动公布到本地。如果有与该 VPC 关联的其他 CIDR,则这些前缀将会公布给 BGP 对等体。

连接到与 VGW 关联的 Direct Connect 网关的 Direct Connect 私有 VIF

您最多可以将 10 个 VGW 与 Direct Connect 网关关联。所有 VPC CIDR 前缀都会公布到本地部署 BGP 对等体。允许的前缀列表筛选了 AWS 针对本地部署 BGP 对等体公布的 BGP 内容。

允许的前缀列表允许相同的 CIDR 或较小的 CIDR 子网向 Direct Connect 网关进行公布。

在以下示例中,VPC-A CIDR 10.77.0.0/16、VPC-B CIDR 10.66.0.0/16 和 VPC-C 192.168.0.0/16 附加在 Direct Connect 网关中

如果允许的前缀列表设置为仅允许 10.0.0.0/8,则本地部署 BGP 对等体上收到的前缀分别为 10.77.0.0/16 和 10.66.0.0/16。这是因为前缀是允许的前缀列表的子网,但本地部署 BGP 对等体上未收到 192.168.0.0/16。

如果允许的前缀列表设置为允许 10.0.0.0/8 和 192.168.5.0/24,则本地部署 BGP 对等体上收到的前缀分别为 10.77.0.0/16 和 10.66.0.0/16。这是因为前缀是允许的前缀列表的子网,但本地部署 BGP 对等体上未收到 192.168.0.0/16,因为该 IP 范围与允许列表不匹配。

连接到与中转网关关联的 Direct Connect 网关的 Direct Connect 中转 VIF

您可以将一个 Direct Connect 网关最多连接到三个中转网关。数以百计的 VPC 可以通过中转网关和 Direct Connect 发送流量。本地部署网络必须具有所有单个 VPC 的路由,或者使用汇总路由。允许的前缀中定义了通过 Direct Connect 从中转网关公布到本地的路由。

所有前缀都会公布到本地部署 BGP 对等体。允许的前缀列表从中转网关公布到本地部署 Direct Connect 对等体。您可以为任何 IP 地址(如 8.8.8.8/32)公布路由,即使它不是连接到中转网关的 VPC CIDR。

中转网关的允许前缀列表的前缀限制为 20 个。在以下示例中,VPC-A CIDR 10.77.0.0/16、VPC-B CIDR 10.66.0.0/16 和 VPC-C 192.168.0.0/16 附加在连接到 Direct Connect 网关的中转网关。如果允许的前缀列表被设置为允许 10.0.0.0/8 和 192.168.5.0/24,您将不会在本地部署网络上收到这三个 VPC CIDR 前缀。相反,您会收到通过 BGP 公布的前缀 10.0.0.0/8 和 192.168.5.0/24。

如果允许的前缀列表被设置为允许 10.0.0.0/8 和 192.168.0.0/16,您将收到通过 BGP 公布的前缀 10.0.0.0/8 和 192.168.0.0/16。

如果允许的前缀列表被设置为仅允许 0.0.0.0/0,则您只会收到通过 BGP 公布的默认路由 0.0.0.0/0。

对 VGW 上允许的前缀的更改或中转网关与 Direct Connect 网关的关联的更改将针对路由进行更新,不会使 BGP 会话关闭。

注意:对允许的前缀列表所做的更改可能需要几分钟才能传播。


这篇文章对您有帮助吗?


您是否需要账单或技术支持?