Comment puis-je annoncer des acheminements VPC sur une connexion Direct Connect vers un réseau sur site via BGP ?

Date de la dernière mise à jour : 17/12/2021

Je souhaite annoncer des acheminements Amazon Virtual Private Cloud (Amazon VPC) sur une séance VIF BGP d'AWS Direct Connect vers un réseau sur site.

Brève description

Les acheminements annoncés par AWS vers un réseau sur site sur une séance Border Gateway Protocol (BGP) de Direct Connect dépendent des types de connexion suivants :

  • Une interface virtuelle (VIF) privée Direct Connect connectée à une passerelle réseau privé virtuel (VGW)
  • Une VIF privée de Direct Connect connectée à une passerelle Direct Connect associée à une VGW
  • Une VIF de transit pour Direct Connect connectée à une passerelle Direct Connect associée à une passerelle de transit

Résolution

Le réseau sur site de Direct Connect annonce la disponibilité des acheminements manuelles via un BGP ou par redistribution dans le BGP. Les acheminements dont AWS annonce le retour vers le sur site changent en fonction du type de passerelles.

La VIF privée de Direct Connect se connectant à une VGW

Les adresses CIDR IPv4/IPv6 pour VGW associées au VPC sont annoncées automatiquement vers un appairage de BGP sur site. Par exemple, un VPC avec une adresse CIDR 10.55.0.0/16 pour VGW est associé directement à une VIF privée. Le préfixe 10.55.0.0/16 est automatiquement annoncé sur site. En présence d'adresses CIDR supplémentaires associées au VPC, ces préfixes sont annoncés sur l'appairage BGP.

La VIF privée de Direct Connect connectée à une passerelle Direct Connect associée à une VGW

Vous pouvez associer jusqu'à 10 VGW à une passerelle Direct Connect. Tous les préfixes CIDR de VPC sont annoncés vers l'appairage BGP sur site. La liste des préfixes autorisés filtre les annonces du BGP d'AWS vers l'appairage BGP sur site.

La liste des préfixes autorisés permet aux mêmes CIDR ou à un sous-réseau plus petit des CIDR d'annoncer vers la passerelle Direct Connect.

Dans l'exemple suivant, VPC-A CIDR 10.77.0.0/16, VPC-B CIDR 10.66.0.0/16 et VPC-C 192.168.0.0/16 sont rattachés à une passerelle Direct Connect.

Dans la mesure où la liste des préfixes autorisés est définie pour n'autoriser que 10.0.0.0/8, les préfixes 10.77.0.0/16 et 10.66.0.0/16 sont reçus sur l'appairage BGP sur site. Cette configuration s'explique par le fait que les préfixes sont des sous-réseaux de la liste de préfixes autorisés. Cependant, le préfixe 192.168.0.0/16 n'est pas reçu sur l'appairage BGP sur site.

Dans la mesure où la liste des préfixes autorisés est configurée pour autoriser 10.0.0.0/8 et 192.168.5.0/24, les préfixes 10.77.0.0/16 et 10.66.0.0/16 sont reçus sur l'appairage BGP sur site. Cette configuration s'explique en outre par le fait que les préfixes sont des sous-réseaux de la liste de préfixes autorisés. Néanmoins, le préfixe 192.168.0.0/16 n'est pas reçu sur l'appairage BGP sur site, car cette plage d'adresses IP ne correspond pas à la liste autorisée.

VIF de transit Direct Connect se connectant à une passerelle Direct Connect associée à une passerelle de transit

Vous pouvez connecter une passerelle Direct Connect à un maximum de trois passerelles de transits. Des centaines de VPC peuvent envoyer du trafic sur la passerelle de transit et par la connexion Direct Connect. Le réseau sur site doit disposer des acheminements pour tous les VPC individuels ou utiliser un acheminement résumé. Les acheminements annoncées depuis la passerelle de transit vers les sites internes avec Direct Connect sont définies dans les préfixes autorisés.

Tous les préfixes sont annoncés sur l'appairage BGP sur site. La liste des préfixes autorisés annonce les préfixes depuis la passerelle de transit vers l'appairage Direct Connect sur site. Vous pouvez annoncer un acheminement pour n'importe quelle adresse IP comme 8.8.8.8/32, même s'il ne s'agit pas d'un CIDR VPC connecté à la passerelle de transit.

Le nombre de préfixes autorisés sur la liste pour la passerelle de transit est limité à 20. Dans l'exemple suivant, VPC-A CIDR 10.77.0.0/16, VPC-B CIDR 10.66.0.0/16 et VPC-C 192.168.0.0/16 sont attachés à une passerelle de transit qui se connecte à une passerelle Direct Connect. Si la liste des préfixes autorisés est définie pour autoriser 10.0.0.0/8 et 192.168.5.0/24, vous ne recevrez pas les trois préfixes d'adresse CIDR du VPC sur le réseau sur site. En revanche, vous recevez les préfixes 10.0.0.0/8 et 192.168.5.0/24 annoncés sur le BGP.

Si la liste des préfixes autorisés est définie pour autoriser 10.0.0.0/8 et 192.168.0.0/16, vous recevez les préfixes 10.0.0.0/8 et 192.168.0.0/16 annoncés sur le BGP.

Si la liste des préfixes autorisés est définie pour n'autoriser que 0.0.0.0/0, vous recevez uniquement l'acheminement par défaut 0.0.0.0/0 annoncé sur le BGP.

Les modifications apportées aux préfixes autorisés sur une VGW ou une association de la passerelle de transit avec une passerelle Direct Connect sont mises à jour pour les acheminements, sans interruption de la séance du BGP.

Remarque : la propagation des modifications apportées à la liste des préfixes autorisés peut prendre plusieurs minutes.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?