Come posso pubblicizzare routing VPC tramite una connessione Direct Connect a una rete on-premise tramite BGP?

Ultimo aggiornamento: 17/12/2021

I routing pubblicizzati da AWS verso una rete on-premise tramite una sessione BGP (Border Gateway Protocol di Direct Connect) dipendono da questi tipi di connessione:

• VIF privata di Direct Connect connessa a un gateway virtuale privato (VGW)
• VIF privata di Direct Connect connessa a un gateway Direct Connect associato a un VGW
• VIF di transito di Direct Connect connessa a un gateway Direct Connect associato a un Transit Gateway

La rete on-premise Direct Connect pubblicizza i routing manualmente tramite BGP o tramite la ridistribuzione in BGP. I routing che AWS pubblicizza nuovamente on-premise cambiano a seconda del tipo di gateway.

Il CIDR IPv4/IPv6 del VPC associato a un VGW viene pubblicizzato automaticamente a un peer BGP on-premise. Ad esempio, un VPC con CIDR 10.55.0.0/16 VGW è associato direttamente a una VIF privata. Il prefisso 10.55.0.0/16 viene pubblicizzato automaticamente on-premise. Se ci sono altri CIDR associati al VPC, questi prefissi vengono pubblicizzati sul peer BGP.

È possibile avere fino a 10 VGW associati a un gateway Direct Connect. Tutti i prefissi dei CIDR VPC sono pubblicizzati al peer BGP on-premise. L'elenco dei prefissi consentiti filtra le pubblicità BGP da AWS verso il peer BGP on-premise.

L'elenco di prefissi consentiti consente agli stessi CIDR o a una sottorete più piccola dei CIDR di pubblicizzare sul gateway Direct Connect.

Nell'esempio seguente, CIDR VPC-A 10.77.0.0/16, CIDR VPC-B 10.66.0.0/16 e VPC-C 192.168.0.0/16 sono collegati a un gateway Direct Connect

Se l'elenco dei prefissi consentiti è impostato per consentire solo 10.0.0.0/8, i prefissi 10.77.0.0/16 e 10.66.0.0/16 vengono ricevuti sul peer BGP on-premise. Questo perché i prefissi sono sottoreti dell'elenco di prefissi consentiti, ma 192.168.0.0/16 non viene ricevuto sul peer BGP on-premise.

Se l'elenco dei prefissi consentiti è impostato per consentire 10.0.0.0/8 e 192.168.5.0/24, i prefissi 10.77.0.0/16 e 10.66.0.0/16 vengono ricevuti sul peer BGP on-premise. Questo perché i prefissi sono sottoreti dell'elenco di prefissi consentiti, ma 192.168.0.0/16 non viene ricevuto sul peer BGP on-premise perché quell'intervallo di IP non corrisponde all'elenco consentito.

È possibile collegare un gateway Direct Connect a un massimo di tre Transit Gateway. Centinaia di VPC possono inviare traffico attraverso il Transit Gateway e tramite la connessione Direct Connect. La rete on-premise deve avere i routing per tutti i singoli VPC o utilizzare un routing riepilogato. I routing pubblicizzati dal Transit Gateway verso l'on-premise con Direct Connect sono definiti nei prefissi consentiti.

Tutti i prefissi sono pubblicizzati al peer BGP on-premise. L'elenco dei prefissi consentiti viene visualizzato dal Transit Gateway al peer Direct Connect on-premise. È possibile pubblicizzare un routing per qualsiasi indirizzo IP come 8.8.8.8/32 anche se non è un CIDR VPC connesso al Transit Gateway.

L'elenco di prefissi consentiti per il Transit Gateway ha un limite di 20 prefissi. Nell'esempio seguente, CIDR VPC-A 10.77.0.0/16, CIDR VPC-B CIDR 10.66.0.0/16 e VPC-C 192.168.0.0/16 sono collegati a un Transit Gateway che si connette a un gateway Direct Connect. Se l'elenco dei prefissi consentiti è impostato per consentire 10.0.0.0/8 e 192.168.5.0/24, non si riceveranno i tre prefissi dei CIDR VPC sulla rete on-premise. Si riceveranno invece i prefissi 10.0.0.0/8 e 192.168.5.0/24 pubblicizzati sul BGP.

Se l'elenco dei prefissi consentiti è impostato per consentire 10.0.0.0/8 e 192.168.0.0/16, verranno visualizzati i prefissi 10.0.0.0/8 e 192.168.0.0/16 pubblicizzati sul BGP.

Se l'elenco dei prefissi consentiti è impostato per consentire solo 0.0.0.0/0, si riceverà solo il routing predefinito 0.0.0.0/0 pubblicizzato sul BGP.

Le modifiche ai prefissi consentiti su un VGW o un'associazione di Transit Gateway con un gateway Direct Connect vengono aggiornate per i routing e non interrompono la sessione BGP.

Nota: La propagazione delle modifiche apportate all'elenco dei prefissi consentiti può richiedere diversi minuti.