BGP を介して Direct Connect 接続経由で VPC ルートをオンプレミスネットワークにアドバタイズするにはどうすればよいですか?

最終更新日: 2021 年 12 月 17 日

AWS Direct Connect の VIF BGP セッションを介して、Virtual Private Cloud (Amazon VPC) のルートをオンプレミスネットワークにアドバタイズしたいと考えています。

簡単な説明

Direct Connect の Border Gateway Protocol (BGP) セッションを介して AWS がオンプレミスネットワークにアドバタイズされるルートは、次の接続タイプによって異なります。

  • 仮想プライベートゲートウェイ (VGW) に接続された Direct Connect プライベート VIF
  • VGW に関連付けられた Direct Connect ゲートウェイに接続された Direct Connect プライベート VIF
  • トランジットゲートウェイに関連付けられた Direct Connect ゲートウェイに接続された Direct Connect トランジット VIF

解決方法

Direct Connect のオンプレミスネットワークは、BGP を通じて手動で、または BGP への再配布を通じて、ルートをアドバタイズします。AWS がオンプレミスにアドバタイズして返すルートは、ゲートウェイのタイプによって異なります。

VGW に接続する Direct Connect プライベート VIF

VGW に関連付けられた VPC の IPv4/IPv6 CIDR は、オンプレミス BGP ピアに自動的にアドバタイズされます。例えば、CIDR 10.55.0.0/16 VGW の VPC は、プライベート VIF に直接関連付けられます。プレフィックス 10.55.0.0/16 は、自動的にオンプレミスにアドバタイズされます。VPC に関連付けられている追加の CIDR がある場合、それらのプレフィックスは BGP ピアにアドバタイズされます。

VGW に関連付けられた Direct Connect ゲートウェイに接続された Direct Connect プライベート VIF

Direct Connect ゲートウェイには、最大 10 個の VGW を関連付けることができます。すべての VPC CIDR プレフィックスは、オンプレミスの BGP ピアにアドバタイズされます。許可されるプレフィックスリストは、AWS からオンプレミスの BGP ピアへの BGP アドバタイズメントをフィルタリングします。

許可されるプレフィックスリストは、同じ CIDR または CIDR のより小さなサブネットが Direct Connect ゲートウェイにアドバタイズすることを許可します。

次の例では、VPC-A CIDR 10.77.0.0/16、VPC-B CIDR 10.66.0.0/16、および VPC-C 192.168.0.0/16 が Direct Connect ゲートウェイにアタッチされています

許可されるプレフィックスリストが 10.0.0.0/8 のみを許可するように設定されている場合、プレフィックス 10.77.0.0/16 と 10.66.0.0/16 がオンプレミスの BGP ピアで受信されます。これは、プレフィックスが許可されるプレフィックスリストのサブネットであるが、オンプレミスの BGP ピアで 192.168.0.0/16 が受信されないためです。

許可されるプレフィクスリストが 10.0.0.0/8 および 192.168.5.0/24 を許可するように設定されている場合、プレフィックス 10.77.0.0/16 および 10.66.0.0/16 はオンプレミスの BGP ピアで受信されます。これは、プレフィックスが許可されるプレフィックスリストのサブネットであるが、IP 範囲が許可リストと一致しないことを理由として、192.168.0.0/16 がオンプレミスの BGP ピアで受信されないためです。

トランジットゲートウェイに関連付けられた Direct Connect ゲートウェイに接続する Direct Connect トランジット VIF

1 つの Direct Connect ゲートウェイを最大 3 つのトランジットゲートウェイに接続できます。トランジットゲートウェイ全体で、および Direct Connect 接続を介して、数百の VPC がトラフィックを送信できます。オンプレミスネットワークは、個々の VPC すべてに対するルートを有しているか、集約されたルートを使用する必要があります。Direct Connect を使用してトランジットゲートウェイからオンプレミスへアドバタイズされるルートは、許可されるプレフィックスで定義されます。

すべてのプレフィックスは、オンプレミスの BGP ピアにアドバタイズされます。許可されるプレフィックスリストは、トランジットゲートウェイからオンプレミスの Direct Connect ピアにアドバタイズします。トランジットゲートウェイに接続された VPC CIDR ではない場合でも、8.8.8.8/32 などの任意の IP アドレスのルートをアドバタイズできます。

トランジットゲートウェイ用の許可されるプレフィクスリストのプレフィクス数は 20 個に制限されます。次の例では、VPC-A CIDR 10.77.0.0/16、VPC-B CIDR 10.66.0.0/16、および VPC-C 192.168.0.0/16 が、 Direct Connect ゲートウェイに接続するトランジットゲートウェイにアタッチされています。許可されるプレフィックスリストが 10.0.0.0/8 と 192.168.5.0/24 を許可するように設定されている場合、オンプレミスネットワークではその 3 つの VPC CIDR プレフィックスを受け取りません。代わりに、BGP を介してアドバタイズされるプレフィックス 10.0.0.0/8 および 192.168.5.0/24 を受け取ります。

許可されるプレフィクスリストが 10.0.0.0/8 および 192.168.0.0/16 を許可するように設定されている場合、BGP を介してアドバタイズされたプレフィクス 10.0.0.0/8 および 192.168.0.0/16 を受け取ります。

許可されるプレフィクスリストが 0.0.0.0/0 のみを許可するように設定されている場合、BGP を介してアドバタイズされたデフォルトルート 0.0.0.0/0 だけを受け取ります。

VGW またはトランジットゲートウェイと Direct Connect ゲートウェイとの関連付けで許可されるプレフィックスに対する変更は、ルートについて更新され、BGP セッションは停止しません。

注: 許可されるプレフィックスリストに加えられた変更は、反映されるまでに数分かかる場合があります。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?