Como posso anunciar rotas de VPC por meio de uma conexão Direct Connect em uma rede on-premises via BGP?

Data da última atualização: 17/12/2021

Quero anunciar rotas da Amazon Virtual Private Cloud (Amazon VPC) em uma sessão do AWS Direct Connect VIF BGP em uma rede on-premises.

Breve descrição

As rotas anunciadas pela AWS para uma rede on-premises por meio de uma sessão Border Gateway Protocol (BGP) do Direct Connect dependem dos seguintes tipos de conexão:

  • VIF privada do Direct Connect conectada a um gateway privado virtual (VGW)
  • VIF privada do Direct Connect conectada a um gateway Direct Connect associado a um VGW
  • VIF de trânsito do Direct Connect conectada a um gateway Direct Connect associado a um gateway de trânsito

Resolução

A rede on-premises do Direct Connect anuncia as rotas manualmente via BGP ou redistribuição no BGP. As rotas que a AWS anuncia de volta à rede on-premises mudam dependendo do tipo de gateway.

VIF privada do Direct Connect conectando-se a um VGW

O CIDR IPv4/IPv6 da VPC associada ao VGW é anunciado automaticamente para um peer BGP on-premises. Por exemplo, uma VPC com CIDR 10.55.0.0/16 VGW é associada diretamente a uma VIF privada. O prefixo 10.55.0.0/16 é anunciado on-premises automaticamente. Se houver CIDRs adicionais associados à VPC, esses prefixos serão anunciados ao peer BGP.

VIF privada do Direct Connect conectada a um gateway Direct Connect associado a um VGW

É possível ter até 10 VGWs associados a um gateway Direct Connect. Todos os prefixos CIDR da VPC são anunciados ao peer BGP on-premises. A lista de prefixos permitidos filtra anúncios de BGP da AWS em direção ao peer BGP on-premises.

A lista de prefixos permitidos permite que os mesmos CIDRs ou uma sub-rede menor desses CIDRs anunciem no gateway Direct Connect.

No exemplo a seguir, VPC-A CIDR 10.77.0.0/16, VPC-B CIDR 10.66.0.0/16 e VPC-C 192.168.0.0/16 estão conectadas a um gateway Direct Connect

Se a lista de prefixos permitidos estiver definida para permitir somente 10.0.0.0/8, os prefixos 10.77.0.0/16 e 10.66.0.0/16 serão recebidos no peer BGP on-premises. Isso ocorre porque os prefixos são sub-redes da lista de prefixos permitidos, mas 192.168.0.0/16 não é recebido no peer BGP local.

Se a lista de prefixos permitidos estiver definida para permitir 10.0.0.0/8 e 192.168.5.0/24, os prefixos 10.77.0.0/16 e 10.66.0.0/16 serão recebidos no peer BGP on-premises. Isso ocorre porque os prefixos são sub-redes da lista de prefixos permitidos, mas 192.168.0.0/16 não é recebido no peer BGP local, pois esse intervalo de IPs não corresponde à lista de permissões.

VIF de trânsito do Direct Connect conectando-se a um gateway Direct Connect associado a um gateway de trânsito

Você pode conectar um gateway Direct Connect a até três gateways de trânsito. Centenas de VPCs podem enviar tráfego pelo gateway de trânsito e pela conexão Direct Connect. A rede on-premises deve ter as rotas para todas as VPCs individuais ou usar uma rota resumida. As rotas anunciadas do gateway de trânsito em direção ao ambiente on-premises com o Direct Connect são definidas nos prefixos permitidos.

Todos os prefixos são anunciados ao peer BGP local. A lista de prefixos permitidos anuncia do gateway de trânsito ao peer Direct Connect on-premises. Você pode anunciar uma rota para qualquer endereço IP, como 8.8.8.8/32, mesmo que não seja um CIDR de VPC conectado ao gateway de trânsito.

A lista de prefixos permitidos para o gateway de trânsito tem um limite de 20 prefixos. No exemplo a seguir, VPC-A CIDR 10.77.0.0/16, VPC-B CIDR 10.66.0.0/16 e VPC-C 192.168.0.0/16 estão conectadas a um gateway de trânsito que se conecta a um gateway Direct Connect. Se a lista de prefixos permitidos estiver definida para permitir 10.0.0.0/8 e 192.168.5.0/24, você não receberá os três prefixos CIDR da VPC na rede on-premises. Em vez disso, receberá os prefixos 10.0.0.0/8 e 192.168.5.0/24 anunciados no BGP.

Se a lista de prefixos permitidos estiver definida para permitir 10.0.0.0/8 e 192.168.0.0/16, você receberá os prefixos 10.0.0.0/8 e 192.168.0.0/16 anunciados no BGP.

Se a lista de prefixos permitidos estiver definida para permitir apenas 0.0.0.0/0, você receberá apenas a rota padrão 0.0.0.0/0 anunciada via BGP.

As alterações nos prefixos permitidos em um VGW ou uma associação de gateway de trânsito com um gateway Direct Connect são atualizadas para as rotas e não desativam a sessão BGP.

Observação: as alterações feitas na lista de prefixos permitidos podem demorar vários minutos para serem propagadas.


Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?