如何使用 BGP 社区控制通过 Direct Connect 经 AWS 公共虚拟接口播发和接收的路由?

1 分钟阅读
0

我想控制通过 AWS 公共虚拟接口播发和接收到特定 AWS 区域、大洲或全球的路由。

简短描述

AWS 区域或 AWS GovCloud(美国)的 AWS Direct Connect 位置可以访问任何 AWS 区域的公共服务,中国(北京)区域除外。如果可用,Direct Connect 会公布所有本地和远程 AWS 区域前缀。Direct Connect 包括来自其他可用的 AWS 非区域入网点(PoP)的网内前缀,例如 Amazon CloudFront。有关详细信息,请参阅 Routing policies and Border Gateway Protocol (BGP) communities

解决方法

Direct Connect 支持一系列 BGP 社区标签,可帮助控制通过公共虚拟接口播发和接收的路由的范围。例如,BGP 社区标签可以在区域、大洲或全球级别。

AWS 通过公有虚拟接口向客户网关设备公布以下 Direct Connect BGP 社区标签:

  • 7224:8100: 源自 Direct Connect 入网点所在的 AWS 区域的路由
  • 7224:820: 源自 Direct Connect 入网点所在大洲的路由
  • 无标签: 全球(所有公共 AWS 区域)

对于 us-east-1 AWS 区域中的公共虚拟接口,AWS 使用7224:8100 社区标签公布与 us-east-1 AWS 区域中的公共资源关联的路由。对于北美公共资源的路由,AWS 使用 7224:8100 社区标签公布路由。所有其他前缀无标签。

使用下面的 Direct Connect BGP 社区标签选择 AWS 前缀的范围:

  • 7224:9100: Direct Connect 入网点所在的本地 AWS 区域
  • 7224:9200: Direct Connect 入网点所在的大洲的所有 AWS 区域,例如北美
  • 7224:9300 或无标签: 全球或所有公共 AWS 区域

如果在 us-east-1 AWS 区域有公共虚拟接口,则限制向 us-east-1 AWS 区域公布的路由的范围。要限制范围,请使用 7224:9100 社区标签。如果使用 7224:9200 社区标签标记路由,则前缀将播发到所有美国 AWS 区域。如果使用 7224:9300 社区标签标记路由,则前缀将播发到所有 AWS 区域。如果不使用社区标签标记前缀,则前缀将播发到所有 AWS 区域。

例如,可以将通过公共虚拟接口接收和播发的路由限制到特定本地 AWS 区域。首先,配置前缀筛选器和路由映射,使从 AWS 接收的路由与 7224:8100 社区标签相匹配。然后,仅安装这些路由。还必须使用 7224:9100 社区标签向 AWS 公布前缀。通过公共虚拟接口接收和播发的路由仅限于本地区域。

可以使用社区标签的任意组合来控制通过 AWS 公共虚拟接口播发和接收的路由。AWS Direct Connect 会公布所有带有 NO_EXPORT BGP 社区标签的公共前缀。有关详细信息或要下载 AWS 公布的当前前缀列表,请参阅 AWS IP 地址范围

AWS 官方
AWS 官方已更新 1 年前