使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款

如何透過 Direct Connect 經 BGP 向內部部署網路廣告 VPC 路由?

2 分的閱讀內容
0

我想透過 AWS Direct Connect VIF BGP 工作階段向內部部署網路廣告 Virtual Private Cloud (Amazon VPC) 路由。

簡短說明

AWS 透過 Direct Connect Border Gateway Protocol (BGP) 工作階段向內部部署網路廣告的路由取決於下列連線類型:

  • 連線到虛擬私有閘道 (VGW) 的 Direct Connect 私有 VIF
  • 連線到 VGW 相關 Direct Connect 閘道的 Direct Connect 私有 VIF
  • 連線到傳輸閘道相關 Direct Connect 閘道的 Direct Connect 傳輸 VIF

解決方法

Direct Connect 內部部署網路會透過 BGP 或透過重新分配至 BGP 手動廣告路由。AWS 廣告回內部部署的路由取決於閘道類型。

連線至 VGW 的 Direct Connect 私有 VIF

VGW 相關 VPC 的 IPv4/IPv6 CIDR 會自動廣告到內部部署 BGP 對等裝置。例如,具有 CIDR 10.55.0.0/16 VGW 的 VPC 直接與私有 VIF 相關聯。首碼 10.55.0.0/16 會自動廣告到內部部署。如果有其他 CIDR 與 VPC 相關聯,則這些首碼會廣告到 BGP 對等裝置。

連線到 VGW 相關 Direct Connect 閘道的 Direct Connect 私有 VIF

您最多可以擁有 20 個與 Direct Connect 閘道相關聯的 VGW。所有 VPC CIDR 首碼都會廣告到內部部署 BGP 對等裝置。允許的首碼清單會將 AWS 的 BGP 廣告篩選到內部部署 BGP 對等裝置。

允許的首碼清單允許相同的 CIDR 或 CIDR 的較小子網路向 Direct Connect 閘道廣告。

在下列範例中,VPC-A CIDR 10.77.0.0/16、VPC-B CIDR 10.66.0.0/16 和 VPC-C 192.168.0.0/16 連線至 Direct Connect 閘道

如果允許的首碼清單僅允許 10.0.0.0/8,則內部部署 BGP 對等裝置會收到首碼 10.77.0.0/16 和 10.66.0.0/16。首碼是允許的首碼清單的子網路,但內部部署 BGP 對等裝置不會接收 192.168.0.0/16。

如果允許的首碼清單允許 10.0.0.0/8 和 192.168.5.0/24,則內部部署 BGP 對等裝置會收到首碼 10.77.0.0/16 和 10.66.0.0/16。首碼是允許的首碼清單的子網路,但內部部署 BGP 對等裝置不會接收 192.168.0.0/16,因為該範圍與允許清單不符。

連線到傳輸閘道相關 Direct Connect 閘道的 Direct Connect 傳輸 VIF

您可以將一個 Direct Connect 閘道關聯至最多六個傳輸閘道。數百個 VPC 可以透過傳輸閘道和 Direct Connect 傳送流量。內部部署網路必須具有所有個別 VPC 的路由,或使用彙總路由。在允許的首碼中定義了透過 Direct Connect 從傳輸閘道廣告到內部部署的路由。

所有首碼都會廣告到內部部署 BGP 對等裝置。允許的首碼清單會從傳輸閘道廣告到內部部署 Direct Connect 對等裝置。您可以為 8.8.8.8/32 等任何 IP 地址廣告路由,即使它不是連線到傳輸閘道的 VPC CIDR。

傳輸閘道允許的首碼清單具有 IPv4 和 IPv6 總計 ](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html)200 個首碼限制[。在下列範例中,VPC-A CIDR 10.77.0.0/16、VPC-B CIDR 10.66.0.0/16 和 VPC-C 192.168.0.0/16 連接到連線至 Direct Connect 閘道的傳輸閘道。如果允許的首碼清單設定為允許 10.0.0.0/8 和 192.168.5.0/24,則您不會在內部部署網路上收到三個 VPC CIDR 首碼。相反,您會收到透過 BGP 廣告的首碼 10.0.0.0/8 和 192.168.5.0/24。

如果允許的首碼清單設為允許 10.0.0.0/8 和 192.168.0.0/16,則您會收到透過 BGP 廣告的首碼 10.0.0.0/8 和 192.168.0.0/16。

如果允許的首碼清單設定為僅允許 0.0.0.0/0,則您只會收到透過 BGP 廣告的預設路由 0.0.0.0/0。

變更 VGW 上允許的首碼或與 Direct Connect 閘道關聯的傳輸閘道時,也會更新路由。它們不會關閉 BGP 工作階段。

注意: 對允許的首碼清單所做的變更可能需要幾分鐘才會傳播。

相關資訊

允許的首碼互動

Direct Connect 配額

AWS 官方
AWS 官方已更新 1 年前