Amplíe VRFs hasta AWS con AWS Transit Gateway Connect - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasEpicsRecursos relacionadosConexiones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amplíe VRFs hasta AWS con AWS Transit Gateway Connect

Creada por Adam Till (AWS), Yashar Araghi (AWS), Vikas Dewangan () y Mohideen () AWS HajaMohideen AWS

Entorno: PoC o piloto

Tecnologías: infraestructura; redes

AWSservicios: AWS Direct Connect; AWS Transit Gateway

Resumen

El enrutamiento y el reenvío virtuales (VRF) son una característica de las redes tradicionales. Utiliza dominios de enrutamiento lógico aislados, en forma de tablas de enrutamiento, para separar el tráfico de red dentro de la misma infraestructura física. Puede configurar AWS Transit Gateway para que admita el VRF aislamiento al conectar su red local aAWS. Este patrón utiliza una arquitectura de ejemplo para conectarse de forma local VRFs a diferentes tablas de rutas de Transit Gateway.

Este patrón utiliza interfaces virtuales de tránsito (VIFs) en los archivos adjuntos de AWS Direct Connect y Transit Gateway Connect para ampliar laVRFs. Un tránsito VIF se utiliza para acceder a una o más pasarelas de VPC tránsito de Amazon asociadas a las pasarelas de Direct Connect. Un adjunto Connect de puerta de enlace de tránsito conecta una puerta de enlace de tránsito con un dispositivo virtual de terceros que se ejecuta en unVPC. Un adjunto Connect de gateway de tránsito admite el protocolo de túnel Generic Routing Encapsulation (GRE) para un alto rendimiento y es compatible con el Border Gateway Protocol (BGP) para el enrutamiento dinámico.

El enfoque descrito en este patrón tiene los siguientes beneficios:

  • Con Transit Gateway Connect, puede anunciar hasta 1000 rutas en el dispositivo homólogo de Transit Gateway Connect y recibir hasta 5000 rutas de este. El uso de la VIF función de transporte Direct Connect sin Transit Gateway Connect está limitado a 20 prefijos por pasarela de tránsito.

  • Puede mantener el aislamiento del tráfico y utilizar Transit Gateway Connect para proporcionar servicios alojadosAWS, independientemente de los esquemas de direcciones IP que utilicen sus clientes.

  • No es necesario que el VRF tráfico atraviese una interfaz virtual pública. Esto facilita el cumplimiento de los requisitos de cumplimiento y seguridad en muchas organizaciones.

  • Cada GRE túnel admite hasta 5 Gbps y puede tener hasta cuatro GRE túneles por cada adjunto Connect de la pasarela de tránsito. Esto es más rápido que muchos otros tipos de conexión, como AWS Site-to-Site VPN las conexiones que admiten hasta 1,25 Gbps.

Requisitos previos y limitaciones

Requisitos previos 

Limitaciones

  • Hay límites para los archivos adjuntos de Transit Gateway a VPCs las cuentas de producción, control de calidad y desarrollo. Para obtener más información, consulte los adjuntos de Transit Gateway a VPC.

  • Existen límites para la creación y el uso de gateways de Direct Connect. Para obtener más información, consulte Cuotas de AWS Direct Connect.

Arquitectura

Arquitectura de destino

El siguiente ejemplo de arquitectura proporciona una solución reutilizable para implementar Transit VIFs con los archivos adjuntos Transit Gateway Connect. Esta arquitectura proporciona resiliencia mediante el uso de varias ubicaciones de Direct Connect. Para obtener más información, consulte Resiliencia máxima en la documentación de Direct Connect. La red local cuenta con procesos de producción, control de calidad y desarrollo VRFs que se extienden AWS y aíslan mediante tablas de rutas dedicadas.

Diagrama de arquitectura del uso de los recursos de AWS Direct Connect y AWS Transit Gateway para ampliar VRFs

En el AWS entorno, hay dos cuentas dedicadas a ampliar laVRFs: una cuenta Direct Connect y una cuenta de hub de red. La cuenta Direct Connect contiene la conexión y el tránsito VIFs de cada router. El tránsito se crea VIFs desde la cuenta de Direct Connect, pero se despliega en la cuenta del concentrador de red para poder asociarlo a la puerta de enlace de Direct Connect en la cuenta del concentrador de red. La cuenta del hub de red contiene la puerta de enlace de Direct Connect y la puerta de enlace de tránsito. Los AWS recursos se conectan de la siguiente manera:

  1. Transit VIFs conecta los enrutadores de las ubicaciones de Direct Connect con AWS Direct Connect en la cuenta de Direct Connect.

  2. Un tránsito VIF conecta Direct Connect con la puerta de enlace Direct Connect de la cuenta del hub de red.

  3. Una asociación de puertas de enlace de tránsito conecta la puerta de enlace Direct Connect con la puerta de enlace de tránsito de la cuenta del hub de red.

  4. Los accesorios Transit Gateway Connect conectan la pasarela de tránsito con VPCs las cuentas de producción, control de calidad y desarrollo.

VIFArquitectura de tránsito

El siguiente diagrama muestra los detalles de configuración del tránsitoVIFs. En este ejemplo de arquitectura se utiliza una VLAN para el origen del túnel, pero también se puede utilizar un bucle invertido.

Detalles de configuración de las VIF conexiones de tránsito entre los enrutadores y AWS Direct Connect

Los siguientes son los detalles de configuración, como los números de sistema autónomo (ASNs), del tránsitoVIFs.

Recurso

Elemento

Detalle

router-01

ASN

65534

router-02

ASN

65534

router-03

ASN

65534

router-04

ASN

65534

Gateway de Direct Connect

ASN

64601

Puerta de enlace de tránsito

ASN

64600

CIDRbloquear

10.100.254.0/24

Arquitectura Transit Gateway Connect

En el diagrama y las tablas siguientes se describe cómo configurar un adjunto Connect único VRF a través de una pasarela de tránsito. AdemásVRFs, asigne direcciones GRE IP únicas de túnelIDs, puerta de enlace de tránsito y CIDR bloques BGP interiores. La dirección GRE IP homóloga coincide con la dirección IP homóloga del router del tránsitoVIF.

Detalles de configuración de los GRE túneles entre los enrutadores y la puerta de enlace de tránsito

La siguiente tabla contiene detalles de configuración del enrutador.

Enrutador

Túnel

Dirección IP

Origen

Destino

router-01

Túnel 1

169.254.101.17

VLAN60

169,254,1001

10,100,254.1

router-02

Túnel 11

169,254,101,81

VLAN61

169,254100,5

10,100254,11

router-03

Túnel 21

169,254,101,145

VLAN62

169,254100,9

10,100254,21

router-04

Túnel 31

169,254,101,209

VLAN63

169254100,13

10,100254,31

La siguiente tabla contiene detalles de la puerta de enlace de tránsito.

Túnel

Dirección IP de la pasarela de tránsito GRE

Dirección GRE IP del mismo nivel

BGPdentro de CIDR bloques

Túnel 1

10.100.254.1

VLAN60

169,254,1001

169,254,101,16/29

Túnel 11

10,100254,11

VLAN61

169,254100,5

169,254,101,80/29

Túnel 21

10,100254,21

VLAN62

169,254100,9

169,254.101.144/29

Túnel 31

10,100254,31

VLAN63

169254100,13

169,254,101.208/29

Implementación

En la sección Epics, se describe cómo implementar un ejemplo de configuración para un router único en varios routers de clientes. VRF Una vez completados los pasos 1 a 5, puedes crear nuevos archivos adjuntos de Transit Gateway Connect siguiendo los pasos 6 y 7 para cada nuevo al VRF que te expongas: AWS

  1. Cree la puerta de enlace de tránsito.

  2. Cree una tabla de rutas de Transit Gateway para cada unoVRF.

  3. Cree las interfaces virtuales de tránsito.

  4. Cree una puerta de enlace Direct Connect.

  5. Cree la interfaz virtual de la puerta de enlace Direct Connect y las asociaciones de puerta de enlace con los prefijos permitidos.

  6. Cree una conexión de Connect de puerta de enlace de tránsito.

  7. Crear pares de Transit Gateway Connect.

  8. Asocie las conexiones de Transit Gateway Connect con la tabla de enrutamiento.

  9. Anuncie las rutas a los enrutadores.

Herramientas

AWSservicios

  • AWSDirect Connect conecta su red interna a una ubicación de Direct Connect a través de un cable Ethernet de fibra óptica estándar. Con esta conexión, puede crear interfaces virtuales directamente con los AWS servicios públicos y, al mismo tiempo, omitir a los proveedores de servicios de Internet en su ruta de red.

  • AWSTransit Gateway es un centro central que conecta nubes privadas virtuales (VPCs) y redes locales.

  • Amazon Virtual Private Cloud (AmazonVPC) le ayuda a lanzar AWS recursos en una red virtual que haya definido. Esta red virtual se parece a una red tradicional que utilizaría en su propio centro de datos, con las ventajas de utilizar la infraestructura escalable que ofreceAWS.

Epics

TareaDescripciónHabilidades requeridas

Cree diagramas de arquitectura personalizados.

  1. En la sección Attachments (Conexiones), descargue la plantilla de diagrama.

  2. Abra el diagrama adjunto en Microsoft Office PowerPoint.

  3. En la diapositiva Architecture overview (Descripción general de la arquitectura), personalice el diagrama de arquitectura para su entorno. Identifique las instalaciones locales VRFs que deben extenderse a su AWS entorno.

  4. En la VIF diapositiva Transit, personalice el diagrama de arquitectura. Identifique los números de AS de los enrutadores, la puerta de enlace de Direct Connect y la puerta de enlace de tránsito. Identifique las direcciones IP en cada extremo del tránsitoVIF.

  5. En la diapositiva Transit Gateway Connect, personalice un diagrama de arquitectura para cada unoVRF. Identifique todas las direcciones IP necesarias para configurar los enrutadores y los pares de Transit Gateway Connect.

Arquitecto de la nube, administrador de redes
TareaDescripciónHabilidades requeridas

Cree la puerta de enlace de tránsito.

  1. Inicie sesión en la cuenta del hub de red.

  2. Siga las instrucciones de Crear una puerta de enlace de tránsito. Tenga en cuenta lo siguiente para este patrón:

    • Para el número de sistema autónomo de Amazon (ASN), introduce un número únicoASN. A los efectos de este ejemplo, el ASN es64600.

    • Seleccione DNSsoporte.

    • Para este ejemplo de arquitectura, no se requieren el VPNECMPsoporte, la asociación de tablas de rutas predeterminada, la prórroga de la tabla de rutas predeterminada ni el soporte de multidifusión.

    • Para los CIDRbloques de la puerta de enlace de tránsito, introduzca los IPv4 CIDR bloques de la puerta de enlace de tránsito. A los efectos de este ejemplo, el CIDR bloque es10.100.254.0/24.

Administrador de redes, arquitecto de la nube

Cree una tabla de enrutamiento para la puerta de enlace de tránsito.

Siga las instrucciones de Crear una tabla de enrutamiento para la puerta de enlace de tránsito. Tenga en cuenta lo siguiente para este patrón:

  • En Name tag (Nombre de la etiqueta), escriba un nombre para la tabla de enrutamiento de la puerta de enlace de tránsito. Se recomienda utilizar un nombre que corresponda aVRF, comoroutetable-dev-vrf.

  • En Transit Gateway ID (ID de gateway de tránsito), elija la puerta de enlace de tránsito que creó.

Arquitecto de la nube, administrador de redes
TareaDescripciónHabilidades requeridas

Cree las interfaces virtuales de tránsito.

  1. Inicie sesión en la cuenta Direct Connect.

  2. Siga las instrucciones para Crear una interfaz virtual de tránsito en la puerta de enlace de Direct Connect. Tenga en cuenta lo siguiente para este patrón:

    • En el campo Nombre de la interfaz virtual, introduzca un nombre para el tránsitoVIF. Recomendamos usar un nombre que corresponda al enrutador, como transit-vif-router01.

    • En Connection (Conexión), seleccione el enrutador, por ejemplo router-01.

    • Para el Virtual interface owner (Propietario de la interfaz virtual), introduzca el ID de cuenta de la cuenta del hub de red. Para obtener instrucciones, consulte Ver el ID de su AWS cuenta.

    • Para la puerta de enlace Direct Connect, no haga ninguna selección. La puerta de enlace Direct Connect se conecta en un paso posterior.

    • Para VLAN, introduzca el VLAN del router, por ejemplo60.

    • Para BGPASN, introduzca el ASN del router, por ejemplo65534.

    • En Additional Settings (Configuración adicional), haga lo siguiente:

      • Elija IPv4.

      • Para la IP homóloga de su enrutador, introduzca la dirección IP homóloga del enrutador, por ejemplo 169.254.100.1.

      • Para la IP homóloga del enrutador Amazon, introduzca la dirección IP homóloga del enrutador de Amazon, por ejemplo 169.254.100.2.

      • Para la clave de BGP autenticación, se requiere una contraseña. Si se deja en blanco, AWS crea una clave a la que solo se puede acceder en esta cuenta.

  3. Repita estas instrucciones para crear todos los tránsitos VIFs para elVRF.

Arquitecto de la nube, administrador de redes
TareaDescripciónHabilidades requeridas

Cree una gateway de Direct Connect.

  1. Inicie sesión en la cuenta del hub de red.

  2. Siga las instrucciones de Creación de una puerta de enlace de Direct Connect. Tenga en cuenta lo siguiente para este patrón:

    • En el caso de Amazon ASN, introduce la puerta ASN de enlace de Direct Connect, por ejemplo64601.

    • No elija una puerta de enlace privada virtual.

Arquitecto de la nube, administrador de redes

Conecte la puerta de enlace Direct Connect al transporte públicoVIFs.

  1. En la cuenta del hub de red, abra la consola AWS Direct Connect en la https://console.aws.amazon.com/directconnect/v2/.

  2. En el panel de navegación, elija Virtual Interfaces.

  3. Seleccione un tránsito nuevo yVIF, a continuación, elija Aceptar.

  4. Elija la puerta de enlace Direct Connect que creó.

  5. Repite estas instrucciones para cada tránsitoVIF.

Arquitecto de la nube, administrador de redes

Cree las asociaciones de puerta de enlace Direct Connect con los prefijos permitidos.

En la cuenta del hub de red, siga las instrucciones de Para asociar una puerta de enlace de tránsito. Tenga en cuenta lo siguiente para este patrón:

  • En Transit Gateway ID (ID de puerta de enlace de tránsito), elija la puerta de enlace de tránsito que creó.

  • En Prefijos permitidos, introduzca el CIDR bloque asignado a la pasarela de tránsito, por ejemplo. 10.100.254.0/24

Al crear esta asociación, se crea automáticamente una conexión de puerta de enlace de tránsito que tiene un tipo de recurso Direct Connect Gateway. No es necesario que esta conexión esté asociada a una tabla de enrutamiento de puerta de enlace de tránsito.

Arquitecto de la nube, administrador de redes

Cree una conexión de Connect de puerta de enlace de tránsito.

  1. En la cuenta del hub de red, abre la VPC consola Amazon en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Transit gateway attachments (Conexiones de puerta de enlace de tránsito).

  3. Elija Create transit gateway attachment (Crear conexión de puerta de enlace de tránsito).

  4. En Name (Nombre), escriba un nombre para la conexión. Recomendamos utilizar un nombre que se corresponda conVRF, comoPROD-VRF.

  5. En Transit Gateway ID (ID de puerta de enlace de tránsito), elija la puerta de enlace de tránsito que creó.

  6. En Attachment type (Tipo de conexión), elija Connect.

  7. Para el Transport attachment ID (ID de conexión de transporte), elija la puerta de enlace de Direct Connect que creó anteriormente.

  8. Elija Create transit gateway attachment (Crear conexión de puerta de enlace de tránsito).

  9. Repita este paso para cada uno de VRF los que vaya a extender.

Arquitecto de la nube, administrador de redes

Crear pares de Transit Gateway Connect.

  1. En la cuenta del hub de red, siga las instrucciones de Create a Transit Gateway Connect peer (GREtúnel). Tenga en cuenta lo siguiente para este patrón:

    • En Name tag (Nombre de la etiqueta), puede escribir un nombre para la puerta de enlace de tránsito. Recomendamos usar un nombre que corresponda al enrutador, como connectpeer-router01.

    • Para la GREdirección de la puerta de enlace de tránsito, introduzca la dirección IP asignada desde el CIDR bloque de la puerta de enlace de tránsito, por ejemplo10.100.254.1.

    • En GREDirección de igual nivel, introduzca la dirección IP asignada a la VLAN creada en el router para el tránsitoVIF, por ejemplo169.254.100.1. Siempre que AWS pueda llegar a la dirección IP, puede utilizar cualquier interfaz, como VLAN Loopback, para la dirección del mismo nivel. GRE

    • BGPEn Inside CIDR Blocks (IPv4), introduce la dirección IP BGP del CIDR bloque interno, como. 169.254.101.16/29

    • Para Peer ASN, introduzca la ASN del router, por ejemplo65534.

  2. Repita estas instrucciones para crear un GRE túnel para cada router.

Recursos relacionados

AWSdocumentación

Publicaciones de blog de AWS

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip