Bloques de CIDR de VPC
Las direcciones IP de la nube privada virtual (VPC) se representan mediante la notación de enrutamiento entre dominios sin clases (CIDR). Una VPC debe tener un bloque de CIDR de IPv4 asociado. Opcionalmente, puede asociar bloques de CIDR de IPv4 adicionales y uno o varios bloques de CIDR de IPv6. Para obtener más información, consulte Direccionamiento IP para VPC y subredes.
Contenido
Bloques de CIDR de VPC IPv4
Cuando crea una VPC, debe especificar un bloque de CIDR IPv4 para la VPC. El tamaño de bloque permitido oscila entre la máscara de subred /16
(65 536 direcciones IP) y /28
(16 direcciones IP). Una vez que haya creado su VPC, puede asociar bloques de CIDR IPv4 secundarios con la VPC. Para obtener más información, consulte Adición o eliminación de un bloque de CIDR de su VPC.
Al crear una VPC, se recomienda especificar un bloque de CIDR de los intervalos de direcciones IPv4 privadas como se especifica en RFC 1918
Intervalo RFC 1918 | Ejemplo de bloque de CIDR |
---|---|
10.0.0.0 - 10.255.255.255 (prefijo 10/8) | 10.0.0.0/16 |
172.16.0.0 - 172.31.255.255 (prefijo 172.16/12) | 172.31.0.0/16 |
192.168.0.0 - 192.168.255.255 (prefijo 192.168/16) | 192.168.0.0/20 |
importante
Algunos servicios de AWS utilizan el rango de CIDR 172.17.0.0/16
. Para evitar futuros conflictos, no utilice este rango al crear la VPC. Por ejemplo, servicios como AWS Cloud9 o Amazon SageMaker pueden experimentar conflictos de direcciones IP si el rango de direcciones IP 172.17.0.0/16
ya está en uso en cualquier parte de la red. Para obtener más información, consulte No se puede conectar al entorno de EC2 porque Docker utiliza las direcciones IP de VPC en la Guía del usuario de AWS Cloud9.
Puede crear una VPC con un bloque de CIDR direccionable públicamente externo a los intervalos de direcciones IPv4 privadas especificadas en RFC 1918. Sin embargo, para esta documentación, nos referimos a las direcciones IP privadas como las direcciones IPv4 que se encuentran en el intervalo de CIDR de su VPC.
Cuando crea una VPC para usarla con un servicio de AWS, debe consultar la documentación de dicho servicio para comprobar si hay requisitos específicos para su configuración.
Si crea una VPC mediante una herramienta de la línea de comandos o la API de Amazon EC2, el bloque de CIDR se modifica automáticamente a su forma canónica. Por ejemplo, si especifica 100.68.0.18/18 para el bloque de CIDR, creamos un bloque de CIDR de 100.68.0.0/18.
Administración de bloques de CIDR de IPv4 para una VPC
Puede asociar bloques de CIDR IPv4 secundarios con su VPC. Al asociar un bloque de CIDR con su VPC, se agrega una ruta automáticamente a sus tables de ruteo de VPC para habilitar el direccionamiento en la VPC (el destino es el bloque de CIDR y el objetivo es local
).
En el siguiente ejemplo, la VPC tiene un bloque de CIDR principal y otro secundario. Los bloques de CIDR de la subred A y la subred B provienen del bloque de CIDR principal de la VPC. El bloque de CIDR de la subred C proviene del bloque de CIDR secundario de la VPC.
En la siguiente tabla de enrutamiento se muestran las rutas locales de la VPC.
Destino | Objetivo |
---|---|
10.0.0.0/16 | Local |
10.2.0.0/16 | Local |
Para añadir un bloque de CIDR a su VPC, se aplican las siguientes reglas:
-
El tamaño de bloque permitido oscila entre la máscara de subred
/28
y/16
. -
El bloque de CIDR no se debe solapar con otro bloque de CIDR existente que esté asociado con la VPC.
-
Los rangos de las direcciones IPv4 que puede usar están sujetos a ciertas restricciones. Para obtener más información, consulte Restricciones de asociación de bloques de CIDR IPv4.
-
No es posible aumentar o reducir el tamaño de un bloque de CIDR existente.
-
Hay una cuota en el número de bloques de CIDR que se pueden asociar con una VPC y el número de rutas que se pueden agregar a una tabla de ruteo. No puede asociar un bloque de CIDR si el resultado supera las cuotas. Para obtener más información, consulte Cuotas de Amazon VPC.
-
El bloque de CIDR no debe ser igual o mayor que el rango de CIDR de destino en una ruta en cualquiera de las tablas de ruteo de VPC. Por ejemplo, en una VPC en la que el bloque de CIDR es
10.2.0.0/16
, tiene una ruta existente en una tabla de enrutamiento con un destino de10.0.0.0/24
para una gateway privada virtual. Desea asociar un bloque de CIDR en el rango10.0.0.0/16
. Debido a la ruta existente, no puede asociar un bloque de CIDR de10.0.0.0/24
o mayor. No obstante, puede asociar un bloque de CIDR secundario de10.0.0.0/25
o menor. -
Se aplican las siguientes reglas al agregar bloques de CIDR IPv4 a una VPC de forma parte de una interconexión de VPC:
-
Si la interconexión de VPC es
active
, puede agregar bloques de CIDR a una VPC siempre que no se solapen con un bloque de CIDR de la VPC del mismo nivel. -
Si la interconexión de VPC es
pending-acceptance
, el propietario de la VPC del solicitante no puede agregar ningún bloque de CIDR a la VPC, independientemente de si se solapa con el bloque de CIDR de la VPC del aceptador. El propietario de la VPC del aceptador debe aceptar la interconexión o el propietario de la VPC del solicitante debe eliminar la solicitud de interconexión de VPC, agregar el bloque de CIDR y, a continuación, solicitar una nueva interconexión de VPC. -
Si la interconexión de VPC es
pending-acceptance
, el propietario de la VPC del aceptador puede agregar bloques de CIDR a la VPC. Si un bloque de CIDR secundario se solapa con un bloque de CIDR de la VPC del solicitante, se produce un error en la interconexión de VPC y no se puede aceptar.
-
-
Si utiliza AWS Direct Connect para conectar con varias VPC a través de una gateway de Direct Connect, las VPC asociadas a la gateway no deben tener bloques de CIDR solapados. Si añade un bloque de CIDR a una de las VPC asociadas a la gateway de Direct Connect, asegúrese de que el nuevo bloque de CIDR no se solape con un bloque de CIDR existente de cualquier otra VPC asociada. Para obtener más información, consulte gateways de Direct Connect en la Guía del usuario de AWS Direct Connect.
-
Cuando añade o elimina un bloque de CIDR, este puede pasar por varios estados:
associating
|associated
|disassociating
|disassociated
|failing
|failed
. El bloque de CIDR está listo para usar cuando se encuentra en el estadoassociated
.
Puede desvincular un bloque de CIDR que haya asociado con la VPC; sin embargo, no puede desvincular el bloque de CIDR con el que haya creado originalmente la VPC (el bloque de CIDR principal). Para visualizar el CIDR principal de la VPC en la consola de Amazon VPC, elija Your VPCs (Sus VPC), seleccione la casilla de verificación para su VPC y elija la pestaña CIDRs. Para ver el CIDR principal mediante la AWS CLI, utilice el comando describe-vpcs de la siguiente manera. El CIDR principal se devuelve en el CidrBlock element
de nivel superior.
aws ec2 describe-vpcs --vpc-id
vpc-1a2b3c4d
--query Vpcs[*].CidrBlock --output text
A continuación, se muestra un ejemplo del resultado.
10.0.0.0/16
Restricciones de asociación de bloques de CIDR IPv4
En la siguiente tabla se proporciona una descripción general de las asociaciones de bloques de CIDR de VPC permitidas y restringidas. El motivo de las restricciones es que algunos servicios de AWS utilizan funciones multiVPC y multicuenta que requieren bloques de CIDR no conflictivos en el servicio de AWS.
Rango de direcciones IP | Asociaciones restringidas | Asociaciones permitidas |
---|---|---|
10.0.0.0/8 |
Bloques de CIDR de otros rangos RFC 1918* (172.16.0.0/12 y 192.168.0.0/16). Si alguno de los bloques de CIDR asociados a la VPC son del rango 10.0.0.0/15 (de 10.0.0.0 a 10.1.255.255), no puede agregar un bloque de CIDR del rango 10.0.0.0/16 (de 10.0.0.0 a 10.0.255.255). Bloques de CIDR del rango 198.19.0.0/16. |
Cualquier otro bloque de CIDR no restringido entre una máscara de red /16 y una máscara de red /28 del rango 10.0.0.0/8. Cualquier bloque de CIDR IPv4 direccionable públicamente (no RFC 1918) entre una máscara de red /16 y /28, o un bloque de CIDR entre una máscara de red /16 y /28 del rango 100.64.0.0/10. |
169.254.0.0/16 |
Los bloques de CIDR del bloque “enlace local” se reservan tal como se describe en RFC 5735 |
|
172.16.0.0/12 |
Bloques de CIDR de otros rangos RFC 1918* (10.0.0.0/8 y 192.168.0.0/16). Bloques de CIDR del rango 172.31.0.0/16. Bloques de CIDR del rango 198.19.0.0/16. |
Cualquier otro bloque de CIDR no restringido, entre una máscara de red /16 y una máscara de red /28 del rango 172.16.0.0/12. Cualquier bloque de CIDR IPv4 direccionable públicamente (no RFC 1918) entre una máscara de red /16 y /28, o un bloque de CIDR entre una máscara de red /16 y /28 del rango 100.64.0.0/10. |
192.168.0.0/16 |
Bloques de CIDR de otros rangos RFC 1918* (10.0.0.0/8 y 172.16.0.0/12). Bloques de CIDR del rango 198.19.0.0/16. |
Cualquier otro bloque de CIDR entre una máscara de red /16 y una máscara de red /28 del rango 192.168.0.0/16. Cualquier bloque de CIDR IPv4 direccionable públicamente (no RFC 1918) entre una máscara de red /16 y /28, o un bloque de CIDR del rango 100.64.0.0/10 rango entre una máscara de red /16 y /28. |
198.19.0.0/16 |
Bloques de CIDR de los rangos RFC 1918*. |
Cualquier bloque de CIDR IPv4 direccionable públicamente (no RFC 1918) entre una máscara de red /16 y /28, o un bloque de CIDR del rango 100.64.0.0/10 rango entre una máscara de red /16 y /28. |
Bloque de CIDR direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10 |
Bloques de CIDR de los rangos RFC 1918*. Bloques de CIDR del rango 198.19.0.0/16. |
Cualquier otro bloque de CIDR IPv4 direccionable públicamente (no RFC 1918) entre una máscara de red /16 y /28, o un bloque de CIDR entre una máscara de red /16 y /28 del rango 100.64.0.0/10. |
*Los rangos de RFC 1918 son los rangos de direcciones IPv4 privadas que se especifican en RFC 1918
Bloques de CIDR de VPC IPv6
Puede asociar un único bloque de CIDR de IPv6 cuando crea una VPC nueva o puede asociar hasta cinco bloques de CIDR de IPv6 de /44
a /60
en incrementos de /4
. Puede solicitar un bloque de CIDR IPv6 del grupo de direcciones IPv6 de Amazon. Para obtener más información, consulte Adición o eliminación de un bloque de CIDR de su VPC.
Si ha asociado un bloque de CIDR IPv6 a su VPC, podrá asociar un bloque de CIDR IPv6 a una subred existente en su VPC, o cuando cree una nueva subred. Para obtener más información, consulte Ajuste de tamaño de subredes para direcciones IPv6.
Por ejemplo, puede crear una VPC y especificar que desea asociar un bloque de CIDR IPv6 proporcionado por Amazon a la VPC. Amazon asigna el siguiente bloque de CIDR IPv6 a su VPC: 2001:db8:1234:1a00::/56
. No puede elegir el intervalo de direcciones IP usted mismo. Puede crear una subred y asociar un bloque de CIDR IPv6 desde este rango. Por ejemplo, 2001:db8:1234:1a00::/64
.
Puede desasociar un bloque de CIDR IPv6 de una VPC. Tras anular la asociación de un bloque de CIDR IPv6 de una VPC, no podrá esperar recibir el mismo CIDR si vuelve a asociar un bloque de CIDR IPv6 a su VPC más adelante.