Tutorial: Porta il tuo ASN in IPAM

Modalità Focus

Tutorial: Porta il tuo ASN in IPAM - Amazon Virtual Private Cloud

Prerequisiti di onboarding per l'ASN Passaggi del tutorial

Se le tue applicazioni utilizzano indirizzi IP affidabili e numeri di sistema autonomi (ASNs) consentiti dai tuoi partner o clienti elencati nella loro rete, puoi eseguire queste applicazioni AWS senza richiedere ai tuoi partner o clienti di modificare i loro elenchi di autorizzazioni.

Un Numero di sistema autonomo (ASN) è un numero unico a livello globale che consente l’identificazione di un gruppo di reti su Internet e lo scambio di dati di routing con altre reti in maniera dinamica tramite Border Gateway Protocol. I provider di servizi Internet (ISPs), ad esempio, lo utilizzano ASNs per identificare la fonte del traffico di rete. Non tutte le organizzazioni ne acquistano uno proprio ASNs, ma le organizzazioni che lo fanno possono portare il proprio ASN a AWS.

Bring your own autonomous system number (BYOASN) ti consente di pubblicizzare IPv6 gli indirizzi IPv4 o gli indirizzi a AWS cui porti utilizzando il tuo ASN pubblico anziché l'ASN. AWS Quando utilizzi BYOASN, il traffico in origine dal tuo indirizzo IP trasporta il tuo ASN anziché l'ASN AWS e i tuoi carichi di lavoro sono raggiungibili da clienti o partner che hanno inserito nella lista di accettazione il traffico basato sul tuo indirizzo IP e ASN.

Importante

Completa questo tutorial utilizzando l'account di amministratore IPAM nella regione di origine del tuo IPAM.
Questo tutorial presuppone che tu sia il proprietario dell'ASN pubblico che desideri trasferire su IPAM e che tu abbia già portato un CIDR BYOIP e lo abbia fornito a un pool di ambito pubblico. AWS Puoi inserire un ASN in IPAM in qualsiasi momento, ma per utilizzarlo devi associarlo a un CIDR che hai inserito nel tuo account. AWS Questo tutorial presuppone che tu abbia già effettuato questa operazione. Per ulteriori informazioni, consulta Tutorial: trasferisci i tuoi indirizzi IP su IPAM.
Puoi passare dalla pubblicità al tuo ASN o a un AWS ASN senza indugio, ma sei limitato a passare da un AWS ASN al tuo ASN una volta all'ora.
Se il tuo CIDR BYOIP attualmente è pubblicizzato, non devi ritirarlo dalla pubblicità per associarlo al tuo ASN.

Prerequisiti di onboarding per l'ASN

Per completare questo tutorial, occorre quanto indicato di seguito:

Il tuo ASN pubblico a 2 o 4 byte.
Se hai già inserito un intervallo di indirizzi IPTutorial: trasferisci i tuoi indirizzi IP su IPAM, ti serve AWS l'intervallo CIDR di indirizzi IP. Sarà inoltre necessaria una chiave privata. Puoi utilizzare la chiave privata che hai creato quando hai portato l'intervallo CIDR degli indirizzi IP AWS oppure puoi creare una nuova chiave privata come descritto in Creare una chiave privata e generare un certificato X.509 nella Amazon EC2 User Guide.
Quando aggiungi un intervallo di IPv6 indirizzi IPv4 o a AWS withTutorial: trasferisci i tuoi indirizzi IP su IPAM, crei un certificato X.509 e carichi il certificato X.509 nel record RDAP del tuo RIR. È necessario caricare lo stesso certificato creato nel record RDAP del RIR per l'ASN. Assicurati di includere le stringhe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- prima e dopo la porzione codificata. Tutto questo contenuto deve trovarsi su un'unica linea lunga. La procedura per l'aggiornamento di RDAP dipende dal RIR:
- Per ARIN, utilizza il portale Account Manager per aggiungere il certificato nella sezione "Commenti pubblici" per l'oggetto "Informazioni di rete" che rappresenta l'ASN utilizzando l'opzione "Modifica ASN". Non aggiungerlo alla sezione commenti dell'organizzazione.
- Per RIPE, aggiungi il certificato come nuovo campo "descr" all'oggetto "aut-num" che rappresenta il tuo ASN. Di solito si trovano nella sezione "Le mie risorse" del
  
  portale del database RIPE. Non aggiungerlo alla sezione commenti della tua organizzazione o al campo "osservazioni" dell'oggetto "aut-num".
- Per APNIC, invia via email il certificato a helpdesk@apnic.net per aggiungerlo manualmente al campo "osservazioni" per il tuo ASN. Invia l'e-mail utilizzando il contatto autorizzato APNIC per l'ASN.
Quando trasferisci un intervallo di indirizzi IP in IPAM, crei un ROA per verificare di controllare lo spazio di indirizzi IP che stai trasferendo a IPAM. Oltre a quel ROA, devi averne un secondo nel RIR con l'ASN che stai trasferendo a IPAM. Se non hai questo secondo ROA per l'ASN nel tuo RIR, completa 3. Creazione di un oggetto ROA nel RIR. Ignora gli altri passaggi.

Passaggi del tutorial

Completa i passaggi seguenti utilizzando la console o il. AWS AWS CLI

AWS Management Console

Apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.
Nel riquadro di navigazione a sinistra, scegliere IPAMs.
Scegli il tuo IPAM.
Scegli la BYOASNsscheda e scegli Fornitura BYOASNs.
Inserisci l’ASN. In tal modo, il campo Message (Messaggio) viene compilato automaticamente con il messaggio necessario per l’accesso al passaggio successivo.
- Il formato del messaggio è il seguente, dove ACCOUNT è il numero del tuo AWS account, ASN è l'ASN che stai trasferendo a IPAM e YYYYMMDD è la data di scadenza del messaggio (che per impostazione predefinita è l'ultimo giorno del mese successivo). Esempio:
```
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
```
Copia il messaggio e sostituisci la data di scadenza con un valore tuo, se necessario.

Firma il messaggio utilizzando la chiave privata. Esempio:


signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

In Firma, inserisci la firma.
(Facoltativo) Per eseguire il provisioning di un altro ASN, scegli Esegui il provisioning di un ASN. Puoi fornire fino a 5. ASNs Per aumentare questa quota, consulta Quote per l'IPAM.
Scegli Provision (Esegui il provisioning).
Visualizza il processo di provisioning nella BYOASNsscheda. Attendi che lo Stato passi da Pending-Provisioning a Provisioned. BYOASNs in uno stato di Failed-provisioning vengono rimossi automaticamente dopo 7 giorni. Una volta eseguito correttamente il provisioning dell’ASN, puoi associarlo a un CIDR BYOIP.
Nel riquadro di navigazione a sinistra, seleziona Pools (Pool).
Scegli il tuo ambito pubblico. Per ulteriori informazioni sugli ambiti, consulta Funzionamento di IPAM.
Scegli un pool regionale di cui sia stato eseguito il provisioning di un CIDR BYOIP. Il pool deve avere Service impostato su EC2e deve avere una locale scelta.
Scegli la CIDRsscheda e seleziona un CIDR BYOIP.
Scegli Actions (Azioni) > Manage BYOASN associations (Gestisci associazioni BYOASN).
In Associato BYOASNs, scegli l'ASN a cui ti sei trasferito. AWS Se ne hai più ASNs, puoi associarne più ASNs al CIDR BYOIP. Puoi associarne quanti ne puoi portare ASNs a IPAM. Tieni presente che per impostazione predefinita puoi portarne fino a 5 ASNs a IPAM. Per ulteriori informazioni, consulta Quote per l'IPAM.
Selezionare Associate (Associa).
Attendi il completamento dell’associazione ASN. Una volta che l'ASN è stato associato correttamente al CIDR BYOIP, puoi pubblicizzare nuovamente il CIDR BYOIP.
Scegli la CIDRsscheda piscina.
Seleziona il CIDR BYOIP e scegli Actions (Operazioni) > Advertise (Pubblicizzazione). Di conseguenza, vengono visualizzate le tue opzioni ASN: Amazon ASN e tutte le opzioni che ASNs hai portato a IPAM.
Seleziona l'ASN che hai portato in IPAM e scegli Advertise CIDR (Pubblicizza CIDR). In tal modo, il CIDR BYOIP viene pubblicizzato e il valore nella colonna Advertising (Pubblicità) passa da Withdrawn (Ritirato) a Advertised (Pubblicizzato). La colonna Autonomous System Number (Numero di sistema autonomo) visualizza l'ASN associato al CIDR.
(Facoltativo) Se decidi di cambiare nuovamente l’associazione ASN nell’ASN Amazon, seleziona il CIDR BYOIP e scegli nuovamente Actions (Azioni) > Advertise (Pubblicizza). Questa volta, scegli l’ASN Amazon. Puoi tornare all'ASN Amazon in qualunque momento, ma puoi passare a un ASN personalizzato solo una volta all'ora.

Il tutorial è terminato.

Rimozione

Dissocia l'ASN dal CIDR BYOIP
- Per ritirare il CIDR BYOIP dalla pubblicità, nel pool nell’ambito pubblico, scegli il CIDR BYOIP, quindi scegli Actions (Azioni) > Withdraw from advertising (Ritiro dalla pubblicità).
- Per dissociare l’ASN dal CIDR, scegli Actions (Azioni) > Manage BYOASN associations (Gestisci associazioni BYOASN).
Annullamento del provisioning dell'ASN
- Per effettuare il deprovisioning dell'ASN, nella BYOASNs scheda, scegli l'ASN e scegli Deprovisioning ASN. Di conseguenza, l'ASN viene disattivato. BYOASNs in uno stato di disattivazione vengono rimossi automaticamente dopo 7 giorni.

La pulizia è completa.

Command line

Fornisci il tuo ASN includendo l'ASN e il messaggio di autorizzazione. La firma è il messaggio firmato con la chiave privata.


aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

Descrivi il tuo ASN per monitorare il processo di provisioning. Se la richiesta ha esito positivo, dopo alcuni minuti dovresti vedere il ProvisionStatusset impostato su Provisioned.
```
aws ec2 describe-ipam-byoasn 
```
Associa il tuo ASN al tuo CIDR BYOIP. Qualunque ASN personalizzato da cui desideri pubblicizzare deve prima essere associato al tuo CIDR.
```
aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
Descrivi il tuo CIDR per tracciare il processo di associazione.
```
aws ec2 describe-byoip-cidrs --max-results 10
```
Pubblicizza il tuo CIDR con il tuo ASN. Se il CIDR è già pubblicizzato, l'ASN di origine da Amazon diventerà tuo.
```
aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
Descrivi il tuo CIDR per vedere lo stato ASN passare da associated (associato) a advertised (pubblicizzato).
```
aws ec2 describe-byoip-cidrs --max-results 10
```

Il tutorial è terminato.

Rimozione

Esegui una di queste operazioni:
- Per ritirare solo la tua pubblicità ASN e tornare a utilizzare Amazon ASNs mantenendo pubblicizzato il CIDR, devi chiamare advertise-byoip-cidr con il AWS valore speciale per il parametro asn. Puoi tornare all'ASN Amazon in qualunque momento, ma puoi passare a un ASN personalizzato solo una volta all'ora.
```
aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n 
```
- Per ritirare contemporaneamente la tua pubblicità CIDR e ASN, puoi chiamare. withdraw-byoip-cidr
```
aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n
```
Per ripulire il tuo ASN, devi prima annullarne l’associazione dal CIDR BYOIP.
```
aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
Una volta dissociato il tuo ASN da tutti i BYOIP a cui lo hai CIDRs associato, puoi rimuoverlo.
```
aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345 
```
Il provisioning del CIDR BYOIP può essere annullato anche dopo la rimozione di tutte le associazioni ASN.
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n
```

Conferma l’annullamento del provisioning.


aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

La pulizia è completa.

anchor anchor

Apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.
Nel riquadro di navigazione a sinistra, scegliere IPAMs.
Scegli il tuo IPAM.
Scegli la BYOASNsscheda e scegli Fornitura BYOASNs.
Inserisci l’ASN. In tal modo, il campo Message (Messaggio) viene compilato automaticamente con il messaggio necessario per l’accesso al passaggio successivo.
- Il formato del messaggio è il seguente, dove ACCOUNT è il numero del tuo AWS account, ASN è l'ASN che stai trasferendo a IPAM e YYYYMMDD è la data di scadenza del messaggio (che per impostazione predefinita è l'ultimo giorno del mese successivo). Esempio:
```
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
```
Copia il messaggio e sostituisci la data di scadenza con un valore tuo, se necessario.

Firma il messaggio utilizzando la chiave privata. Esempio:


signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

In Firma, inserisci la firma.
(Facoltativo) Per eseguire il provisioning di un altro ASN, scegli Esegui il provisioning di un ASN. Puoi fornire fino a 5. ASNs Per aumentare questa quota, consulta Quote per l'IPAM.
Scegli Provision (Esegui il provisioning).
Visualizza il processo di provisioning nella BYOASNsscheda. Attendi che lo Stato passi da Pending-Provisioning a Provisioned. BYOASNs in uno stato di Failed-provisioning vengono rimossi automaticamente dopo 7 giorni. Una volta eseguito correttamente il provisioning dell’ASN, puoi associarlo a un CIDR BYOIP.
Nel riquadro di navigazione a sinistra, seleziona Pools (Pool).
Scegli il tuo ambito pubblico. Per ulteriori informazioni sugli ambiti, consulta Funzionamento di IPAM.
Scegli un pool regionale di cui sia stato eseguito il provisioning di un CIDR BYOIP. Il pool deve avere Service impostato su EC2e deve avere una locale scelta.
Scegli la CIDRsscheda e seleziona un CIDR BYOIP.
Scegli Actions (Azioni) > Manage BYOASN associations (Gestisci associazioni BYOASN).
In Associato BYOASNs, scegli l'ASN a cui ti sei trasferito. AWS Se ne hai più ASNs, puoi associarne più ASNs al CIDR BYOIP. Puoi associarne quanti ne puoi portare ASNs a IPAM. Tieni presente che per impostazione predefinita puoi portarne fino a 5 ASNs a IPAM. Per ulteriori informazioni, consulta Quote per l'IPAM.
Selezionare Associate (Associa).
Attendi il completamento dell’associazione ASN. Una volta che l'ASN è stato associato correttamente al CIDR BYOIP, puoi pubblicizzare nuovamente il CIDR BYOIP.
Scegli la CIDRsscheda piscina.
Seleziona il CIDR BYOIP e scegli Actions (Operazioni) > Advertise (Pubblicizzazione). Di conseguenza, vengono visualizzate le tue opzioni ASN: Amazon ASN e tutte le opzioni che ASNs hai portato a IPAM.
Seleziona l'ASN che hai portato in IPAM e scegli Advertise CIDR (Pubblicizza CIDR). In tal modo, il CIDR BYOIP viene pubblicizzato e il valore nella colonna Advertising (Pubblicità) passa da Withdrawn (Ritirato) a Advertised (Pubblicizzato). La colonna Autonomous System Number (Numero di sistema autonomo) visualizza l'ASN associato al CIDR.
(Facoltativo) Se decidi di cambiare nuovamente l’associazione ASN nell’ASN Amazon, seleziona il CIDR BYOIP e scegli nuovamente Actions (Azioni) > Advertise (Pubblicizza). Questa volta, scegli l’ASN Amazon. Puoi tornare all'ASN Amazon in qualunque momento, ma puoi passare a un ASN personalizzato solo una volta all'ora.

Il tutorial è terminato.

Rimozione

Dissocia l'ASN dal CIDR BYOIP
- Per ritirare il CIDR BYOIP dalla pubblicità, nel pool nell’ambito pubblico, scegli il CIDR BYOIP, quindi scegli Actions (Azioni) > Withdraw from advertising (Ritiro dalla pubblicità).
- Per dissociare l’ASN dal CIDR, scegli Actions (Azioni) > Manage BYOASN associations (Gestisci associazioni BYOASN).
Annullamento del provisioning dell'ASN
- Per effettuare il deprovisioning dell'ASN, nella BYOASNs scheda, scegli l'ASN e scegli Deprovisioning ASN. Di conseguenza, l'ASN viene disattivato. BYOASNs in uno stato di disattivazione vengono rimossi automaticamente dopo 7 giorni.