Estenda VRFs para AWS usando o AWS Transit Gateway Connect - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasÉpicosRecursos relacionadosAnexos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Estenda VRFs para AWS usando o AWS Transit Gateway Connect

Criado por Adam Till (AWS), Yashar Araghi (), Vikas AWS Dewangan () e Mohideen () AWS HajaMohideen AWS

Ambiente: PoC ou piloto

Tecnologias: infraestrutura; rede

AWSserviços: AWS Direct Connect; AWS Transit Gateway

Resumo

O roteamento e encaminhamento virtuais (VRF) é um recurso das redes tradicionais. Ele usa domínios de roteamento lógico isolados, na forma de tabelas de rotas, para separar o tráfego de rede dentro da mesma infraestrutura física. Você pode configurar o AWS Transit Gateway para oferecer suporte ao VRF isolamento ao conectar sua rede local a. AWS Esse padrão usa uma arquitetura de exemplo para se conectar localmente VRFs a diferentes tabelas de rotas do gateway de trânsito.

Esse padrão usa interfaces virtuais de trânsito (VIFs) nos anexos do AWS Direct Connect e do Transit Gateway Connect para estender o. VRFs Um transporte público VIF é usado para acessar um ou mais gateways de VPC trânsito da Amazon associados aos gateways Direct Connect. Um anexo do Transit Gateway Connect conecta um gateway de trânsito a um dispositivo virtual de terceiros que está sendo executado em umVPC. Um anexo do Transit Gateway Connect suporta o protocolo de túnel Generic Routing Encapsulation (GRE) para alto desempenho e suporta o Border Gateway Protocol (BGP) para roteamento dinâmico.

A abordagem descrita nesse padrão tem os seguintes benefícios:

  • Usando o Transit Gateway Connect, você pode anunciar até 1.000 rotas para o Transit Gateway Connect peer e receber até 5.000 rotas dele. O uso do VIF recurso de trânsito Direct Connect sem o Transit Gateway Connect é limitado a 20 prefixos por gateway de trânsito.

  • Você pode manter o isolamento do tráfego e usar o Transit Gateway Connect para fornecer serviços hospedadosAWS, independentemente dos esquemas de endereço IP que seus clientes estejam usando.

  • O VRF tráfego não precisa passar por uma interface virtual pública. Isso facilita o cumprimento dos requisitos de conformidade e segurança em muitas organizações.

  • Cada GRE túnel suporta até 5 Gbps, e você pode ter até quatro GRE túneis por conexão do Transit Gateway Connect. Isso é mais rápido do que muitos outros tipos de conexão, como AWS Site-to-Site VPN conexões que suportam até 1,25 Gbps.

Pré-requisitos e limitações

Pré-requisitos

Limitações

  • Há limites para anexos do Transit Gateway às contas VPCs de produção, controle de qualidade e desenvolvimento. Para obter mais informações, consulte Anexos do Transit Gateway a a. VPC

  • Há limites para criação e uso de gateways Direct Connect. Para obter mais informações, consulte Cotas do AWS Direct Connect.

Arquitetura

Arquitetura de destino

O exemplo de arquitetura a seguir fornece uma solução reutilizável para implantar o transporte público VIFs com anexos do Transit Gateway Connect. Essa arquitetura fornece resiliência usando vários locais do Direct Connect. Para obter mais informações, visite Máxima resiliência na documentação do Direct Connect. A rede local tem produção, controle de qualidade e desenvolvimento VRFs que são estendidos AWS e isolados usando tabelas de rotas dedicadas.

Diagrama de arquitetura do uso dos recursos do AWS Direct Connect e do AWS Transit Gateway para ampliar VRFs

No AWS ambiente, duas contas são dedicadas à extensão doVRFs: uma conta do Direct Connect e uma conta do hub de rede. A conta do Direct Connect contém a conexão e o trânsito VIFs de cada roteador. Você cria o trânsito a VIFs partir da conta do Direct Connect, mas o implanta na conta do hub de rede para poder associá-lo ao gateway Direct Connect na conta do hub de rede. A conta do hub de rede contém o gateway do Direct Connect e o gateway de trânsito. Os AWS recursos estão conectados da seguinte forma:

  1. O Transit VIFs conecta os roteadores nos locais do Direct Connect com o AWS Direct Connect na conta do Direct Connect.

  2. Um trânsito VIF conecta o Direct Connect ao gateway Direct Connect na conta do hub de rede.

  3. Uma associação de gateway de trânsito conecta o gateway do Direct Connect ao gateway de trânsito na conta do hub de rede.

  4. Os anexos do Transit Gateway Connect conectam o gateway de trânsito às contas de produção, controle de qualidade e desenvolvimento. VPCs

VIFArquitetura de trânsito

O diagrama a seguir mostra os detalhes da configuração do trânsitoVIFs. Esse exemplo de arquitetura usa a VLAN para a origem do túnel, mas você também pode usar um loopback.

Detalhes de configuração das VIF conexões de trânsito entre os roteadores e o AWS Direct Connect

A seguir estão os detalhes da configuração, como números do sistema autônomo (ASNs), para o trânsitoVIFs.

Recurso

Item

Detalhes

router-01

ASN

65534

router-02

ASN

65534

router-03

ASN

65534

router-04

ASN

65534

Direct Connect gateway

ASN

64601

Transit gateway

ASN

64600

CIDRbloquear

10.100.254.0/24

Arquitetura do Transit Gateway Connect

O diagrama e as tabelas a seguir descrevem como configurar um único anexo VRF do Transit Gateway Connect. Para mais informaçõesVRFs, atribua túneis exclusivosIDs, endereços GRE IP de gateway de trânsito e CIDR blocos BGP internos. O endereço GRE IP do peer corresponde ao endereço IP do peer do roteador do trânsito. VIF

Detalhes de configuração dos GRE túneis entre os roteadores e o gateway de trânsito

A tabela a seguir contém detalhes da configuração do roteador.

Roteador

Túnel

Endereço IP

Origem

Destination (Destino)

router-01

Túnel 1

169.254.101.17

VLAN60

169.254.100.1

10.100.254.1

router-02

Túnel 11

169.254.101.81

VLAN61

169.254.100.5

10.100.254.11

router-03

Túnel 21

169.254.101.145

VLAN62

169.254.100.9

10.100.254.21

router-04

Túnel 31

169.254.101.209

VLAN63

169.254.100.13

10.100.254.31

A tabela a seguir contém detalhes da configuração do Transit Gateway.

Túnel

Endereço GRE IP do Transit Gateway

GREEndereço IP do mesmo nível

BGPCIDRblocos internos

Túnel 1

10.100.254.1

VLAN60

169.254.100.1

169.254.101.16/29

Túnel 11

10.100.254.11

VLAN61

169.254.100.5

169.254.101.80/29

Túnel 21

10.100.254.21

VLAN62

169.254.100.9

169.254.101.144/29

Túnel 31

10.100.254.31

VLAN63

169.254.100.13

169.254.101.208/29

Implantação

A seção Epics descreve como implantar um exemplo de configuração para um único VRF em vários roteadores de clientes. Depois que as etapas 1 a 5 forem concluídas, você poderá criar novos anexos do Transit Gateway Connect usando as etapas 6 a 7 para cada novo VRF anexo que você estiver ampliando: AWS

  1. Crie o gateway de trânsito.

  2. Crie uma tabela de rotas do Transit Gateway para cada umVRF.

  3. Crie as interfaces virtuais de trânsito.

  4. Crie um gateway do Direct Connect.

  5. Crie a interface virtual do gateway do Direct Connect e as associações de gateway com prefixos permitidos.

  6. Criar um anexo do Connect do gateway de trânsito.

  7. Crie pares do gateway de trânsito Connect.

  8. Associe o anexo do gateway de trânsito Connect à tabela de rotas.

  9. Anuncie rotas para os roteadores.

Ferramentas

AWSserviços

  • AWSO Direct Connect conecta sua rede interna a um local do Direct Connect por meio de um cabo de fibra óptica Ethernet padrão. Com essa conexão, você pode criar interfaces virtuais diretamente para AWS serviços públicos, ignorando os provedores de serviços de Internet em seu caminho de rede.

  • AWSO Transit Gateway é um hub central que conecta nuvens privadas virtuais (VPCs) e redes locais.

  • A Amazon Virtual Private Cloud (AmazonVPC) ajuda você a lançar AWS recursos em uma rede virtual que você definiu. Essa rede virtual se assemelha a uma rede tradicional que você operaria em seu próprio data center, com os benefícios de usar a infraestrutura escalável do. AWS

Épicos

TarefaDescriçãoHabilidades necessárias

Crie diagramas de arquitetura personalizados.

  1. Na seção Anexos, baixe o modelo do diagrama.

  2. Abra o diagrama em anexo no Microsoft Office PowerPoint.

  3. No slide Visão geral da arquitetura, personalize o diagrama da arquitetura para seu ambiente. Identifique os locais VRFs que precisam ser estendidos ao seu AWS ambiente.

  4. No VIF slide Transit, personalize o diagrama da arquitetura. Identifique os números AS dos roteadores, do gateway do Direct Connect e do gateway de trânsito. Identifique os endereços IP em cada extremidade do trânsitoVIF.

  5. No slide do Transit Gateway Connect, personalize um diagrama de arquitetura para cada umVRF. Identifique todos os endereços IP necessários para configurar os roteadores e os pares do Transit Gateway Connect.

Arquiteto de nuvem, administrador de rede
TarefaDescriçãoHabilidades necessárias

Crie o gateway de trânsito.

  1. Faça login na conta do hub de rede.

  2. Siga as instruções em Criar um gateway de trânsito. Observe o seguinte para esse padrão:

    • Para o Número do Sistema Autônomo (ASN) do lado da Amazon, insira um número exclusivoASN. Para os fins deste exemplo, o ASN é64600.

    • Selecione DNSsuporte.

    • Para essa arquitetura de exemplo, VPNECMPsuporte, associação de tabela de rotas padrão, prorrogação de tabela de rotas padrão e suporte multicast não são necessários.

    • Para CIDRblocos do Transit Gateway, insira os IPv4 CIDR blocos do seu Transit Gateway. Para fins deste exemplo, o CIDR bloco é10.100.254.0/24.

Administrador de rede, arquiteto de nuvem

Criar uma tabela de rotas do gateway de trânsito.

Siga as instruções em Criar uma tabela de rotas do gateway de trânsito. Observe o seguinte para esse padrão:

  • Em Name tag, forneça um nome para a tabela de rotas do gateway de trânsito. Recomendamos usar um nome que corresponda aoVRF, comoroutetable-dev-vrf.

  • Em Transit gateway ID, escolha o gateway de trânsito que você criou anteriormente.

Arquiteto de nuvem, administrador de rede
TarefaDescriçãoHabilidades necessárias

Crie as interfaces virtuais de trânsito.

  1. Faça login na conta do Direct Connect.

  2. Siga as instruções em Criar uma interface virtual de trânsito para o gateway Direct Connect. Observe o seguinte para esse padrão:

    • Em Nome da interface virtual, insira um nome para o trânsitoVIF. Recomendamos usar um nome que corresponda ao roteador, como transit-vif-router01.

    • Em Conexão, selecione o roteador, comorouter-01.

    • Para Proprietário da interface virtual, insira o ID da conta do hub de rede. Para obter instruções, consulte Exibir o ID AWS da sua conta.

    • Para o gateway do Direct Connect, não faça nenhuma seleção. Você conecta o gateway do Direct Connect em uma etapa subsequente.

    • Para VLAN, insira o VLAN do roteador, como60.

    • Para BGPASN, insira o ASN do roteador, como65534.

    • Em Additional settings (Configurações adicionais), faça o seguinte:

      • Escolha IPv4.

      • Em Seu IP do roteador, insira o endereço IP do mesmo roteador, como. 169.254.100.1

      • Para IP do roteador Amazon, insira o IP do roteador Amazon, como. 169.254.100.2

      • Para a chave de BGP autenticação, é necessária uma senha. Se isso for deixado em branco, AWS cria uma chave que só pode ser acessada nessa conta.

  3. Repita essas instruções para criar todo o trânsito VIFs para VRF o.

Arquiteto de nuvem, administrador de rede
TarefaDescriçãoHabilidades necessárias

Crie um gateway Direct Connect.

  1. Faça login na conta do hub de rede.

  2. Siga as instruções em Criação de um gateway do Direct Connect. Observe o seguinte para esse padrão:

    • Para o lado ASN da Amazon ASN, insira o gateway Direct Connect, como64601.

    • Não selecione um gateway privado virtual.

Arquiteto de nuvem, administrador de rede

Conecte o gateway Direct Connect ao trânsitoVIFs.

  1. Na conta do hub de rede, abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/.

  2. No painel de navegação, escolha Virtual Interfaces (Interfaces virtuais).

  3. Selecione um novo transporte público eVIF, em seguida, escolha Aceitar.

  4. Selecione o gateway do Direct Connect que você criou.

  5. Repita essas instruções para cada trânsitoVIF.

Arquiteto de nuvem, administrador de rede

Crie as associações do gateway do Direct Connect com os prefixos permitidos.

Na conta do hub de rede, siga as instruções em Para associar um gateway de trânsito. Observe o seguinte para esse padrão:

  • Em Gateways, escolha o gateway de trânsito criado anteriormente.

  • Em Prefixos permitidos, insira o CIDR bloco atribuído ao gateway de trânsito, como10.100.254.0/24.

A criação dessa associação cria automaticamente um anexo do gateway de trânsito que tem um tipo de recurso do Direct Connect Gateway. Esse anexo não precisa estar associado a uma tabela de rotas do gateway de trânsito.

Arquiteto de nuvem, administrador de rede

Criar um anexo do Connect do gateway de trânsito.

  1. Na conta do hub de rede, abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Anexos do gateway de trânsito.

  3. Escolha Create transit gateway attachment (Criar anexo do gateway de trânsito).

  4. Em Nome, insira um nome para o anexo. Recomendamos usar um nome que corresponda aoVRF, comoPROD-VRF.

  5. Em Transit gateway ID, escolha o gateway de trânsito que você criou anteriormente.

  6. Em Attachment type, escolha Connect.

  7. Em ID do anexo de transporte, selecione o gateway do Direct Connect que você criou anteriormente.

  8. Escolha Create transit gateway attachment (Criar anexo do gateway de trânsito).

  9. Repita essa etapa para cada uma VRF que você estiver estendendo.

Arquiteto de nuvem, administrador de rede

Crie pares do gateway de trânsito Connect.

  1. Na conta do hub de rede, siga as instruções em Criar um peer (GREtúnel) do Transit Gateway Connect. Observe o seguinte para esse padrão:

    • Em Name tag, insira um nome para o peer do Transit Gateway Connect. Recomendamos usar um nome que corresponda ao roteador, como connectpeer-router01.

    • Em GREEndereço do gateway de trânsito, insira o endereço IP atribuído do CIDR bloco do gateway de trânsito, como10.100.254.1.

    • Em GREEndereço de mesmo nível, insira o endereço IP atribuído ao VLAN criado no roteador para o trânsitoVIF, como169.254.100.1. Desde que AWS possa alcançar o endereço IP, você pode usar qualquer interface, como VLAN ou Loopback, para o endereço do GRE peer.

    • Em BGPInside CIDR Blocks (IPv4), insira o endereço IP do CIDR bloco BGP interno, como169.254.101.16/29.

    • Para Peer ASN, insira o ASN do roteador, como65534.

  2. Repita essas instruções para criar um GRE túnel para cada roteador.

Recursos relacionados

AWSdocumentação

Publicações no blog da AWS

Anexos

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip