使用 Tr AWS ans AWS it Gateway Connect 扩展VRFs到 - AWS Prescriptive Guidance
Summary先决条件和限制架构工具操作说明相关资源附件

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Tr AWS ans AWS it Gateway Connect 扩展VRFs到

由 Adam Till (AWS)、Yashar Araghi ()、Vikas Dewangan (AWS) 和 Mohideen (AWS) 创作 HajaMohideen AWS

环境:PoC 或试点

技术:基础设施;联网

AWS服务:AWS直接连接;T AWS ransit Gateway

Summary

虚拟路由和转发 (VRF) 是传统网络的一项功能。它使用路由表形式的隔离逻辑路由域来分隔同一物理基础设施内的网络流量。当您将本地网络连接到时,您可以将 T AWS ransit Gateway 配置为支持VRF隔离AWS。此模式使用示例架构将本地VRFs连接到不同的公交网关路由表。

此模式使用 Di AWS rect Connect 中的传输虚拟接口 (VIFs) 和传输网关 Connect 附件来扩展VRFs。公交VIF用于访问一个或多个与 Direct Connect 网关关联的 Amazon VPC 公交网关。T ransit Gateway Connect 附件将传输网关与在中运行的第三方虚拟设备连接起来VPC。Transit Gateway Connect 连接支持通用路由封装 (GRE) 隧道协议以实现高性能,并且它支持用于动态路由的边界网关协议 (BGP)。

此模式中描述的方法具有以下优点:

  • 使用 Transit Gateway Connect,您可以向 Transit Gateway Connect 对等方通告最多 1,000 条路由,并从中接收最多 5,000 条路由。在没有 Transit Gateway Connect 的情况下使用 Direct Connect 公交VIF功能时,每个公交网关只能使用 20 个前缀。

  • 无论您的客户使用哪种 IP 地址架构,您都可以保持流量隔离并使用 Transit Gateway Connect 在上AWS面提供托管服务。

  • VRF流量不需要通过公共虚拟接口。这使得许多组织更容易遵守合规性和安全要求。

  • 每GRE条隧道最多支持 5 Gbps,每个传输网关 Connect 连接最多可以有四GRE条隧道。这比许多其他连接类型(例如支持高达 1.25 Gbps 的AWS Site-to-SiteVPN连接)要快。

先决条件和限制

先决条件

限制

  • 在生产、QA 和开发账户VPCs中,公交网关附件存在限制。有关更多信息,请参阅 T ransit 网关附件VPC

  • 创建和使用 Direct Connect 网关是有限制的。有关更多信息,请参阅 AWSDirect Connect 配额

架构

目标架构

以下示例架构提供了一种可重复使用的解决方案,用于VIFs通过公交网关 Connect 附件部署公交。该架构通过使用多个 Direct Connect 位置来提供弹性。有关更多信息,请参阅 Direct Connect 文档中的最大弹性。本地网络包含生产、质量保证和开发VRFs,通过使用专用路由表扩展到AWS并进行隔离。

使用 AWS Direct Connect 和 Tr AWS ansit Gateway 资源进行扩展的架构图 VRFs

在AWS环境中,有两个账户专门用于扩展VRFs:一个 Direct Connect 账户和一个网络中心账户。Direct Connect 账户包含每台路由器的连接和传输VIFs。您可以VIFs从 Direct Connect 账户创建传输,但将其部署到网络中心帐户,这样您就可以将它们与网络中心账户中的 Direct Connect 网关关关联。网络中心账户包含 Direct Connect 网关和中转网关。AWS资源的连接方式如下:

  1. Transi VIFs t 使用 Direct Connect 账户中的 AWS Direct Connect 连接直接连接位置的路由器。

  2. 传输VIF将 Direct Connect 与网络中心账户中的 Direct Connect 网关连接起来。

  3. 中转网关关联将 Direct Connect 网关与网络中心账户中的中转网关连接起来。

  4. Transit gateway Connect 附件将公交网关与生产账户、QA 账户和开发账户连接起来。VPCs

公交VIF架构

下图显示了公交的配置详细信息VIFs。此示例架构使用作为VLAN隧道源,但您也可以使用环回。

路由器与 Di AWS rect Connect 之间传输VIF连接的配置详细信息

以下是公交的配置详细信息,例如自治系统编号 (ASNs) VIFs。

资源

项目

Detail

路由器-01

ASN

65534

路由器-02

ASN

65534

路由器-03

ASN

65534

路由器-04

ASN

65534

Direct Connect 网关

ASN

64601

Transit Gateway

ASN

64600

CIDR阻止

10.100.254.0/24

中转网关 Connect 架构

下图和表格描述了如何VRF通过公交网关 Connect 连接配置单个。如需其他VRFs信息,请分配唯一的隧道IDs、中转网关 GRE IP 地址和BGP内部CIDR块。对等 GRE IP 地址与来自传输的路由器对等 IP 地址相匹配VIF。

路由器和中转网关之间GRE隧道的配置详细信息

下表包含路由器配置详细信息。

路由器

隧道

IP 地址

来源

目标位置

路由器-01

隧道 1

169.254.101.17

VLAN60

169.254.100.1

10.100.254.1

路由器-02

隧道 11

169.254.101.81

VLAN61

169.254.100.5

10.100.254.11

路由器-03

隧道 21

169.254.101.145

VLAN62

169.254.100.9

10.100.254.21

路由器-04

隧道 31

169.254.101.209

VLAN63

169.254.100.13

10.100.254.31

下表包含中转网关配置详细信息。

隧道

中转网关 GRE IP 地址

对等 GRE IP 地址

BGP在CIDR方块内

隧道 1

10.100.254.1

VLAN60

169.254.100.1

169.254.101.16/29

隧道 11

10.100.254.11

VLAN61

169.254.100.5

169.254.101.80/29

隧道 21

10.100.254.21

VLAN62

169.254.100.9

169.254.101.144/29

隧道 31

10.100.254.31

VLAN63

169.254.100.13

169.254.101.208/29

部署

Epics 部分介绍如何在多台客户路由器VRF上为单个路由器部署示例配置。步骤 1—5 完成后,您可以使用步骤 6—7 为要扩展到的每个新公交网关 Connect 附件创建新的 Transit Gateway Connect 附件:VRFAWS

  1. 创建中转网关。

  2. 为每个路由表创建 Transit Gateway 路由表VRF。

  3. 创建中转虚拟接口。

  4. 创建 Direct Connect 网关。

  5. 使用允许的前缀创建 Direct Connect 网关虚拟接口和网关关联。

  6. 创建中转网关 Connect 连接。

  7. 创建中转网关 Connect 对等节点。

  8. 将中转网关 Connect 连接与路由表相关联。

  9. 向路由器传播路由。

工具

AWS服务

  • AWSDirect Connect 通过标准的以太网光纤电缆将您的内部网络连接到 Direct Connect 位置。通过此连接,您可以直接创建通往公共AWS服务的虚拟接口,同时绕过网络路径中的互联网服务提供商。

  • AWST@@ ransit Gateway 是一个连接虚拟私有云 (VPCs) 和本地网络的中心枢纽。

  • Amazon Virtual Private Cloud(亚马逊VPC)可帮助您将AWS资源启动到您定义的虚拟网络中。此虚拟网络类似于您在自己的数据中心中运行的传统网络,其优点是使用的可扩展基础架构。AWS

操作说明

任务描述所需技能

创建自定义架构图。

  1. 连接部分中,下载逻辑示意图模板。

  2. 在微软 Office 中打开所附的图表 PowerPoint。

  3. 架构概述幻灯片上,为您的环境自定义架构图。确定需要扩展到您的AWS环境中的本地部署VRFs。

  4. 在 T ran si VIF t 幻灯片上,自定义架构图。识别路由器、Direct Connect 网关以及中转网关的 AS 号。确定传输两端的 IP 地址VIF。

  5. 在 T ransit Gateway Connect 幻灯片上,为每张幻灯片自定义架构图VRF。确定配置路由器和中转网关 Connect 对等点所需所有 IP 地址。

云架构师、网络管理员
任务描述所需技能

创建中转网关。

  1. 登录至网络中心账户。

  2. 按照创建中转网关中的说明进行操作。请注意此示例以下几点:

    • 在 A mazon 端自治系统编号 (ASN) 中,输入一个唯一的ASN。就本示例而言,ASN是64600

    • 选择DNS支持

    • 对于此示例架构,不需要VPNECMP支持默认路由表关联默认路由表延期多播支持

    • 对于 Transit 网关IPv4CIDR区CIDR块,输入您的公交网关的区块。就本示例而言,方CIDR块是10.100.254.0/24

网络管理员、云架构师

创建中转网关路由表。

按照创建中转网关路由表中的说明进行操作。请注意此示例以下几点:

  • 对于名称标签,请提供中转网关路由表的名称。我们建议使用与对应的名称VRF,例如routetable-dev-vrf

  • 对于中转网关 ID,请选择您之前创建的中转网关。

云架构师、网络管理员
任务描述所需技能

创建中转虚拟接口。

  1. 登录 Direct Connect 账户。

  2. 按照创建到 Direct Connect 网关的中转虚拟接口中的说明进行操作。请注意此示例以下几点:

    • 虚拟接口名称中,输入传输的名称VIF。我们建议使用与路由器对应的名称,例如 transit-vif-router01

    • 对于连接,请选择路由器,例如 router-01

    • 对于虚拟接口所有者,请输入网络中心账户的账户 ID。有关说明,请参阅查看您的AWS账户 ID

    • 对于 Direct Connect 网关,请勿进行任何选择。您将在后续步骤中连接 Direct Connect 网关。

    • 对于 VLAN,请VLAN输入路由器的,例如60

    • 对于 BGPASN,请ASN输入路由器的,例如65534

    • 附加设置下,执行以下操作:

      • 选择IPv4

      • 对于您的路由器对等 IP,请输入路由器对等体 IP 地址,例如 169.254.100.1

      • 对于 Amazon 路由器对等 IP,请输入 Amazon 路由器对等 IP,例如 169.254.100.2

      • 对于BGP身份验证密钥,需要密码。如果将其留空,则AWS创建一个只能在此账户中访问的密钥。

  3. 重复这些说明为创建所有公交VIFsVRF。

云架构师、网络管理员
任务描述所需技能

创建 Direct Connect 网关。

  1. 登录至网络中心账户。

  2. 按照创建 Direct Connect 网关中的说明进行操作。请注意此示例以下几点:

    • 对于亚马逊端 ASN,请输入 Direct Connect 网关的,例如64601。ASN

    • 不选择虚拟私有网关。

云架构师、网络管理员

将 Direct Connect 网关连接到公交VIFs。

  1. 在网络中心帐户中,在 https://console.aws.amazon.com/directconnect/v2/上打开 AWS Direct Connect 控制台。

  2. 在导航窗格中,选择 Virtual Interfaces

  3. 选择新的公交VIF,然后选择 “接受”。

  4. 选择您创建的 Direct Connect 网关。

  5. 每次转机都要重复这些说明VIF。

云架构师、网络管理员

使用允许的前缀创建 Direct Connect 网关关联。

在网络中心账户中,按照关联中转网关中的说明进行操作。请注意此示例以下几点:

  • 对于网关,请选择您之前创建的中转网关。

  • 允许的前缀中,输入分配给公交网关的CIDR区块,例如10.100.254.0/24

创建此关联会自动创建具有 Direct Connect 网关资源类型的中转网关连接。此连接不需要与中转网关路由表关联。

云架构师、网络管理员

创建中转网关 Connect 连接。

  1. 在网络中心账户中,打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择“中转网关挂载”

  3. 选择 Create Transit Gateway Attachment(创建中转网关挂载)。

  4. 对于名称标签,请为连接输入名称。我们建议使用与对应的名称VRF,例如PROD-VRF

  5. 对于中转网关 ID,选择您之前创建的中转网关。

  6. 对于 Attachment type(挂载类型),选择 Connect(连接)。

  7. 对于传输连接 ID,请选择您之前创建的 Direct Connect 网关。

  8. 选择 Create Transit Gateway Attachment(创建中转网关挂载)。

  9. 对每个要扩展的VRF内容重复此步骤。

云架构师、网络管理员

创建中转网关 Connect 对等节点。

  1. 在网络中心账户中,按照创建 Transit Gateway Connect 对等体(GRE隧道)中的说明进行操作。请注意此示例以下几点:

    • 对于名称标签,为中转网关 Connect 对等节点输入名称。我们建议使用与路由器对应的名称,例如 connectpeer-router01

    • 对于传输网关GRE地址,请输入传输网关CIDR区块中分配的 IP 地址,例如10.100.254.1

    • 在对等体GRE地址中,输入分配给路由器上VLAN创建的用于传输的 IP 地址VIF,例如169.254.100.1。如果AWS可以到达 IP 地址,则可以使用任何接口(例如VLAN或 Loopback)作为对等GRE地址。

    • 对于 BGPInside Bloc CIDR ks (IPv4),请输入BGP内部CIDR块 IP 地址,例如169.254.101.16/29

    • 对于 Pe erASN,ASN请输入路由器的,例如65534

  2. 重复这些说明为每台路由器创建GRE隧道。

相关资源

AWS文档

AWS 博客文章

附件

要访问与此文档相关联的其他内容,请解压以下文件:attachment.zip