Tutorial: Einbinden Ihrer ASN in IPAM - Amazon Virtual Private Cloud
Onboarding-Voraussetzungen für Ihre ASNSchritte des Tutorials

Tutorial: Einbinden Ihrer ASN in IPAM

Wenn Ihre Anwendungen vertrauenswürdige IP-Adressen und autonome Systemnummern (ASNs) verwenden, die Ihre Partner oder Kunden in ihrem Netzwerk zugelassen haben, können Sie diese Anwendungen in AWS ausführen, ohne dass Ihre Partner oder Kunden ihre Zulassungslisten ändern müssen.

Eine autonome Systemnummer (ASN) ist eine weltweit eindeutige Nummer, die es ermöglicht, eine Gruppe von Netzwerken über das Internet zu identifizieren und mithilfe des Border Gateway Protocol Routing-Daten dynamisch mit anderen Netzwerken auszutauschen. Internetdienstanbieter (ISPs) verwenden beispielsweise ASNs, um die Quelle des Netzwerkdatenverkehrs zu identifizieren. Nicht alle Unternehmen kaufen ihre eigenen ASNs, aber Unternehmen, die dies tun, können ihre ASN in AWS einbinden.

Bring your own autonomous system number (BYOASN) ermöglicht es Ihnen, die IPv4- oder IPv6-Adressen, die Sie in AWS einbinden, mit Ihrer eigenen öffentlichen ASN anstelle der ASN von AWS zu bewerben. Wenn Sie BYOASN verwenden, überträgt der von Ihrer IP-Adresse ausgehende Datenverkehr Ihre ASN anstelle der AWS-ASN, und Ihre Workloads sind für Kunden oder Partner erreichbar, die den aufgelisteten Datenverkehr auf der Grundlage Ihrer IP-Adresse und ASN zugelassen haben.

Wichtig

  • Schließen Sie dieses Tutorial mit dem IPAM-Administratorkonto in der Heimatregion Ihres IPAM ab.

  • In diesem Tutorial wird davon ausgegangen, dass Sie Besitzer der öffentlichen ASN sind, die Sie in IPAM einbinden möchten, und dass Sie bereits einen BYOIP-CIDR in AWS installiert und für einen Pool in Ihrem öffentlichen Bereich bereitgestellt haben. Sie können jederzeit eine ASN in IPAM einbinden, aber um sie verwenden zu können, müssen Sie sie mit einem CIDR verknüpfen, den Sie Ihrem AWS-Konto hinzugefügt haben. In diesem Tutorial wird davon ausgegangen, dass Sie dies bereits gemacht haben. Weitere Informationen finden Sie unter Tutorial: Mitbringen eigener IP-Adressen in IPAM.

  • Sie können ohne Verzögerung zwischen der Werbung für Ihre eigene ASN und einer AWS-ASN wechseln, aber Sie können nur einmal pro Stunde von einer AWS-ASN zu Ihrer eigenen ASN wechseln.

  • Wenn Ihr BYOIP-CIDR derzeit beworben wird, müssen Sie ihn nicht aus der Werbung entfernen, um ihn mit Ihrer ASN zu verknüpfen.

Onboarding-Voraussetzungen für Ihre ASN

Für dieses Tutorial benötigen Sie Folgendes:

  • Ihre öffentliche 2-Byte- oder 4-Byte-ASN.

  • Wenn Sie mit Tutorial: Mitbringen eigener IP-Adressen in IPAM bereits einen IP-Adressbereich in AWS integriert haben, benötigen Sie den CIDR-Bereich der IP-Adresse. Sie benötigen außerdem einen privaten Schlüssel. Sie können den privaten Schlüssel verwenden, den Sie erstellt haben, als Sie den CIDR-Bereich der IP-Adresse in AWS integriert haben, oder Sie können einen neuen privaten Schlüssel erstellen, wie unter Einen privaten Schlüssel erstellen und ein X.509-Zertifikat generieren im Amazon-EC2-Benutzerhandbuch beschrieben.

  • Wenn Sie mit Tutorial: Mitbringen eigener IP-Adressen in IPAM einen IP-Adressbereich zu AWS hinzufügen, erstellen Sie ein X.509-Zertifikat und laden das X.509-Zertifikat in den RDAP-Eintrag in Ihrem RIR hoch. Sie müssen das gleiche Zertifikat, das Sie erstellt haben, in den RDAP-Eintrag in Ihrem RIR für die ASN hochladen. Achten Sie darauf, dass die -----BEGIN CERTIFICATE------ und -----END CERTIFICATE------Zeichenfolgen vor und nach dem kodierten Teil enthalten sind. Der gesamte Inhalt muss sich in einer einzigen, langen Zeile befinden. Das Verfahren zum Aktualisieren des RDAP hängt von Ihrem RIR ab:

    • Verwenden Sie für ARIN das Accountmanager-Portal, um das Zertifikat im Abschnitt „Öffentliche Kommentare“ für das Objekt „Netzwerkinformationen“ hinzuzufügen, das Ihre ASN darstellt, indem Sie die Option „ASN ändern“ verwenden. Fügen Sie es nicht dem Kommentarbereich Ihrer Organisation hinzu.

    • Für RIPE fügen Sie das Zertifikat als neues Feld „descr“ zum Objekt „aut-num“ hinzu, das Ihre ASN darstellt. Diese finden Sie normalerweise im Bereich „Meine Ressourcen“ des

      RIPE-Datenbankportals . Fügen Sie sie nicht in den Kommentarbereich für Ihre Organisation oder in das Feld „Anmerkungen“ des Objekts „aut-num“ ein.

    • Senden Sie für APNIC das Zertifikat per E-Mail an helpdesk@apnic.net, um es manuell in das Feld „Anmerkungen“ für Ihre ASN aufzunehmen. Senden Sie die E-Mail über den autorisierten APNIC-Kontakt für die ASN.

  • Wenn Sie einen IP-Adressbereich zu IPAM hinzufügen, erstellen Sie ein ROA-Objekt, um sicherzustellen, dass Sie den IP-Adressraum kontrollieren, den Sie zu IPAM hinzufügen. Zusätzlich zu diesem ROA-Objekt müssen Sie in Ihrem RIR ein zweites ROA-Objekt mit der ASN haben, die Sie zu IPAM hinzufügen. Wenn Sie dieses zweite ROA-Objekt für die ASN nicht in Ihrem RIR haben, schließen Sie 3 ab 3. Erstellen Sie ein ROA-Objekt in Ihrem RIR. Ignorieren Sie die anderen Schritte.

Schritte des Tutorials

Führen Sie die folgenden Schritte mit der AWS-Konsole oder der AWS CLI aus.

AWS Management Console

  1. Öffnen Sie die IPAM-Konsole unter https://console.aws.amazon.com/ipam/.

  2. Wählen Sie im linken Navigationsbereich die Option IPAMs.

  3. Wählen Sie Ihren IPAM.

  4. Wählen Sie die Registerkarte BYOASNS und dann BYOASNs bereitstellen.

  5. Geben Sie die ASN ein. Infolgedessen wird das Nachrichtenfeld automatisch mit der Nachricht gefüllt, die Sie im nächsten Schritt signieren müssen.

    • Die Nachricht hat das folgende Format: ACCOUNT ist Ihre AWS-Kontonummer, ASN ist die ASN, die Sie in IPAM einbinden, und YYYYMMDD ist das Ablaufdatum der Nachricht (standardmäßig der letzte Tag des nächsten Monats). Beispiel:

      text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"

  6. Kopieren Sie die Nachricht und ersetzen Sie das Ablaufdatum ggf. durch Ihren eigenen Wert.

  7. Signieren Sie die Nachricht mit dem privaten Schlüssel. Beispiel:

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

  8. Geben Sie unter Signatur die Signatur ein.

  9. (Optional) Um eine weitere ASN bereitzustellen, wählen Sie Eine weitere ASN bereitstellen. Sie können bis zu 5 ASNs bereitstellen. Informationen zur Erhöhung dieses Kontingents finden Sie unter Kontingente für Ihr IPAM.

  10. Wählen Sie Bereitstellung.

  11. Sehen Sie sich den Bereitstellungsprozess auf der Registerkarte BYOASNs an. Warten Sie, bis der Status von Pending-provision zu Provisioned wechselt. BYOASNs mit dem Status Failed-provision werden nach 7 Tagen automatisch entfernt. Sobald die ASN erfolgreich bereitgestellt wurde, können Sie sie einem BYOIP-CIDR zuordnen.

  12. Wählen Sie im linken Navigationsbereich Pools aus.

  13. Wählen Sie Ihren öffentlichen Bereich. Weitere Informationen zu Bereichen finden Sie unter Funktionsweise von IPAM.

  14. Wählen Sie einen regionalen Pool, für den ein BYOIP-CIDR bereitgestellt wurde. Für den Pool muss Service auf EC2 eingestellt sein und es muss ein Gebietsschema ausgewählt sein.

  15. Wählen Sie die Registerkarte CIDRs und wählen Sie einen BYOIP-CIDR aus.

  16. Wählen Sie Aktionen > BYOASN-Zuweisungen verwalten.

  17. Wählen Sie unter Zugewiesene BYOASNs die ASN aus, die Sie in AWS eingebunden haben. Wenn Sie mehrere ASNs haben, können Sie dem BYOIP-CIDR mehrere ASNs zuweisen. Sie können so viele ASNs zuweisen, wie Sie in IPAM einbinden können. Beachten Sie, dass Sie standardmäßig bis zu 5 ASNs in IPAM einbinden können. Weitere Informationen finden Sie unter Kontingente für Ihr IPAM.

  18. Wählen Sie Associate aus.

  19. Warten Sie, bis der ASN-Zuweisung abgeschlossen ist. Sobald die ASN erfolgreich mit dem BYOIP-CIDR verknüpft wurde, können Sie den BYOIP-CIDR erneut bewerben.

  20. Wählen Sie die Registerkarte Pool-CIDRs.

  21. Wählen Sie das BYOIP CIDR und Aktionen > Werben aus. Daraufhin werden Ihre ASN-Optionen angezeigt: die Amazon-ASN und alle ASNs, die Sie in IPAM eingebunden haben.

  22. Wählen Sie die ASN aus, die Sie in IPAM eingebunden haben, und wählen Sie Werben Sie für CIDR. Als Ergebnis wird der BYOIP CIDR beworben und der Wert in der Spalte Werbung ändert sich von „Zurückgezogen“ auf „Beworben“. In der Spalte Autonome Systemnummer wird die dem CIDR zugeordnete ASN angezeigt.

  23. (optional) Wenn Sie entscheiden, dass Sie die ASN-Zuweisung wieder zur Amazon-ASN ändern möchten, wählen Sie den BYOIP CIDR aus und wählen Sie erneut Aktionen > Werben. Wählen Sie dieses Mal die Amazon-ASN aus. Sie können jederzeit zur Amazon-ASN zurückkehren, aber Sie können nur einmal pro Stunde zu einer benutzerdefinierten ASN wechseln.

Das Tutorial ist abgeschlossen.

Bereinigen

  1. Trennen der ASN vom BYOIP-CIDR

    • Um den BYOIP-CIDR aus der Werbung zurückzuziehen, wählen Sie in Ihrem Pool im öffentlichen Bereich den BYOIP-CIDR aus und wählen Sie Aktionen > Von der Werbung zurückziehen.

    • Um die ASN vom CIDR zu trennen, wählen Sie Aktionen > BYOASN-Zuweisungen verwalten.

  2. Aufheben der Bereitstellung der ASN

    • Um die Bereitstellung der ASN aufzuheben, wählen Sie auf der Registerkarte „BYOASNs“ die ASN und anschließend die Option Bereitstellung der ASN aufheben. Infolgedessen wird die Bereitstellung der ASN aufgehoben. BYOASNs mit dem Status Deprovisioned werden nach 7 Tagen automatisch entfernt.

Die Bereinigung ist abgeschlossen.

Command line

  1. Stellen Sie Ihre ASN bereit, indem Sie Ihre ASN und Ihre Autorisierungsnachricht angeben. Die Signatur ist die Nachricht, die mit Ihrem privaten Schlüssel signiert wurde.

    aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

  2. Beschreiben Sie Ihre ASN, um den Bereitstellungsprozess nachzuverfolgen. Wenn die Anfrage erfolgreich ist, sollte der ProvisionStatus nach einigen Minuten auf provisioned gesetzt sein.

    aws ec2 describe-ipam-byoasn

  3. Ordnen Sie Ihre ASN Ihrem BYOIP-CIDR zu. Jede benutzerdefinierte ASN, von der aus Sie Werbung schalten möchten, muss zunächst Ihrem CIDR zugewiesen werden.

    aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  4. Beschreiben Sie Ihren CIDR, um den Zuweisungsprozess nachzuverfolgen.

    aws ec2 describe-byoip-cidrs --max-results 10

  5. Werben Sie mit Ihrer ASN für Ihren CIDR. Wenn der CIDR bereits beworben wurde, wird dadurch die ursprüngliche ASN von Amazon auf Ihre übertragen.

    aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  6. Beschreiben Sie Ihren CIDR, um zu sehen, wie sich der ASN-Status von associated in advertised ändert.

    aws ec2 describe-byoip-cidrs --max-results 10

Das Tutorial ist abgeschlossen.

Bereinigen

  1. Führen Sie eine der folgenden Aktionen aus:

    • Um nur Ihre ASN-Werbung zurückzuziehen und wieder die Amazon-ASNs zu verwenden und gleichzeitig die CIDR-Werbung beizubehalten, müssen Sie advertise-byoip-cidr mit dem speziellen AWS-Wert für den ASN-Parameter aufrufen. Sie können jederzeit zur Amazon-ASN zurückkehren, aber Sie können nur einmal pro Stunde zu einer benutzerdefinierten ASN wechseln.

      aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n

    • Um Ihre CIDR- und ASN-Werbung gleichzeitig zurückzuziehen, können Sie withdraw-byoip-cidr aufrufen.

      aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n

  2. Um Ihre ASN zu bereinigen, müssen Sie sie zunächst von Ihrem BYOIP-CIDR trennen.

    aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  3. Sobald Ihre ASN von allen BYOIP-CIDRs, denen Sie sie zugewiesen haben, getrennt wurde, können Sie die Bereitstellung aufheben.

    aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345

  4. Die Bereitstellung des BYOIP-CIDR kann auch aufgehoben werden, sobald alle ASN-Zuweisungen entfernt wurden.

    aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

  5. Bestätigen Sie das Aufheben der Bereitstellung.

    aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

Die Bereinigung ist abgeschlossen.