View a markdown version of this page

Connect Anlagen und Connect Peers in AWS Transit Gateway - Amazon VPC
Connect-PeersAnforderungen und Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Connect Anlagen und Connect Peers in AWS Transit Gateway

Sie können einen Transit Gateway Connect-Anhang erstellen, um eine Verbindung zwischen einem Transit-Gateway und virtuellen Appliances von Drittanbietern (z. B. SD-WAN Appliances) herzustellen, die in einer VPC ausgeführt werden. Ein Connect-Anhang unterstützt das Generic Routing Encapsulation (GRE) Tunnelprotokoll für hohe Leistung und das Border Gateway Protocol (BGP) für dynamisches Routing. Nachdem Sie einen Connect-Anhang erstellt haben, können Sie einen oder mehrere GRE-Tunnel (auch Transit-Gateway-Connect-Peersgenannt) in dem Connect-Anhang erstellen, um das Transit Gateway und die Drittanbieter-Appliance zu verbinden. Sie bauen zwei BGP-Sitzungen über den GRE-Tunnel auf, um Routing-Informationen auszutauschen.

Wichtig

Ein Transit Gateway Connect-Peer besteht aus zwei BGP-Peering-Sitzungen, die auf AWS einer verwalteten Infrastruktur enden. Die beiden BGP-Peering-Sitzungen bieten Redundanz der Routingebene und stellen sicher, dass der Verlust einer BGP-Peering-Sitzung Ihren Routing-Vorgang nicht beeinträchtigt. Die von beiden BGP-Sitzungen empfangenen Routing-Informationen werden für den angegebenen Connect-Peer gesammelt. Die beiden BGP-Peering-Sitzungen schützen auch vor AWS -Infrastrukturvorgängen wie routinemäßige Wartung, Patches, Hardware-Upgrades und Austausch. Wenn Ihr Connect-Peer ohne die empfohlene duale BGP-Peering-Sitzung arbeitet, die für Redundanz konfiguriert ist, kann es während des Infrastrukturbetriebs zu einem vorübergehenden Verbindungsverlust kommen. AWS Wir empfehlen dringend, dass Sie beide BGP-Peering-Sitzungen auf Ihrem Connect-Peer konfigurieren. Wenn Sie mehrere Connect-Peers konfiguriert haben, um Hochverfügbarkeit auf Geräteseite zu unterstützen, empfehlen wir Ihnen, beide BGP-Peering-Sitzungen auf jedem Ihrer Connect-Peers zu konfigurieren.

Ein Connect-Anhang verwendet eine vorhandene VPC- oder einen -Direct-Connect-Anhang als zugrundeliegenden Transportmechanismus. Dies wird als Transport-Anhang bezeichnet. Das Transit Gateway identifiziert übereinstimmende GRE-Pakete der Drittanbieter-Appliance als Datenverkehr aus dem Connect-Anhang. Es behandelt alle anderen Pakete, einschließlich GRE-Pakete mit falschen Quell- oder Zielinformationen, als Datenverkehr aus dem Transport-Anhang.

Anmerkung

Um einen Direct Connect-Anhang als Transportmechanismus zu verwenden, müssen Sie Direct Connect zunächst in AWS Transit Gateway integrieren. Die Schritte zum Erstellen dieser Integration finden Sie unter SD-WAN Geräte in AWS Transit Gateway integrieren und Direct Connect.

Connect-Peers

Ein Connect-Peer (GRE-Tunnel) besteht aus folgenden Komponenten.

Innere CIDR-Blöcke (BGP-Adressen)

Die inneren IP-Adressen, die für BGP-Peering verwendet werden. Sie müssen einen /29 CIDR-Block aus dem 169.254.0.0/16 Bereich für IPv4 angeben. Sie können optional einen /125 CIDR-Block aus dem fd00::/8 Bereich für IPv6 angeben. Die folgenden CIDR-Blöcke sind reserviert und können nicht verwendet werden:

  • 169.254.0. 0/29

  • 169,254,1. 0/29

  • 169,254,2. 0/29

  • 169,254,3. 0/29

  • 169,254,4. 0/29

  • 169,254,5. 0/29

  • 169,254,169. 248/29

Sie müssen die erste Adresse aus dem IPv4-Bereich der Appliance als BGP-IP-Adresse konfigurieren. Wenn Sie IPv6 verwenden und Ihr innerer CIDR-Block fd00:: /125 ist, müssen Sie die erste Adresse in diesem Bereich (fd00:: 1) auf der Tunnel-Schnittstelle der Appliance konfigurieren.

Die BGP-Adressen müssen in allen Tunneln eines Transit Gateways eindeutig sein.

Peer-IP-Adressen

Die Peer-IP-Adresse (äußere GRE-IP-Adresse) auf der Appliance-Seite des Connect-Peers. Dies kann eine beliebige IP-Adresse sein. Die IP-Adresse kann eine IPv4- oder IPv6-Adresse sein, muss jedoch von derselben IP-Adressfamilie wie die Transit-Gateway-Adresse sein.

Transit-Gateway-Adresse

Die Peer-IP-Adresse (äußere GRE-IP-Adresse) auf der Transit-Gateway-Seite des Connect-Peers. Die IP-Adresse muss aus dem CIDR-Block des Transit Gateways angegeben werden und für Connect-Anhänge auf dem Transit Gateway eindeutig sein. Wenn Sie keine IP-Adresse angeben, wird die erste verfügbare Adresse aus dem CIDR-Block des Transit Gateways verwendet.

Sie können einen CIDR-Block für das Transit Gateway hinzufügen, wenn Sie ein Transit Gateway erstellen oder ändern .

Die IP-Adresse kann eine IPv4- oder IPv6-Adresse sein, muss jedoch von derselben IP-Adressfamilie sein wie die Peer-IP-Adresse.

Die Peer-IP-Adresse und die Transit-Gateway-Adresse werden verwendet, um den GRE-Tunnel eindeutig zu identifizieren. Sie können beide Adressen für mehrere Tunnel wiederverwenden, aber nicht beide im selben Tunnel.

Transit Gateway Connect für das BGP-Peering unterstützt nur Multiprotocol BGP (MP-BGP), wobei IPv4-Unicast-Adressierung erforderlich ist, um auch eine BGP-Sitzung für IPv6-Unicast einzurichten. Sie können IPv4- und IPv6-Adressen für die äußeren IP-Adressen der GRE verwenden.

Das folgende Beispiel zeigt einen Connect-Anhang zwischen einem Transit Gateway und einer Appliance in einer VPC.

Transit-Gateway Connect-Anfügung und Connect-Peer
Diagrammkomponente Description
Zeigt, wie VPC-Anhänge im Beispieldiagramm dargestellt werden.
VPC-Anhang
Zeigt, wie Connect-Anhänge im Beispieldiagramm dargestellt werden.
Connect-Anhang
Zeigt, wie GRE-Anhänge im Beispieldiagramm dargestellt werden.
GRE-Tunnel (Connect-Peer)
Zeigt, wie BGP-Peering-Sitzungen im Beispieldiagramm dargestellt werden.
BGP-Peering-Sitzung

Im vorherigen Beispiel wird ein Transit-Gateway-Connect-Anhang auf einem vorhandenen VPC-Anhang (dem Transport-Anhang) erstellt. In der Connect-Anfügung wird ein Connect-Peer erstellt, um eine Verbindung zu einer Appliance in der VPC herzustellen. Die Adresse des Transit Gateways ist 192.0.2.1, und der Bereich der BGP-Adressen ist 169.254.6.0/29. Die erste IP-Adresse in dem Bereich (169.254.6.1) wird auf der Appliance als Peer-BGP-IP-Adresse konfiguriert.

Die Subnetz-Routing-Tabelle für VPC C umfasst eine Route, die den für den CIDR-Block des Transit Gateways bestimmten Datenverkehr zum Transit Gateway anzeigt.

Zielbereich Target
172.31.0. 0/16 Local
192,0,2. 0/24 tgw-id

Anforderungen und Überlegungen

Nachfolgend werden Anforderungen und Überlegungen für einen Connect-Anhang aufgeführt:

  • Informationen dazu, welche Regionen Connect-Anhänge unterstützen, finden Sie unter AWS – Häufig gestellte Fragen.

  • Die Drittanbieter-Appliance muss so konfiguriert sein, dass sie mit dem Connect-Anhang Datenverkehr über einen GRE-Tunnel zum und vom Transit Gateway sendet und empfängt.

  • Die Drittanbieter-Appliance muss so konfiguriert sein, dass sie BGP für dynamische Routen-Aktualisierungen und Zustandsprüfungen verwendet.

  • Folgende Arten von BGP werden unterstützt:

    • Exterior BGP (eBGP): Wird für die Verbindung mit Routern verwendet, die sich in einem anderen autonomen System befinden als das Transit Gateway. Wenn Sie eBGP verwenden, müssen Sie ebgp-multihop mit einem Time-to-Live-Wert (TTL) von 2 konfigurieren.

    • Interior BGP (iBGP): Wird für die Verbindung mit Routern verwendet, die sich im selben autonomen System wie das Transit Gateway befinden. Das Transit-Gateway installiert keine Routen von einem iBGP-Peer (Drittanbieter-Appliance), es sei denn, die Routen stammen von einem eBGP-Peer und sollten mit next-hop-self konfiguriert sein. Die Routen, die von einer Drittanbieter-Appliance über das iBGP-Peering angekündigt werden, müssen über eine ASN verfügen.

    • MP-BGP (Multiprotokollerweiterungen für BGP): Wird für die Unterstützung mehrerer Protokolltypen wie IPv4- und IPv6-Adressfamilien verwendet.

  • Das standardmäßige BGP-Keep-Alive-Timeout beträgt 10 Sekunden und der standardmäßige Hold-Timer beträgt 30 Sekunden.

  • IPv6-BGP-Peering wird nicht unterstützt; nur BGP-Peering wird unterstützt. IPv4-based IPv6-Präfixe werden über IPv4-BGP-Peering ausgetauscht. MP-BGP

  • Bidirectional Forwarding Detection (BFD) wird nicht unterstützt.

  • Der kontrollierte Neustart von BGP wird nicht unterstützt.

  • Wenn Sie einen Transit-Gateway-Peer erstellen und keine Peer-ASN-Nummer angeben, wählen wir die ASN-Nummer des Transit Gateways aus. Das bedeutet, dass sich Ihre Appliance und Ihr Transit Gateway im selben autonomen System wie IBGP befinden.

  • Ein Connect-Peer, der das AS-PATH BGP-Attribut verwendet, ist die bevorzugte Route, wenn Sie zwei Connect-Peers haben.

    Um das ECMP-Routing (Equal-Cost Multi-Path) zwischen mehreren Appliances zu verwenden, müssen Sie die Appliance so konfigurieren, dass sie dem Transit-Gateway dieselben Präfixe mit demselben BGP-Attribut ankündigt. AS-PATH Damit das Transit-Gateway alle verfügbaren ECMP-Pfade auswählen kann, müssen die Nummer AS-PATH und die Autonome Systemnummer (ASN) übereinstimmen. Das Transit-Gateway kann ECMP zwischen Connect-Peers für dieselbe Connect-Anfügung oder zwischen Connect-Anfügungen auf demselben Transit-Gateway verwenden. Für das Transit Gateway ist kein ECMP zwischen den beiden redundanten BGP-Peerings möglich.

  • Bei einem Connect-Anhang werden die Routen standardmäßig an eine Transit-Gateway-Routing-Tabelle weitergegeben.

  • Statische Routen werden nicht unterstützt.

  • Konfigurieren Sie die GRE-Tunnel-MTU so, dass sie kleiner als die MTU der externen Schnittstelle ist, indem Sie den Overhead des GRE-Headers (4 Byte) und des äußeren IP-Headers (20 Byte) subtrahieren. Wenn die MTU Ihrer externen Schnittstelle beispielsweise 1500 Byte beträgt, legen Sie die GRE-Tunnel-MTU auf 1476 Byte (1500 — 4 — 20 = 1476) fest, um eine Paketfragmentierung zu verhindern.

Aufgaben