Configuración de red - Guía de incorporación avanzada de AMS
Lista de control de acceso a la red (NACL)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de red

  • Número ASN de Transit Gateway

    Este es el número de sistema autónomo (ASN) de la sesión de AWS de una sesión de Border Gateway Protocol (BGP), debe ser único y no puede ser el mismo que se utiliza para Direct Connect o VPN.  El rango es de 64512 a 65534 (ambos incluidos) para 16 bits. ASNs

  • Sus rangos de VPC CIDR de infraestructura de zonas de landing zone de múltiples cuentas de AMS.

    Estos rangos de CIDR no pueden superponerse con su red local

    Puede incluir un rango de CIDR de /22 o proporcionar cada CIDR de VPC de forma individual. Tenga en cuenta que solo se permiten estos rangos de CIDR:

    • 10.0.0.0 - 10.255.255.255 (prefijo 10/8)

    • 172.16.0.0 - 172.31.255.255 (prefijo 172.16/12)

    • 192.168.0.0 - 192.168.255.255 (prefijo 192.168/16)

    Tenga en cuenta que no se puede usar el rango de IP 198.18.0.0/15 (lo reserva AWS Directory Service).

    • Rango CIDR de VPC de infraestructura principal (se recomienda un rango /22)

    • Rango CIDR de VPC para redes (se recomienda un rango /24)

    • Rango CIDR de VPC de Shared Services (se recomienda rango /23)

    • Rango DMZ VPC CIDR (se recomienda rango /25)

  • VPN ECMP (activar o desactivar)

    En VPN ECMP support (Soporte ECMP de VPN), elija enable (habilitar) si necesita soporte de direccionamiento mediante varias rutas de igual costo (ECMP) entre las conexiones de VPN. Si las conexiones anuncian lo mismo CIDRs, el tráfico se distribuye equitativamente entre ellas.

Lista de control de acceso a la red (NACL)

Una lista de control de acceso a la red (NACL) es una capa de seguridad opcional para su VPC que actúa como firewall para controlar el tráfico que entra y sale de una o más subredes. Puede configurar una red ACLs con reglas similares a las de sus grupos de seguridad para añadir una capa de seguridad adicional a su VPC. Para obtener más información sobre las diferencias entre los grupos de seguridad y la red ACLs, consulte Comparación de grupos de seguridad y redes ACLs.

Sin embargo, en la zona de aterrizaje multicuenta de AMS, para que AMS pueda gestionar y supervisar la infraestructura de forma eficaz, el uso de NACLs se limita al siguiente ámbito:

  • NACLs no se admiten en las cuentas principales de varias cuentas de landing zone: administración, redes, servicios compartidos, registro y seguridad.

  • NACLs se admiten en las cuentas de aplicaciones multicuenta de landing zone siempre que solo se utilicen como una lista de «Denegados». Además, deben tener configurada la opción «Permitir todo» para garantizar las operaciones de supervisión y gestión de AMS.

En entornos de múltiples cuentas a gran escala, también puedes aprovechar funciones como los firewalls de salida centralizados para controlar el tráfico saliente o las tablas de enrutamiento de AWS Transit Gateway en la landing zone multicuenta de AMS para segregar el tráfico de red entre ellas. VPCs