Connecter les pairs Exigences et considérations

Connectez les pièces jointes et connectez les pairs dans AWS Transit Gateway

Vous pouvez créer une pièce jointe Transit Gateway Connect pour établir une connexion entre une passerelle de transit et des dispositifs virtuels tiers (tels que des SD-WAN appareils) exécutés dans un VPC. Une attachement Connect prend en charge le protocole de tunnel GRE (Generic Routing Encapsulation) pour des performances élevées, et le protocole BGP (Border Gateway Protocol) pour le routage dynamique. Après avoir créé un attachement Connect, vous pouvez créer un ou plusieurs tunnels GRE (également appelés pairs Transit Gateway Connect) sur l'attachement Connect pour connecter la passerelle de transit et l'appliance tierce. Établissez deux sessions BGP sur le tunnel GRE pour échanger des informations de routage.

Important

Un pair Transit Gateway Connect consiste en deux sessions de peering BGP se terminant sur AWS une infrastructure gérée. Les deux sessions d'appairage BGP fournissent une redondance du plan de routage, garantissant ainsi que la perte d'une session d'appairage BGP n'affecte pas votre opération de routage. Les informations de routage reçues par les deux sessions BGP sont cumulées pour le pair Connect donné. Les deux sessions d'appairage BGP protègent également contre toute opérations d'infrastructure AWS telle que la maintenance de routine, l'application de correctifs, les mises à niveau matérielles et les remplacements. Si votre homologue Connect fonctionne sans la double session d'appairage BGP recommandée configurée pour la redondance, il peut subir une perte de connectivité momentanée pendant les opérations d'infrastructure. AWS Nous vous recommandons fortement de configurer les deux sessions d'appairage BGP sur votre pair Connect. Si vous avez configuré plusieurs pairs Connect pour prendre en charge la haute disponibilité côté appliance, nous vous recommandons de configurer les deux sessions d'appairage BGP sur chacun de vos pairs Connect.

Un attachement Connect utilise un VPC ou un attachement Direct Connect existant comme mécanisme de transport sous-jacent. C'est ce qu'on appelle un attachement de transport. La passerelle de transit identifie les paquets GRE correspondants provenant de l'appliance tierce en tant que trafic provenant de l'attachement Connect. Elle traite tous les autres paquets, y compris les paquets GRE avec des informations de source ou de destination incorrectes, comme du trafic provenant de l'attachement de transport.

Note

Pour utiliser une pièce jointe Direct Connect comme mécanisme de transport, vous devez d'abord intégrer Direct Connect à AWS Transit Gateway. Pour les étapes de création de cette intégration, voir Intégrer SD-WAN des appareils à AWS Transit Gateway et Direct Connect.

Connecter les pairs

Un pair Connect (tunnel GRE) comprend les composants suivants.

Blocs d'adresse CIDR à l'intérieur (adresses BGP)

Les adresses IP internes utilisées pour l'appairage BGP. Vous devez spécifier un bloc d'adresse CIDR /29 à partir de la plage 169.254.0.0/16 pour IPv4. Vous pouvez éventuellement spécifier un bloc d'adresse CIDR /125 à partir de la plage fd00::/8 pour IPv6. Les blocs d'adresse CIDR suivants sont réservés et ne peuvent pas être utilisés :

169,254,0. 0/29
169,254,1. 0/29
169,254,2. 0/29
169,254,3. 0/29
169,254,4. 0/29
169,254,5. 0/29
169,254,169. 248/29

Vous devez configurer la première adresse de la plage IPv4 de l'appliance en tant qu'adresse IP BGP. Lorsque vous utilisez IPv6, si votre bloc d'adresse CIDR intérieur est fd00::/125, vous devez configurer la première adresse de cette plage (fd00::1) sur l'interface tunnel de l'appliance.

Les adresses BGP doivent être uniques dans tous les tunnels d'une passerelle de transit.

Adresses IP d'appairage

Adresse IP d’appairage (adresse IP externe GRE) du côté appliance du pair Connect. Il peut s'agir de n'importe quelle adresse IP. L'adresse IP peut être une adresse IPv4 ou IPv6, mais elle doit être de la même famille d'adresses IP que l'adresse de passerelle de transit.

Adresse de passerelle de transit

Adresse IP d’appairage (adresse IP externe GRE) du côté passerelle de transit du pair Connect. L'adresse IP doit être spécifiée à partir du bloc d'adresse CIDR de la passerelle de transit et doit être unique sur les attachements Connect de la passerelle de transit. Si vous ne spécifiez pas d'adresse IP, nous utilisons la première adresse disponible dans le bloc d'adresse CIDR de la passerelle de transit.

Vous pouvez ajouter un bloc d'adresse CIDR de passerelle de transit lorsque vous créez ou modifiez une passerelle de transit.

L'adresse IP peut être une adresse IPv4 ou IPv6, mais elle doit être de la même famille d'adresses IP que l'adresse IP d'appairage.

L'adresse IP d'appairage et l'adresse de passerelle de transit sont utilisées pour identifier de manière unique le tunnel GRE. Vous pouvez réutiliser l'une ou l'autre adresse sur plusieurs tunnels, mais pas les deux dans le même tunnel.

Transit Gateway Connect pour le peering BGP prend uniquement en charge le protocole BGP (MP-BGP) multiprotocole, où l'adressage IPv4 Unicast est également requis pour établir une session BGP pour IPv6 Unicast. Vous pouvez utiliser des adresses IPv4 et IPv6 pour les adresses IP GRE externes.

L'exemple suivant affiche un attachement Connect entre une passerelle de transit et une appliance dans un VPC.

Attachement Connect de passerelle de transit et pair Connect

Composant de schéma	Description
	Attachement VPC
	Connexion d'attachement
	Tunnel GRE (pair Connect)
	Session d'appairage BGP

Dans l'exemple précédent, un attachement Connect est créé sur un attachement VPC existant (l'attachement de transport). Un pair Connect est créé sur l’attachement Connect pour établir une connexion à une appliance dans le VPC. L'adresse de la passerelle de transit est 192.0.2.1, et la plage d'adresses BGP est 169.254.6.0/29. La première adresse IP de la plage (169.254.6.1) est configurée sur l'appliance en tant qu'adresse IP BGP appairée.

La table de routage de sous-réseau pour le VPC C a une route qui dirige le trafic destiné au bloc d'adresse CIDR de la passerelle de transit vers la passerelle de transit.

Destination	Cible
172,31,0. 0/16	Local
192,0.2. 0/24	tgw-id

Exigences et considérations

Voici les exigences et considérations relatives à l'attachement Connect :

Pour plus d'informations sur les régions qui prennent en charge les attachements Connect, consultez les FAQ sur AWS Transit Gateways.
L'appliance tierce doit être configurée pour envoyer et recevoir du trafic via un tunnel GRE vers et en provenance de la passerelle de transit à l'aide de l'attachement Connect.
L'appliance tierce doit être configurée pour utiliser BGP pour les mises à jour de routage dynamiques et les vérifications de l'état.
Les types de BGP suivants sont pris en charge :
- BGP extérieur (eBGP) : Utilisé pour la connexion à des routeurs se trouvant dans un système autonome différent de la passerelle de transit. Si vous utilisez eBGP, vous devez configurer ebgp-multihop avec une valeur TTL (time-to-live) de 2.
- BGP intérieur (iBGP) : Utilisé pour la connexion à des routeurs se trouvant dans le même système autonome que la passerelle de transit. La passerelle de transit n'installera pas de routes provenant d'un pair iBGP (appliance tierce), sauf si les routes proviennent d'un pair eBGP et doivent avoir un next hop auto-configuré. Les routes annoncées par une appliance tierce via l'appairage iBGP doivent avoir un ASN.
- MP-BGP (extensions multiprotocoles pour BGP) : utilisées pour prendre en charge plusieurs types de protocoles, tels que les familles d'adresses IPv4 et IPv6.
Le délai d'attente des connexions actives BGP par défaut est de 10 secondes et le délai d'attente par défaut est de 30 secondes.
Le peering BGP IPv6 n'est pas pris en charge ; seul le peering IPv4-based BGP est pris en charge. Les préfixes IPv6 sont échangés via le peering BGP IPv4 à l'aide de. MP-BGP
Le protocole BFD (Bidirectional Forwarding Detection) n'est pas pris en charge.
Le redémarrage en douceur de BGP n'est pas pris en charge.
Lorsque vous créez un pair de passerelle de transit, si vous ne spécifiez pas de numéro de pair ASN, nous choisissons le numéro ASN de la passerelle de transit. Cela signifie que votre appliance et votre passerelle de transit seront dans le même système autonome utilisant iBGP.
Un pair Connect utilisant l' AS-PATH attribut BGP est l'itinéraire préféré lorsque vous avez deux homologues Connect.

Pour utiliser le routage ECMP (Equal-Cost Multipath) entre plusieurs appliances, vous devez configurer l'appliance pour qu'elle annonce les mêmes préfixes à la passerelle de transit avec le même attribut BGP. AS-PATH Pour que la passerelle de transit puisse choisir tous les chemins ECMP disponibles, le numéro AS-PATH de système autonome (ASN) doit correspondre. La passerelle de transit peut utiliser ECMP entre les pairs Connect pour le même attachement Connect ou entre des attachements Connect sur la même passerelle de transit. La passerelle de transit ne peut pas utiliser ECMP entre les appairages BGP redondants qu'un seul pair lui a établi.
Avec un attachement Connect, les routes sont propagées à une table de routage de passerelle de transit par défaut.
Les routes statiques ne sont pas prises en charge.
Configurez la MTU du tunnel GRE pour qu'elle soit inférieure à la MTU de l'interface externe en soustrayant la surcharge de l'en-tête GRE (4 octets) et de l'en-tête IP externe (20 octets). Par exemple, si le MTU de votre interface externe est de 1 500 octets, définissez le MTU du tunnel GRE sur 1 476 octets (1 500 - 4 - 20 = 1476) pour empêcher la fragmentation des paquets.

Tâches

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Supprimer un attachement d'appairage

Création d'un attachement Connect