Inspection du trafic destiné à un sous-réseau - Amazon Virtual Private Cloud
Table de routage de la passerelle InternetTable de routage de sous-réseau de destinationTable de routage de sous-réseau middlebox

Inspection du trafic destiné à un sous-réseau

Imaginez un scénario où le trafic entrant du VPC passe par une passerelle Internet et où vous souhaitez inspecter l'ensemble du trafic destiné à un sous-réseau, que nous appellerons « sous-réseau B », avec une appliance de pare-feu installée sur une instance EC2. L'appliance de pare-feu doit être installée et configurée sur une instance EC2 dans un sous-réseau distinct du sous-réseau B de votre VPC, par exemple le sous-réseau C. Vous pouvez ensuite utiliser l'assistant de routage middlebox pour configurer des acheminements pour le trafic entre le sous-réseau B et la passerelle Internet.

L'assistant de routage middlebox effectue automatiquement les opérations suivantes :

  • Crée les tables de routage suivantes :

    • Une table de routage pour la passerelle Internet

    • Une table de routage pour le sous-réseau de destination

    • Une table de routage pour le sous-réseau middlebox

  • Ajout des acheminements nécessaires aux nouvelles tables de routage comme décrit dans les sections suivantes.

  • Dissociation des tables de routage actuellement associées à la passerelle Internet, au sous-réseau B et au sous-réseau C.

  • Association de la table de routage A à la passerelle Internet (la Source dans l'assistant de routage middlebox), de la table de routage C au sous-réseau C (le Middlebox dans l'assistant de routage middlebox) et de la table de routage B au sous-réseau B (la Destination dans l'assistant de routage middlebox).

  • Création d'une étiquette indiquant qu'elle a été créée par l'assistant de routage middlebox et d'une étiquette indiquant la date de création.

L'assistant de routage middlebox ne modifie pas vos tables de routage existantes. Il crée des tables de routage et les associe à vos ressources de passerelle et de sous-réseau. Si vos ressources sont déjà explicitement associées à des tables de routage existantes, ces dernières sont d'abord dissociées et les nouvelles tables de routage sont ensuite associées à vos ressources. Vos tables de routage existantes ne sont pas supprimées.

Si vous n'utilisez pas l'assistant de routage middlebox, vous devez configurer manuellement les tables de routage et les affecter aux sous-réseaux et à la passerelle Internet.

Acheminement du trafic entrant vers un VPC

Table de routage de la passerelle Internet

Ajouter les acheminements suivants à la table de routage de la passerelle Internet.

Destination Cible Objectif
10.0.0.0/16 Locale Acheminement local pour IPv4
10.0.1.0/24 appliance-eni Achemine le trafic IPv4 destiné au sous-réseau B vers le middlebox
2001:db8:1234:1a00::/56 Local Acheminement local pour IPv6
2001:db8:1234:1a00::/64 appliance-eni Achemine le trafic IPv6 destiné au sous-réseau B vers le middlebox

Il existe une association de périphérie entre la passerelle Internet et le VPC.

Lorsque vous utilisez l'assistant de routage middlebox, il associe les balises suivantes à la table de routage :

  • La clé est « Origin (Origine) » et la valeur est « Middlebox wizard (Assistant middlebox) »

  • La clé est « date_created » et la valeur est l'heure de création (par exemple « 2021-02-18T 22:25:49 .137Z »)

Table de routage de sous-réseau de destination

Ajoutez les acheminements suivants à la table de routage du sous-réseau de destination (sous-réseau B dans l'exemple de diagramme).

Destination Cible Objectif
10.0.0.0/16 Locale Acheminement local pour IPv4
0.0.0.0/0 appliance-eni Achemine le trafic IPv4 destiné à Internet vers le middlebox
2001:db8:1234:1a00::/56 Local Acheminement local pour IPv6
::/0 appliance-eni Achemine le trafic IPv6 destiné à Internet vers le middlebox

Il existe une association de sous-réseau avec le sous-réseau middlebox.

Lorsque vous utilisez l'assistant de routage middlebox, il associe les balises suivantes à la table de routage :

  • La clé est « Origin (Origine) » et la valeur est « Middlebox wizard (Assistant middlebox) »

  • La clé est « date_created » et la valeur est l'heure de création (par exemple « 2021-02-18T 22:25:49 .137Z »)

Table de routage de sous-réseau middlebox

Ajoutez les acheminements suivants à la table de routage du sous-réseau middlebox (sous-réseau C dans l'exemple de diagramme).

Destination Cible Objectif
10.0.0.0/16 Locale Acheminement local pour IPv4
0.0.0.0/0 igw-id Acheminement du trafic IPv4 vers la passerelle Internet
2001:db8:1234:1a00::/56 Local Acheminement local pour IPv6
::/0 eigw-id Acheminer le trafic IPv6 vers la passerelle Internet de sortie seulement.

Il existe une association de sous-réseau avec le sous-réseau de destination.

Lorsque vous utilisez l'assistant de routage middlebox, il associe les balises suivantes à la table de routage :

  • La clé est « Origin (Origine) » et la valeur est « Middlebox wizard (Assistant middlebox) »

  • La clé est « date_created » et la valeur est l'heure de création (par exemple « 2021-02-18T 22:25:49 .137Z »)