扩展VPC的CIDR注意事项

一、背景

当前VPC分配了10.140.0.0/20的CIDR,也就是地址范围10.140.0.3~10.140.15.254。这里扣掉了0/1/2三个系统保留地址,因此可用地址从3开始。现在希望将其扩容到10.140.0.0/16的范围。

此外,当前环境还对接了专线。那么应该如何规划变更和操作?

二、操作流程

主要流程如下:

  1. 修改VPC CIDR,添加新的IP范围
  2. 用新增加的CIDR创建新的子网
  3. 将新创建的子网与现有路由表关联(也可以新创建路由表)
  4. 在本子网内创建EC2用于网络联通性测试
  5. 编辑专线Direct Connect服务中专线网关(Direct Connect Gateway)关联的Virtual Private Gateway(VGW)宣告的云上地址段范围
  6. [可选]专线另一侧如果落地是SDWAN(即最后一公里是Site-to-site VPN)的配置修改

三、关键步骤

1、修改VPC CIDR,添加新的IP范围

VPC创建后不能修改CIDR。因此如果创建时候使用的10.140.0.0/20,那么界面上不能修改为10.140.0.0/16。因此对VPC扩展CIDR的方法是,把后续几个网段加入进去。

刚开始创建的10.140.0.0/20,范围是10.140.0.1~10.140.15.254。要将其扩展为10.140.0.0/16的网段,那么需要把10.140.16.1~10.140.255.254这个范围补充进去即可。那么由此需要补充的是:

CIDR 10.140.16.0/20
CIDR 10.140.32.0/20
CIDR 10.140.48.0/20
CIDR 10.140.64.0/20
CIDR 10.140.80.0/20
CIDR 10.140.96.0/20
CIDR 10.140.112.0/20
CIDR 10.140.128.0/20
CIDR 10.140.144.0/20
CIDR 10.140.160.0/20
CIDR 10.140.176.0/20
CIDR 10.140.192.0/20
CIDR 10.140.208.0/20
CIDR 10.140.224.0/20
CIDR 10.140.240.0/20

以上是15条/20的地址段。这样加上基础的10.140.0.0/20,一共是16条掩码为/20记录。但是,在编辑VPC CIDR时候会发现,VPC界面编辑CIDR只只能添加5条,要填8条超过了限制,VPC界面上不允许输入。

此时,输入时候,需要逐渐扩大掩码,从最小的20开始。

  • 现有 10.140.0.0/20,范围:10.140.0.1~10.140.15.254
  • CIDR 10.140.16.0/20,范围:10.140.16.1~10.140.31.254
  • CIDR 10.140.32.0/19,范围:10.140.32.1~10.140.63.254
  • CIDR 10.140.64.0/18,范围:10.140.64.1~10.140.127.254
  • CIDR 10.140.128.0/17,范围:10.140.128.1~10.140.255.254

这样就在总计不超过5条记录的情况下,覆盖了整个/16网段。如下截图。

2、用新增加的CIDR创建新的子网

操作过程略。

3、将新创建的子网与现有路由表关联(也可以新创建路由表)

操作过程略。

4、在本子网内创建EC2用于网络联通性测试

操作过程略。

5、编辑专线Direct Connect服务中专线网关(Direct Connect Gateway)关联的Virtual Private Gateway(VGW)宣告的云上地址段范围

AWS的Direct Connect专线服务配置时候要求必须是BGP服务。因此在后续修改地址段时候,需要修改宣告云上地址范围。修改宣告范围后,后续的路由条目、子网等会自动学习。

进入Direct Connect专线服务,找到左侧的VGW,英文菜单是Virtual private gateways,中文菜单是虚拟专用网关,点击进入。在右侧找到Direct Connect gateway associations的菜单。编辑当前的绑定关系。如下截图。

在宣告地址范围的位置,修改地址范围,从扩容之前的地址范围10.140.0.0/20,直接改为10.140.0.0/16。这里无需在一段一段的补充地址范围了,可直接修改。如下截图。

修改完毕,几分钟内BGP完成自动学习,路由生效。

6、[可选]专线另一侧落地是SDWAN(即最后一公里是Site-to-site VPN)的配置修改

如果专线落地是物理专线连接,直接连接插在IDC路由器上,并开启BGP协议,那么本步骤可跳过。

如果专线落地在客户IDC一侧是SDWAN形式,也就是最后一公里是Site-to-site VPN,并且还是静态路由的VPN,那么还需要修改下VPN Server上的路由表,确认云上的CIDR扩容生效。如果最后一公里Site-to-site VPN是BGP协议的,那么也会自动学习生效。

至此配置完成。