¿Cuál es el CIDR recomendado al crear VPC en AWS?

He estado creando VPC de AWS y me pregunto si hay un valor CIDR recomendado al crear VPC. ¿Cuáles son los factores que debo considerar al elegir un CIDR y el valor del CIDR afecta el rendimiento de la red?

Yo recomendaría las siguientes consideraciones:

Si crea una conexión IPSEC entre su LAN corporativa y su VPC, use un CIDR que sea diferente al de su LAN corporativa. Esto evitará solapamientos de enrutamiento y creará una distinción de identidad como referencia.

Para redes muy grandes, use al menos máscaras de 16 bits diferentes en diferentes regiones, por ejemplo

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

Para redes más pequeñas, use una máscara de 24 bits en diferentes regiones, por ejemplo

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

Considere hacer una distinción entre subredes privadas y públicas, p. Ej.

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

No sobreasigne espacio de direcciones a subredes, p. Ej.

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

No subasigne tampoco. Si usa una carga de Elastic Load Balancers, recuerde que también consumirán las direcciones IP disponibles en sus subredes. Esto es particularmente cierto si usa ElasticBeanstalk.

Algunas cosas que consideré la última vez que creé una nueva VPC:

1. Asegúrese de que los rangos de IP de diferentes regiones no se superpongan. Usted no debe tener una 172.31.0.0/16en us-west eu-ireland, por ejemplo. Hará VPN entre esas dos regiones un problema que requiere doble NAT para resolver. No, gracias.
2. Asegúrese de que el rango de IP sea lo suficientemente grande como para contener todas las instancias que cree que necesitará x.x.x.x/24para acomodar 254 direcciones diferentes. Probablemente hay cientos de calculadoras CIDR por ahí para ayudarlo a resolver esto.
3. Creo muchas subredes diferentes en una sola VPC, en lugar de crear varias VPC. Las subredes pueden comunicarse entre sí: puedo tener subredes privadas y públicas para mantener algunas instancias protegidas de Internet abierto. Utilice una instancia de NAT para que la subred privada pueda comunicarse con la subred pública. Utilice grupos de seguridad para aislar grupos de instancias entre sí.

Amazon no parece recomendar ningún tamaño de red en particular para su VPC (consulte la guía del administrador de red de VPC y tenga en cuenta el uso de / 16s), pero en general hay dos razones para considerar los efectos de rendimiento de CIDR:

1. Enrutamiento . Un prefijo más pequeño (red más grande) se usa con frecuencia para la agregación de rutas y en realidad puede mejorar el rendimiento.
2. El tráfico de difusión y multidifusión, que es más relevante para su situación y puede reducir el rendimiento en prefijos más pequeños. Puede mitigar los efectos de este tráfico subdividiendo aún más la VPC como se muestra en la guía de administración de la red.

Tenga en cuenta el número inicial de nodos en su VPC y el crecimiento proyectado para la vida útil prevista del proyecto y debería tener un buen punto de partida para el tamaño del prefijo. Recuerde que no hay nada malo en comenzar con un pequeño prefijo como / 16 porque siempre puede crear subredes.

Otra consideración es si necesitará usar AWS ClassicLink para permitir el acceso a la VPC desde instancias EC2 fuera de la VPC. De la documentación de AWS:

Las VPC con rutas que entran en conflicto con el rango de direcciones IP privadas EC2-Classic de 10/8 no se pueden habilitar para ClassicLink. Esto no incluye VPC con rangos de direcciones IP 10.0.0.0/16 y 10.1.0.0/16 que ya tienen rutas locales en sus tablas de rutas. Para obtener más información, consulte Enrutamiento para ClassicLink.

de http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing