Wie behebe ich Transit Gateway-Konnektivitätsprobleme mit virtuellen Appliances von Drittanbietern, die in einer VPC ausgeführt werden?

Lösung

Die Konfiguration von Transit-Gateway- und Connect-Anhängen überprüfen

1. Öffne die Amazon Virtual Private Cloud (Amazon VPC)-Konsole.
2. Wähle im Navigationsbereich Transit-Gateway-Anhängen.
3. Wähle den Quell-VPC-Anhang aus, der mit Remote- oder On-Premises-Hosts kommunizieren muss. Stelle sicher, dass der Anhang mit der richtigen Transit-Gateway-ID verknüpft ist.
4. Wiederhole Schritt 3 für den Connect-Anhang, der eine Verbindung zwischen Transit Gateway und der virtuellen Appliance eines Drittanbieters herstellt, die in der VPC ausgeführt wird.
5. Wiederhole Schritt 3 für den Transport-VPC-Anhang, der die Generic Routing Encapsulation (GRE)-Verbindung zwischen Transit-Gateway und dem SD-WAN herstellt.
6. Wähle im Navigationsbereich Transit-Gateway-Routing-Tabellen aus. Wähle dann die Routing-Tabelle für jeden Anhang aus.
7. Stelle sicher, dass die Quell- und SD-WAN-VPCs an ein Transit-Gateway in derselben oder einer anderen AWS-Region angeschlossen sind.
8. Stelle sicher, dass die Quell- und SD-WAN-VPC-Anhänge der richtigen Routing-Tabelle zugeordnet sind.
9. Stelle sicher, dass CIDR-Quellblöcke und Border Gateway Protocol (BGP)-Routen an die zugehörigen Routing-Tabellen weitergegeben werden.
10. Stelle sicher, dass der Connect-Anhang an das richtige Transit-Gateway angehängt ist.
11. Stelle sicher, dass der Connect-Anhang den richtigen VPC-Transportanhang für die SD-WAN-Appliance verwendet und der Status Verfügbar lautet.

Connect-Peers-Konfiguration

1. Öffne die Amazon-VPC-Konsole.
2. Wähle Transit-Gateway-Anhänge.
3. Wähle den Connect-Anhang aus.
4. Wähle Connect Peers.
5. Stelle sicher, dass die GRE-Adresse des Transit-Gateways mit der privaten IP-Adresse der SD-WAN-Appliance für den GRE-Tunnel übereinstimmt.
6. Stelle sicher, dass die GRE-Adresse des Transit-Gateways mit einer verfügbaren IP-Adresse aus dem CIDR-Block des Transit-Gateways übereinstimmt.
7. Stelle sicher, dass das BGP innerhalb der IP-Adressen zu einem /29-CIDR-Block aus dem Bereich 169.254.0.0/16 für IPv4 gehört. Du kannst einen /125 CIDR-Block aus dem Bereich fd00::/8 für IPv6 angeben. Weitere Informationen findest du unter Connect Peers.

Hinweis: Die autonome Systemnummer (ASN) des BGP-Peers ist optional. Wenn du keine Peer-ASN angeben, weist Transit Gateway ihre ASN zu.

Konfiguration eines Drittanbieter-Appliance

1. Stelle sicher, dass die Konfiguration der Drittanbieter-Appliance alle Anforderungen und Überlegungen erfüllt.
2. Wenn die Appliance über mehr als eine Schnittstelle verfügt, stelle sicher, dass das Routing des Betriebssystems (OS) so konfiguriert ist, dass GRE-Pakete über die richtige Schnittstelle gesendet werden.
3. Konfiguriere Sicherheitsgruppen und Netzwerk-Zugriffssteuerungslisten (ACLs), um GRE-Protokolldatenverkehr (Port 47) vom CIDR-Block des Transit-Gateways zuzulassen.

Die Konfiguration der Availability Zone überprüfen

1. Öffne die Amazon-VPC-Konsole.
2. Wählen Subnetze.
3. Wähle die Subnetze für den VPC-Anhang und die SD-WAN-Appliance aus.
4. Stelle sicher, dass beide Subnetze dieselbe Availability Zone-ID haben. Weitere Informationen finde unter AWS Availability Zone.

Routing-Tabellen und das Routing überprüfen

1. Öffne die Amazon-VPC-Konsole.
2. Wähle Routing-Tabellen.
3. Wähle die Routing-Tabelle für die Quell-Instance aus.
4. Wähle die Registerkarte Routen.
5. Stelle sicher, dass die Route den richtigen CIDR-Block und die richtige Transit-Gateway-ID als Ziel hat.
6. Bestätige für die Quell-Instance, dass der Remote-Netzwerk-CIDR der Ziel-CIDR-Block ist.
7. Bestätige für die SD-WAN-Appliance, dass das Transit-Gateway-CIDR der CIDR-Zielblock ist.

Konfiguration der Transit-Gateway-Routing-Tabelle überprüfen

1. Öffne die Amazon-VPC-Konsole.
2. Wähle Transit-Gateway-Routing-Tabellen.
3. Stelle sicher, dass die Routing-Tabelle, die dem Quell-VPC-Anhang zugeordnet ist, eine Route enthält, die vom Connect-Anhang für das Remote-Netzwerk weitergegeben wird.
4. Stelle sicher, dass die Routing-Tabelle, die dem Connect-Anhang zugeordnet ist, eine Route für die Quell-VPC und die SD-WAN-Appliance-VPC enthält.
5. Vergewissere dich, dass die Routenpropagierung in den Routing-Tabellen sowohl für den Connect-Anhang als auch für den Quell-VPC-Anhang aktiviert ist.
6. Stelle bei internen BGP (iBGP)-Peers sicher, dass die Routen von einem externen BGP (eBGP)-Peer stammen. Stelle sicher, dass die von der Appliance zum Transit-Gateway angekündigten Routen das Kontingent von 1000 Routen nicht überschreiten.

Sicherstellen, dass Netzwerk-ACLs Datenverkehr zulassen

1. Öffne die Amazon-VPC-Konsole.
2. Wählen Subnetze.
3. Wähle die Subnetze für den VPC-Anhang und die SD-WAN-Appliance aus.
4. Wähle die Registerkarte Netzwerk-ACL.
5. Stelle sicher, dass die Netzwerk-ACL für die SD-WAN-Appliance GRE-Datenverkehr zulässt.
6. Stelle sicher, dass die Netzwerk-ACL für die Quell-Instance Datenverkehr zulässt.
7. Stelle sicher, dass die Netzwerk-ACL, die der Transit-Gateway-Netzwerkschnittstelle zugeordnet ist, Datenverkehr zulässt.

Sicherstellen, dass Sicherheitsgruppen Datenverkehr zulassen

1. Öffne die Amazon Elastic Compute Cloud (Amazon EC2)-Konsole.
2. Wähle im Navigationsbereich Instances.
3. Wähle die Quell-Instance und die SD-WAN-Appliance aus.
4. Wähle die Registerkarte Sicherheit.
5. Stelle sicher, dass die Sicherheitsgruppe für die SD-WAN-Appliance eingehende GRE-Verbindungen zulässt.
6. Stelle sicher, dass die Sicherheitsgruppe für die SD-WAN-Appliance ausgehende GRE-Sitzungen zulässt.
7. Stelle sicher, dass die Sicherheitsgruppe für die Quell-Instance Datenverkehr zulässt.