¿Cómo puedo solucionar los problemas de conectividad entre Direct Connect y los recursos de AWS?

Resolución

Comprobación del estado de la interfaz virtual

Si la interfaz virtual deja de funcionar, lleva a cabo las siguientes acciones:

• Consulta el panel de AWS Health para ver si hay algún mantenimiento de AWS en curso o completado recientemente que pueda afectar a tu conexión o interfaz virtual de Direct Connect.
• Comprobación del estado de la interfaz virtual. Si el estado es INACTIVO, entonces la sesión de emparejamiento del protocolo de puerta de enlace fronteriza (BGP) no está establecida. Para solucionar problemas relacionados con el BGP, consulta Troubleshoot Direct Connect (Solución de problemas de Direct Connect).

Solución de problemas de interfaces virtuales privadas

Configuración de reglas de entrada y salida

Configura las reglas de entrada y salida del grupo de seguridad de la instancia de destino y la lista de control de acceso de la red (ACL de red) de la subred. Las reglas deben permitir la conectividad bidireccional entre AWS y los recursos locales.

Nota: Las reglas específicas dependen de la dirección IP de origen, la dirección IP de destino y el puerto. Si tienes un firewall de inspección local, configúralo para permitir el tráfico bidireccional.

Comprobación de la configuración de enrutamiento BGP

Para configurar el enrutamiento BGP de tu enrutador local, asegúrate de dirigir las rutas necesarias a AWS.

Si activaste la propagación de rutas en tu tabla de enrutamiento de Amazon Virtual Private Cloud (Amazon VPC), haz que las rutas estén visibles en la tabla de enrutamiento. En las tablas de enrutamiento de Amazon VPC, las rutas locales deben apuntar a la puerta de enlace virtual como el siguiente salto o destino. Por ejemplo, si el enrutador local anuncia 10.0.0.0/8 y apunta a AWS, la tabla de enrutamiento incluye una entrada de ruta para 10.0.0.0/8. La entrada apunta a la puerta de enlace virtual asociada a tu VPC como el siguiente salto o destino.

Comprobación del enrutador local

Asegúrate de que el enrutador local reciba rutas para el enrutamiento entre dominios sin clases (CIDR) de la VPC mediante el BGP. El enrutador debe recibir rutas desde la dirección IP del mismo nivel de AWS que está asociada a la interfaz virtual de Direct Connect.

Si no recibes rutas desde la dirección IP del mismo nivel de AWS, asocia la puerta de enlace privada virtual a la VPC correcta.

Si la interfaz virtual privada termina en la puerta de enlace de Direct Connect, asocia la puerta de enlace privada virtual correcta a tu puerta de enlace de Direct Connect. Configura los prefijos permitidos para que el CIDR de la VPC dirija al enrutador local.

Uso de un traceroute

Para usar un traceroute basado en el protocolo de control de mensajes de Internet (ICMP) bidireccional desde el enrutador local hasta la instancia de VPC, usa el siguiente comando:

sudo traceroute -n -I YOUR_IP_ADDRESS

Nota: Sustituye YOUR_IP_ADDRESS por la dirección IP privada de tu instancia de Amazon Elastic Compute Cloud (Amazon EC2) o del host local.

Si tu enrutador o firewall local bloquea las solicitudes de traceroute basadas en el ICMP, usa el siguiente traceroute basado en el TCP en el puerto TCP correspondiente:

sudo traceroute -n -T -p 22 YOUR_IP_ADDRESS

Nota: Sustituye YOUR_IP_ADDRESS por tu dirección IP privada. En el comando anterior,-n -T -p 22 usa un traceroute en el puerto 22. Puedes usar cualquier puerto que tu aplicación utilice como agente de escucha.

**Comprobación de los resultados del traceroute **

Comprueba la visibilidad y el comportamiento del enrutador local y de las direcciones IP del mismo nivel de AWS que están asociadas a tu interfaz virtual.

Según tu caso concreto, toma las siguientes medidas:

• El traceroute va de AWS a los recursos locales y el tráfico se detiene en la dirección IP del enrutador local: Configura los parámetros del firewall de red local para permitir la conectividad bidireccional en tu puerto.
• El traceroute va de los recursos locales a AWS y el tráfico se detiene en la dirección IP del mismo nivel de AWS: Comprueba la ACL de la red y las configuraciones de seguridad. También puedes usar ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)Registros de flujo de la VPC[ para comprobar si una interfaz de red elástica específica recibió los paquetes que envió el enrutador local.
• La dirección IP del mismo nivel local o de AWS no está asociada a la interfaz virtual y el tráfico se reenvía por una ruta incorrecta: Comprueba que el enrutador local tenga una ruta más específica o preferida para el mismo CIDR a través de un par diferente.
• El traceroute de AWS al enrutador local no contiene la dirección IP del mismo nivel de AWS: Busca una ruta secundaria, como una interfaz virtual o una VPN, con tráfico que fluya hacia el enrutador local. Por ejemplo, otra interfaz virtual puede terminar en la misma puerta de enlace privada virtual o la puerta de enlace de Direct Connect anuncia la misma ruta local. O bien, las conexiones de AWS Site-to-Site VPN existentes pueden anunciar rutas específicas para tu enrutador local en la tabla de enrutamiento de la VPC.

Compara los traceroutes de AWS al enrutador local y del enrutador local a AWS. Si ambos traceroutes tienen saltos diferentes, entonces el enrutamiento es asimétrico. Usa políticas de enrutamiento para asegurarte de que se prefiera la misma interfaz virtual privada de Direct Connect de forma bidireccional.

Solución de problemas de interfaces virtuales públicas

Validación de rutas a partir de prefijos públicos

Verifica que el enrutador local que aloja la interfaz virtual pública reciba rutas de prefijos públicos de la dirección IP del mismo nivel de AWS. Si tienes un mapa de rutas y un filtro de prefijos de entrada para filtrar las rutas, asegúrate de que el filtro de prefijos coincida con los prefijos requeridos.

Anuncio de la dirección IP pública del mismo nivel

Si realizas tareas de NAT para tus redes locales, anuncia la dirección IP pública del mismo nivel en AWS mediante el BGP.

Nota: Asegúrate de conectarte a AWS desde un prefijo que hayas anunciado desde los recursos locales a través de la interfaz virtual pública. No puedes conectarte desde un prefijo que no hayas anunciado en una interfaz virtual pública. Además, debes añadir prefijos a la lista Prefijos que desea anunciar antes de poder anunciarlos mediante el BGP en la interfaz virtual pública. El prefijo de la lista debe ser igual o menos específico que el que planeas anunciar.

Uso de un traceroute

Usa un traceroute desde tus recursos locales a AWS y, a continuación, verifica que el tráfico se haya reenviado a través de la interfaz virtual pública de Direct Connect. Si el tráfico se reenvía a través de la interfaz virtual pública, el traceroute incluye las direcciones IP asociadas a la interfaz virtual.

Si debes comprobar la ruta de red que utiliza AWS, lanza una instancia pública de Amazon EC2. La instancia debe tener la misma región de AWS que tu servicio de AWS. Tras lanzar la instancia, usa un traceroute en el enrutador local. Si el traceroute muestra que el tráfico se reenvía a través de Internet o a través de una interfaz virtual diferente, es posible que se anuncie una ruta específica.

Nota: AWS usa AS_PATH y la coincidencia de prefijo más largo para determinar la ruta de direccionamiento. Direct Connect es la ruta preferida para el tráfico procedente de AWS. Para obtener más información, consulta Public virtual interface routing policies (Políticas de enrutamiento de interfaz virtual pública).

**Puesta a prueba de la conectividad con un servicio público de AWS **

Verifica que la conectividad a un servicio público de AWS, como Amazon Simple Storage Service (Amazon S3), funcione en la región de destino correcta. A continuación, confirma que tengas una etiqueta comunitaria del BGP en los prefijos públicos que anuncias en AWS. Para obtener más información, consulta Public virtual interface BGP communities (Comunidades BGP de interfaz virtual pública).

Nota: Las etiquetas comunitarias de BGP determinan hasta qué punto debe propagar sus prefijos en la red de AWS.

Solución de problemas de interfaces virtuales de tránsito

Configuración de un CIDR local para una ruta de puerta de enlace de tránsito

Si no configuraste una ruta desde tu CIDR local a una puerta de enlace de tránsito para la tabla de enrutamiento de la subred de la VPC de tu recurso de destino, configura una. Configura también los grupos de seguridad de instancias o recursos y la ACL de red de la subred para permitir la conectividad bidireccional. Para obtener más información, consulta Network ACLs for transit gateways in AWS Transit Gateway (ACL de red para puertas de enlace de tránsito en AWS Transit Gateway).

Validación de rutas del BGP

Comprueba que el enrutador local asociado a la interfaz virtual de tránsito reciba las rutas correctas a través del BGP del par de AWS. Las rutas son para el CIDR de la VPC de destino.

Si no recibes las rutas requeridas, consulta la lista de prefijos permitidos. Configura los prefijos permitidos para la puerta de enlace de Direct Connect asociada a la puerta de enlace de tránsito con los prefijos necesarios. AWS solo anuncia las rutas que añadas a la lista de prefijos permitidos a través de una interfaz virtual de tránsito.

Validación de los prefijos de red locales

En el caso del enrutador local asociado a la interfaz virtual de tránsito, anuncia en AWS los prefijos de red locales necesarios. Si propagas rutas desde la puerta de enlace de Direct Connect a una tabla de enrutamiento de una puerta de enlace de tránsito, haz que las rutas estén visibles en la tabla de enrutamiento de la puerta de enlace de tránsito. Si las rutas no están visibles, comprueba la AS_PATH de las rutas anunciadas. La ruta AS_PATH no puede incluir el ASN de la puerta de enlace de tránsito.

Nota: No puedes propagar rutas desde una puerta de enlace de tránsito a una VPC. Por lo tanto, debes verificar que la tabla de enrutamiento de la VPC tenga entradas de ruta que apunten a la puerta de enlace de tránsito. Si anuncias la ruta que contiene el ASN de la puerta de enlace de tránsito en la AS_PATH, la ruta no se instalará en la tabla de enrutamiento. Asegúrate de que el enrutador local y la puerta de enlace de tránsito usen un ASN diferente.

Validación de las rutas de entrada de tránsito

Comprueba que la tabla puerta de enlace de tránsito asociada a la puerta de enlace de Direct Connect y a las vinculaciones de la VPC de destino tenga la ruta correcta para el destino. La tabla de enrutamiento de la puerta de enlace de tránsito asociada a la puerta de enlace de Direct Connect debe tener una ruta para el CIDR de la VPC que apunte a la vinculación de la VPC. La tabla de enrutamiento de la puerta de enlace de tránsito asociada a la vinculación de la VPC debe tener una ruta para el CIDR local que apunte a la vinculación de la puerta de enlace de Direct Connect.

Validación de la configuración de la puerta de enlace de Direct Connect

Si el traceroute de AWS a los recursos locales no incluye la dirección IP del mismo nivel de tu interfaz virtual, comprueba la configuración de la puerta de enlace de Direct Connect. Debes tener otras interfaces virtuales de tránsito en la misma puerta de enlace de Direct Connect que anuncien las mismas rutas locales. Para identificar la interfaz virtual que debes usar para la conectividad saliente, consulta la ](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies)política de enrutamiento de la interfaz virtual de tránsito[.

**Comprobación de las asociaciones de subred de las vinculaciones de la VPC **

Confirma que hayas asociado una subred a la vinculación de la VPC de la puerta de enlace de tránsito en la misma zona de disponibilidad que el recurso de destino. Por ejemplo, la vinculación de la VPC de la puerta de enlace de tránsito debe tener una subred en la misma zona de disponibilidad que la instancia.

Nota: Para identificar el tráfico bidireccional en la interfaz de red, consulta los registros de flujo de la VPC para comprobar que el tráfico local llegue a la interfaz de red de una instancia específica.