Comment résoudre les problèmes de connexion entre Transit Gateway et les appliances virtuelles tierces s'exécutant dans un VPC ?

Lecture de 5 minute(s)
0

J'ai une pièce jointe AWS Transit Gateway Connect pour établir la connectivité entre Transit Gateway et les instances SD-WAN (Software-defined Wide Area Network) dans mon cloud privé virtuel (VPC). Toutefois, je ne parviens pas à connecter mon réseau distant à partir du VPC via la connexion Transit Gateway Connect. Comment puis-je résoudre ce problème ?

Brève description

Pour résoudre les problèmes de connectivité entre les réseaux source et distants connectés par une connexion Transit Gateway Connect, vérifiez les points suivants :

  • Configuration de l'accessoire Connect
  • Zones de disponibilité
  • Tables de routage
  • Paramètres de sécurité du réseau

Solution

Dépannage de la configuration des accessoires Transit Gateway et Connect

Confirmer la configuration des accessoires Transit Gateway et Connect

  1. Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).
  2. Dans le volet de navigation, sélectionnez Accessoires de la passerelle de transit.
  3. Sélectionnez l’accessoire du VPC source dans lequel vous disposez de ressources qui doivent communiquer avec des hôtes distants ou sur site. Vérifiez que cet accessoire est associé à l'ID Transit Gateway correct.
  4. Répétez l'étape 3 pour l’accessoire Connect, qui est la pièce jointe utilisée pour établir la connexion entre la passerelle de transit et l'appliance virtuelle tierce exécutée dans votre VPC.
  5. Répétez l'étape 3 pour l’accessoire du VPC de transport, qui est l’accessoire utilisé comme mécanisme de transport pour établir la configuration GRE (Generic Routing Encapsulation) entre votre passerelle de transit et le SD-WAN.
  6. Dans le volet de navigation, sélectionnez Tables de routage Transit Gateway.
  7. Sélectionnez la table de routage Transit Gateway pour chaque connexion et confirmez que :
    Les VPC source et SD-WAN sont connectés à une passerelle de transit. Il peut s'agir d'une passerelle ou d'une région de transit identique ou différente.
    Les accessoires de VPC source et SD-WAN sont associés à la bonne table de routage de passerelle de transit.
    L’accessoire Connect est connecté à la bonne passerelle de transit.
    L’accessoire Connect utilise le bon accessoire de transport VPC (accessoire de VPC de l'appliance SD-WAN) et est dans un état Disponible.

Vérifiez que les homologues Connect sont correctement configurés

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sélectionnez Accessoires de la passerelle de transit.
  3. Sélectionnez l’accessoire de connexion.
  4. Choisissez Connecter les homologues. Vérifiez que :
    L'adresse GRE homologue est l'adresse IP privée de l'instance SD-WAN vers laquelle vous souhaitez créer le tunnel GRE.
    L'adresse GRE de Transit Gateway est l'une des adresses IP disponibles dans le CIDR de Transit Gateway.
    Les adresses IP internes du BGP font partie d'un bloc d'adresse CIDR /29 de la plage 169.254.0.0/16 pour IPv4. Vous pouvez éventuellement spécifier un bloc d'adresse CIDR /125 dans la plage fd00::/8 pour IPv6. Consultez la section homologues Transit Gateway Connect pour obtenir la liste des blocs d'adresse CIDR réservés et ne pouvant pas être utilisés.

Confirmez la configuration de votre appliance tierce

Vérifiez que la configuration de votre appliance tierce répond à toutes les exigences et considérations. Si votre appliance possède plusieurs interfaces, assurez-vous que le routage du système d'exploitation est configuré pour envoyer les paquets GRE sur la bonne interface.

Vérifiez qu'il existe une attachement de la passerelle de transit dans la même zone de disponibilité que l'appliance SD-WAN

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sélectionnez Subnets (Sous-réseaux).
  3. Sélectionnez les sous-réseaux utilisés par l'accessoire au VPC et l'instance SD-WAN.
  4. Vérifiez que l'ID de zone de disponibilité des deux sous-réseaux est identique.

Dépannage des tables de routage et du routage

Confirmer la table de routage du VPC pour l'instance source et l'instance SD-WAN

  1. Ouvrez la console Amazon VPC.
  2. Dans le panneau de navigation, choisissez Tables de routage Tables.
  3. Sélectionnez la table de routage utilisée par l'instance.
  4. Choisissez l'onglet Routes.
  5. Vérifiez qu'il existe une route avec le bon bloc d'adresse CIDR de destination et avec la cible comme ID de passerelle de transit. Pour l'instance source, le bloc d'adresse CIDR de destination est l'adresse CIDR du réseau distant. Pour l'instance SD-WAN, le bloc d'adresse CIDR de destination est le bloc d'adresse CIDR Transit Gateway

Confirmez les tables de routage de l'attachement de la passerelle de transit et de l'annexe au VPC source

  1. Ouvrez la console Amazon VPC.
  2. Sélectionnez Transit gateway route tables (Tables de routage de passerelle de transit).
  3. Vérifiez que la table de routage associée à l'accessoire au VPC source comporte une route se propageant à partir de l'accessoire Connect pour le réseau distant.
  4. Vérifiez que la table de routage associée à la pièce jointe Transit Gateway Connect possède une route pour le VPC source et le VPC de l'appliance SD-WAN.

Résolution des problèmes de sécurité du réseau

Vérifiez que les listes de contrôle d'accès réseau autorisent le trafic

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sélectionnez Subnets (Sous-réseaux).
  3. Sélectionnez les sous-réseaux utilisés par l'accessoire au VPC et l'instance SD-WAN.
  4. Sélectionnez l’onglet Network ACL. Vérifiez que :
    La liste ACL réseau de l'instance SD-WAN autorise le trafic GRE.
    La liste ACL réseau de l'instance source autorise le trafic.
    Vérifier que la liste ACL réseau associée à l'interface réseau de passerelle de transit autorise le trafic.

Confirmez que le groupe de sécurité de la source et de l'instance SD-WAN EC2 autorise le trafic

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, choisissez Instances.
  3. Sélectionnez les instances appropriées.
  4. Choisissez l'onglet Sécurité.
  5. Vérifiez que le groupe de sécurité de l'instance SD-WAN autorise le trafic GRE soit dans les règles entrantes pour accepter les initiations GRE, soit dans la règle sortante pour lancer une session GRE. Vérifiez que le groupe de sécurité de l'instance source autorise le trafic.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans