Come posso risolvere i problemi di connettività tra Direct Connect e le risorse AWS?

Risoluzione

Controlla lo stato dell'interfaccia virtuale

Se l'interfaccia virtuale smette di funzionare, intraprendi le seguenti azioni:

• Controlla nella Dashboard AWS Health se è in corso o è stata completata di recente una manutenzione di AWS che potrebbe influire sulla connessione Direct Connect o sull'interfaccia virtuale.
• Controlla lo stato dell'interfaccia virtuale. Se lo stato è INATTIVA, la sessione di peering Border Gateway Protocol (BGP) non è stata stabilita. Per risolvere i problemi relativi al BGP, consulta Risolvere i problemi di Direct Connect.

Risolvi i problemi relativi alle interfacce virtuali private

Configura le regole in entrata e in uscita

Configura le regole in entrata e in uscita per il gruppo di sicurezza dell'istanza di destinazione e la lista di controllo degli accessi alla rete (ACL) della sottorete. Le regole devono consentire la connettività bidirezionale tra AWS e le risorse on-premises.

Nota: le regole specifiche dipendono dall'indirizzo IP di origine, dall'indirizzo IP di destinazione e dalla porta. Se disponi di un firewall di ispezione on-premises, configuralo per consentire il traffico bidirezionale.

Controlla la configurazione del routing BGP

Per la configurazione del routing BGP del router on-premises, assicurati di indirizzare le route richieste verso AWS.

Se hai attivato la propagazione delle route nella tabella di routing di Amazon Virtual Private Cloud (Amazon VPC), rendile visibili. Nelle tabelle di routing di Amazon VPC, le route on-premises devono puntare verso il gateway virtuale come destinazione o hop successivo. Ad esempio, se il router on-premises pubblicizza 10.0.0.0/8 e punta verso AWS, la tabella di routing include una voce di route per 10.0.0.0/8. La voce punta verso il gateway virtuale associato al VPC come destinazione o hop successivo.

Controlla il router on-premises

Assicurati che il router on-premises riceva le route per il CIDR del VPC tramite il BGP. Il router deve ricevere le route dall'indirizzo IP del peer AWS associato all'interfaccia virtuale di Direct Connect.

Se non ricevi route dall'indirizzo IP del peer AWS, associa il gateway privato virtuale al VPC corretto.

Se l'interfaccia virtuale privata termina sul gateway Direct Connect, associa il gateway privato virtuale corretto al gateway Direct Connect. Configura i prefissi consentiti in modo che il CIDR del VPC sia indirizzato verso il router on-premises.

Esegui un traceroute

Per eseguire un traceroute basato sull'Internet Control Message Protocol (ICMP) bidirezionale dal router on-premises all'istanza VPC, esegui questo comando:

sudo traceroute -n -I YOUR_IP_ADDRESS

Nota: sostituisci YOUR_IP_ADDRESS con l'indirizzo IP privato dell'istanza Amazon Elastic Compute Cloud (Amazon EC2) o dell'host on-premises.

Se il firewall o il router on-premises blocca le richieste di traceroute basate su ICMP, esegui questo traceroute basato su TCP sulla porta TCP appropriata:

sudo traceroute -n -T -p 22 YOUR_IP_ADDRESS

Nota: sostituisci YOUR_IP_ADDRESS con il tuo indirizzo IP privato. Nel comando precedente,-n -T -p 22 esegue un traceroute sulla porta 22. Puoi utilizzare qualsiasi porta utilizzata dall'applicazione come listener.

Controlla i risultati del traceroute

Verifica la visibilità e il comportamento del router on-premises e degli indirizzi IP del peer AWS associati all'interfaccia virtuale.

In base alla situazione, intraprendi le seguenti azioni:

• Il traceroute va da AWS alle risorse on-premises e il traffico si ferma all'indirizzo IP del router on-premises: Configura le impostazioni del firewall di rete on-premises per consentire la connettività bidirezionale sulla porta.
• Il traceroute passa dalle risorse on-premises ad AWS e il traffico si ferma all'indirizzo IP del peer AWS: Controlla l'ACL e le configurazioni di sicurezza. Puoi anche utilizzare Log di flusso VPC per verificare se una specifica interfaccia di rete elastica ha ricevuto i pacchetti inviati dal router on-premises.
• L'indirizzo IP del peer AWS o on-premises non è associato all'interfaccia virtuale e il traffico viene inoltrato su un percorso errato: Verifica che il router on-premises abbia una route più specifica o preferita per lo stesso CIDR tramite un peer diverso.
• Il traceroute da AWS al router on-premises non contiene l'indirizzo IP del peer AWS: Cerca un percorso secondario, ad esempio un'interfaccia virtuale o una VPN, con traffico che fluisce verso il router on-premises. Ad esempio, un'altra interfaccia virtuale potrebbe terminare sullo stesso gateway privato virtuale, il gateway Direct Connect pubblicizza la stessa route on-premises, oppure le connessioni AWS Site-to-Site VPN esistenti potrebbero pubblicizzare route specifiche per il router on-premises nella tabella di routing del VPC.

Confronta i traceroute da AWS al router on-premises e dal router on-premises ad AWS. Se entrambi i traceroute hanno hop diversi, il routing è asimmetrico. Utilizza policy di routing per assicurarti che la stessa interfaccia virtuale privata di Direct Connect sia preferita in modo bidirezionale.

Risolvi i problemi relativi alle interfacce virtuali pubbliche

Convalida le route dai prefissi pubblici

Verifica che il router on-premises che ospita l'interfaccia virtuale pubblica riceva route da prefissi pubblici dall'indirizzo IP del peer AWS. Se disponi di un filtro dei prefissi in entrata e di una mappa di routing per filtrare le route, assicurati che il filtro dei prefissi corrisponda ai prefissi richiesti.

Pubblicizza l'indirizzo IP pubblico del peer

Se esegui NAT per le reti on-premises, pubblicizza l'indirizzo IP del peer pubblico ad AWS tramite BGP.

Nota: assicurati di connetterti da un prefisso che hai pubblicizzato dalle risorse on-premises ad AWS tramite l'interfaccia virtuale pubblica. Non puoi connetterti da un prefisso che non hai pubblicizzato a un'interfaccia virtuale pubblica. Inoltre, devi aggiungere prefissi all'elenco "Prefissi da pubblicizzare" prima di poterli pubblicizzare tramite BGP sull'interfaccia virtuale pubblica. Il prefisso nell'elenco deve essere uguale o meno specifico di quello che intendi pubblicizzare.

Esegui un traceroute

Esegui un traceroute dalle risorse on-premises ad AWS, quindi verifica che il traffico sia stato inoltrato tramite l'interfaccia virtuale pubblica di Direct Connect. Se il traffico viene inoltrato tramite l'interfaccia virtuale pubblica, il traceroute include gli indirizzi IP associati all'interfaccia virtuale.

Se devi controllare il percorso di rete utilizzato da AWS, avvia un'istanza Amazon EC2 pubblica. L'istanza deve avere la stessa Regione AWS del servizio AWS. Dopo aver avviato l'istanza, esegui un traceroute sul router on-premises. Se il traceroute mostra che il traffico viene inoltrato su Internet o tramite un'interfaccia virtuale diversa, potrebbe essere pubblicizzato una route specifica.

Nota: AWS utilizza AS_PATH e Corrispondenza prefisso più lunga per determinare il percorso di routing. Direct Connect è il percorso preferito per il traffico proveniente da AWS. Per ulteriori informazioni, consulta ](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#routing-policies)Policy di routing dell'interfaccia virtuale pubblica[.

Esegui un test della connettività a un servizio AWS pubblico

Verifica che la connettività a un servizio AWS pubblico, come Amazon Simple Storage Service (Amazon S3), funzioni per la Regione di destinazione corretta. Quindi verifica di avere un tag della community BGP sui prefissi pubblici che pubblicizzi ad AWS. Per ulteriori informazioni, consulta Community BGP dell'interfaccia virtuale pubblica.

Nota: i tag della community BGP determinano fino a che punto puoi propagare i prefissi nella rete AWS.

Risolvi i problemi relativi alle interfacce virtuali di transito

Configura un CIDR on-premises sulla route di un gateway di transito

Se non hai configurato una route dal CIDR on-premises a un gateway di transito per la tabella di routing della sottorete del VPC della risorsa di destinazione, configurala. Inoltre, configura i gruppi di sicurezza dell'istanza o delle risorse e l'ACL della sottorete per consentire la connettività bidirezionale. Per ulteriori informazioni, consulta ACL per gateway di transito in AWS Transit Gateway.

Convalida le route BGP

Verifica che il router on-premises associato all'interfaccia virtuale di transito riceva le route corrette sul BGP dal peer AWS. Le route sono per il CIDR del VPC di destinazione.

Se non ricevi le route richieste, controlla l'elenco dei prefissi consentiti. Configura i prefissi consentiti per il gateway Direct Connect associato al gateway di transito con i prefissi richiesti. AWS pubblicizza solo le route che aggiungi all'elenco dei prefissi consentiti tramite un'interfaccia virtuale di transito.

Convalida i prefissi di rete on-premises

Per il router on-premises associato all'interfaccia virtuale di transito, pubblicizza i prefissi di rete on-premises richiesti ad AWS. Se propaghi le route dal gateway Direct Connect a una tabella di routing del gateway di transito, rendi visibili le route nella tabella di routing del gateway di transito. Se le route non sono visibili, controlla AS_PATH nelle route pubblicizzate. AS_PATH non deve includere l'ASN del gateway di transito.

Nota: non puoi propagare route da un gateway di transito a un VPC. Devi pertanto verificare che la tabella di routing del VPC contenga voci di route che puntano verso il gateway di transito. Se pubblicizzi la route che contiene l'ASN del gateway di transito in AS_PATH, la route non viene installata nella tabella di routing. Assicurati che il gateway di transito e il router on-premises utilizzino un ASN diverso.

Convalida le route del gateway di transito

Verifica che la tabella del gateway di transito associata al gateway Direct Connect e ai collegamenti VPC di destinazione abbiano la route corretta per la destinazione. La tabella di routing del gateway di transito associata al gateway Direct Connect deve avere una route per il CIDR del VPC che indirizzi al collegamento VPC. La tabella di routing del gateway di transito associata al collegamento VPC deve avere una route per il CIDR on-premises che indirizzi al collegamento del gateway Direct Connect.

Convalida le impostazioni del gateway Direct Connect

Se il traceroute da AWS alle risorse on-premises non include l'indirizzo IP del peer dell'interfaccia virtuale, controlla le impostazioni del gateway Direct Connect. Devi disporre di altre interfacce virtuali di transito sullo stesso gateway Direct Connect che pubblicizzano le stesse route on-premises. Per identificare l'interfaccia virtuale da utilizzare per la connettività in uscita, controlla la policy di routing dell'interfaccia virtuale di transito.

Controlla le associazioni di sottorete per i collegamenti VPC

Verifica di aver associato una sottorete al collegamento VPC del gateway di transito nella stessa zona di disponibilità della risorsa di destinazione. Ad esempio, il collegamento VPC del gateway di transito deve avere una sottorete nella stessa zona di disponibilità dell'istanza.

Nota: per identificare il traffico bidirezionale sull'interfaccia di rete, verifica che il traffico on-premises raggiunga l'interfaccia di rete di un'istanza specifica controllando i log di flusso VPC.