Come posso risolvere i problemi di connettività di Transit Gateway con dispositivi virtuali di terze parti in esecuzione in un VPC?

Risoluzione

Verifica la configurazione dei collegamenti in Transit Gateway e Connect

1. Apri la console Amazon Virtual Private Cloud (Amazon VPC).
2. Nel pannello di navigazione, scegli Collegamenti del gateway di transito.
3. Seleziona il collegamento VPC di origine che deve comunicare con host remoti o on-premises. Verifica che il collegamento sia associato all'ID del gateway di transito corretto.
4. Ripeti il passaggio 3 per il collegamento Connect, che stabilisce la connessione tra Transit Gateway e l'appliance virtuale di terze parti in esecuzione nel VPC.
5. Ripeti il passaggio 3 per il collegamento VPC di trasporto, che stabilisce la connessione Generic Routing Encapsulation (GRE) tra Transit Gateway e la SD-WAN.
6. Nel pannello di navigazione, scegli Tabelle di routing del gateway di transito. Quindi seleziona la tabella di routing per ogni collegamento.
7. Verifica che i VPC di origine e SD-WAN siano collegati a un gateway di transito nella stessa Regione AWS o in una diversa.
8. Verifica che i collegamenti VPC di origine e SD-WAN siano associati alla tabella di routing corretta.
9. Verifica che i blocchi CIDR di origine e le route BGP (Border Gateway Protocol) si propaghino alle tabelle di routing associate.
10. Verifica che il collegamento Connect sia collegato al gateway di transito corretto.
11. Verifica che il collegamento Connect utilizzi il collegamento VPC di trasporto corretto per l'appliance SD-WAN e che lo stato sia Disponibile.

Controlla la configurazione dei peer Connect

1. Apri la console Amazon VPC.
2. Scegli Collegamenti del gateway di transito.
3. Seleziona il collegamento Connect.
4. Scegli Peer Connect.
5. Verifica che l'indirizzo GRE del gateway di transito corrisponda all'indirizzo IP privato dell'appliance SD-WAN per il tunnel GRE.
6. Verifica che l'indirizzo GRE del gateway di transito corrisponda a un indirizzo IP disponibile del blocco CIDR del gateway di transito.
7. Verifica che BGP all'interno degli indirizzi IP appartenga a un blocco CIDR /29 nell'intervallo 169.254.0.0/16 per IPv4. Puoi specificare un blocco CIDR /125 nell'intervallo fd00: :/8 per IPv6. Per ulteriori informazioni, consulta Peer Connect.

Nota: l'Autonomous System Number (ASN) del peer BGP è opzionale. Se non specifichi un ASN del peer, Transit Gateway assegna il suo ASN.

Verifica la configurazione dell'appliance di terze parti

1. Verifica che la configurazione del dispositivo di terze parti soddisfi tutti i requisiti e le considerazioni.
2. Se il dispositivo ha più di un'interfaccia, assicurati che il routing del sistema operativo sia configurato per inviare pacchetti GRE attraverso l'interfaccia corretta.
3. Configura i gruppi di sicurezza e le liste di controllo degli accessi alla rete (ACL) per consentire il traffico del protocollo GRE (porta 47) dal blocco CIDR del gateway di transito.

Verifica la configurazione della zona di disponibilità

1. Apri la console Amazon VPC.
2. Scegli Sottoreti.
3. Seleziona le sottoreti per il collegamento VPC e l'appliance SD-WAN.
4. Verifica che entrambe le sottoreti abbiano l'ID della stessa zona di disponibilità. Per ulteriori informazioni, consulta Zone di disponibilità AWS.

Controlla le tabelle di routing e il routing

1. Apri la console Amazon VPC.
2. Scegli Tabelle di routing.
3. Seleziona la tabella di routing per l'istanza di origine.
4. Scegli la scheda Route.
5. Verifica che la route abbia come destinazione il blocco CIDR di destinazione e l'ID del gateway di transito corretti.
6. Per l'istanza di origine, verifica che il CIDR della rete remota sia il blocco CIDR di destinazione.
7. Per l'appliance SD-WAN, verifica che il CIDR del gateway di transito sia il blocco CIDR di destinazione.

Verifica la configurazione della tabella di routing del gateway di transito

1. Apri la console Amazon VPC.
2. Scegli Tabelle di routing del gateway di transito.
3. Verifica che la tabella di routing associata al collegamento VPC di origine abbia una route che si propaga dal collegamento Connect per la rete remota.
4. Verifica che la tabella di routing associata al collegamento Connect abbia una route per il VPC di origine e il VPC dell'appliance SD-WAN.
5. Verifica che, sia per il collegamento Connect che per il collegamento VPC di origine, nelle tabelle di routing la propagazione delle route sia abilitata.
6. Per i peer BGP interni (iBGP), verifica che le route provengano da un peer BGP (eBGP) esterno. Assicurati che le route pubblicizzati dall'appliance al gateway di transito non superino la quota di 1.000 route.

Verifica che le ACL di rete consentano il traffico

1. Apri la console Amazon VPC.
2. Scegli Sottoreti.
3. Seleziona le sottoreti per il collegamento VPC e l'appliance SD-WAN.
4. Scegli la scheda ACL di rete.
5. Verifica che l'ACL di rete per l'appliance SD-WAN consenta il traffico GRE.
6. Verifica che l'ACL di rete per l'istanza di origine consenta il traffico.
7. Verifica che l'ACL di rete associata all'interfaccia di rete del gateway di transito consenta il traffico.

Verifica che i gruppi di sicurezza consentano il traffico

1. Apri la console Amazon Elastic Compute Cloud (Amazon EC2).
2. Nel pannello di navigazione, scegli Istanze.
3. Seleziona l'istanza di origine e l'appliance SD-WAN.
4. Scegli la scheda Sicurezza.
5. Verifica che il gruppo di sicurezza per l'appliance SD-WAN consenta connessioni GRE in entrata.
6. Verifica che il gruppo di sicurezza per l'appliance SD-WAN consenta sessioni GRE in uscita.
7. Verifica che il gruppo di sicurezza per l'istanza di origine consenta il traffico.