Como soluciono problemas de conectividade quando tento fazer ping no endereço IP de peering do Direct Connect?

Resolução

Falha no ping entre o dispositivo de gateway do cliente e o endereço IP de peering da AWS

Se o ping entre o dispositivo de gateway do cliente e o endereço IP de peering da AWS falhar, faça o seguinte:

• Verifique a conexão física do Direct Connect no dispositivo de gateway do cliente ou no console do Direct Connect. Se o link físico estiver INATIVO, consulte as etapas de solução de problemas do Direct Connect Layer-1.
• Verifique se todas as configurações de endereço IP de peering são idênticas no dispositivo de gateway do cliente e na interface virtual do Direct Connect no console do Direct Connect.
• Verifique se o endereço IP e a máscara de sub-rede corretos estão configurados na subinterface.
• Verifique se estão sendo usados o encapsulamento de VLAN (802.1Q) e a tag de VLAN corretos.
• Confirme os endereços IP de origem e destino quando o ping for iniciado.
• Verifique se o protocolo ICMP permite as regras de entrada e saída da lista de controle de acesso (ACL) e das políticas de segurança. Essas regras devem ser permitidas para o dispositivo de gateway do cliente e todos os dispositivos intermediários.

Se o ping continuar falhando, talvez você tenha problemas de conectividade na camada 2.

Solução de problemas de conectividade na camada 2

• Verifique se a entrada ARP do endpoint do Direct Connect é aprendida na extremidade do gateway do cliente por meio da subinterface correta. Se a entrada ARP do endpoint do Direct Connect não estiver presente no dispositivo de gateway do cliente, ela não estará aprendendo o endereço MAC do endpoint do Direct Connect.
• Verifique os contadores de pacotes de entrada e saída na interface do gateway do cliente que se comunica com conexão do Direct Connect. Se os pacotes de saída estão aumentando e os pacotes de entrada não aumentam, o dispositivo de gateway do cliente não está recebendo as solicitações ARP da AWS. Se os pacotes de saída estão aumentando e os pacotes de entrada não aumentam, o gateway do cliente não está respondendo às solicitações ARP do endpoint do Direct Connect. Se os pacotes de entrada e saída não estão aumentando, pode haver uma incompatibilidade de VLAN ou quadros não marcados recebidos da conexão.
• Verifique se a ID da VLAN está instalada no banco de dados no dispositivo de gateway do cliente.
• Verifique se o uplink imediato para a AWS está configurado como um tronco. Se o uplink imediato for tronco, confirme se a VLAN correta é permitida na porta do tronco.

Observação: alguns provedores de rede usam a marcação Q-in-Q. Isso pode alterar a VLAN marcada. A conversão da VLAN também pode alterar sua tag, o que resulta na falha do estabelecimento do ARP.

• Verifique se a VLAN nativa não é usada pelo dispositivo de gateway do cliente ou por qualquer dispositivo intermediário.
• Verifique se o MACsec não está ativado para saltos intermediários.
• Limpe a tabela e o cache de ARP no dispositivo de gateway do cliente.
• Execute uma depuração do ARP no dispositivo de gateway do cliente.
• Execute uma captura de pacotes no dispositivo de camada 2 imediato que tem uplink com o endpoint do Direct Connect. Verifique se o endereço MAC da transmissão ARP FF:FF:FF:FF:FF:FF é enviado para a AWS com o encapsulamento 802.1Q e a tag de VLAN corretos.

O ping continua falhando depois que o ARP é estabelecido

Se o ping continua falhando depois que os problemas da camada 2 forem resolvidos e o ARP for estabelecido, execute as seguintes etapas:

• Confirme se a interface de origem e o endereço IP correto estão sendo usados para investigações de ping.
• Colete a depuração do fluxo de tráfego ICMP no dispositivo de gateway do cliente. Verifique se os pacotes ICMP estão saindo e se há alguma resposta ou erro.
• Colete capturas de pacotes no dispositivo de gateway do cliente e em dispositivos intermediários na rede do cliente para ver se algum dispositivo está bloqueando o tráfego ICMP.