Como soluciono problemas de conectividade do Gateway de Trânsito com dispositivos virtuais de terceiros em execução em uma VPC?

Resolução

Verifique a configuração do anexo do Gateway de Trânsito e Connect

1. Abra o console da Amazon Virtual Private Cloud (Amazon VPC).
2. No painel de navegação, escolha Anexo do gateway de trânsito.
3. Selecione o anexo VPC de origem que deve se comunicar com hosts remotos ou on-premises. Verifique se o anexo está associado à ID correta do gateway de trânsito.
4. Repita a etapa 3 para o anexo do Connect, que estabelece a conexão entre o Gateway de Trânsito e o dispositivo virtual de terceiros em execução na sua VPC.
5. Repita a etapa 3 para o anexo VPC de transporte, que estabelece a conexão de encapsulamento de roteamento genérico (GRE) entre o Gateway de Trânsito e sua SD-WAN.
6. No painel de navegação, escolha Tabelas de rotas de gateway de trânsito. Em seguida, selecione a tabela de rotas para cada anexo.
7. Verifique se as VPCs de origem e SD-WAN estão conectadas a um gateway de trânsito na mesma região da AWS ou em uma região diferente.
8. Verifique se os anexos VPC de origem e SD-WAN estão associados à tabela de rotas correta.
9. Verifique se os blocos CIDR de origem e as rotas do Protocolo de Gateway da Borda (BGP) se propagam para as tabelas de rotas associadas.
10. Verifique se o anexo do Connect está conectado ao gateway de trânsito correto.
11. Verifique se o anexo do Connect usa o anexo de transporte VPC correto para o dispositivo SD-WAN e se o status é Disponível.

Verifique a configuração de pares do Connect

1. Abra o console da Amazon VPC.
2. Escolha anexos de gateway de trânsito.
3. Selecione o anexo Conectar.
4. Escolha Conectar pares.
5. Verifique se o endereço GRE do gateway de trânsito corresponde ao endereço IP privado do dispositivo SD-WAN para o túnel GRE.
6. Verifique se o endereço GRE do gateway de trânsito corresponde a um endereço IP disponível do bloco CIDR do gateway de trânsito.
7. Verifique se o BGP dentro dos endereços IP pertence a um bloco CIDR /29 do intervalo 169.254.0.0/16 para IPv4. É possível especificar um bloco CIDR /125 do intervalo fd00::/8 para IPv6. Para obter mais informações, consulte Conectar pares.

Observação: o número de sistema autônomo (ASN) por BGP é opcional. Se você não especificar um ASN de mesmo nível, o Gateway de Trânsito atribuirá seu ASN.

Verifique a configuração de dispositivos de terceiros

1. Verifique se a configuração do seu equipamento de terceiros atende a todos os requisitos e considerações.
2. Se o seu equipamento tiver mais de uma interface, certifique-se de que o roteamento do sistema operacional (SO) esteja configurado para enviar pacotes GRE pela interface correta.
3. Configure grupos de segurança e listas de controle de acesso à rede (ACLs) para permitir o tráfego do protocolo GRE (porta 47) a partir do bloco CIDR do gateway de trânsito.

Verifique a configuração da zona de disponibilidade

1. Abra o console da Amazon VPC.
2. Escolha Sub-redes.
3. Selecione as sub-redes para o anexo VPC e o dispositivo SD-WAN.
4. Verifique se as duas sub-redes têm a mesma ID da zona de disponibilidade. Para mais informações, consulte Zonas de disponibilidade AWS.

Verifique as tabelas de rotas e o roteamento

1. Abra o console da Amazon VPC.
2. Escolha Tabelas de rotas.
3. Selecione a tabela de rotas para a instância de origem.
4. Escolha a guia Rotas.
5. Verifique se a rota tem o bloco CIDR de destino correto e o ID do gateway de trânsito como destino.
6. Para a instância de origem, confirme se o CIDR da rede remota é o bloco CIDR de destino.
7. Para o dispositivo SD-WAN, confirme se o CIDR do gateway de trânsito é o bloco CIDR de destino.

Verifique a configuração da tabela de rotas do gateway de trânsito

1. Abra o console da Amazon VPC.
2. Escolha Tabelas de rotas do gateway de trânsito.
3. Verifique se a tabela de rotas associada ao anexo VPC de origem tem uma rota se propagando do anexo do Connect para a rede remota.
4. Verifique se a tabela de rotas associada ao anexo do Connect tem uma rota para a VPC de origem e a VPC do dispositivo SD-WAN.
5. Confirme se a propagação da rota está ativada nas tabelas de rotas tanto para o anexo do Connect quanto para o anexo VPC de origem.
6. Para pares de BGP (iBGP) internos, verifique se as rotas se originam de um peer de BGP externo (eBGP). Certifique-se de que as rotas anunciadas do dispositivo até o gateway de trânsito não excedam a cota de 1.000 rotas.

Verifique se as ACLs de rede permitem tráfego

1. Abra o console da Amazon VPC.
2. Escolha Sub-redes.
3. Selecione as sub-redes para o anexo VPC e o dispositivo SD-WAN.
4. Escolha a guia ACL de rede.
5. Verifique se a ACL de rede do dispositivo SD-WAN permite tráfego GRE.
6. Verifique se a ACL de rede da instância de origem permite tráfego.
7. Verifique se a ACL de rede associada à interface de rede do gateway de trânsito permite tráfego.

Verifique se os grupos de segurança permitem tráfego

1. Abra o console do Amazon Elastic Compute Cloud (Amazon EC2).
2. No painel de navegação, selecione Instâncias.
3. Selecione a instância de origem e o dispositivo SD-WAN.
4. Selecione a guia Segurança.
5. Verifique se o grupo de segurança do dispositivo SD-WAN permite conexões GRE de entrada.
6. Verifique se o grupo de segurança do dispositivo SD-WAN permite sessões GRE de saída.
7. Verifique se o grupo de segurança da instância de origem permite tráfego.