我无法使用我的 AWS Direct Connect 连接通过中转虚拟接口连接到 Amazon Virtual Private Cloud(Amazon VPC)资源。
解决方法
验证您通告的本地网络前缀是否正确
查看您的本地 Direct Connect 边界网关协议(BGP)路由器。路由器必须向中转虚拟接口上的 AWS Direct Connect BGP 对等体通告正确的本地前缀。
查看在您本地 BGP 路由器上通告的路由。您的本地 BGP 路由器必须在本地的路由信息库(RIB)中包含通告的路由。您用于检查这些路由的命令因本地 BGP 设备的品牌和型号而异。有关更多信息,请参阅您设备的文档。
**注意:**在中转虚拟接口上,每个 BGP 会话最多可以通告 100 条路由。这是硬性的服务配额,无法更改。如果您超过此服务配额,则 BGP 会话将会进入空闲状态。
验证您从 Direct Connect 网关向本地网络通告的 Amazon VPC 前缀是否正确
当您将中转网关与 Direct Connect 网关关联时,使用可以通过 Direct Connect 网关向本地网络通告的前缀。
**注意:**如果您指定以下任意前缀,则 AWS 会将其通告回本地网络:
- 虚拟私有计算机(VPC)的子网前缀,例如 10.1.0.0/16 VPC 中的 10.1.0.0/24
- 整个 VPC 前缀
- 超网(例如,10.0.0.0/8)
查看您的中转网关设置
确保您正确配置了中转网关设置:
- 遵守中转网关关联规则。中转虚拟接口使用 Direct Connect 网关与中转网关的关联来加强通信。这种通信通过单个中转虚拟接口从本地网络传输到所有 AWS 区域和账户中的多个 VPC。
- 查看您的中转网关路由配置。您可以配置路由表,为任何连接的 VPC、虚拟专用网络(VPN)或 Direct Connect 连接传播路由。您还可以向中转网关路由表中添加静态路由。当数据包来自一个连接时,该数据包会使用与目的地 IP 地址匹配的路由表路由到另外一个连接。
**注意:**每个连接只能关联一个路由表。但是,一个连接可以将其路由传播到多个路由表。
- 如果您将一个 VPC 连接到中转网关,请查看您的可用区。确保为中转网关选择适当数量的可用区,以将流量路由到 VPC 子网中的资源。中转网关使用子网中的一个 IP 地址在该子网中创建一个网络接口。
- 对于不同可用区中的资源,请确认中转网关弹性网络接口位于该可用区内。
**重要信息:**没有中转网关连接的可用区无法访问中转网关。如果您可以路由来自一个可用区的流量,但无法路由来自另外一个可用区的流量,请查看中转网关网络接口。中转网关网络接口必须在该可用区内。为了实现高可用性,最佳做法是启用多个可用区中的中转网关网络接口。
查看您的 Amazon VPC 设置
在您的 Amazon VPC 上,确保您配置了以下设置:
- 安全组允许入站和出站流量进出通告的本地网络前缀。
- 您正确配置了网络访问控制列表(网络 ACL)。创建一个网络 ACL,然后将其与同中转网关关联的所有子网关联。使网络 ACL 在入站和出站方向均保持打开状态。
- 子网路由表包括一个路由条目,其中目标设置为中转网关 ID,目的地设置为本地网络前缀。
验证是否通过所需的 Direct Connect 连接发送和接收请求
**注意:**当您有以下设置时,请采用以下故障排除步骤:
- 您从本地位置配置了冗余的 Direct Connect 物理连接。
- 您每个 Direct Connect 物理连接都配置了一个中转虚拟接口。
- 您通过两个中转虚拟接口向 AWS 通告了类似的本地前缀。
要确认您冗余连接的主动/被动或主动/主动配置是否有效,请执行以下操作:
- 运行双向追踪路由。查看 Direct Connect BGP 对等 IP 地址,找到用于发送或接收流量的中转虚拟接口。
- 使用本地首选项 BGP 社区标签实现负载均衡和将传入流量路由到网络的首选项。
- 如需在同一区域使用主动/被动配置,请使用本地首选项和 AS-path 前缀:
**注意:**本地首选项会影响通过某个 Direct Connect 链路从您的本地数据中心流出的出站流量。AS-path 前缀影响从 AWS 返回到本地数据中心的入站流量。
相关信息
Creating a transit virtual interface to the Direct Connect gateway