当我尝试 ping 某个 Direct Connect 对等 IP 地址时遇到了连接问题，该如何解决？

解决方法

客户网关设备与 AWS 对等 IP 地址间 ping 操作失败

如在客户网关设备与 AWS 对等 IP 地址间 ping 失败，请检查以下内容：

• 在客户网关设备或 Direct Connect 控制台中检查 Direct Connect 的实体连接。如实体链路已关闭，请参阅 Direct Connect Layer-1 故障排除步骤。
• 从 Direct Connect 控制台检查客户网关设备和 Direct Connect 虚拟接口上所有对等 IP 地址配置是否相同。
• 检查子接口上是否配置了正确的 IP 地址和子网掩码。
• 检查是否使用了正确的 VLAN 封装 (802.1Q) 和 VLAN 标记。
• 启动 ping 时，确认来源和目标 IP 地址。
• 检查 ICMP 协议是否允许访问控制列表（ACL）和安全策略中的入站和出站规则。必须允许客户网关设备和任何中间设备使用这些规则。

如 ping 仍然失败，则可能存在第 2 层连接问题。

对第 2 层连接问题进行故障排除

• 检查是否正在通过正确的子接口在客户网关端获取 Direct Connect 端点的 ARP 条目。如客户网关设备上没有 Direct Connect 端点的 ARP 条目，则无法获取 Direct Connect 端点 MAC 地址。
• 检查连接到 Direct Connect 连接的客户网关接口上的传出和传入数据包计数器。如果输出数据包增加而输入数据包没有增加，则客户网关设备不会收到来自 AWS 的 ARP 请求。如果输入数据包增加而输出数据包没有增加，则客户网关不会响应来自 Direct Connect 端点的 ARP 请求。如果输入和输出数据包都没有增加，则可能是 VLAN 不匹配或从连接接收到了未标记的帧。
• 检查 VLAN ID 是否已安装在客户网关设备的数据库中。
• 检查到 AWS 的直接上行链路是否配置为中继。如果直接上行链路是中继，则确认允许通过中继端口使用正确的 VLAN。

**注意：**某些网络提供商使用 Q-in-Q 标记。这可能会改变带标签的 VLAN。VLAN 转换还可能更改 VLAN 标记，这会导致 ARP 建立失败。

• 检查客户网关设备或任何中间设备是否未使用本地 VLAN。
• 检查中间跳跃，确保其未开启 MACsec。
• 清除客户网关设备上的 ARP 表和 ARP 缓存。
• 在客户网关设备上进行一次 ARP 调试。
• 在上行链路连接到 Direct Connect 端点的第 2 层直接设备上执行数据包捕获。检查 ARP 广播 MAC 地址 FF:FF:FF:FF:FF:FF 是否使用正确的 802.1Q 封装和 VLAN 标签发送到 AWS。

建立 ARP 后 ping 仍失败

如果在解决第 2 层问题并建立 ARP 后 ping 仍然失败，则完成以下步骤：

• 确认使用的是源接口和正确的 IP 地址进行 ping 探测。
• 在客户网关设备上收集 ICMP 流量调试信息。检查 ICMP 数据包是否能发出以及是否有任何响应或错误。
• 在客户网关设备和客户网络的中间设备上收集数据包捕获，从而查看是否有任何设备阻塞 ICMP 流量。