AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

如何解决在 VPC 中运行的第三方虚拟设备的 Transit Gateway 连接问题？

2 分钟阅读

我已在 AWS Transit Gateway 和我的虚拟私有云 (VPC) 中的 Software-Defined Wide Area Network (SD-WAN) 设备之间配置了 AWS Transit Gateway Connect 连接。但是，我无法通过 Transit Gateway Connect 连接从 VPC 连接我的远程网络。

解决方法

检查 Transit Gateway 和 Connect 连接配置

打开 Amazon Virtual Private Cloud (Amazon VPC) 控制台。
在导航窗格中，选择 Transit gateway attachments（中转网关连接）。
选择必须与远程主机或本地主机通信的源 VPC 连接。验证该连接是否与正确的中转网关 ID 相关联。
对 Connect 连接重复步骤 3，该连接用于在 Transit Gateway 和您的 VPC 中运行的第三方虚拟设备之间建立连接。
对传输 VPC 连接重复步骤 3，该连接用于在 Transit Gateway 和您的 SD-WAN 之间建立通用路由封装 (GRE) 连接。
在导航窗格中，选择 Transit Gateway Route Tables（中转网关路由表）。然后，为每个连接选择路由表。
验证源和 SD-WAN VPC 是否连接到相同或不同 AWS 区域中的中转网关。
验证源和 SD-WAN VPC 连接是否与正确的路由表相关联。
验证源 CIDR 块和边界网关协议 (BGP) 路由是否传播到关联的路由表。
验证 Connect 连接是否连接到正确的中转网关。
验证 Connect 连接是否为 SD-WAN 设备使用了正确的 VPC 传输连接，且状态为 Available（可用）。

检查 Connect 对等配置

打开 Amazon VPC 控制台。
选择 Transit gateway attachments（中转网关连接）。
选择 Connect 连接。
选择 Connect Peers（Connect 对等）。
验证中转网关 GRE 地址是否与 GRE 隧道的 SD-WAN 设备的私有 IP 地址相匹配。
验证中转网关 GRE 地址是否与中转网关 CIDR 块中的可用 IP 地址相匹配。
验证 BGP 内部 IP 地址是否属于 IPv4 169.254.0.0/16 范围中的 /29 CIDR 块。您可以为 IPv6 指定 fd00::/8 范围内的 /125 CIDR 块。有关详细信息，请参阅 Connect 对等。

**注意：**BGP 对等自治系统编号 (ASN) 为可选配置。如果您未指定对等 ASN，则 Transit Gateway 会分配其 ASN。

检查第三方设备配置

确认您的第三方设备配置符合所有要求和注意事项。
如果您的设备有多个接口，请确保将操作系统 (OS) 路由配置为通过正确的接口发送 GRE 数据包。
配置安全组和网络访问控制列表 (ACL)，以允许来自中转网关 CIDR 块的 GRE 协议流量（端口 47）。

检查可用区配置

打开 Amazon VPC 控制台。
选择 Subnets（子网）。
选择 VPC 连接和 SD-WAN 设备的子网。
验证两个子网的 Availability Zone ID（可用区 ID）是否相同。有关详细信息，请参阅 AWS 可用区。

检查路由表和路由

打开 Amazon VPC 控制台。
选择 Route tables（路由表）。
选择源实例的路由表。
选择 Routes（路由）选项卡。
验证该路由是否将正确的目标 CIDR 块和中转网关 ID 作为其目标。
对于源实例，确认远程网络 CIDR 为目标 CIDR 块。
对于 SD-WAN 设备，确认中转网关 CIDR 为目标 CIDR 块。

检查中转网关路由表配置

打开 Amazon VPC 控制台。
选择 Transit gateway route tables（中转网关路由表）。
验证与源 VPC 连接关联的路由表中是否存在从远程网络的 Connect 连接传播的路由。
验证与 Connect 连接关联的路由表中是否存在源 VPC 和 SD-WAN 设备 VPC 的路由。
确认 Connect 连接和源 VPC 连接的路由表中均已启用路由传播。
对于内部 BGP (iBGP) 对等，请验证路由是否来自外部 BGP (eBGP) 对等。确保从设备播发到中转网关的路由不超过 1,000 条路由配额。

验证网络 ACL 是否允许流量

打开 Amazon VPC 控制台。
选择 Subnets（子网）。
选择 VPC 连接和 SD-WAN 设备的子网。
选择 Network ACL（网络 ACL）选项卡。
验证 SD-WAN 设备的网络 ACL 是否允许 GRE 流量。
验证源实例的网络 ACL 是否允许流量。
验证与中转网关网络接口关联的网络 ACL 是否允许流量。

验证安全组是否允许流量

打开 Amazon Elastic Compute Cloud (Amazon EC2) 控制台。
在导航窗格中，选择 Instances（实例）。
选择源实例和 SD-WAN 设备。
选择 Security（安全）选项卡。
验证 SD-WAN 设备的安全组是否允许入站 GRE 连接。
验证 SD-WAN 设备的安全组是否允许出站 GRE 会话。
验证源实例的安全组是否允许流量。

主题: Networking & Content Delivery
标签: AWS Transit Gateway
语言: 中文 (简体)

AWS 官方已更新 7 个月前

没有评论