如何解决 Site-to-Site VPN 和 Direct Connect 之间 BGP 连接失败的问题?

1 分钟阅读
0

我的边界网关协议(BGP)会话无法在我的 AWS Site-to-Site VPN 和 AWS Direct Connect 之间建立连接。

解决方法

要解决 Site-to-Site VPN 和 Direct Connect 之间 BGP 连接失败的问题,请采取以下操作。

检查 Direct Connect 和 Site-to-Site VPN 之间的连接

完成以下步骤:

  1. 检查 Direct Connect 连接是否可用且已启动
  2. 检查虚拟接口是否已启动
  3. 如果连接使用公共或中转虚拟接口,则验证 BGP 对等 IP 地址是否在指定的 CIDR 范围内。
  4. 验证 VPN 隧道是否已启动并且是否共享 BGP 路由。
  5. 如果隧道已启动但 BGP 的状态为已关闭,则对 Site-to-Site VPN 连接进行故障排除

验证路由数量

重要事项:100 是 BGP 会话支持的最大路由数。如果路由数量超过配额,则 BGP 的状态将从已建立更改为空闲。有关更多信息,请参阅 AWS Site-to-Site VPN 客户网关设备疑难解答

在客户网关上,验证通过 BGP 会话发布的路由是否少于 100 个。如果路由数量超过配额,则采取以下操作之一:

  • 发布一条通往 AWS 的默认路线。
  • 汇总路由,使收到的路由数小于 100。
  • 将 VPN 连接迁移到中转网关
    **注意:**一个中转网关最多支持 1,000 个路由。

检查 BGP 配置和状态

请执行以下操作:

  • 如果 BGP 的状态为已关闭,则验证虚拟接口的状态是否为已启动
  • 如果虚拟接口处于关闭状态,请确保正确配置了开放系统集成第 2 层和 BGP
  • 如果 BGP 在空闲状态下摆动或其状态从已启动变为已关闭,则对 Direct Connect 连接进行故障排除
    **注意:**确保第 1 层和第 2 层建立连接。如果各层建立了连接但 BGP 开始摆动,则对 BGP 会话进行故障排除
  • 如果连接受托管,请咨询主机提供商是否遇到了阻碍 BGP 连接的问题。
  • 如果 BGP 的状态为已启动,则验证路由是否已传播。

验证路由是否已传播

中转网关和虚拟私有云(VPC)路由表上,验证路由是否从客户网关传播到 AWS 上的虚拟接口。如果路由无法正确传播,则重新配置路由表

检查客户网关设备的配置

完成以下步骤:

  1. 在客户网关设备的路由表上,验证路由是否通过 BGP 传播。
  2. 确保客户网关设备的防火墙允许入站和出站流量。
  3. 确认 BGP 社区标签配置是否正确无误。
  4. 如果 Direct Connect 连接有合作伙伴或最后一英里服务提供商,请向其确认连接失败并非由维护所致。

使用 VPC 流日志监控流量

使用 Amazon Virtual Private Cloud(Amazon VPC)流量日志中转网关流量日志来监控通过 Direct Connect 的流量。监控日志中是否有与错误相对应的时间戳,以确定流量被拒绝或丢弃的位置。

相关信息

AWS Site-to-Site VPN 客户网关设备

AWS 官方
AWS 官方已更新 3 个月前