Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
如何解决 Site-to-Site VPN 和 Direct Connect 之间 BGP 连接失败的问题?
1 分钟阅读
0
我的边界网关协议(BGP)会话无法在我的 AWS Site-to-Site VPN 和 AWS Direct Connect 之间建立连接。
解决方法
要解决 Site-to-Site VPN 和 Direct Connect 之间 BGP 连接失败的问题,请采取以下操作。
检查 Direct Connect 和 Site-to-Site VPN 之间的连接
完成以下步骤:
- 检查 Direct Connect 连接是否可用且已启动。
- 检查虚拟接口是否已启动。
- 如果连接使用公共或中转虚拟接口,则验证 BGP 对等 IP 地址是否在指定的 CIDR 范围内。
- 验证 VPN 隧道是否已启动并且是否共享 BGP 路由。
- 如果隧道已启动但 BGP 的状态为已关闭,则对 Site-to-Site VPN 连接进行故障排除。
验证路由数量
重要事项:100 是 BGP 会话支持的最大路由数。如果路由数量超过配额,则 BGP 的状态将从已建立更改为空闲。有关更多信息,请参阅 AWS Site-to-Site VPN 客户网关设备疑难解答。
在客户网关上,验证通过 BGP 会话发布的路由是否少于 100 个。如果路由数量超过配额,则采取以下操作之一:
- 发布一条通往 AWS 的默认路线。
- 汇总路由,使收到的路由数小于 100。
- 将 VPN 连接迁移到中转网关。
**注意:**一个中转网关最多支持 1,000 个路由。
检查 BGP 配置和状态
请执行以下操作:
- 如果 BGP 的状态为已关闭,则验证虚拟接口的状态是否为已启动。
- 如果虚拟接口处于关闭状态,请确保正确配置了开放系统集成第 2 层和 BGP。
- 如果 BGP 在空闲状态下摆动或其状态从已启动变为已关闭,则对 Direct Connect 连接进行故障排除。
**注意:**确保第 1 层和第 2 层建立连接。如果各层建立了连接但 BGP 开始摆动,则对 BGP 会话进行故障排除。 - 如果连接受托管,请咨询主机提供商是否遇到了阻碍 BGP 连接的问题。
- 如果 BGP 的状态为已启动,则验证路由是否已传播。
验证路由是否已传播
在中转网关和虚拟私有云(VPC)路由表上,验证路由是否从客户网关传播到 AWS 上的虚拟接口。如果路由无法正确传播,则重新配置路由表。
检查客户网关设备的配置
完成以下步骤:
- 在客户网关设备的路由表上,验证路由是否通过 BGP 传播。
- 确保客户网关设备的防火墙允许入站和出站流量。
- 确认 BGP 社区标签配置是否正确无误。
- 如果 Direct Connect 连接有合作伙伴或最后一英里服务提供商,请向其确认连接失败并非由维护所致。
使用 VPC 流日志监控流量
使用 Amazon Virtual Private Cloud(Amazon VPC)流量日志和中转网关流量日志来监控通过 Direct Connect 的流量。监控日志中是否有与错误相对应的时间戳,以确定流量被拒绝或丢弃的位置。
相关信息
- 语言
- 中文 (简体)
AWS 官方已更新 1 年前
没有评论
