如何對 Direct Connect 和 AWS 資源之間的連線問題進行疑難排解？

簡短描述

Direct Connect 根據您在 AWS 存取的資訊利用私人、公用和傳輸虛擬介面 (VIF)。利用 Direct Connect VIF 從內部部署連線 AWS 資源可能導致多種連線問題，具體取決於您使用的 VIF 類型。

解決方案

如果您遇到問題的 VIF 在使用時突然停止運作，請完成以下步驟：

• 檢查您的 AWS Health 儀板表是否有任何進行或最近完成的 AWS 維護，這些維護可能會影響您的 Direct Connect 連線或 VIF。
• 登入您的 Direct Connect 主控台，並檢查 VIF 狀態是否為 UP。如果狀態為 DOWN，則表示未建立邊界閘道協定 (BGP)。若要對此問題進行疑難排解，請參閱對 AWS Direct Connect 進行疑難排解。

根據 VIF 類型對連線問題進行疑難排解

若要對連線問題進行疑難排解，請確認您的 VIF 類型並完成以下步驟：

私人虛擬介面

私人虛擬介面用於在 Amazon Virtual Private Cloud (Amazon VPC) 存取資源。他們透過從 Amazon VPC CIDR 範圍指派的私人 IP 地址存取資源。如果您在連線 Amazon VPC 的資源時遇到問題，請完成以下步驟：

1.檢查目的地執行個體的安全群組和子網路網路存取控制清單 (ACL) 是否具備適當的傳入和傳出規則。根據使用的來源和目的地 IP 地址與連接埠，應允許 AWS 和內部部署之間的雙向連線。

2.檢查內部部署路由器的 BGP 路由組態，確認所需路由均導向 AWS。如果您在 Amazon VPC 路由表使用路由傳播，則這些路由應在 Amazon VPC 路由表可見。此外，目標應該是正確的虛擬私人閘道。

3.檢查您的內部部署路由器是否正在透過 BGP 接收 Amazon VPC CIDR 路由。應從 Direct Connect VIF 關聯的 AWS 對等 IP 地址接收路由。

• 如果您並非從 AWS 對等 IP 地址接收路由，請檢查虛擬私人閘道是否關聯正確的 Amazon VPC。
• 如果您的私人 VIF 在 Direct Connect 閘道終止，請確認正確的虛擬私人閘道與 Direct Connect 閘道關聯。確保將允許的字首設定為允許 Amazon VPC CIDR 導向內部部署路由器。

4.執行從內部部署路由器至 Amazon VPC 執行個體的路徑追蹤，反向執行的操作如下：

基於 ICMP 的路徑追蹤：

sudo traceroute -n -I <private-IP-of-EC2-instance/on-premises-host>

注意： 如果您的內部部署路由器或防火牆封鎖基於 ICMP 的路徑追蹤請求，請在相應的 TCP 連接埠上執行基於 TCP 的路徑追蹤。

基於 TCP 的路徑追蹤：

sudo traceroute -n -T -p 22 <private-IP-of-EC2-instance/on-premises-host>

注意： 在前述命令，-n -T -p 22 在連接埠 22 執行追蹤。您可以利用您的應用程式正在偵聽的任何連接埠。

5.檢查路徑追蹤結果，確認與您的 VIF 關聯的內部部署路由器和 AWS 對等 IP 的可見性和行為。

• 如果路徑追蹤在內部部署路由器對等 IP 處停止，則流量在到達內部部署路由器後下降。檢查內部部署網路防火牆設定，確保選取的連接埠允許雙向連線。
• 如果路徑追蹤在 AWS 對等 IP 處停止，請檢查步驟 1 的網路 ACL 和安全群組組態。您還可以利用 Amazon VPC Flow Logs 檢查特定彈性網路介面是否收到內部部署路由器傳送的封包。
• 如果您沒有看到與 VIF 關聯的 AWS 或內部部署對等 IP，表示流量正透過不正確的路徑轉送。檢查您的內部部署路由器，確認其透過不同的對等是否有相同 CIDR 更具體或偏好的路由。
• 如果從 AWS 至內部部署路由器的路徑追蹤不包含 AWS 對等 IP 地址，請檢查另一個 VIF 是否也正在終止。檢查另一個 VIF 是否正在公告相同內部部署路由的同一虛擬私人閘道或 Direct Connect 閘道終止。如果是這樣，請在 Amazon VPC 路由表檢查是否包含任何現有站台對站台 VPN 連線公告為內部部署路由器特定路由。

6.針對從 AWS 到內部部署路由器和從內部部署路由器到 AWS 比較路徑追蹤。如果兩個路徑追蹤具有不同躍點，則表示為非對稱路由。透過路由原則，確保雙向路由均偏好相同的 Direct Connect 私人虛擬介面。

公用虛擬介面

公用虛擬介面利用公用 IP 地址存取所有 AWS 公用服務。若要對您的公用虛擬介面連線問題進行疑難排解，請完成以下步驟：

1.檢查託管公用虛擬介面的內部部署路由器是否從 AWS 對等 IP 地址接收來自公用字首的路由。如果您利用傳入字首篩選條件和路由對應來篩選路由，請確保字首篩選條件與所需的字首相符。

2.如果您正在對內部部署網路執行網路位址轉譯 (NAT)，請檢查您是否正在透過 BGP 向 AWS 公告公用對等 IP 地址。

範例案例：

• 本機對等 IP 地址為 69.210.74.146/31
• 遠端對等 IP 地址為 69.210.74.147/31
• 如果對流向本機對等 IP 地址的內部部署本機網路流量執行 NAT，則向 AWS 公告 69.210.74.146/32。

注意： 確保透過公用 VIF 使用內部部署向 AWS 公告的字首連線。您無法使用未向公用 VIF 公告的字首進行連線。

3.執行從內部部署至 AWS 的路徑追蹤，檢查流量是否透過 Direct Connect 公用 VIF 轉送。

• 如果流量正透過公用 VIF 轉送，則路徑追蹤應關聯本機 (內部部署) 和遠端 (AWS) 對等 IP。
• 如果您需要檢查 AWS 使用的網路路徑，請啟動公用 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。執行個體必須與您的 AWS 服務處於相同的區域。在啟動執行個體之後，對內部部署執行路徑追蹤。如果路徑追蹤顯示流量正透過網路或不同 VIF 轉送，則表示可能正在公告特定路由。

注意： AWS 利用 AS_PATH 和最長的相符字首確定路由路徑。Direct Connect 是來自 Amazon 的流量的偏好路徑。

4.檢查您與公用 AWS 服務 (例如 Amazon Simple Storage Service 或 Amazon S3) 的連線是否適用於正確目的地區域。然後，檢查在向 Amazon 公告的公用字首上是否利用 BGP 社群標籤。

注意： BGP 社群標籤決定您的字首在 Amazon 網路上傳播的距離。

傳輸虛擬介面

傳輸虛擬介面存取與 Direct Connect 閘道關聯的一個或多個 Amazon VPC 傳輸閘道 (TGW)。若要對連線問題進行疑難排解，請完成以下步驟：

1.檢查目的地資源的 Amazon VPC 子網路路由表是否具有指向 TGW 的內部部署 CIDR 路由。確保執行個體或資源安全群組和子網路的網路 ACL 允許雙向連線。如需詳細資訊，請參閱網路 ACL 如何與傳輸閘道搭配利用。

2.檢查與傳輸 VIF 關聯的內部部署路由器是否透過 BGP 從 AWS 對等接收正確路由。這些路由指向目的地 Amazon VPC CIDR。如果您沒有收到所需路由，請檢查允許的字首區段。檢查與 TGW 關聯的 Direct Connect 閘道的允許的字首是否已設定所需字首。只有在允許的字首區段下設定的路由才會透過傳輸 VIF 從 AWS 進行公告。

3.檢查與傳輸 VIF 關聯的內部部署路由器是否向 AWS 公告所需的內部部署網路字首。

• 如果您正從 Direct Connect 閘道向 TGW 路由表傳播路由，請檢查這些路由是否在路由表可見。如果路由不可見，請檢查公告路由的 AS 路徑，確認其中不包含 TGW ASN。
• 如果您在公告的特定路由的 AS 路徑上包含 TGW ASN，則路由表不會安裝路由。確認客戶閘道裝置 (內部部署路由器) 使用的 ASN 與 TGW ASN 不同。

4.檢查與 Direct Connect 閘道關聯的 TGW 資料表和目的地 Amazon VPC 附件的目的地路由是否正確。

• 與 Direct Connect 閘道關聯的 TGW 路由表必須具有導向 Amazon VPC 附件的 Amazon VPC CIDR 路由。
• 與 Amazon VPC 附件關聯的 TGW 路由表必須具有導向 Direct Connect 閘道附件的內部部署 CIDR 路由。

5.執行從 AWS 到內部部署 (雙向) 的雙向路徑追蹤，以確定流量路徑和流量下降的躍點。

• 如果流量在到達 AWS 對等 IP 地址後下降，請檢查以下項目：
• 如果從 AWS 到內部部署的路徑追蹤在內部部署對等 IP 地址處下降，請檢查內部部署的防火牆組態。確保在正確連接埠上允許來源和目的地之間的雙向連線。

6.如果從 AWS 到內部部署的路徑追蹤不包含與您的 VIF 關聯的對等 IP，請檢查 Direct Connect 閘道。檢查 Direct Connect 閘道，確認您在相同的 Direct Connect 閘道是否有其他傳輸 VIF 在公告相同的內部部署路由。如果是的話，請使用此傳輸 VIF 的路由原則來確定傳出連線必須使用的 VIF。

7.檢查 TGW Amazon VPC 附件是否具有與目的地資源相同的可用區域關聯的子網路。例如，如果您的執行個體位於特定可用區域，則 TGW Amazon VPC 附件必須在相同位置具有一個子網路。

注意： 您可以利用 Amazon VPC Flow Logs 檢查內部部署流量是否到達特定執行個體彈性網路介面。這有助於確定彈性網路介面是否存在任何雙向流量。