當我嘗試 ping Direct Connect 對等 IP 地址時，如何對連線問題進行疑難排解？

解決方法

客戶閘道裝置和 AWS 對等 IP 地址之間的 ping 失敗

如果客戶閘道裝置和 AWS 對等 IP 地址之間的 ping 失敗，請檢查以下各項：

• 在客戶閘道裝置或 Direct Connect 主控台中檢查實體 Direct Connect 連線。如果實體連結中斷，請參閱 Direct Connect 第 1 層疑難排解步驟。
• 從 Direct Connect 主控台檢查客戶閘道裝置和 Direct Connect 虛擬介面上的所有對等 IP 地址組態是否相同。
• 檢查是否在子介面上設定了正確的 IP 地址和子網路遮罩。
• 檢查是否使用正確的 VLAN 封裝 (802.1Q) 和 VLAN 標籤。
• 啟動 ping 時，確認來源和目的地 IP 地址。
• 檢查 ICMP 協定是否允許存取控制清單 (ACL) 和安全政策中的傳入和傳出規則。必須針對客戶閘道裝置和任何中繼裝置允許這些規則。

如果 ping 仍然失敗，那麼您可能遇到第 2 層連線問題。

對第 2 層連線問題進行疑難排解

• 檢查是否透過正確的子介面在客戶閘道端上學習 Direct Connect 端點的 ARP 項目。如果客戶閘道裝置上沒有 Direct Connect 端點的 ARP 項目，則不會學習 Direct Connect 端點 MAC 地址。
• 在連線至 Direct Connect 連線的客戶閘道介面上，檢查傳出和傳入封包計數器。如果傳出封包增加而傳入封包沒有增加，則客戶閘道裝置不會收到來自 AWS 的 ARP 請求。如果傳入封包增加而傳出封包沒有增加，則客戶閘道不會回應來自 Direct Connect 端點的 ARP 請求。如果輸入和輸出封包沒有遞增，則可能存在 VLAN 不相符或從連線收到未標記的影格。
• 檢查是否在客戶閘道裝置的資料庫中安裝了 VLAN ID。
• 檢查是否將 AWS 的立即上行鏈路設定為主幹連線。如果立即上行鏈路為主幹連線，請確認主幹連線連接埠允許正確的 VLAN。

**注意：**一些網絡供應商使用 Q-in-Q 標記。這可能會改變您標記的 VLAN。VLAN 轉譯也可能會變更 VLAN 標籤，進而導致 ARP 建立失敗。

• 檢查客戶閘道裝置或任何中繼裝置是否未使用原生 VLAN。
• 檢查是否未開啟中躍點的 MACsec。
• 清除客戶閘道裝置上的 ARP 資料表和 ARP 快取。
• 在客戶閘道裝置上對 ARP 執行偵錯。
• 在上行連結至 Direct Connect 端點的第 2 層裝置上執行封包擷取。檢查是否使用正確的 802.1Q 封裝和 VLAN 標籤將 ARP 廣播 MAC 地址 FF:FF:FF:FF:FF:FF 傳送至 AWS。

建立 ARP 後，ping 仍然失敗

如果在解決第 2 層問題並建立 ARP 之後 ping 仍然失敗，請完成下列步驟：

• 確認使用來源介面和正確的 IP 地址進行 ping 探測。
• 在客戶閘道裝置上收集 ICMP 流量的偵錯。檢查是否傳出 ICMP 封包，以及是否有任何回應或錯誤。
• 在客戶閘道裝置和客戶網路的中繼裝置上收集封包擷取，查看是否有任何裝置封鎖 ICMP 流量。