跳至內容
使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post
關於 re:Post

如何對在 VPC 中運作之第三方虛擬設備的 Transit Gateway 連線問題進行疑難排解?

3 分的閱讀內容
0

我已經在 AWS Transit Gateway 和虛擬私有雲端 (VPC) 中的軟體定義廣域網路 (SD-WAN) 設備之間,設定了 AWS Transit Gateway Connect 連接。但是,我無法透過 Transit Gateway Connect 連接,從 VPC 連線到遠端網路。

解決方法

檢查 Transit Gateway 和 Connect 連接組態

  1. 開啟 Amazon Virtual Private Cloud (Amazon VPC) console (Amazon Virtual Private Cloud (Amazon VPC) 主控台)。
  2. 在導覽窗格中,選擇 Transit gateway attachments (傳輸閘道連接)。
  3. 選取必須與遠端或內部部署主機通訊的來源 VPC 連接。確認連接是否與正確的傳輸閘道 ID 關聯。
  4. 對 Connect 連接重複步驟 3,這將建立 Transit Gateway 與在 VPC 中執行之第三方虛擬設備之間的連線。
  5. 對傳輸 VPC 連接重複進行步驟 3,這將在 Transit Gateway 和 SD-WAN 之間建立通用路由封裝 (GRE) 連線。
  6. 在導覽窗格中,選擇 Transit Gateway Route Tables (傳輸閘道路由表)。然後,選取每個連接的路由表。
  7. 確認來源和 SD-WAN VPC 是否連線到相同或不同 AWS 區域中的傳輸閘道。
  8. 確認來源和 SD-WAN VPC 連接是否與正確的路由表相關聯。
  9. 確認來源 CIDR 區塊和邊界閘道協定 (BGP) 路由是否會傳播到關聯的路由表。
  10. 確認 Connect 連接是否已連線到正確的傳輸閘道。
  11. 確認 Connect 連接是否使用了 SD-WAN 設備的正確 VPC 傳輸連接,且狀態為可用

檢查 Connect 對等體組態

  1. 開啟 Amazon VPC console (Amazon VPC 主控台)。
  2. 選擇 Transit gateway attachments (傳輸閘道連接)。
  3. 選取 Connect 連接。
  4. 選擇 Connect Peers (Connect 對等體)。
  5. 確認傳輸閘道 GRE 位址是否與 GRE 通道的 SD-WAN 設備的私有 IP 位址相符。
  6. 確認傳輸閘道 GRE 位址是否與傳輸閘道 CIDR 區塊中的可用 IP 位址相符。
  7. 確認 IP 位址內的 BGP 是否屬於 IPv4 169.254.0.0/16 範圍中的 /29 CIDR 區塊。您可以從 fd00::/8 範圍中為 IPv6 指定一個 /125 CIDR 區塊。如需詳細資訊,請參閱 Connect 對等體

**注意:**BGP 對等體自治系統編號 (ASN) 是選擇性的。如果您未指定對等體 ASN,則 Transit Gateway 將指派其 ASN。

檢查第三方設備組態

  1. 確認您的第三方設備組態是否符合所有要求和注意事項
  2. 如果您的設備有多個介面,請確保作業系統 (OS) 路由已設定為透過正確的介面傳送 GRE 封包。
  3. 設定安全群組和網路存取控制清單 (ACL),以允許來自傳輸閘道 CIDR 區塊的 GRE 通訊協定流量 (連接埠 47)。

檢查可用區域組態

  1. 開啟 Amazon VPC console (Amazon VPC 主控台)。
  2. 選擇 Subnets (子網路)。
  3. 選取 VPC 連接和 SD-WAN 設備的子網路。
  4. 確認兩個子網路是否具有相同的可用區域 ID。如需詳細資訊,請參閱 AWS 可用區域

檢查路由表和路由

  1. 開啟 Amazon VPC console (Amazon VPC 主控台)。
  2. 選擇 Route tables (路由表)。
  3. 選取來源執行個體的路由表。
  4. 選擇 Routes (路由) 索引標籤。
  5. 確認路由是否具有正確的目標 CIDR 區塊和傳輸閘道 ID 作為其目標。
  6. 對於來源執行個體,請確認遠端網路 CIDR 是目標 CIDR 區塊。
  7. 對於 SD-WAN 設備,請確認傳輸閘道 CIDR 是目標 CIDR 區塊。

檢查傳輸閘道路由表組態

  1. 開啟 Amazon VPC console (Amazon VPC 主控台)。
  2. 選擇 Transit gateway route tables (傳輸閘道路由表)。
  3. 確認與來源 VPC 連接關聯的路由表,是否具有從遠端網路的 Connect 連線傳播的路由。
  4. 確認與 Connect 連接關聯的路由表,是否具有來源 VPC 和 SD-WAN 設備 VPC 的路由。
  5. 確認 Connect 連接和來源 VPC 連接的路由表中均啟用了路由傳播。
  6. 對於內部 BGP (iBGP) 對等體,請確認路由是否源自外部 BGP (eBGP) 對等體。請確定從設備通告到傳輸閘道的路由不超過 1,000 個路由配額

確認網路 ACL 是否允許流量

  1. 開啟 Amazon VPC console (Amazon VPC 主控台)。
  2. 選擇 Subnets (子網路)。
  3. 選取 VPC 連接和 SD-WAN 設備的子網路。
  4. 選擇 Network ACL (網路 ACL) 索引標籤。
  5. 確認 SD-WAN 設備的網路 ACL 是否允許 GRE 流量。
  6. 確認來源執行個體的網路 ACL 是否允許流量。
  7. 確認與傳輸閘道網路介面關聯的網路 ACL 是否允許流量。

確認安全群組允許流量

  1. 開啟 Amazon Elastic Compute Cloud (Amazon EC2) 主控台
  2. 在導覽窗格中,選擇 Instances (執行個體)。
  3. 選取來源執行個體和 SD-WAN 設備。
  4. 選擇 Security (安全) 索引標籤。
  5. 確認 SD-WAN 設備的安全群組是否允許傳入 GRE 連線。
  6. 確認 SD-WAN 設備的安全群組是否允許傳出 GRE 工作階段。
  7. 確認來源執行個體的安全群組是否允許流量。
主題
Networking & Content Delivery
標籤
AWS Transit Gateway
語言
中文 (繁體)
AWS 官方已更新 1 年前
沒有評論

相關內容