如何對 Transit Gateway 與在 VPC 中執行的第三方虛擬設備之間的連線問題進行疑難排解?

2 分的閱讀內容
0

我有一個 AWS Transit Gateway Connect 連接,用於在我的虛擬私有雲端 (VPC) 中的 Transit Gateway 和 SD-WAN (軟體定義的廣域網絡) 執行個體之間建立連線。但是,我無法透過 Transit Gateway Connect 連接從 VPC 連線遠端網路。我該如何對此問題進行疑難排解?

簡短描述

若要對 Transit Gateway Connect 連接所連線的來源與遠端網路之間的連線問題進行疑難排解,請檢查以下各項:

  • Connect 連接設定
  • 可用區域
  • 路由表
  • 網路安全設定

解決方案

對 Transit Gateway 和 Connect 連接設定進行疑難排解

確認 Transit Gateway 和 Connect 連接設定組態

  1. 開啟 Amazon Virtual Private Cloud (Amazon VPC) 主控台
  2. 在導覽窗格中,選擇 Transit gateway attachments (傳輸閘道連接)。
  3. 選取來源 VPC 連接,您在此處的資源需要與遠端或內部部署主機通訊。確認此連接與正確的 Transit Gateway ID 關聯。
  4. 對 Connect 連接重複步驟 3,此連接用於在傳輸閘道連接與 VPC 中執行的第三方虛擬設備之間建立連線。
  5. 對傳輸 VPC 連接重複步驟 3,此連接用作傳輸機制,以在傳輸閘道與 SD-WAN 之間建立一般路由封裝 (GRE) 設定。
  6. 在導覽窗格中,選擇 Transit gateway Route Tables (傳輸閘道連接路由表)。
  7. 針對每次連接選取 Transit Gateway Route Table (傳輸閘道連接路由表),並確認:
    來源與 SD-WAN VPC 會連接至傳輸閘道。這可以是相同或不同的傳輸閘道或區域。
    來源與 SD-WAN VPC 連接與正確的傳輸閘道路由表關聯。
    Connect 連接會連接至正確的傳輸閘道。
    Connect 連接使用正確的 VPC Transport Attachment (SD-WAN 設備的 VPC 連接),且處於 Available (可用) 狀態。

確認已正確設定 Connect 對等

  1. 開啟 Amazon VPC 主控台
  2. 在導覽窗格中,選擇 Transit gateway attachments (傳輸閘道連接)。
  3. 選取 Connect 連接。
  4. 選擇 Connect Peers (Connect 對等)。請確認:
    對等 GRE 地址是您要建立 GRE 通道之 SD-WAN 執行個體的私有 IP 地址。
    Transit Gateway GRE 地址是 Transit Gateway CIDR 的可用 IP 地址之一。
    IP 內部 BGP 是 IPv4 的 169.254.0.0/16 範圍內 /29 CIDR 區塊的一部分。或者,您可以在 IPv6 的 fd00::/8 範圍內指定 /125 CIDR 區塊。如需保留且無法使用的 CIDR 區塊清單,請參閱 Transit Gateway Connect 對等

確認您的第三方設備組態

確認您的第三方設備組態符合所有要求和考量。如果您的設備有多個介面,請確定 OS 路由設定為在正確的介面上傳送 GRE 封包。

確認在與 SD-WAN 設備相同的可用區域中具有 Transit Gateway 連接

  1. 開啟 Amazon VPC 主控台
  2. 在導覽窗格中,選擇 Subnets (子網路)。
  3. 選取 VPC 連接和 SD-WAN 執行個體使用的子網路。
  4. 確認兩個子網路的可用區域 ID 相同。

對路由表和路由進行疑難排解

確認來源執行個體與 SD-WAN 執行個體的 VPC 路由表

  1. 開啟 Amazon VPC 主控台
  2. 從導覽窗格中,選擇 Route tables (路由表)。
  3. 選取執行個體使用的路由表。
  4. 選擇 Routes (路由) 標籤。
  5. 確認路由具有正確的目的地 CIDR 區塊,並將 Target (目標) 設定為 Transit Gateway ID。 針對來源執行個體環境,Destination CIDR (目的地 CIDR) 區塊為 Remote Network CIDR (遠端網路 CIDR)。針對 SD-WAN 執行個體,Destination CIDR (目的地 CIDR) 區塊為 Transit Gateway CIDR (傳輸閘道 CIDR) 區塊

確認 Transit Gateway 連接和來源 VPC 連接的路由表

  1. 開啟 Amazon VPC 主控台
  2. 選擇 Transit gateway route tables (傳輸閘道路由表)。
  3. 確認來源 VPC 連接的關聯路由表,具有從遠端網路的 Connect 連接傳播的路由。
  4. 確認 Transit Gateway Connect 連接的關聯路由表,具有來源 VPC 和 SD-WAN 設備 VPC 的路由。

對網路安全進行疑難排解

確認網路 ACL 允許流量

  1. 開啟 Amazon VPC 主控台
  2. 在導覽窗格中,選擇 Subnets (子網路)。
  3. 選取 VPC 連接和 SD-WAN 執行個體使用的子網路。
  4. 選擇 Network ACL (網路 ACL) 索引標籤。請確認:
    SD-WAN 執行個體的網路 ACL 允許 GRE 流量。
    來源執行個體的網路 ACL 允許流量。
    與傳輸閘道網路介面關聯的網路 ACL 允許流量。

確認來源和 SD-WAN EC2 執行個體的安全群組允許流量

  1. 開啟 Amazon EC2 主控台
  2. 從導覽窗格中,選擇 Instances (執行個體)。
  3. 選取適當的執行個體。
  4. 選擇Security (安全) 索引標籤。
  5. 確認 SD-WAN 執行個體的安全群組允許傳入規則中的 GRE 流量接受 GRE 初始化,或在傳出規則中啟動 GRE 工作階段。確認來源執行個體的安全群組允許流量。

AWS 官方
AWS 官方已更新 2 年前