为什么无法使用 Direct Connect 连接通过中转虚拟接口连接到 VPC 资源？

验证您通过中转虚拟接口广播的本地网络前缀是否正确

• 确认您的本地 Direct Connect 边界网关协议 (BGP) 路由器通过中转虚拟接口向 AWS Direct Connect BGP 对等体广播的本地前缀是否正确。
• 检查本地 BGP 路由器广播的路由。本地 BGP 路由器必须在本地路由信息库 (RIB) 中包括广播的路由。用于检查这些路由的命令因本地 BGP 设备的品牌/型号而异。有关更多详细信息，请参阅设备文档。

注意：通过一个中转虚拟接口，您最多可以在一次 BGP 会话中广播 100 次路由。这是一项无法更改的硬性服务配额。超过此服务配额会导致 BGP 会话进入“闲置”状态。

验证您通过中转虚拟接口从 Direct Connect 网关广播到本地网络的 Amazon VPC 前缀是否正确

将中转网关与 Direct Connect 网关相关联后，请使用可以通过 Direct Connect 网关广播到本地网络的前缀。

注意：您可以指定以下任何一项，AWS 会将其广播回本地网络：

• 虚拟专用计算机 (VPC) 的子网前缀，例如 10.1.0.0/16 VPC 中的 10.1.0.0/24
• 整个 VPC 前缀
• 超级网络（例如 10.0.0.0/8）

检查您的中转网关设置

• 中转虚拟接口使用 Direct Connect 网关与中转网关的关联来加强通信。此通信通过单个中转虚拟接口，从本地网络进入所有区域和账户的多个 VPC。请务必遵循中转网关关联规则。
• 检查您的中转网关路由配置。您可以配置路由表（自定义或默认），以传播任何连接的 VPC、虚拟专用网络 (VPN) 或 Direct Connect 连接的路由。您还可以将静态路由添加到中转网关路由表。当数据包来自一条连接时，系统将使用与目标 IP 地址匹配的路由表将其路由到另一条连接。 
  注意：每条连接（无论是 VPC 还是 Direct Connect 连接）都只能与一个路由表相关联。但是，连接可以将其路由传播到一个或多个路由表。
• 如果您有连接到中转网关的 VPC，请确认已为中转网关选择了适当数量的可用区，以将流量路由到 VPC 子网中的资源。中转网关使用子网中的一个 IP 地址在该子网中创建网络接口。
• 对于不同可用区中的资源，请确认该可用区中是否有中转网关弹性网络接口 (ENI)。
  重要提示：未连接中转网关的可用区无法访问中转网关。如果您可以从一个可用区路由流量，但不能在另一个可用区执行此操作，请确认该区域是否有中转网关 ENI。最佳实践是在多个可用区中启用中转网关 ENI，以确保高可用性。
  

检查 Amazon VPC 设置

在 Amazon VPC 上确认以下事项：

• 安全组已列入白名单，允许入站和出站流量进出广播的本地网络前缀。
• 网络访问控制列表 (ACL) 配置正确。您可以创建一个网络 ACL，并将其关联到与中转网关相关联的所有子网。确保网络 ACL 的入站和出站方向保持打开状态。
• 子网路由表包含一个路由条目，其中目标设置为中转网关 ID，目的地设置为本地网络前缀。

验证是否通过所需的 Direct Connect 连接发送和接收请求

注意：以下故障排除步骤适用于以下情形：

• 从本地位置配置的冗余 Direct Connect 物理连接
• 每条 Direct Connect 物理连接配置一个中转虚拟接口
• 通过两个面向 AWS 的中转虚拟接口广播的相似本地前缀

要确认冗余连接的主动/被动或主动/主动配置是否可以按照预期运行，请执行以下操作：

• 运行双向追踪路由。查看 Direct Connect BGP 对等 IP 地址，明确使用哪个中转虚拟接口发送或接收流量。
• 使用本地首选项 BGP 社区标签实现负载均衡和/或将传入流量路由到网络的首选项。
• 如果希望在同一区域使用主动/被动配置，请使用本地首选项和 AS-path 前缀：
  • 本地首选项：影响通过特定 Direct Connect 链路的本地数据中心出站流量
  • AS-path 前缀：影响从 AWS 返回到本地数据中心的入站流量