为什么我无法使用 Direct Connect 连接通过中转虚拟接口连接到 VPC 资源？

解决方法

验证您通告的本地网络前缀是否正确

查看您的本地 Direct Connect 边界网关协议（BGP）路由器。路由器必须向中转虚拟接口上的 AWS Direct Connect BGP 对等体通告正确的本地前缀。

查看在您本地 BGP 路由器上通告的路由。您的本地 BGP 路由器必须在本地的路由信息库（RIB）中包含通告的路由。您用于检查这些路由的命令因本地 BGP 设备的品牌和型号而异。有关更多信息，请参阅您设备的文档。

**注意：**在中转虚拟接口上，每个 BGP 会话最多可以通告 100 条路由。这是硬性的服务配额，无法更改。如果您超过此服务配额，则 BGP 会话将会进入空闲状态。

验证您从 Direct Connect 网关向本地网络通告的 Amazon VPC 前缀是否正确

当您将中转网关与 Direct Connect 网关关联时，使用可以通过 Direct Connect 网关向本地网络通告的前缀。

**注意：**如果您指定以下任意前缀，则 AWS 会将其通告回本地网络：

• 虚拟私有计算机（VPC）的子网前缀，例如 10.1.0.0/16 VPC 中的 10.1.0.0/24
• 整个 VPC 前缀
• 超网（例如，10.0.0.0/8）

查看您的中转网关设置

确保您正确配置了中转网关设置：

• 遵守中转网关关联规则。中转虚拟接口使用 Direct Connect 网关与中转网关的关联来加强通信。这种通信通过单个中转虚拟接口从本地网络传输到所有 AWS 区域和账户中的多个 VPC。
• 查看您的中转网关路由配置。您可以配置路由表，为任何连接的 VPC、虚拟专用网络（VPN）或 Direct Connect 连接传播路由。您还可以向中转网关路由表中添加静态路由。当数据包来自一个连接时，该数据包会使用与目的地 IP 地址匹配的路由表路由到另外一个连接。
  **注意：**每个连接只能关联一个路由表。但是，一个连接可以将其路由传播到多个路由表。
• 如果您将一个 VPC 连接到中转网关，请查看您的可用区。确保为中转网关选择适当数量的可用区，以将流量路由到 VPC 子网中的资源。中转网关使用子网中的一个 IP 地址在该子网中创建一个网络接口。
• 对于不同可用区中的资源，请确认中转网关弹性网络接口位于该可用区内。
  **重要信息：**没有中转网关连接的可用区无法访问中转网关。如果您可以路由来自一个可用区的流量，但无法路由来自另外一个可用区的流量，请查看中转网关网络接口。中转网关网络接口必须在该可用区内。为了实现高可用性，最佳做法是启用多个可用区中的中转网关网络接口。

查看您的 Amazon VPC 设置

在您的 Amazon VPC 上，确保您配置了以下设置：

• 安全组允许入站和出站流量进出通告的本地网络前缀。
• 您正确配置了网络访问控制列表（网络 ACL）。创建一个网络 ACL，然后将其与同中转网关关联的所有子网关联。使网络 ACL 在入站和出站方向均保持打开状态。
• 子网路由表包括一个路由条目，其中目标设置为中转网关 ID，目的地设置为本地网络前缀。

验证是否通过所需的 Direct Connect 连接发送和接收请求

**注意：**当您有以下设置时，请采用以下故障排除步骤：

• 您从本地位置配置了冗余的 Direct Connect 物理连接。
• 您每个 Direct Connect 物理连接都配置了一个中转虚拟接口。
• 您通过两个中转虚拟接口向 AWS 通告了类似的本地前缀。

要确认您冗余连接的主动/被动或主动/主动配置是否有效，请执行以下操作：

• 运行双向追踪路由。查看 Direct Connect BGP 对等 IP 地址，找到用于发送或接收流量的中转虚拟接口。
• 使用本地首选项 BGP 社区标签实现负载均衡和将传入流量路由到网络的首选项。
• 如需在同一区域使用主动/被动配置，请使用本地首选项和 AS-path 前缀：
  **注意：**本地首选项会影响通过某个 Direct Connect 链路从您的本地数据中心流出的出站流量。AS-path 前缀影响从 AWS 返回到本地数据中心的入站流量。

相关信息

Creating a transit virtual interface to the Direct Connect gateway