如何排查 VPN 上的 BGP 连接问题?
上次更新时间:2021 年 5 月 4 日
我的 BGP 会话无法在 VPN 隧道上建立连接或处于空闲状态。如何排查此问题?
解决方法
要排查 VPN 上的 BGP 连接问题,请检查以下内容:
检查底层 VPN 连接
对于基于 BGP 的 VPN 连接,只有 VPN 隧道已启动时,才能建立 BGP 会话。如果 VPN 隧道已关闭或闪断,您将无法建立 BGP 会话。验证 VPN 是否已启动且运行稳定。如果 VPN 未启动或不稳定,请参阅以下内容:
检查客户网关设备上的 BGP 配置
- 必须使用从 VPC 控制台下载的 VPN 配置文件来配置本地和远程 BGP 对等体的 IP 地址。
- 必须使用从 VPC 控制台下载的 VPN 配置文件来配置本地和远程 BGP 自治系统编号 (ASN)。
- 如果配置设置正确,则从本地 BGP 对等体 IP ping 远程 BGP 对等体 IP 以验证 BGP 对等体之间是否连通。
- 确保 BGP 对等体彼此直接连接。禁用 AWS 上的外部 BGP (EBGP) 多跃点。
注意:如果 BGP 会话在活动状态和连接状态之间跳动,请确认 TCP 端口 179 和其他相关的临时端口未被阻塞。
调试和数据包捕获
如果已验证客户网关上的 BGP 配置并且 BGP 对等体 IP 之间的 ping 正在运行,则从客户网关设备收集此类信息以供进一步分析:
- BGP 和 TCP 调试
- BGP 日志
- BGP 对等体 IP 之间的流量数据包捕获
检查 BGP 会话是否从已建立状态变为空闲状态
对于 VGW 上的 VPN,如果您看到 BGP 会话从已建立状态变为空闲状态,请验证您通过 BGP 会话宣传的路由数。在 BGP 会话中,您最多可以宣传 100 条路由。如果通过 BGP 会话宣传的路由数超过 100 条,则 BGP 会话将进入空闲状态。
要解决此问题,请执行下列操作之一:
宣传默认路由以路由到 AWS,或者对路由进行汇总,使收到的路由数少于 100 条。
-或者-
您可以将 VPN 连接迁移到中转网关,因为中转网关支持从客户网关宣传的 1000 条路由。
有关更多信息,请参阅站点到站点 VPN 配额。