如何对 Transit Gateway 与 VPC 中运行的第三方虚拟设备之间的连接进行故障排除?

上次更新日期:2022 年 7 月 11 日

我有一个 AWS Transit Gateway Connect 挂载,用于在我的虚拟私有云(VPC)中建立 Transit Gateway 和 SD-WAN(软件定义的广域网)实例之间的连接。但是,我无法通过 Transit Gateway Connect 挂载从 VPC 连接我的远程网络。我应该如何排查此问题?

简短描述

要排查通过 Transit Gateway Connect 挂载连接的源和远程网络之间的连接,请检查以下各项:

  • Connect 挂载设置
  • 可用区
  • 路由表
  • 网络安全设置

解决方法

排查 Transit Gateway 和 Connect 挂载设置的问题

确认 Transit Gateway 和 Connect 挂载设置配置

  1. 打开 Amazon Virtual Private Cloud(Amazon VPC)控制台
  2. 从导航窗格中选择 Transit gateway attachments(中转网关连接)。
  3. 选择您在其中拥有需要与远程或本地主机通信的资源的源 VPC 挂载。验证此挂载是否与正确的中转网关 ID 相关联。
  4. 对 Connect 挂载重复步骤 3,该挂载用于在中转网关和您的 VPC 中运行的第三方虚拟设备之间建立连接。
  5. 对传输 VPC 挂载重复步骤 3,该挂载用作在中转网关和 SD-WAN 之间建立通用路由封装(GRE)设置的传输机制。
  6. 从导航窗格中选择 Transit gateway Route Tables(Transit Gateway 路由表)。
  7. 为每次连接选择 Transit Gateway 路由表,并确认:
    源 VPC 和 SD-WAN VPC 连接到中转网关。这可以是相同或不同的中转网关或区域。
    源和 SD-WAN VPC 挂载关联了正确的中转网关路由表。
    Connect 挂载已连接到正确的中转网关。
    Connect 挂载使用正确的 VPC 传输挂载(SD-WAN 设备的 VPC 挂载),并且处于可用状态。

确认 Connect 对等连接配置正确

  1. 打开 Amazon VPC 控制台
  2. 从导航窗格中选择 Transit gateway attachments(中转网关连接)。
  3. 选择 Connect 挂载。
  4. 选择 Connect Peers(连接对等体)。验证:
    对等 GRE 地址是要创建 GRE 隧道的 SD-WAN 实例的私有 IP 地址。
    Transit Gateway GRE 地址是 Transit Gateway CIDR 中的可用 IP 地址之一。
    IP 内部的 BGP 是 IPv4 的 169.254.0.0/16 范围内的 /29 CIDR 块的一部分。或者,您可以为 IPv6 指定 fd00::/8 范围内的 /125 CIDR 块。请参阅 Transit Gateway Connect 对等连接了解已保留且无法使用的 CIDR 块的列表。

确认您的第三方设备配置

确认您的第三方设备配置符合所有要求和注意事项。如果您的设备有多个接口,请确保将操作系统路由配置为在正确的接口上发送出 GRE 数据包。

确认在与 SD-WAN 设备相同的可用区中存在中转网关连接

  1. 打开 Amazon VPC 控制台
  2. 在导航窗格中,选择 Subnets(子网)。
  3. 选择 VPC 挂载和 SD-WAN 实例使用的子网。
  4. 验证两个子网的可用区 ID 是否相同。

排查路由表和路由问题

确认源实例和 SD-WAN 实例的 VPC 路由表

  1. 打开 Amazon VPC 控制台
  2. 在导航窗格中,选择 Route tables(路由表)。
  3. 选择实例使用的路由表。
  4. 选择 Routes(路由)选项卡。
  5. 验证是否存在具有正确目标 CIDR 块且目标中转网关 ID 的路由。 对于源实例,目标 CIDR 块是远程网络 CIDR。对于 SD-WAN 实例,目标 CIDR 块是 Transit Gateway CIDR 块

确认中转网关连接和源 VPC 挂载的路由表

  1. 打开 Amazon VPC 控制台
  2. 选择 Transit gateway route tables(中转网关路由表)。
  3. 确认源 VPC 挂载的关联路由表具有从远程网络的 Connect 挂载传播的路由。
  4. 确认 Transit Gateway Connect 挂载的关联路由表具有源 VPC 和 SD-WAN 设备的 VPC 的路由。

排查网络安全问题

确认网络 ACL 允许流量通过

  1. 打开 Amazon VPC 控制台
  2. 在导航窗格中,选择 Subnets(子网)。
  3. 选择 VPC 挂载和 SD-Wan 实例使用的子网。
  4. 选择 Network ACL(网络 ACL)选项卡。验证:
    SD-WAN 实例的网络 ACL 允许 GRE 流量。
    源实例的网络 ACL 允许流量通过。
    与中转网关网络接口关联的网络 ACL 允许流量通过。

确认源和 SD-WAN EC2 实例的安全组允许流量通过

  1. 打开 Amazon EC2 控制台
  2. 从导航窗格中,选择 Instances(实例)。
  3. 选择合适的实例。
  4. 选择 Security(安全性)选项卡。
  5. 确认 SD-WAN 实例的安全组允许入站规则中的 GRE 流量接受 GRE 启动,或允许出站规则中的 GRE 流量启动 GRE 会话。确认源实例的安全组允许流量通过。

这篇文章对您有帮助吗?


您是否需要账单或技术支持?