Wie behebe ich Probleme bei der Verbindung zwischen Transit Gateway und virtuellen Appliances von Drittanbietern, die in einer VPC ausgeführt werden?

Kurzbeschreibung

Überprüfen Sie Folgendes, um Probleme bei der Konnektivität zwischen Quell- und Remote-Netzwerken, die über eine Transit-Gateway-Connect-Anlage verbunden sind, zu beheben:

• Anhangseinrichtung verbinden
• Verfügbarkeitsbereiche
• Routing-Tabellen
• Einstellungen für Netzwerksicherheit

Auflösung

Problembehandlung bei der Einrichtung des Transit-Gateway-and-Connect-Anhangs

Bestätigen Sie die Transit-Gateway-and-Connect-Konfiguration

1. Öffnen Sie die Amazon-Virtual-Private-Cloud-Konsole (Amazon VPC).
2. Wählen Sie im Navigationsbereich Transit-Gateway-Anhänge aus.
3. Wählen Sie die Quell-VPC-Anlage aus, in der Sie über Ressourcen verfügen, die mit Remote- oder On-Premises-Hosts kommunizieren müssen. Stellen Sie sicher, dass dieser Anhang mit der richtigen Transit-Gateway-ID verknüpft ist.
4. Wiederholen Sie Schritt 3 für die Verbindung verbinden. Dies ist die Anlage, die zum Herstellen der Verbindung zwischen dem Transit-Gateway und der in Ihrer VPC ausgeführten virtuellen Drittanbieter-Appliance verwendet wird.
5. Wiederholen Sie Schritt 3 für die Transport-VPC-Anlage, bei der es sich um den Anhang handelt, der als Transportmechanismus zum Einrichten des GRE-Setups (Generic Routing Encapsulation) zwischen Ihrem Transit-Gateway und SD-WAN verwendet wird.
6. Wählen Sie im Navigationsbereich Transit-Gateway-Routing-Tabellen aus.
7. Wählen Sie die Transit-Gateway-Routing-Tabelle für jedes Mal der Anlage aus und bestätigen Sie:
   Die Quell- und SD-WAN-VPCs sind an ein Transit-Gateway angeschlossen. Dies kann dasselbe oder ein anderes Transit-Gateway oder eine andere Region sein.
   Die Quell- und SD-WAN-VPC-Anlagen sind der richtigen Transit-Gateway-Routing-Tabelle zugeordnet.
   Die Connect-Anlage ist an das richtige Transit-Gateway angeschlossen.
   Der Connect-Anhang verwendet den richtigen VPC-Transportanhang (den VPC-Anschluss der SD-WAN-Appliance) und befindet sich im Status Verfügbar.

Stellen Sie sicher, dass die Connect-Peers korrekt konfiguriert sind

1. Öffnen Sie die Amazon-VPC-Konsole.
2. Wählen Sie im Navigationsbereich Transit-Gateway-Anhänge aus.
3. Wählen Sie den Connect-Anhang aus.
4. Wählen Sie Connect Peers. Überprüfen Sie, dass:
   Die Peer-GRE-Adresse die private IP-Adresse der SD-WAN-Instance ist, zu der Sie den GRE-Tunnel erstellen möchten.
   Die GRE-Adresse des Transit Gateway eine der verfügbaren IP-Adressen vom Transit Gateway CIDR ist.
   Die internen BGP-IPs sind Teil eines /29 CIDR-Blocks aus dem Bereich 169.254.0.0/16 für IPv4. Optional können Sie einen /125 CIDR-Block aus dem Bereich fd00::/8 für IPv6 angeben. Eine Liste der CIDR-Blöcke, die reserviert sind und nicht verwendet werden können, finden Sie unter Transit-Gateway-Connect-Peers.

Bestätigen Sie die Konfiguration Ihrer Drittanbieter

Überprüfen Sie, ob die Konfiguration Ihrer Drittanbieter-Appliance allen Anforderungen und Überlegungen entspricht. Wenn Ihre Appliance über mehr als eine Schnittstelle verfügt, stellen Sie sicher, dass das Betriebssystem-Routing so konfiguriert ist, dass GRE-Pakete auf der richtigen Schnittstelle gesendet werden.

Vergewissern Sie sich, dass sich in derselben Availability Zone wie die SD-WAN-Appliance ein Transit-Gateway-Anhang befindet

1. Öffnen Sie die Amazon-VPC-Konsole.
2. Wählen Sie im Navigationsbereich Subnetze.
3. Wählen Sie die Subnetze aus, die vom VPC-Anhang und der SD-WAN-Instance verwendet werden.
4. Stellen Sie sicher, dass die Availability-Zone-ID beider Subnetze identisch ist.

Problembehandlung bei Routing-Tabellen und Routing

Bestätigen Sie die VPC-Routing-Tabelle für die Quellinstance und die SD-WAN-Instanz

1. Öffnen Sie die Amazon-VPC-Konsole.
2. Wählen Sie im Navigationsbereich Routing-Tabellen aus.
3. Wählen Sie die von der Instance verwendete Routing-Tabelle aus.
4. Wählen Sie die Registerkarte Routen.
5. Stellen Sie sicher, dass eine Route mit dem richtigen CIDR-Zielblock und dem Ziel als Transit-Gateway-ID vorhanden ist. Für die Quellinstance ist der Ziel-CIDR-Block der Remote-Netzwerk-CIDR. Für die SD-WAN-Instance ist der Ziel-CIDR-Block der CIDR-Block des Transit Gateway

Bestätigen Sie die Routing-Tabellen des Transit Gateway-Anhangs und des Quell

1. Öffnen Sie die Amazon-VPC-Konsole.
2. Wählen Sie Transit gateway route tables (Transit-Gateway-Routing-Tabellen).
3. Stellen Sie sicher, dass die zugeordnete Routing-Tabelle des Quell-VPC-Anhangs eine Route enthält, die von der Connect-Anlage für das Remote-Netzwerk weitergegeben wird.
4. Stellen Sie sicher, dass die zugehörige Routing-Tabelle des Transit-Gateway-Connect-Anhangs eine Route für die Quell-VPC und die VPC der SD-WAN-Appliance enthält.

Problembehandlung bei der Netzwerksicherheit

Vergewissern Sie sich, dass die Netzwerk-ACLs Datenverkehr zulässt

1. Öffnen Sie die Amazon-VPC-Konsole.
2. Wählen Sie im Navigationsbereich Subnetze.
3. Wählen Sie die Subnetze aus, die vom VPC-Anhang und der SD-WAN-Instance verwendet werden.
4. Wählen Sie die Registerkarte Netzwerk-ACL. Überprüfen Sie, dass:
   Die Netzwerk-ACL der SD-WAN-Instance GRE-Datenverkehr zulässt.
   Die Netzwerk-ACL der Quellinstance Datenverkehr zulässt.
   Die Netzwerk-ACL, die der Transit-Gateway-Netzwerkschnittstelle zugeordnet ist, lässt Datenverkehr zu.

Bestätigen Sie, dass die Sicherheitsgruppe der Quelle und der SD-WAN EC2-Instance Datenverkehr zulässt

1. Öffnen Sie die Amazon-EC2-Konsole.
2. Wählen Sie im Navigationsbereich Instances aus.
3. Wählen Sie die entsprechenden Instances aus.
4. Wählen Sie die Registerkarte Sicherheit aus.
5. Stellen Sie sicher, dass die Sicherheitsgruppe der SD-WAN-Instance GRE-Datenverkehr entweder in eingehenden Regeln zulässt, um GRE-Initiationen zu akzeptieren, oder in der Regel für ausgehenden Datenverkehr, um GRE-Sitzungen zu initiieren. Stellen Sie sicher, dass die Sicherheitsgruppe der Quellinstance den Datenverkehr zulässt.

---