Wie behebe ich Probleme bei der Verbindung zwischen Transit Gateway und virtuellen Appliances von Drittanbietern, die in einer VPC ausgeführt werden?

Letzte Aktualisierung: 11.07.2022

Ich habe einen AWS-Transit-Gateway-Connect-Anhang, um die Konnektivität zwischen Transit Gateway und SD-WAN (Software-defined Wide Area Network) –Instances in meiner Virtual Private Cloud (VPC) herzustellen. Ich kann mein Remote-Netzwerk jedoch nicht von der VPC über den Transit Gateway-Connect-Anhang verbinden. Wie kann ich dieses Problem beheben?

Kurzbeschreibung

Überprüfen Sie Folgendes, um Probleme bei der Konnektivität zwischen Quell- und Remote-Netzwerken, die über eine Transit-Gateway-Connect-Anlage verbunden sind, zu beheben:

  • Anhangseinrichtung verbinden
  • Verfügbarkeitsbereiche
  • Routing-Tabellen
  • Einstellungen für Netzwerksicherheit

Auflösung

Problembehandlung bei der Einrichtung des Transit-Gateway-and-Connect-Anhangs

Bestätigen Sie die Transit-Gateway-and-Connect-Konfiguration

  1. Öffnen Sie die Amazon-Virtual-Private-Cloud-Konsole (Amazon VPC).
  2. Wählen Sie im Navigationsbereich Transit-Gateway-Anhänge aus.
  3. Wählen Sie die Quell-VPC-Anlage aus, in der Sie über Ressourcen verfügen, die mit Remote- oder On-Premises-Hosts kommunizieren müssen. Stellen Sie sicher, dass dieser Anhang mit der richtigen Transit-Gateway-ID verknüpft ist.
  4. Wiederholen Sie Schritt 3 für die Verbindung verbinden. Dies ist die Anlage, die zum Herstellen der Verbindung zwischen dem Transit-Gateway und der in Ihrer VPC ausgeführten virtuellen Drittanbieter-Appliance verwendet wird.
  5. Wiederholen Sie Schritt 3 für die Transport-VPC-Anlage, bei der es sich um den Anhang handelt, der als Transportmechanismus zum Einrichten des GRE-Setups (Generic Routing Encapsulation) zwischen Ihrem Transit-Gateway und SD-WAN verwendet wird.
  6. Wählen Sie im Navigationsbereich Transit-Gateway-Routing-Tabellen aus.
  7. Wählen Sie die Transit-Gateway-Routing-Tabelle für jedes Mal der Anlage aus und bestätigen Sie:
    Die Quell- und SD-WAN-VPCs sind an ein Transit-Gateway angeschlossen. Dies kann dasselbe oder ein anderes Transit-Gateway oder eine andere Region sein.
    Die Quell- und SD-WAN-VPC-Anlagen sind der richtigen Transit-Gateway-Routing-Tabelle zugeordnet.
    Die Connect-Anlage ist an das richtige Transit-Gateway angeschlossen.
    Der Connect-Anhang verwendet den richtigen VPC-Transportanhang (den VPC-Anschluss der SD-WAN-Appliance) und befindet sich im Status Verfügbar.

Stellen Sie sicher, dass die Connect-Peers korrekt konfiguriert sind

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Transit-Gateway-Anhänge aus.
  3. Wählen Sie den Connect-Anhang aus.
  4. Wählen Sie Connect Peers. Überprüfen Sie, dass:
    Die Peer-GRE-Adresse die private IP-Adresse der SD-WAN-Instance ist, zu der Sie den GRE-Tunnel erstellen möchten.
    Die GRE-Adresse des Transit Gateway eine der verfügbaren IP-Adressen vom Transit Gateway CIDR ist.
    Die internen BGP-IPs sind Teil eines /29 CIDR-Blocks aus dem Bereich 169.254.0.0/16 für IPv4. Optional können Sie einen /125 CIDR-Block aus dem Bereich fd00::/8 für IPv6 angeben. Eine Liste der CIDR-Blöcke, die reserviert sind und nicht verwendet werden können, finden Sie unter Transit-Gateway-Connect-Peers.

Bestätigen Sie die Konfiguration Ihrer Drittanbieter

Überprüfen Sie, ob die Konfiguration Ihrer Drittanbieter-Appliance allen Anforderungen und Überlegungen entspricht. Wenn Ihre Appliance über mehr als eine Schnittstelle verfügt, stellen Sie sicher, dass das Betriebssystem-Routing so konfiguriert ist, dass GRE-Pakete auf der richtigen Schnittstelle gesendet werden.

Vergewissern Sie sich, dass sich in derselben Availability Zone wie die SD-WAN-Appliance ein Transit-Gateway-Anhang befindet

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Subnetze.
  3. Wählen Sie die Subnetze aus, die vom VPC-Anhang und der SD-WAN-Instance verwendet werden.
  4. Stellen Sie sicher, dass die Availability-Zone-ID beider Subnetze identisch ist.

Problembehandlung bei Routing-Tabellen und Routing

Bestätigen Sie die VPC-Routing-Tabelle für die Quellinstance und die SD-WAN-Instanz

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Routing-Tabellen aus.
  3. Wählen Sie die von der Instance verwendete Routing-Tabelle aus.
  4. Wählen Sie die Registerkarte Routen.
  5. Stellen Sie sicher, dass eine Route mit dem richtigen CIDR-Zielblock und dem Ziel als Transit-Gateway-ID vorhanden ist. Für die Quellinstance ist der Ziel-CIDR-Block der Remote-Netzwerk-CIDR. Für die SD-WAN-Instance ist der Ziel-CIDR-Block der CIDR-Block des Transit Gateway

Bestätigen Sie die Routing-Tabellen des Transit Gateway-Anhangs und des Quell

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie Transit gateway route tables (Transit-Gateway-Routing-Tabellen).
  3. Stellen Sie sicher, dass die zugeordnete Routing-Tabelle des Quell-VPC-Anhangs eine Route enthält, die von der Connect-Anlage für das Remote-Netzwerk weitergegeben wird.
  4. Stellen Sie sicher, dass die zugehörige Routing-Tabelle des Transit-Gateway-Connect-Anhangs eine Route für die Quell-VPC und die VPC der SD-WAN-Appliance enthält.

Problembehandlung bei der Netzwerksicherheit

Vergewissern Sie sich, dass die Netzwerk-ACLs Datenverkehr zulässt

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Subnetze.
  3. Wählen Sie die Subnetze aus, die vom VPC-Anhang und der SD-WAN-Instance verwendet werden.
  4. Wählen Sie die Registerkarte Netzwerk-ACL. Überprüfen Sie, dass:
    Die Netzwerk-ACL der SD-WAN-Instance GRE-Datenverkehr zulässt.
    Die Netzwerk-ACL der Quellinstance Datenverkehr zulässt.
    Die Netzwerk-ACL, die der Transit-Gateway-Netzwerkschnittstelle zugeordnet ist, lässt Datenverkehr zu.

Bestätigen Sie, dass die Sicherheitsgruppe der Quelle und der SD-WAN EC2-Instance Datenverkehr zulässt

  1. Öffnen Sie die Amazon-EC2-Konsole.
  2. Wählen Sie im Navigationsbereich Instances aus.
  3. Wählen Sie die entsprechenden Instances aus.
  4. Wählen Sie die Registerkarte Sicherheit aus.
  5. Stellen Sie sicher, dass die Sicherheitsgruppe der SD-WAN-Instance GRE-Datenverkehr entweder in eingehenden Regeln zulässt, um GRE-Initiationen zu akzeptieren, oder in der Regel für ausgehenden Datenverkehr, um GRE-Sitzungen zu initiieren. Stellen Sie sicher, dass die Sicherheitsgruppe der Quellinstance den Datenverkehr zulässt.

War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?