Comment résoudre les problèmes de connexion BGP sur un VPN ?

Dernière mise à jour : 04-05-2021

Ma session BGP ne peut pas établir de connexion ou est inactive sur mon tunnel VPN. Comment rédoudre ce problème ?

Solution

Pour résoudre les problèmes de connexion BGP sur VPN, vérifiez les points suivants :

La connexion VPN sous-jacente

Pour les connexions VPN basées sur BGP, la session BGP ne peut être établie que si le tunnel VPN est activé. Si le tunnel VPN est en panne ou vacillant, vous rencontrerez des problèmes pour établir la session BGP. Le VPN est opérationnel et stable. Si le VPN ne démarre pas ou qu'il n'est pas stable, consultez les points suivants :

Vérifiez la configuration BGP sur votre périphérique de passerelle client

  • Les adresses IP des homologues BGP locaux et distants doivent être configurées avec le fichier de configuration VPN téléchargé à partir de la console VPC.
  • Les numéros ASN (Autonomous System Numbers) BGP locaux et distants doivent être configurés avec le fichier de configuration VPN téléchargé à partir de la console VPC.
  • Si les paramètres de configuration sont corrects, effectuez un ping sur l'adresse IP d'homologue BGP distante depuis votre adresse IP d'homologue BGP locale pour vérifier la connectivité entre homologues BGP.
  • Assurez-vous que les homologues BGP sont directement connectés les uns aux autres. Le multi-saut externe BGP (EBGP) est désactivé sur AWS.

Remarque : si votre session BGP vacille entre les états actifs et les états de connexion, vérifiez que le port TCP 179 et les autres ports éphémères pertinents ne sont pas bloqués.

Débogages et captures de paquets

Si la configuration BGP sur la passerelle client est vérifiée et que les pings entre les IP homologues BGP fonctionnent, collectez ces informations à partir du périphérique de passerelle client pour une analyse plus approfondie :

  • Débogages BGP et TCP
  • Journaux BGP
  • Captures de paquets pour le trafic entre les adresses IP homologues BGP

Vérifiez si la session BGP passe de l'état établi à l'état inactif

Pour VPN sur un VGW, si vous voyez la session BGP passer de l'état établi à l'état inactif, vérifiez le nombre de routes que vous publiez sur la session BGP. Vous pouvez annoncer jusqu'à 100 routes sur la session BGP. Si le nombre de routes annoncées sur la session BGP est supérieur à 100, la session BGP passe à l'état inactif.

Pour résoudre cette erreur, effectuez l’une des opérations suivantes :

Annoncez une route par défaut pour acheminer vers AWS, ou résumez les routes, afin que le nombre de routes reçues soit inférieur à 100.

-ou-

Vous pouvez migrer votre connexion VPN vers une passerelle de transit, car la passerelle de transit prend en charge 1 000 routes annoncées à partir d'une passerelle client.

Pour plus d'informations, consultez Quotas VPN de site à site.