Perché non riesco a utilizzare una connessione Direct Connect per connettermi alle risorse VPC tramite un'interfaccia virtuale di transito?

Risoluzione

Verifica di pubblicizzare i prefissi di rete on-premises corretti

Esamina il router Direct Connect Border Gateway Protocol (BGP) on-premises. Il router deve pubblicizzare i prefissi on-premises corretti verso il peer BGP AWS Direct Connect sull'interfaccia virtuale di transito.

Controlla il routing pubblicizzato sul router BGP locale. Il router BGP locale deve includere il routing pubblicizzato nel Routing Information Base (RIB) locale. I comandi utilizzati per controllare i routing variano in base alla marca e al modello del dispositivo BGP on-premises. Per informazioni dettagliate consulta la documentazione del tuo dispositivo.

Nota: su un'interfaccia virtuale di transito puoi pubblicizzare un massimo di 100 routing per sessione BGP. Si tratta di un limite di servizio rigido che non è possibile modificare. Se si supera questa quota di servizio, la sessione BGP entrerà in uno stato di inattività.

Verifica di pubblicizzare i prefissi Amazon VPC corretti dal gateway Direct Connect alla rete on-premises

Quando associ i gateway di transito ai gateway Direct Connect, utilizza prefissi che puoi pubblicizzare sulla rete on-premises tramite il gateway Direct Connect.

Nota: se specifichi uno dei seguenti prefissi, AWS lo comunicherà nuovamente alla rete on-premises:

• Un prefisso di sottorete di un computer privato virtuale (VPC), ad esempio 10.1.0.0/24 in un VPC 10.1.0.0/16
• Un prefisso VPC intero
• Una super-rete (ad esempio, 10.0.0.0/8)

Controlla le impostazioni del gateway di transito

Assicurati di aver configurato correttamente le impostazioni del gateway di transito:

• Segui le regole per le associazioni dei gateway di transito. Le interfacce virtuali di transito utilizzano le associazioni dei gateway Direct Connect con i gateway di transito per facilitare la comunicazione. Questa comunicazione va dalla rete on-premises a più VPC in tutte le Regioni e in tutti gli account AWS su un'unica interfaccia virtuale di transito.
• Rivedi la configurazione di routing del gateway di transito. È possibile configurare le tabelle di routing per propagare i routing per qualsiasi VCP, rete privata virtuale (VPN) o connessione Direct Connect collegata. È inoltre possibile aggiungere routing statici alle tabelle di routing del gateway di transito. Quando un pacchetto proviene da un allegato, il pacchetto utilizza la tabella di routing corrispondente all'indirizzo IP di destinazione per l’indirizzamento a un altro allegato.
  Nota: è possibile associare una sola tabella di routing a ciascun allegato. Tuttavia, un allegato può propagare i propri routing a più di una tabella di routing.
• Se hai collegato un VPC al tuo gateway di transito, controlla le tue zone di disponibilità. Assicurati di selezionare il numero appropriato di zone di disponibilità del gateway di transito per indirizzare il traffico verso le risorse nelle sottoreti VPC. Il gateway di transito utilizza un indirizzo IP della sottorete per creare un'interfaccia di rete in quella sottorete.
• Per le risorse in diverse zone di disponibilità, conferma che l'interfaccia di rete elastica del gateway di transito si trovi in quella zona di disponibilità.
  Importante: le zone di disponibilità che non dispongono di un collegamento del gateway di transito alla VPN non possono raggiungere il gateway di transito. Se riesci a indirizzare il traffico da una zona di disponibilità ma non da un'altra, consulta l'interfaccia di rete del gateway di transito. L'interfaccia di rete del gateway di transito deve trovarsi in quella zona. Per un'elevata disponibilità è consigliabile attivare le interfacce di rete del gateway di transito in più zone di disponibilità.

Controlla le impostazioni di Amazon VPC

Assicurati di aver configurato le seguenti impostazioni sul tuo Amazon VPC:

• I gruppi di sicurezza consentono il traffico in entrata e in uscita da e verso i prefissi di rete on-premises pubblicizzati.
• La lista di controllo degli accessi (ACL) è stata configurata correttamente. Crea una ACL di rete e quindi associala a tutte le sottoreti associate al gateway di transito. Mantieni aperta l'ACL di rete sia in entrata che in uscita.
• La tabella di routing della sottorete include una voce di routing con Target impostato sull'ID del gateway di transito e Destinazione impostata sul prefisso di rete on-premises.

Verifica che le richieste vengano inviate e ricevute tramite la connessione Direct Connect desiderata

Nota: usa questi passaggi per la risoluzione dei problemi quando utilizzi le seguenti impostazioni:

• Hai configurato connessioni fisiche Direct Connect ridondanti dalla posizione on-premises.
• Hai configurato un'interfaccia virtuale di transito per la connessione fisica Direct Connect.
• Hai pubblicizzato prefissi on-premises simili su entrambe le interfacce virtuali di transito verso AWS.

Per confermare che la configurazione Attiva/Passiva o Attiva/Attiva per le connessioni ridondanti funzioni, esegui le operazioni seguenti:

• Esegui un traceroute bidirezionale. Esamina gli indirizzi IP peer BGP Direct Connect per trovare l'interfaccia virtuale di transito utilizzata per inviare o ricevere traffico.
• Utilizza i tag della community BGP con preferenze locali per bilanciare il carico e instradare il traffico in entrata verso la tua rete.
• Per utilizzare una configurazione Attiva/Passiva nella stessa Regione, usa la preferenza locale e l'anteposizione AS-path.
  Nota: le preferenze locali influiscono sul traffico in uscita dal data center on-premises su un determinato link Direct Connect. L'anteposizione AS-path influenza il traffico in entrata da AWS verso il data center on-premises.

Informazioni correlate

Creazione di un'interfaccia virtuale di transito per un gateway Direct Connect