Come posso risolvere i problemi di connessione tra Transit Gateway e le appliance virtuali di terze parti in esecuzione in un VPC?

Ultimo aggiornamento: 11/07/2022

Dispongo di un collegamento AWS Transit Gateway Connect per stabilire la connettività tra le istanze Transit Gateway e quelle SD-WAN (Software-defined Wide Area Network) nel mio cloud privato virtuale (VPC). Tuttavia, non riesco a connettere la rete remota dal VPC tramite il collegamento Transit Gateway Connect. Come posso risolvere il problema?

Breve descrizione

Per risolvere i problemi di connettività tra le reti di origine e remote connesse tramite un collegamento Transit Gateway Connect, verifica quanto segue:

  • Configurazione del collegamento Connect
  • Zone di disponibilità
  • Tabelle di instradamento
  • Impostazioni di sicurezza di rete

Risoluzione

Risoluzione dei problemi di configurazione dei collegamenti Transit Gateway e Connect

Conferma la configurazione dei collegamenti Transit Gateway e Connect

  1. Apri la console del cloud privato virtuale Amazon (Amazon VPC).
  2. Nel riquadro di navigazione, seleziona Transit gateway attachments (Collegamenti del gateway di transito alla VPN).
  3. Seleziona il collegamento VPC di origine in cui sono disponibili le risorse che devono comunicare con gli host remoti o on-premise. Verifica che questo collegamento sia associato all'ID gateway di transito corretto.
  4. Ripeti la fase 3 per il collegamento Connect, il quale è usato per stabilire la connessione tra il gateway di transito e l'appliance virtuale di terze parti in esecuzione nel VPC.
  5. Ripeti il passaggio 3 per il collegamento VPC di trasporto, il quale è usato come meccanismo di trasferimento per stabilire la configurazione GRE (Generic Routing Encapsulation) tra il gateway di transito e SD-WAN.
  6. Nel riquadro di navigazione, seleziona Transit gateway Route Tables (Tabelle di instradamento del gateway di transito).
  7. Seleziona la tabella di instradamento del gateway di transito per ogni ora del collegamento e conferma che:
    I VPC di origine e SD-WAN sono collegati a un gateway di transito. Può trattarsi di un gateway di transito o una Regione uguali o diversi.
    I collegamenti VPC di origine e SD-WAN sono associati alla tabella di instradamento del gateway di transito corretta.
    Il collegamento Connect è collegato al gateway di transito corretto.
    Il collegamento Connect usa il collegamento di trasporto VPC corretto (Il collegamento VPC dell'appliance SD-WAN) ed è nello stato Available (Disponibile).

Verifica che i peer Connect siano configurati correttamente

  1. Apri la console di Amazon VPC.
  2. Nel riquadro di navigazione, seleziona Transit gateway attachments (Collegamenti del gateway di transito alla VPN).
  3. Seleziona il collegamento Connect.
  4. Seleziona Connect Peers (Peer Connect). Verifica che:
    L'indirizzo GRE peer è l'indirizzo IP privato dell'istanza SD-WAN in cui desideri creare il tunnel GRE.
    L'indirizzo GRE di Transit Gateway è uno degli indirizzi IP disponibili dal CIDR di Transit Gateway.
    I BGP all'interno degli IP fanno parte di un blocco CIDR /29 dell'intervallo 169.254.0.0/16 per IPv4. Puoi anche specificare un blocco CIDR /125 dell'intervallo fd00::/8 per IPv6. Consulta Peer di Transit Gateway Connect per un elenco di blocchi CIDR riservati e non utilizzabili.

Conferma la configurazione dell'appliance di terze parti

Verifica che la configurazione dell'appliance di terze parti soddisfi tutti i requisiti e le considerazioni. Se l'appliance dispone di più interfacce, assicurati che l'instradamento del sistema operativo sia configurato per inviare i pacchetti GRE all'interfaccia corretta.

Confermare che vi sia un collegamento Transit Gateway nella stessa zona di disponibilità dell'appliance SD-WAN

  1. Apri la console di Amazon VPC.
  2. Nel riquadro di navigazione, seleziona Subnets (Sottoreti).
  3. Seleziona le sottoreti usate dal collegamento VPC e dall'istanza SD-WAN.
  4. Verifica che l'ID della zona di disponibilità di entrambe le sottoreti sia lo stesso.

Risoluzione dei problemi relativi alle tabelle di instradamento e al routing

Conferma la tabella di instradamento VPC per l'istanza di origine e quella SD-WAN

  1. Apri la console di Amazon VPC.
  2. Nel riquadro di navigazione, seleziona Route tables (Tabelle di instradamento).
  3. Seleziona la tabella di instradamento utilizzata dall'istanza.
  4. Seleziona la scheda Routes (Instradamenti).
  5. Verifica che esista un instradamento con il blocco CIDR di destinazione corretto e con il Target come Transit Gateway ID (ID gateway di transito). Per l'istanza di origine, il blocco CIDR di destinazione è il CIDR di rete remota. Per l'istanza SD-WAN, il blocco CIDR di destinazione è il blocco CIDR di Transit Gateway

Conferma il collegamento Transit Gateway e le tabelle di instradamento del collegamento VPC di origine

  1. Apri la console di Amazon VPC.
  2. Seleziona Transit gateway route tables (Tabelle di instradamento del gateway di transito).
  3. Conferma che la tabella di instradamento associata al collegamento VPC di origine abbia un istradamento che si propaga dal collegamento Connect per la rete remota.
  4. Conferma che la tabella di instradamento associata al collegamento Transit Gateway Connect abbia un instradamento per il VPC di origine e il VPC dell'appliance SD-WAN.

Risoluzione dei problemi relativi alla sicurezza di rete

Verifica che le ACL di rete consentano il traffico

  1. Apri la console di Amazon VPC.
  2. Nel riquadro di navigazione, seleziona Subnets (Sottoreti).
  3. Seleziona le sottoreti usate dal collegamento VPC e dall'istanza SD-Wan.
  4. Seleziona la scheda Network ACL (ACL di rete). Verifica che:
    L'ACL di rete dell'istanza SD-WAN consente il traffico GRE.
    L'ACL di rete dell'istanza di origine consente il traffico.
    L'ACL di rete associata all'interfaccia di rete del gateway di transito consente il traffico.

Conferma che il gruppo di sicurezza dell'istanza EC2 di origine e SD-WAN consenta il traffico

  1. Apri la console di Amazon EC2.
  2. Nel riquadro di navigazione, seleziona Instances (Istanze).
  3. Seleziona le istanze corrette.
  4. Seleziona la scheda Security (Sicurezza).
  5. Conferma che il gruppo di sicurezza dell'istanza SD-WAN consenta il traffico GRE nelle regole in ingresso per accettare le iniziazioni GRE o nella regola in uscita per avviare una sessione GRE. Conferma che il gruppo di sicurezza dell'istanza di origine consenta il traffico.

Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?