Como soluciono problemas de conexão entre o Transit Gateway e dispositivos virtuais de terceiros executados em uma VPC?

Data da última atualização: 11/7/2022

Tenho um anexo AWS Transit Gateway Connect para estabelecer a conectividade entre instâncias do Transit Gateway e a SD-WAN (rede de longa distância definida por software) na minha nuvem privada virtual (VPC). No entanto, não consigo conectar minha rede remota na VPC por meio do anexo Transit Gateway Connect. Como posso solucionar esse problema?

Breve descrição

Para solucionar problemas de conectividade entre as redes de origem e as redes remotas conectadas por um anexo Transit Gateway Connect, verifique o seguinte:

  • Conecte a configuração do anexo
  • Zonas de disponibilidade
  • Tabelas de rotas
  • Configurações de segurança da rede

Resolução

Solucione os problemas de configuração do anexo Transit Gateway Connect

Confirme a configuração do anexo Transit Gateway Connect

  1. Abra o console do Amazon Virtual Private Cloud (Amazon VPC).
  2. No painel de navegação, escolha Transit Gateway attachments (Anexos Transit Gateway).
  3. Selecione o anexo da VPC de origem no qual você tem recursos que precisam se comunicar com hosts remotos ou on-premises. Verifique se esse anexo está associado à ID correta do Transit Gateway.
  4. Repita a etapa 3 para o anexo Connect, que é o anexo usado para estabelecer a conexão entre o Transit Gateway e o dispositivo virtual de terceiros executados na VPC.
  5. Repita a etapa 3 para o anexo da VPC de transporte, que é o anexo usado como mecanismo de transporte para estabelecer a configuração do GRE (Encapsulamento de roteamento genérico) entre o Transit Gateway e a SD-WAN.
  6. No painel de navegação, escolha Transit Gateway Route Tables (Tabelas de rotas do Transit Gateway).
  7. Selecione a Tabela de rotas do Transit Gateway para cada momento do anexo e confirme se:
    As VPCs SD-WAN e de origem estão conectadas a um Transit Gateway. Elas podem ser um Transit Gateway igual ou diferente ou uma região.
    Os anexos da VPC SD-WAN de origem estão associados à tabela de rotas do Transit Gateway.
    O anexo Connect está conectado ao Transit Gateway correto.
    O anexo Connect usa o anexo de transporte VPC correto (o anexo da VPC para o dispositivo SD-WAN) e está no estado Disponível.

Confirme se os pares do Connect estão configurados corretamente

  1. Abra o console do Amazon VPC.
  2. No painel de navegação, escolha Transit Gateway attachments (Anexos Transit Gateway).
  3. Selecione o anexo Connect.
  4. Escolha Connect Peers (Conectar pares). Verifique se:
    O endereço o par GRE é o endereço IP privado da instância de SD-WAN para a qual você deseja criar o túnel GRE.
    O endereço GRE do Transit Gateway é um dos endereços IP disponíveis no CIDR do Transit Gateway.
    Os IPs internos do BGP fazem parte de um bloco CIDR /29 do intervalo 169.254.0.0/16 para IPv4. Opcionalmente, você pode especificar um bloco CIDR /125 do intervalo fd00::/8 para IPv6. Consulte Pares do Transit Gateway Connect para obter uma lista de blocos CIDR que são reservados e não podem ser usados.

Confirme a configuração do dispositivo de terceiros

Verifique se a configuração do dispositivo de terceiros atende a todos os requisitos e considerações. Se o seu equipamento tiver mais de uma interface, verifique se o roteamento do SO está configurado para enviar pacotes GRE na interface correta.

Confirme se há um anexo Transit Gateway na mesma zona de disponibilidade do dispositivo SD-WAN

  1. Abra o console do Amazon VPC.
  2. No painel de navegação, escolha Subnets (Sub-redes).
  3. Selecione as sub-redes usadas pelo anexo da VPC e pela instância da SD-WAN.
  4. Verifique se o ID da zona de disponibilidade de ambas as sub-redes é o mesmo.

Solucione os problemas das tabelas de rotas e do roteamento

Confirme a tabela de rotas da VPC para a instância de origem e a instância de SD-WAN

  1. Abra o console do Amazon VPC.
  2. No painel de navegação, escolha Route tables (Tabelas de rotas).
  3. Selecione a tabela de rotas usada pela instância.
  4. Escolha a guia Routes (Rotas).
  5. Verifique se há uma rota com o bloco CIDR de destino correto e com o Destino como ID do Transit Gateway. Para a instância de origem, o bloco CIDR de destino é o CIDR de rede remota. Para a instância de SD-WAN, o bloco CIDR de destino é o bloco CIDR do Transit Gateway

Confirme as tabelas de roteamento do anexo Transit Gateway e do anexo VPC de origem

  1. Abra o console do Amazon VPC.
  2. Escolha Tabelas de rotas do Transit Gateway.
  3. Confirme se a tabela de rotas associada ao anexo da VPC de origem tem uma rota propagada do anexo Connect para a rede remota.
  4. Confirme se a tabela de rotas associada do anexo Transit Gateway Connect tem uma rota para a VPC de origem e a VPC do dispositivo SD-WAN.

Solucionar problemas de segurança da rede

Confirme se as ACLs da rede permitem tráfego

  1. Abra o console do Amazon VPC.
  2. No painel de navegação, escolha Subnets (Sub-redes).
  3. Selecione as sub-redes usadas pelo anexo da VPC e pela instância da SD-WAN.
  4. Escolha a guia Network ACL (ACL da rede). Verifique se:
    A ACL da rede da instância de SD-WAN permite tráfego GRE.
    A ACL da rede da instância de origem permite o tráfego.
    Confirme se a ACL da rede associada à interface de rede do Transit Gateway permite o tráfego.

Confirme se a origem e o grupo de segurança da instância do EC2 da SD-WAN permitem o tráfego

  1. Abra o console do Amazon EC2.
  2. No painel de navegação, escolha Instances (Instâncias).
  3. Selecione as instâncias apropriadas.
  4. Escolha a guia Security (Segurança).
  5. Confirme se o grupo de segurança da instância de SD-WAN permite o tráfego GRE nas regras de entrada para aceitar iniciações GRE ou na regra de saída para iniciar a sessão GRE. Confirme se o grupo de segurança da instância de origem permite o tráfego.

Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?