Wie behebe ich Verbindungsprobleme von Direct Connect zu AWS-Ressourcen?

Kurzbeschreibung

Direct Connect verwendet private, öffentliche und virtuelle Transitschnittstellen (VIF), abhängig von der Ressource, auf die Sie innerhalb von AWS zugreifen. Die Verbindung zu AWS-Ressourcen On-Premises mithilfe einer Direct-Connect-VIF kann je nach Art der verwendeten VIF zu verschiedenen Verbindungsproblemen führen.

Lösung

Wenn die VIF, mit der Sie Probleme haben, verwendet wurde und plötzlich nicht mehr funktioniert, gehen Sie wie folgt vor:

• Suchen Sie auf Ihrem AWS-Servicestatus-Dashboard nach laufenden oder kürzlich abgeschlossenen AWS-Wartungsarbeiten, die sich auf Ihre Direct-Connect-Verbindung oder VIF auswirken könnten.
• Melden Sie sich bei Ihrer Direct Connect-Konsole an und überprüfen Sie, ob der VIF-Status UP lautet. Wenn der Status DOWN ist, ist das Border Gateway Protocol (BGP) nicht eingerichtet. Informationen zur Behebung dieses Problems finden Sie unter Problembehandlung bei AWS Direct Connect.

Verbindungsprobleme aufgrund Ihres VIF-Typs beheben

Um Ihre Verbindungsprobleme zu beheben, ermitteln Sie Ihren VIF-Typ und führen Sie die folgenden Schritte aus:

Private virtuelle Schnittstellen

Private virtuelle Schnittstellen werden verwendet, um auf Ressourcen innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) zuzugreifen. Sie greifen auf Ressourcen zu, indem sie die private IP-Adresse verwenden, die aus dem Amazon-VPC-CIDR-Bereich zugewiesen wurde. Wenn Sie Probleme haben, eine Verbindung zu einer Ressource innerhalb einer Amazon VPC herzustellen, gehen Sie wie folgt vor:

1.Stellen Sie sicher, dass die Sicherheitsgruppe der Ziel-Instance und die Subnetz-Netzwerk-Zugriffssteuerungsliste (ACL) über die entsprechenden Regeln für eingehenden und ausgehenden Datenverkehr verfügen. Bidirektionale Konnektivität zwischen AWS und lokalen Systemen sollte je nach verwendeter Quell- und Ziel-IP-Adresse und Port zulässig sein.

2.Überprüfen Sie die BGP-Routing-Konfiguration auf dem On-Premises-Router, um sicherzustellen, dass die erforderlichen Routen an AWS weitergeleitet werden. Wenn Sie die Routenpropagierung in der Amazon-VPC-Routing-Tabelle verwenden, sollten die Routen in der Amazon-VPC-Routing-Tabelle sichtbar sein. Außerdem sollte das richtige virtuelle private Gateway das Ziel sein.

3.Vergewissern Sie sich, dass Ihr On-Premises-Router Routen für die Amazon VPC CIDR über das BGP empfängt. Routen sollten von der AWS-Peer-IP-Adresse empfangen werden, die der Direct-Connect-VIF zugeordnet ist.

• Wenn Sie keine Routen von der AWS-Peer-IP-Adresse empfangen, überprüfen Sie, ob das Virtual Private Gateway mit der richtigen Amazon VPC verknüpft ist.
• Wenn Ihre private VIF auf dem Direct-Connect-Gateway endet, stellen Sie sicher, dass das richtige virtuelle private Gateway mit dem Direct-Connect-Gateway verknüpft ist. Stellen Sie sicher, dass die zulässigen Präfixe so konfiguriert sind, dass der Amazon VPC CIDR an den lokalen Router weitergeleitet werden kann.

4.Führen Sie eine Traceroute vom On-Premises-Router zur Amazon-VPC-Instance durch und kehren Sie die Richtung wie folgt um:

ICMP-basierte Traceroute:

sudo traceroute -n -I <private-IP-of-EC2-instance/on-premises-host>

Hinweis: Wenn Ihr On-Premises-Router oder Ihre Firewall ICMP-basierte Traceroute-Anfragen blockiert, führen Sie eine TCP-basierte Traceroute auf dem entsprechenden TCP-Port aus.

TCP-basierte Traceroute:

sudo traceroute -n -T -p 22 <private-IP-of-EC2-instance/on-premises-host>

Hinweis: Im vorherigen Befehl führt -n -T -p 22 eine Verfolgung auf Port 22durch. Sie können jeden Port verwenden, den Ihre Anwendung überwacht.

5.Überprüfen Sie Ihre Traceroute-Ergebnisse, um die Sichtbarkeit und das Verhalten des On-Premises-Routers und der AWS-Peer-IPs zu überprüfen, die mit Ihrer VIF verknüpft sind.

• Wenn die Traceroute an der Peer-IP des On-Premises-Routers stoppt, fällt der Datenverkehr ab, nachdem er den On-Premises-Router erreicht hat. Überprüfen Sie die Firewalleinstellungen des On-Premises-Netzwerks, um sicherzustellen, dass bidirektionale Konnektivität auf dem ausgewählten Port zulässig ist.
• Wenn die Traceroute an der AWS-Peer-IP stoppt, überprüfen Sie die Netzwerk-ACL und die Konfiguration der Sicherheitsgruppe aus Schritt 1. Sie können auch Amazon-VPC-Flow-Protokolle verwenden, um zu überprüfen, ob die vom On-Premises-Router gesendeten Pakete an einer bestimmten Elastic-Netzwerkschnittstelle empfangen werden.
• Wenn Sie die der VIF zugeordnete AWS- oder On-Premises-Peer-IP nicht sehen, wird der Datenverkehr über einen falschen Pfad weitergeleitet. Überprüfen Sie Ihren On-Premises-Router, um zu überprüfen, ob er über eine spezifischere oder bevorzugte Route für dasselbe CIDR über einen anderen Peer verfügt.
• Wenn die Traceroute von AWS zum On-Premises0Router nicht die AWS-Peer-IP-Adresse enthält, überprüfen Sie, ob eine andere VIF ebenfalls beendet wird. Prüfen Sie, ob eine andere VIF auf demselben Virtual Private Gateway oder Direct-Connect-Gateway terminiert, das dieselbe lokale Route ankündigt. Wenn ja, suchen Sie in der Amazon-VPC-Routing-Tabelle nach vorhandenen Site-to-Site-VPN-Verbindungen, die bestimmte Routen für den On-Premises-Router ankündigen.

6.Vergleichen Sie Traceroutes von AWS zum On-Premises-Router und vom On-Premises-Router zu AWS. Wenn beide Traceroutes unterschiedliche Hops haben, deutet dies auf ein asymmetrisches Routing hin. Stellen Sie mithilfe von Routing-Richtlinien sicher, dass dieselbe private virtuelle Direct-Connect-Schnittstelle bidirektional bevorzugt wird.

Öffentliche virtuelle Schnittstellen

Öffentliche virtuelle Schnittstellen greifen über öffentliche IP-Adressen auf alle öffentlichen AWS-Dienste zu. Gehen Sie wie folgt vor, um Verbindungsprobleme mit der öffentlichen virtuellen Schnittstelle zu beheben:

1.Prüfen Sie, ob der On-Premises-Router, der Ihre öffentliche virtuelle Schnittstelle hostet, Routen von öffentlichen Präfixen von der AWS-Peer-IP-Adresse empfängt. Wenn Sie einen Präfixfilter für eingehenden Datenverkehr und eine Routenzuordnung verwenden, um die Routen zu filtern, stellen Sie sicher, dass der Präfixfilter den erforderlichen Präfixen entspricht.

2.Stellen Sie sicher, dass Sie die öffentliche Peer-IP-Adresse über das BGP an AWS weitergeben, wenn Sie die Network Address Translation (NAT) für die On-Premises-Netzwerke durchführen.

Beispielszenario:

• Die lokale Peer-IP-Adresse lautet 69.210.74.146/31
• Die Remote-Peer-IP-Adresse lautet 69.210.74.147/31
• Wenn Sie NAT für den On-Premises-Netzwerkverkehr zur lokalen Peer-IP-Adresse ausführen, kündigen Sie 69.210.74.146/32 an AWS an.

Hinweis: Stellen Sie sicher, dass Sie die Verbindung über ein Präfix herstellen, das von On-Premises über die öffentliche VIF an AWS angekündigt wird. Sie können keine Verbindung von einem Präfix aus herstellen, das nicht für eine öffentliche VIF angekündigt wird.

3.Führen Sie eine Traceroute von On-Premises zu AWS durch, um zu überprüfen, ob der Datenverkehr über die öffentliche Direct-Connect-VIF weitergeleitet wird.

• Wenn der Datenverkehr über die öffentliche VIF weitergeleitet wird, sollten der Traceroute die lokalen (On-Premises-) und Remote-Peer-IPs (AWS) zugeordnet sein.
• Wenn Sie den in AWS verwendeten Netzwerkpfad überprüfen müssen, starten Sie eine öffentliche Amazon Elastic Compute Cloud (Amazon EC2)-Instance. Die Instance muss dieselbe Region wie Ihr AWS-Service haben. Führen Sie nach dem Start der Instance eine Traceroute zu On-Premises durch. Wenn die Traceroute anzeigt, dass der Verkehr über das Internet oder über eine andere VIF weitergeleitet wird, könnte es sein, dass eine bestimmte Route angekündigt wird.

Hinweis: AWS verwendet AS_PATH und Längste Präfix-Übereinstimmung wird verwendet, um den Routingpfad zu bestimmen. Direct Connect ist der bevorzugte Pfad für Datenverkehr, der von Amazon stammt.

4.Vergewissern Sie sich, dass Ihre Konnektivität zu einem öffentlichen AWS-Service (wie Amazon Simple Storage Service oder Amazon S3) für die richtige Zielregion funktioniert. Prüfen Sie dann, ob Sie BGP-Community-Tags für die öffentlichen Präfixe verwenden, die Sie für Amazon ankündigen.

Hinweis: BGP-Community-Tags bestimmen, wie weit Ihre Präfixe im Amazon-Netzwerk verbreitet werden sollen.

Virtuelle Transitschnittstellen

Virtuelle Transitschnittstellen greifen auf eines oder mehrere Amazon VPC-Transit-Gateways (TGW) zu, die Direct-Connect-Gateways zugeordnet sind. Gehen Sie wie folgt vor, um Verbindungsprobleme zu beheben:

1.Stellen Sie sicher, dass die Amazon VPC-Subnetz-Routing-Tabelle der Zielressource eine Route für das On-Premises-CIDR zum TGW enthält. Stellen Sie sicher, dass die Sicherheitsgruppen der Instance oder Ressource und die Netzwerk-ACL des Subnetzes bidirektionale Konnektivität zulassen. Weitere Informationen finden Sie unter Funktionsweise von Netzwerk-ACLs mit Transit-Gateways.

2.Vergewissern Sie sich, dass der On-Premises-Router, der mit Ihrer Transit-VIF verknüpft ist, die richtigen Routen über das BGP vom AWS-Peer empfängt. Die Routen gelten für das Ziel Amazon-VPC-CIDR. Wenn Sie die erforderlichen Routen nicht erhalten, lesen Sie den Abschnitt Zulässige Präfixe. Stellen Sie sicher, dass die zulässigen Präfixe für die Direct-Connect-Gateway-Zuordnung zu TGW mit den erforderlichen Präfixen konfiguriert sind. Nur Routen, die im Abschnitt Zulässige Präfixe konfiguriert sind, werden von AWS über eine Transit-VIF angekündigt.

3.Prüfen Sie, ob Ihr mit der Transit-VIF verknüpfter On-Premises-Router die erforderlichen On-Premises-Netzwerkpräfixe für AWS ankündigt.

• Wenn Sie Routen vom Direct-Connect-Gateway an eine TGW-Routing-Tabelle weitergeben, überprüfen Sie, ob die Routen in der Routing-Tabelle sichtbar sind. Wenn die Routen nicht sichtbar sind, überprüfen Sie den AS-Pfad auf den ausgeschriebenen Routen, um sicherzustellen, dass er die TGW-ASN nicht enthält.
• Wenn Sie eine bestimmte Route ankündigen, die die TGW-ASN auf dem AS-Pfad enthält, wird die Route nicht in der Routing-Tabelle installiert. Stellen Sie sicher, dass sich die vom Kunden-Gateway-Gerät (On-Premises-Router) verwendete ASN von der TGW-ASN unterscheidet.

4.Vergewissern Sie sich, dass die TGW-Tabelle, die dem Direct-Connect-Gateway und den Amazon-VPC-Zielanhängen zugeordnet ist, die richtige Route für das Ziel enthält.

• Die dem Direct-Connect-Gateway zugeordnete TGW-Routing-Tabelle muss eine Route für die Amazon-VPC-CIDR enthalten, die an den Amazon-VPC-Anhang weitergeleitet wird.
• Die dem Amazon-VPC-Anhang zugeordnete TGW-Routing-Tabelle muss eine Route für den lokalen CIDR enthalten, die an den Direct-Connect-Gateway-Anhang weitergeleitet wird.

5.Führen Sie eine bidirektionale Traceroute von AWS zu On-Premises (beide Richtungen) durch, um den Datenverkehrspfad und den Hop zu ermitteln, an dem der Datenverkehr abfällt.

• Wenn der Datenverkehr nach Erreichen der AWS-Peer-IP-Adresse abfällt, überprüfen Sie Folgendes:
• Wenn die Traceroute von AWS zu On-Premises bei der On-Premises-Peer-IP-Adresse abfällt, überprüfen Sie die On-Premises-Firewallkonfiguration. Stellen Sie sicher, dass bidirektionale Konnektivität an den richtigen Ports zwischen Quelle und Ziel zulässig ist.

6.Wenn die Traceroute von AWS zu On-Premises nicht die mit Ihrer VIF verknüpfte Peer-IP enthält, überprüfen Sie das Direct-Connect-Gateway. Überprüfen Sie das Direct-Connect-Gateway, um zu überprüfen, ob Sie andere Transit-VIFs auf demselben Direct-Connect-Gateway haben, die dieselben On-Premises-Routen ankündigen. Wenn ja, verwenden Sie diese Routing-Richtlinie für die Transit-VIF, um die VIF zu identifizieren, die für die ausgehende Konnektivität verwendet werden muss.

7.Vergewissern Sie sich, dass dem TGW-Amazon-VPC-Anhang ein Subnetz aus derselben Availability Zone wie die Zielressource zugeordnet ist. Wenn sich Ihre Instance beispielsweise in einer bestimmten Availability Zone befindet, muss der TGW-Amazon-VPC-Anhang über ein Subnetz am selben Standort verfügen.

Hinweis: Sie können Amazon-VPC-Flow-Protokolle verwenden, um zu überprüfen, ob der On-Premises-Datenverkehr eine bestimmte Elastic-Instance-Netzwerkschnittstelle erreicht. Auf diese Weise können Sie feststellen, ob auf der Elastic-Netzwerkschnittstelle bidirektionaler Verkehr stattfindet.