Wie behebe ich Layer-3-Probleme in Direct Connect?

Lösung

Hinweis: Informationen zu Layer-1-Problemen findest du unter Wie behebe ich Layer-1-Probleme in Direct Connect? Informationen zu Layer-2-Problemen findest du unter Wie behebe ich Layer-2-Probleme in Direct Connect?

Im AWS-Servicestatus-Dashboard nach Wartungsaktivitiäten suchen

Direct-Connect-Verbindungen können sich aufgrund laufender AWS-Wartungsarbeiten, die einige Minuten bis einige Stunden dauern können, im Status DOWN befinden. Während der Wartung wechseln Border Gateway Protocol (BGP)-Verbindungen in einen Ruhezustand.

Suche im Abschnitt Events (Ereignisse) des AWS-Servicestatus-Dashboards nach laufenden oder kürzlich abgeschlossenen AWS-Wartungsarbeiten, die sich auf die Direct-Connect-Verbindung auswirken könnten.

Richte Benachrichtigungen für wichtige Metriken ein, damit du sofort Benachrichtigungen erhältst.

Überprüfen der BGP-Konfiguration

Wenn sich die virtuelle Schnittstelle im Status „verfügbar“ befindet, du aber keine BGP-Verbindung herstellen kannst, gehe wie folgt vor:

• Suche nach Konfigurationsproblemen mit der lokalen autonomen Systemnummer (ASN) des BGP und der AWS-ASN.
• Suche auf beiden Seiten der BGP-Peering-Sitzung nach Konfigurationsproblemen mit den Peer-IP-Adressen.
• Konfiguriere den MD5-Authentifizierungsschlüssel so, dass er mit dem Schlüssel in der heruntergeladenen Router-Konfigurationsdatei übereinstimmt. Stelle sicher, dass der Schlüssel keine zusätzlichen Leerzeichen oder Zeichen enthält.
• Kündige nicht mehr als 100 Präfixe für private virtuelle Schnittstellen oder 1 000 Präfixe für öffentliche virtuelle Schnittstellen an.<br id=hardline_break/> Hinweis: Du kannst diese Kontingente nicht ändern oder überschreiten.
• Deaktiviere die Regeln der Firewall oder der Netzwerk-Zugriffssteuerungsliste (Netzwerk-ACL), die den TCP-Port 179 oder hochnummerierte, kurzlebige TCP-Ports blockieren.<br id=hardline_break/> Hinweis: Diese Ports sind erforderlich, damit BGP eine TCP-Verbindung zwischen den Peers herstellen kann.
• Überprüfe die BGP-Protokolle auf Fehler oder Warnmeldungen.

Wenn die vorherigen Schritte die BGP-Probleme nicht lösen, gehe wie folgt vor:

• Vergewissere dich, dass du BGP auf dem Gateway richtig konfiguriert hast.
• Führe einen Ping-Test zwischen den BGP-Peer-IP-Adressen durch.
• Sammle die Paketerfassungen für den Datenverkehr zwischen den BGP-Peer-IP-Adressen von deinem Gateway-Gerät.

Probleme mit BGP-Zuständen beheben

Wenn du das BGP richtig konfiguriert hast und immer noch Layer-3-Probleme auftreten, behebe die BGP-Zustände.

Hinweis: Der Status Idle (Im Ruhezustand) ist der erste Status , in dem BGP auf ein Startereignis wartet. Das Startereignis tritt ein, wenn du einen neuen BGP-Nachbarn konfigurierst oder eine bestehende BGP-Peering-Sitzung zurücksetzt. BGP initialisiert Ressourcen, setzt einen ConnectRetry-Timer zurück und initiiert dann eine TCP-Verbindung zum entfernten BGP-Nachbarn.

Status „Verbinden“

Während des Status Verbinden wartet BGP darauf, dass der TCP-Dreiwege-Handshake abgeschlossen ist. Wenn der Handshake erfolgreich ist, wechselt die Verbindung in den Status OpenSent.

Beispiel für eine erfolgreiche Verbindung:

2021-07-04 22:50:20 169.254.60.146 169.254.60.145 TCP 74 34516 → 179 [SYN] Seq=0 Win=2920 Len=0 MSS=1460 SACK_PERM TSval=3030456 TSecr=0 WS=1
2021-07-04 22:50:20.719228 169.254.60.145 169.254.60.146 TCP 74    179 → 34516 [SYN, ACK] Seq=0 Ack=1 Win=26844 Len=0 MSS=1375 TSval=64921081 TSecr=3030456 WS=128
2021-07-04 22:50:20.719453 169.254.60.146 169.254.60.145 TCP 66    34516 → 179 [ACK] Seq=1 Ack=1 Win=2920 Len=0 TSval=3030476 TSecr=64921081

Wenn die Verbindung oder ConnectRetry fehlschlägt, verbleibt die Verbindung im Status Aktiv und wechselt nicht in den OpenSent-Status.

Gehe wie folgt vor, um Probleme mit dem Status „Verbinden“ zu beheben:

• Führe einen Telnet-Test auf TCP-Port 179 durch, um dich zu vergewissern, dass TCP-Konnektivität zwischen den beiden BGP-Nachbarn besteht. Wenn keine TCP-Konnektivität besteht, überprüfe die Protokolle auf Fehler oder verworfene Pakete während der TCP-Verbindung.
• Stelle sicher, dass du die IP-Adresse des BGP-Nachbarn auf BGP, dem Gateway und AWS richtig konfiguriert hast.
• Stelle sicher, dass du die richtige BGP-Authentifizierung auf den Routern eingegeben hast.

Status „OpenSent“

Nachdem BGP eine OPEN-Nachricht an den Peer gesendet hat, wartet BGP im OpenSent-Status auf die OPEN-Antwort. Wenn BGP erfolgreich eine Antwort erhält, wechselt der BGP-Status zu OpenConfirm und sendet eine Keepalive-Nachricht an den Peer. Wenn eine Verbindung fehlschlägt, kehrt BGP in den Status Idle (Im Ruhezustand) oder Aktiv zurück.

Wenn BGP keine Verbindung herstellt, suche in den Protokollen nach einer OPEN-Nachricht, die der BGP-Nachbar gesendet und empfangen hat und die BGP-Parameter enthält.

Beispiel für eine OPEN-Nachricht:

Border Gateway Protocol - OPEN MessageType: OPEN Message (1)  
Version: 4   
My AS: 65000  
Hold Time: 30  
BGP Identifier: 54.241.242.80

Überprüfe außerdem die OpenSent-Protokolle, um die Ursache des Fehlers zu ermitteln.

Hinweis: AWS akzeptiert 0 nicht als Wert für die Wartezeit.

Status „OpenConfirm“

BGP wartet im OpenConfirm-Status auf eine Keepalive-Nachricht vom Peer. Wenn BGP erfolgreich eine Nachricht empfängt, wechselt der Status zu Established (Hergestellt). Andernfalls kehrt der Status in den Status Idle (Im Ruhezustand) oder Aktiv zurück.

Stelle in den Protokollen sicher, dass der Peer die Keepalive-Nachricht gesendet und BGP sie empfangen hat.

Beispiel für Keepalive-Nachrichten zwischen BGP-Peers:

65    2021-07-04 22:50:20.744297    169.254.60.146    169.254.60.145    BGP    85    KEEPALIVE Message
66    2021-07-04 22:50:20.765323    169.254.60.145    169.254.60.146    BGP    85    KEEPALIVE Message

Status „Established“ (Hergestellt)

Im Status Established (Hergestellt) tauscht BGP Informationen zwischen den Peers aus.

Beispiel für eine BGP-Aktualisierungsnachricht:

Border Gateway Protocol - UPDATE Message
Path attributes
Path Attribute - AS_PATH: 65000
Path Attribute - NEXT_HOP: 169.254.60.146
Network Layer Reachability Information (NLRI)
   192.168.0.0/16

Wenn BGP keine Verbindung herstellt, gehe wie folgt vor:

• Überprüfe die Protokolle, um sicherzustellen, dass die Router Updates korrekt austauschen. Stelle sicher, dass die angekündigten Präfixe den erwarteten Routen entsprechen.
• Stelle sicher, dass BGP-Filter oder Präfixlisten die Routenverbreitung innerhalb der Routing-Tabelle nicht verhindern.
• Vergewissere dich, dass die angekündigten Routeneinträge in den Peer-Routing-Tabellen korrekt sind.
• Die BGP-Protokolle oder On-Premises-Geräte zeigen möglicherweise an, dass die BGP-Peering-Sitzung auf der virtuellen Direct-Connect-Schnittstelle des virtuellen Gateways vom Status Established (Hergestellt) in den Status Idle (Im Ruhezustand) wechselte. Stelle in diesem Fall sicher, dass der Peer während der BGP-Peering-Sitzung weniger als 100 Routen ankündigt.

BFD-Probleme beheben

AWS aktiviert automatisch die asynchrone Bidirectional Forwarding Detection (BFD) für virtuelle Direct-Connect-Schnittstellen auf AWS.

Gehe wie folgt vor, um BFD-Probleme zu beheben:

• Wenn du BFD auf dem Router aktiviert hast, überprüfe, ob du die BFD richtig konfiguriert hast.
• Stelle sicher, dass sich die BFD-Peering-Sitzung auf dem Router im Status UP befindet.
• Überprüfe die BFD-Ereignisse oder -Protokolle auf dem Router.

Hinweis: Das standardmäßige Mindestintervall für die BFD-Lebendigkeitserkennung für AWS beträgt 300 Millisekunden (ms). Der Standardmultiplikator für die BFD-Lebendigkeitserkennung ist 3.

Um Failover- oder Verbindungsprobleme zu vermeiden, empfiehlt es sich, den ordnungsgemäßen Neustart und BFD nicht gleichzeitig zu konfigurieren. Konfiguriere für ein schnelles Failover BFD mit einem deaktivierten ordnungsgemäßen Neustart.

Ähnliche Informationen

Beheben von Layer-3/4-Problemen (Netzwerk/Datentransport)