Wie behebe ich Verbindungsprobleme, wenn ich versuche, die Direct Connect-Peer-IP-Adresse anzupingen?

Behebung

Fehlgeschlagener Ping zwischen dem Kunden-Gateway-Gerät und der AWS-Peer-IP-Adresse

Wenn der Ping zwischen dem Kunden-Gateway-Gerät und der AWS-Peer-IP-Adresse fehlschlägt, überprüfen Sie Folgendes:

• Überprüfen Sie die physische Direct Connect-Verbindung am Kunden-Gateway-Gerät oder in der Direct Connect-Konsole. Wenn die physische Verbindung AUSGEFALLEN ist, lesen Sie die Schritte zur Fehlerbehebung bei Direct Connect Layer-1.
• Stellen Sie in der Direct Connect-Konsole sicher, dass alle Peer-IP-Adresskonfigurationen auf dem Kunden-Gateway-Gerät und der virtuellen Direct Connect-Konsole identisch sind.
• Vergewissern Sie sich, dass die richtige IP-Adresse und Subnetzmaske auf der Subschnittstelle konfiguriert sind.
• Stellen Sie sicher, dass die richtige VLAN-Kapselung (802.1Q) und das richtige VLAN-Tag verwendet werden.
• Bestätigen Sie die Quell- und Ziel-IP-Adressen, wenn der Ping initiiert wird.
• Stellen Sie sicher, dass das ICMP-Protokoll die eingehenden und ausgehenden Regeln in der Zugriffssteuerungsliste (ACL) und den Sicherheitsrichtlinien zulässt. Diese Regeln müssen für das Kunden-Gateway-Gerät und alle Zwischengeräte zulässig sein.

Wenn Ihr Ping immer noch fehlschlägt, haben Sie möglicherweise Probleme mit der Layer-2-Konnektivität.

Behebung von Layer-2-Verbindungsproblemen

• Prüfen Sie, ob der ARP-Eintrag für den Direct Connect-Endpunkt auf der Seite des Kunden-Gateways über die richtige Subschnittstelle abgerufen wird. Wenn auf dem Kunden-Gateway-Gerät kein ARP-Eintrag für den Direct Connect-Endpunkt vorhanden ist, lernt es die MAC-Adresse des Direct Connect-Endpunkts nicht.
• Überprüfen Sie die Zähler für ausgehende und eingehende Pakete auf der Kunden-Gateway-Schnittstelle, die mit der Direct Connect-Verbindung verbunden ist. Wenn die Ausgabepakete zunehmen und die Eingabepakete nicht zunehmen, empfängt das Kunden-Gateway-Gerät keine ARP-Anfragen von AWS. Wenn die Eingabepakete zunehmen und die Ausgangspakete nicht zunehmen, reagiert das Kunden-Gateway nicht auf ARP-Anfragen vom Direct Connect-Endpunkt. Wenn Eingabe- und Ausgabepakete nicht inkrementiert werden, liegt möglicherweise eine VLAN-Diskrepanz vor oder es werden Frames ohne Tag von der Verbindung empfangen.
• Stellen Sie sicher, dass die VLAN-ID in der Datenbank auf dem Kunden-Gateway-Gerät installiert ist.
• Stellen Sie sicher, dass der unmittelbare Uplink zu AWS als Trunk konfiguriert ist. Wenn es sich bei dem unmittelbaren Uplink um einen Trunk handelt, vergewissern Sie sich, dass das richtige VLAN über den Trunk-Port zugelassen ist.

Hinweis: Einige Netzwerkanbieter verwenden Q-in-Q-Tagging. Dies könnte Ihr markiertes VLAN ändern. Bei der VLAN-Übersetzung kann auch das VLAN-Tag geändert werden, was dazu führt, dass die ARP-Einrichtung fehlschlägt.

• Stellen Sie sicher, dass das native VLAN nicht vom Kunden-Gateway-Gerät oder irgendwelchen Zwischengeräten verwendet wird.
• Stellen Sie sicher, dass MACsec für Zwischensprünge nicht aktiviert ist.
• Löschen Sie die ARP-Tabelle und den ARP-Cache auf dem Kunden-Gateway-Gerät.
• Führen Sie ein Debugging für den ARP auf dem Kunden-Gateway-Gerät aus.
• Führen Sie eine Paketerfassung auf dem unmittelbaren Layer-2-Gerät durch, das eine Uplink-Verbindung zum Direct Connect-Endpunkt herstellt. Stellen Sie sicher, dass die ARP-Sende-MAC-Adresse FF:FF:FF:FF:FF:FF mit der richtigen 802.1Q-Kapselung und dem richtigen VLAN-Tag an AWS gesendet wird.

Ping schlägt immer noch fehl, nachdem ARP eingerichtet wurde

Wenn der Ping immer noch fehlschlägt, nachdem die Layer-2-Probleme behoben und der ARP eingerichtet wurde, gehen Sie wie folgt vor:

• Vergewissern Sie sich, dass die Quellschnittstelle und die richtige IP-Adresse für Ping-Prüfungen verwendet werden.
• Erfassen Sie das Debugging für den ICMP-Verkehrsfluss auf dem Kunden-Gateway-Gerät. Prüfen Sie, ob die ICMP-Pakete ausgehen und ob es Antworten oder Fehler gibt.
• Sammeln Sie Paketerfassungen auf dem Kunden-Gateway-Gerät und Zwischengeräten im Kundennetzwerk, um festzustellen, ob ein Gerät den ICMP-Verkehr blockiert.