¿Cómo puedo solucionar los problemas de conectividad de Direct Connect a los recursos de AWS?

Breve descripción

Direct Connect utiliza interfaces virtuales (VIF) privadas, públicas y de tránsito en función del recurso al que acceda en AWS. La conexión a los recursos de AWS desde las instalaciones locales mediante una VIF de Direct Connect puede provocar varios problemas de conectividad, según el tipo de VIF que utilice.

Resolución

Si la VIF con la que tiene problemas estaba en uso y de repente dejó de funcionar, siga estos pasos:

• Consulte el panel de AWS Health para ver si hay algún mantenimiento de AWS en curso o completado recientemente que pueda afectar a su conexión o VIF de Direct Connect.
• Inicie sesión en la consola de Direct Connect y compruebe si el estado de la VIF es ACTIVO. Si el estado es INACTIVO, entonces el protocolo de puerta de enlace fronteriza (BGP) no está establecido. Para solucionar este problema, consulte Solución de problemas de AWS Direct Connect.

Solución de problemas de conectividad según el tipo de VIF

Para solucionar sus problemas de conectividad, determine su tipo de VIF y complete los pasos siguientes:

Interfaces virtuales privadas

Las interfaces virtuales privadas se utilizan para acceder a los recursos en una Amazon Virtual Private Cloud (Amazon VPC). Acceden a los recursos mediante la dirección IP privada asignada desde el rango CIDR de Amazon VPC. Si tiene problemas para conectarse a un recurso en una Amazon VPC, siga estos pasos:

1.Compruebe que el grupo de seguridad de la instancia de destino y la lista de control de acceso (ACL) a la red de la subred tengan las reglas de entrada y salida adecuadas. Se debe permitir la conectividad bidireccional entre AWS y las instalaciones locales en función de la dirección IP de origen y destino y el puerto que se utilicen.

2.Compruebe la configuración de enrutamiento de la BGP en el enrutador local para asegurarse de que las rutas necesarias se dirijan a AWS. Si utiliza la propagación de rutas en la tabla de enrutamiento de Amazon VPC, las rutas deberían estar visibles en la tabla de enrutamiento de Amazon VPC. Además, el objetivo debe ser la puerta de enlace privada virtual correcta.

3.Compruebe que su enrutador local reciba rutas para el CIDR de Amazon VPC a través de la BGP. Las rutas deben recibirse desde la dirección IP del mismo nivel de AWS asociada a la VIF de Direct Connect.

• Si no recibe rutas de la dirección IP del mismo nivel de AWS, compruebe si la puerta de enlace privada virtual está asociada a la Amazon VPC correcta.
• Si su VIF privada finaliza en la puerta de enlace de Direct Connect, asegúrese de que la puerta de enlace privada virtual correcta esté asociada a la puerta de enlace de Direct Connect. Asegúrese de que los prefijos permitidos estén configurados para permitir que el CIDR de Amazon VPC se dirija al enrutador local.

4.Realice un traceroute desde el enrutador local hasta la instancia de Amazon VPC e invierta la dirección de la siguiente manera:

Traceroute basado en ICMP:

sudo traceroute -n -I <private-IP-of-EC2-instance/on-premises-host>

**Nota:**Si su enrutador o firewall local bloquea las solicitudes de traceroute basadas en ICMP, ejecute un traceroute basado en TCP en el puerto TCP correspondiente.

Traceroute basado en TCP:

sudo traceroute -n -T -p 22 <private-IP-of-EC2-instance/on-premises-host>

**Nota:**En el comando anterior, -n -T -p 22 realiza un rastreo en el puerto 22. Puede usar cualquier puerto en el que esté escuchando su aplicación.

5.Compruebe los resultados de traceroute para confirmar la visibilidad y el comportamiento del enrutador local y de las IP del mismo nivel de AWS asociadas a su VIF.

• Si el traceroute se detiene en la IP del mismo nivel del enrutador local, el tráfico disminuye cuando llega al enrutador local. Compruebe la configuración del firewall de la red local para asegurarse de que se permite la conectividad bidireccional en el puerto seleccionado.
• Si el traceroute se detiene en la IP del mismo nivel de AWS, compruebe la configuración del grupo de seguridad y de la ACL de la red del paso 1. También puede utilizar los registros de flujo de Amazon VPC para comprobar si los paquetes enviados desde el enrutador local se reciben en una interfaz de red elástica específica.
• Si no ve la IP del mismo nivel local o de AWS asociada a la VIF, significa que el tráfico se está reenviando por una ruta incorrecta. Compruebe su enrutador local para confirmar si tiene una ruta más específica o preferida para el mismo CIDR a través de un par diferente.
• Si el traceroute de AWS al enrutador local no contiene la dirección IP del mismo nivel de AWS, compruebe si otra VIF también está finalizando. Compruebe si otra VIF está finalizando en la misma puerta de enlace privada virtual o puerta de enlace de Direct Connect que anuncia la misma ruta local. Si es así, compruebe si hay conexiones de Site-to-Site VPN existentes que anuncien rutas específicas para el enrutador local en la tabla de enrutamiento de Amazon VPC.

6.Compare los traceroutes de AWS al enrutador local y del enrutador local a AWS. Si ambos traceroutes tienen saltos diferentes, esto indica un enrutamiento asimétrico. Asegúrese de que se prefiera la misma interfaz virtual privada de Direct Connect de forma bidireccional mediante el uso de políticas de enrutamiento.

Interfaces virtuales públicas

Las interfaces virtuales públicas acceden a todos los servicios públicos de AWS mediante direcciones IP públicas. Para solucionar los problemas de conectividad de la interfaz virtual pública, siga estos pasos:

1.Compruebe si el enrutador local que aloja su interfaz virtual pública recibe rutas de prefijos públicos de la dirección IP del mismo nivel de AWS. Si utiliza un mapa de rutas y un filtro de prefijos de entrada para filtrar las rutas, asegúrese de que el filtro de prefijos coincida con los prefijos requeridos.

2.Compruebe que está anunciando la dirección IP pública del mismo nivel en AWS a través de la BGP si está realizando la traducción de direcciones de red (NAT) para las redes locales.

Escenario de ejemplo:

• La dirección IP local del mismo nivel es 69.210.74.146/31
• La dirección IP remota del mismo nivel es 69.210.74.147/31
• Si está realizando una NAT para el tráfico de red local a la dirección IP local del mismo nivel, anuncie 69.210.74.146/32 en AWS.

Nota: Asegúrese de conectarse a AWS desde un prefijo que se anuncie localmente a través de la VIF pública. No puede conectarse desde un prefijo que no esté anunciado en una VIF pública.

3.Realice un traceroute desde las instalaciones locales a AWS para comprobar si el tráfico se reenvía a través de la VIF pública de Direct Connect.

• Si el tráfico se reenvía a través de la VIF pública, el traceroute debe tener asociadas las IP locales y remotas (AWS) del mismo nivel.
• Si necesita comprobar la ruta de red utilizada en AWS, lance una instancia pública de Amazon Elastic Compute Cloud (Amazon EC2). La instancia debe tener la misma región que su servicio de AWS. Tras lanzar la instancia, realice un traceroute a las instalaciones locales. Si el traceroute indica que el tráfico se reenvía a través de Internet o a través de una VIF diferente, es posible que se anuncie una ruta específica.

**Nota:**AWS usa AS_PATH y la coincidencia de prefijo más largo se usa para determinar la ruta de direccionamiento. Direct Connect es la ruta preferida para el tráfico procedente de Amazon.

4.Compruebe que la conectividad a un servicio público de AWS (como Amazon Simple Storage Service o Amazon S3) funcione en la región de destino correcta. A continuación, compruebe si utiliza etiquetas comunitarias de BGP en los prefijos públicos que anuncia en Amazon.

Nota: Las etiquetas comunitarias de BGP determinan hasta qué punto debe propagar sus prefijos en la red de Amazon.

Interfaces virtuales de tránsito

Las interfaces virtuales de tránsito acceden a una o más puertas de enlace de tránsito (TGW) de Amazon VPC asociadas a las puertas de enlace de Direct Connect. Para solucionar problemas de conectividad, siga estos pasos:

1.Compruebe que la tabla de enrutamiento de la subred de Amazon VPC del recurso de destino tenga una ruta para el CIDR local hacia la TGW. Asegúrese de que los grupos de seguridad de instancias o recursos y la ACL de red de la subred permitan la conectividad bidireccional. Para obtener más información, consulte Cómo funcionan las ACL de red con puertas de enlace de tránsito.

2.Compruebe que el enrutador local asociado a su VIF de tránsito reciba las rutas correctas a través de la BGP del par de AWS. Las rutas son para el CIDR de Amazon VPC de destino. Si no recibe las rutas requeridas, consulte la sección Prefijos permitidos. Compruebe que los prefijos permitidos para la asociación de la puerta de enlace de Direct Connect con la TGW estén configurados con los prefijos necesarios. AWS solo anuncia las rutas configuradas en la sección Prefijos permitidos a través de una VIF de tránsito.

3.Compruebe si el enrutador local asociado a la VIF de tránsito anuncia los prefijos de red local requeridos en AW

• Si está propagando rutas desde la puerta de enlace de Direct Connect a una tabla de enrutamiento de TGW, compruebe si las rutas se pueden ver en la tabla de enrutamiento. Si las rutas no están visibles, compruebe la ruta AS en las rutas anunciadas para asegurarse de que no incluye el ASN de la TGW.
• Si anuncia una ruta específica que contiene el ASN de la TGW en la ruta AS, la ruta no se instalará en la tabla de enrutamiento. Asegúrese de que el ASN utilizado por el dispositivo de puerta de enlace de cliente (enrutador local) sea diferente del ASN de la TGW.

4.Compruebe que la tabla de la TGW asociada a la puerta de enlace de Direct Connect y a las vinculaciones de Amazon VPC de destino tenga la ruta correcta para el destino.

• La tabla de enrutamiento de la TGW asociada a la puerta de enlace de Direct Connect debe tener una ruta para el CIDR de Amazon VPC dirigida al vínculo de Amazon VPC.
• La tabla de enrutamiento de la TGW asociada al vínculo de Amazon VPC debe tener una ruta para el CIDR local dirigida al vínculo de la puerta de enlace de Direct Connect.

5.Realice un traceroute bidireccional de AWS a las instalaciones locales (en ambas direcciones) para identificar la ruta del tráfico y el salto en el que disminuye el tráfico.

• Si el tráfico disminuye después de llegar a la dirección IP del mismo nivel de AWS, compruebe lo siguiente:
• Si el traceroute de AWS a las instalaciones locales disminuye en la dirección IP local del mismo nivel, compruebe la configuración del firewall local. Asegúrese de que se permita la conectividad bidireccional en los puertos correctos entre el origen y el destino.

6.Si el traceroute de AWS a las instalaciones locales no incluye la IP del mismo nivel asociada a su VIF, compruebe la puerta de enlace de Direct Connect. Compruebe la puerta de enlace de Direct Connect para confirmar si tiene otras VIF de tránsito en la misma puerta de enlace de Direct Connect que anuncien las mismas rutas locales. Si es así, utilice esta política de enrutamiento para la VIF de tránsito a fin de identificar la VIF que debe usarse para la conectividad de salida.

7.Compruebe que el vínculo de Amazon VPC de la TGW tenga una subred asociada de la misma zona de disponibilidad que el recurso de destino. Por ejemplo, si la instancia se encuentra en una zona de disponibilidad específica, el vínculo de Amazon VPC de la TGW debe tener una subred en la misma ubicación.

Nota: Puede utilizar los registros de flujo de Amazon VPC para comprobar si el tráfico local llega a una interfaz de red elástica de instancias específica. Esto ayuda a identificar si hay tráfico bidireccional en la interfaz de red elástica.