¿Por qué no puedo usar una conexión de Direct Connect para conectarme a los recursos de la VPC a través de una interfaz virtual de tránsito?

Solución

Comprobación de si está anunciando los prefijos de red locales correctos

Revise su router local del protocolo de puerta de enlace fronteriza (BGP) de Direct Connect. El router debe anunciar los prefijos locales correctos para el par del BGP de AWS Direct Connect en la interfaz virtual de tránsito.

Revise las rutas anunciadas en el router local del BGP. El router local del BGP debe incluir la ruta anunciada en la base de información de enrutamiento local (RIB). Los comandos que se utilizan para comprobar estas rutas varían según la marca y el modelo del dispositivo local del BGP. Para obtener más información, consulte la documentación de su dispositivo.

Nota: Puede anunciar un máximo de 100 rutas por sesión del BGP en una interfaz virtual de tránsito. Este límite de servicio es fijo y no se puede cambiar. Si supera esta cuota de servicio, la sesión del BGP pasa a estado inactivo.

Comprobación de si está anunciando los prefijos de Amazon VPC correctos desde la puerta de enlace de Direct Connect a la red local

Cuando asocie puertas de enlace de tránsito a puertas de enlace de Direct Connect, utilice prefijos que pueda anunciar en la red local a través de la puerta de enlace de Direct Connect.

Nota: Si especifica alguno de los siguientes prefijos, AWS lo volverá a anunciar en la red local:

• Un prefijo de subred de un equipo privado virtual (VPC), como 10.1.0.0/24 en una VPC 10.1.0.0/16
• Un prefijo de VPC completo
• Una superred (por ejemplo, 10.0.0.0/8)

Revisión de la configuración de la puerta de enlace de tránsito

Asegúrese de haber configurado correctamente la puerta de enlace de tránsito:

• Siga las reglas para asociaciones de puertas de enlace de tránsito. Las interfaces virtuales de tránsito utilizan asociaciones de puerta de enlace de Direct Connect con puertas de enlace de tránsito para facilitar la comunicación. Esta comunicación va desde la red local a varias VPC en todas las regiones y cuentas de AWS a través de una única interfaz virtual de tránsito.
• Revise la configuración de enrutamiento de la puerta de enlace de tránsito. Puede configurar tablas de enrutamiento para propagar rutas para cualquier VPC, red privada virtual (VPN) o conexión de Direct Connect asociada. También puede agregar rutas estáticas a las tablas de enrutamiento de las puertas de enlace de tránsito. Cuando un paquete proviene de una conexión, utiliza la tabla de enrutamiento que coincide con la dirección IP de destino para realizar el enrutamiento a otra conexión.
  Nota: Solo puede asociar una tabla de enrutamiento a cada conexión. Sin embargo, una conexión puede propagar sus rutas a más de una tabla de enrutamiento.
• Si ha asociado una VPC a la puerta de enlace de tránsito, revise las zonas de disponibilidad. Asegúrese de seleccionar la cantidad adecuada de zonas de disponibilidad para que la puerta de enlace de tránsito enrute el tráfico a los recursos de las subredes de VPC. La puerta de enlace de tránsito usa una dirección IP de la subred para crear una interfaz de red en esa subred.
• Si existen recursos en diferentes zonas de disponibilidad, confirme que la interfaz de red elástica de la puerta de enlace de tránsito se encuentre en la zona de disponibilidad en cuestión.
  Importante: Las zonas de disponibilidad sin conexión de puerta de enlace de tránsito no pueden alcanzar la puerta de enlace de tránsito. Si puede enrutar el tráfico desde una zona de disponibilidad pero no desde otra, revise la interfaz de red de la puerta de enlace de tránsito. La interfaz de red de la puerta de enlace de tránsito se debe encontrar en esa zona. Para lograr una alta disponibilidad, se recomienda activar las interfaces de red de la puerta de enlace de tránsito en varias zonas de disponibilidad.

Revisión de la configuración de Amazon VPC

En su Amazon VPC, asegúrese de haber configurado los siguientes ajustes:

• Los grupos de seguridad permiten el tráfico de entrada y salida hacia y desde los prefijos de red locales anunciados.
• Ha configurado correctamente la lista de control de acceso de la red (ACL de la red). Cree una ACL de la red y, a continuación, asóciela a todas las subredes asociadas a la puerta de enlace de tránsito. Mantenga la ACL de la red abierta tanto en la dirección de entrada como en la de salida.
• La tabla de enrutamiento de la subred incluye una entrada de ruta con el ID de la puerta de enlace de tránsito como Objetivo y el prefijo de red local como Destino.

Comprobación de si las solicitudes se envían y se reciben a través de la conexión deseada de Direct Connect

Nota: Siga estos pasos para solucionar problemas cuando tenga la siguiente configuración:

• Ha configurado conexiones físicas redundantes de Direct Connect desde la ubicación local.
• Ha configurado una interfaz virtual de tránsito por cada conexión física de Direct Connect.
• Ha anunciado prefijos locales similares a través de ambas interfaces virtuales de tránsito hacia AWS.

Para confirmar si la configuración Activa/Pasiva o Activa/Activa para las conexiones redundantes funciona, lleve a cabo las siguientes acciones:

• Ejecute un traceroute bidireccional. Revise las direcciones IP del par del BGP de Direct Connect para encontrar la interfaz virtual de tránsito que se usa para enviar o recibir tráfico.
• Use etiquetas de comunidad BGP de preferencia local para lograr el equilibrio de carga y la preferencia de ruta para el tráfico de entrada a su red.
• Para usar una configuración Activa/Pasiva en la misma región, utilice la preferencia local y anteponga una ruta AS.
  Nota: La preferencia local influye en el tráfico de salida del centro de datos local a través de un determinado enlace de Direct Connect. La anteposición de una ruta AS influye en el tráfico de entrada que regresa a su centro de datos local desde AWS.

Información relacionada

Creating a transit virtual interface to the Direct Connect gateway