Al usar AWS re:Post, aceptas las Términos de uso
AWS re:Postre:Post

¿Cómo soluciono los problemas de conexión entre Transit Gateway y los dispositivos virtuales de terceros que se ejecutan en una VPC?

6 minutos de lectura
0

Tengo una conexión de AWS Transit Gateway Connect para establecer la conectividad entre las instancias de Transit Gateway y SD-WAN (red de área amplia definida por software) en mi nube virtual privada (VPC). Sin embargo, no puedo conectar mi red remota desde la VPC a través de la conexión de Transit Gateway Connect. ¿Cómo puedo solucionar este problema?

Descripción corta

Para solucionar problemas de conectividad entre las redes de origen y las redes remotas conectadas por una conexión de Transit Gateway Connect, compruebe lo siguiente:

  • Configuración de conexión de la conexión
  • Zonas de disponibilidad
  • Tablas de enrutamiento
  • Configuración de seguridad de red

Resolución

Solución de problemas de configuración de la conexiones de Transit Gateway

Confirme la configuración de la conexión de Transit Gateway y Connect

  1. Abra la consola de Amazon Virtual Private Cloud (Amazon VPC).
  2. En el panel de navegación, seleccione Transit gateways attachments (Conexiones de puerta de enlace de tránsito).
  3. Seleccione la conexión de la VPC de origen en la que tenga recursos que necesiten comunicarse con hosts remotos o locales. Verifique que esta conexión esté asociada con el ID de Transit Gateway correcto.
  4. Repita el paso 3 para la conexión de Connect, que es la conexión que se utiliza para establecer la conexión entre la puerta de enlace de tránsito y el dispositivo virtual de terceros que se ejecuta en la VPC.
  5. Repita el paso 3 para el conexión de la VPC de transporte, que es la conexión que se utiliza como mecanismo de transporte para establecer la configuración de encapsulación de enrutamiento genérico (GRE) entre la puerta de enlace de tránsito y la SD-WAN.
  6. En el panel de navegación, seleccione Transit gateway Route Tables (Tablas de enrutamiento de puerta de enlace de tránsito).
  7. Seleccione la tabla de enrutamiento de puerta de enlace de tránsito para cada momento de la conexión y confirme lo siguiente:
    Las VPC de origen y SD-WAN están conectadas a una puerta de enlace de tránsito. Puede ser una puerta de enlace de tránsito o una región iguales o diferentes.
    Las conexiones de VPC de origen y SD-WAN están asociadas a la tabla de enrutamiento de puerta de enlace de tránsito correcta.
    La conexión de Connect está conectada a la puerta de enlace de tránsito correcta.
    La conexión de Connect utiliza la conexión de transporte de VPC correcta (la conexión de VPC del dispositivo SD-WAN) y tiene el estado Available (Disponible).

Confirmar que los pares de Connect estén configurados correctamente

  1. Abra la consola de Amazon VPC.
  2. En el panel de navegación, seleccione Transit gateways attachments (Conexiones de puerta de enlace de tránsito).
  3. Seleccione la conexión de Connect.
  4. Seleccione Connect Peers (Conectar pares). Verifique lo siguiente:
    La dirección GRE del mismo nivel es la dirección IP privada de la instancia de SD-WAN en la que desea crear el túnel GRE.
    La dirección GRE de la puerta de enlace de tránsito es una de las direcciones IP disponibles del CIDR de la puerta de enlace de tránsito.
    Las IP internas de BGP forman parte de un bloque de CIDR /29 del rango 169.254.0.0/16 para IPv4. Si lo desea, puede especificar un bloque de CIDR /125 del rango fd00::/8 para IPv6. Consulte Transit Gateway Connect peers (Pares de Transit Gateway Connect) para obtener una lista de los bloques de CIDR que están reservados y que no se pueden usar.

Confirmar la configuración del dispositivo de terceros

Verifique que la configuración del dispositivo de terceros coincida con todos los requisitos y consideraciones. Si el dispositivo tiene más de una interfaz, asegúrese de que el enrutamiento del sistema operativo esté configurado para enviar paquetes GRE a la interfaz correcta.

Confirmar que haya una conexión de puerta de enlace de tránsito en la misma zona de disponibilidad que el dispositivo SD-WAN

  1. Abra la consola de Amazon VPC.
  2. En el panel de navegación, elija Subnets (Subredes).
  3. Seleccione las subredes utilizadas por la conexión de la VPC y la instancia de SD-WAN.
  4. Verifique que el ID de zona de disponibilidad de ambas subredes sea el mismo.

Solucionar problemas de tablas de enrutamiento y enrutamiento

Confirmar la tabla de enrutamiento de VPC para la instancia de origen y la instancia de SD-WAN

  1. Abra la consola de Amazon VPC.
  2. Desde el panel de navegación, elija Route tables (Tablas de enrutamiento).
  3. Seleccione la tabla de enrutamiento utilizada por la instancia.
  4. Elija la pestaña Routes (Rutas).
  5. Verifique que haya una ruta con el bloque de CIDR de destino correcto y con el valor de Target (Destino) establecido en Transit Gateway ID (ID de Transit Gateway). Para la instancia de origen, el bloque de CIDR de destino es el CIDR de red remota. Para la instancia de SD-WAN, el bloque de CIDR de destino es el bloque de CIDR de puerta de enlace de tránsito

Confirmar las tablas de enrutamiento de la conexión de Transit Gateway y de la conexión de la VPC de origen

  1. Abra la consola de Amazon VPC.
  2. Elija Transit gateway route tables (Tablas de enrutamiento de puerta de enlace de tránsito).
  3. Confirme que la tabla de enrutamiento asociada a la conexión de la VPC de origen tenga una ruta que se propague desde la conexión de Connect para la red remota.
  4. Confirme que la tabla de enrutamiento asociada a la conexión de Transit Gateway Connect tenga una ruta para la VPC de origen y la VPC del dispositivo SD-WAN.

Solución de problemas de seguridad de red

Confirmar que las ACL de red permiten el tráfico

  1. Abra la consola de Amazon VPC.
  2. En el panel de navegación, elija Subnets (Subredes).
  3. Seleccione las subredes utilizadas por la conexión de la VPC y la instancia de SD-WAN.
  4. Elija la pestaña Network ACL (ACL de red). Verifique lo siguiente:
    La ACL de red de la instancia de SD-WAN permite el tráfico GRE.
    La ACL de red de la instancia de origen permite el tráfico.
    Confirme que la ACL de red asociada a la interfaz de red de la puerta de enlace de tránsito permite el tráfico.

Confirmar que el grupo de seguridad de la instancia EC2 de SD-WAN y de origen permite el tráfico

  1. Abra la consola de Amazon EC2.
  2. Desde el panel de navegación, elija Instances (Instancias).
  3. Seleccione las instancias apropiadas.
  4. Seleccione la pestaña Security (Seguridad).
  5. Confirme que el grupo de seguridad de la instancia de SD-WAN permite que el tráfico GRE en las reglas de entrada acepte iniciaciones de GRE o en la regla de salida para iniciar la sesión de GRE. Confirme que el grupo de seguridad de la instancia de origen permite el tráfico.
Temas
Redes y entrega de contenido
Etiquetas
AWS Transit Gateway
Idioma
Español
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año

Contenido relevante