¿Cómo soluciono los problemas de conectividad de Transit Gateway con dispositivos virtuales de terceros que se ejecutan en una VPC?

Resolución

Comprobación de la configuración de las conexiones de Transit Gateway y Connect

1. Abre la consola de Amazon Virtual Private Cloud (Amazon VPC).
2. En el panel de navegación, selecciona Conexiones de puerta de enlace de tránsito.
3. Selecciona la conexión de VPC de origen que debe comunicarse con los hosts remotos o locales. Comprueba que la conexión esté asociada al ID de puerta de enlace de tránsito correcto.
4. Repite el paso 3 para la conexión de Connect, que establece la conexión entre Transit Gateway y el dispositivo virtual de terceros que se ejecuta en tu VPC.
5. Repite el paso 3 para la conexión de VPC de transporte, que establece la conexión de encapsulación de enrutamiento genérico (GRE) entre Transit Gateway y tu SD-WAN.
6. En el panel de navegación, selecciona Tablas de enrutamiento de la puerta de enlace de tránsito. A continuación, selecciona la tabla de enrutamiento para cada conexión.
7. Comprueba que las VPC de origen y SD-WAN estén conectadas a una puerta de enlace de tránsito en la misma región de AWS o en una diferente.
8. Comprueba que las conexiones de VPC de origen y SD-WAN estén asociadas a la tabla de enrutamiento correcta.
9. Comprueba que los bloques de CIDR de origen y las rutas del protocolo de puerta de enlace fronteriza (BGP) se propaguen a las tablas de enrutamiento asociadas.
10. Comprueba que la conexión de Connect esté conectada a la puerta de enlace de tránsito correcta.
11. Comprueba que la conexión de Connect utilice la conexión de transporte de VPC correcta para el dispositivo SD-WAN y que el estado sea Disponible.

Comprobación de la configuración de pares de Connect

1. Abre la consola de Amazon VPC.
2. Elige las conexiones de puerta de enlace de tránsito.
3. Selecciona la conexión de Connect.
4. Elige Pares de Connect.
5. Comprueba que la dirección de GRE de la puerta de enlace de tránsito coincida con la dirección IP privada del dispositivo SD-WAN del túnel de GRE.
6. Comprueba que la dirección de GRE de la puerta de enlace de tránsito coincida con una dirección IP disponible del bloque de CIDR de la puerta de enlace de tránsito.
7. Comprueba que el BGP dentro de las direcciones IP pertenezca a un bloque de CIDR /29 del intervalo 169.254.0.0/16 para IPv4. Puedes especificar un bloque de CIDR /125 del intervalo fd00::/8 para IPv6. Para obtener más información, consulta Pares de Connect.

Nota: El número de sistema autónomo (ASN) del par de BGP es opcional. Si no especificas un ASN de par, Transit Gateway asigna su ASN.

Comprobación de la configuración del dispositivo de terceros

1. Comprueba que la configuración de tu dispositivo de terceros cumpla con todos los requisitos y consideraciones.
2. Si el dispositivo tiene más de una interfaz, asegúrate de que el enrutamiento del sistema operativo (OS) esté configurado para enviar paquetes de GRE a través de la interfaz correcta.
3. Configura los grupos de seguridad y las listas de control de acceso de la red (ACL) para permitir el tráfico del protocolo GRE (puerto 47) desde el bloque de CIDR de la puerta de enlace de tránsito.

Comprobación de la configuración de la zona de disponibilidad

1. Abre la consola de Amazon VPC.
2. Elige Subredes.
3. Selecciona las subredes para la conexión de VPC y el dispositivo SD-WAN.
4. Comprueba que ambas subredes tengan el mismo ID de zona de disponibilidad. Para obtener más información, consulta Zonas de disponibilidad de AWS.

Comprobación de las tablas de enrutamiento y el enrutamiento

1. Abre la consola de Amazon VPC.
2. Seleccione Tablas de enrutamiento.
3. Selecciona la tabla de enrutamiento para la instancia de origen.
4. Elige la pestaña Rutas.
5. Comprueba que la ruta tenga el bloque de CIDR de destino correcto y el ID de puerta de enlace de tránsito como objetivo.
6. Para la instancia de origen, confirma que el CIDR de la red remota sea el bloque de CIDR de destino.
7. Para el dispositivo SD-WAN, confirma que el CIDR de la puerta de enlace de tránsito sea el bloque de CIDR de destino.

Comprobación de la configuración de la tabla de enrutamiento de la puerta de enlace de tránsito

1. Abre la consola de Amazon VPC.
2. Elige Tablas de enrutamiento de la puerta de enlace de tránsito.
3. Comprueba que la tabla de enrutamiento asociada a la conexión de VPC de origen tenga una ruta que se propague desde la conexión de Connect para la red remota.
4. Comprueba que la tabla de enrutamiento asociada a la conexión de Connect tenga una ruta para la VPC de origen y la VPC del dispositivo SD-WAN.
5. Confirma que la propagación de rutas esté habilitada en las tablas de enrutamiento tanto para la conexión de Connect como para la conexión de VPC de origen.
6. Para los pares de BGP (iBGP) interiores, verifica que las rutas se originen en un par de BGP (eBGP) exterior. Asegúrate de que las rutas anunciadas desde el dispositivo hasta la puerta de enlace de tránsito no superen la cuota de 1000 rutas.

Comprobación de que las ACL de la red permitan el tráfico

1. Abre la consola de Amazon VPC.
2. Elige Subredes.
3. Selecciona las subredes para la conexión de VPC y el dispositivo SD-WAN.
4. Selecciona la pestaña ACL de la red.
5. Comprueba que la ACL de la red del dispositivo SD-WAN permita el tráfico de GRE.
6. Comprueba que la ACL de la red de la instancia de origen permita el tráfico.
7. Comprueba que la ACL de la red asociada a la interfaz de red de la puerta de enlace de tránsito permita el tráfico.

Comprobación de que los grupos de seguridad permitan el tráfico

1. Abre la consola de Amazon Elastic Compute Cloud (Amazon EC2).
2. En el panel de navegación, selecciona Instancias.
3. Selecciona la instancia de origen y el dispositivo SD-WAN.
4. Selecciona la pestaña Seguridad.
5. Comprueba que el grupo de seguridad del dispositivo SD-WAN permita las conexiones de GRE entrantes.
6. Comprueba que el grupo de seguridad del dispositivo SD-WAN permita las sesiones de GRE salientes.
7. Comprueba que el grupo de seguridad de la instancia de origen permita el tráfico.