¿Cómo se solucionan los problemas de conectividad desde las instalaciones a la VPC a través de Transit Gateway?

Descripción corta

Para solucionar los problemas de conectividad entre conexiones de AWS Direct Connect o AWS Site-to-Site VPN que terminan en AWS Transit Gateway con Amazon Virtual Private Cloud (Amazon VPC) conectadas a la misma puerta de enlace de tránsito, puede:

• Comprobar la configuración de enrutamiento para la puerta de enlace de tránsito, VPC e instancia de Amazon EC2.
• Usar el analizador de rutas en el Administrador de redes de AWS

Resolución

Confirmar las configuraciones de enrutamiento

Verificar la configuración de la tabla de enrutamiento de la subred de Amazon VPC

1. Abra la consola de Amazon VPC.
2. Desde el panel de navegación, elija Route Tables (Tablas de enrutamiento).
3. Seleccione la tabla de enrutamiento que usa su instancia de origen de Amazon Elastic Compute Cloud (Amazon EC2).
4. Elija la pestaña Routes (Rutas).
5. Verifique que haya una ruta con el valor de Destination (Destino) establecido en la red en las instalaciones.
6. Verifique que haya un valor de Target (Destino) que sea Transit Gateway ID (ID de gateway de tránsito).

Comprobar las zonas de disponibilidad para la asociación de la VPC de Transit Gateway

1. Abra la consola de Amazon VPC.
2. Elija Transit Gateway Attachments. (Asociaciones de gateway de tránsito).
3. Seleccione VPC attachment (Asociación de VPC).
4. En Details (Detalles), verifique los valores de Subnet ID (ID de subred). Confirme que está seleccionada una subred de la zona de disponibilidad de su instancia de EC2.
5. Si no está seleccionada ninguna subred de la instancia de EC2 de origen, elija Actions (Acciones). A continuación, modifique la asociación de la VPC y seleccione una subred de la zona de disponibilidad de su instancia de EC2.
   Nota: Agregar o modificar una subred de asociación de VPC puede afectar al tráfico de datos mientras la asociación se encuentra en estado Modifying (Modificando).

Comprobar la tabla de enrutamiento de Transit Gateway relacionada con la asociación de VPC

1. Abra la consola de Amazon VPC.
2. Elija Transit Gateway Route Tables (Tablas de enrutamiento de gateway de tránsito).
3. Seleccione la tabla de enrutamiento relacionada con la asociación de VPC.
4. En la pestaña Routes (Rutas), confirme que existe una ruta para la red en las instalaciones con un valor de Target (Destino) establecido en DXGW/VPN attachment (Asociación de DXGW/VPN).
5. Si usa una VPN de sitio a sitio con enrutamiento estático: agregue una ruta estática para la red en las instalaciones con el destino establecido en VPN attachment (Asociación de VPN).

Comprobar la tabla de enrutamiento de Transit Gateway relacionada con la asociación de puerta de enlace de AWS Direct Connect o la asociación de VPN

1. Abra la consola de Amazon VPC.
2. Elija Transit Gateway Route Tables (Tablas de enrutamiento de gateway de tránsito).
3. Seleccione la tabla de enrutamiento relacionada con la asociación de la puerta de enlace de AWS Direct Connect
   o
   Seleccione la tabla de enrutamiento relacionada con la asociación de VPN.
4. En la pestaña Routes (Rutas), confirme que haya una ruta para Source VPC IP range (Rango de IP de la VPC de origen) con un valor de Target (Destino) establecido en TGW VPC attachment (Asociación de VPC de TGW) que se corresponde con la VPC de origen.

Comprobar los prefijos permitidos configurados en la asociación de la puerta de enlace de Direct Connect a Transit Gateway

1. Abra la consola de AWS Direct Connect.
2. En el panel de navegación, seleccione Direct Connect Gateways (Gateways de Direct Connect).
3. Seleccione la puerta de enlace de AWS Direct Connect asociada a Transit Gateway.
4. En Gateway Association (Asociación de puerta de enlace), verifique que Allowed Prefixes (Prefijos permitidos) tenga un valor de Source VPC IP Range (Rango de IP de la VPC de origen).

Confirmar que el grupo de seguridad de la instancia de Amazon EC2 y la lista de control de acceso a la red (ACL) permiten el tráfico adecuado

1. Abra la consola de Amazon EC2.
2. Desde el panel de navegación, elija Instances (Instancias).
3. Seleccione la instancia en la que va a realizar la prueba de conectividad.
4. Seleccione la pestaña Security (Seguridad).
5. Compruebe que Inbound rules (Reglas de entrada) y Outbound rules (Reglas de salida) permiten el tráfico hacia y desde su red en las instalaciones.
6. Abra la consola de Amazon VPC.
7. En el panel de navegación, elija Network ACL (ACL de red).
8. Seleccione la ACL de red asociada a la subred en la que tiene la instancia (origen/destino).
9. Seleccione las reglas de Inbound (Entrada) y Outbound (Salida). Compruebe que el tráfico esté permitido hacia y desde su red en las instalaciones.

Confirmar que la ACL de red asociada a la interfaz de red de la puerta de enlace de tránsito permite el tráfico adecuado

1. Abra la consola de Amazon EC2.
2. En el panel de navegación, seleccione Network Interfaces (Interfaces de red).
3. En la barra de búsqueda, ingrese Transit Gateway (Gateway de tránsito). Se muestran todas las interfaces de red de la puerta de enlace de tránsito. Anote el ID de subred que está asociado con la ubicación en la que se crearon las interfaces de la puerta de enlace de tránsito.
4. Abra la consola de Amazon VPC.
5. En el panel de navegación, elija Network ACL (ACL de red).
6. En la barra de búsqueda, ingrese el ID de subred que anotó en el paso 3. Los resultados muestran la ACL de red que está asociada a la subred.
7. Compruebe los valores de Inbound rules (Reglas de entrada) y Outbound rules (Reglas de salida) de la ACL de red para verificar que permite el rango de IP de la VPC de origen y la red en las instalaciones.

Confirmar que los dispositivos de firewall en las instalaciones permiten el tráfico desde Amazon VPC

Compruebe que los dispositivos de firewall en las instalaciones tengan una regla de permiso de entrada y salida para el rango de IP de la VPC de origen. Consulte la documentación de su proveedor para obtener instrucciones específicas.

Usar el analizador de rutas

Requisito previo: Complete los pasos descritos en Getting started with AWS Network Manager for Transit Gateway networks (Introducción al Administrador de redes de AWS para redes de Transit Gateway) antes de continuar.

Después de crear una red global y registrar su puerta de enlace de tránsito:

1. Acceda a la consola de Amazon VPC.
2. En el panel de navegación, seleccione Network Manager (Administrador de red).
3. Elija la red global en la que está registrada su puerta de enlace de tránsito.
4. En el panel de navegación, seleccione Transit Gateway Network (Red de Transit Gateway). A continuación, elija Route Analyzer (Analizador de rutas).
5. Rellene la información de Source (Origen) y Destination (Destino) según sea necesario. Asegúrese de que tanto Source (Origen) como Destination (Destino) tienen la misma puerta de enlace de tránsito.
6. Seleccione Run route analysis (Ejecutar análisis de rutas).

El analizador de rutas realiza el análisis del enrutamiento e indica un estado Connected (Conectado) o Not Connected (No conectado). Si el estado es Not Connected (No conectado), el analizador de rutas le ofrece una recomendación de enrutamiento. Use las recomendaciones para solucionar los problemas de enrutamiento y luego vuelva a ejecutar la prueba para confirmar la conectividad. Si el problema de conectividad continúa, consulte la sección Confirmar las configuraciones de enrutamiento para obtener más pasos de solución de problemas.

---

Información relacionada

¿Cómo soluciono los problemas de conexión de VPC a VPC a través de una gateway de tránsito?

Diagnosing traffic disruption using AWS Transit Gateway Network Manager Route Analyzer (Diagnóstico de la interrupción del tráfico mediante el analizador de rutas del Administrador de redes de AWS Transit Gateway)