Comment résoudre les problèmes de connectivité de Transit Gateway avec des appliances virtuelles tierces exécutées dans un VPC ?

Résolution

Vérifier la configuration des attachements Transit Gateway et Connect

1. Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).
2. Dans le volet de navigation, sélectionnez Attachements de la passerelle de transit.
3. Sélectionnez l’attachement de VPC source qui doit communiquer avec les hôtes distants ou sur site. Vérifiez que l’attachement est associé à l’ID de passerelle de transit approprié.
4. Répétez l'étape 3 pour l’attachement Connect, qui établit la connexion entre Transit Gateway et l'appliance virtuelle tierce exécutée sur votre VPC.
5. Répétez l'étape 3 pour l’attachement de VPC de transport, qui établit la connexion GRE (Generic Routing Encapsulation) entre Transit Gateway et votre SD-WAN.
6. Dans le volet de navigation, sélectionnez Tables de routage de la passerelle de transit. Puis, sélectionnez la table de routage pour chaque attachement.
7. Vérifiez que les VPC source et SD-WAN sont attachés à une passerelle de transit dans la même région AWS ou dans une région AWS différente.
8. Vérifiez que les attachements de VPC source et SD-WAN sont associés à la table de routage appropriée.
9. Vérifiez que les blocs CIDR source et les routes du protocole de passerelle frontière (BGP) se propagent vers les tables de routage associées.
10. Vérifiez que l’attachement Connect est connecté à la passerelle de transit appropriée.
11. Vérifiez que l’attachement Connect utilise l’attachement de transport VPC correct pour l'appliance SD-WAN et que l'état est Disponible.

Vérifier la configuration des homologues Connect

1. Ouvrez la console Amazon VPC.
2. Choisissez Attachements de la passerelle de transit.
3. Sélectionnez l’attachement Connect.
4. Choisissez Homologues Connect.
5. Vérifiez que l'adresse GRE de la passerelle de transit correspond à l'adresse IP privée de l'appliance SD-WAN pour le tunnel GRE.
6. Vérifiez que l'adresse GRE de la passerelle de transit correspond à une adresse IP disponible dans le bloc CIDR de la passerelle de transit.
7. Vérifiez que le protocole BGP contenu dans les adresses IP appartient à un bloc d'adresse CIDR /29 de la plage 169.254.0.0/16 pour IPv4. Vous pouvez spécifier un bloc CIDR /125 à partir de la plage fd00::/8 pour IPv6. Pour plus d'informations, consultez la section Homologues Connect.

Remarque : Le numéro de système autonome (ASN) homologue du protocole BGP est facultatif. Si vous ne spécifiez pas d'ASN homologue, Transit Gateway attribue son ASN.

Vérifier la configuration de l'appliance tierce

1. Vérifiez que la configuration de votre appliance tierce répond à toutes les exigences et considérations.
2. Si votre appliance compte plusieurs interfaces, assurez-vous que le routage du système d'exploitation est configuré pour envoyer des paquets GRE via l'interface appropriée.
3. Configurez les groupes de sécurité et les listes de contrôle d'accès au réseau (ACL) pour autoriser le trafic du protocole GRE (port 47) à partir du bloc CIDR de la passerelle de transit.

Vérifier la configuration de la zone de disponibilité

1. Ouvrez la console Amazon VPC.
2. Choisissez Sous-réseaux.
3. Sélectionnez les sous-réseaux pour l’attachement de VPC et l'appliance SD-WAN.
4. Vérifiez que les deux sous-réseaux ont le même ID de zone de disponibilité. Pour plus d'informations, consultez la section Zones de disponibilité AWS.

Vérifier les tables de routage et le routage

1. Ouvrez la console Amazon VPC.
2. Choisissez Tables de routage.
3. Sélectionnez la table de routage de l'instance source.
4. Choisissez l'onglet Routes.
5. Vérifiez que le bloc CIDR de destination et l'ID de la passerelle de transit appropriés sont définis comme cible de la route.
6. Pour l'instance source, vérifiez que le CIDR du réseau distant est le bloc CIDR de destination.
7. Pour l'appliance SD-WAN, vérifiez que le CIDR de la passerelle de transit est le bloc CIDR de destination.

Vérifier la configuration de la table de routage de la passerelle de transit

1. Ouvrez la console Amazon VPC.
2. Sélectionnez Tables de routage de passerelle de transit.
3. Vérifiez que la table de routage associée à l’attachement de VPC source comporte une route se propageant depuis l’attachement Connect pour le réseau distant.
4. Vérifiez que la table de routage associée à l’attachement Connect comporte une route pour le VPC source et le VPC de l'appliance SD-WAN.
5. Vérifiez que la propagation du routage est activée dans les tables de routage pour l’attachement Connect et l’attachement de VPC source.
6. Pour les homologues BGP intérieurs (iBGP), vérifiez que les routes proviennent d'un homologue BGP extérieur (eBGP). Assurez-vous que les routes annoncées par l'appliance vers la passerelle de transit ne dépassent pas le quota de 1 000 routes.

Vérifier que les ACL réseau autorisent le trafic

1. Ouvrez la console Amazon VPC.
2. Choisissez Sous-réseaux.
3. Sélectionnez les sous-réseaux pour l’attachement de VPC et l'appliance SD-WAN.
4. Choisissez l'onglet ACL réseau.
5. Vérifiez que l'ACL réseau de l'appliance SD-WAN autorise le trafic GRE.
6. Vérifiez que l'ACL réseau de l'instance source autorise le trafic.
7. Vérifiez que l'ACL réseau associée à l'interface réseau de la passerelle de transit autorise le trafic.

Vérifier que les groupes de sécurité autorisent le trafic

1. Ouvrez la console Amazon Elastic Compute Cloud (Amazon EC2).
2. Dans le volet de navigation, sélectionnez Instances.
3. Sélectionnez l'instance source et l'appliance SD-WAN.
4. Choisissez l’onglet Sécurité.
5. Vérifiez que le groupe de sécurité de l'appliance SD-WAN autorise les connexions GRE entrantes.
6. Vérifiez que le groupe de sécurité de l'appliance SD-WAN autorise les sessions GRE sortantes.
7. Vérifiez que le groupe de sécurité de l'instance source autorise le trafic.