Por que não posso usar uma conexão Direct Connect para me conectar aos recursos da VPC por meio de uma interface virtual de trânsito?

Resolução

Verifique se você está anunciando os prefixos de rede local corretos

Revise seu roteador do Protocolo de Gateway da Borda (BGP) Direct Connect on-premises. O roteador deve anunciar os prefixos locais corretos para o par BGP do AWS Direct Connect na interface virtual de trânsito.

Revise as rotas anunciadas em seu roteador BGP local. Seu roteador BGP local deve incluir a rota anunciada na base de informações de roteamento local (RIB). Os comandos que você usa para verificar essas rotas variam de acordo com a marca e o modelo do seu dispositivo BGP local. Para obter detalhes, consulte a documentação do seu dispositivo.

Observação: você pode anunciar no máximo 100 rotas por sessão do BGP em uma interface virtual de trânsito. Esse é uma cota de serviço rígido que você não pode alterar. Se você exceder essa cota de serviço, a sessão do BGP entrará em um estado ocioso.

Verifique se você está anunciando os prefixos corretos do Amazon VPC do gateway Direct Connect para a rede local

Ao associar gateways de trânsito a gateways Direct Connect, use prefixos que podem ser anunciados na rede local por meio do gateway Direct Connect.

Observação: se você especificar qualquer um dos seguintes prefixos, a AWS o anunciará de volta na rede local:

• Um prefixo de sub-rede de um computador virtual privado (VPC), como 10.1.0.0/24 em uma VPC 10.1.0.0/16
• Um prefixo VPC inteiro
• Uma superrede (por exemplo, 10.0.0.0/8)

Revise as configurações do gateway de trânsito

Verifique se você definiu corretamente as configurações do gateway de trânsito:

• Siga as regras para associações de gateways de trânsito. As interfaces virtuais de trânsito usam associações de gateway Direct Connect com gateways de trânsito para facilitar a comunicação. Essa comunicação vai da rede local para várias VPCs em todas as regiões e contas da AWS em uma única interface virtual de trânsito.
• Revise a configuração de roteamento do gateway de trânsito. Você pode configurar tabelas de rotas para propagar rotas para quaisquer VPCs, redes privadas virtuais (VPNs) ou conexões Direct Connect conectadas. Também é possível adicionar rotas estáticas às tabelas de rotas do gateway de trânsito. Quando um pacote vem de um anexo, ele usa a tabela de rotas que corresponde ao endereço IP de destino para rotear para outro anexo.
  Observação: você pode associar somente uma tabela de rotas a cada anexo. No entanto, um anexo pode propagar suas rotas para mais de uma tabela de rotas.
• Se você anexou uma VPC ao seu gateway de trânsito, revise suas zonas de disponibilidade. Certifique-se de selecionar o número apropriado de zonas de disponibilidade para o gateway de trânsito rotear o tráfego para recursos nas sub-redes VPC. O gateway de trânsito usa um endereço IP da sub-rede para criar uma interface de rede nessa sub-rede.
• Para recursos em diferentes zonas de disponibilidade, confirme se a interface de rede elástica do gateway de trânsito está nessa zona de disponibilidade.
  Importante: as zonas de disponibilidade que não têm um anexo de gateway de trânsito não podem acessar o gateway de trânsito. Se você puder rotear o tráfego de uma zona de disponibilidade, mas não de outra, revise a interface de rede do gateway de trânsito. A interface de rede do gateway de trânsito deve estar nessa zona. Para alta disponibilidade, é uma prática recomendada ativar as interfaces de rede do gateway de trânsito em várias zonas de disponibilidade.

Revise suas configurações do Amazon VPC

No seu Amazon VPC, verifique se você definiu as seguintes configurações:

• Os grupos de segurança permitem tráfego de entrada e saída de e para os prefixos de rede local anunciados.
• Você configurou corretamente a lista de controle de acesso à rede (ACL de rede). Crie uma ACL de rede e, em seguida, associe-a a todas as sub-redes associadas ao gateway de trânsito. Mantenha a ACL da rede aberta nas direções de entrada e saída.
• A tabela de rotas de sub-rede inclui uma entrada de rota com o Target definido como o ID do gateway de trânsito e o Destination definido como o prefixo da rede local.

Verifique se as solicitações são enviadas e recebidas pela conexão Direct Connect desejada

Observação: use essas etapas de solução de problemas quando tiver as seguintes configurações:

• Você configurou conexões físicas redundantes do Direct Connect a partir do local.
• Você configurou uma interface virtual de trânsito por conexão física do Direct Connect.
• Você anunciou prefixos locais semelhantes em ambas as interfaces virtuais de trânsito para a AWS.

Para confirmar se a configuração Ativa/Passiva ou Ativa/Ativa para suas conexões redundantes funciona, execute as seguintes ações:

• Execute um traceroute bidirecional. Analise os endereços IP de mesmo nível do Direct Connect BGP para encontrar a interface virtual de trânsito usada para enviar ou receber tráfego.
• Use tags de comunidade BGP de preferência local para obter o balanceamento de carga e a preferência de rota para o tráfego de entrada em sua rede.
• Para usar uma configuração ativa/passiva na mesma região, use a preferência local e o prefixo AS-path.
  Observação: a preferência local influencia o tráfego de saída do seu data center local por meio de um determinado link do Direct Connect. O precursor do AS-Path influencia o tráfego de entrada da AWS de volta ao seu datacenter local.

Informações relacionadas

Crie uma interface virtual de trânsito para o gateway Direct Connect