我有一個 AWS Transit Gateway Connect 連接,用於在我的虛擬私有雲端 (VPC) 中的 Transit Gateway 和 SD-WAN (軟體定義的廣域網絡) 執行個體之間建立連線。但是,我無法透過 Transit Gateway Connect 連接從 VPC 連線遠端網路。我該如何對此問題進行疑難排解?
簡短描述
若要對 Transit Gateway Connect 連接所連線的來源與遠端網路之間的連線問題進行疑難排解,請檢查以下各項:
- Connect 連接設定
- 可用區域
- 路由表
- 網路安全設定
解決方案
對 Transit Gateway 和 Connect 連接設定進行疑難排解
確認 Transit Gateway 和 Connect 連接設定組態
- 開啟 Amazon Virtual Private Cloud (Amazon VPC) 主控台。
- 在導覽窗格中,選擇 Transit gateway attachments (傳輸閘道連接)。
- 選取來源 VPC 連接,您在此處的資源需要與遠端或內部部署主機通訊。確認此連接與正確的 Transit Gateway ID 關聯。
- 對 Connect 連接重複步驟 3,此連接用於在傳輸閘道連接與 VPC 中執行的第三方虛擬設備之間建立連線。
- 對傳輸 VPC 連接重複步驟 3,此連接用作傳輸機制,以在傳輸閘道與 SD-WAN 之間建立一般路由封裝 (GRE) 設定。
- 在導覽窗格中,選擇 Transit gateway Route Tables (傳輸閘道連接路由表)。
- 針對每次連接選取 Transit Gateway Route Table (傳輸閘道連接路由表),並確認:
來源與 SD-WAN VPC 會連接至傳輸閘道。這可以是相同或不同的傳輸閘道或區域。
來源與 SD-WAN VPC 連接與正確的傳輸閘道路由表關聯。
Connect 連接會連接至正確的傳輸閘道。
Connect 連接使用正確的 VPC Transport Attachment (SD-WAN 設備的 VPC 連接),且處於 Available (可用) 狀態。
確認已正確設定 Connect 對等
- 開啟 Amazon VPC 主控台。
- 在導覽窗格中,選擇 Transit gateway attachments (傳輸閘道連接)。
- 選取 Connect 連接。
- 選擇 Connect Peers (Connect 對等)。請確認:
對等 GRE 地址是您要建立 GRE 通道之 SD-WAN 執行個體的私有 IP 地址。
Transit Gateway GRE 地址是 Transit Gateway CIDR 的可用 IP 地址之一。
IP 內部 BGP 是 IPv4 的 169.254.0.0/16 範圍內 /29 CIDR 區塊的一部分。或者,您可以在 IPv6 的 fd00::/8 範圍內指定 /125 CIDR 區塊。如需保留且無法使用的 CIDR 區塊清單,請參閱 Transit Gateway Connect 對等。
確認您的第三方設備組態
確認您的第三方設備組態符合所有要求和考量。如果您的設備有多個介面,請確定 OS 路由設定為在正確的介面上傳送 GRE 封包。
確認在與 SD-WAN 設備相同的可用區域中具有 Transit Gateway 連接
- 開啟 Amazon VPC 主控台。
- 在導覽窗格中,選擇 Subnets (子網路)。
- 選取 VPC 連接和 SD-WAN 執行個體使用的子網路。
- 確認兩個子網路的可用區域 ID 相同。
對路由表和路由進行疑難排解
確認來源執行個體與 SD-WAN 執行個體的 VPC 路由表
- 開啟 Amazon VPC 主控台。
- 從導覽窗格中,選擇 Route tables (路由表)。
- 選取執行個體使用的路由表。
- 選擇 Routes (路由) 標籤。
- 確認路由具有正確的目的地 CIDR 區塊,並將 Target (目標) 設定為 Transit Gateway ID。 針對來源執行個體環境,Destination CIDR (目的地 CIDR) 區塊為 Remote Network CIDR (遠端網路 CIDR)。針對 SD-WAN 執行個體,Destination CIDR (目的地 CIDR) 區塊為 Transit Gateway CIDR (傳輸閘道 CIDR) 區塊
確認 Transit Gateway 連接和來源 VPC 連接的路由表
- 開啟 Amazon VPC 主控台。
- 選擇 Transit gateway route tables (傳輸閘道路由表)。
- 確認來源 VPC 連接的關聯路由表,具有從遠端網路的 Connect 連接傳播的路由。
- 確認 Transit Gateway Connect 連接的關聯路由表,具有來源 VPC 和 SD-WAN 設備 VPC 的路由。
對網路安全進行疑難排解
確認網路 ACL 允許流量
- 開啟 Amazon VPC 主控台。
- 在導覽窗格中,選擇 Subnets (子網路)。
- 選取 VPC 連接和 SD-WAN 執行個體使用的子網路。
- 選擇 Network ACL (網路 ACL) 索引標籤。請確認:
SD-WAN 執行個體的網路 ACL 允許 GRE 流量。
來源執行個體的網路 ACL 允許流量。
與傳輸閘道網路介面關聯的網路 ACL 允許流量。
確認來源和 SD-WAN EC2 執行個體的安全群組允許流量
- 開啟 Amazon EC2 主控台。
- 從導覽窗格中,選擇 Instances (執行個體)。
- 選取適當的執行個體。
- 選擇Security (安全) 索引標籤。
- 確認 SD-WAN 執行個體的安全群組允許傳入規則中的 GRE 流量接受 GRE 初始化,或在傳出規則中啟動 GRE 工作階段。確認來源執行個體的安全群組允許流量。