View a markdown version of this page

Beheben Sie BGP-TTL-Sicherheitsprobleme (GTSM) - AWS Direct Connect

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beheben Sie BGP-TTL-Sicherheitsprobleme (GTSM)

Wenn Ihre BGP-Sitzung mit Direct Connect nicht eingerichtet werden kann, könnte die BGP-TTL-Sicherheit auf Ihrem Router die Ursache sein. Direct Connect verwendet externes Single-Hop-BGP (eBGP) auf virtuellen Schnittstellen und sendet BGP-Pakete mit einem Time-to-Live IP-Wert (TTL) von 1. Einige Router unterstützen BGP-TTL-Sicherheit, auch bekannt als Generalized TTL Security Mechanism (GTSM). Weitere Informationen zu GTSM finden Sie unter RFC 5082 auf der Website der Internet Engineering Task Force (IETF). Wenn diese Funktion aktiviert ist (z. B. mit dem neighbor ttl-security hops Befehl), erwartet Ihr Router, dass eingehende BGP-Pakete mit einem hohen TTL-Wert ankommen. Ihr Router verwirft die Pakete mit niedriger TTL-Zahl, die gesendet werden. AWS

Die BGP-Sitzung bleibt im Status Aktiv oder OpenSent

Symptome: Die BGP-Sitzung wird nicht eingerichtet und verbleibt im Status Aktiv oder OpenSent . Dies tritt auf, obwohl bei einer Paketerfassung auf Ihrem Gerät die an der Schnittstelle AWS eingehenden BGP-Pakete angezeigt werden.

Ursache: Die BGP-TTL-Sicherheit ist für den BGP-Nachbarn konfiguriert Direct Connect, sodass Ihr Router die BGP-Pakete verwirft, die mit einer TTL von 1 AWS senden.

Auflösung

  1. Entfernen Sie die TTL-Sicherheitskonfiguration (GTSM) aus der BGP-Nachbarkonfiguration. Direct Connect

  2. Stellen Sie sicher, dass der BGP-Sitzungsstatus zu Established wechselt.

Direct Connect verwendet Single-Hop-eBGP und unterstützt Multihop-eBGP auf virtuellen Schnittstellen standardmäßig nicht. Der Single-Hop-Schutz, den GTSM bietet, ist diesem Peering bereits inhärent.

Anmerkung

Verwenden Sie diese Anleitung für die BGP-Sitzung auf einer virtuellen Schnittstelle. Direct Connect Das BGP-Peering zu einem Transit-Gateway über eine virtuelle Transitschnittstelle verwendet Multihop-BGP und ist unterschiedlich konfiguriert.

Wenn die BGP-Sitzung nicht eingerichtet werden kann, nachdem Sie die TTL-Sicherheitskonfiguration entfernt haben, wenden AWS Sie sich an den Support.