Résolution des problèmes de connectivité lors de l'utilisation du protocole BGP (Border Gateway Protocol) - AWS Site-to-Site VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes de connectivité lors de l'utilisation du protocole BGP (Border Gateway Protocol)

Le schéma et le tableau suivants fournissent des instructions générales pour le dépannage d'un dispositif de passerelle client qui utilise le protocole Border Gateway (BGP). Nous vous recommandons également d'activer les fonctions de débogage de votre appareil. Consultez le fournisseur de votre périphérique de passerelle pour plus de détails.

Diagramme de résolution des problèmes de passerelle client sur un appareil générique
IKE

Déterminez s'il existe une association de IKE sécurité.

Une association IKE de sécurité est requise pour échanger les clés utilisées pour établir l'association IPsec de sécurité.

S'il n'existe aucune association de IKE sécurité, vérifiez vos paramètres IKE de configuration. Vous devez configurer le chiffrement, l'authentification, la confidentialité persistante parfaite (perfect-forward-secrecy) et les paramètres de mode comme répertoriés dans le fichier de configuration.

S'il existe une association de IKE sécurité, passez à « IPsec ».
IPsec

Déterminez s'il existe une association de IPsec sécurité (SA).

Un IPsec SA est le tunnel lui-même. Interrogez votre dispositif de passerelle client pour déterminer si une IPsec SA est active. Assurez-vous de configurer le chiffrement, l'authentification, la confidentialité persistante parfaite (perfect-forward-secrecy) et les paramètres de mode comme répertoriés dans le fichier de configuration.

S'il n'existe aucune IPsec SA, passez en revue votre IPsec configuration.

Si une IPsec SA existe, passez à « Tunnel ».

Tunnel

Vérifiez que les règles de pare-feu nécessaires sont configurées (pour une liste des règles, consultez Règles de pare-feu pour votre dispositif de passerelle client). Si c'est le cas, continuez.

Déterminez s'il existe une connexion IP via le tunnel.

Chaque côté du tunnel possède une adresse IP comme spécifié dans le fichier de configuration. L'adresse de passerelle privée virtuelle est l'adresse utilisée comme adresse du BGP voisin. Depuis votre passerelle client, exécutez un test ping de cette adresse pour déterminer si le trafic IP est correctement chiffré et déchiffré.

Si le test ping n'est pas réussi, passez en revue la configuration de votre interface de tunnel pour vérifier qu'une adresse IP correcte est configurée.

Si le ping est réussi, passez à « BGP ».
BGP

Déterminez si la session BGP de peering est active.

Pour chaque tunnel, procédez de la façon suivante :

  • Sur votre dispositif de passerelle client, déterminez si le BGP statut est Active ouEstablished. L'activation d'un BGP peering peut prendre environ 30 secondes.

  • Vérifiez que la passerelle client publie la route par défaut (0.0.0.0/0) vers la passerelle réseau privé virtuel.

Si les tunnels ne sont pas dans cet état, passez en revue votre BGP configuration.

Si le BGP peering est établi, que vous recevez un préfixe et que vous publiez un préfixe, votre tunnel est correctement configuré. Assurez-vous que les deux tunnels sont dans cet état.