AWS Outposts daftar periksa pemecahan masalah jaringan rak

Gunakan daftar periksa ini untuk membantu memecahkan masalah tautan layanan yang berstatus. DOWN

Konektivitas dengan perangkat jaringan Outpost

Periksa status BGP peering pada perangkat jaringan lokal pelanggan yang terhubung ke perangkat jaringan Outpost. Jika status BGP mengintipDOWN, ikuti langkah-langkah ini:

1. Ping alamat IP peer jarak jauh pada perangkat jaringan Outpost dari perangkat pelanggan. Anda dapat menemukan alamat IP rekan dalam BGP konfigurasi perangkat Anda. Anda juga dapat merujuk ke yang Daftar periksa kesiapan jaringan diberikan kepada Anda pada saat instalasi.

2. Jika ping tidak berhasil, periksa koneksi fisik dan pastikan status konektivitas. UP

   1. Konfirmasikan LACP status perangkat jaringan lokal pelanggan.

   2. Periksa status antarmuka pada perangkat. Jika statusnyaUP, lewati ke langkah 3.

   3. Periksa perangkat jaringan lokal pelanggan dan konfirmasikan bahwa modul optik berfungsi.

   4. Ganti serat yang rusak dan pastikan lampu (Tx/Rx) berada dalam kisaran yang dapat diterima.

3. Jika ping berhasil, periksa perangkat jaringan lokal pelanggan dan pastikan BGP konfigurasi berikut sudah benar.

   1. Konfirmasikan bahwa Nomor Sistem Otonomi lokal (PelangganASN) dikonfigurasi dengan benar.

   2. Konfirmasikan bahwa Nomor Sistem Otonom jarak jauh (OutpostASN) dikonfigurasi dengan benar.

   3. Konfirmasikan bahwa IP antarmuka dan alamat IP rekan jarak jauh dikonfigurasi dengan benar.

   4. Konfirmasikan bahwa rute yang diiklankan dan diterima sudah benar.

4. Jika BGP sesi Anda mengepak antara status aktif dan terhubung, verifikasi bahwa TCP port 179 dan port fana lain yang relevan tidak diblokir pada perangkat jaringan lokal pelanggan.

5. Jika Anda perlu memecahkan masalah lebih lanjut, periksa hal berikut di perangkat jaringan lokal pelanggan:

   1. BGPdan TCP log debug

   2. BGPlog

   3. Penangkapan paket

6. Jika masalah berlanjut, lakukan tangkapanMTR/traceroute/packet dari router yang terhubung Outpost Anda ke alamat IP peer perangkat jaringan Outpost. Bagikan hasil pengujian dengan AWS Support, menggunakan paket dukungan Enterprise Anda.

Jika status BGP peering adalah UP antara perangkat jaringan lokal pelanggan dan perangkat jaringan Outpost, tetapi tautan layanan masihDOWN, Anda dapat memecahkan masalah lebih lanjut dengan memeriksa perangkat berikut di perangkat jaringan lokal pelanggan Anda. Gunakan salah satu daftar periksa berikut, tergantung pada bagaimana konektivitas tautan layanan Anda disediakan.

• Router tepi terhubung dengan AWS Direct Connect - Antarmuka virtual publik yang digunakan untuk konektivitas tautan layanan. Untuk informasi selengkapnya, lihat AWS Direct Connect konektivitas antarmuka virtual publik ke AWS Wilayah.

• Router tepi terhubung dengan AWS Direct Connect - Antarmuka virtual pribadi yang digunakan untuk konektivitas tautan layanan. Untuk informasi selengkapnya, lihat AWS Direct Connect konektivitas antarmuka virtual pribadi ke AWS Wilayah.

• Router Edge terhubung dengan Penyedia Layanan Internet (ISPs) — Internet publik digunakan untuk konektivitas tautan layanan. Untuk informasi selengkapnya, lihat ISPKonektivitas internet publik ke AWS Wilayah.

AWS Direct Connect konektivitas antarmuka virtual publik ke AWS Wilayah

Gunakan daftar periksa berikut untuk memecahkan masalah router tepi yang terhubung AWS Direct Connect saat antarmuka virtual publik digunakan untuk konektivitas tautan layanan.

1. Konfirmasikan bahwa perangkat yang terhubung langsung dengan perangkat jaringan Outpost menerima rentang alamat IP tautan layanan. BGP

   1. Konfirmasikan rute yang diterima melalui BGP perangkat Anda.

   2. Periksa tabel rute tautan layanan Virtual Routing dan Forwarding instance (). VRF Ini harus menunjukkan bahwa itu menggunakan rentang alamat IP.

2. Untuk memastikan konektivitas Wilayah, periksa tabel rute untuk tautan layananVRF. Ini harus mencakup rentang alamat IP AWS Publik atau rute default.

3. Jika Anda tidak menerima rentang alamat IP AWS publik di tautan layananVRF, periksa item berikut.

   1. Periksa status AWS Direct Connect tautan dari router tepi atau AWS Management Console.

   2. Jika tautan fisiknyaUP, periksa status BGP peering dari router tepi.

   3. Jika status BGP peering adalahDOWN, ping alamat AWS IP peer dan periksa BGP konfigurasi di router tepi. Untuk informasi selengkapnya, lihat Pemecahan masalah AWS Direct Connect di Panduan AWS Direct Connect Pengguna dan BGPStatus antarmuka virtual saya tidak aktif di AWS konsol. Apa yang harus saya lakukan? .

   4. Jika BGP dibuat dan Anda tidak melihat rute default atau rentang alamat IP AWS publik diVRF, hubungi AWS Support, menggunakan paket dukungan Enterprise Anda.

4. Jika Anda memiliki firewall lokal, periksa item berikut.

   1. Konfirmasikan bahwa port yang diperlukan untuk konektivitas tautan layanan diizinkan di firewall jaringan. Gunakan traceroute pada port 443 atau alat pemecahan masalah jaringan lainnya untuk mengonfirmasi konektivitas melalui firewall dan perangkat jaringan Anda. Port berikut harus dikonfigurasi dalam kebijakan firewall untuk konektivitas tautan layanan.

      • TCPprotokol - Port sumber: TCP 1025-65535, Port tujuan: 443.

      • UDPprotokol - Port sumber: TCP 1025-65535, Port tujuan: 443.

   2. Jika firewall stateful, pastikan bahwa aturan keluar memungkinkan jangkauan alamat IP tautan layanan Outpost ke rentang alamat IP AWS publik. Untuk informasi selengkapnya, lihat AWS Outposts konektivitas ke AWS Wilayah.

   3. Jika firewall tidak stateful, pastikan untuk mengizinkan aliran masuk juga (dari rentang alamat IP AWS publik ke rentang alamat IP tautan layanan).

   4. Jika Anda telah mengkonfigurasi router virtual di firewall, pastikan bahwa routing yang sesuai dikonfigurasi untuk lalu lintas antara Outpost dan Region. AWS

5. Jika Anda telah mengonfigurasi NAT di jaringan lokal untuk menerjemahkan rentang alamat IP tautan layanan Outpost ke alamat IP publik Anda sendiri, periksa item berikut.

   1. Konfirmasikan bahwa NAT perangkat tidak kelebihan beban dan memiliki port gratis untuk dialokasikan untuk sesi baru.

   2. Konfirmasikan bahwa NAT perangkat dikonfigurasi dengan benar untuk melakukan terjemahan alamat.

6. Jika masalah berlanjut, lakukanMTR/traceroute/packet captures dari router edge Anda ke alamat IP peer. AWS Direct Connect Bagikan hasil pengujian dengan AWS Support, menggunakan paket dukungan Enterprise Anda.

AWS Direct Connect konektivitas antarmuka virtual pribadi ke AWS Wilayah

Gunakan daftar periksa berikut untuk memecahkan masalah router tepi yang terhubung AWS Direct Connect saat antarmuka virtual pribadi digunakan untuk konektivitas tautan layanan.

1. Jika konektivitas antara rak Outpost dan AWS Region menggunakan fitur konektivitas AWS Outposts pribadi, periksa item berikut.

   1. Ping alamat AWS IP peering jarak jauh dari router tepi dan konfirmasikan status BGP peering.

   2. Pastikan bahwa BGP mengintip antarmuka virtual AWS Direct Connect pribadi antara titik akhir tautan layanan Anda VPC dan Pos Luar yang diinstal di tempat Anda. UP Untuk informasi selengkapnya, lihat Pemecahan masalah AWS Direct Connect di Panduan AWS Direct Connect Pengguna, BGPStatus antarmuka virtual saya tidak aktif di AWS konsol. Apa yang harus saya lakukan? , dan Bagaimana saya bisa memecahkan masalah BGP koneksi melalui Direct Connect? .

   3. Antarmuka virtual AWS Direct Connect pribadi adalah koneksi pribadi ke router tepi Anda di AWS Direct Connect lokasi yang Anda pilih, dan digunakan BGP untuk bertukar rute. CIDRRentang private private cloud (VPC) pribadi Anda diiklankan melalui BGP sesi ini ke router edge Anda. Demikian pula, rentang alamat IP untuk tautan layanan Outpost diiklankan ke wilayah tersebut melalui BGP dari router tepi Anda.

   4. Konfirmasikan bahwa jaringan ACLs yang terkait dengan titik akhir pribadi tautan layanan di Anda VPC mengizinkan lalu lintas yang relevan. Untuk informasi selengkapnya, lihat Daftar periksa kesiapan jaringan.

   5. Jika Anda memiliki firewall lokal, pastikan firewall memiliki aturan keluar yang memungkinkan rentang alamat IP tautan layanan dan titik akhir layanan Outpost (alamat IP antarmuka jaringan) yang terletak di atau. VPC VPC CIDR Pastikan port TCP 1025-65535 dan UDP 443 tidak diblokir. Untuk informasi selengkapnya, lihat Memperkenalkan konektivitas AWS Outposts pribadi.

   6. Jika firewall tidak stateful, pastikan firewall memiliki aturan dan kebijakan untuk mengizinkan lalu lintas masuk ke Outpost dari titik akhir layanan Outpost di. VPC

2. Jika Anda memiliki lebih dari 100 jaringan di jaringan lokal, Anda dapat mengiklankan rute default melalui BGP sesi ke antarmuka AWS virtual pribadi Anda. Jika Anda tidak ingin mengiklankan rute default, rangkum rute sehingga jumlah rute yang diiklankan kurang dari 100.

3. Jika masalah berlanjut, lakukanMTR/traceroute/packet captures dari router edge Anda ke alamat IP peer. AWS Direct Connect Bagikan hasil pengujian dengan AWS Support, menggunakan paket dukungan Enterprise Anda.

ISPKonektivitas internet publik ke AWS Wilayah

Gunakan daftar periksa berikut untuk memecahkan masalah router tepi yang terhubung melalui ISP saat menggunakan internet publik untuk konektivitas tautan layanan.

• Konfirmasikan bahwa tautan internet sudah aktif.

• Konfirmasikan bahwa server publik dapat diakses dari perangkat edge Anda yang terhubung melalui fileISP.

Jika internet atau server publik tidak dapat diakses melalui ISP tautan, selesaikan langkah-langkah berikut.

1. Periksa apakah status BGP peering dengan ISP router sudah ditetapkan.

   1. Konfirmasikan bahwa BGP tidak mengepak.

   2. Konfirmasikan BGP bahwa menerima dan mengiklankan rute yang diperlukan dariISP.

2. Dalam hal konfigurasi rute statis, periksa apakah rute default dikonfigurasi dengan benar pada perangkat edge.

3. Konfirmasikan apakah Anda dapat menjangkau internet menggunakan ISP koneksi lain.

4. Jika masalah berlanjut, lakukanMTR/traceroute/packet captures di router tepi Anda. Bagikan hasilnya dengan tim dukungan teknis Anda ISP untuk pemecahan masalah lebih lanjut.

Jika internet dan server publik dapat diakses melalui ISP tautan, selesaikan langkah-langkah berikut.

1. Konfirmasikan apakah EC2 instans atau penyeimbang beban Anda yang dapat diakses publik di Wilayah Outpost home dapat diakses dari perangkat edge Anda. Anda dapat menggunakan ping atau telnet untuk mengonfirmasi konektivitas, dan kemudian menggunakan traceroute untuk mengonfirmasi jalur jaringan.

2. Jika Anda menggunakan VRFs untuk memisahkan lalu lintas di jaringan Anda, konfirmasikan bahwa tautan layanan VRF memiliki rute atau kebijakan yang mengarahkan lalu lintas ke dan dari ISP (internet) danVRF. Lihat pos pemeriksaan berikut.

   1. Router tepi yang terhubung dengan file. ISP Periksa tabel ISP VRF rute router tepi untuk mengonfirmasi bahwa rentang alamat IP tautan layanan ada.

   2. Perangkat jaringan lokal pelanggan yang terhubung dengan Outpost. Periksa konfigurasi VRFs dan pastikan bahwa perutean dan kebijakan yang diperlukan untuk konektivitas antara tautan layanan VRF dan ISP VRF dikonfigurasi dengan benar. Biasanya, rute default dikirim dari tautan ISP VRF ke layanan VRF untuk lalu lintas ke internet.

   3. Jika Anda mengonfigurasi perutean berbasis sumber di router yang terhubung ke Outpost Anda, konfirmasikan bahwa konfigurasi sudah benar.

3. Pastikan firewall lokal dikonfigurasi untuk memungkinkan konektivitas keluar (TCP1025-65535 dan UDP 443 port) dari rentang alamat IP tautan layanan Outpost ke rentang alamat IP publik. AWS Jika firewall tidak stateful, pastikan konektivitas masuk ke Outpost juga dikonfigurasi.

4. Pastikan bahwa NAT dikonfigurasi di jaringan lokal untuk menerjemahkan rentang alamat IP tautan layanan Outpost ke alamat IP publik. Selain itu, konfirmasikan item berikut.

   1. NATPerangkat tidak kelebihan beban dan memiliki port gratis untuk dialokasikan untuk sesi baru.

   2. NATPerangkat dikonfigurasi dengan benar untuk melakukan terjemahan alamat.

Jika masalah berlanjut, lakukanMTR/traceroute/packet captures.

• Jika hasilnya menunjukkan bahwa paket dijatuhkan atau diblokir di jaringan lokal, tanyakan kepada jaringan atau tim teknis Anda untuk panduan tambahan.

• Jika hasilnya menunjukkan bahwa paket jatuh atau diblokir di ISP jaringan, hubungi tim dukungan teknis. ISP

• Jika hasilnya tidak menunjukkan masalah, kumpulkan hasil dari semua pengujian (seperti, telnetMTR, traceroute, packet capture, dan logBGP) dan hubungi Support menggunakan paket AWS dukungan Enterprise Anda.

Outposts berada di belakang dua perangkat firewall

Jika Anda telah menempatkan Outpost Anda di belakang sepasang firewall yang disinkronkan dengan ketersediaan tinggi atau dua firewall yang berdiri sendiri, perutean asimetris dari tautan layanan mungkin terjadi. Ini berarti bahwa lalu lintas masuk dapat melewati firewall-1, sementara lalu lintas keluar melewati firewall-2. Gunakan daftar periksa berikut untuk mengidentifikasi potensi perutean asimetris dari tautan layanan terutama jika sebelumnya berfungsi dengan benar.

• Verifikasi apakah ada perubahan terbaru atau pemeliharaan berkelanjutan dalam pengaturan perutean jaringan perusahaan Anda yang mungkin menyebabkan perutean tautan layanan asimetris melalui firewall.

  • Gunakan grafik lalu lintas firewall untuk memeriksa perubahan pola lalu lintas yang sejalan dengan dimulainya masalah tautan layanan.

  • Periksa kegagalan firewall sebagian atau skenario pasangan firewall berotak terpisah yang mungkin menyebabkan firewall Anda tidak lagi menyinkronkan tabel koneksi mereka satu sama lain.

  • Periksa tautan ke bawah atau perubahan terbaru pada perutean (OSPF/ISIS/perubahan EIGRP metrik, perubahan BGP peta rute) di jaringan perusahaan Anda yang sejalan dengan dimulainya masalah tautan layanan.

• Jika Anda menggunakan konektivitas Internet publik untuk tautan layanan ke wilayah asal, pemeliharaan penyedia layanan dapat memunculkan perutean asimetris dari tautan layanan melalui firewall.

  • Periksa grafik lalu lintas untuk tautan ke Anda ISP untuk perubahan pola lalu lintas yang sejalan dengan dimulainya masalah tautan layanan.

• Jika Anda menggunakan AWS Direct Connect konektivitas untuk tautan layanan, ada kemungkinan pemeliharaan yang AWS direncanakan memicu perutean tautan layanan asimetris.

  • Periksa pemberitahuan pemeliharaan yang direncanakan pada AWS Direct Connect layanan Anda.

  • Perhatikan bahwa jika Anda memiliki AWS Direct Connect layanan redundan, Anda dapat secara proaktif menguji perutean tautan layanan Outposts melalui setiap jalur jaringan yang mungkin dalam kondisi pemeliharaan. Ini memungkinkan Anda untuk menguji apakah gangguan pada salah satu AWS Direct Connect layanan Anda dapat menyebabkan perutean tautan layanan asimetris. Ketahanan AWS Direct Connect bagian konektivitas end-to-end jaringan dapat diuji oleh Resiliency with AWS Direct Connect Resiliency Toolkit. Untuk informasi selengkapnya, lihat Menguji AWS Direct Connect Ketahanan dengan Toolkit Ketahanan - Pengujian Failover.

Setelah Anda melalui daftar periksa sebelumnya dan menunjuk perutean asimetris tautan layanan sebagai penyebab utama yang mungkin, ada sejumlah tindakan lebih lanjut yang dapat Anda ambil:

• Kembalikan perutean simetris dengan mengembalikan perubahan jaringan perusahaan atau menunggu pemeliharaan yang direncanakan penyedia selesai.

• Masuk ke salah satu atau kedua firewall dan hapus semua informasi status aliran untuk semua aliran dari baris perintah (jika didukung oleh vendor firewall).

• Saring sementara BGP pengumuman melalui salah satu firewall atau tutup antarmuka pada satu firewall untuk memaksa perutean simetris melalui firewall lainnya.

• Reboot setiap firewall pada gilirannya untuk menghilangkan potensi korupsi dalam pelacakan status aliran lalu lintas tautan layanan di memori firewall.

• Libatkan vendor firewall Anda untuk memverifikasi atau melonggarkan pelacakan UDP status aliran untuk UDP koneksi yang bersumber pada port 443 dan ditujukan ke port 443.