Connettività con i dispositivi di rete Outpost AWS Direct Connect connettività dell'interfaccia virtuale pubblica alla regione AWS AWS Direct Connect interfaccia virtuale privata: connettività alla AWS regione ISPconnettività Internet pubblica alla AWS regione Outposts è protetto da due dispositivi firewall

AWS Outposts elenco di controllo per la risoluzione dei problemi di rete

Utilizza questo elenco di controllo per risolvere i problemi relativi a un collegamento al servizio con stato DOWN.

Connettività con i dispositivi di rete Outpost

Verifica lo stato del BGP peering sui dispositivi di rete locale del cliente collegati ai dispositivi di rete Outpost. Se lo stato del BGP peering èDOWN, procedi nel seguente modo:

Esegui il ping dell'indirizzo IP peer remoto sui dispositivi di rete Outpost dai dispositivi del cliente. Puoi trovare l'indirizzo IP del peer nella BGP configurazione del tuo dispositivo. Puoi anche fare riferimento all'elenco Elenco di controllo di preparazione della rete fornito al momento dell'installazione.
Se il ping ha esito negativo, controlla la connessione fisica e assicurati che lo stato della connettività sia UP.
1. Conferma lo LACP stato dei dispositivi di rete locale del cliente.
2. Controlla lo stato dell'interfaccia sul dispositivo. Se lo stato è UP, passa alla fase 3.
3. Controlla i dispositivi della rete locale del cliente e verifica che il modulo ottico funzioni.
4. Sostituisci le fibre difettose e assicurati che le spie (Tx/Rx) rientrino nell'intervallo accettabile.
Se il ping ha esito positivo, controlla i dispositivi della rete locale del cliente e assicurati che le seguenti BGP configurazioni siano corrette.
1. Verificate che il numero di sistema autonomo locale (clienteASN) sia configurato correttamente.
2. Verificare che l'Autonomous System Number (OutpostASN) remoto sia configurato correttamente.
3. Verifica che l'IP dell'interfaccia e gli indirizzi IP peer remoti siano configurati correttamente.
4. Verifica che i routing propagati e ricevuti siano corretti.
Se la BGP sessione passa dallo stato attivo a quello di connessione, verifica che la TCP porta 179 e le altre porte temporanee pertinenti non siano bloccate sui dispositivi della rete locale del cliente.
Per approfondire l'analisi per la risoluzione del problema, controlla quanto segue sui dispositivi di rete locale del cliente:
1. BGPe registri di debug TCP
2. BGPregistri
3. Acquisizione di pacchetti
Se il problema persiste, esegui l'acquisizione di pacchetti MTR /traceroute/dal router connesso a Outpost agli indirizzi IP peer del dispositivo di rete Outpost. Condividi i risultati del test con AWS Support, utilizzando il tuo piano di supporto Enterprise.

Se lo stato del BGP peering è UP tra i dispositivi della rete locale del cliente e i dispositivi di rete Outpost, ma il collegamento al servizio è ancora attivoDOWN, puoi risolvere ulteriormente il problema controllando i seguenti dispositivi sui dispositivi della rete locale del cliente. Utilizza uno dei seguenti elenchi di controllo, a seconda della modalità di provisioning della connettività del collegamento al servizio.

Router Edge collegati a AWS Direct Connect : interfaccia virtuale pubblica in uso per la connettività del service link. Per ulteriori informazioni, consulta AWS Direct Connect connettività dell'interfaccia virtuale pubblica alla regione AWS.
Router edge collegati a AWS Direct Connect : interfaccia virtuale privata in uso per la connettività del service link. Per ulteriori informazioni, consulta AWS Direct Connect interfaccia virtuale privata: connettività alla AWS regione.
Router edge connessi a Internet Service Provider (ISPs): Internet pubblico in uso per la connettività service link. Per ulteriori informazioni, consulta ISPconnettività Internet pubblica alla AWS regione.

AWS Direct Connect connettività dell'interfaccia virtuale pubblica alla regione AWS

Utilizza la seguente lista di controllo per risolvere i problemi relativi ai router edge connessi AWS Direct Connect quando viene utilizzata un'interfaccia virtuale pubblica per la connettività del service link.

Verifica che i dispositivi che si connettono direttamente ai dispositivi di rete Outpost ricevano gli intervalli di indirizzi IP del service link. BGP
1. Conferma i percorsi che vengono ricevuti BGP dal tuo dispositivo.
2. Controlla la tabella dei percorsi del link di servizio Virtual Routing and Forwarding instance (). VRF Dovrebbe mostrare che sta utilizzando l'intervallo di indirizzi IP.
Per garantire la connettività della regione, controlla la tabella delle rotte per il collegamento al servizio. VRF Dovrebbe includere gli intervalli di indirizzi IP AWS pubblici o la route predefinita.
Se non ricevi gli intervalli di indirizzi IP AWS pubblici nel link al servizioVRF, controlla i seguenti elementi.
1. Controlla lo stato del AWS Direct Connect collegamento dal router perimetrale o dal AWS Management Console.
2. Se il collegamento fisico èUP, controlla lo stato del BGP peering dal router perimetrale.
3. Se lo stato del BGP peering èDOWN, esegui il ping dell'indirizzo AWS IP del peer e controlla la BGP configurazione nell'edge router. Per ulteriori informazioni, consulta Risoluzione dei problemi AWS Direct Connect nella Guida per l'AWS Direct Connect utente e BGPLo stato della mia interfaccia virtuale non è disponibile nella AWS console. Cosa devo fare?
4. Se BGP è impostato e non vedi la route predefinita o gli intervalli di indirizzi IP AWS pubblici inVRF, contatta l' AWS assistenza utilizzando il tuo piano di supporto Enterprise.
Se disponi di un firewall on-premise, verifica i seguenti elementi.
1. Verifica che le porte richieste per la connettività del collegamento al servizio siano consentite nei firewall di rete. Usa traceroute sulla porta 443 o qualsiasi altro strumento di risoluzione dei problemi di rete per confermare la connettività attraverso i firewall e i dispositivi di rete. Per la connettività del collegamento al servizio è necessario configurare le seguenti porte nelle policy del firewall.
  - TCPprotocollo — Porta di origine: TCP 1025-65535, porta di destinazione: 443.
  - UDPprotocollo — Porta di origine: TCP 1025-65535, porta di destinazione: 443.
2. Se il firewall è dotato di stato, assicurati che le regole in uscita consentano l'intervallo di indirizzi IP del collegamento di servizio di Outpost agli intervalli di indirizzi IP pubblici. AWS Per ulteriori informazioni, consulta AWS Outposts connettività verso AWS le regioni.
3. Se il firewall non è dotato di stato, assicuratevi di consentire anche il flusso in entrata (dagli intervalli di indirizzi IP AWS pubblici all'intervallo di indirizzi IP del service link).
4. Se hai configurato un router virtuale nei firewall, assicurati che sia configurato il routing appropriato per il traffico tra Outpost e la regione AWS .
Se NAT nella rete locale hai configurato la conversione degli intervalli di indirizzi IP del service link di Outpost nei tuoi indirizzi IP pubblici, controlla i seguenti elementi.
1. Verifica che il NAT dispositivo non sia sovraccarico e che disponga di porte libere da allocare per nuove sessioni.
2. Verifica che il NAT dispositivo sia configurato correttamente per eseguire la traduzione degli indirizzi.
Se il problema persiste, esegui l'acquisizione di pacchetti MTR /traceroute/dal router perimetrale agli indirizzi IP del peer. AWS Direct Connect Condividi i risultati del test con AWS Support, utilizzando il tuo piano di supporto Enterprise.

AWS Direct Connect interfaccia virtuale privata: connettività alla AWS regione

Utilizza la seguente lista di controllo per risolvere i problemi relativi ai router edge connessi AWS Direct Connect quando viene utilizzata un'interfaccia virtuale privata per la connettività del service link.

Se la connettività tra il rack Outpost e la AWS regione utilizza la funzionalità di connettività AWS Outposts privata, controlla i seguenti elementi.
1. Esegui il ping dell'indirizzo AWS IP di peering remoto dal router periferico e conferma lo stato del BGP peering.
2. Assicurati che il BGP peering tramite l'interfaccia virtuale AWS Direct Connect privata tra l'endpoint service link VPC e Outpost installato nella tua sede sia attivo. UP Per ulteriori informazioni, consulta Risoluzione dei problemi AWS Direct Connect nella Guida per l'AWS Direct Connect utente, BGPLo stato della mia interfaccia virtuale non è disponibile nella console. AWS Cosa devo fare? e come posso risolvere i problemi di BGP connessione tramite Direct Connect? .
3. L'interfaccia virtuale AWS Direct Connect privata è una connessione privata al router perimetrale nella AWS Direct Connect posizione prescelta e viene utilizzata BGP per lo scambio di percorsi. L'CIDRintervallo di cloud privato privato privato privato (VPC) viene pubblicizzato tramite questa BGP sessione al router edge. Allo stesso modo, l'intervallo di indirizzi IP per il collegamento al servizio Outpost viene pubblicizzato all'area tramite il router BGP edge.
4. Verifica che la rete ACLs associata all'endpoint privato Service Link nel tuo endpoint VPC consenta il traffico pertinente. Per ulteriori informazioni, consulta Elenco di controllo di preparazione della rete.
5. Se disponi di un firewall locale, assicurati che il firewall disponga di regole in uscita che consentano gli intervalli di indirizzi IP del service link e gli endpoint del servizio Outpost (gli indirizzi IP dell'interfaccia di rete) situati nel o nel. VPC VPC CIDR Assicurati che le porte TCP 1025-65535 e 443 non siano bloccate. UDP Per ulteriori informazioni, consulta Introduzione alla connettività privata. AWS Outposts
6. Se il firewall non è dotato di stato, assicurati che disponga di regole e politiche per consentire il traffico in entrata verso Outpost dagli endpoint del servizio Outpost nel. VPC
Se hai più di 100 reti nella tua rete locale, puoi pubblicizzare un percorso predefinito attraverso la sessione verso la BGP tua interfaccia virtuale privata. AWS Se non desideri propagare un routing predefinito, riepiloga i routing in modo che il numero di routing propagati sia inferiore a 100.
Se il problema persiste, esegui l'acquisizione di pacchetti MTR /traceroute/dal router perimetrale agli indirizzi IP del peer. AWS Direct Connect Condividi i risultati del test con AWS Support, utilizzando il tuo piano di supporto Enterprise.

ISPconnettività Internet pubblica alla AWS regione

Utilizza la seguente lista di controllo per risolvere i problemi relativi ai router edge connessi tramite un collegamento di servizio ISP quando si utilizza la rete Internet pubblica per la connettività del service link.

Verifica che il collegamento Internet sia attivo.
Verifica che i server pubblici siano accessibili dai tuoi dispositivi perimetrali collegati tramite un. ISP

Se Internet o i server pubblici non sono accessibili tramite i ISP collegamenti, completa i passaggi seguenti.

Verificate se lo stato BGP di peering con i ISP router è stato stabilito.
1. Verificare che non BGP stia lampeggiando.
2. Conferma che BGP stia ricevendo e pubblicizzando i percorsi richiesti da. ISP
In caso di configurazione del routing statico, verifica che il routing predefinito sia configurato correttamente sul dispositivo edge.
Verifica se puoi accedere a Internet utilizzando un'altra ISP connessione.
Se il problema persiste, esegui l'acquisizione di pacchettiMTR/traceroute/sul router perimetrale. Condividete i risultati con il vostro team di supporto tecnico ISP per un'ulteriore risoluzione dei problemi.

Se Internet e i server pubblici sono accessibili tramite i ISP collegamenti, completa i passaggi seguenti.

Verifica se EC2 le istanze o i sistemi di bilanciamento del carico accessibili al pubblico nella regione di residenza di Outpost sono accessibili dal tuo dispositivo periferico. Puoi utilizzare ping o telnet per confermare la connettività, quindi utilizza traceroute per confermare il percorso di rete.
Se lo utilizzi VRFs per separare il traffico nella tua rete, verifica che il link al servizio VRF abbia percorsi o politiche che indirizzano il traffico da e verso ISP (Internet) e. VRF Vedi i seguenti punti di controllo.
1. Router Edge che si connettono a. ISP Controlla la tabella di ISP VRF routing del router perimetrale per confermare che sia presente l'intervallo di indirizzi IP del service link.
2. Dispositivi di rete locale del cliente che si connettono a Outpost. Controlla le configurazioni di VRFs e assicurati che il routing e le politiche necessarie per la connettività tra il service link VRF e il ISP VRF siano configurati correttamente. In genere, viene inviato un percorso predefinito dal ISP VRF collegamento al servizio VRF per il traffico verso Internet.
3. Se hai configurato il routing basato sull'origine nei router collegati all'Outpost, verifica che la configurazione sia corretta.
Assicurati che i firewall locali siano configurati per consentire la connettività in uscita (porte TCP 1025-65535 e UDP 443) dagli intervalli di indirizzi IP di Outpost service link agli intervalli di indirizzi IP pubblici. AWS Se i firewall non sono stateful, assicurati che sia configurata anche la connettività in entrata all'Outpost.
Assicurati che NAT sia configurato nella rete locale per tradurre gli intervalli di indirizzi IP dei collegamenti di servizio di Outpost in indirizzi IP pubblici. Inoltre, verifica i seguenti elementi.
1. Il NAT dispositivo non è sovraccarico e dispone di porte libere da allocare per nuove sessioni.
2. Il NAT dispositivo è configurato correttamente per eseguire la traduzione degli indirizzi.

Se il problema persiste, esegui l'acquisizione di MTR pacchetti /traceroute/.

Se i risultati mostrano il rilascio o il blocco dei pacchetti nella rete on-premise, rivolgiti al team addetto alla rete o al team tecnico per ulteriori indicazioni.
Se i risultati mostrano che i pacchetti stanno cadendo o sono bloccati nella rete in questione, contatta il team ISP di supporto tecnico del provider. ISP
Se i risultati non mostrano problemi, raccogli i risultati di tutti i test (ad esempio telnetMTR, traceroute, acquisizione di pacchetti e BGP log) e contatta il supporto utilizzando il tuo piano di AWS supporto Enterprise.

Outposts è protetto da due dispositivi firewall

Se hai posizionato Outpost dietro una coppia di firewall sincronizzati ad alta disponibilità o due firewall autonomi, potrebbe verificarsi un routing asimmetrico del collegamento di servizio. Ciò significa che il traffico in entrata potrebbe passare attraverso il firewall-1, mentre il traffico in uscita attraversa il firewall-2. Utilizza la seguente lista di controllo per identificare il potenziale routing asimmetrico del link di servizio, specialmente se prima funzionava correttamente.

Verificate se vi sono state modifiche recenti o interventi di manutenzione in corso nella configurazione del routing della rete aziendale che potrebbero aver portato al routing asimmetrico del link di servizio attraverso i firewall.
- Utilizza i grafici del traffico del firewall per verificare le modifiche ai modelli di traffico corrispondenti all'inizio del problema del collegamento al servizio.
- Verifica la presenza di un errore parziale del firewall o di uno scenario di coppia di firewall a cervello diviso che potrebbe aver impedito ai firewall di sincronizzare più le tabelle di connessione tra loro.
- Controllate i link non funzionanti o le modifiche recenti al routing (modificheOSPF/ISIS/EIGRPmetriche, modifiche alla BGP mappa del percorso) nella rete aziendale che coincidono con l'inizio del problema relativo al collegamento al servizio.
Se si utilizza la connettività Internet pubblica per il collegamento del servizio all'area di residenza, la manutenzione di un provider di servizi potrebbe aver causato il routing asimmetrico del collegamento di servizio attraverso i firewall.
- Consultate i grafici sul traffico per individuare i collegamenti verso i vostri ISP siti per eventuali modifiche ai modelli di traffico corrispondenti all'inizio del problema relativo al collegamento al servizio.
Se si utilizza la AWS Direct Connect connettività per il collegamento al servizio, è possibile che una manutenzione AWS pianificata abbia attivato il routing asimmetrico del collegamento di servizio.
- Verifica la presenza di notifiche di manutenzione pianificata sui tuoi AWS Direct Connect servizi.
- Tieni presente che se disponi di AWS Direct Connect servizi ridondanti, puoi testare in modo proattivo il routing del collegamento al servizio Outposts su ogni probabile percorso di rete in condizioni di manutenzione. Ciò consente di verificare se un'interruzione di uno dei AWS Direct Connect servizi potrebbe portare a un routing asimmetrico del collegamento di servizio. La resilienza della AWS Direct Connect parte della connettività di end-to-end rete può essere testata dal Resiliency with Resiliency Toolkit. AWS Direct Connect Per ulteriori informazioni, vedere Testing AWS Direct Connect Resiliency with Resiliency Toolkit — Failover Testing.

Dopo aver esaminato la lista di controllo precedente e aver individuato il routing asimmetrico del collegamento al servizio come possibile causa principale, è possibile intraprendere una serie di ulteriori azioni:

Ripristina il routing simmetrico ripristinando eventuali modifiche alla rete aziendale o aspettando il completamento della manutenzione pianificata dal provider.
Accedi a uno o entrambi i firewall e cancella tutte le informazioni sullo stato del flusso per tutti i flussi dalla riga di comando (se supportato dal fornitore del firewall).
Filtra temporaneamente gli BGP annunci tramite uno dei firewall o chiudi le interfacce su un firewall per forzare il routing simmetrico attraverso l'altro firewall.
Riavviate ogni firewall uno dopo l'altro per eliminare il potenziale danneggiamento del tracciamento dello stato di flusso del traffico del service link nella memoria del firewall.
Rivolgiti al fornitore del firewall per verificare o semplificare il monitoraggio UDP dello stato del flusso per le UDP connessioni provenienti dalla porta 443 e destinate alla porta 443.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ottimizzazione

nd-of-term opzioni E