Risolvi i problemi di AWS Site-to-Site VPN connettività quando utilizzi il Border Gateway Protocol - AWS Site-to-Site VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risolvi i problemi di AWS Site-to-Site VPN connettività quando utilizzi il Border Gateway Protocol

Il diagramma e la tabella seguenti forniscono istruzioni generali per la risoluzione dei problemi di un dispositivo gateway del cliente che utilizza Border Gateway Protocol (). BGP Ti consigliamo inoltre di abilitare le funzionalità di debug del dispositivo. Per informazioni dettagliate, consulta il fornitore del dispositivo gateway.

Diagramma di flusso per la risoluzione dei problemi relativi a un dispositivo gateway del cliente generico
IKE

Determina se esiste un'associazione IKE di sicurezza.

È necessaria un'associazione di IKE sicurezza per lo scambio delle chiavi utilizzate per stabilire l'associazione IPsec di sicurezza.

Se non esiste alcuna associazione IKE di sicurezza, rivedi le impostazioni IKE di configurazione. Devi configurare i parametri di crittografia, autenticazione, perfect-forward-secrecy e di modalità come elencato nel file di configurazione.

Se esiste un'associazione di IKE sicurezza, passa a 'IPsec'.
IPsec

Determina se esiste un'associazione di IPsec sicurezza (SA).

Una IPsec SA è il tunnel stesso. Interroga il dispositivo Customer Gateway per determinare se una IPsec SA è attiva. Assicurati di configurare i parametri di crittografia, autenticazione, perfect-forward-secrecy e di modalità come elencato nel file di configurazione.

Se non esiste alcuna IPsec SA, rivedi la tua IPsec configurazione.

Se esiste una IPsec SA, passa a «Tunnel».

Tunnel

Verifica che le regole di firewall necessarie siano configurate (per un elenco delle regole, consulta Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente). Se lo sono, continua.

Determina se esiste una connettività IP tramite il tunnel.

Ogni lato del tunnel dispone di un indirizzo IP come specificato nel file di configurazione. L'indirizzo del gateway privato virtuale è l'indirizzo utilizzato come indirizzo adiacenteBGP. Dal dispositivo gateway del cliente, esegui il ping di questo indirizzo per determinare se il traffico IP è stato crittografato e decrittografato correttamente.

Se il ping non riesce, esamina la configurazione di interfaccia di tunnel per assicurarti che l'indirizzo IP sia configurato correttamente.

Se il ping ha esito positivo, passa a 'BGP'.
BGP

Determina se la sessione BGP di peering è attiva.

Per ogni tunnel, procedi come segue:

  • Sul tuo dispositivo Customer Gateway, determina se lo BGP stato è Active oEstablished. Potrebbero essere necessari circa 30 secondi prima che un BGP peering diventi attivo.

  • Assicurati che il dispositivo gateway del cliente annunci la route predefinita (0.0.0.0/0) al gateway virtuale privato.

Se i tunnel non sono in questo stato, rivedi la BGP configurazione.

Se il BGP peering è stabilito, stai ricevendo un prefisso e stai pubblicizzando un prefisso, il tunnel è configurato correttamente. Verifica che entrambi i tunnel siano in questo stato.