Lista de verificação de solução de problemas de rede em rack do AWS Outposts

Use essa lista de verificação para ajudar a solucionar problemas de um link de serviço que tem o status de DOWN.

Conectividade com dispositivos de rede Outpost

Verifique o status do emparelhamento BGP nos dispositivos de rede local do cliente que estão conectados aos dispositivos de rede Outpost. Se o status de emparelhamento do BGP for DOWN, siga estas etapas:

1. Faça o ping do endereço IP do peer remoto nos dispositivos de rede Outpost a partir dos dispositivos do cliente. Você pode encontrar o endereço IP do peer na configuração do BGP do seu dispositivo. Você também pode consultar o Lista de verificação de prontidão da rede fornecido no momento da instalação.

2. Se o ping não for bem-sucedido, verifique a conexão física e verifique se o status da conectividade é UP.

   1. Confirme o status do LACP dos dispositivos de rede local do cliente.

   2. Verifique o status da interface no dispositivo. Se o status forUP, passe para a etapa 3.

   3. Verifique os dispositivos de rede local do cliente e confirme se o módulo óptico está funcionando.

   4. Substitua as fibras defeituosas e certifique-se de que as luzes (Tx/Rx) estejam dentro da faixa aceitável.

3. Se o ping for bem-sucedido, verifique os dispositivos de rede local do cliente e certifique-se de que as seguintes configurações de BGP estejam corretas.

   1. Confirme se o Número do Sistema Autônomo local (ASN do cliente) está configurado corretamente.

   2. Confirme se o Número do Sistema Autônomo remoto (Outpost ASN) está configurado corretamente.

   3. Confirme se o IP da interface e os endereços IP do peer remoto estão configurados corretamente.

   4. Confirme se as rotas anunciadas e recebidas estão corretas.

4. Se sua sessão do BGP estiver oscilando entre os estados ativo e de conexão, verifique se a porta TCP 179 e outras portas efêmeras relevantes não estão bloqueadas nos dispositivos de rede local do cliente.

5. Se precisar solucionar mais problemas, verifique o seguinte nos dispositivos de rede local do cliente:

   1. Registros de depuração BGP e TCP

   2. Registros do BGP

   3. Captura de pacotes

6. Se o problema persistir, realize capturas de pacotes MTR/traceroute/do roteador conectado ao Outpost para os endereços IP do peer do dispositivo de rede do Outpost. Compartilhe os resultados do teste com o Suporte do AWS, usando seu plano de suporte corporativo.

Se o status de emparelhamento do BGP estiver UP entre os dispositivos de rede local do cliente e os dispositivos de rede do Outpost, mas o link de serviço ainda estiverDOWN, você poderá solucionar mais problemas verificando os seguintes dispositivos nos dispositivos da rede local do cliente. Use uma das seguintes listas de verificação, dependendo de como a conectividade do link de serviço é provisionada.

• Roteadores Edge conectados com AWS Direct Connect — Interface virtual pública em uso para conectividade de link de serviço. Para ter mais informações, consulte conectividade de interface virtual pública de AWS Direct Connect com a região AWS.

• Roteadores Edge conectados com AWS Direct Connect — Interface virtual privada em uso para conectividade de link de serviço. Para ter mais informações, consulte conectividade de interface virtual privada do AWS Direct Connect com a região AWS.

• Roteadores Edge conectados a provedores de serviços de Internet (ISPs) — Internet pública em uso para conectividade de link de serviço. Para ter mais informações, consulte Conectividade de internet pública do ISP com a região AWS.

conectividade de interface virtual pública de AWS Direct Connect com a região AWS

Use a lista de verificação a seguir para solucionar problemas de roteadores de borda conectados a AWS Direct Connect quando uma interface virtual pública está em uso para conectividade de link de serviço.

1. Confirme se os dispositivos conectados diretamente aos dispositivos de rede do Outpost estão recebendo os intervalos de endereços IP do link de serviço por meio do BGP.

   1. Confirme as rotas que estão sendo recebidas pelo BGP do seu dispositivo.

   2. Verifique a tabela de rotas da instância de roteamento e encaminhamento virtual (VRF) do link de serviço. Ela deve mostrar que está usando o intervalo de endereços IP.

2. Para garantir a conectividade da região, verifique a tabela de rotas do link de serviço VRF. Ela deve incluir os intervalos de endereços IP públicos de AWS ou a rota padrão.

3. Se você não estiver recebendo os intervalos de endereços IP AWS públicos no link de serviço VRF, verifique os itens a seguir.

   1. Verifique o status do link AWS Direct Connect no roteador de borda ou noAWS Management Console.

   2. Se o link físico estiverUP, verifique o status de emparelhamento do BGP no roteador de borda.

   3. Se o status de emparelhamento BGP forDOWN, faça ping no endereço IP AWS do peer e verifique a configuração do BGP no roteador de borda. Para obter mais informações, consulte Solução de problemas AWS Direct Connect no AWS Direct Connect Guia do usuário e O status do BGP da minha interface virtual está inativo no console do AWS. O que devo fazer?

   4. Se o BGP estiver estabelecido e você não estiver vendo a rota padrão ou os intervalos de endereços IP AWS públicos no VRF, entre em contato com o Suporte do AWS usando seu plano de suporte Enterprise.

4. Se você tiver um firewall on-premises, verifique os itens abaixo.

   1. Confirme se as portas necessárias para a conectividade do link de serviço são permitidas nos firewalls da rede. Use o traceroute na porta 443 ou qualquer outra ferramenta de solução de problemas de rede para confirmar a conectividade por meio dos firewalls e dos dispositivos de rede. As portas a seguir devem ser configuradas nas políticas de firewall para a conectividade do link de serviço.

      • Protocolo TCP — Porta de origem: TCP 1025-65535, Porta de destino: 443.

      • Protocolo UDP — Porta de origem: TCP 1025-65535, Porta de destino: 443.

   2. Se o firewall estiver stateful, certifique-se de que as regras de saída permitam que o serviço do Outpost vincule o intervalo de endereços IP aos intervalos de endereços IP AWS públicos. Para ter mais informações, consulte Conectividade do AWS Outposts com regiões AWS.

   3. Se o firewall não estiver stateful, certifique-se de permitir também o fluxo de entrada (dos intervalos de endereços IP AWS públicos até o intervalo de endereços IP do link de serviço).

   4. Se você tiver configurado um roteador virtual nos firewalls, certifique-se de que o roteamento apropriado esteja configurado para o tráfego entre o Outpost e a Região AWS.

5. Se você tiver configurado o NAT na rede on-premises para converter os intervalos de endereços IP do link de serviço do Outpost para seus próprios endereços IP públicos, verifique os itens a seguir.

   1. Confirme se o dispositivo NAT não está sobrecarregado e tem portas livres para alocar para novas sessões.

   2. Confirme se o dispositivo NAT está configurado corretamente para realizar a conversão do endereço.

6. Se o problema persistir, realize capturas de pacotes MTR/traceroute/do roteador de borda para os endereços IP dos peers. AWS Direct Connect Compartilhe os resultados do teste com o Suporte do AWS, usando seu plano de suporte corporativo.

conectividade de interface virtual privada do AWS Direct Connect com a região AWS

Use a lista de verificação a seguir para solucionar problemas de roteadores de borda conectados a AWS Direct Connect quando uma interface virtual privada está em uso para conectividade de link de serviço.

1. Se a conectividade entre o rack do Outpost e a região AWS estiver usando o recurso de conectividade privada com AWS Outposts, verifique os itens a seguir.

   1. Faça ping no endereço IP AWS de emparelhamento remoto do roteador de borda e confirme o status de emparelhamento do BGP.

   2. Certifique-se de que o emparelhamento do BGP pela interface virtual privada do AWS Direct Connect entre seu endpoint de link de serviço (VPC) e o Outpost configurado on-premises esteja UP. Para obter mais informações, consulte Solução de problemas AWS Direct Connect no AWS Direct Connect Guia do usuário, Status do BGP da minha interface virtual está inativo no console AWS. O que devo fazer?, e Como posso solucionar problemas de conexão BGP pelo Direct Connect? .

   3. A interface virtual privada do AWS Direct Connect é uma conexão privada com o roteador de borda no local AWS Direct Connect escolhido e usa o BGP para trocar rotas. Sua faixa de CIDR de nuvem privada virtual (VPC) é anunciada por meio dessa sessão BGP para seu roteador de borda. Da mesma forma, o intervalo de endereços IP do link do serviço do Outpost é anunciado para a região por meio do BGP a partir do seu roteador de borda.

   4. Confirme se as ACLs de rede associadas ao endpoint privado do link de serviço em sua VPC permitem o tráfego relevante. Para ter mais informações, consulte Lista de verificação de prontidão da rede.

   5. Se você tiver um firewall on-premises, certifique-se de que o firewall tenha regras de saída que permitam os intervalos de endereços IP do link de serviço e os endpoints do serviço Outpost (os endereços IP da interface de rede) localizados na VPC ou no CIDR da VPC. Certifique-se de que as portas TCP 1025-65535 e UDP 443 não estejam bloqueadas. Para obter mais informações, consulte Introdução da conectividade privada do AWS Outposts.

   6. Se o firewall não estiver stateful, certifique-se de que o firewall tenha regras e políticas para permitir o tráfego de entrada para o Outpost a partir dos endpoints do serviço do Outpost na VPC.

2. Se você tiver mais de 100 redes em sua rede on-premises, poderá anunciar uma rota padrão na sessão do BGP para sua interface virtual privada do AWS. Se você não quiser anunciar uma rota padrão, resuma as rotas para que o número de rotas anunciadas seja menor que 100.

3. Se o problema persistir, realize capturas de pacotes MTR/traceroute/do roteador de borda para os endereços IP dos peers. AWS Direct Connect Compartilhe os resultados do teste com o Suporte do AWS, usando seu plano de suporte corporativo.

Conectividade de internet pública do ISP com a região AWS

Use a lista de verificação a seguir para solucionar problemas de roteadores de borda conectados por meio de um ISP ao usar a Internet pública para conectividade de link de serviço.

• Confirme se o link da Internet está ativo.

• Confirme se os servidores públicos estão acessíveis a partir de seus dispositivos periféricos conectados por meio de um ISP.

Se a Internet ou os servidores públicos não estiverem acessíveis por meio dos links do ISP, conclua as etapas a seguir.

1. Verifique se o status de emparelhamento BGP com os roteadores ISP está estabelecido.

   1. Confirme se o BGP não está oscilando.

   2. Confirme se o BGP está recebendo e anunciando as rotas necessárias do ISP.

2. No caso de configuração de rota estática, verifique se a rota padrão está configurada corretamente no dispositivo de borda.

3. Confirme se você pode acessar a Internet usando outra conexão ISP.

4. Se o problema persistir, execute capturas de pacotes MTR/traceroute/em seu roteador de borda. Compartilhe os resultados com a equipe de suporte técnico do seu ISP para solucionar problemas adicionais.

Se a Internet e os servidores públicos estiverem acessíveis por meio dos links do ISP, conclua as etapas a seguir.

1. Confirme se alguma de suas instâncias do EC2 ou balanceadores de carga acessíveis ao público na região de origem do Outpost pode ser acessada a partir do seu dispositivo de borda. Você pode usar ping ou telnet para confirmar a conectividade e, em seguida, usar traceroute para confirmar o caminho da rede.

2. Se você usa VRFs para separar o tráfego em sua rede, confirme se o link de serviço VRF tem rotas ou políticas que direcionam o tráfego de e para o ISP (Internet) e o VRF. Veja os seguintes pontos de verificação.

   1. Roteadores Edge conectados ao ISP. Verifique a tabela de rotas ISP VRF do roteador de borda para confirmar se o intervalo de endereços IP do link de serviço está presente.

   2. Dispositivos de rede local do cliente conectados ao Outpost. Verifique as configurações dos VRFs e assegure-se de que o roteamento e as políticas necessárias para a conectividade entre o VRF do link de serviço e o ISP VRF estejam configurados corretamente. Normalmente, uma rota padrão é enviada do ISP VRF para o link de serviço VRF para tráfego para a Internet.

   3. Se você configurou o roteamento com base na origem nos roteadores conectados ao seu Outpost, confirme se a configuração está correta.

3. Certifique-se de que os firewalls on-premises estejam configurados para permitir conectividade de saída (portas TCP 1025-65535 e UDP 443) dos intervalos de endereços IP do link do serviço Outpost aos intervalos de endereços IP AWS públicos. Se os firewalls não estiverem stateful, certifique-se de que a conectividade de entrada com o Outpost também esteja configurada.

4. Certifique-se de que o NAT esteja configurado na rede on-premises para converter os intervalos de endereços IP do link de serviço do Outpost em endereços IP públicos. Além disso, confirme os itens abaixo.

   1. O dispositivo NAT não está sobrecarregado e tem portas livres para alocar para novas sessões.

   2. O dispositivo NAT está configurado corretamente para realizar a conversão do endereço.

Se o problema persistir, execute capturas de pacotes MTR/traceroute/.

• Se os resultados mostrarem que os pacotes estão sendo descartados ou bloqueados na rede on-premises, consulte sua equipe de rede ou equipe técnica para obter orientação adicional.

• Se os resultados mostrarem que os pacotes estão caindo ou bloqueados na rede do ISP, entre em contato com a equipe de suporte técnico do ISP.

• Se os resultados não mostrarem nenhum problema, colete os resultados de todos os testes (como MTR, telnet, traceroute, capturas de pacotes e logs de BGP) e entre em contato com o Suporte do AWS usando seu plano de suporte Enterprise.

Outposts está por trás de dois dispositivos de firewall

Se você colocou seu Outpost atrás de um par de firewalls sincronizados de alta disponibilidade ou dois firewalls independentes, o roteamento assimétrico do link de serviço pode ocorrer. Isso significa que o tráfego de entrada pode passar pelo firewall-1, enquanto o tráfego de saída passa pelo firewall-2. Use a lista de verificação a seguir para identificar o possível roteamento assimétrico do link de serviço, especialmente se ele estava funcionando corretamente antes.

• Verifique se houve alguma alteração recente ou manutenção contínua na configuração de roteamento da sua rede corporativa que possa ter levado ao roteamento assimétrico do link de serviço por meio dos firewalls.

  • Use gráficos de tráfego de firewall para verificar se há alterações nos padrões de tráfego que se alinham com o início do problema do link de serviço.

  • Verifique se há uma falha parcial no firewall ou um cenário de par de firewalls com cérebro dividido que possa ter feito com que seus firewalls não sincronizassem mais suas tabelas de conexão entre si.

  • Verifique se há links inativos ou alterações recentes no roteamento (alterações na métrica OSPF/ISIS/EIGRP, alterações no mapa de rotas do BGP) em sua rede corporativa que estejam alinhadas com o início do problema do link de serviço.

• Se você estiver usando conectividade pública à Internet para o link de serviço para a região de origem, a manutenção do provedor de serviços pode ter dado origem ao roteamento assimétrico do link de serviço por meio dos firewalls.

  • Verifique os gráficos de tráfego em busca de links para seus ISPs para ver se há alterações nos padrões de tráfego que estejam alinhados com o início do problema do link de serviço.

• Se você estiver usando AWS Direct Connect conectividade para o link de serviço, é possível que uma manutenção AWS planejada tenha acionado o roteamento assimétrico do link de serviço.

  • Verifique se há notificações de manutenção planejada em seu (s) AWS Direct Connect serviço (s).

  • Observe que, se você tiver AWS Direct Connect serviços redundantes, poderá testar proativamente o roteamento do link de serviço Outposts em cada caminho de rede provável sob condições de manutenção. Isso permite testar se uma interrupção em um de seus AWS Direct Connect serviços pode levar ao roteamento assimétrico do link de serviço. A resiliência da AWS Direct Connect parte da conectividade de end-to-end rede pode ser testada pelo AWS Direct Connect Resiliency with Resiliency Toolkit. Para obter mais informações, consulte Testando AWS Direct Connect resiliência com o kit de ferramentas de resiliência — Teste de failover.

Depois de examinar a lista de verificação anterior e identificar o roteamento assimétrico do link de serviço como uma possível causa raiz, há várias ações adicionais que você pode tomar:

• Restaure o roteamento simétrico revertendo quaisquer alterações na rede corporativa ou aguardando a conclusão da manutenção planejada do provedor.

• Faça login em um ou em ambos os firewalls e limpe todas as informações do estado do fluxo de todos os fluxos da linha de comando (se suportado pelo fornecedor do firewall).

• Filtre temporariamente os anúncios do BGP por meio de um dos firewalls ou feche as interfaces em um firewall para forçar o roteamento simétrico pelo outro firewall.

• Reinicialize cada firewall alternadamente para eliminar a possível corrupção no rastreamento do estado de fluxo do tráfego do link de serviço na memória do firewall.

• Entre em contato com seu fornecedor de firewall para verificar ou relaxar o rastreamento do estado do fluxo UDP para conexões UDP originadas na porta 443 e destinadas à porta 443.