Solução de problemas de conectividade ao usar o Border Gateway Protocol - AWS Site-to-Site VPN

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas de conectividade ao usar o Border Gateway Protocol

O diagrama e a tabela a seguir fornecem instruções gerais para solucionar problemas em um dispositivo de gateway do cliente que usa o Border Gateway Protocol (BGP). Também recomendamos que você habilite os recursos de depuração do dispositivo. Consulte o fornecedor do dispositivo do gateway para obter informações detalhadas.

Fluxograma para solucionar problemas de um gateway do cliente genérico
IKE

Determine se existe uma associação de IKE segurança.

É necessária uma associação de IKE segurança para trocar as chaves usadas para estabelecer a associação IPsec de segurança.

Se não existir nenhuma associação de IKE segurança, revise suas IKE configurações. É necessário configurar os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração.

Se existir uma associação de IKE segurança, vá para 'IPsec'.
IPsec

Determine se existe uma associação de IPsec segurança (SA).

Um IPsec SA é o túnel em si. Consulte seu dispositivo de gateway do cliente para determinar se um IPsec SA está ativo. Configure os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração.

Se não existir nenhum IPsec SA, revise sua IPsec configuração.

Se existir um IPsec SA, vá para “Túnel”.

Túnel

Confirme se as regras necessárias de firewall estão configuradas (para obter uma lista de regras, consulte Regras de firewall para seu dispositivo de gateway do cliente). Se não, prossiga.

Determine se existe conectividade IP por meio do túnel.

Cada lado do túnel tem um endereço IP conforme especificado no arquivo de configuração. O endereço do gateway privado virtual é o endereço usado como endereço do BGP vizinho. No dispositivo de gateway do cliente, execute ping nesse endereço para determinar se o tráfego de IP está sendo criptografado e descriptografado adequadamente.

Se o ping não tiver êxito, revise a configuração da interface do túnel para verificar se o endereço IP apropriado está configurado.

Se o ping for bem-sucedido, vá para 'BGP'.
BGP

Determine se a sessão de BGP emparelhamento está ativa.

Para cada túnel, faça o seguinte:

  • Em seu dispositivo de gateway do cliente, determine se o BGP status é Active ouEstablished. Pode levar aproximadamente 30 segundos para que um BGP peering se torne ativo.

  • Confirme se o dispositivo de gateway do cliente está anunciando a rota padrão (0.0.0.0/0) para o gateway privado virtual.

Se os túneis não estiverem nesse estado, revise sua BGP configuração.

Se o BGP peering for estabelecido, você estiver recebendo um prefixo e anunciando um prefixo, seu túnel será configurado corretamente. Certifique-se de que os dois túneis estão nesse estado.