Daftar periksa pemecahan masalah jaringan rak Outposts - AWS Outposts
Konektivitas dengan perangkat jaringan OutpostAWS Direct Connect konektivitas antarmuka virtual publik ke AWS WilayahAWS Direct Connect konektivitas antarmuka virtual pribadi ke AWS WilayahKonektivitas internet publik ISP ke Wilayah AWSOutposts berada di belakang dua perangkat firewall

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Daftar periksa pemecahan masalah jaringan rak Outposts

Gunakan daftar periksa ini untuk membantu memecahkan masalah tautan layanan yang berstatus. DOWN

Virtual LANs.

Konektivitas dengan perangkat jaringan Outpost

Periksa status peering BGP pada perangkat jaringan lokal pelanggan yang terhubung ke perangkat jaringan Outpost. Jika status peering BGP adalahDOWN, ikuti langkah-langkah berikut:

  1. Ping alamat IP peer jarak jauh pada perangkat jaringan Outpost dari perangkat pelanggan. Anda dapat menemukan alamat IP rekan dalam konfigurasi BGP perangkat Anda. Anda juga dapat merujuk ke yang Daftar periksa kesiapan jaringan diberikan kepada Anda pada saat instalasi.

  2. Jika ping tidak berhasil, periksa koneksi fisik dan pastikan status konektivitas. UP

    1. Konfirmasikan status LACP perangkat jaringan lokal pelanggan.

    2. Periksa status antarmuka pada perangkat. Jika statusnyaUP, lewati ke langkah 3.

    3. Periksa perangkat jaringan lokal pelanggan dan konfirmasikan bahwa modul optik berfungsi.

    4. Ganti serat yang rusak dan pastikan lampu (Tx/Rx) berada dalam kisaran yang dapat diterima.

  3. Jika ping berhasil, periksa perangkat jaringan lokal pelanggan dan pastikan bahwa konfigurasi BGP berikut sudah benar.

    1. Konfirmasikan bahwa Nomor Sistem Otonomi lokal (ASN Pelanggan) dikonfigurasi dengan benar.

    2. Konfirmasikan bahwa Nomor Sistem Otonom jarak jauh (Outpost ASN) dikonfigurasi dengan benar.

    3. Konfirmasikan bahwa IP antarmuka dan alamat IP rekan jarak jauh dikonfigurasi dengan benar.

    4. Konfirmasikan bahwa rute yang diiklankan dan diterima sudah benar.

  4. Jika sesi BGP Anda mengepak antara status aktif dan terhubung, verifikasi bahwa port TCP 179 dan port fana lain yang relevan tidak diblokir pada perangkat jaringan lokal pelanggan.

  5. Jika Anda perlu memecahkan masalah lebih lanjut, periksa hal berikut di perangkat jaringan lokal pelanggan:

    1. Log debug BGP dan TCP

    2. Log BGP

    3. Penangkapan paket

  6. Jika masalah berlanjut, lakukan tangkapan MTR/traceroute/packet dari router yang terhubung Outpost Anda ke alamat IP peer perangkat jaringan Outpost. Bagikan hasil pengujian dengan AWS Support, menggunakan paket dukungan Enterprise Anda.

Jika status peering BGP adalah UP antara perangkat jaringan lokal pelanggan dan perangkat jaringan Outpost, tetapi tautan layanan masihDOWN, Anda dapat memecahkan masalah lebih lanjut dengan memeriksa perangkat berikut di perangkat jaringan lokal pelanggan Anda. Gunakan salah satu daftar periksa berikut, tergantung pada bagaimana konektivitas tautan layanan Anda disediakan.

AWS Direct Connect konektivitas antarmuka virtual publik ke AWS Wilayah

Gunakan daftar periksa berikut untuk memecahkan masalah router tepi yang terhubung AWS Direct Connect saat antarmuka virtual publik digunakan untuk konektivitas tautan layanan.

  1. Konfirmasikan bahwa perangkat yang terhubung langsung dengan perangkat jaringan Outpost menerima rentang alamat IP tautan layanan melalui BGP.

    1. Konfirmasikan rute yang diterima melalui BGP dari perangkat Anda.

    2. Periksa tabel rute tautan layanan Virtual Routing and Forwarding instance (VRF). Ini harus menunjukkan bahwa itu menggunakan rentang alamat IP.

  2. Untuk memastikan konektivitas Wilayah, periksa tabel rute untuk tautan layanan VRF. Ini harus mencakup rentang alamat IP AWS Publik atau rute default.

  3. Jika Anda tidak menerima rentang alamat IP AWS publik di tautan layanan VRF, periksa item berikut.

    1. Periksa status AWS Direct Connect tautan dari router tepi atau AWS Management Console.

    2. Jika tautan fisiknyaUP, periksa status peering BGP dari router tepi.

    3. Jika status peering BGP adalahDOWN, ping alamat AWS IP peer dan periksa konfigurasi BGP di router tepi. Untuk informasi selengkapnya, lihat Pemecahan masalah AWS Direct Connect di Panduan AWS Direct Connect Pengguna dan Status BGP antarmuka virtual saya tidak aktif di konsol. AWS Apa yang harus saya lakukan? .

    4. Jika BGP dibuat dan Anda tidak melihat rute default atau rentang alamat IP AWS publik di VRF, hubungi Support, menggunakan paket AWS dukungan Enterprise Anda.

  4. Jika Anda memiliki firewall lokal, periksa item berikut.

    1. Konfirmasikan bahwa port yang diperlukan untuk konektivitas tautan layanan diizinkan di firewall jaringan. Gunakan traceroute pada port 443 atau alat pemecahan masalah jaringan lainnya untuk mengonfirmasi konektivitas melalui firewall dan perangkat jaringan Anda. Port berikut harus dikonfigurasi dalam kebijakan firewall untuk konektivitas tautan layanan.

      • Protokol TCP - Port sumber: TCP 1025-65535, Port tujuan: 443.

      • Protokol UDP - Port sumber: TCP 1025-65535, Port tujuan: 443.

    2. Jika firewall stateful, pastikan bahwa aturan keluar memungkinkan jangkauan alamat IP tautan layanan Outpost ke rentang alamat IP AWS publik. Untuk informasi selengkapnya, lihat AWS Outposts konektivitas ke AWS Wilayah.

    3. Jika firewall tidak stateful, pastikan untuk mengizinkan aliran masuk juga (dari rentang alamat IP AWS publik ke rentang alamat IP tautan layanan).

    4. Jika Anda telah mengkonfigurasi router virtual di firewall, pastikan bahwa routing yang sesuai dikonfigurasi untuk lalu lintas antara Outpost dan Region. AWS

  5. Jika Anda telah mengonfigurasi NAT di jaringan lokal untuk menerjemahkan rentang alamat IP tautan layanan Outpost ke alamat IP publik Anda sendiri, periksa item berikut.

    1. Konfirmasikan bahwa perangkat NAT tidak kelebihan beban dan memiliki port gratis untuk dialokasikan untuk sesi baru.

    2. Konfirmasikan bahwa perangkat NAT dikonfigurasi dengan benar untuk melakukan terjemahan alamat.

  6. Jika masalah berlanjut, lakukan tangkapan MTR/traceroute/packet dari router edge Anda ke alamat IP peer. AWS Direct Connect Bagikan hasil pengujian dengan AWS Support, menggunakan paket dukungan Enterprise Anda.

AWS Direct Connect konektivitas antarmuka virtual pribadi ke AWS Wilayah

Gunakan daftar periksa berikut untuk memecahkan masalah router tepi yang terhubung AWS Direct Connect saat antarmuka virtual pribadi digunakan untuk konektivitas tautan layanan.

  1. Jika konektivitas antara rak Outposts dan AWS Region menggunakan fitur konektivitas AWS Outposts pribadi, periksa item berikut.

    1. Ping alamat AWS IP peering jarak jauh dari router tepi dan konfirmasikan status peering BGP.

    2. Pastikan BGP mengintip antarmuka virtual AWS Direct Connect pribadi antara VPC titik akhir tautan layanan Anda dan Pos Luar yang diinstal di tempat Anda. UP Untuk informasi selengkapnya, lihat Pemecahan masalah AWS Direct Connect di Panduan AWS Direct Connect Pengguna, Status BGP antarmuka virtual saya tidak aktif di konsol. AWS Apa yang harus saya lakukan? , dan Bagaimana saya bisa memecahkan masalah koneksi BGP melalui Direct Connect? .

    3. Antarmuka virtual AWS Direct Connect pribadi adalah koneksi pribadi ke router tepi Anda di AWS Direct Connect lokasi yang Anda pilih, dan menggunakan BGP untuk bertukar rute. Rentang CIDR cloud pribadi virtual (VPC) pribadi Anda diiklankan melalui sesi BGP ini ke router tepi Anda. Demikian pula, rentang alamat IP untuk tautan layanan Outpost diiklankan ke wilayah tersebut melalui BGP dari router tepi Anda.

    4. Konfirmasikan bahwa jaringan ACLs yang terkait dengan titik akhir pribadi tautan layanan di VPC Anda memungkinkan lalu lintas yang relevan. Untuk informasi selengkapnya, lihat Daftar periksa kesiapan jaringan.

    5. Jika Anda memiliki firewall lokal, pastikan firewall memiliki aturan keluar yang memungkinkan rentang alamat IP tautan layanan dan titik akhir layanan Outpost (alamat IP antarmuka jaringan) yang terletak di VPC atau CIDR VPC. Pastikan port TCP 1025-65535 dan UDP 443 tidak diblokir. Untuk informasi selengkapnya, lihat Memperkenalkan konektivitas AWS Outposts pribadi.

    6. Jika firewall tidak stateful, pastikan firewall memiliki aturan dan kebijakan untuk mengizinkan lalu lintas masuk ke Outpost dari titik akhir layanan Outpost di VPC.

  2. Jika Anda memiliki lebih dari 100 jaringan di jaringan lokal, Anda dapat mengiklankan rute default melalui sesi BGP ke AWS antarmuka virtual pribadi Anda. Jika Anda tidak ingin mengiklankan rute default, rangkum rute sehingga jumlah rute yang diiklankan kurang dari 100.

  3. Jika masalah berlanjut, lakukan tangkapan MTR/traceroute/packet dari router edge Anda ke alamat IP peer. AWS Direct Connect Bagikan hasil pengujian dengan AWS Support, menggunakan paket dukungan Enterprise Anda.

Konektivitas internet publik ISP ke Wilayah AWS

Gunakan daftar periksa berikut untuk memecahkan masalah router tepi yang terhubung melalui ISP saat menggunakan internet publik untuk konektivitas tautan layanan.

  • Konfirmasikan bahwa tautan internet sudah aktif.

  • Konfirmasikan bahwa server publik dapat diakses dari perangkat edge Anda yang terhubung melalui ISP.

Jika internet atau server publik tidak dapat diakses melalui tautan ISP, selesaikan langkah-langkah berikut.

  1. Periksa apakah status peering BGP dengan router ISP ditetapkan.

    1. Konfirmasikan bahwa BGP tidak mengepak.

    2. Konfirmasikan bahwa BGP menerima dan mengiklankan rute yang diperlukan dari ISP.

  2. Dalam hal konfigurasi rute statis, periksa apakah rute default dikonfigurasi dengan benar pada perangkat edge.

  3. Konfirmasikan apakah Anda dapat menjangkau internet menggunakan koneksi ISP lain.

  4. Jika masalah berlanjut, lakukan tangkapan MTR/traceroute/packet di router tepi Anda. Bagikan hasilnya dengan tim dukungan teknis ISP Anda untuk pemecahan masalah lebih lanjut.

Jika internet dan server publik dapat diakses melalui tautan ISP, selesaikan langkah-langkah berikut.

  1. Konfirmasikan apakah EC2 instans atau penyeimbang beban Anda yang dapat diakses publik di Wilayah Outpost home dapat diakses dari perangkat edge Anda. Anda dapat menggunakan ping atau telnet untuk mengonfirmasi konektivitas, dan kemudian menggunakan traceroute untuk mengonfirmasi jalur jaringan.

  2. Jika Anda menggunakan VRFs untuk memisahkan lalu lintas di jaringan Anda, konfirmasikan bahwa tautan layanan VRF memiliki rute atau kebijakan yang mengarahkan lalu lintas ke dan dari ISP (internet) dan VRF. Lihat pos pemeriksaan berikut.

    1. Router tepi terhubung dengan ISP. Periksa tabel rute ISP VRF router edge untuk mengonfirmasi bahwa rentang alamat IP tautan layanan ada.

    2. Perangkat jaringan lokal pelanggan yang terhubung dengan Outpost. Periksa konfigurasi VRFs dan pastikan bahwa perutean dan kebijakan yang diperlukan untuk konektivitas antara tautan layanan VRF dan ISP VRF dikonfigurasi dengan benar. Biasanya, rute default dikirim dari ISP VRF ke tautan layanan VRF untuk lalu lintas ke internet.

    3. Jika Anda mengonfigurasi perutean berbasis sumber di router yang terhubung ke Outpost Anda, konfirmasikan bahwa konfigurasi sudah benar.

  3. Pastikan firewall lokal dikonfigurasi untuk memungkinkan konektivitas keluar (port TCP 1025-65535 dan UDP 443) dari rentang alamat IP tautan layanan Outpost ke rentang alamat IP publik. AWS Jika firewall tidak stateful, pastikan konektivitas masuk ke Outpost juga dikonfigurasi.

  4. Pastikan NAT dikonfigurasi di jaringan lokal untuk menerjemahkan rentang alamat IP tautan layanan Outpost ke alamat IP publik. Selain itu, konfirmasikan item berikut.

    1. Perangkat NAT tidak kelebihan beban dan memiliki port gratis untuk dialokasikan untuk sesi baru.

    2. Perangkat NAT dikonfigurasi dengan benar untuk melakukan terjemahan alamat.

Jika masalah berlanjut, lakukan tangkapan MTR/traceroute/packet.

  • Jika hasilnya menunjukkan bahwa paket dijatuhkan atau diblokir di jaringan lokal, tanyakan kepada jaringan atau tim teknis Anda untuk panduan tambahan.

  • Jika hasilnya menunjukkan bahwa paket jatuh atau diblokir di jaringan ISP, hubungi tim dukungan teknis ISP.

  • Jika hasilnya tidak menunjukkan masalah, kumpulkan hasil dari semua pengujian (seperti MTR, telnet, traceroute, packet captures, dan log BGP) dan hubungi Support menggunakan paket dukungan Enterprise Anda. AWS

Outposts berada di belakang dua perangkat firewall

Jika Anda telah menempatkan Outpost Anda di belakang sepasang firewall yang disinkronkan dengan ketersediaan tinggi atau dua firewall yang berdiri sendiri, perutean asimetris dari tautan layanan mungkin terjadi. Ini berarti bahwa lalu lintas masuk dapat melewati firewall-1, sementara lalu lintas keluar melewati firewall-2. Gunakan daftar periksa berikut untuk mengidentifikasi potensi perutean asimetris dari tautan layanan terutama jika itu berfungsi dengan benar sebelumnya.

  • Verifikasi apakah ada perubahan terbaru atau pemeliharaan berkelanjutan dalam pengaturan perutean jaringan perusahaan Anda yang mungkin menyebabkan perutean tautan layanan asimetris melalui firewall.

    • Gunakan grafik lalu lintas firewall untuk memeriksa perubahan pola lalu lintas yang sejalan dengan dimulainya masalah tautan layanan.

    • Periksa kegagalan firewall sebagian atau skenario pasangan firewall berotak terpisah yang mungkin menyebabkan firewall Anda tidak lagi menyinkronkan tabel koneksi mereka satu sama lain.

    • Periksa tautan ke bawah atau perubahan terbaru pada perutean (perubahan OSPF/ISIS/EIGRP metrik, perubahan peta rute BGP) di jaringan perusahaan Anda yang sejalan dengan dimulainya masalah tautan layanan.

  • Jika Anda menggunakan konektivitas Internet publik untuk tautan layanan ke wilayah asal, pemeliharaan penyedia layanan dapat memunculkan perutean asimetris dari tautan layanan melalui firewall.

    • Periksa grafik lalu lintas untuk tautan ke ISP Anda untuk perubahan pola lalu lintas yang sejalan dengan dimulainya masalah tautan layanan.

  • Jika Anda menggunakan AWS Direct Connect konektivitas untuk tautan layanan, ada kemungkinan pemeliharaan yang AWS direncanakan memicu perutean tautan layanan asimetris.

    • Periksa pemberitahuan pemeliharaan yang direncanakan pada AWS Direct Connect layanan Anda.

    • Perhatikan bahwa jika Anda memiliki AWS Direct Connect layanan redundan, Anda dapat secara proaktif menguji perutean tautan layanan Outposts melalui setiap jalur jaringan yang mungkin dalam kondisi pemeliharaan. Ini memungkinkan Anda untuk menguji apakah gangguan pada salah satu AWS Direct Connect layanan Anda dapat menyebabkan perutean tautan layanan asimetris. Ketahanan AWS Direct Connect bagian konektivitas end-to-end jaringan dapat diuji oleh Resiliency with AWS Direct Connect Resiliency Toolkit. Untuk informasi selengkapnya, lihat Menguji AWS Direct Connect Ketahanan dengan Toolkit Ketahanan - Pengujian Failover.

Setelah Anda melalui daftar periksa sebelumnya dan menunjuk perutean asimetris tautan layanan sebagai penyebab utama yang mungkin, ada sejumlah tindakan lebih lanjut yang dapat Anda ambil:

  • Kembalikan perutean simetris dengan mengembalikan perubahan jaringan perusahaan atau menunggu pemeliharaan yang direncanakan penyedia selesai.

  • Masuk ke salah satu atau kedua firewall dan hapus semua informasi status aliran untuk semua aliran dari baris perintah (jika didukung oleh vendor firewall).

  • Saring sementara pengumuman BGP melalui salah satu firewall atau tutup antarmuka pada satu firewall untuk memaksa perutean simetris melalui firewall lainnya.

  • Reboot setiap firewall pada gilirannya untuk menghilangkan potensi korupsi dalam pelacakan status aliran lalu lintas tautan layanan di memori firewall.

  • Libatkan vendor firewall Anda untuk memverifikasi atau melonggarkan pelacakan status aliran UDP untuk koneksi UDP yang bersumber pada port 443 dan ditujukan untuk port 443.