Lista de verificação de solução de problemas de rede no rack do Outposts - AWS Outposts
Conectividade com dispositivos de rede OutpostAWS Direct Connect conectividade de interface virtual pública com a AWS regiãoAWS Direct Connect conectividade de interface virtual privada com a AWS regiãoConectividade de internet pública do ISP com a região AWSO Outposts está por trás de dois dispositivos de firewall

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Lista de verificação de solução de problemas de rede no rack do Outposts

Use essa lista de verificação para ajudar a solucionar problemas de um link de serviço que tem o status de DOWN.

Virtual LANs.

Conectividade com dispositivos de rede Outpost

Verifique o status do emparelhamento BGP nos dispositivos de rede local do cliente que estão conectados aos dispositivos de rede Outpost. Se o status de emparelhamento do BGP for DOWN, siga estas etapas:

  1. Faça o ping do endereço IP do peer remoto nos dispositivos de rede Outpost a partir dos dispositivos do cliente. Você pode encontrar o endereço IP do peer na configuração do BGP do seu dispositivo. Você também pode consultar o Lista de verificação de prontidão da rede fornecido no momento da instalação.

  2. Se o ping não for bem-sucedido, verifique a conexão física e verifique se o status da conectividade é UP.

    1. Confirme o status do LACP dos dispositivos de rede local do cliente.

    2. Verifique o status da interface no dispositivo. Se o status forUP, passe para a etapa 3.

    3. Verifique os dispositivos de rede local do cliente e confirme se o módulo óptico está funcionando.

    4. Substitua as fibras defeituosas e certifique-se de que as luzes (Tx/Rx) estejam dentro da faixa aceitável.

  3. Se o ping for bem-sucedido, verifique os dispositivos de rede local do cliente e certifique-se de que as seguintes configurações de BGP estejam corretas.

    1. Confirme se o Número do Sistema Autônomo local (ASN do cliente) está configurado corretamente.

    2. Confirme se o Número do Sistema Autônomo remoto (Outpost ASN) está configurado corretamente.

    3. Confirme se o IP da interface e os endereços IP do peer remoto estão configurados corretamente.

    4. Confirme se as rotas anunciadas e recebidas estão corretas.

  4. Se sua sessão do BGP estiver oscilando entre os estados ativo e de conexão, verifique se a porta TCP 179 e outras portas efêmeras relevantes não estão bloqueadas nos dispositivos de rede local do cliente.

  5. Se precisar solucionar mais problemas, verifique o seguinte nos dispositivos de rede local do cliente:

    1. Registros de depuração BGP e TCP

    2. Registros do BGP

    3. Captura de pacotes

  6. Se o problema persistir, realize capturas de pacotes MTR/traceroute/do roteador conectado ao Outpost para os endereços IP do peer do dispositivo de rede do Outpost. Compartilhe os resultados do teste com o AWS Support, usando seu plano de suporte corporativo.

Se o status de emparelhamento do BGP estiver UP entre os dispositivos de rede local do cliente e os dispositivos de rede do Outpost, mas o link de serviço ainda estiver DOWN, você poderá solucionar mais problemas verificando os seguintes dispositivos nos dispositivos da rede local do cliente. Use uma das seguintes listas de verificação, dependendo de como a conectividade do link de serviço é provisionada.

AWS Direct Connect conectividade de interface virtual pública com a AWS região

Use a lista de verificação a seguir para solucionar problemas de roteadores de borda conectados AWS Direct Connect quando uma interface virtual pública está em uso para conectividade de link de serviço.

  1. Confirme se os dispositivos conectados diretamente aos dispositivos de rede do Outpost estão recebendo os intervalos de endereços IP do link de serviço por meio do BGP.

    1. Confirme as rotas que estão sendo recebidas pelo BGP do seu dispositivo.

    2. Verifique a tabela de rotas da instância de roteamento e encaminhamento virtual (VRF) do link de serviço. Ela deve mostrar que está usando o intervalo de endereços IP.

  2. Para garantir a conectividade da região, verifique a tabela de rotas do link de serviço VRF. Ele deve incluir os intervalos de endereços IP AWS públicos ou a rota padrão.

  3. Se você não estiver recebendo os intervalos de endereços IP AWS públicos no link de serviço VRF, verifique os itens a seguir.

    1. Verifique o status do AWS Direct Connect link no roteador de borda ou no AWS Management Console.

    2. Se o link físico estiverUP, verifique o status de emparelhamento do BGP no roteador de borda.

    3. Se o status de emparelhamento BGP forDOWN, faça ping no endereço AWS IP do peer e verifique a configuração do BGP no roteador de borda. Para obter mais informações, consulte Solução de problemas AWS Direct Connect no Guia do AWS Direct Connect usuário e O status do BGP da minha interface virtual está inativo no AWS console. O que devo fazer?

    4. Se o BGP estiver estabelecido e você não estiver vendo a rota padrão ou os intervalos de endereços IP AWS públicos no VRF, entre em contato com o Support usando seu plano de AWS suporte Enterprise.

  4. Se você tiver um firewall on-premises, verifique os itens abaixo.

    1. Confirme se as portas necessárias para a conectividade do link de serviço são permitidas nos firewalls da rede. Use o traceroute na porta 443 ou qualquer outra ferramenta de solução de problemas de rede para confirmar a conectividade por meio dos firewalls e dos dispositivos de rede. As portas a seguir devem ser configuradas nas políticas de firewall para a conectividade do link de serviço.

      • Protocolo TCP — Porta de origem: TCP 1025-65535, Porta de destino: 443.

      • Protocolo UDP — Porta de origem: TCP 1025-65535, Porta de destino: 443.

    2. Se o firewall estiver ativo, certifique-se de que as regras de saída permitam que o serviço do Outpost vincule o intervalo de endereços IP aos intervalos de endereços IP AWS públicos. Para obter mais informações, consulte AWS Outposts conectividade com AWS regiões.

    3. Se o firewall não tiver estado, certifique-se de permitir também o fluxo de entrada (dos intervalos de endereços IP AWS públicos até o intervalo de endereços IP do link de serviço).

    4. Se você tiver configurado um roteador virtual nos firewalls, certifique-se de que o roteamento apropriado esteja configurado para o tráfego entre o Outpost e a Região AWS .

  5. Se você tiver configurado o NAT na rede on-premises para converter os intervalos de endereços IP do link de serviço do Outpost para seus próprios endereços IP públicos, verifique os itens a seguir.

    1. Confirme se o dispositivo NAT não está sobrecarregado e tem portas livres para alocar para novas sessões.

    2. Confirme se o dispositivo NAT está configurado corretamente para realizar a conversão do endereço.

  6. Se o problema persistir, realize capturas de pacotes MTR/traceroute/do roteador de borda para os endereços IP do mesmo nível. AWS Direct Connect Compartilhe os resultados do teste com o AWS Support, usando seu plano de suporte corporativo.

AWS Direct Connect conectividade de interface virtual privada com a AWS região

Use a lista de verificação a seguir para solucionar problemas de roteadores de borda conectados AWS Direct Connect quando uma interface virtual privada está em uso para conectividade de link de serviço.

  1. Se a conectividade entre o rack Outposts e a AWS Região estiver usando o recurso de conectividade AWS Outposts privada, verifique os itens a seguir.

    1. Faça ping no endereço AWS IP de emparelhamento remoto do roteador de borda e confirme o status de emparelhamento do BGP.

    2. Certifique-se de que o emparelhamento do BGP pela interface virtual AWS Direct Connect privada entre seu endpoint de link de serviço (VPC) e o Outpost instalado em suas instalações esteja. UP Para obter mais informações, consulte Solução de problemas AWS Direct Connect no Guia do AWS Direct Connect usuário, O status do BGP da minha interface virtual está inativo no AWS console. O que devo fazer?, e Como posso solucionar problemas de conexão BGP pelo Direct Connect? .

    3. A interface virtual AWS Direct Connect privada é uma conexão privada com o roteador de borda no AWS Direct Connect local escolhido e usa o BGP para trocar rotas. Sua faixa de CIDR de nuvem privada virtual (VPC) é anunciada por meio dessa sessão BGP para seu roteador de borda. Da mesma forma, o intervalo de endereços IP do link do serviço do Outpost é anunciado para a região por meio do BGP a partir do seu roteador de borda.

    4. Confirme se a rede ACLs associada ao endpoint privado do link de serviço em sua VPC permite o tráfego relevante. Para obter mais informações, consulte Lista de verificação de prontidão da rede.

    5. Se você tiver um firewall on-premises, certifique-se de que o firewall tenha regras de saída que permitam os intervalos de endereços IP do link de serviço e os endpoints do serviço Outpost (os endereços IP da interface de rede) localizados na VPC ou no CIDR da VPC. Certifique-se de que as portas TCP 1025-65535 e UDP 443 não estejam bloqueadas. Para obter mais informações, consulte Introdução à conectividade AWS Outposts privada.

    6. Se o firewall não estiver stateful, certifique-se de que o firewall tenha regras e políticas para permitir o tráfego de entrada para o Outpost a partir dos endpoints do serviço do Outpost na VPC.

  2. Se você tiver mais de 100 redes em sua rede local, poderá anunciar uma rota padrão na sessão do BGP para sua interface virtual AWS privada. Se você não quiser anunciar uma rota padrão, resuma as rotas para que o número de rotas anunciadas seja menor que 100.

  3. Se o problema persistir, realize capturas de pacotes MTR/traceroute/do roteador de borda para os endereços IP do mesmo nível. AWS Direct Connect Compartilhe os resultados do teste com o AWS Support, usando seu plano de suporte corporativo.

Conectividade de internet pública do ISP com a região AWS

Use a lista de verificação a seguir para solucionar problemas de roteadores de borda conectados por meio de um ISP ao usar a Internet pública para conectividade de link de serviço.

  • Confirme se o link da Internet está ativo.

  • Confirme se os servidores públicos estão acessíveis a partir de seus dispositivos periféricos conectados por meio de um ISP.

Se a Internet ou os servidores públicos não estiverem acessíveis por meio dos links do ISP, conclua as etapas a seguir.

  1. Verifique se o status de emparelhamento BGP com os roteadores ISP está estabelecido.

    1. Confirme se o BGP não está oscilando.

    2. Confirme se o BGP está recebendo e anunciando as rotas necessárias do ISP.

  2. No caso de configuração de rota estática, verifique se a rota padrão está configurada corretamente no dispositivo de borda.

  3. Confirme se você pode acessar a Internet usando outra conexão ISP.

  4. Se o problema persistir, execute capturas de pacotes MTR/traceroute/em seu roteador de borda. Compartilhe os resultados com a equipe de suporte técnico do seu ISP para solucionar problemas adicionais.

Se a Internet e os servidores públicos estiverem acessíveis por meio dos links do ISP, conclua as etapas a seguir.

  1. Confirme se alguma de suas EC2 instâncias de acesso público ou balanceadores de carga na região de origem do Outpost pode ser acessada a partir do seu dispositivo de borda. Você pode usar ping ou telnet para confirmar a conectividade e, em seguida, usar traceroute para confirmar o caminho da rede.

  2. Se você usa VRFs para separar o tráfego em sua rede, confirme se o link de serviço VRF tem rotas ou políticas que direcionam o tráfego de e para o ISP (internet) e o VRF. Veja os seguintes pontos de verificação.

    1. Roteadores Edge conectados ao ISP. Verifique a tabela de rotas ISP VRF do roteador de borda para confirmar se o intervalo de endereços IP do link de serviço está presente.

    2. Dispositivos de rede local do cliente conectados ao Outpost. Verifique as configurações do VRFs e assegure-se de que o roteamento e as políticas necessárias para a conectividade entre o link de serviço VRF e o ISP VRF estejam configurados corretamente. Normalmente, uma rota padrão é enviada do ISP VRF para o link de serviço VRF para tráfego para a Internet.

    3. Se você configurou o roteamento com base na origem nos roteadores conectados ao seu Outpost, confirme se a configuração está correta.

  3. Certifique-se de que os firewalls locais estejam configurados para permitir conectividade de saída (portas TCP 1025-65535 e UDP 443) dos intervalos de endereços IP do link do serviço Outpost aos intervalos de endereços IP públicos. AWS Se os firewalls não estiverem stateful, certifique-se de que a conectividade de entrada com o Outpost também esteja configurada.

  4. Certifique-se de que o NAT esteja configurado na rede on-premises para converter os intervalos de endereços IP do link de serviço do Outpost em endereços IP públicos. Além disso, confirme os itens abaixo.

    1. O dispositivo NAT não está sobrecarregado e tem portas livres para alocar para novas sessões.

    2. O dispositivo NAT está configurado corretamente para realizar a conversão do endereço.

Se o problema persistir, execute capturas de pacotes MTR/traceroute/.

  • Se os resultados mostrarem que os pacotes estão sendo descartados ou bloqueados na rede on-premises, consulte sua equipe de rede ou equipe técnica para obter orientação adicional.

  • Se os resultados mostrarem que os pacotes estão caindo ou bloqueados na rede do ISP, entre em contato com a equipe de suporte técnico do ISP.

  • Se os resultados não mostrarem nenhum problema, colete os resultados de todos os testes (como MTR, telnet, traceroute, capturas de pacotes e registros do BGP) e entre em contato com o Support usando seu plano de suporte corporativo. AWS

O Outposts está por trás de dois dispositivos de firewall

Se você colocou o Outpost por trás de um par de firewalls sincronizados de alta disponibilidade ou dois firewalls independentes, poderá ocorrer o roteamento assimétrico do link de serviço. Isso significa que o tráfego de entrada pode passar pelo firewall-1, enquanto o tráfego de saída passa pelo firewall-2. Use a lista de verificação a seguir para identificar o possível roteamento assimétrico do link de serviço, especialmente se ele estava funcionando corretamente antes.

  • Verifique se houve alguma alteração recente ou manutenção contínua na configuração de roteamento da rede corporativa que possa ter causado o roteamento assimétrico do link de serviço por meio dos firewalls.

    • Use gráficos de tráfego de firewall para verificar se há alterações nos padrões de tráfego que coincidem com o início do problema do link de serviço.

    • Verifique se há uma falha parcial no firewall ou um cenário de par de firewalls com cérebro dividido que possa ter feito com que os firewalls não sincronizassem mais as tabelas de conexão entre si.

    • Verifique se há links inativos ou alterações recentes no roteamento (alterações OSPF/ISIS/EIGRP métricas, alterações no mapa de rotas do BGP) em sua rede corporativa que estejam alinhadas com o início do problema do link de serviço.

  • Se você estiver usando conectividade pública com a internet para o link de serviço com a região de origem, uma manutenção do provedor de serviços pode ter dado origem ao roteamento assimétrico do link de serviço por meio dos firewalls.

    • Verifique os gráficos de tráfego em busca de links para os ISPs a fim de ver se há alterações nos padrões de tráfego que coincidem com o início do problema do link de serviço.

  • Se você estiver usando AWS Direct Connect conectividade para o link de serviço, é possível que uma manutenção AWS planejada tenha acionado o roteamento assimétrico do link de serviço.

    • Verifique se há notificações de manutenção planejada em seu (s) AWS Direct Connect serviço (s).

    • Observe que, se você tiver AWS Direct Connect serviços redundantes, poderá testar proativamente o roteamento do link de serviço Outposts em cada caminho de rede provável sob condições de manutenção. Esses testes permitem constatar se uma interrupção em um dos serviços do AWS Direct Connect pode provocar o roteamento assimétrico do link de serviço. A resiliência da AWS Direct Connect parte da conectividade de end-to-end rede pode ser testada pelo AWS Direct Connect Resiliency with Resiliency Toolkit. Para obter mais informações, consulte Testando AWS Direct Connect resiliência com o kit de ferramentas de resiliência — Teste de failover.

Depois de examinar a lista de verificação anterior e identificar o roteamento assimétrico do link de serviço como uma possível causa raiz, há várias outras ações que você pode executar:

  • Restaurar o roteamento simétrico revertendo quaisquer alterações na rede corporativa ou aguardar a conclusão da manutenção planejada do provedor.

  • Fazer login em um ou em ambos os firewalls e limpar todas as informações do estado de fluxo de todos os fluxos da linha de comandos (se permitido pelo fornecedor do firewall).

  • Filtrar temporariamente os anúncios do BGP por meio de um dos firewalls ou fechar as interfaces em um firewall para forçar o roteamento simétrico pelo outro firewall.

  • Reinicializar cada firewall alternadamente para eliminar a possível corrupção no rastreamento do estado de fluxo do tráfego do link de serviço na memória do firewall.

  • Entrar em contato com o fornecedor do firewall para verificar ou abrandar o rastreamento do estado de fluxo UDP para conexões UDP originadas na porta 443 e destinadas à porta 443.