AWS Outposts Lista de comprobación de solución de problemas de redes en rack - AWS Outposts
Conectividad con dispositivos de red de OutpostAWS Direct Connect Interfaz virtual pública: conectividad con la AWS regiónAWS Direct Connect interfaz virtual privada: conectividad con la AWS regiónConectividad de Internet pública del ISP a la región de AWSOutposts está detrás de dos dispositivos de firewall

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Outposts Lista de comprobación de solución de problemas de redes en rack

Utilice esta lista de verificación para solucionar problemas de un enlace de servicio cuyo estado es DOWN.

LAN virtuales.

Conectividad con dispositivos de red de Outpost

Compruebe el estado de la interconexión BGP en los dispositivos de la red local del cliente que están conectados a los dispositivos de la red de Outpost. Si el estado del emparejamiento BGP es DOWN, siga estos pasos:

  1. Haga ping a la dirección IP de emparejamiento remoto en los dispositivos de la red de Outpost desde los dispositivos del cliente. Puede encontrar la dirección IP de intercambio de tráfico en la configuración de BGP de su dispositivo. También puede consultar la Lista de verificación de disponibilidad de red que se le proporcionó en el momento de la instalación.

  2. Si el ping no se realiza correctamente, compruebe la conexión física y asegúrese de que el estado de la conectividad sea UP.

    1. Confirme el estado LACP de los dispositivos de la red local del cliente.

    2. Compruebe el estado de la interfaz del dispositivo. Si el estado es UP, vaya al paso 3.

    3. Compruebe los dispositivos de la red local del cliente y confirme que el módulo óptico funciona.

    4. Sustituya las fibras defectuosas y asegúrese de que las luces (Tx/Rx) estén dentro de un rango aceptable.

  3. Si el ping se realiza correctamente, compruebe los dispositivos de la red local del cliente y asegúrese de que las siguientes configuraciones de BGP sean correctas.

    1. Confirme que el número de sistema autónomo local (ASN del cliente) esté configurado correctamente.

    2. Confirme que el número de sistema autónomo remoto (ASN de Outpost) esté configurado correctamente.

    3. Confirme que la IP de la interfaz y las direcciones IP de emparejamiento remoto están configuradas correctamente.

    4. Confirme que las rutas anunciadas y recibidas son correctas.

  4. Si su sesión de BGP oscila entre los estados activo y de conexión, verifique que el puerto TCP 179 y otros puertos efímeros relevantes no estén bloqueados en los dispositivos de la red local del cliente.

  5. Si necesita seguir solucionando problemas, compruebe los siguientes elementos en los dispositivos de la red local del cliente:

    1. Registros de depuración de BGP y TCP

    2. Registros de BGP

    3. Captura de paquetes

  6. Si el problema persiste, realice capturas de MTR, traceroute o paquetes desde el enrutador conectado a Outpost a las direcciones IP homólogas del dispositivo de red de Outpost. Comparta los resultados de las pruebas con AWS Support, mediante su plan de soporte empresarial.

Si el estado de interconexión BGP se encuentra UP entre los dispositivos de la red local del cliente y los dispositivos de la red de Outpost, pero el enlace de servicio sigue DOWN, puede seguir solucionando el problema comprobando los siguientes dispositivos en los dispositivos de la red local del cliente. Utilice una de las siguientes listas de comprobación en función de cómo se aprovisione la conectividad del enlace de servicio.

AWS Direct Connect Interfaz virtual pública: conectividad con la AWS región

Utilice la siguiente lista de verificación para solucionar los problemas de los enrutadores periféricos a los que se conecta AWS Direct Connect cuando se utiliza una interfaz virtual pública para la conectividad de enlace de servicio.

  1. Confirme que los dispositivos que se conectan directamente a la red de Outpost reciben los rangos de direcciones IP del enlace de servicio mediante BGP.

    1. Confirme las rutas que se reciben a través de BGP desde su dispositivo.

    2. Consulte la tabla de enrutamiento de la instancia de enrutamiento y reenvío virtual (VRF) del enlace de servicio. Debería mostrar que está utilizando el rango de direcciones IP.

  2. Para garantizar la conectividad regional, consulte la tabla de enrutamiento para ver la VRF del enlace de servicio. Debe incluir los rangos de direcciones IP AWS públicas o la ruta predeterminada.

  3. Si no recibe los rangos de direcciones IP AWS públicas en el enlace de servicio VRF, compruebe lo siguiente.

    1. Compruebe el estado del AWS Direct Connect enlace desde el router perimetral o el AWS Management Console.

    2. Si el enlace físico es UP, compruebe el estado del emparejamiento de BGP desde el enrutador de periferia.

    3. Si el estado de emparejamiento BGP esDOWN, haga ping a la dirección AWS IP del mismo nivel y compruebe la configuración del BGP en el router perimetral. Para obtener más información, consulte Solución de problemas AWS Direct Connect en la Guía del AWS Direct Connect usuario y El estado del BGP de mi interfaz virtual es inactivo en la consola. AWS ¿Qué debo hacer?

    4. Si se ha establecido el BGP y no ve la ruta predeterminada o los rangos de direcciones IP AWS públicas en el VRF, póngase en contacto con Support AWS mediante su plan de soporte empresarial.

  4. Si tiene un firewall en las instalaciones, compruebe los siguientes elementos.

    1. Confirme que los puertos necesarios para la conectividad del enlace de servicio estén permitidos en los firewalls de la red. Utilice traceroute en el puerto 443 o cualquier otra herramienta de solución de problemas de red para confirmar la conectividad a través de los firewalls y los dispositivos de red. Es necesario configurar los siguientes puertos en las políticas de firewall para la conectividad del enlace de servicio.

      • Protocolo TCP: puerto de origen: TCP 1025-65535, puerto de destino: 443.

      • Protocolo UDP: puerto de origen: TCP 1025-65535, puerto de destino: 443.

    2. Si el firewall tiene estado activo, asegúrese de que las reglas de salida permitan el rango de direcciones IP del enlace de servicio del Outpost con los AWS rangos de direcciones IP públicas. Para obtener más información, consulte AWS Outposts conectividad con las AWS regiones.

    3. Si el firewall no está en estado activo, asegúrese de permitir también el flujo entrante (desde los rangos de direcciones IP AWS públicas hasta el rango de direcciones IP del enlace de servicio).

    4. Si ha configurado un enrutador virtual en los firewalls, asegúrese de que el enrutamiento adecuado esté configurado para el tráfico entre el Outpost y la región de AWS .

  5. Si ha configurado la NAT en la red en las instalaciones para traducir los rangos de direcciones IP del enlace de servicio de Outpost a sus propias direcciones IP públicas, compruebe los siguientes elementos.

    1. Confirme que el dispositivo NAT no esté sobrecargado y que tenga puertos libres para asignarlos a nuevas sesiones.

    2. Confirme que el dispositivo NAT esté configurado correctamente para realizar la traducción de direcciones.

  6. Si el problema persiste, realice capturas MTR, traceroute o paquetes desde el router perimetral a las direcciones IP homólogas. AWS Direct Connect Comparta los resultados de las pruebas con AWS Support, mediante su plan de soporte empresarial.

AWS Direct Connect interfaz virtual privada: conectividad con la AWS región

Utilice la siguiente lista de verificación para solucionar los problemas de los enrutadores periféricos a los que se conecta AWS Direct Connect cuando se utiliza una interfaz virtual privada para la conectividad de enlace de servicio.

  1. Si la conectividad entre el rack Outpost y la AWS región utiliza la función de conectividad AWS Outposts privada, compruebe lo siguiente.

    1. Haga ping a la dirección AWS IP de emparejamiento remoto desde el router perimetral y confirme el estado del emparejamiento BGP.

    2. Asegúrese de que la interconexión de BGP a través de la interfaz virtual AWS Direct Connect privada entre la VPC del punto final de enlace de servicio y el Outpost instalado en sus instalaciones lo sea. UP Para obtener más información, consulte Solución de problemas AWS Direct Connect en la guía del AWS Direct Connect usuario. El estado del BGP de mi interfaz virtual es inactivo en la consola. AWS ¿Qué debo hacer? y ¿Cómo puedo solucionar problemas de conexión del BGP a través de Direct Connect?.

    3. La interfaz virtual AWS Direct Connect privada es una conexión privada al router perimetral en la AWS Direct Connect ubicación elegida y utiliza BGP para intercambiar rutas. El rango de CIDR de su nube privada virtual (VPC) se anuncia a través de esta sesión de BGP en su enrutador de periferia. Del mismo modo, el rango de direcciones IP del enlace de servicio del Outpost se anuncia en la región mediante el BGP desde su enrutador de periferia.

    4. Confirme que las ACL de red asociadas al punto de conexión privado del enlace de servicio en su VPC permiten el tráfico correspondiente. Para obtener más información, consulte Lista de verificación de disponibilidad de red.

    5. Si tiene un firewall en las instalaciones, asegúrese de que el firewall tenga reglas de salida que permitan los rangos de direcciones IP del enlace de servicio y los puntos de conexión del servicio de Outpost (las direcciones IP de la interfaz de red) ubicados en la VPC o en el CIDR de la VPC. Asegúrese de que los puertos TCP 1025-65535 y UDP 443 no estén bloqueados. Para obtener más información, consulte Introducción a la conectividad AWS Outposts privada.

    6. Si el firewall no está activo, asegúrese de que tenga reglas y políticas que permitan el tráfico entrante al Outpost desde los puntos de conexión del servicio de Outpost en la VPC.

  2. Si tiene más de 100 redes en su red local, puede anunciar una ruta predeterminada a través de la sesión de BGP hasta su AWS interfaz virtual privada. Si no quiere anunciar una ruta predeterminada, resuma las rutas de forma que el número de rutas anunciadas sea inferior a 100.

  3. Si el problema persiste, realice capturas MTR, traceroute o paquetes desde el router perimetral a las direcciones IP homólogas. AWS Direct Connect Comparta los resultados de las pruebas con AWS Support, mediante su plan de soporte empresarial.

Conectividad de Internet pública del ISP a la región de AWS

Utilice la siguiente lista de verificación para solucionar problemas con los enrutadores de periferia conectados a través de un ISP cuando se utiliza la Internet pública para la conectividad del enlace de servicio.

  • Confirme que la conexión a Internet esté activa.

  • Confirme que se puede acceder a los servidores públicos desde sus dispositivos periféricos conectados a través de un ISP.

Si no se puede acceder a Internet o a los servidores públicos a través de los enlaces del ISP, complete los siguientes pasos.

  1. Compruebe si el estado de emparejamiento de BGP con los enrutadores del ISP está establecido.

    1. Confirme que el BGP no esté fallando.

    2. Confirme que el BGP recibe y anuncia las rutas requeridas por parte del ISP.

  2. En el caso de una configuración de ruta estática, compruebe que la ruta predeterminada esté configurada correctamente en el dispositivo perimetral.

  3. Confirme si puede conectarse a Internet mediante otra conexión de ISP.

  4. Si el problema persiste, realice capturas MTR, traceroute o paquetes en su enrutador de periferia. Comparta los resultados con el equipo de soporte técnico de su ISP para seguir solucionando problemas.

Si se puede acceder a Internet y a los servidores públicos a través de los enlaces del ISP, complete los siguientes pasos.

  1. Confirme si se puede acceder a alguna de sus instancias EC2 o a los equilibradores de carga de acceso público en la región de origen del Outpost desde su dispositivo perimetral. Puede utilizar ping o telnet para confirmar la conectividad y, a continuación, utilizar traceroute para confirmar la ruta de la red.

  2. Si usa los VRF para separar el tráfico de la red, confirme que el VRF del enlace de servicio tenga rutas o políticas que dirijan el tráfico hacia y desde el ISP (Internet) y el VRF. Consulte los siguientes puntos de control.

    1. Enrutadores de periferia que se conectan con el ISP. Compruebe la tabla de enrutamiento de la VRF del ISP del enrutador de periferia para confirmar que existe el rango de direcciones IP del enlace de servicio.

    2. Dispositivos de red local del cliente que se conectan al Outpost. Compruebe las configuraciones de los VRF y asegúrese de que el enrutamiento y las políticas necesarias para la conectividad entre el VRF del enlace de servicio y el VRF del ISP estén configurados correctamente. Por lo general, el VRF del ISP envía una ruta predeterminada al VRF del enlace de servicio para el tráfico a Internet.

    3. Si configuró el enrutamiento basado en el origen en los enrutadores conectados a su Outpost, confirme que la configuración sea correcta.

  3. Asegúrese de que los firewalls locales estén configurados para permitir la conectividad saliente (puertos TCP 1025-65535 y UDP 443) desde los rangos de direcciones IP del enlace del servicio Outpost hasta los rangos de direcciones IP públicas. AWS Si los firewalls no son del tipo con estado, asegúrese de que la conectividad entrante al Outpost también esté configurada.

  4. Asegúrese de que la NAT esté configurada en la red en las instalaciones para convertir los rangos de direcciones IP del enlace de servicio del Outpost en direcciones IP públicas. Además, confirme los siguientes elementos.

    1. El dispositivo NAT no está sobrecargado y tiene puertos libres para asignarlos a nuevas sesiones.

    2. El dispositivo NAT está configurado correctamente para realizar la traducción de direcciones.

Si el problema persiste, realice capturas MTR, traceroute o paquetes.

  • Si los resultados muestran que los paquetes se están descartando o están bloqueados en la red en las instalaciones, consulte a su equipo técnico o de red para obtener más información.

  • Si los resultados muestran que los paquetes se están descargando o están bloqueados en la red del ISP, póngase en contacto con el equipo de soporte técnico del ISP.

  • Si los resultados no muestran ningún problema, recopile los resultados de todas las pruebas (como MTR, telnet, traceroute, capturas de paquetes y registros de BGP) y póngase en contacto con Support mediante su plan de AWS soporte empresarial.

Outposts está detrás de dos dispositivos de firewall

Si has colocado tu Outpost detrás de un par de firewalls sincronizados de alta disponibilidad o de dos firewalls independientes, es posible que se produzca un enrutamiento asimétrico del enlace de servicio. Esto significa que el tráfico entrante puede pasar por el firewall-1, mientras que el tráfico saliente puede pasar por el firewall-2. Utilice la siguiente lista de verificación para identificar el posible enrutamiento asimétrico del enlace de servicio, especialmente si anteriormente funcionaba correctamente.

  • Compruebe si se ha producido algún cambio reciente o un mantenimiento continuo en la configuración de enrutamiento de la red corporativa que pueda haber provocado un enrutamiento asimétrico del enlace de servicio a través de los firewalls.

    • Utilice los gráficos de tráfico del firewall para comprobar si hay cambios en los patrones de tráfico que estén relacionados con el inicio del problema de enlace de servicio.

    • Compruebe si se ha producido un fallo parcial del firewall o si se ha producido una confusión entre dos cortafuegos que podría haber provocado que los firewalls ya no sincronizaran sus tablas de conexiones entre sí.

    • Compruebe si los enlaces están inactivos o si se han producido cambios recientes en el enrutamiento (cambios en las métricas de OSPF/ISIS/EIGRP, cambios en el mapa de rutas de BGP) en su red corporativa que estén relacionados con el inicio del problema de enlace de servicio.

  • Si utiliza una conectividad pública a Internet para el enlace de servicio a la región de origen, el mantenimiento del proveedor de servicios podría haber provocado un enrutamiento asimétrico del enlace de servicio a través de los firewalls.

    • Consulte los gráficos de tráfico de los enlaces a sus ISP para ver si hay cambios en los patrones de tráfico que estén relacionados con el inicio del problema de enlace del servicio.

  • Si utiliza la AWS Direct Connect conectividad para el enlace de servicio, es posible que un mantenimiento AWS planificado haya activado el enrutamiento asimétrico del enlace de servicio.

    • Compruebe si hay notificaciones de mantenimiento planificado en sus AWS Direct Connect servicios.

    • Ten en cuenta que si tienes AWS Direct Connect servicios redundantes, puedes probar de forma proactiva el enrutamiento del enlace del servicio Outposts a través de cada ruta de red probable en condiciones de mantenimiento. Esto le permite comprobar si una interrupción en uno de sus AWS Direct Connect servicios podría provocar un enrutamiento asimétrico del enlace de servicio. La resiliencia de la AWS Direct Connect parte de la conectividad de la end-to-end red se puede probar con el kit de herramientas Resiliency with AWS Direct Connect Resiliency. Para obtener más información, consulte Probar la resiliencia con el kit de herramientas de AWS Direct Connect resiliencia: pruebas de conmutación por error.

Una vez que haya revisado la lista de verificación anterior y haya identificado el enrutamiento asimétrico del enlace de servicio como una posible causa raíz, puede tomar varias medidas adicionales:

  • Restaure el enrutamiento simétrico revertiendo cualquier cambio en la red corporativa o esperando a que finalice el mantenimiento planificado por un proveedor.

  • Inicie sesión en uno o ambos firewalls y borre toda la información de estado de todos los flujos desde la línea de comandos (si lo admite el proveedor del firewall).

  • Filtre temporalmente los anuncios de BGP a través de uno de los firewalls o cierre las interfaces de un firewall para forzar el enrutamiento simétrico a través del otro firewall.

  • Reinicie cada firewall uno por uno para evitar posibles daños en el seguimiento en estado de flujo del tráfico del enlace de servicio en la memoria del firewall.

  • Pídele al proveedor del firewall que verifique o relaje el seguimiento del estado de flujo UDP de las conexiones UDP originadas en el puerto 443 y destinadas al puerto 443.