Lista de comprobación de solución de problemas de redes en bastidor de Outposts - AWS Outposts
Conectividad con dispositivos de red de OutpostConectividad de la interfaz virtual pública de AWS Direct Connect con la región AWSConectividad de la interfaz virtual privada de AWS Direct Connect con la región AWSConectividad de Internet pública del ISP a la región de AWSOutposts detrás de dos dispositivos de firewall

Lista de comprobación de solución de problemas de redes en bastidor de Outposts

Utilice esta lista de verificación para solucionar problemas de un enlace de servicio cuyo estado es DOWN.

LAN virtuales.

Conectividad con dispositivos de red de Outpost

Compruebe el estado de la interconexión BGP en los dispositivos de la red local del cliente que están conectados a los dispositivos de la red de Outpost. Si el estado del emparejamiento BGP es DOWN, siga estos pasos:

  1. Haga ping a la dirección IP de emparejamiento remoto en los dispositivos de la red de Outpost desde los dispositivos del cliente. Puede encontrar la dirección IP de intercambio de tráfico en la configuración de BGP de su dispositivo. También puede consultar la Lista de verificación de disponibilidad de red que se le proporcionó en el momento de la instalación.

  2. Si el ping no se realiza correctamente, compruebe la conexión física y asegúrese de que el estado de la conectividad sea UP.

    1. Confirme el estado LACP de los dispositivos de la red local del cliente.

    2. Compruebe el estado de la interfaz del dispositivo. Si el estado es UP, vaya al paso 3.

    3. Compruebe los dispositivos de la red local del cliente y confirme que el módulo óptico funciona.

    4. Sustituya las fibras defectuosas y asegúrese de que las luces (Tx/Rx) estén dentro de un rango aceptable.

  3. Si el ping se realiza correctamente, compruebe los dispositivos de la red local del cliente y asegúrese de que las siguientes configuraciones de BGP sean correctas.

    1. Confirme que el número de sistema autónomo local (ASN del cliente) esté configurado correctamente.

    2. Confirme que el número de sistema autónomo remoto (ASN de Outpost) esté configurado correctamente.

    3. Confirme que la IP de la interfaz y las direcciones IP de emparejamiento remoto están configuradas correctamente.

    4. Confirme que las rutas anunciadas y recibidas son correctas.

  4. Si su sesión de BGP oscila entre los estados activo y de conexión, verifique que el puerto TCP 179 y otros puertos efímeros relevantes no estén bloqueados en los dispositivos de la red local del cliente.

  5. Si necesita seguir solucionando problemas, compruebe los siguientes elementos en los dispositivos de la red local del cliente:

    1. Registros de depuración de BGP y TCP

    2. Registros de BGP

    3. Captura de paquetes

  6. Si el problema persiste, realice capturas de MTR, traceroute o paquetes desde el enrutador conectado a Outpost a las direcciones IP homólogas del dispositivo de red de Outpost. Comparta los resultados de las pruebas con AWS Support, mediante el uso de su plan de Enterprise Support.

Si el estado de interconexión BGP se encuentra UP entre los dispositivos de la red local del cliente y los dispositivos de la red de Outpost, pero el enlace de servicio sigue DOWN, puede seguir solucionando el problema comprobando los siguientes dispositivos en los dispositivos de la red local del cliente. Utilice una de las siguientes listas de comprobación en función de cómo se aprovisione la conectividad del enlace de servicio.

Conectividad de la interfaz virtual pública de AWS Direct Connect con la región AWS

Utilice la siguiente lista de verificación para solucionar los problemas de los enrutadores de periferia a los que se conecta AWS Direct Connect cuando se utiliza una interfaz virtual pública para la conectividad de enlace de servicio.

  1. Confirme que los dispositivos que se conectan directamente a la red de Outpost reciben los rangos de direcciones IP del enlace de servicio mediante BGP.

    1. Confirme las rutas que se reciben a través de BGP desde su dispositivo.

    2. Consulte la tabla de enrutamiento de la instancia de enrutamiento y reenvío virtual (VRF) del enlace de servicio. Debería mostrar que está utilizando el rango de direcciones IP.

  2. Para garantizar la conectividad regional, consulte la tabla de enrutamiento para ver la VRF del enlace de servicio. La tabla de enrutamiento debe incluir los rangos de direcciones IP de AWS públicas o la ruta predeterminada.

  3. Si no recibe los rangos de direcciones IP de AWS públicas en el VRF del enlace de servicio, compruebe los siguientes elementos.

    1. Compruebe el estado del enlace de AWS Direct Connect desde el enrutador de periferia o el AWS Management Console.

    2. Si el enlace físico es UP, compruebe el estado del emparejamiento de BGP desde el enrutador de periferia.

    3. Si el estado de emparejamiento de BGP es DOWN, haga ping a la dirección IP de intercambio de tráfico de AWS y compruebe la configuración del BGP en el enrutador de periferia. Para obtener más información, consulte Solución de problemas de AWS Direct Connect en la Guía del usuario de AWS Direct Connect y El estado del BGP de mi interfaz virtual está inactivo en la consola de AWS. ¿Qué debo hacer?

    4. Si se ha establecido el BGP y no ve la ruta predeterminada o los rangos de direcciones IP de AWS públicas en el VRF, póngase en contacto con AWS Support mediante el uso de su plan de Enterprise Support.

  4. Si tiene un firewall en las instalaciones, compruebe los siguientes elementos.

    1. Confirme que los puertos necesarios para la conectividad del enlace de servicio estén permitidos en los firewalls de la red. Utilice traceroute en el puerto 443 o cualquier otra herramienta de solución de problemas de red para confirmar la conectividad a través de los firewalls y los dispositivos de red. Es necesario configurar los siguientes puertos en las políticas de firewall para la conectividad del enlace de servicio.

      • Protocolo TCP: puerto de origen: TCP 1025-65535, puerto de destino: 443.

      • Protocolo UDP: puerto de origen: TCP 1025-65535, puerto de destino: 443.

    2. Si el firewall tiene estado activo, asegúrese de que las reglas de salida permitan el rango de direcciones IP del enlace de servicio del Outpost con los rangos de direcciones IP públicas de AWS. Para obtener más información, consulte Conectividad de AWS Outposts con las regiones de AWS.

    3. Si el firewall no está en estado activo, asegúrese de permitir también el flujo entrante (desde los rangos de direcciones IP públicas de AWS hasta el rango de direcciones IP del enlace de servicio).

    4. Si ha configurado un enrutador virtual en los firewalls, asegúrese de que el enrutamiento adecuado esté configurado para el tráfico entre el Outpost y la región de AWS.

  5. Si ha configurado la NAT en la red en las instalaciones para traducir los rangos de direcciones IP del enlace de servicio de Outpost a sus propias direcciones IP públicas, compruebe los siguientes elementos.

    1. Confirme que el dispositivo NAT no esté sobrecargado y que tenga puertos libres para asignarlos a nuevas sesiones.

    2. Confirme que el dispositivo NAT esté configurado correctamente para realizar la traducción de direcciones.

  6. Si el problema persiste, realice capturas MTR, traceroute o paquetes desde el enrutador de periferia a las direcciones IP de emparejamiento de AWS Direct Connect. Comparta los resultados de las pruebas con AWS Support, mediante el uso de su plan de Enterprise Support.

Conectividad de la interfaz virtual privada de AWS Direct Connect con la región AWS

Utilice la siguiente lista de verificación para solucionar los problemas de los enrutadores de periferia a los que se conecta AWS Direct Connect cuando se utiliza una interfaz virtual privada para la conectividad del enlace de servicio.

  1. Si la conectividad entre el bastidor de Outposts y la región de AWS utiliza la característica de conectividad de AWS Outposts privada, compruebe los siguientes elementos.

    1. Haga ping a la dirección IP de emparejamiento remoto en AWS desde el enrutador de periferia y confirme el estado del emparejamiento de BGP.

    2. Asegúrese de que el emparejamiento de BGP a través de la interfaz virtual de AWS Direct Connect privada entre la VPC del punto de conexión del enlace de servicio y el Outpost instalado en sus instalaciones sea UP. Para obtener más información, consulte Solución de problemas de AWS Direct Connect en la Guía del usuario de AWS Direct Connect y El estado del BGP de mi interfaz virtual está inactivo en la consola de AWS. ¿Qué debo hacer? y ¿Cómo puedo solucionar problemas de conexión del BGP a través de Direct Connect?.

    3. La interfaz virtual privada de AWS Direct Connect es una conexión privada al enrutador de periferia de la ubicación AWS Direct Connect elegida y utiliza BGP para intercambiar rutas. El rango de CIDR de su nube privada virtual (VPC) se anuncia a través de esta sesión de BGP en su enrutador de periferia. Del mismo modo, el rango de direcciones IP del enlace de servicio del Outpost se anuncia en la región mediante el BGP desde su enrutador de periferia.

    4. Confirme que las ACL de red asociadas al punto de conexión privado del enlace de servicio en su VPC permiten el tráfico correspondiente. Para obtener más información, consulte Lista de verificación de disponibilidad de red.

    5. Si tiene un firewall en las instalaciones, asegúrese de que el firewall tenga reglas de salida que permitan los rangos de direcciones IP del enlace de servicio y los puntos de conexión del servicio de Outpost (las direcciones IP de la interfaz de red) ubicados en la VPC o en el CIDR de la VPC. Asegúrese de que los puertos TCP 1025-65535 y UDP 443 no estén bloqueados. Para obtener más información, consulte Introducing AWS Outposts private connectivity.

    6. Si el firewall no está activo, asegúrese de que tenga reglas y políticas que permitan el tráfico entrante al Outpost desde los puntos de conexión del servicio de Outpost en la VPC.

  2. Si tiene más de 100 redes en su red en las instalaciones, puede anunciar una ruta predeterminada a través de la sesión del BGP hasta su interfaz virtual privada de AWS. Si no quiere anunciar una ruta predeterminada, resuma las rutas de forma que el número de rutas anunciadas sea inferior a 100.

  3. Si el problema persiste, realice capturas MTR, traceroute o paquetes desde el enrutador de periferia a las direcciones IP de emparejamiento de AWS Direct Connect. Comparta los resultados de las pruebas con AWS Support, mediante el uso de su plan de Enterprise Support.

Conectividad de Internet pública del ISP a la región de AWS

Utilice la siguiente lista de verificación para solucionar problemas con los enrutadores de periferia conectados a través de un ISP cuando se utiliza la Internet pública para la conectividad del enlace de servicio.

  • Confirme que la conexión a Internet esté activa.

  • Confirme que se puede acceder a los servidores públicos desde sus dispositivos periféricos conectados a través de un ISP.

Si no se puede acceder a Internet o a los servidores públicos a través de los enlaces del ISP, complete los siguientes pasos.

  1. Compruebe si el estado de emparejamiento de BGP con los enrutadores del ISP está establecido.

    1. Confirme que el BGP no esté fallando.

    2. Confirme que el BGP recibe y anuncia las rutas requeridas por parte del ISP.

  2. En el caso de una configuración de ruta estática, compruebe que la ruta predeterminada esté configurada correctamente en el dispositivo perimetral.

  3. Confirme si puede conectarse a Internet mediante otra conexión de ISP.

  4. Si el problema persiste, realice capturas MTR, traceroute o paquetes en su enrutador de periferia. Comparta los resultados con el equipo de soporte técnico de su ISP para seguir solucionando problemas.

Si se puede acceder a Internet y a los servidores públicos a través de los enlaces del ISP, complete los siguientes pasos.

  1. Confirme si se puede acceder a alguna de sus instancias EC2 o a los equilibradores de carga de acceso público en la región de origen del Outpost desde su dispositivo perimetral. Puede utilizar ping o telnet para confirmar la conectividad y, a continuación, utilizar traceroute para confirmar la ruta de la red.

  2. Si usa los VRF para separar el tráfico de la red, confirme que el VRF del enlace de servicio tenga rutas o políticas que dirijan el tráfico hacia y desde el ISP (Internet) y el VRF. Consulte los siguientes puntos de control.

    1. Enrutadores de periferia que se conectan con el ISP. Compruebe la tabla de enrutamiento de la VRF del ISP del enrutador de periferia para confirmar que existe el rango de direcciones IP del enlace de servicio.

    2. Dispositivos de red local del cliente que se conectan al Outpost. Compruebe las configuraciones de los VRF y asegúrese de que el enrutamiento y las políticas necesarias para la conectividad entre el VRF del enlace de servicio y el VRF del ISP estén configurados correctamente. Por lo general, el VRF del ISP envía una ruta predeterminada al VRF del enlace de servicio para el tráfico a Internet.

    3. Si configuró el enrutamiento basado en el origen en los enrutadores conectados a su Outpost, confirme que la configuración sea correcta.

  3. Asegúrese de que los firewalls en las instalaciones estén configurados para permitir la conectividad saliente (puertos TCP 1025-65535 y UDP 443) desde los rangos de direcciones IP del enlace del servicio de Outpost hasta los rangos de direcciones IP de AWS públicas. Si los firewalls no son del tipo con estado, asegúrese de que la conectividad entrante al Outpost también esté configurada.

  4. Asegúrese de que la NAT esté configurada en la red en las instalaciones para convertir los rangos de direcciones IP del enlace de servicio del Outpost en direcciones IP públicas. Además, confirme los siguientes elementos.

    1. El dispositivo NAT no está sobrecargado y tiene puertos libres para asignarlos a nuevas sesiones.

    2. El dispositivo NAT está configurado correctamente para realizar la traducción de direcciones.

Si el problema persiste, realice capturas MTR, traceroute o paquetes.

  • Si los resultados muestran que los paquetes se están descartando o están bloqueados en la red en las instalaciones, consulte a su equipo técnico o de red para obtener más información.

  • Si los resultados muestran que los paquetes se están descargando o están bloqueados en la red del ISP, póngase en contacto con el equipo de soporte técnico del ISP.

  • Si los resultados no muestran ningún problema, recopile los resultados de todas las pruebas (como MTR, telnet, traceroute, capturas de paquetes y registros de BGP) y póngase en contacto con AWS Support mediante el uso de su plan de Enterprise Support.

Outposts detrás de dos dispositivos de firewall

Si ha colocado su Outpost detrás de dos firewalls sincronizados de alta disponibilidad o de dos firewalls independientes, es posible que se produzca un enrutamiento asimétrico del enlace de servicio. Esto significa que el tráfico entrante puede pasar por el firewall-1, mientras que el tráfico saliente puede pasar por el firewall-2. Utilice la siguiente lista de verificación para identificar el posible enrutamiento asimétrico del enlace de servicio, especialmente si antes funcionaba correctamente.

  • Compruebe si se ha producido algún cambio reciente o un mantenimiento continuo en la configuración de enrutamiento de la red corporativa que pueda haber provocado un enrutamiento asimétrico del enlace de servicio a través de los firewalls.

    • Utilice los gráficos de tráfico del firewall para comprobar si hay cambios en los patrones de tráfico que estén relacionados con el inicio del problema del enlace de servicio.

    • Compruebe si se ha producido un fallo parcial del firewall o si se ha producido una confusión entre dos firewalls que podría haber provocado que estos dejaran de sincronizar sus tablas de conexiones entre sí.

    • Compruebe si los enlaces están inactivos o si se han producido cambios recientes en el enrutamiento (cambios en las métricas de OSPF/ISIS/EIGRP, cambios en el mapa de rutas de BGP) en su red corporativa que estén relacionados con el inicio del problema del enlace de servicio.

  • Si utiliza una conexión pública a Internet para el enlace de servicio a la región de origen, el mantenimiento por parte del proveedor de servicios podría haber provocado un enrutamiento asimétrico del enlace de servicio a través de los firewalls.

    • Compruebe los gráficos de tráfico de los enlaces con su(s) ISP en busca de cambios en los patrones de tráfico que coincidan con el inicio del problema del enlace de servicio.

  • Si utiliza la conectividad de AWS Direct Connect para el enlace de servicio, es posible que un mantenimiento de AWS planificado haya desencadenado el enrutamiento asimétrico del enlace de servicio.

    • Compruebe si hay notificaciones de mantenimiento planificado en sus servicios de AWS Direct Connect.

    • Tenga en cuenta que si tiene servicios de AWS Direct Connect redundantes, puede probar de forma proactiva el enrutamiento del enlace del servicio de Outposts a través de cada ruta de red probable en condiciones de mantenimiento. Esto le permite comprobar si una interrupción en uno de sus servicios de AWS Direct Connect podría provocar un enrutamiento asimétrico del enlace de servicio. La resiliencia de la parte de AWS Direct Connect de la conectividad de la red de extremo a extremo se puede probar mediante AWS Direct Connect Resiliency con el pack de herramientas de Resiliency. Para obtener más información, consulte Testing AWS Direct Connect Resiliency with Resiliency Toolkit – Failover Testing.

Una vez que haya revisado la lista de verificación anterior y haya identificado el enrutamiento asimétrico del enlace de servicio como una posible causa raíz, puede tomar varias medidas adicionales:

  • Restaure el enrutamiento simétrico revirtiendo cualquier cambio en la red corporativa o esperando a que finalice el mantenimiento planificado por un proveedor.

  • Inicie sesión en uno o ambos firewalls y borre toda la información de estado de todos los flujos desde la línea de comandos (si lo admite el proveedor del firewall).

  • Filtre temporalmente los anuncios de BGP a través de uno de los firewalls o cierre las interfaces de un firewall para forzar el enrutamiento simétrico a través del otro firewall.

  • Reinicie cada firewall uno por uno para evitar posibles daños en el seguimiento del estado de flujo del tráfico del enlace de servicio en la memoria del firewall.

  • Pídale al proveedor del firewall que verifique o relaje el seguimiento del estado de flujo de UDP de las conexiones UDP originadas en el puerto 443 y destinadas al puerto 443.