View a markdown version of this page

Résoudre les problèmes de sécurité BGP TTL (GTSM) - AWS Direct Connect

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résoudre les problèmes de sécurité BGP TTL (GTSM)

Si votre session BGP Direct Connect ne parvient pas à s'établir, la sécurité BGP TTL sur votre routeur peut en être la cause. Direct Connect utilise le protocole BGP externe à saut unique (eBGP) sur les interfaces virtuelles et envoie des paquets BGP avec une valeur IP Time-to-Live (TTL) de 1. Certains routeurs prennent en charge la sécurité TTL BGP, également connue sous le nom de mécanisme de sécurité TTL généralisé (GTSM). Pour plus d'informations sur GTSM, consultez la RFC 5082 sur le site Web de l'Internet Engineering Task Force (IETF). Lorsque cette fonctionnalité est activée (par exemple, avec la neighbor ttl-security hops commande), votre routeur s'attend à ce que les paquets BGP entrants arrivent avec une valeur TTL élevée. Votre routeur rejette les paquets à faible TTL qui sont envoyés. AWS

La session BGP reste à l'état Actif ou OpenSent

Symptômes : La session BGP ne s'établit pas et reste à l' OpenSent état Actif ou. Cela se produit même si une capture de paquets sur votre appareil montre les paquets AWS BGP arrivant sur l'interface.

Cause : La sécurité TTL BGP est configurée sur la face BGP voisine Direct Connect, ce qui oblige votre routeur à rejeter les paquets BGP envoyés avec AWS un TTL de 1.

Résolution :

  1. Supprimez la configuration de sécurité TTL (GTSM) de la face BGP voisine. Direct Connect

  2. Vérifiez que l'état de la session BGP passe à Établi.

Direct Connect utilise l'eBGP à saut unique et ne prend pas en charge l'eBGP à sauts multiples sur les interfaces virtuelles par défaut. La protection à saut unique fournie par GTSM est déjà inhérente à ce peering.

Note

Utilisez ce guide pour la session BGP sur une interface Direct Connect virtuelle. L'appairage BGP vers une passerelle de transit via une interface virtuelle de transit utilise le protocole BGP à sauts multiples et est configuré différemment.

Si la session BGP ne s'établit pas après la suppression de la configuration de sécurité TTL, contactez le Support AWS.