本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
故障診斷 BGP TTL 安全性 (GTSM) 問題
如果您的 BGP 工作階段與 Direct Connect 無法建立,則路由器上的 BGP TTL 安全性可能是原因。 Direct Connect 會在虛擬介面上使用單躍外部 BGP (eBGP),並傳送 IP Time-to-Live (TTL) 值為 1 的 BGP 封包。有些路由器支援 BGP TTL 安全,也稱為一般 TTL 安全機制 (GTSM)。如需 GTSM 的詳細資訊,請參閱網際網路工程任務小組 (IETF) 網站上的 RFC 5082neighbor ttl-security hops命令),路由器預期傳入的 BGP 封包會以高 TTL 值送達。您的路由器會捨棄 AWS 傳送的低 TTL 封包。
- BGP 工作階段保持作用中或 OpenSent 狀態
-
徵狀:BGP 工作階段不會建立並保持作用中或 OpenSent 狀態。即使裝置上的封包擷取顯示到達界面的 AWS BGP 封包,也會發生這種情況。
原因:BGP TTL 安全性是在面向 BGP 的鄰近區域上設定 Direct Connect,導致您的路由器捨棄以 TTL 1 AWS 傳送的 BGP 封包。
解決方法:
從面向 BGP 的鄰近區域移除 TTL 安全性 (GTSM) 組態 Direct Connect。
確認 BGP 工作階段狀態轉換為已建立。
Direct Connect 使用單一躍點 eBGP,預設不支援虛擬介面上的多躍點 eBGP。GTSM 提供的單一躍點保護在本對等互連中已經是固有的。
注意
將本指南用於 Direct Connect 虛擬介面上的 BGP 工作階段。透過傳輸虛擬介面將 BGP 對等互連至傳輸閘道會使用多躍點 BGP,並以不同的方式設定。
如果 BGP 工作階段在您移除 TTL 安全組態後未建立,請聯絡 AWS Support