このガイドを使用して、オンプレミスデータセンターと Virtual Private Cloud (VPC) 内の Elastic Compute Service (ECS) インスタンス間の接続性問題を診断します。
上位レイヤーから順に、診断レイヤーを段階的に確認してください。各セクションでは、そのレイヤーに該当する症状と、次のステップに進む前に実施すべきチェック項目について説明します。
| ステップ | レイヤー | 症状 |
|---|---|---|
| 1 | ネットワークリューティング | BGP ピアリングが確立しており、VBR への PING は成功するが、オンプレミスと ECS 間で通信できない |
| 2 | レイヤー 3 およびレイヤー 4 | VBR への PING は成功するが、BGP ピアリングセッションを確立できない |
| 3 | レイヤー 2 | オンプレミスゲートウェイのインジケーターは正常だが、VBR への PING が失敗する |
| 4 | レイヤー 1 | オンプレミスゲートウェイのインジケーターが消灯している |
ネットワークリューティングの問題の診断
症状: 仮想ボーダールーター (VBR) と VPC 間でボーダーゲートウェイプロトコル (BGP) ピアリングセッションが確立されており、オンプレミスデバイスから VBR の IP アドレスへの PING が成功するものの、オンプレミスサーバーと ECS インスタンス間で通信できません。
以下の項目を確認してください。
ヘルスチェックステータス — Express Connect ピアリング接続を使用している場合は、VBR と VPC 間の接続におけるヘルスチェックステータスを確認します。Cloud Enterprise Network (CEN) を使用している場合は、CEN インスタンス上の VBR のヘルスチェックステータスを確認します。
BGP アドバタイズメント — BGP ルーティングを使用している場合、オンプレミスゲートウェイが BGP 経由でオンプレミス CIDR ブロックをアドバタイズしていることを確認してください。BGP ルートエントリの上限は 110 件であり、超過分は破棄されますが、BGP ピアリングセッション自体は維持されます。
オンプレミスゲートウェイルートテーブル — VPC 宛てのルートが存在し、ネクストホップが VBR の IP アドレスに設定されていることを確認してください。
VBR ルートテーブル — オンプレミス CIDR ブロック宛て(ネクストホップ:物理接続インターフェイス)と VPC 宛て(ネクストホップ:VPC インスタンス ID)の 2 つのルートが存在することを確認してください。
VPC ルートテーブル — オンプレミス CIDR ブロック宛てのルートが存在し、ネクストホップが VBR に設定されていることを確認してください。
セキュリティグループおよびネットワーク ACL — ECS セキュリティグループおよびネットワークアクセスコントロールリスト (ACL) が、VPC とご利用のオンプレミスデータセンター間のインバウンドおよびアウトバウンドトラフィックを許可していることを確認してください。
問題が解決しない場合は、チケットを送信してください。
レイヤー 3 およびレイヤー 4 の問題の診断
症状: VBR に対して PING パケットを送信したところ、オンプレミスゲートウェイと VBR 間で通信可能であるにもかかわらず、BGP ピアリングセッションを確立できません。
以下の手順を順に実施してください。
オンプレミス側および Alibaba Cloud 側の両方に有効な自律システム番号 (ASN) が設定されていることを確認します。
BGP ピアリングセッションの両端におけるピアリング IP アドレスが正しく設定されていることを確認します。
MD5 認証キーが、ダウンロードしたルーター構成ファイル内のキーと完全に一致していることを確認します。
説明注記: 余分なスペースや文字がないか確認してください。末尾に 1 文字のスペースがあるだけでも不一致となります。
TCP ポート 179 または 1024 より大きい一時的な TCP ポート番号をブロックするファイアウォールまたは ACL ルールがないことを確認します。これらは BGP ピアが TCP 接続を確立するために必要です。
BGP ログを確認し、エラーや警告がないかチェックします。
BGP ピアリングセッションが依然として確立できない場合は、チケットを送信してください。
レイヤー 2 の問題の診断
症状: 前のステップでレイヤー 1 の接続性が確認済み(オンプレミスゲートウェイのインジケーターが正常状態を示している)にもかかわらず、VBR の IP アドレスへの PING が失敗します。
以下の手順を順に実施してください。
IP アドレスが有効であり、同一の CIDR ブロックに属し、有効な VLAN 内にあることを確認します。
IP アドレスが物理インターフェイス(例:
GigabitEthernet 0/0)ではなく、VLAN サブインターフェイス(例:GigabitEthernet 0/0.123)に設定されていることを確認します。クラウド側の VBR ノードからの MAC アドレスエントリが、アドレス解決プロトコル (ARP) テーブルに存在するか確認します。
VBR とご利用のオンプレミスゲートウェイ間のすべてのデバイスで、802.1Q VLAN タグトランキングが有効になっていることを確認します。
ご利用のオンプレミスデバイスおよび接続サービスプロバイダーの機器上で ARP テーブルキャッシュをクリアします。
ARP 通信が依然として確立できなかったり、PING パケットが VBR に到達しない場合は、チケットを送信してください。
レイヤー 1 の問題の診断
症状: 専用回線に接続されているご利用のオンプレミスゲートウェイのインジケーターが消灯しています。
以下の手順を順に実施してください。
顧客構内設備 (CPE) の電源が入っており、ポートがアクティブ化されていることを確認します。
接続サービスプロバイダーに連絡し、VBR から VPC へのピアリング接続がプロビジョニングされていることを確認します。完了証明書および接続テストレポートの提出を依頼してください。
専用回線の両端にある光モジュールを確認します。
両端が同一の伝送距離をサポートしている必要があります。トランシーバが不一致の場合、ポートインジケーターが点灯しません。
両端が同一の帯域幅をサポートしている必要があります。帯域幅が不一致の場合、ポートインジケーターが消灯したままになります。
光ファイバー接続にはシングルモード光モジュールが必要です。1 GB イーサネットには 1000Base-LX、10 GB イーサネットには 10GBase-LR、40 GB イーサネットには 40GBase-LR、100 GB イーサネットには 100GBase-LR を使用してください。両端で同一のパラメーターを設定します。
CPE 上でオートネゴシエーションを無効にし、ポートレートおよび全二重モードを手動で設定します。
説明注記: Juniper を含むほとんどのネットワークデバイスでは、オートネゴシエーションがデフォルトで有効になっています。手動で無効にしてください。
接続サービスプロバイダーと協力して、専用回線のセグメンテーションテストを実施します。
光配線盤 (ODF) とオンプレミスアクセデバイス間の建物内ケーブルテストを実施します。必要に応じて、光ファイバーループバックテストを実行します。
オンプレミスデータセンターから接続サービスプロバイダーのサイトにあるゲートウェイまでの接続をテストします。必要に応じて、光ファイバーループバックテストを実行します。
接続サービスプロバイダーに、サービスプロバイダーとの内部ネットワークリンクのテストを依頼します。
Alibaba Cloud アクセスポイントが配置されているオンプレミスデータセンター内の ODF と Alibaba Cloud アクセスデバイス間の建物内ケーブルをテストします。
ピグテールケーブルをテストするには、チケットを送信してください。
実際のネットワークトポロジーについては、接続サービスプロバイダーに連絡してください。
