View a markdown version of this page

Solucionar problemas de seguridad BGP TTL (GTSM) - AWS Direct Connect

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solucionar problemas de seguridad BGP TTL (GTSM)

Si su sesión de BGP Direct Connect no se puede establecer, la causa podría ser la seguridad TTL de BGP en su router. Direct Connect usa un BGP externo de un solo salto (eBGP) en las interfaces virtuales y envía paquetes BGP con un valor de IP Time-to-Live (TTL) de 1. Algunos enrutadores admiten la seguridad BGP TTL, también conocida como mecanismo de seguridad TTL generalizado (GTSM). Para obtener más información acerca del GTSM, consulte el RFC 5082 en el sitio web del Grupo de Trabajo de Ingeniería de Internet (IETF). Cuando esta función está habilitada (por ejemplo, con el neighbor ttl-security hops comando), el router espera que los paquetes BGP entrantes lleguen con un valor TTL alto. El router descarta los paquetes de TTL bajo que envía. AWS

La sesión BGP permanece en el estado Activa o OpenSent

Síntomas: La sesión de BGP no se establece y permanece en el estado Activa o OpenSent . Esto ocurre aunque una captura de paquetes en el dispositivo muestre los paquetes AWS BGP que llegan a la interfaz.

Causa: la seguridad BGP TTL está configurada en el BGP vecino Direct Connect, lo que hace que el router descarte los paquetes BGP que se AWS envían con un TTL igual a 1.

Solución:

  1. Elimine la configuración de seguridad TTL (GTSM) del BGP orientado al vecino. Direct Connect

  2. Verifique que el estado de la sesión de BGP pase a Established.

Direct Connect usa eBGP de un solo salto y no admite eBGP de múltiples saltos en las interfaces virtuales de forma predeterminada. La protección de salto único que proporciona el GTSM ya es inherente a esta interconexión.

nota

Utilice esta guía para la sesión de BGP en una interfaz virtual. Direct Connect La interconexión de BGP a una puerta de enlace de tránsito a través de una interfaz virtual de tránsito utiliza el BGP de varios saltos y se configura de forma diferente.

Si la sesión de BGP no se establece después de eliminar la configuración de seguridad TTL, póngase en contacto con Support AWS.