路由分析器 - Amazon Virtual Private Cloud
路由分析器基础执行路径分析示例:对等中转网关的路由分析示例:使用中间盒配置进行路由分析
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

路由分析器

在全球网络中,您可以使用路由分析器对中转网关路由表中的路由执行分析。路由分析器分析指定源与目的地之间的路由路径,并返回有关组件之间的连接的信息。您可以使用路由分析器执行以下操作:

  • 在开始发送流量之前,验证中转网关路由表配置是否按预期工作。

  • 验证现有路由配置。

  • 诊断导致全球网络中的流量中断的路由相关问题。

路由分析器基础

要使用路由分析器,请指明流量从源到目的地的路径。对于源,您可以指定中转网关、流量源自的中转网关连接以及源 IPv4 或 IPv6 地址。路由分析器分析关联的中转网关路由表中的 Transit Gateway 挂载的路由。对于目的地,您可以指定目标 IPv4 或 IPv6 地址,以及目的地中转网关和中转网关连接。

如果您在 VPC 中配置了中间盒设备,则可以在路由分析中指明此设备的位置。这使您能够在源与目的地之间的路由中指定多个网络跃点,以帮助您分析流量的路由。存储这些信息,以供将来的分析使用。您可以稍后根据需要更新您的中间箱设备。

还可以分析从指定目的地返回到源的流量的退回路径。

使用路由分析器时,以下规则适用:

  • 路由分析器仅分析中转网关路由表中的路由。它不分析 VPC 路由表或客户网关设备中的路由。

  • 中转网关必须在您的全球网络中注册。

  • 路由分析器不分析安全组规则或网络 ACL 规则。要捕获有关 VPC 中接受和拒绝的 IP 流量的信息,您可以使用 VPC 流日志

  • 如果路由分析器能够成功地返回转发路径的信息,则它只会返回对应的退回路径的信息。

执行路径分析

要使用路由分析器,必须使用 Network Manager 控制台。

分析路由

  1. 通过以下网址打开 Network Manager 控制台:https://console.aws.amazon.com/networkmanager/home

  2. 选择全球网络的 ID,然后选择 Route Analyzer (路由分析器)

  3. Source (源) 下,执行以下操作:

    • 选择中转网关和中转网关连接。

    • 对于 IP address (IP 地址),请输入源 IPv4 或 IPv6 地址。

  4. Destination (目的地) 下,执行以下操作:

    • 选择中转网关和中转网关连接。

    • 对于 IP address (IP 地址),请输入目标 IPv4 或 IPv6 地址。

  5. (可选)要分析退回路径,请确保启用 Include return path in results (在结果中包括返回路径)。如果启用,则必须在 Source (源) 下指定 IP 地址。

  6. 要在路由路径中指定中间盒设备,请选择 Middlebox appliance? (中间盒设备?)。存储这些信息,以供将来的分析使用。您可以稍后根据需要更新您的中间箱设备。

  7. 选择 Run route analysis (运行路径分析)

  8. 结果显示在 Results of route analysis (路径分析结果) 下。如果您在步骤 6 中指定了 Middlebox appliance? (中间盒设备?),则为每个连接选择 Yes (是)No (否),以指示设备的位置并完成路径分析。

    您可以选择路径中任何资源的 ID,以查看有关资源的详细信息。

示例:对等中转网关的路由分析

在以下示例中,中转网关 1 具有两个 VPC 连接以及一个到中转网关 2 的对等连接。中转网关 2 在本地网络中有一个站点到站点 VPN 挂载。您希望使用路由分析器来确保 VPC 和站点到站点 VPN 连接可以通过中转网关相互路由流量。

对等中转网关

在路由分析器中,执行以下操作:

  1. Source (源) 下,指定 VPC A 的中转网关 1 和中转网关连接。从 VPC A 的 CIDR 块中指定一个 IP 地址,例如 10.0.0.7

  2. Destination (目的地) 下,指定中转网关 2 和 VPN 连接。指定内部网络范围内的 IP 地址,例如 172.31.0.8

  3. 确保选择了 Include return path in results (在结果中包括退回路径)

  4. 运行路径分析。在结果中,验证源和目的地之间的路径。例如,以下结果表明存在从中转网关 1 到中转网关 2 的转发路径,但没有退回路径。检查中转网关 2 的路由表,并确保存在指向对等连接的静态路由。

    路由分析器结果

  5. 要在 VPC B 和 VPN 连接之间运行分析,请修改 Source (源) 下的信息。选择 VPC B 的中转网关连接,然后从 VPC B 的 CIDR 块中指定一个 IP 地址,例如 10.2.0.9

  6. 重新加载结果并验证源和目的地之间的路径。

有关此方案的路由配置的更多信息,请参阅中转网关对等示例

示例:使用中间盒配置进行路由分析

如果您已配置 VPC 作为中间盒设备来检查流入网络其他部分的流量,则可以在路由分析中指明此设备的位置。在以下示例中,中转网关具有两个 VPC 连接和一个 VPN 连接。VPC A 运行防火墙设备(中间盒),此设备检查 VPN 连接和 VPC B 之间流动的流量。

中间盒设备

在路由分析器中,您可以按如下方式指定中间盒设备的位置:

  1. Source (源) 下,指定中转网关和 VPN 连接。指定内部网络范围内的 IP 地址,例如 10.0.0.7

  2. Destination (目的地) 下,指定 VPC B 的中转网关和连接。从 VPC B 的 CIDR 块中指定一个 IP 地址,例如 172.31.0.8

  3. 对于 Middlebox appliance? (中间盒设备?) 下,选择 Include (包括)

  4. 运行路径分析。

  5. 对于 VPC A 的中转网关连接的 Middlebox appliance? (中间盒设备?) 部分,选择 Yes (是)

    您可以选择路径中任何资源的 ID,以查看有关该资源的更多信息。

路由分析器结果