Risoluzione dei problemi

Questa guida alla risoluzione dei problemi può aiutarti a risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud Interconnect:

• Risoluzione dei problemi generali
• Dedicated Interconnect
• Partner Interconnect
• VPN ad alta disponibilità su Cloud Interconnect
• MACsec per Cloud Interconnect
• Cross-Cloud Interconnect

Per risposte alle domande più comuni sull'architettura e sulle funzionalità di Cloud Interconnect, consulta le domande frequenti su Cloud Interconnect.

Per le definizioni dei termini utilizzati in questa pagina, consulta i termini chiave di Cloud Interconnect.

Per trovare le informazioni di logging e monitoraggio e visualizzare le metriche di Cloud Interconnect, consulta Monitoraggio delle connessioni.

Risoluzione dei problemi generali

Verifica eventuali interruzioni del servizio Cloud Interconnect

• Puoi controllare le interruzioni note nella Dashboard dello stato di Google Cloud. Puoi anche iscriverti al feed JSON o al feed RSS degli incidenti Cloud per ricevere aggiornamenti push.

• Riceverai una notifica per gli eventi di manutenzione che interessano le tue connessioni Dedicated Interconnect. Per maggiori dettagli, consulta Eventi di manutenzione dell'infrastruttura.

• Riceverai una notifica per gli eventi di manutenzione che influiscono sui collegamenti VLAN di Partner Interconnect. Le notifiche per Partner Interconnect vengono inviate in modo simile alle notifiche per le connessioni Dedicated Interconnect, con alcune piccole differenze. Per maggiori dettagli, vedi Eventi di manutenzione dell'infrastruttura.

Impossibile connettersi alle risorse in altre regioni

Per impostazione predefinita, le reti Virtual Private Cloud (VPC) sono a livello di regione, il che significa che il router Cloud pubblicizza solo le subnet nella rispettiva regione. Per connetterti ad altre regioni, imposta la modalità di routing dinamico della rete VPC su globale, in modo che il router Cloud possa pubblicizzare tutte le subnet.

Per ulteriori informazioni, consulta Modalità di routing dinamico nella documentazione del router Cloud.

Impossibile raggiungere le VM in una rete VPC in peering

In questo scenario, hai configurato una connessione Cloud Interconnect tra la tua rete on-premise e una rete VPC, la rete A. Hai anche configurato il peering di rete VPC tra la rete A e un'altra rete VPC, la rete B. Tuttavia, non puoi raggiungere le VM nella rete B dalla tua rete on-premise.

Questa configurazione non è supportata, come descritto nelle limitazioni della panoramica del peering di rete VPC.

Tuttavia, puoi utilizzare annunci di intervalli IP personalizzati dai router Cloud nella tua rete VPC per condividere le route verso le destinazioni nella rete peer. Inoltre, devi configurare le connessioni di peering di rete VPC per importare ed esportare route personalizzate.

Per ulteriori informazioni sulle route pubblicitarie tra reti on-premise e reti in peering VPC, consulta le seguenti risorse:

• Intervalli IP personalizzati per la pubblicità
• Risoluzione dei problemi nell'utilizzo del peering di rete VPC

Subnet mancanti in una connessione

Per pubblicizzare tutte le subnet disponibili, specifica le route mancanti con annunci di route personalizzate e pubblicizza tutte le route di subnet tra regioni con routing dinamico globale. A tale scopo, proceda nel seguente modo:

1. Specifica annunci di route personalizzati su un router Cloud e sulla sessione BGP (Border Gateway Protocol). Per inserire le route mancanti, imposta i seguenti parametri:

   --set-advertisement-groups = ADVERTISED_GROUPS
   --set-advertisement-ranges = ADVERTISED_IP_RANGES
   

   Sostituisci quanto segue:

   • ADVERTISED_GROUPS: un gruppo definito da Google pubblicizzato in modo dinamico dal router Cloud; può avere un valore all_subnets, che imita il comportamento predefinito di un router Cloud
   • ADVERTISED_IP_RANGES: i contenuti del nuovo array di intervalli di indirizzi IP; può avere uno o più valori a scelta

   Per maggiori dettagli ed esempi, consulta Pubblicità di intervalli IP personalizzati.

2. Attiva la modalità di routing dinamico globale.

Impossibile inviare un ping al router Cloud

Se non riesci a inviare un ping al router Cloud dal tuo router on-premise, cerca il tuo prodotto nella tabella seguente ed esegui la procedura di risoluzione dei problemi per quel prodotto. Le VM non possono raggiungere 169.254.0.0/16.

Passaggi per la risoluzione dei problemi da seguire	Dedicated Interconnect	Partner Interconnect con il partner L3	Partner Interconnect con il partner L2
Per Partner Interconnect, potrebbe non essere mai possibile inviare un ping al router Cloud perché alcuni partner filtrano il traffico verso l'intervallo IP (169.254.0.0/16) per il router Cloud. Per i partner L3, il partner configura automaticamente BGP. Se BGP non viene visualizzato, contatta il tuo partner.	Non applicabile	Sì	Non applicabile
Verifica che il dispositivo locale abbia appreso l'indirizzo MAC corretto per il lato Google Cloud della connessione. Per maggiori informazioni, consulta la sezione Risoluzione dei problemi relativi all'ARP.	Sì	Non applicabile	Non applicabile
Verifica che il router Cloud abbia un'interfaccia e un peer BGP. Non è possibile inviare un ping al router Cloud a meno che l'interfaccia e il peer BGP non siano completamente configurati, incluso l'ASN remoto. Per Dedicated Interconnect, consulta la pagina La sessione BGP non funziona. Per L2 Partner Interconnect, Google ha aggiunto automaticamente l'interfaccia e il peer BGP per il router Cloud, ma devi configurare l'ASN remoto.	Sì	Non applicabile	Sì

Risoluzione dei problemi relativi all'ARP

Per Dedicated Interconnect, per trovare l'indirizzo MAC corretto esegui questo comando gcloud:

  gcloud compute interconnects get-diagnostics INTERCONNECT_NAME

Il campo googleSystemID contiene l'indirizzo MAC che dovrebbe essere presente nella tabella ARP del dispositivo per gli indirizzi IP assegnati al router Cloud.

  result:
    links:
    — circuitId: SAMPLE-0
      googleDemarc: sample-local-demarc-0
      lacpStatus:
        googleSystemId: ''
        neighborSystemId: ''
        state: DETACHED
      receivingOpticalPower:
        value: 0.0
      transmittingOpticalPower:
        value: 0.0
    macAddress: 00:00:00:00:00:00

Se il dispositivo non ha appreso un indirizzo MAC, verifica che nell'interfaccia secondaria siano configurati l'ID VLAN e l'indirizzo IP corretti.

Per Partner Interconnect, se vedi l'indirizzo MAC errato sul tuo dispositivo, verifica di non aver collegato i segmenti di livello 2 di due collegamenti VLAN. Il lato Google Cloud della connessione Cloud Interconnect è configurato con ip proxy-arp, che risponde a tutte le richieste ARP e può far sì che il router on-premise acquisisca le voci ARP errate.

Impossibile creare un collegamento VLAN

Se tenti di creare un collegamento VLAN per Dedicated Interconnect o Partner Interconnect che viola un criterio dell'organizzazione, verrà visualizzato un messaggio di errore. Guarda il seguente esempio di messaggio di errore relativo all'esecuzione di gcloud compute interconnects attachments partner create:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project. projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

Per maggiori informazioni, consulta Limitare l'utilizzo di Cloud Interconnect e contatta l'amministratore della tua organizzazione.

Condividere i collegamenti con altri progetti nella mia organizzazione

Utilizza il VPC condiviso per condividere una connessione, ad esempio un collegamento VLAN o una connessione Dedicated Interconnect in un progetto host.

Per ulteriori informazioni sulla configurazione di una rete VPC condivisa, consulta Provisioning del VPC condiviso.

Per saperne di più sulla configurazione dei collegamenti in una rete VPC condiviso, consulta Opzioni per la connessione a più reti VPC.

Dedicated Interconnect

Google non può inviarti un ping durante il processo di provisioning della connessione

Verifica di utilizzare la configurazione IP e LACP corretta. Durante il processo di test, Google invia diverse configurazioni IP di test per il router on-premise, a seconda che venga ordinato un bundle a link multipli o a collegamento singolo. Non configurare i collegamenti VLAN per questi test.

Per pacchetti con più link

• Il primo insieme di indirizzi IP inviato da Google serve per testare la connettività multicircuito su ogni singolo link. Configura gli indirizzi IP di test su ogni link fisico (senza configurazione LACP), come indicato nelle email che ti ha inviato Google. Prima che questo primo test vada a buon fine, Google deve inviare un ping a tutti gli indirizzi IP.
• Per il secondo test, rimuovi tutti gli indirizzi IP dal primo test. Configura il canale della porta con LACP anche se la connessione ha un solo collegamento. Google invia un ping all'indirizzo del canale della porta. Non modificare la configurazione LACP del canale della porta dopo che la connessione ha superato il test finale. Tuttavia, devi rimuovere l'indirizzo IP di test dall'interfaccia del canale della porta.

Per pacchetti a link singolo

• Google invia l'indirizzo IP di produzione finale per il test della connettività a circuito singolo. Configura l'indirizzo IP nell'interfaccia del bundle (con modalità LACP configurata, attiva o passiva), come indicato nell'email che ti è stata inviata da Google. Prima che il test venga superato, Google deve inviare un ping all'indirizzo IP dell'interfaccia del bundle. Configura il canale della porta con LACP anche se la connessione ha un solo collegamento.

Impossibile inviare un ping al router Cloud

• Verifica di poter inviare un ping all'indirizzo IP del canale della porta di Google. L'indirizzo IP è il valore googleIpAddress quando visualizza i dettagli della connessione.
• Verifica di avere la VLAN corretta sulla sottointerfaccia del router on-premise. Le informazioni della VLAN devono corrispondere a quelle fornite dal collegamento VLAN.
• Verifica di avere l'indirizzo IP corretto nella sottointerfaccia del router on-premise. Quando crei un collegamento VLAN, assegna una coppia di indirizzi IP locali rispetto al collegamento. Uno è per un'interfaccia su un router Cloud (cloudRouterIpAddress), l'altro per una sottointerfaccia sul canale della porta del router on-premise, non sul canale stesso della porta (customerRouterIpAddress).
• Se stai testando le prestazioni dei tuoi collegamenti VLAN, non inviare un ping al router Cloud. Crea e utilizza invece un'istanza di macchina virtuale (VM) Compute Engine nella tua rete VPC. Per scoprire di più, consulta la sezione Test delle prestazioni.

Sessione BGP non funzionante

• Abilita il BGP multi-hop sul tuo router on-premise con almeno due hop.
• Verifica di aver configurato l'indirizzo IP del vicino corretto sul tuo router on-premise. Utilizza l'indirizzo IP del peer BGP (cloudRouterIpAddress) allocato dal collegamento VLAN.
• Verifica che la configurazione dell'ASN locale sul router on-premise corrisponda all'ASN peer sul router Cloud. Inoltre, verifica che la configurazione dell'ASN locale sul router Cloud corrisponda all'ASN peer sul tuo router on-premise.

• A ogni collegamento viene allocato un CIDR univoco /29 da 169.254.0.0/16 all'interno della tua rete VPC. Un indirizzo IP nel CIDR /29 viene allocato per il router Cloud e l'altro per il router on-premise.

  Verifica che siano allocati gli indirizzi IP corretti per l'interfaccia del router on-premise e per il vicino BGP. Un errore comune è configurare un /30 sull'interfaccia del router on-premise anziché un /29. Google Cloud prenota tutti gli altri indirizzi nel CIDR /29.

  Assicurati di non aver allocato altri indirizzi IP da questo CIDR all'interfaccia dei collegamento VLAN sul router.

Impossibile raggiungere le VM nella tua rete VPC

• Verifica di poter inviare un ping al canale della porta e al collegamento VLAN.
• Verifica che la sessione BGP sia attiva.
• Controlla che il router on-premise pubblicizzi e riceva le route.
• Verifica che non ci siano sovrapposizioni tra gli annunci di route on-premise e gli intervalli di rete Google Cloud.
• Imposta la dimensione MTU sugli stessi valori per router on-premise, VPC e collegamento VLAN.

Il traffico IPv6 non viene trasferito sul collegamento VLAN

Se hai difficoltà a connetterti agli host IPv6, procedi nel seguente modo:

1. Verifica che le route IPv6 vengano pubblicizzate correttamente. Se le route IPv6 non vengono pubblicizzate, consulta Risolvere i problemi relativi alle route BGP e alla selezione delle route.
2. Controlla le regole firewall per assicurarti di consentire il traffico IPv6.
3. Verifica che non esistano intervalli di subnet IPv6 sovrapposti nella rete VPC e nella rete on-premise. Vedi Controllare gli intervalli di subnet sovrapposti.
4. Determina se hai superato le quote e i limiti per le route apprese nel router Cloud. Se hai superato la quota per le route apprese, i prefissi IPv6 vengono eliminati prima di quelli IPv4. Vedi Controllare quote e limiti.
5. Verifica che tutti i componenti relativi alla configurazione IPv6 siano stati configurati correttamente.
   • La rete VPC ha abilitato l'utilizzo di indirizzi IPv6 interni con il flag --enable-ula-internal-ipv6.
   • La subnet VPC è configurata per utilizzare il tipo di stack IPV4_IPV6.
   • La subnet VPC ha --ipv6-access-type impostato su INTERNAL.
   • Le VM di Compute Engine nella subnet sono configurate con indirizzi IPv6.
   • Il collegamento VLAN è configurato per utilizzare il tipo di stack IPV4_IPV6.
   • Il peer BGP ha abilitato IPv6 e gli indirizzi dell'hop successivo IPv6 corretti sono configurati per la sessione BGP.
     • Per visualizzare lo stato e le route del router Cloud, consulta la pagina Visualizzare lo stato e le route del router Cloud.
     • Per visualizzare la configurazione della sessione BGP, consulta Visualizzare la configurazione delle sessioni BGP.
6. Esegui gcloud compute interconnects attachments describe per il collegamento VLAN abilitato per IPv6.
   • Dall'output, ottieni l'indirizzo IPv6 elencato in cloudRouterIpv6Address.
   • Utilizzando ping, verifica che l'indirizzo IPv6 elencato in cloudRouterIpv6Address sia raggiungibile dalla tua rete on-premise.

Impossibile creare un collegamento VLAN con il tipo di stack IPv4 e IPv6 (stack doppio)

La creazione del collegamento VLAN con il tipo di stack IPv4 e IPv6 (doppio stack) non riesce e viene restituito il seguente messaggio di errore:

Cannot create a dual stack interconnect attachment. Dual stack attachment can only be used
with a provisioned interconnect attachments that have Dataplane version 2.

Per risolvere questo problema:

1. Controlla la tabella Tutte le strutture di colocation per vedere quali regioni supportano la creazione di collegamenti su Dataplane v2.

2. Se la regione non è presente nell'elenco, ricrea il collegamento in una regione supportata.

Impossibile modificare un collegamento VLAN esistente per utilizzare il tipo di stack IPv4 e IPv6 (stack doppio)

L'aggiornamento di un collegamento VLAN esistente per utilizzare il tipo di stack IPv4 e IPv6 (doppio stack) non riesce con il seguente messaggio di errore:

Cannot create a dual stack interconnect attachment. Dual stack attachment can only
be used with a provisioned interconnect attachments that have Dataplane version 2.

Per risolvere questo problema:

1. Controlla la versione Dataplane del collegamento e verifica che il collegamento utilizzi Dataplane versione 1. Vedi Controllare la versione Dataplane di un collegamento.

2. Ricrea il collegamento in una regione che supporta la creazione di tutti i nuovi allegati su Dataplane v2. Per un elenco delle regioni, vedi Tutte le strutture di colocation.

Test delle prestazioni sui collegamenti VLAN

Se devi testare le prestazioni dei collegamenti VLAN, utilizza una VM nella tua rete VPC. Aggiungi gli strumenti per le prestazioni di cui hai bisogno sulla VM. Non utilizzare l'indirizzo IP locale rispetto al collegamento del router Cloud per testare la latenza, come il ping ICMP o il percorso MTU. L'uso del router Cloud può produrre risultati imprevedibili.

Accesso alla diagnostica

Per ottenere informazioni tecniche aggiornate e dettagliate sul lato Google Cloud di una connessione Dedicated Interconnect on demand, consulta Eseguire la diagnostica.

Partner Interconnect

Sessione BGP non funzionante (connessioni di livello 2)

• Controlla che il tuo router on-premise sia stato configurato con una sessione BGP ai tuoi router Cloud. Per saperne di più, consulta Configurazione di router on-premise per Partner Interconnect.
• Abilita il BGP multi-hop sul tuo router on-premise con almeno due hop.
• Verifica di aver configurato l'indirizzo IP del vicino corretto sul tuo router on-premise. Utilizza l'indirizzo IP del peer BGP (cloudRouterIpAddress) allocato dal collegamento VLAN.
• Verifica che la configurazione dell'ASN locale sul router on-premise corrisponda all'ASN peer sul router Cloud (16550). Inoltre, verifica che la configurazione dell'ASN locale sul router Cloud corrisponda all'ASN peer sul tuo router on-premise.

Sessione BGP non funzionante (connessioni di livello 3)

• Il router Cloud deve essere configurato con l'ASN del fornitore di servizi. Per assistenza, contatta il tuo fornitore di servizi.

Collegamento VLAN inattivo per una connessione Partner Interconnect

Lo stato di un collegamento VLAN può essere visualizzato come inattivo anche se non ci sono problemi con la configurazione di Google Cloud e la connessione Partner Interconnect.

Assicurati di aver configurato il multihop EBGP sul tuo router on-premise per avere almeno quattro hop. Puoi vedere una configurazione di esempio in Configurazione dei router on-premise.

Problema relativo alla chiave di accoppiamento in una connessione Partner Interconnect

Quando provi a configurare una connessione Partner Interconnect, potresti visualizzare un messaggio di errore come "Google - Stato del provider non disponibile". Per risolvere il problema:

1. Assicurati che la chiave di accoppiamento sia stata generata dal collegamento VLAN lato cliente (tipo PARTNER). La chiave è una lunga stringa casuale che Google utilizza per identificare l'allegato. La regione Google Cloud di destinazione e il dominio di disponibilità perimetrale sono codificati nella chiave di accoppiamento nel seguente formato:

   <random_string>/<region_name>/<domain>
   

   Il campo domain contiene la stringa any se il collegamento VLAN non è limitato a un determinato dominio o se non specifichi il dominio di disponibilità perimetrale. Per ulteriori informazioni sulle chiavi di accoppiamento, consulta la sezione Chiave di accoppiamento.

2. Assicurati che il dominio di disponibilità perimetrale della connessione Partner Interconnect corri a quello specificato dalla chiave di accoppiamento.

Impossibile inviare il ping al router Cloud (connessioni di livello 2)

• Verifica di avere il collegamento VLAN corretto nella sottointerfaccia del router on-premise. Le informazioni sul collegamento VLAN devono corrispondere a quelle fornite dal fornitore di servizi.
• Verifica di avere l'indirizzo IP corretto nella sottointerfaccia del router on-premise. Dopo che il fornitore di servizi ha configurato il collegamento VLAN, il collegamento assegna una coppia di indirizzi IP locali rispetto al collegamento. Uno è per un'interfaccia sul router Cloud associato (cloudRouterIpAddress), l'altro per un'interfaccia secondaria sul canale della porta del router on-premise, non sul canale della porta stesso (customerRouterIpAddress).
• Se stai testando le prestazioni dei tuoi collegamenti, non inviare un ping al router Cloud. Crea e utilizza invece una VM nella tua rete VPC. Per ulteriori informazioni, consulta Test delle prestazioni.

Perdita di alimentazione ottica sulla porta della connessione Partner Interconnect

Se si verifica una perdita di alimentazione ottica su una porta, potresti riscontrare uno dei seguenti problemi:

• Perdita della connettività di livello 3 (perdita di una sessione BGP) o impossibilità di accedere alle istanze VM di Google Cloud.
• Prestazioni del bundle di link ridotte. Questo problema si verifica se più porte 10 GE sono raggruppate e solo alcuni dei link in un bundle funzionano.

La perdita di potenza ottica su una porta significa che l'hardware non è in grado di rilevare un segnale proveniente dall'altra estremità. Ciò può essere causato da uno dei seguenti problemi:

• Un ricetrasmettitore difettoso
• Un sistema di trasporto difettoso
• Un problema con la fibra fisica

Per risolvere il problema, contatta Partner Interconnect e/o il fornitore di circuiti. Può eseguire le seguenti operazioni:

1. Controlla che il ricetrasmettitore funzioni.
2. Esegui un ciclo continuo fino alla stanza Meet-Me (MMR) per verificare se i livelli di illuminazione sul dispositivo funzionano come previsto.
3. Verifica se i problemi sono dalla loro parte o dal lato di Google. Il modo migliore per isolare l'interfaccia è posizionare un loop bidirezionale a demarcazione. Le interfacce su ciascun lato trasmetteranno la luce verso il demarcatore, dove verrà ricollegata a se stessa. Il lato difettoso sarà il lato del demarcatore che non appare in modo pulito.
4. Pulisci e reinserisci tutta la fibra sul lato.

Impossibile inviare e apprendere valori MED su una connessione L3 Partner Interconnect

Se utilizzi una connessione Partner Interconnect in cui un fornitore di servizi di livello 3 gestisce BGP per te, il router Cloud non può apprendere i valori MED dal router on-premise o inviare valori MED a quel router. Questo perché i valori MED non possono passare attraverso sistemi autonomi. In questo tipo di connessione, non puoi impostare le priorità delle route annunciate dal router Cloud verso il tuo router on-premise. Inoltre, non puoi impostare le priorità di route per le route annunciate dal router on-premise verso la rete VPC.

Il traffico IPv6 non funziona dopo la modifica del tipo di stack di un collegamento in doppio stack

1. Visualizza lo stato del router Cloud e verifica che sia visualizzato status: UP.

   Se BGP non è attivo, segui questi passaggi:

   1. Verifica che il router on-premise (o il router del tuo partner se utilizzi un partner di livello 3) sia configurato con una sessione BGP IPv6 e che la sessione utilizzi gli indirizzi IPv6 corretti.

   2. Visualizza la configurazione della sessione BGP e verifica che bgpPeers.enable mostri 'TRUE' per il tuo router Cloud.

   Se BGP è attivo, visualizza le route del router Cloud per verificare che vengano visualizzati i valori best_routes IPv6 previsti.

   Se gli best_routes previsti non vengono visualizzati, verifica che il router on-premise (o il router del tuo partner se utilizzi un partner di livello 3) sia configurato con le route IPv6 corrette.

Tutti gli altri problemi

Per ulteriore assistenza, contatta il tuo fornitore di servizi. Se necessario, il fornitore di servizi contatterà Google per risolvere i problemi relativi al lato Google della rete.

VPN ad alta disponibilità su Cloud Interconnect

Quando esegui il deployment della VPN ad alta disponibilità su Cloud Interconnect, crei due livelli operativi:

• Il livello Cloud Interconnect, che include i collegamenti VLAN e il router Cloud per Cloud Interconnect.
• Il livello VPN ad alta disponibilità, che include gateway e tunnel VPN ad alta disponibilità e il router Cloud per la VPN ad alta disponibilità.

Ogni livello richiede il proprio router Cloud:

• Il router Cloud per Cloud Interconnect viene utilizzato esclusivamente per scambiare i prefissi del gateway VPN tra i collegamenti VLAN. Questo router Cloud viene utilizzato solo dai collegamenti VLAN del livello Cloud Interconnect. Non può essere utilizzato nel livello VPN ad alta disponibilità.
• Il router Cloud per gli scambi VPN ad alta disponibilità aggiunge un prefisso tra la rete VPC e la rete on-premise. Puoi configurare il router Cloud per la VPN ad alta disponibilità e le relative sessioni BGP come faresti per un normale deployment VPN ad alta disponibilità.

Puoi creare il livello VPN ad alta disponibilità in base al livello Cloud Interconnect. Di conseguenza, il livello VPN ad alta disponibilità richiede che il livello Cloud Interconnect, basato su Dedicated Interconnect o Partner Interconnect, sia configurato correttamente e operativo.

Per risolvere i problemi di una VPN ad alta disponibilità tramite il deployment di Cloud Interconnect, esegui prima la risoluzione dei problemi del livello Cloud Interconnect. Dopo aver verificato che Cloud Interconnect funzioni correttamente, risolvi i problemi del livello VPN ad alta disponibilità.

Impossibile creare un collegamento VLAN criptato

La creazione dellcollegamento VLAN criptato non riesce e viene visualizzato il seguente messaggio di errore:

  Cannot create an interconnect attachment with IPSEC encryption.
  IPSEC encryption can only be used with a provisioned interconnect attachments
  that have Dataplane version 2.
  

Per risolvere il problema:

1. Controlla la tabella Tutte le strutture di colocation per vedere quali regioni supportano la creazione di collegamenti su Dataplane v2.

2. Se la regione non è presente nell'elenco, ricrea il collegamento in una regione supportata.

Impossibile stabilire la sessione BGP per il router Cloud per Cloud Interconnect

Per rilevare se la sessione BGP associata al collegamento VLAN è disattivata, esegui questo comando:

   gcloud compute routers get-status INTERCONNECT_ROUTER_NAME

Sostituisci INTERCONNECT_ROUTER_NAME con il nome del router Cloud che hai creato per il livello Cloud Interconnect della tua VPN ad alta disponibilità sul deployment di Cloud Interconnect.

Per risolvere il problema:

1. Segui i passaggi descritti in Test delle connessioni e Richiesta di diagnostica per assicurarti che la connessione Cloud Interconnect sottostante sia integro.
2. Verifica che l'interfaccia della sessione BGP indirizzi al collegamento corretto.
3. Controlla gli indirizzi IP configurati per l'interfaccia della sessione BGP sia sul router Cloud che sul router on-premise.
4. Verifica che i numeri ASN siano configurati correttamente sul router Cloud e sul router on-premise.
5. Verifica che la connessione Cloud Interconnect e il collegamento VLAN siano in stato admin-enabled.

Impossibile stabilire un tunnel VPN ad alta disponibilità

Per verificare lo stato del tunnel, esegui questo comando:

gcloud compute vpn-tunnels describe VPN_TUNNEL_NAME

Sostituisci VPN_TUNNEL_NAME con il nome del tunnel VPN ad alta disponibilità.

Per risolvere il problema:

1. Poiché il tunnel VPN viene instradato su un collegamento VLAN, verifica che la sessione BGP associata al collegamento VLAN sia stabilita. In caso contrario, consulta Impossibile stabilire la sessione BGP per il router Cloud per Cloud Interconnect.
2. Verifica che la crittografia PSK e le crittografie del tunnel siano configurate correttamente sia sui gateway Cloud VPN sia sui gateway VPN on-premise.
3. Verifica che l'annuncio BGP del router on-premise includa gli indirizzi del gateway VPN on-premise. In caso contrario, regola la configurazione BGP del router on-premise per pubblicizzare gli indirizzi.
4. Controlla che le route ai gateway VPN on-premise non siano state eliminate a causa di conflitti con le route BGP esistenti. In caso di conflitti, modifica gli indirizzi dei gateway VPN o le route annunciate.

5. Verifica che l'annuncio BGP del router Cloud includa gli indirizzi dei gateway VPN ad alta disponibilità. Controlla il router on-premise o ispeziona il campo advertisedRoutes del peer BGP. Per visualizzare il campo advertisedRoutes, esegui questo comando:

   gcloud compute routers get-status INTERCONNECT_ROUTER_NAME
   

   Sostituisci INTERCONNECT_ROUTER_NAME con il nome del router Cloud che hai creato per il livello Cloud Interconnect della tua VPN ad alta disponibilità sul deployment di Cloud Interconnect.

   Se gli indirizzi del gateway VPN ad alta disponibilità non vengono pubblicizzati, assicurati che i collegamenti VLAN siano associati al router criptato di Cloud Interconnect. Verifica che ogni collegamento VLAN sia configurato con gli indirizzi IPv4 interni a livello di regione previsti (--ipsec-internal-addresses).

Impossibile stabilire la sessione BGP per il router Cloud per la VPN ad alta disponibilità

Per verificare se la sessione BGP associata al collegamento VLAN è disattivata, esegui questo comando:

gcloud compute routers get-status VPN_ROUTER_NAME

Sostituisci VPN_ROUTER_NAME con il nome del router Cloud che hai creato per il livello VPN ad alta disponibilità della VPN ad alta disponibilità sul deployment di Cloud Interconnect.

Per risolvere il problema:

1. Poiché il traffico BGP viene instradato sul tunnel VPN, verifica che il tunnel VPN sia stabilito. In caso contrario, segui i passaggi descritti in Impossibile stabilire un tunnel VPN ad alta disponibilità.
2. Verifica che l'interfaccia della sessione BGP del router Cloud punti al tunnel VPN corretto.
3. Verifica che gli indirizzi IP dell'interfaccia della sessione BGP siano configurati correttamente sia sul router Cloud sia sul dispositivo VPN on-premise.
4. Verifica che i numeri ASN siano configurati correttamente sul router Cloud e sul router on-premise.

Il traffico VPC non raggiunge le reti on-premise e viceversa

Il traffico generato da una VM, ad esempio da ping o iperf, non può raggiungere la rete on-premise oppure la rete on-premise non può raggiungere il traffico generato da una VM.

Per risolvere il problema:

1. Poiché il traffico della VM viene instradato sul tunnel VPN, assicurati che la route dalla VM al tunnel VPN venga inviata dal router Cloud.

2. Verifica che sia stabilita la sessione del router Cloud per la VPN ad alta disponibilità. In caso contrario, consulta Impossibile stabilire la sessione BGP per il router Cloud per la VPN ad alta disponibilità.

Perdita di pacchetti o velocità effettiva bassa

Il traffico dalle VM sulle reti VPC alle reti on-premise o da reti on-premise alle reti VPC viene eliminato.

Osserva la perdita di pacchetti o una bassa velocità effettiva tramite ping, iperf e altri strumenti di monitoraggio della rete.

Per risolvere il problema:

1. Verifica se il collegamento VLAN è sovraccarico di traffico. Se è così, distribuisci il traffico su più collegamenti VLAN o aggiorna la capacità dei collegamenti.
2. Controlla se la VPN ad alta disponibilità è sovraccarica di traffico. In questo caso, crea tunnel VPN aggiuntivi sul collegamento VLAN per ridistribuire il traffico.
3. Assicurati che non ci siano picchi imprevisti o improvvisi nel traffico o traffico intenso. I flussi TCP potrebbero essere influenzati da altri flussi, ad esempio il traffico UDP intenso.
4. Controlla se i pacchetti che superano la MTU del tunnel sono frammentati. Assicurati che la MTU sia impostata correttamente con i collegamenti VLAN e controlla che il traffico UDP non sia bloccato da MSS.

Impossibile eliminare un collegamento VLAN criptato

Quando provi a eliminare un collegamento VLAN criptato per Dedicated Interconnect o Partner Interconnect, viene visualizzato il seguente errore:

ResourceInUseByAnotherResourceException

Per risolvere il problema, assicurati di aver prima eliminato tutti i gateway e i tunnel VPN ad alta disponibilità associati al collegamento VLAN criptato. Per maggiori informazioni, consulta Eliminare la VPN ad alta disponibilità su Cloud Interconnect.

I tipi di indirizzi IP non corrispondono nei collegamenti VLAN criptati

Quando provi a creare un gateway VPN ad alta disponibilità da utilizzare in una VPN ad alta disponibilità tramite un deployment di Cloud Interconnect, viene visualizzato il seguente errore:

One of the VLAN attachments has private IP address type, while the other one
has public IP address type; they must have same IP address type.

Questo errore si verifica quando specifichi due collegamenti VLAN criptati per un gateway VPN ad alta disponibilità e hanno schemi di indirizzi IP diversi per le interfacce del tunnel VPN ad alta disponibilità. I tipi di indirizzi IP devono corrispondere in entrambi i collegamenti VLAN.

Durante la creazione del gateway VPN, specifica i collegamenti VLAN che utilizzano entrambi gli indirizzi IP privati o entrambi gli indirizzi IP pubblici. Se viene visualizzato questo errore durante la creazione di un gateway VPN, riprova a creare il collegamento VLAN con il tipo di indirizzo corretto.

Collegamento VLAN mancante dall'interfaccia del gateway VPN ad alta disponibilità

Se viene eseguito il deployment per VPN ad alta disponibilità su Cloud Interconnect, per un gateway VPN ad alta disponibilità deve essere specificato un collegamento VLAN criptato per entrambe le interfacce.

Se specifichi un solo collegamento VLAN, viene visualizzato il seguente errore:

VPN Gateway should have VLAN attachment specified in both interfaces or in none.

Per risolvere il problema, crea il gateway VPN ad alta disponibilità e specifica due collegamenti VLAN.

Tipo di collegamento VLAN non valido

I collegamenti VLAN criptati devono essere di tipo DEDICATED o PARTNER.

Se specifichi un tipo non valido per un collegamento VLAN criptato, viene visualizzato il seguente messaggio di errore:

VLAN attachment should have type DEDICATED or PARTNER.

Per risolvere il problema, crea solo collegamenti VLAN criptati di tipo DEDICATED o PARTNER.

Valore MTU errato per il collegamento VLAN

Quando crei un collegamento VLAN criptato per Dedicated Interconnect, viene visualizzato il seguente messaggio di errore:

Wrong MTU value [mtuValue] for VLAN attachment.
The supported MTU for IPsec packets for HA VPN over Cloud Interconnect is 1440.

Per risolvere il problema, ricrea l'allegato con il valore corretto di 1440, che è il valore predefinito.

I collegamenti VLAN sono di tipo diverso

Quando specifichi i collegamenti VLAN criptati per le interfacce gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

VLAN attachments should both have same type DEDICATED or PARTNER.
But found one DEDICATED and one PARTNER.

Per risolvere il problema, specifica due collegamenti VLAN dello stesso tipo: DEDICATED o PARTNER.

I collegamenti VLAN dedicati non si trovano nella stessa area metropolitana

Quando specifichi i collegamenti VLAN criptati per le interfacce gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

Dedicated VLAN attachments should be in the same metropolitan area.

Per risolvere il problema, crea due collegamenti VLAN criptati per Dedicated Interconnect nella stessa area metropolitana.

Il gateway VPN ad alta disponibilità non si trova nella stessa rete del collegamento VLAN

Quando specifichi i collegamenti VLAN criptati per le interfacce gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

VPN Gateway should be in the same network as VLAN attachment.
VLAN attachment network: [networkName], VPN gateway network: [networkName]

Per risolvere il problema, crea il gateway VPN ad alta disponibilità nella stessa rete dei collegamenti VLAN criptati.

Tipo di crittografia errato per il collegamento VLAN

Quando specifichi i collegamenti VLAN criptati per le interfacce gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

Wrong encryption type for VLAN attachment [interconnectAttachmentName],
required IPSEC.

Per risolvere il problema, specifica solo i collegamenti VLAN criptati che sono configurati con il tipo di crittografia IPSEC. Se necessario, crea collegamenti VLAN criptati.

La zona del collegamento VLAN non corrisponde a InterfaceId

Quando specifichi i collegamenti VLAN criptati per le interfacce gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

VLAN attachment zone should match interfaceId: interface 0 - zone1,
interface 1 - zone2, but found interface [interfaceId] - [zone] for
[interconnectAttachmentName].

La prima interfaccia del gateway VPN ad alta disponibilità (interface 0) deve corrispondere al collegamento VLAN criptato della zona 1 e la seconda interfaccia (interface 1) deve corrispondere al collegamento VLAN criptato della zona 2.

Per risolvere il problema, specifica i collegamenti VLAN criptati delle zone corrispondenti correttamente alle interfacce gateway VPN ad alta disponibilità.

Il gateway VPN non si trova nella stessa regione del collegamento VLAN

Quando specifichi i collegamenti VLAN criptati per le interfacce gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

VPN Gateway should be in the same region as VLAN attachment.
VLAN attachment region: [region], VPN gateway region: [region].

Per risolvere il problema, crea gateway VPN ad alta disponibilità e collegamenti VLAN criptati nella stessa regione.

Il collegamento VLAN partner non è in stato attivo

Quando specifichi i collegamenti VLAN criptati per Partner Interconnect per le interfacce del gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

Interconnect Attachments [name] must be in active state.

Devi attivare i collegamenti VLAN per Partner Interconnect prima di associarli alle interfacce gateway VPN ad alta disponibilità.

Per ulteriori informazioni, vedi Attivare le connessioni.

Tipo errato di router Cloud specificato per il collegamento VLAN

Quando provi a creare un collegamento VLAN criptato, viene visualizzato il seguente messaggio di errore:

Router must be an encrypted interconnect router.

Per risolvere il problema, crea un router Cloud con il flag --encrypted-interconnect-router. Questo router Cloud viene utilizzato esclusivamente per la VPN ad alta disponibilità su Cloud Interconnect.

Quindi, crea il collegamento VLAN criptato e fornisci il router Cloud criptato.

Cross-Cloud Interconnect

Questa sezione descrive i problemi che possono verificarsi con Cross-Cloud Interconnect.

Google supporta la connessione fino al punto in cui raggiunge la rete dell'altro provider di servizi cloud. Google non garantisce l'uptime dell'altro fornitore di servizi cloud e non può creare un ticket di assistenza per tuo conto. Tuttavia, con la tua autorizzazione, l'assistenza Google Cloud può comunicare direttamente con il team di assistenza dell'altro provider cloud per accelerare la risoluzione dei problemi.

Mancata corrispondenza tra porte ridondanti

Dopo aver ordinato le porte Cross-Cloud Interconnect, dovrai fornire a Google informazioni su come vuoi che siano connesse alle porte cloud remote. Potrai utilizzare queste informazioni anche in seguito, durante la configurazione delle risorse. In caso di problemi di connettività, un problema potrebbe essere dovuto al fatto che non hai utilizzato i dettagli di connettività corretti.

Ad esempio, potresti fornire istruzioni come le seguenti:

• Collega gcp-1 a azure-1.

• Collega gcp-2 a azure-2.

Tuttavia, quando configuri le risorse, puoi presumere che le porte siano collegate come segue:

• Collega gcp-1 a azure-2.

• Collega gcp-2 a azure-1.

Questa condizione potrebbe essere rilevabile attraverso l'esame della cache ARP. Tuttavia, una soluzione più semplice è quella di passare al cloud remoto e provare a scambiare gli intervalli di indirizzi IP assegnati ai due peer BGP.

Ad esempio, supponiamo che azure-1 abbia un peering per collegamento VLAN su 169.254.0.2 e azure-2 abbia un peering per collegamento VLAN su 169.254.99.2. Scambia gli intervalli di indirizzi IP in modo che il collegamento azure-1 utilizzi 169.254.99.2 e il collegamento azure-2 utilizzi 169.254.0.2.

Se hai utilizzato ID VLAN diversi per il collegamento su ciascuna porta, dovrai anche scambiare gli ID VLAN utilizzati dai collegamenti. Per Azure, questo scenario è impossibile perché richiede l'utilizzo dello stesso ID VLAN su entrambe le porte per ogni collegamento.

ID VLAN

A volte i problemi di connettività possono essere dovuti a errori nei valori ID VLAN. L'ID VLAN è un campo nel collegamento VLAN di Cross-Cloud Interconnect.

Azure

Azure richiede che gli ID VLAN siano allocati in modo identico su entrambe le porte di una coppia. Quando crei il collegamento VLAN, la console Google Cloud applica questo requisito. Tuttavia, se configuri i collegamenti utilizzando Google Cloud CLI o l'API, puoi allocare ID VLAN diversi. Questo rischio è particolarmente elevato se consenti l'assegnazione automatica degli ID VLAN quando crei il collegamento. Se non imposti esplicitamente l'ID, questo verrà assegnato automaticamente.

AWS

Quando ti connetti ad AWS, puoi utilizzare l'assegnazione automatica degli ID VLAN. Tuttavia, quando configuri le risorse AWS, devi configurare manualmente gli ID VLAN in modo che corrispondano a quelli assegnati automaticamente da Google Cloud. Inoltre, è importante non confondere l'ID VLAN da utilizzare per ciascuna porta. Se su una porta è configurato l'ID VLAN errato, i router virtuali non saranno in grado di comunicare.

Verifica la connettività

Se non lo hai già fatto, segui i passaggi per verificare la connettività tra Google Cloud e la tua rete cloud remota:

• Verifica la connessione (AWS)
• Verifica la connessione (Azure)
• Verifica la tua connessione (OCI)