Résoudre les problèmes liés aux routes BGP et à la sélection des routes

This guide is for troubleshooting issues related to BGP routes, including route selection, route propagation, and route priorities.

Pour obtenir des informations de dépannage supplémentaires, consultez les ressources suivantes :

La session BGP IPv6 est établie mais n'échange pas de routes IPv4

  1. Vérifiez que le rattachement de VLAN ou la passerelle VPN haute disponibilité dispose du type de pile requis IPV4_IPV6. Si le type de pile est incorrect pour le rattachement de VLAN, modifiez le rattachement de VLAN. Pour une passerelle VPN haute disponibilité, recréez la passerelle VPN haute disponibilité et ses tunnels.

  2. Assurez-vous que votre routeur Cloud Router est correctement configuré. Exécutez la commande suivante :

    gcloud compute routers describe ROUTER-NAME
    

    Dans le résultat, vérifiez les valeurs suivantes :

    • bgpPeers.enableIpv4 correspond à true.
    • bgpPeers.ipv4NexthopAddress et bgpPeers.peerIpv4NexthopAddress sont présents.

Certains préfixes IPv4 ou IPv6 sur site ne sont pas disponibles

Si vous rencontrez des pertes de trafic, des erreurs de ping ou d'autres problèmes lorsque vous tentez d'atteindre des destinations IPv4 ou IPv6 sur site situées dans les préfixes appris par Cloud Router, plusieurs causes sont possibles.

Rechercher les routes apprises personnalisées inactives

Si vous ne parvenez pas à atteindre une destination sur site à l'aide d'une route apprise personnalisée configurée, procédez comme suit :

  • Check that the route is configured properly on the BGP session.
  • Check that the BGP session is up.

Pour plus d'informations, consultez la section Vérifier l'état des routes personnalisées apprises.

Check for dropped routes

To see if a route is dropped, run the following command:

gcloud compute routers get-status ROUTER_NAME \
    --region=REGION

Remplacez les éléments suivants :

  • ROUTER_NAME : nom de votre routeur Cloud Router.
  • REGION : région dans laquelle se trouve votre routeur cloud.

Le résultat est semblable à l'exemple suivant. Recherchez routeStatus défini sur active :

kind: compute#routerStatusResponse
result:
  bestRoutesForRouter:
  - asPaths:
    - asLists:
      - 65200
      pathSegmentType: AS_SEQUENCE
    creationTimestamp: '2024-03-22T13:57:15.533-07:00'
    destRange: 10.128.0.0/20
    kind: compute#route
    network: https://www.googleapis.com/compute/v1/projects/PROJECT/global/networks/VPC_NAME
    nextHopIp: 169.254.73.246
    nextHopVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/vpnTunnels/VPN_NAME
    priority: 100
    routeStatus: ACTIVE
    routeType: BGP
  bgpPeerStatus:
  - advertisedRoutes:
    - destRange: 10.128.0.0/20
      kind: compute#route
      network: https://www.googleapis.com/compute/v1/projects/PROJECT/global/networks/aneta-vpc
      nextHopIp: 169.254.73.245
      nextHopVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/vpnTunnels/VPN_NAME
      priority: 100
      routeType: BGP
    enableIpv6: false
    ipAddress: 169.254.73.245
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/vpnTunnels/VPN_NAME
    md5AuthEnabled: false
    name: aneta-bgp
    numLearnedRoutes: 1
    peerIpAddress: 169.254.73.246
    state: Established
    status: UP
    uptime: 10 hours, 11 minutes, 0 seconds
    uptimeSeconds: '36660'
  network: https://www.googleapis.com/compute/v1/projects/PROJECT/global/networks/VPC_NAME

The bestRoutesForRouter.routeStatus value displays ACTIVE for an active route, and DROPPED for a dropped route.

Vérifier les quotas et les limites

Vérifiez que vos routeurs cloud n'ont pas dépassé les quotas des routes apprises. Pour afficher le nombre de routes apprises par un routeur cloud, affichez son état.

Pour en savoir plus sur les quotas, les messages de journal et les métriques associées, et la résolution des problèmes, consultez le tableau suivant.

Sujet Conseils
À propos des quotas

Il existe deux quotas pour les routes apprises. Ces quotas ne définissent pas directement un nombre maximal de routes apprises. Elles définissent plutôt le nombre maximal de préfixes de destination uniques :

  • Nombre maximal de préfixes de destinations uniques pour les routes apprises pouvant être appliquées aux sous-réseaux d'une région donnée par tous les routeurs Cloud Router de la même région
  • Nombre maximal de destinations uniques pour les routes apprises pouvant être appliquées aux sous-réseaux d'une région donnée par les routeurs cloud de différentes régions

Le premier quota s'applique quel que soit le mode de routage dynamique utilisé par le réseau VPC. Le second quota ne s'applique que si le réseau VPC utilise le mode de routage dynamique global. Pour en savoir plus sur les quotas Cloud Router, consultez la page Quotas.

Routes apprises Nombre maximal de destinations uniques pour les préfixes de routes apprises pouvant être appliquées aux sous-réseaux d'une région donnée par tous les routeurs Cloud Router de la même région
Journaux Lorsque vous dépassez l'un de ces quotas, un message d'erreur s'affiche dans Cloud Logging. Pour en savoir plus sur la création d'une requête avancée permettant d'afficher ce message, consultez la requête associée dans la documentation de journalisation de Cloud Router.
Métriques

Vous pouvez également utiliser les métriques suivantes pour comprendre la disponibilité et l'utilisation actuelles de vos quotas. Ces métriques sont précédées du préfixe router.googleapis.com/dynamic_routes/learned_routes/ :

  • used_unique_destinations

    Nombre de destinations uniques utilisées dans ce réseau VPC. Si le routage dynamique global est activé, cette métrique affiche à la fois l'utilisation globale et régionale.

  • unique_destinations_limit

    Nombre de destinations uniques autorisées à annoncer sur ce réseau VPC. Si le routage dynamique global est activé, cette métrique affiche à la fois les quotas globaux et régionaux.

  • any_dropped_unique_destinations

    Indique si des destinations ont été supprimées pour ce réseau VPC en raison d'un dépassement de quota de routage (un ou les deux).

Ces métriques sont disponibles via la ressource surveillée gce_network_region. Pour en savoir plus sur les métriques Cloud Router et la façon de les afficher, consultez la section Métriques sur la page Afficher les journaux et les métriques.

Résolution des problèmes

Vous pouvez effectuer les opérations suivantes pour résoudre les problèmes liés aux quotas de routes. Lorsque le nombre de routes dépasse largement le quota disponible, il est judicieux d'effectuer les deux opérations suivantes :

  • Configurer vos routeurs sur site pour agréger les routes que vous exportez, afin que ces routes annoncent moins de destinations (CIDR).
  • Contacter l'assistance. L'assistance peut vous aider à réinitialiser vos routeurs cloud, si nécessaire, ou à augmenter les quotas.

Vérifier les plages de sous-réseaux qui se chevauchent

Assurez-vous que les plages d'adresses IPv4 et IPv6 d'un sous-réseau VPC ne chevauchent pas complètement les routes annoncées depuis votre réseau sur site. Le chevauchement des plages IPv4 et IPv6 peut entraîner la suppression de routes. Cela s'applique également aux routes statiques qui chevauchent une route dynamique apprise par un routeur Cloud Router. Les préfixes reçus par les routeurs Cloud Router sont ignorés (les routes dynamiques ne sont pas créées) dans les scénarios suivants :

  • Lorsque le préfixe appris correspond exactement à une plage d'adresses IPv4 ou IPv6 principale ou secondaire d'un sous-réseau de votre réseau VPC.

  • Lorsque le préfixe appris correspond exactement à la destination d'une route statique de votre réseau VPC.

  • Lorsque le préfixe appris est plus spécifique (masque de sous-réseau plus long) qu'une plage d'adresses IPv4 ou IPv6 principale ou secondaire d'un sous-réseau de votre réseau VPC.

  • Lorsque le préfixe appris est plus spécifique (masque de sous-réseau plus long) que la destination d'une route statique de votre réseau VPC.

Pour en savoir plus, consultez la section Applicabilité et ordre des routes dans la présentation des routes VPC.

Les routes apprises d'un réseau sur site ne se propagent pas vers d'autres réseaux VPC

Un seul routeur cloud donné ne peut pas réannoncer les routes apprises d'un pair BGP sur les autres pairs BGP, y compris vers les routeurs cloud d'autres réseaux VPC.

Par exemple, dans la topologie en étoile suivante, Cloud Router ne peut pas accepter l'annonce de routage entre plusieurs réseaux VPC.

Cloud Router Hub et Spoke
Topologie Cloud Router en étoile (cliquez pour agrandir)

Pour consulter les recommandations concernant les topologies de réseaux dans Google Cloud, consultez la page Bonnes pratiques et architectures de référence pour la conception de VPC.

En outre, pour créer et gérer les topologies en étoile dans Google Cloud, vous pouvez utiliser Network Connectivity Center.

Les préfixes ne sont pas importés dans les sessions BGP (préfixage du chemin AS)

Le préfixage de chemin AS n'est pas pertinent pour le plan de contrôle et le réseau VPC. La longueur du chemin AS n'est prise en compte que dans les tâches logicielles Cloud Router, comme décrit dans les scénarios suivants.

Si une tâche logicielle Cloud Router unique apprend la même destination à partir de plusieurs sessions BGP :

  • La tâche logicielle sélectionne la session BGP à saut suivant avec le chemin AS le plus court.
  • La tâche logicielle envoie des informations sur la destination, le saut suivant et les valeurs MED au plan de contrôle Cloud Router.
  • Le plan de contrôle utilise ces informations pour créer une ou plusieurs routes candidates. La priorité de base de chaque candidat est définie sur la valeur MED reçue.

Si plusieurs tâches logicielles Cloud Router apprennent la même destination à partir de plusieurs sessions BGP :

  • Chaque tâche logicielle sélectionne une session BGP à saut suivant avec le chemin AS le plus court.
  • Chaque tâche logicielle envoie des informations sur la destination, le saut suivant et les valeurs MED au plan de contrôle Cloud Router.
  • Le plan de contrôle utilise ces informations pour créer au moins deux routes candidates. La priorité de base de chaque candidat est définie sur la valeur MED reçue.

Le plan de contrôle Cloud Router installe ensuite une ou plusieurs routes dynamiques personnalisées dans le réseau VPC, en fonction du mode de routage dynamique de celui-ci. En mode de routage dynamique global, la priorité de chaque route dynamique régionale personnalisée est ajustée dans des régions différentes de la région Cloud Router. Pour plus d'informations sur la façon dont Google Cloud sélectionne une route, consultez la section Ordre de routage dans la documentation concernant les VPC.

Sur une VM à plusieurs cartes réseau, chaque carte reçoit des routes différentes

Il s'agit d'un comportement normal. Vous devez configurer chaque carte d'interface réseau pour une VM dotée de plusieurs cartes d'interface réseau au sein d'un réseau VPC unique. Chaque routeur Cloud Router crée des routes dynamiques dans un réseau VPC. Ainsi, les routes apprises par un routeur cloud ne s'appliquent qu'à une seule interface réseau d'une VM dotée de plusieurs cartes d'interface réseau. Les paquets envoyés à partir de l'interface réseau d'une VM utilisent uniquement les routes applicables au réseau VPC pour cette interface.

Le trafic est routé de manière asymétrique

Le trafic est routé de manière asymétrique lorsque les trafics entrant et sortant utilisent des chemins différents. Par exemple, vous avez peut-être deux tunnels Cloud VPN. Le trafic sortant de votre réseau VPC passe peut-être par le premier tunnel, tandis que le trafic entrant sur votre réseau VPC passe par le second tunnel.

Asymmetric routing happens when the preferred path advertised by your on-premises router and the Cloud Router don't align. For ingress traffic into your VPC network, use the Cloud Router to configure advertised route priorities. For more information, see Learned routes.

Consultez la documentation de votre appareil pour savoir comment fonctionne la sélection du meilleur chemin BGP, car d'autres attributs (tels que l'ID de routeur ou le numéro ASN d'origine) peuvent l'affecter. Par exemple, consultez les ressources suivantes :

Pour le trafic sortant de votre réseau VPC, vérifiez la valeur MED de votre routeur sur site.

La route par défaut (0.0.0.0/0 ou ::/0) envoie du trafic à la passerelle Internet

Lorsque vous créez un réseau VPC, Google Cloud crée automatiquement une route par défaut avec une priorité de 1000 et dont le saut suivant est la passerelle Internet par défaut.

Les routes avec un saut suivant de la passerelle Internet par défaut ne peuvent être utilisées que par des VM qui répondent aux conditions d'accès à Internet.

L'utilisation de routes avec un saut suivant de la passerelle Internet par défaut est également requise pour accéder aux API et services Google, par exemple lorsque vous utilisez l'accès privé à Google.

Les exemples suivants décrivent des situations susceptibles de bloquer le trafic vers Internet ou vers les API et services Google :

  • Si vous supprimez la route par défaut créée automatiquement (la route avec un saut suivant de la passerelle Internet par défaut).

  • Si vous remplacez la route par défaut créée automatiquement et que le saut suivant de la route de remplacement est différent de la passerelle Internet par défaut.

  • Si Cloud Router apprend une route avec la destination 0.0.0.0/0 ou ::/0 qui a une priorité plus élevée que la route par défaut créée automatiquement.

Le saut suivant n'est pas clair

Pour en savoir plus sur le fonctionnement de l'algorithme Google Cloud de sélection des routes, consultez la section Applicabilité et ordre dans la documentation sur les routes des VPC.

Le trafic IPv6 n'est pas acheminé

Si vous rencontrez des difficultés pour vous connecter à des hôtes IPv6, procédez comme suit :

  1. Vérifiez que les routes IPv4 sont correctement annoncées. En vérifiant d'abord le trafic IPv4, vous pouvez éliminer les problèmes généraux de réseau. Si les routes IPv4 ne sont pas annoncées, suivez les procédures générales de dépannage répertoriées dans ce document.

  2. Examinez les règles de pare-feu pour vous assurer que vous autorisez le trafic IPv6 entre votre réseau VPC et votre réseau sur site.

  3. Vérifiez qu'il n'existe pas de plages de sous-réseaux IPv6 qui se chevauchent dans votre réseau VPC et votre réseau sur site. Consultez la section Vérifier les plages de sous-réseaux qui se chevauchent.

  4. Déterminez si vous avez dépassé votre quota disponible pour les routes apprises. Si vous avez dépassé votre quota pour les routes apprises, les préfixes IPv6 sont supprimés avant les préfixes IPv4. Consultez la page Vérifier les quotas et les limites.

  5. Vérifiez que tous les composants nécessitant une configuration IPv6 ont été correctement configurés.

    • Le sous-réseau VPC est configuré pour utiliser le type de pile IPV4_IPV6.

    • Le sous-réseau VPC possède --ipv6-access-type défini sur INTERNAL.

    • Les VM Compute Engine du sous-réseau sont configurées avec des adresses IPv6.

    • La passerelle VPN haute disponibilité ou le rattachement de VLAN pour l'interconnexion dédiée est configuré pour utiliser le type de pile IPV4_IPV6.

    • Le pair BGP est activé pour utiliser IPv6, et les adresses de saut suivant IPv6 correctes sont configurées pour la session BGP.

Cloud Router ne renvoie pas de réponses ping ICMPv6

Le ping ICMPv6 n'est pas compatible avec les adresses BGP Cloud Router. Pour tester la connectivité de couche 3 des adresses BGP Cloud Router, utilisez le ping ICMPv4.

Étape suivante