Soluciona problemas de configuración, Cloud Router, autenticación y procesamiento de ruta

Usa la siguiente guía para solucionar problemas habituales con Cloud Router:

• Problemas de configuración relacionados con la configuración y el establecimiento de sesiones del Protocolo de puerta de enlace fronteriza (BGP).
• Problemas con Cloud Router relacionados con el Cloud Router.
• Problemas de procesamientos de la ruta relacionados con la propagación de rutas o las prioridades de las rutas.

Para obtener ayuda adicional, consulta la siguiente documentación:

• Para obtener información sobre los estados de sesión de BGP, consulta Estados de sesión de BGP.

• Para obtener información sobre los mensajes de diagnóstico y los estados de sesión relacionados con la detección de reenvío bidireccional (BFD), consulta Mensajes de diagnóstico y estados de sesión de BFD.

• Para problemas relacionados con el uso de Cloud Router con el dispositivo Router, consulta Soluciona problemas del dispositivo Router en la documentación de Network Connectivity Center.

Problemas de configuración

En esta sección, se enumeran algunos problemas de configuración comunes.

No se pudo establecer la sesión de BGP

Revisa que la configuración de tu router de BGP local y la configuración de tu Cloud Router sean correctas. Para obtener información detallada, consulta los registros de Cloud Router.

Si estás creando un túnel de Cloud VPN, comprueba que el estado del túnel sea ESTABLISHED. Si no es así, para solucionar el problema, consulta Solución de problemas de Cloud VPN.

Direcciones IPv4 e IPv6 para sesiones de BGP

La asistencia para las direcciones IPv6 de intercambio de tráfico de BGP se encuentra en vista previa.

Las direcciones IPv4 e IPv6 que puedes usar para una sesión de BGP dependen del producto que uses. Para obtener detalles completos, consulta Direcciones de intercambio de tráfico de BGP.

Valor no válido para el campo resource.bgp.asn

Es posible que recibas el siguiente error:

“Valor no válido en el campo resource.bgp.asn: ######. El ASN local entra en conflicto con un ASN idéntico especificado por un router en la misma región y red”.

Cloud Router intenta establecer una sesión de BGP con un dispositivo local que tiene el mismo ASN que el Cloud Router. Para resolver este problema, cambia el ASN de tu dispositivo o Cloud Router.

El iBGP entre Cloud Routers en una sola región no funciona

A pesar de que puedes crear dos Cloud Routers con el mismo ASN, iBGP no es compatible.

La sesión de BGP IPv6 no se puede establecer.

Si tienes dificultades para establecer una conexión con tu par de BGP IPv6, haz lo siguiente:

1. Verifica que el adjunto de VLAN o el túnel VPN de alta disponibilidad correspondientes estén conectados.
2. Verifica que el adjunto de VLAN o la puerta de enlace de VPN con alta disponibilidad tengan el tipo de pila requerido de IPV4_IPV6. Si el tipo de pila es incorrecto para un adjunto de VLAN, modifícalo. Para una puerta de enlace de VPN con alta disponibilidad, vuelve a crear la puerta de enlace de VPN con alta disponibilidad y sus túneles.

3. Asegúrate de que el Cloud Router esté configurado correctamente y que tu router local esté configurado con las direcciones IPv6 de BGP coincidentes.

   Ejecuta el siguiente comando:

   gcloud compute routers describe ROUTER-NAME
   

   En el resultado del comando, verifica los siguientes valores:

   • bgpPeers.peerIpAddress es una dirección IPv6 asignada a la interfaz externa en tu router local. Esta dirección IPv6 se usa como la dirección de intercambio de tráfico de BGP con Cloud Router para un túnel VPN con alta disponibilidad o un adjunto de VLAN de interconexión dedicada.
   • bgpPeers.ipAddress es una dirección IPv6 asignada a la interfaz de Cloud Router y coincide con el valor configurado como la dirección IP de par BGP en tu router local.
   • bgpPeers.peerAsn coincide con el ASN de tu router local.
   • bgp.asn coincide con el ASN de par configurado en tu router local.

Se establece una sesión de BGP IPv6, pero no intercambia rutas IPv4

1. Verifica que el adjunto de VLAN o la puerta de enlace de VPN con alta disponibilidad tengan el tipo de pila requerido de IPV4_IPV6. Si el tipo de pila es incorrecto para el adjunto de VLAN, modifícalo. Para una puerta de enlace de VPN con alta disponibilidad, vuelve a crear la puerta de enlace de VPN con alta disponibilidad y sus túneles.

2. Asegúrate de que tu Cloud Router esté configurado correctamente. Ejecuta el siguiente comando:

   gcloud compute routers describe ROUTER-NAME
   

   En el resultado, verifica los siguientes valores:

   • bgpPeers.enableIpv4 es true
   • bgpPeers.ipv4NexthopAddress y bgpPeers.peerIpv4NexthopAddress están presentes

Problemas con Cloud Router

En esta sección, se enumeran algunos problemas comunes de Cloud Router.

Los restablecimientos de BGP que se originan en Google Cloud aparecen en el router

Las tareas de Cloud Router son procesos de software en el plano de control de Google Cloud que normalmente se migran de una máquina a otra. Durante estas migraciones, Cloud Router podría estar inactivo durante períodos de hasta 60 segundos. Las migraciones normales no provocan el descarte del tráfico.

Cloud Router no se encuentra en la ruta de datos y no actúa como un interruptor de Capa 3, sino como un administrador para la programación de rutas. El enrutamiento se controla mediante el adjunto de VLAN o el túnel de Cloud VPN.

Asegúrate de habilitar el reinicio ordenado en tu dispositivo local de BGP. Con el reinicio ordenado, el tráfico entre las redes no se interrumpe en caso de una falla del dispositivo de Cloud Router o del BGP local, siempre y cuando la sesión de BGP se restablezca dentro del período de reinicio ordenado.

Aparece el mensaje NOTIFICATION_RECEIVED en los registros de Cloud Router

Aparecerá un mensaje NOTIFICATION_RECEIVED en los registros de Cloud Router cuando este reciba un mensaje NOTIFICATION del par de BGP. El mensaje NOTIFICATION es una señal a Cloud Router para indicarle que debe detener la sesión de BGP.

Cuando Cloud Router recibe un mensaje NOTIFICATION de su par de BGP, Cloud Router cierra la conexión de BGP con ese par y quita todas sus rutas aprendidas.

El par de BGP puede enviar mensajes NOTIFICATION por diversos motivos. Por ejemplo, el par podría enviar el mensaje “Tiempo de espera vencido”.

Aparece el mensaje CONFIG_DISABLED en los registros de Cloud Router

Un mensaje CONFIG_DISABLED indica que Cloud Router detuvo de forma intencional la sesión de BGP. Cuando se detiene la sesión de BGP, Cloud Router intenta comunicar de inmediato un estado de error a su par.

Este mensaje puede aparecer debido a cualquiera de las siguientes razones:

• Un usuario inhabilitó la sesión de BGP mediante la API de Cloud Router, la consola de Google Cloud o Google Cloud CLI. Consulta Inhabilita o quita sesiones de BGP.
• Para una sesión de BGP configurada para Cloud VPN, el túnel VPN asociado a la sesión de BGP no estableció un IKE ni una asociación de seguridad secundaria (SA). Consulta Solución de problemas de Cloud VPN para solucionar problemas de conectividad de VPN.
• En una sesión de BGP configurada para Cloud Interconnect, el adjunto de VLAN no está configurado o está en un estado de administrador. Para solucionar el problema aún más, consulta Solución de problemas en la documentación de Cloud Interconnect.
• Para una sesión de BGP habilitada para BFD, el temporizador de detección de control de BFD en el Cloud Router venció. Cuando esto ocurre, se detiene la sesión de BGP. Para obtener más información sobre los estados de la sesión de BFD, consulta Mensajes de diagnóstico de BFD y estados de sesión.

Aparece el mensaje LINK_DOWN en los registros de Cloud Router

Aparecerá un mensaje LINK_DOWN en los registros de Cloud Router cuando el vínculo entre el router perimetral de intercambio de tráfico de Google y tu adjunto de VLAN para Cloud Interconnect esté inactivo. El router de intercambio de tráfico de intercambio de tráfico es un equipo de redes que administra Google dentro de la instalación de colocación en la que aprovisionaste tu conexión de Cloud Interconnect.

El mensaje LINK_DOWN es una señal de que el estado del par de BGP correspondiente está inactivo. Este mensaje se aplica solo a las sesiones de BGP basadas en Cloud Interconnect.

El router local experimenta fluctuación de BGP

Las oscilaciones de BGP pueden deberse a varios problemas, incluidos el mantenimiento de software y los reinicios automatizados de tareas de Cloud Router.

Para obtener detalles sobre los eventos de mantenimiento completados, consulta Identifica eventos de mantenimiento del router. Para obtener detalles sobre otros eventos de Cloud Router, consulta Visualiza los registros y las métricas de Cloud Router.

Un evento de mantenimiento de Cloud Router no indica un problema si el router local está configurado de la siguiente manera:

• El router local puede procesar notificaciones de reinicio ordenado.
• El temporizador de espera del router local debe estar configurado en, al menos, 60 segundos.

Para obtener una descripción general completa de la configuración del temporizador, consulta Administra temporizadores de BGP.

Para obtener ayuda sobre la supervisión de la conectividad, consulta Verifica la conectividad entre el router local y el Cloud Router.

Problemas de autenticación

En las secciones siguientes, se describen problemas que pueden ocurrir con la autenticación MD5.

El estado del par de BGP es MD5_AUTH_INTERNAL_PROBLEM

A veces, el estado de un par de BGP incluye los siguientes valores:

• md5AuthEnabled: true
• statusReason: MD5_AUTH_INTERNAL_PROBLEM

El primer valor indica que configuraste correctamente la autenticación MD5. Sin embargo, el segundo valor, un valor statusReason de MD5_AUTH_INTERNAL_PROBLEM, indica que un error interno impidió que Cloud Router configurara la autenticación MD5. Por ese motivo, el estado de la sesión de BGP es DOWN. En este caso, no necesitas hacer nada. Cloud Router intenta recuperar y recuperar la sesión. Si la sesión tarda más de una hora en crear una copia de seguridad, comunícate con el equipo de Asistencia de Google Cloud.

Para obtener información sobre cómo verificar el estado del par de intercambio de tráfico, consulta Verifica el estado de la autenticación.

Cloud Router y el par usan diferentes claves MD5

Cuando configuras la autenticación MD5, el Cloud Router y su router de intercambio de tráfico deben usar la misma clave de autenticación secreta. Si se produce una discrepancia, los dos routers no se podrán comunicar. Si crees que hubo una discrepancia, puedes actualizar la clave que usa Cloud Router. Para obtener información sobre cómo realizar este cambio, consulta Actualiza la clave de autenticación.

Si no estás seguro de si hubo una discrepancia de claves, busca soluciones para la solución de problemas en la documentación del router de intercambio de tráfico. Muchos routers tienen registros que indican si hay o no una discrepancia de claves.

La clave MD5 generada automáticamente es más larga de lo que el dispositivo local puede admitir

Puedes generar automáticamente la clave MD5 si haces clic en Generar y copiar en la consola de IU. Para obtener más información, consulta Agrega autenticación a una sesión existente. Si la clave MD5 generada automáticamente es más larga de lo que puede admitir tu entorno local, puedes configurar la clave MD5 manualmente a través de la IU, gcloud o API.

Problemas de procesamientos de ruta

En esta sección, se enumeran algunos problemas comunes de procesamiento de rutas.

Se le está dando prioridad a las rutas locales sin un valor de MED

Si Cloud Router recibe una ruta local que no tiene un valor MED, Cloud Router sigue el comportamiento descrito en RFC 4271. Cloud Router trata la ruta con la prioridad más alta, al suponer el valor MED más bajo posible (0).

No puedes enviar y aprender valores MED a través de una conexión de interconexión de socio de capa 3

Si utilizas una conexión de interconexión de socio en la que un proveedor de servicios de capa 3 se encarga del BGP, Cloud Router no puede aprender los valores MED de tu router local ni enviar valores MED a ese router. Esto se debe a que los valores MED no pueden pasar por sistemas autónomos. En este tipo de conexión, no puedes establecer prioridades de ruta para las rutas que anuncia Cloud Router a tu router local. Además, no puedes establecer prioridades de ruta para las rutas que anuncia tu router local a la red de VPC.

Algunos prefijos IPv4 o IPv6 locales no están disponibles

Si algunos prefijos IPv4 o IPv6 locales no están disponibles, verifica las cuotas y los límites o los rangos de subredes superpuestos.

Las rutas aprendidas personalizadas están inactivas

Si configuraste una ruta aprendida personalizada, pero experimentas una pérdida de tráfico, errores de ping o cualquier otro problema relacionado con la ruta, haz lo siguiente:

• Asegúrate de que la ruta esté configurada correctamente en la sesión de BGP.

• Asegúrate de que la sesión de BGP esté activa.

Para obtener más información, consulta Verifica el estado de las rutas aprendidas personalizadas.

Comprueba cuotas y límites

Comprueba que los Cloud Router no hayan superado los límites para las rutas aprendidas. A fin de ver la cantidad de rutas aprendidas para un Cloud Router, visualiza su estado.

Para obtener información sobre los límites, los mensajes de registro relacionados y las métricas, y cómo resolver problemas, consulta la siguiente tabla.

Límites	Orientación
Acerca de los límites	Hay dos límites para las rutas aprendidas. Estos límites no definen directamente una cantidad máxima de rutas aprendidas. En cambio, definen la cantidad máxima de prefijos de destino únicos: La cantidad máxima de destinos únicos de las rutas aprendidas que todos los Cloud Router de la misma región pueden aplicar a las subredes en una región determinada La cantidad máxima de destinos únicos de las rutas aprendidas que los Cloud Routers de diferentes regiones pueden aplicar a las subredes en una región específica El primer límite es relevante, sin importar el modo de enrutamiento dinámico que usa la red de VPC. El segundo límite solo tiene sentido si la red de VPC usa el modo de enrutamiento dinámico global. Para obtener más información sobre los límites de Cloud Router, consulta Límites.	Rutas aprendidas	La cantidad máxima de destinos únicos de las rutas aprendidas que todos los Cloud Routers de la misma región aplican a las subredes en la misma región.
Registros	Cuando encuentres cualquiera de estos límites, verás un mensaje limit-exceeded en Cloud Logging. Si deseas obtener información sobre cómo crear una consulta avanzada para visualizar este mensaje, lee la consulta relacionada en la documentación de registro de Cloud Router.
Métricas	También puedes usar las siguientes métricas para comprender tus límites y el uso actuales. Estas métricas están precedidas por router.googleapis.com/dynamic_routes/learned_routes/: used_unique_destinations La cantidad de destinos únicos que se encuentran en uso en esta red de VPC. Si el enrutamiento dinámico global está habilitado, esta métrica muestra el uso global y regional. unique_destinations_limit La cantidad de destinos únicos que pueden anunciarse en esta red de VPC. Si el enrutamiento dinámico global está habilitado, esta métrica muestra los límites globales y regionales. any_dropped_unique_destinations Indica si esta red de VPC tiene destinos descartados debido a que excedieron uno o ambos límites de cuota de ruta. Estas métricas están disponibles a través del recurso supervisado gce_network_region. Para obtener más información sobre las métricas de Cloud Router y cómo verlas, consulta la sección Métricas en Visualiza registros y métricas.
Resuelve problemas	Puedes hacer lo siguiente para resolver problemas de límite de ruta. En situaciones en las que el número de rutas excede los límites en una gran cantidad, es conveniente realizar ambas acciones: Configurar los router locales para agregar las rutas que exportas, de modo que esas rutas anuncien menos destinos (CIDR). Comunicarse con el equipo de asistencia. El equipo de asistencia puede trabajar contigo para restablecer los Cloud Router, si es necesario, o a fin de aumentar los límites.

Verifica rangos de subred superpuestos

Asegúrate de que los rangos de direcciones IPv4 e IPv6 para una subred de VPC no se superpongan por completo con las rutas anunciadas desde tu red local. La superposición de rangos de IPv4 e IPv6 puede hacer que las rutas se descarten. Esto también se aplica a las rutas estáticas personalizadas que se superponen con una ruta dinámica que aprendió Cloud Router. Los prefijos que reciben los Cloud Routers se ignoran (no se crean rutas dinámicas personalizadas) en los siguientes casos:

• Cuando el prefijo aprendido coincide exactamente con un rango de direcciones IPv4 o IPv6 principal o secundario de una subred en la red de VPC.
• Cuando el prefijo aprendido coincide exactamente con el destino de una ruta estática personalizada en la red de VPC.
• Cuando el prefijo aprendido es más específico (tiene una máscara de subred más larga) que un rango de direcciones IPv4 o IPv6 principal o secundario de una subred en la red de VPC.
• Cuando el prefijo aprendido es más específico (tiene una máscara de subred más larga) que el destino de una ruta estática personalizada en la red de VPC.

Para obtener más información, consulta Aplicabilidad y orden de rutas en la descripción general de Rutas de VPC.

Las rutas aprendidas de una red local no se propagan a otras redes de VPC

Un solo Cloud Router no puede volver a anunciar rutas aprendidas de un par de BGP a otros pares de BGP, incluido a Cloud Router en otras redes de VPC.

Por ejemplo, en la siguiente topología de concentrador y radio, Cloud Router no admite anuncios de ruta entre varias redes de VPC.

Si deseas revisar las recomendaciones para las topologías de red en Google Cloud, consulta Prácticas recomendadas y arquitecturas de referencia para el diseño de VPC.

Además, para compilar y administrar topologías de concentrador y radio en Google Cloud, puedes usar Network Connectivity Center.

Los prefijos no se importan a las sesiones de BGP (anteposición de la ruta de acceso de AS)

La anteposición de la ruta de acceso de AS es irrelevante para el plano de control y la red de VPC. La longitud de la ruta de acceso de AS solo se considera dentro de cada tarea de software de Cloud Router, como se describe en las siguientes situaciones.

Si una sola tarea de software de Cloud Router aprende el mismo destino de dos o más sesiones de BGP:

• La tarea de software elegirá la sesión de BGP de siguiente salto que tiene la longitud de ruta de acceso de AS más corta.
• La tarea de software enviará información de destino, siguiente salto y MED al plano de control de Cloud Router.
• El plano de control usará la información para crear una o más rutas candidatas. La prioridad base de cada candidato se configura en la MED recibida.

Si dos o más tareas de software de Cloud Router aprenden el mismo destino de dos o más sesiones de BGP, se presentarán las siguientes situaciones:

• Cada tarea de software seleccionará la sesión de BGP de siguiente salto que tiene la longitud de ruta de acceso de AS más corta.
• Cada tarea de software enviará información de destino, siguiente salto y MED al plano de control de Cloud Router.
• El plano de control usará la información para crear dos o más rutas candidatas. La prioridad base de cada candidato se configura en la MED recibida.

Luego, el plano de control de Cloud Router instalará una o más rutas dinámicas en la red de VPC, según el modo de enrutamiento dinámico de la red de VPC. En el modo de enrutamiento dinámico global, la prioridad de cada ruta dinámica regional se ajusta en regiones distintas a la región de Cloud Router. Para obtener detalles sobre cómo Google Cloud selecciona una ruta, consulta Orden de enrutamiento en la documentación de VPC.

En una VM con varias NIC, cada NIC obtiene rutas distintas

Este es el comportamiento esperado. Debes configurar cada controlador de interfaz de red (NIC) para una VM con varias NIC en una red de VPC única. Cada Cloud Router crea rutas dinámicas personalizadas en una red de VPC. Por lo tanto, las rutas aprendidas por un Cloud Router solo son aplicables a una interfaz de red de una VM multi-NIC. Los paquetes enviados desde la interfaz de red de una VM usan solo las rutas aplicables a la red de VPC para esa interfaz.

El tráfico se enruta de manera asimétrica

El tráfico se enruta de manera asimétrica cuando el tráfico de entrada y salida utiliza diferentes rutas. Por ejemplo, es posible que tengas dos túneles de Cloud VPN. El tráfico de salida de tu red de VPC puede usar el primer túnel, mientras que el tráfico de entrada a tu red de VPC puede usar el segundo túnel.

El enrutamiento asimétrico ocurre cuando la ruta preferida anunciada por el router local y el Cloud Router no se alinean. Para el tráfico que entra a tu red de VPC, usa Cloud Router a fin de configurar las prioridades de ruta anunciadas. Para obtener más información, consulta Rutas aprendidas.

Consulta la documentación de tu dispositivo para conocer cómo funciona la mejor selección de ruta de BGP, ya que otros atributos (como el ID del router o el ASN de origen) pueden afectarlo. Por ejemplo, consulta los siguientes recursos:

• Cisco: Selección de la mejor ruta de BGP
• Fortinet: Manual de BGP
• Juniper: Selección de la ruta de BGP

Para el tráfico de salida de tu red de VPC, verifica el valor MED de tu router local.

La ruta predeterminada (0.0.0.0/0 o ::/0) está enviando tráfico a la puerta de enlace de Internet

Cuando creas una red de VPC, Google Cloud crea de forma automática una ruta predeterminada con una prioridad de 1000 cuyo siguiente salto es la puerta de enlace de Internet predeterminada.

Solo las VM que cumplan con requisitos de acceso a Internet puedes usar las rutas con el siguiente salto de la puerta de enlace de Internet predeterminada.

El uso de rutas con un siguiente salto de la puerta de enlace de Internet predeterminada también es necesario para acceder a los servicios y las API de Google, por ejemplo, cuando se usa el Acceso privado a Google.

En los siguientes ejemplos, se describen situaciones que pueden bloquear el tráfico a la Internet o a los servicios y las API de Google:

• Cuando borras la ruta predeterminada que se creó de forma automática (la ruta con el siguiente salto de la puerta de enlace de Internet predeterminada).
• Cuando reemplazas la ruta predeterminada que se creó de forma automática y el siguiente salto de la ruta de reemplazo es diferente de la puerta de enlace de Internet predeterminada.
• Cuando un Cloud Router aprende una ruta con destino 0.0.0.0/0 o ::/0 que tiene una prioridad más alta que la ruta predeterminada que se creó de forma automática.

El siguiente salto no está claro

Para obtener información sobre cómo funciona el algoritmo de selección de rutas de Google Cloud, consulta Aplicabilidad y orden en la documentación de Rutas de VPC.

El tráfico IPv6 no se enruta

Si tienes dificultades para conectarte a los hosts IPv6, haz lo siguiente:

1. Verifica que las rutas IPv4 se anuncien correctamente. Si verificas el tráfico de IPv4 primero, puedes descartar problemas generales de red. Si las rutas IPv4 no se anuncian, realiza los procedimientos generales para la solución de problemas que se indican en este documento.
2. Inspecciona las reglas de firewall para asegurarte de permitir el tráfico IPv6 entre tu red de VPC y tu red local.
3. Verifica que no tengas rangos de subred IPv6 superpuestos en tu red de VPC y en tu red local. Consulta Verifica rangos de subred superpuestos.
4. Determina si superaste las cuotas y los límites de tus rutas aprendidas. Si superaste la cuota de las rutas aprendidas, los prefijos IPv6 se descartan antes de los prefijos IPv4. Consulta Verifica cuotas y límites.
5. Verifica que todos los componentes que requieren configuración IPv6 se hayan configurado de forma correcta.
   • La subred de VPC está configurada para usar el tipo de pila IPV4_IPV6.
   • La subred de VPC tiene --ipv6-access-type configurado como INTERNAL.
   • Las VM de Compute Engine en la subred se configuran con direcciones IPv6.
   • La puerta de enlace de VPN con alta disponibilidad o el adjunto de VLAN para la interconexión dedicada están configurados a fin de usar el tipo de pila IPV4_IPV6.
   • El par de BGP está habilitado para usar IPv6 y se configuraron las direcciones de siguiente salto IPv6 correctas para la sesión de BGP.
     • Para ver el estado y las rutas de Cloud Router, consulta Visualiza el estado y las rutas del Cloud Router.
     • Para ver la configuración de la sesión de BGP, consulta Visualiza la configuración de la sesión de BGP.

¿Qué sigue?

• Si deseas obtener más información para usar Cloud Logging a fin de supervisar Cloud Router, consulta Visualiza registros y métricas.
• Si deseas obtener asistencia adicional, consulta Obtén asistencia.