我的 VPC 已连接到 Cisco ASA,隧道在 AWS 控制台中显示为 UP。
正在起作用的是:
- 思科方面的工程师已成功 ping 通我私有 10.5.0.0/17 子网范围内的 EC2 实例。
- Cisco 端 SLA 正在运行并且正在 ping。
- 隧道已通。
不起作用的是:
- 我无法 ping 通其子网范围 192.168.0.0/21 内的网络。
AWS 配置:
子网的路由表:
Destination Target Status Propagated
0.0.0.0/0 nat-000b0728fc3ee1267 Active No
10.2.0.0/16 pcx-0901efe0ec72e2727 Active No
10.5.0.0/16 local Active No
192.168.0.0/21 vgw-014d07635177a0b23 Active Yes
AWS 实例的安全组:入站:
Type Protocol Port Range Source
All IPv4 All N/A 192.168.0.0/21
AWS 实例的安全组:出站:
Type Protocol Port Range Source
All IPv4 All N/A 0.0.0.0/0
网络 ACL 出站:
Rule number Type Protocol Port Destination Allow/Deny
100 All traffic All All 0.0.0.0/0 Allow
200 All traffic All All 192.168.0.0/21 Allow
* All traffic All All 0.0.0.0/0 Deny
网络 ACL 入站:
Rule number Type Protocol Port Source Allow/Deny
100 All traffic All All 0.0.0.0/0 Allow
200 All traffic All All 192.168.0.0/21 Allow
* All traffic All All 0.0.0.0/0 Deny
VPN 站点到站点静态路由选项卡:
IP prefixes State
192.168.0.0/21 Available
隧道详情:
Routing Type: Routing Static
Local IPv4 network CIDR: 192.168.0.0/21
Remote IPv4 network CIDR: 10.5.0.0/17
安全组出站:
Name Security group rule ID IP version Type Protocol Port range Destination
IPv4 All traffic All All 0.0.0.0/0
安全组入站:
Name Security group rule ID IP version Type Protocol Port Source
IPv4 All traffic All All 192.168.0.0/21
简而言之:从我的场所 EC2 实例 IP 10.5.55.214 出站的流量似乎从未到达 Cisco 设备(或至少这是暗示的)。
我进行过的其他测试:
可达性分析器:可达性
Name. Path ID. Reachability status. Source. Destination. Destination port. Protocol
192.168.0.28 nip-0d2801c29eef99582 Reachable i-0a11d82798368c646 vgw-014d07635177a0b2
EC2 上的跟踪路由:
traceroute to 192.168.0.28 (192.168.0.28), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * *......