AWS <> fortigate BGP 연동 시 AWS에서 port 179 ack 들어오지 않음

0

IKEv2로 변경 후에 갑자기 BGP가 정상으로 동작하지 않음 syn/Syn+ack 까지는 보이나 aws 측으로부터 ack 이 들어오지않고, neighbor로 ping 실패

상세 원인 파악할 수 있을까요?

gefragt vor 3 Monaten39 Aufrufe
1 Antwort
0

이 문제는 여러 가지 원인으로 인해 발생할 수 있습니다. 주요 가능성과 확인해야 할 사항은 다음과 같습니다:

  1. BGP 설정 문제: AWS와 Fortigate 간의 BGP 설정이 올바르게 구성되었는지 확인해야 합니다. 특히 IKEv2로 변경한 후 BGP 설정이 제대로 업데이트되었는지 확인이 필요합니다.

  2. 방화벽 규칙: AWS 측에서 포트 179에 대한 인바운드 트래픽을 허용하는지 확인해야 합니다. Security Group이나 Network ACL에서 이 포트를 차단하고 있을 수 있습니다.

  3. 라우팅 문제: VPN 연결을 통한 라우팅이 올바르게 설정되었는지 확인이 필요합니다. 특히 IKEv2로 변경 후 라우팅 테이블이 올바르게 업데이트되었는지 확인해야 합니다.

  4. MTU 불일치: AWS와 Fortigate 간의 MTU 설정이 일치하지 않아 패킷 분할 문제가 발생할 수 있습니다. MTU 크기를 확인하고 필요한 경우 조정해야 합니다.

  5. BGP 타이머 설정: BGP keepalive 및 hold 타이머가 양쪽에서 일치하는지 확인해야 합니다. 타이머 불일치로 인해 세션이 끊어질 수 있습니다.

  6. TCP 연결 문제: SYN/SYN+ACK는 보이지만 ACK가 오지 않는다는 점은 TCP 연결 설정에 문제가 있음을 시사합니다. 네트워크 경로상의 문제나 방화벽 설정을 확인해야 합니다.

  7. 멀티홉 BGP: AWS는 기본적으로 External BGP (EBGP) 멀티홉을 지원하지 않습니다. BGP 피어가 직접 연결되어 있는지 확인해야 합니다. TTL 값을 1로 설정하여 ping 테스트를 수행해 볼 수 있습니다.

  8. VPN 터널 상태: IKEv2로 변경 후 VPN 터널이 제대로 설정되었는지 확인해야 합니다. 터널이 다운되었거나 불안정한 경우 BGP 세션 설정에 영향을 줄 수 있습니다.

이러한 가능성들을 체계적으로 확인하고 문제를 해결해 나가는 것이 좋습니다. 필요한 경우 AWS 지원팀이나 Fortigate 기술 지원팀의 도움을 받는 것도 고려해볼 수 있습니다.
Sources
Troubleshoot BGP connection failure over AWS VPN or AWS Direct Connect | AWS re:Post
BGP Negotiation over AWS Site-to-Site VPN and Direct Connect: Troubleshooting Strategies for Efficient Networking | AWS re:Post

profile picture
beantwortet vor 3 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen