AWS <> fortigate BGP 연동 시 AWS에서 port 179 ack 들어오지 않음

0

IKEv2로 변경 후에 갑자기 BGP가 정상으로 동작하지 않음 syn/Syn+ack 까지는 보이나 aws 측으로부터 ack 이 들어오지않고, neighbor로 ping 실패

상세 원인 파악할 수 있을까요?

posta 4 mesi fa40 visualizzazioni
1 Risposta
0

이 문제는 여러 가지 원인으로 인해 발생할 수 있습니다. 주요 가능성과 확인해야 할 사항은 다음과 같습니다:

  1. BGP 설정 문제: AWS와 Fortigate 간의 BGP 설정이 올바르게 구성되었는지 확인해야 합니다. 특히 IKEv2로 변경한 후 BGP 설정이 제대로 업데이트되었는지 확인이 필요합니다.

  2. 방화벽 규칙: AWS 측에서 포트 179에 대한 인바운드 트래픽을 허용하는지 확인해야 합니다. Security Group이나 Network ACL에서 이 포트를 차단하고 있을 수 있습니다.

  3. 라우팅 문제: VPN 연결을 통한 라우팅이 올바르게 설정되었는지 확인이 필요합니다. 특히 IKEv2로 변경 후 라우팅 테이블이 올바르게 업데이트되었는지 확인해야 합니다.

  4. MTU 불일치: AWS와 Fortigate 간의 MTU 설정이 일치하지 않아 패킷 분할 문제가 발생할 수 있습니다. MTU 크기를 확인하고 필요한 경우 조정해야 합니다.

  5. BGP 타이머 설정: BGP keepalive 및 hold 타이머가 양쪽에서 일치하는지 확인해야 합니다. 타이머 불일치로 인해 세션이 끊어질 수 있습니다.

  6. TCP 연결 문제: SYN/SYN+ACK는 보이지만 ACK가 오지 않는다는 점은 TCP 연결 설정에 문제가 있음을 시사합니다. 네트워크 경로상의 문제나 방화벽 설정을 확인해야 합니다.

  7. 멀티홉 BGP: AWS는 기본적으로 External BGP (EBGP) 멀티홉을 지원하지 않습니다. BGP 피어가 직접 연결되어 있는지 확인해야 합니다. TTL 값을 1로 설정하여 ping 테스트를 수행해 볼 수 있습니다.

  8. VPN 터널 상태: IKEv2로 변경 후 VPN 터널이 제대로 설정되었는지 확인해야 합니다. 터널이 다운되었거나 불안정한 경우 BGP 세션 설정에 영향을 줄 수 있습니다.

이러한 가능성들을 체계적으로 확인하고 문제를 해결해 나가는 것이 좋습니다. 필요한 경우 AWS 지원팀이나 Fortigate 기술 지원팀의 도움을 받는 것도 고려해볼 수 있습니다.
Sources
Troubleshoot BGP connection failure over AWS VPN or AWS Direct Connect | AWS re:Post
BGP Negotiation over AWS Site-to-Site VPN and Direct Connect: Troubleshooting Strategies for Efficient Networking | AWS re:Post

profile picture
con risposta 4 mesi fa

Accesso non effettuato. Accedi per postare una risposta.

Una buona risposta soddisfa chiaramente la domanda, fornisce un feedback costruttivo e incoraggia la crescita professionale del richiedente.

Linee guida per rispondere alle domande