Direct Connect 接続でトラフィックを渡したり、Cisco Catalyst に接続したりできない理由を教えてください。

所要時間2分
0

AWS Direct Connect 接続で MACsec が切断されます。Cisco Catalyst (IOS XE ソフトウェア、バージョン 17.x.x) の接続ポートを再起動しないとトラフィックを渡すことができません。

簡単な説明

Direct Connect 接続が完了すると、接続が失敗し、次の問題のいずれかが発生します。

  • レイヤー 1 は「Up」であり、光ファイバー信号強度は良好です (ConnectionLightLevelRx および ConnectionLightLevelTx)。
  • カスタマーゲートウェイデバイスは、Direct Connect エンドポイントから ARP 要求を受信し、処理し、応答します。
  • カスタマーゲートウェイデバイスの ARP テーブルは、Direct Connect エンドポイントの MAC アドレスと IPv4 アドレスのエントリを示しています。
  • リンクアグリゲーショングループ (LAG) のメンバーである接続では、802.3ad リンクアグリゲーション制御プロトコル (LACP) パケットが破損し、ネゴシエーションが失敗します。
  • MACSec MKA セッションネゴシエーションでは、「保護された」セッションが成功したことを示しています。
  • ボーダーゲートウェイプロトコル (BGP) ピア間には IPv4 接続がなく、セッションの確立に失敗します。
  • MACsec を無効にすると、ARP 解決が完了し、IPv4 接続が復元され、ピア間の BGP セッションネゴシエーションが再開されます。

解決方法

カスタマーゲートウェイデバイスと Direct Connect の設定を確認する

Direct Connect 接続の暗号化モード、暗号スイート、関連する MACsec 設定キーが、オンプレミスのカスタマーゲートウェイ設定と一致していることを確認します。Direct Connect コンソールまたは AWS コマンドラインインターフェイス (AWS CLI) を使用して、Direct Connect 接続と LAG の暗号化モードを確認します。

Direct Connect コンソール

次の手順を実行します。

  1. Direct Connect コンソールを開きます。
  2. ナビゲーションペインで、[接続] または [LAG] を選択します。
  3. 接続 (dxcon-11aa22bb) または LAG (dxlag-11aa22bb) を選択します。
  4. [一般設定] タブで、[暗号化モード] フィールドを確認します。暗号化モードは、カスタマーゲートウェイデバイスの設定モードと一致する必要があります。

AWS CLI

注: AWS CLI のコマンドの実行時にエラーが発生する場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

describe-connections コマンドを実行して、出力で EncryptionMode フィールドの値を確認します。

aws directconnect describe-connections

サポートされている暗号化モードは、no_encryptshould_encryptmust_encrypt です。カスタマーゲートウェイデバイスの設定は、暗号化モードと一致している必要があります。

デバイスの暗号化モードを更新する

2 つのエンドポイントで暗号化モードが一致していない場合は、Direct Connect コンソールまたは AWS CLI を使用して暗号化モードを更新します。

Direct Connect コンソール

次の手順を実行します。

  1. Direct Connect コンソールを開きます。
  2. ナビゲーションペインで、[接続] または [LAG] を選択します。
  3. 接続 (dxcon-11aa22bb) または LAG (dxlag-11aa22bb) を選択します。
  4. [一般設定] タブで [編集] を選択します。
  5. [接続設定] タブの [暗号化モード] で、ドロップダウンを展開します。暗号化モードを選択し、[接続の編集] を選択します。

AWS CLI

encryptionMode の値を更新するには、update-connection コマンドを実行します。

aws directconnect update-connection --connection-id dxcon-11aa22bb --encryption-mode must_encrypt

注: 上記の例において、dxcon-11aa22bb はお使いの LAG ID で、must_encrypt はお使いの暗号化モードで置き換えます。

MACsec を有効にすると、Direct Connect エンドポイントがキーサーバになるように設定されます。カスタマーエンドポイントをクライアントとして設定するには、キーサーバーの優先順位を Direct Connect エンドポイントよりも大きい値に設定します。カスタマーゲートウェイデバイスの MACsec キーサーバー優先度は、ゼロ (0) に設定しないでください。

Cisco のカスタマーゲートウェイデバイスで MACsec 暗号化を設定するときは、ssci-based-on-sci オプションを有効にします。このオプションにより、Cisco Catalyst (IOS XE ソフトウェア、バージョン 17.x.x) は、Cisco 以外のデバイスと IOS XE 以外のデバイスで動作するようになります。MACsec 暗号化の詳細については、Cisco のウェブサイトで「MACsec 暗号化」を参照してください。

設定を適用したら、MACsec が有効になっている Catalyst インターフェイスで shutdown および no shutdown コマンドを実行してインターフェイスバウンスを行います。これらのコマンドはリンクをリセットし、接続を復元します。

関連情報

AWS Direct Connect 接続に MACsec セキュリティを追加する

AWS Direct Connect のトラフィック暗号化オプション

MACsec 暗号化の前提条件 (Cisco のウェブサイト)

AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ