AWS Direct Connect에 연결되어 있습니다. Direct Connect 게이트웨이는 AWS Transit Gateway와 연결되어 있습니다. Direct Connect 연결에 대한 백업으로 Site-to-Site VPN을 생성했지만 비대칭 라우팅 문제가 있습니다.
간략한 설명
가상 프라이빗 네트워크(VPN) 연결을 Direct Connect에 대한 백업으로 사용하는 경우 비대칭 라우팅 문제가 발생할 수 있습니다. 비대칭 라우팅은 네트워크 트래픽이 한 연결을 통해 들어오고 다른 연결을 통해 나갈 때 발생합니다. 수신된 트래픽이 상태 저장 테이블에 기록되지 않은 경우 방화벽과 같은 네트워크 디바이스가 패킷을 삭제할 수 있습니다.
해결 방법
AWS에서 네트워크로의 아웃바운드 트래픽
AWS에서 네트워크로의 아웃바운드 트래픽에 대해 다음 모범 사례를 사용하세요.
- Border Gateway Protocol(BGP)를 사용하여 동적 라우팅으로 VPN을 구성합니다.
- 디바이스가 VPN 및 Direct Connect를 사용하여 온프레미스에서 AWS로 동일하거나 덜 구체적인 접두사를 알리는지 확인합니다. 예를 들어 10.0.0.0/16은 10.0.0.0/24보다 덜 구체적입니다.
- 접두사 길이가 동일한 값의 경우 AWS는 VPN 연결을 통한 Direct Connect에 대한 기본 설정 값이 더 높은 네트워크로 온프레미스 트래픽을 전송합니다. AWS Transit Gateway의 경우 동적으로 전파되는 Direct Connect 게이트웨이 경로가 아닌 VPN 연결을 가리키는 정적 경로를 사용합니다.
- 동적 VPN을 백업으로 사용하여 배포하는 Direct Connect의 경우 AS PATH 접두사를 사용하는 것이 가장 좋은 방법은 아닙니다. 접두사가 동일한 경우 AS PATH 앞에 추가되는 길이에 관계없이 Direct Connect 경로를 사용합니다.
자세한 내용은 라우팅을 참조하세요.
네트워크에서 AWS로의 인바운드 트래픽
네트워크에서 AWS로의 인바운드 트래픽에 대해 다음 모범 사례를 사용하세요.
- Direct Connect 연결을 통해 반환 트래픽을 전송하도록 네트워크 디바이스 기본 설정을 구성합니다.
- AWS에서 네트워크 디바이스로 보급되는 접두사가 Direct Connect 및 VPN에 대해 동일한 경우 BGP 로컬 기본 설정 속성을 사용합니다. BGP 로컬 기본 설정 속성은 디바이스가 Direct Connect 연결을 통해 AWS로 아웃바운드 트래픽을 전송하도록 강제합니다. Direct Connect 경로를 더 높은 로컬 기본 설정 값으로 설정하고 VPN에 대해 더 낮은 기본 설정을 설정합니다. 예를 들어 Direct Connect의 경우 로컬 기본 설정을 200으로, VPN의 경우 100으로 설정합니다.
중요: VPN을 통해 보급되는 경로보다 덜 구체적이고 요약된 Direct Connect 허용 접두사의 경우 네트워크 디바이스는 VPN을 통해 수신된 경로를 선호합니다.
다음 예제 시나리오 참조:
- Transit Gateway 전파 경로는 VPC-A CIDR 10.0.0.0/16, VPC-B CIDR 10.1.0.0/16 및 VPC-C 10.2.0.0/16입니다.
- 20개의 접두사 할당량을 수용하기 위해 Direct Connect 게이트웨이에서 허용되는 접두사의 요약된 접두사는 10.0.0.0/14입니다.
VPN을 통한 각 Virtual Private Cloud(VPC)에 대해 Direct Connect는 Direct Connect 게이트웨이 접두사 10.0.0.0/14를 알리고 VPN 전송 게이트웨이는 /16 CIDR을 알립니다.
이 문제를 해결하려면 요약된 Direct Connect 게이트웨이 라우팅을 전송 게이트웨이 라우팅 테이블에 삽입합니다. 예를 들어, VPC 연결을 가리키는 정적 경로 10.0.0.0/14를 추가하여 Transit Gateway가 VPN을 통해 요약된 네트워크를 알릴 수 있도록 합니다. 네트워크 디바이스는 Direct Connect 및 VPN에서 동일한 접두사를 수신합니다. 그런 다음 수신된 특정 접두사를 필터링하도록 게이트웨이를 구성합니다. VPN 피어의 라우팅 테이블에 요약된 접두사만 설치되어 있는지 확인합니다. 공급업체 사양에 따라 route-maps, prefix-lists, router-filter-lists와 같은 경로를 필터링하는 다양한 옵션이 있습니다.
네트워크에서 AWS로의 트래픽은 Transit Gateway 라우팅 테이블에 도달합니다. 게이트웨이는 조회를 수행하여 각 VPC 연결에서 가장 구체적인 경로를 선택합니다.
다음 예시를 참고하세요.
- VPC-A CIDR을 가리키는 연결 A는 10.0.0.0/16입니다.
- VPC-B CIDR을 가리키는 연결 B는 10.1.0.0/16입니다.
- VPC-C CIDR을 가리키는 연결 C는 10.2.0.0/16입니다.
관련 정보
경로 우선순위
Transit Gateway를 사용하여 Direct Connect 및 VPN 장애 조치를 구성하려면 어떻게 해야 하나요?