Direct Connect 및 VPN 장애 조치 문제를 해결하려면 어떻게 해야 하나요?

해결 방법

사용 중인 VPN에 따라 AWS Direct Connect 및 VPN 장애 조치 문제를 해결합니다.

• 가상 게이트웨이 기반 VPN
• AWS Transit Gateway 기반 VPN

가상 게이트웨이 기반 VPN

AWS에서 온프레미스로 이동하는 트래픽은 동적 또는 정적 VPN 연결보다 직접 연결을 선호합니다. 다음과 같은 이유로 트래픽이 전환되지 않을 수 있습니다.

**BGP 기반 VPN **

• 고객 게이트웨이는 VPN 터널의 BGP 세션에서 온 프레미스 접두사를 광고하지 않습니다.
• 고객 게이트웨이는 VPN BGP 세션을 통해 광고되는 접두사를 필터링하고 있습니다.
• 방화벽 정책은 AWS와 온프레미스 간의 인바운드 또는 아웃바운드 트래픽을 허용하지 않습니다.
• 두 터널이 모두 연결된 VPN 연결(Active/Active)의 경우 고객 게이트웨이가 비대칭 라우팅을 지원하는지 확인합니다. 동일한 접두사를 광고하는 경우 AWS는 송신 터널을 임의로 선택합니다. 자세한 내용은 터널 B보다 터널 A를 선호하도록 사이트 간 VPN 연결을 구성하려면 어떻게 하나요?를 참조하세요.
• AWS 네트워크의 고정 경로는 BGP 경로를 사용하는 대신 Direct Connect 피어 게이트웨이를 가리킵니다.

**고정 VPN **

• VPN 연결에는 VPN 연결 경로 아래에 추가된 온프레미스 네트워크에 대한 고정 경로가 없습니다.
• 고객 게이트웨이에는 터널 인터페이스를 가리키는 AWS CIDR에 대한 고정 경로가 없습니다. AWS 네트워크에 고정 경로가 있는 경우 해당 경로가 올바른 터널 인터페이스를 가리키고 있는지 확인하십시오. 정책 기반 VPN을 사용하는 경우 정책이 AWS 및 온프레미스 네트워크와 일치하는지 확인합니다.
• 방화벽 정책은 AWS와 온프레미스 간의 인바운드 또는 아웃바운드 트래픽을 허용하지 않습니다.
• 두 터널이 모두 연결된 VPN 연결(Active/Active)의 경우 고객 게이트웨이가 비대칭 라우팅을 지원하는지 확인합니다. 동일한 접두사를 광고하는 경우 AWS는 송신 터널을 임의로 선택합니다. 자세한 내용은 터널 B보다 터널 A를 선호하도록 사이트 간 VPN 연결을 구성하려면 어떻게 하나요?를 참조하세요.

**가상 프라이빗 게이트웨이 **

가상 프라이빗 게이트웨이에서 종료되는 Direct Connect의 백업용 VPN의 경우 다음을 확인합니다.

• 동적 기반 VPN의 경우 VPN 및 Direct Connect를 통해 동일한 접두사를 광고합니다. AWS는 Direct Connect를 선호합니다. 온프레미스 디바이스의 경우 AWS로 향하는 송신 경로로 Direct Connect를 선호하는지 확인합니다.
• 고정 VPN의 경우 고객 게이트웨이가 Direct Connect를 통해 알리는 경로와 동일한 고정 경로를 온프레미스 네트워크에 사용합니다. 가상 프라이빗 게이트웨이는 온프레미스로의 송신 경로로 Direct Connect를 선호합니다. Amazon Virtual Private Cloud(Amazon VPC) CIDR에 대한 보다 구체적인 경로를 설정해야 합니다. 고객 게이트웨이의 고정 경로는 BGP 경로보다 지표가 낮습니다.

참고: 가상 프라이빗 게이트웨이 기반 VPN의 경우 100과 200의 MED 값을 전송하세요. 수신된 경로에 적용된 가져오기 필터가 없는 경우 고객 게이트웨이는 MED 값이 0이므로 Direct Connect를 선호합니다.

Transit Gateway기반 VPN

Transit Gateway에 연결된 Direct Connect는 Direct Connect 게이트웨이를 활용하며 최대 200개의 접두사를 허용합니다. 동적 VPN의 경우 Transit Gateway는 VPN 연결과 연결된 Transit Gateway 라우팅 테이블을 기반으로 경로를 광고합니다. 또한 고객 게이트웨이는 VPN 연결을 통해 특정 접두사를 수신하고 VPN 터널에서 AWS 접두사를 라우팅하는 것을 선호합니다.

다음과 같은 이유로 트래픽이 전환되지 않을 수 있습니다.

**BGP 기반 VPN **

• 고객 게이트웨이는 VPN 터널의 BGP 세션에서 온 프레미스 접두사를 광고하지 않습니다.
• 고객 게이트웨이는 VPN BGP 세션을 통해 광고되는 접두사를 필터링하고 있습니다.
• 트래픽 소스와 연결된 Transit Gateway 라우팅 테이블입니다.
• 방화벽 정책은 AWS와 온프레미스 간의 인바운드 또는 아웃바운드 트래픽을 허용하지 않습니다.
• 두 터널이 모두 연결된 VPN 연결(Active/Active)의 경우 고객 게이트웨이가 비대칭 라우팅을 지원하는지 확인합니다. 동일한 접두사를 광고하는 경우 AWS는 송신 터널을 임의로 선택합니다. 자세한 내용은 터널 B보다 터널 A를 선호하도록 사이트 간 VPN 연결을 구성하려면 어떻게 하나요?를 참조하세요.
• AWS 네트워크의 고정 경로는 BGP 경로에 의존하지 않고 Direct Connect 피어를 가리킵니다.

**고정 VPN **

• VPN 연결에는 VPN 연결 첨부 파일을 가리키는 Transit Gateway 라우팅 테이블 아래에 추가된 온프레미스 네트워크에 대한 고정 경로가 없습니다.
• 고객 게이트웨이에는 터널 인터페이스를 가리키는 AWS CIDR에 대한 고정 경로가 없습니다. AWS 네트워크에 고정 경로가 있는 경우 해당 경로가 올바른 터널 인터페이스를 가리키고 있는지 확인합니다. 정책 기반 VPN을 사용하는 경우 정책이 AWS 및 온프레미스 네트워크와 일치하는지 확인합니다.
• 방화벽 정책은 AWS와 온프레미스 간의 인바운드 또는 아웃바운드 트래픽을 허용하지 않습니다.
• 가속 VPN의 경우 NAT-T가 켜져 있는지 확인하세요. 자세한 내용은 Accelerated VPN 관련 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.
• 두 터널이 모두 연결된 VPN 연결(Active/Active)의 경우 고객 게이트웨이가 비대칭 라우팅을 지원하는지 확인합니다. 동일한 접두사를 광고하는 경우 AWS는 송신 터널을 임의로 선택합니다. 자세한 내용은 터널 B보다 터널 A를 선호하도록 사이트 간 VPN 연결을 구성하려면 어떻게 하나요?를 참조하세요.

Transit Gateway

Transit Gateway에서 종료되는 Direct Connect의 백업용 VPN의 경우 다음을 확인합니다.

• 동적 기반 VPN의 경우 VPN 및 Direct Connect를 통해 동일한 접두사를 광고합니다. AWS는 Direct Connect를 선호합니다. 온프레미스 장치의 경우 VPN 연결을 통해 학습된 특정 경로를 필터링합니다. 고객 게이트웨이로 나가는 트래픽이 VPN 연결보다 Direct Connect를 선호하는지 확인합니다.
• AWS 측 고정 VPN의 경우 VPN 연결을 가리키는 Transit Gateway의 온 프레미스 네트워크에 대한 덜 구체적인 고정 경로를 추가합니다. 고정 경로는 Direct Connect에서 전파되는 경로보다 선호됩니다 (고객 게이트웨이로 향하는 송신 트래픽은 VPN을 선호함). 온프레미스 측에서는 Amazon VPC CIDR에 대한 덜 구체적인 경로를 설정해야 합니다. 고정 경로는 BGP 경로보다 지표가 낮습니다.

참고: Transit Gateway 기반 VPN 연결의 경우 두 VPN 터널에서 MED 값 100을 전송하세요. 수신된 경로에 적용된 가져오기 필터가 없는 경우 고객 게이트웨이는 MED 값이 0이므로 Direct Connect를 선호합니다.

관련 정보

자세한 내용은 Transit Gateway에서 Direct Connect에 대한 백업으로 VPN을 만들 때 비대칭 라우팅 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.

Transit Gateway를 사용하여 Direct Connect 및 VPN 장애 조치를 구성하려면 어떻게 해야 하나요?

기본 연결 Direct Connect 게이트웨이와 백업 VPN 연결이 있습니다. 트래픽이 백업 연결에 우선 순위를 두는 이유는 무엇입니까?