AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관

AWS <> fortigate BGP 연동 시 AWS에서 port 179 ack 들어오지 않음

0

IKEv2로 변경 후에 갑자기 BGP가 정상으로 동작하지 않음 syn/Syn+ack 까지는 보이나 aws 측으로부터 ack 이 들어오지않고, neighbor로 ping 실패

상세 원인 파악할 수 있을까요?

질문됨 2달 전32회 조회
1개 답변
0

이 문제는 여러 가지 원인으로 인해 발생할 수 있습니다. 주요 가능성과 확인해야 할 사항은 다음과 같습니다:

  1. BGP 설정 문제: AWS와 Fortigate 간의 BGP 설정이 올바르게 구성되었는지 확인해야 합니다. 특히 IKEv2로 변경한 후 BGP 설정이 제대로 업데이트되었는지 확인이 필요합니다.

  2. 방화벽 규칙: AWS 측에서 포트 179에 대한 인바운드 트래픽을 허용하는지 확인해야 합니다. Security Group이나 Network ACL에서 이 포트를 차단하고 있을 수 있습니다.

  3. 라우팅 문제: VPN 연결을 통한 라우팅이 올바르게 설정되었는지 확인이 필요합니다. 특히 IKEv2로 변경 후 라우팅 테이블이 올바르게 업데이트되었는지 확인해야 합니다.

  4. MTU 불일치: AWS와 Fortigate 간의 MTU 설정이 일치하지 않아 패킷 분할 문제가 발생할 수 있습니다. MTU 크기를 확인하고 필요한 경우 조정해야 합니다.

  5. BGP 타이머 설정: BGP keepalive 및 hold 타이머가 양쪽에서 일치하는지 확인해야 합니다. 타이머 불일치로 인해 세션이 끊어질 수 있습니다.

  6. TCP 연결 문제: SYN/SYN+ACK는 보이지만 ACK가 오지 않는다는 점은 TCP 연결 설정에 문제가 있음을 시사합니다. 네트워크 경로상의 문제나 방화벽 설정을 확인해야 합니다.

  7. 멀티홉 BGP: AWS는 기본적으로 External BGP (EBGP) 멀티홉을 지원하지 않습니다. BGP 피어가 직접 연결되어 있는지 확인해야 합니다. TTL 값을 1로 설정하여 ping 테스트를 수행해 볼 수 있습니다.

  8. VPN 터널 상태: IKEv2로 변경 후 VPN 터널이 제대로 설정되었는지 확인해야 합니다. 터널이 다운되었거나 불안정한 경우 BGP 세션 설정에 영향을 줄 수 있습니다.

이러한 가능성들을 체계적으로 확인하고 문제를 해결해 나가는 것이 좋습니다. 필요한 경우 AWS 지원팀이나 Fortigate 기술 지원팀의 도움을 받는 것도 고려해볼 수 있습니다.
Sources
Troubleshoot BGP connection failure over AWS VPN or AWS Direct Connect | AWS re:Post
BGP Negotiation over AWS Site-to-Site VPN and Direct Connect: Troubleshooting Strategies for Efficient Networking | AWS re:Post

profile picture
답변함 2달 전

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인