VPN での BGP 接続の問題をトラブルシューティングするにはどうすればよいですか?
ボーダーゲートウェイプロトコル (BGP) セッションが接続を確立できない、または、仮想プライベートネットワーク (VPN) でアイドル状態になります。この問題を解決するにはどうしたらよいですか?
解決策
VPN 経由の BGP 接続の問題をトラブルシューティングするには、以下を確認してください。
基礎となる VPN 接続を確認する
BGP ベースの VPN 接続では、VPN トンネルが確立されている場合に限り、BGP セッションを確立できます。VPN トンネルがダウンしていたり、フラッピングしたりしている場合は、BGP セッションの確立時に問題が発生します。VPN が稼働していて安定していることを確認してください。VPN が確立しない、または安定していない場合は、次を参照してください。
- Amazon VPC 内で、 IKE (VPN トンネルのフェーズ 1) が失敗するのはなぜですか?
- AWS Site-to-Site VPN の IPsec/フェーズ 2 で、接続を確立できないのはなぜですか?
- カスタマーゲートウェイデバイスで、VPN トンネルの非アクティブまたは不安定性、またはトンネルダウンのトラブルシューティングを行うにはどうすれば良いですか?
カスタマーゲートウェイデバイスの BGP 設定を確認する
- ローカルおよびリモートの BGP ピア IP アドレスは、Amazon Virtual Private Cloud (Amazon VPC) コンソールからダウンロードした VPN 設定ファイルを使って設定する必要があります。
- ローカルおよびリモートの BGP 自律システム番号 (ASN) は、Amazon VPC コンソールからダウンロードした VPN 設定ファイルを使って設定する必要があります。
- コンフィギュレーション設定が適切である場合は、ローカル BGP ピア IP アドレスからリモート BGP ピア IP アドレスに ping を実行します。これにより、BGP ピア間接続を確認できます。
- BGP ピアが互いに直接接続されているようにしてください。外部 BGP (EBGP) マルチホップは、AWS 内ではオフの状態です。
注: BGP セッションがアクティブと接続の状態間でフラッピングしている場合は、TCP ポート 179 およびその他の関連する一時ポートがブロックされてないか確認します。
デバッグとパケットキャプチャに注意する
BGP 設定と BGP ピア接続を確認したうえで、さらにトラブルシューティングを行うには、カスタマーゲートウェイデバイスから次の情報をメモします。
- BGP と TCP デバッグ
- BGP ログ
- BGP ピア IP アドレス間のトラフィックに対するパケットの取り込み。
BGP セッションが確立状態からアイドル状態に移行しているかどうかを確認する
仮想ゲートウェイ上の VPN では、BGP セッションが確立済み状態からアイドル状態になることがあります。BGP セッションでは、アドバタイズするルート数を確認します。BGP セッションでは、最大 100 個のルートをアドバタイズできます。BGP セッションでアドバタイズされたルートの数が 100 を超える場合、BGP セッションはアイドル状態になります。
これを解決するには、以下のいずれかの操作を行います。
AWS にルーティングするデフォルトルートをアドバタイズするか、受信したルート数が 100 未満になるようにルートを集約します。
-または-
VPN 接続をトランジットゲートウェイに移行します。トランジットゲートウェイは、カスタマーゲートウェイからアドバタイズされる 1,000 ルートをサポートします。
詳細については、「Site-to-Site VPN クォータ」を参照してください。
関連情報
関連するコンテンツ
- AWS公式更新しました 2年前