AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

전송 게이트웨이에서 Direct Connect의 백업으로 VPN을 생성할 때 비대칭 라우팅 문제를 해결하려면 어떻게 해야 하나요?

3분 분량
0

AWS Direct Connect 연결을 사용 중입니다. Direct Connect 게이트웨이는 AWS Transit Gateway와 연결되어 있습니다. Direct Connect 연결에 대한 백업으로 Site to Site VPN을 만들었지만 비대칭 라우팅 문제가 있습니다. AWS VPN으로 비대칭 라우팅 문제를 해결하고 자동 장애 조치를 유지하려면 어떻게 해야 하나요?

간략한 설명

VPN 연결을 Direct Connect의 백업으로 사용하면 비대칭 라우팅 문제가 발생할 수 있습니다. 비대칭 라우팅은 네트워크 트래픽이 한 연결을 통해 들어오고 다른 연결을 통해 나갈 때 발생합니다. 방화벽과 같은 일부 네트워크 디바이스는 수신된 트래픽이 상태 유지 테이블에 기록되지 않은 경우 패킷을 삭제합니다.

해결 방법

아웃바운드 및 인바운드 네트워크 트래픽 구성을 위한 다음 모범 사례를 따르세요.

AWS에서 네트워크로의 아웃바운드 트래픽에 대한 모범 사례

  • 경계 경로 프로토콜(BGP)을 사용하여 동적 라우팅으로 VPN을 구성합니다.
  • 디바이스가 VPN 및 Direct Connect를 사용하여 온프레미스에서 AWS로 동일한 접두사를 노출하는지 확인하거나, 덜 구체적인 VPN 접두사를 노출하는지 확인합니다. 예를 들어 10.0.0.0/16은 10.0.0.0/24에 비해 덜 구체적입니다.
  • AWS는 수신된 접두사 길이가 동일한 값인 경우 온프레미스 트래픽을 네트워크로 전송할 때 VPN 연결을 통한 Direct Connect를 더 선호하는 값으로 설정합니다.
  • AWS Transit Gateway의 경우 접두사 길이가 동일한 값인 경우 동적으로 전파되는 Direct Connect 게이트웨이 경로보다 VPN 연결을 가리키는 정적 경로가 더 선호됩니다.
  • 동적 VPN을 백업으로 사용하여 배포된 Direct Connect의 경우 AS PATH를 앞에 붙여 사용하는 것은 권장하지 않습니다. 접두사가 동일한 경우 앞에 붙인 AS PATH 길이에 관계없이 Direct Connect 경로가 선호되기 때문입니다.

자세한 내용은 라우팅 테이블 및 VPN 우선순위를 참조하세요.

네트워크에서 AWS로의 인바운드 트래픽에 대한 모범 사례

  • 네트워크 디바이스가 Direct Connect 연결을 통한 반환 트래픽 전송을 선호하도록 구성되어 있는지 확인합니다.
  • AWS에서 네트워크 디바이스로 노출되는 접두사가 Direct Connect 및 VPN에 대해 동일한 경우, BGP 로컬 기본 설정 속성을 사용하여 디바이스가 Direct Connect 연결을 통해 AWS로 아웃바운드 트래픽을 보내도록 할 수 있습니다. Direct Connect 경로를 로컬 기본 설정 값은 높게, VPN에 대한 기본 설정은 낮게 설정합니다. 예를 들어 Direct Connect의 경우 로컬 기본 설정은 200이며 VPN의 경우 100입니다.

중요:

Direct Connect 허용 접두사가 요약되고 VPN을 통해 노출되는 경로가 더 구체적이면 네트워크 디바이스는 VPN을 통해 수신되는 경로를 선호합니다.

예를 들면 다음과 같습니다.

  • 전송 게이트웨이 전파 경로는 VPC-A CIDR 10.0.0.0/16, VPC-B CIDR 10.1.0.0/16, VPC-C 10.2.0.0/16입니다.
  • 20개의 접두사 제한을 준수하기 위해 Direct Connect 게이트웨이에서 허용되는 접두사의 요약된 접두사는 10.0.0.0/14입니다.

Direct Connect는 Direct Connect 게이트웨이 접두사 10.0.0.0/14를 노출하고, VPN 전송 게이트웨이는 VPN을 통해 각 VPC에 대해 /16 CIDR을 노출합니다.

이 문제를 해결하려면 요약된 Direct Connect 게이트웨이 경로를 전송 게이트웨이 라우팅 테이블에 삽입합니다. 예를 들어 VPC 연결을 가리키는 정적 경로 10.0.0.0/14를 추가합니다. 이렇게 하면 전송 게이트웨이가 VPN을 통해 요약된 네트워크를 노출합니다. 네트워크 디바이스는 Direct Connect 및 VPN에서 동일한 접두사를 수신합니다. 그런 다음 수신된 특정 접두사를 필터링해 제외하도록 게이트웨이를 구성하여 요약된 접두사만 VPN 피어의 라우팅 테이블에 설치되도록 합니다. 공급 업체 사양에 따라 경로를 필터링하는 데 사용할 수 있는 다양한 옵션이 있습니다. 예를 들어 route-maps, prefix-lists, router-filter-lists 등이 있습니다.

네트워크에서 AWS로의 트래픽이 전송 게이트웨이 라우팅 테이블에 도달하고 게이트웨이는 조회를 통해 각 VPC 연결에서 가장 구체적인 경로를 선택합니다. 예를 들면 다음과 같습니다.

VPC-A CIDR을 가리키는 연결 A는 10.0.0.0/16입니다.

VPC-B CIDR을 가리키는 연결 B는 10.1.0.0/16입니다.

VPC-C CIDR을 가리키는 연결 C는 10.2.0.0/16입니다.

관련 정보

AWS Site to Site VPN 라우팅

Amazon VPC 라우팅 테이블 우선순위

Transit Gateway로 Direct Connect와 VPN 장애 조치를 구성하려면 어떻게 해야 하나요?

주제
네트워킹 및 콘텐츠 전송
태그
AWS Direct Connect
언어
한국어
AWS 공식
AWS 공식업데이트됨 2년 전
댓글 없음

관련 콘텐츠