AWS Direct Connect 연결은 MACsec 연결 해제를 사용합니다. Cisco Catalyst(IOS XE 소프트웨어, 버전 17.x.x)에서 연결 포트를 다시 시작한 후에만 트래픽을 전달할 수 있습니다.
간략한 설명
Direct Connect 연결을 완료한 후 연결에 실패하고 다음 문제 중 하나가 표시됩니다.
- 레이어 1은 광섬유 신호 강도가 좋은 "Up"입니다(ConnectionLightLevelRx 및 ConnectionLightLevelTx).
- 고객 게이트웨이 디바이스는 Direct Connect 엔드포인트에서 ARP 요청을 수신하고 처리하며 응답합니다.
- 고객 게이트웨이 디바이스의 ARP 테이블에는 Direct Connect 엔드포인트의 MAC 주소와 IPv4 주소에 대한 항목이 표시됩니다.
- LAG(Link Aggregation Group, 링크 집계 그룹)의 구성원인 연결의 경우 802.3ad LACP(Link Aggregation Control Protocol, 링크 집계 제어 프로토콜) 패킷이 손상되고 협상이 실패합니다.
- MACSec MKA 세션 협상은 성공적인 ‘보안’ 세션을 보여줍니다.
- Border Gateway Protocol(BGP) 피어 간에 IPv4 연결이 없어 세션이 설정되지 않습니다.
- MACSec이 비활성화되면 ARP 확인이 완료되고 IPv4 연결이 복원되며 피어 간 BGP 세션 협상이 재개됩니다.
해결 방법
고객 게이트웨이 디바이스 및 Direct Connect 구성 검토
Direct Connect 연결에 대한 암호화 모드, 암호화 그룹 및 관련 MACSec 구성 키가 온프레미스 고객 게이트웨이 구성과 일치하는지 확인하십시오. Direct Connect 콘솔 또는 AWS Command Line Interface(AWS CLI)를 사용하여 Direct Connect 연결 및 LAG의 암호화 모드를 확인하십시오.
Direct Connect 콘솔
다음 단계를 완료하십시오.
- Direct Connect 콘솔을 엽니다.
- 탐색 창에서 Connections(연결) 또는LAGs(LAG)를 선택합니다.
- 연결(dxcon-11aa22bb) 또는 LAG(dxlag-11aa22bb)를 선택합니다.
- General configuration(일반 구성) 탭에서 Encryption mode(암호화 모드) 필드를 검토합니다. 암호화 모드는 고객 게이트웨이 디바이스 구성 모드와 일치해야 합니다.
AWS CLI
참고: AWS CLI 명령을 실행할 때 오류가 발생하면 AWS CLI 오류 문제 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.
describe-connections 명령을 실행하고 출력에서 encryptionMode 필드의 값을 검토합니다.
aws directconnect describe-connections
지원되는 암호화 모드는 no_encrypt, should_encrypt 또는 must_encrypt입니다. 고객 게이트웨이 디바이스 구성은 암호화 모드와 일치해야 합니다.
디바이스의 암호화 모드 업데이트
두 엔드포인트의 암호화 모드가 일치하지 않는 경우 Direct Connect 콘솔 또는 AWS CLI를 사용하여 암호화 모드를 업데이트하십시오.
Direct Connect 콘솔
다음 단계를 완료하십시오.
- Direct Connect 콘솔을 엽니다.
- 탐색 창에서 Connections(연결) 또는LAGs(LAG)를 선택합니다.
- 연결(dxcon-11aa22bb) 또는 LAG(dxlag-11aa22bb)를 선택합니다.
- General configuration(일반 구성) 탭에서 Edit(편집)을 선택합니다.
- Connection settings(연결 설정) 탭의 Encryption mode(암호화 모드)에서 드롭다운을 확장합니다. 암호화 모드를 선택한 다음 Edit connection(연결 편집)을 선택합니다.
AWS CLI
encryptionMode 값을 업데이트하려면 update-connection 명령을 실행합니다.
aws directconnect update-connection --connection-id dxcon-11aa22bb --encryption-mode must_encrypt
참고: 위의 예에서 dxcon-11aa22bb를 연결 또는 LAG ID로 바꾸고 must_encrypt를 암호화 모드로 바꾸십시오.
MACsec을 활성화하면 Direct Connect 엔드포인트가 키 서버로 구성됩니다. 고객 엔드포인트를 클라이언트로 구성하려면 키 서버 우선 순위를 Direct Connect 엔드포인트보다 큰 값으로 구성합니다. 고객 게이트웨이 디바이스 MACsec 키 서버 우선 순위를 0으로 설정하지 마십시오.
Cisco 고객 게이트웨이 디바이스에서 MACsec 암호화를 구성할 때 ssci-based-on-sci 옵션을 활성화합니다. 이 옵션을 사용하면 Cisco Catalyst(IOS XE 소프트웨어, 버전 17.x.x)가 Cisco가 아닌 디바이스나 IOS XE가 아닌 디바이스에서도 작동할 수 있습니다. MACsec 암호화에 대한 자세한 내용은 Cisco 웹사이트의 MACsec 암호화를 참조하십시오.
구성 설정을 적용한 후 MACsec이 활성화된 Catalyst 인터페이스에서 shutdown 명령과 no shutdown 명령으로 인터페이스 바운스를 수행합니다. 명령은 링크를 재설정하고 연결을 복원합니다.
관련 정보
AWS Direct Connect 연결에 MACsec 보안 추가
AWS Direct Connect의 트래픽 암호화 옵션
Cisco 웹사이트의 MACsec 암호화를 위한 사전 요구 사항