기본 연결이 온프레미스로 설정된 AWS Direct Connect 게이트웨이가 있습니다. 또한 AWS Direct Connect 연결에 대한 장애 조치를 위해 백업 VPN 연결을 했습니다. 온프레미스 연결에서 AWS로의 트래픽은 기본 연결(Direct Connect 연결)이 아닌 백업 연결(VPN 연결)의 우선 순위를 지정합니다. 이 문제가 발생하는 원인은 무엇이고 어떻게 해결합니까?
간략한 설명
고객 게이트웨이는 Amazon Virtual Private Cloud(VPC)로 가는 가장 구체적인 경로를 선호합니다. VPN 연결에 관하여 가장 구체적인 경로가 존재하면, Direct Connect 연결보다 우선합니다.
해결 방법
AWS Site-to-Site VPN은 정적 및 동적 배포의 두 가지 유형을 지원합니다. 사용 사례에 따라 관련 해결 방법을 참조하십시오.
정적 VPN:
VPN 연결에 대하여 Direct Connect 연결보다 덜 구체적인 경로를 사용하여 고객 게이트웨이를 구성합니다.
동적 VPN:
VPN 연결 및 Direct Connect 연결을 통해 사용자가 동일한 경로를 보급하는 중인지 확인합니다.
고객 게이트웨이가 VPN 및 Direct Connect 연결을 통해 동일한 경로를 수신하는 경우, 항상 Direct Connect를 선호합니다.
그러나 고객 게이트웨이에 Direct Connect 연결보다 VPN을 통한 더 구체적인 경로가 있는 경우 VPN을 선호합니다. 예를 들어 Direct Connect의 경우 최대 20개의 접두사가 허용됩니다. 모든 접두사를 포함하도록 요약한 경로를 추가하면, VPN을 통해 보급한 CIDR이 Direct Connect를 통해 보급한 CIDR보다 구체화됩니다. 따라서 고객 게이트웨이는 Direct Connect 연결보다 VPN의 우선 순위를 지정합니다.
이 문제를 해결하려면 다음과 같이 하십시오.
- Site-to-Site VPN 라우팅 테이블에 Direct Connect와 연결한 동일한 경로를 추가합니다. 그러면 Site-to-Site VPN이 특정 경로와 사용자 추가 경로를 알립니다.
- 고객 게이트웨이에서 Site-to-Site VPN에서 알려주는 특정 경로를 필터링합니다. 그러면 고객 게이트웨이는 두 연결에 대해 동일한 경로를 보유하며, Direct Connect 연결을 선호합니다.
AWS에서 고객 게이트웨이로의 트래픽
트래픽이 AWS 연결에서 고객 게이트웨이로 들어오는 경우, 보다 구체적인 경로를 선호합니다. 경로가 동일한 경우 AWS는 동일한 온프레미스 서브넷에 대해 VPN 연결보다 Direct Connect를 선호합니다.
Direct Connect보다 VPN을 선호하도록 AWS 연결을 설정하려면 다음을 수행하십시오.
- 정적 VPN의 경우 정적 VPN 라우팅 테이블에 보다 구체적인 경로를 추가합니다.
- Border Gateway Protocol(BGP) VPN의 경우 Direct Connect 연결을 통해 덜 구체적인 경로를 보급합니다. 가장 구체적인 경로를 선호하므로, VPN 연결을 선호합니다.
관련 정보
라우팅 테이블 및 VPN 경로 우선 순위
경로 우선순위