고정 라우팅을 사용하는 경로 기반 VPN에서 비대칭을 방지하려면 어떻게 해야 하나요?

간략한 설명

AWS Site-to-Site VPN은 VPN 연결당 두 개의 엔드포인트를 제공하여 동일한 대상 네트워크에 연결합니다. AWS는 활성 터널 중 하나를 사용하여 트래픽을 동일한 목적지로 라우팅합니다.

VPN 터널은 일반적으로 "스테이트풀" 방화벽에서 호스팅됩니다. 방화벽 장치는 패킷이 동일한 터널 인터페이스를 사용하여 트래픽을 송수신할 것으로 기대합니다. 비대칭 라우팅은 패킷이 한 터널을 통해 Amazon Virtual Private Cloud(VPC)로 들어가고 동일한 사이트 간 VPN의 다른 터널을 통해 나갈 때 발생합니다. 패킷이 다른 터널 인터페이스를 통해 돌아오면 "상태 저장" 세션과 일치하지 않으므로 삭제됩니다.

해결 방법

---

비대칭 라우팅 문제를 해결하기 위해 동적 라우팅이 포함된 새 VPN을 만들 필요는 없습니다. 대신, 아래와 같이 동적 라우팅 로직을 반영하도록 변경한 후 정적 라우팅을 계속 사용하세요.

전제 조건

Amazon CloudWatch 지표를 확인하여 비대칭 라우팅이 있는지 확인합니다.

각 터널에 대한 지표 보기

활성/활성 구성의 VPN 연결이 하나만 있는 경우:

1. CloudWatch 콘솔을 엽니다.

2. 탐색 창에서 지표를 선택합니다.

3. 모든 지표에서 VPN 지표 네임스페이스를 선택합니다.

4. VPN 터널 지표를 선택합니다.

5. CloudWatch 지표 TunnelDataIn 및 TunnelDataOut을 선택합니다. 비대칭 라우팅이 있는 경우, 하나의 터널에는 지표 TunnelDataIn에 대한 데이터 포인트가 있습니다. 두 번째 터널에는 TunnelDataOut지표에 대한 데이터 포인트가 있습니다.

전체 VPN 연결에 대한 보기 지표(집계 지표)

VPN 연결이 여러 개 있는 경우:

1. CloudWatch 콘솔을 엽니다.

2. 탐색 창에서 지표를 선택합니다.

3. 모든 지표에서 VPN 지표 네임스페이스를 선택합니다.

4. VPN 연결 지표를 선택합니다.

5. CloudWatch 지표 TunnelDataIn 및 TunnelDataOut을 선택합니다. 비대칭 라우팅이 있는 경우, 하나의 커넥션에 TunnelDataIn 지표에 대한 데이터 포인트가 있습니다. 다른 연결에는 TunnelDataOut지표에 대한 데이터 포인트가 있습니다.

터널 지표에 대한 자세한 내용은 CloudWatch를 사용하여 VPN 터널 모니터링하기를 참조하세요.

비대칭 라우팅 시나리오

다음 시나리오에서 비대칭 라우팅을 피하려면 다음 옵션을 검토하세요.

활성/활성으로 구성된 단일 VPN 연결

비대칭 라우팅을 피하려면:

• 고객 게이트웨이에서 지원하는 경우 IPsec 집계 기능을 사용합니다. 자세한 내용은 포티넷 웹 사이트에서 이중화 및 터널 로드 밸런싱을 위한 IPsec 집계를 참조하세요.

• 고객 게이트웨이가 비대칭 라우팅을 지원하는 경우 가상 터널 인터페이스에서 비대칭 라우팅이 켜져 있는지 확인합니다.

• 고객 게이트웨이가 비대칭 라우팅을 지원하지 않는 경우, VPN 설정이 활성/수동인지 확인하세요. 이 구성은 하나의 터널을 UP 터널로, 두 번째 터널을 DOWN 터널로 식별합니다. 이 설정에서는 AWS에서 온프레미스 네트워크로의 트래픽이 UP 상태의 터널을 통해서만 통과합니다. 자세한 내용은 터널 B보다 터널 A를 선호하도록 사이트 간 VPN을 구성하려면 어떻게 하나요?를 참조하세요.

두 VPN 연결(VPN-Pry 및 VPN-Sec)이 동일한 VPC에 연결됩니다

이 시나리오에서 VPN 연결은 동일한 가상 사설 게이트웨이를 사용하여 동일한 Amazon VPC에 연결합니다.

참고: 이 시나리오는 가상 사설 게이트웨이를 사용한 VPN 연결에만 적용됩니다.

두 연결 모두:

• 정적 라우팅 사용

• 동일한 온프레미스 접두사를 광고합니다. 예를 들어, 10.170.0.0/20 및 10.167.0.0/20

• 가상 사설 게이트웨이를 통해 동일한 VPC에 연결

• 다른 고객 게이트웨이 공용 IP 사용

비대칭 라우팅을 피하려면 다음을 구현하세요.

VPN-Pry의 정적 경로(기본 연결):

10.170.0.0/21

10.170.8.0/21

10.167.0.0/21

10.167.8.0/21

VPN-Sec(보조 연결)의 정적 경로:

10.170.0.0/20

10.167.0.0/20

이 설정에서 AWS는 VPN-Sec보다 VPN-Pry를 기본 연결로 선택합니다. AWS는 라우팅 테이블에서 트래픽과 일치하는 접두사가 가장 긴 것을 사용하여 트래픽을 라우팅하는 방법을 결정합니다.

참고: 이 시나리오에서 고객 게이트웨이에 비대칭 라우팅이 없는 경우 각 VPN 설정을 활성/비활성으로 구성하세요. 이렇게 하면 VPN 연결당 하나의 터널이 활성으로 식별됩니다. 활성 연결의 두 터널이 모두 다운되면 트래픽은 보조 연결의 활성 터널로 페일오버됩니다.

VPN 경로 우선순위에 대한 자세한 내용은 라우트 테이블 및 VPN 경로 우선순위를 참조하세요.