AWS Outposts 랙 네트워크 문제 해결 체크리스트

이 체크리스트를 사용하면 상태가 DOWN인 서비스 링크의 문제를 해결하는 데 도움이 됩니다.

Outpost 네트워크 장치와의 연결

Outpost 네트워크 장치에 연결된 고객 로컬 네트워크 장치에서 BGP 피어링 상태를 확인합니다. BGP 피어링 상태가 DOWN인 경우 다음 단계를 따르세요.

1. 고객 장치에서 Outpost 네트워크 장치의 원격 피어 IP 주소를 핑합니다. 피어 IP 주소는 장치의 BGP 구성에서 찾을 수 있습니다. 설치 시 네트워크 준비 체크리스트에 제공된 정보를 참조할 수도 있습니다.

2. 핑에 실패한 경우 물리적 연결을 확인하고 연결 상태가 UP인지 확인합니다.

   1. 고객 로컬 네트워크 장치의 LACP 상태를 확인합니다.

   2. 장치의 인터페이스 상태를 확인합니다. UP 상태인 경우 3단계로 건너뜁니다.

   3. 고객 로컬 네트워크 장치를 확인하고 광 모듈이 작동하는지 확인합니다.

   4. 결함이 있는 광케이블을 교체하고 표시등(Tx/Rx)이 허용 범위 내에 있는지 확인하세요.

3. 핑이 성공하면 고객의 로컬 네트워크 장치를 확인하고 다음 BGP 구성이 올바른지 확인합니다.

   1. 로컬 자율 시스템 번호(고객 ASN)가 올바르게 구성되었는지 확인합니다.

   2. 원격 자율 시스템 번호(Outpost ASN)가 올바르게 구성되었는지 확인합니다.

   3. 인터페이스 IP와 원격 피어 IP 주소가 올바르게 구성되었는지 확인합니다.

   4. 광고된 경로와 수신된 경로가 올바른지 확인하세요.

4. BGP 세션이 활성 상태와 연결 상태 사이에서 펄럭이는 경우 고객 로컬 네트워크 장치에서 TCP 포트 179 및 기타 관련 임시 포트가 차단되지 않았는지 확인합니다.

5. 추가 문제 해결이 필요한 경우 고객 로컬 네트워크 장치에서 다음을 확인합니다.

   1. BGP 및 TCP 디버그 로그

   2. BGP 로그

   3. 패킷 캡처

6. 문제가 지속되면 Outpost에 연결된 라우터에서 Outpost 네트워크 장치 피어 IP 주소로 MTR / traceroute / packet 캡처를 수행하세요. 엔터프라이즈 AWS 지원 플랜을 사용하여 Support와 테스트 결과를 공유하십시오.

고객 로컬 네트워크 장치와 Outpost 네트워크 장치 간의 BGP 피어링 상태가 UP이지만 서비스 링크가 여전히 DOWN 상태인 경우 고객 로컬 네트워크 장치에서 다음 장치를 확인하여 추가 문제를 해결할 수 있습니다. 서비스 링크 연결이 프로비저닝된 방식에 따라 다음 체크리스트 중 하나를 사용합니다.

• 연결된 에지 라우터 AWS Direct Connect — 서비스 링크 연결에 사용 중인 공용 가상 인터페이스. 자세한 정보는 AWS Direct Connect 지역에 대한 AWS 공용 가상 인터페이스 연결을 참조하세요.

• 연결된 에지 라우터 AWS Direct Connect — 서비스 링크 연결에 사용 중인 사설 가상 인터페이스. 자세한 정보는 AWS Direct ConnectAWS 지역에 대한 프라이빗 가상 인터페이스 연결을 참조하세요.

• 인터넷 서비스 제공자(ISP)와 연결된 에지 라우터 – 서비스 링크 연결에 사용 중인 공용 가상 인터페이스. 자세한 정보는 AWS 리전에 대한 ISP 공용 인터넷 연결을 참조하세요.

AWS Direct Connect 지역에 대한 AWS 공용 가상 인터페이스 연결

다음 체크리스트를 사용하여 서비스 링크 연결에 공용 가상 인터페이스를 사용할 AWS Direct Connect 때 연결된 에지 라우터 문제를 해결하십시오.

1. Outpost 네트워크 장치에 직접 연결하는 장치가 BGP를 통해 서비스 링크 IP 주소 범위를 수신하고 있는지 확인합니다.

   1. 장치에서 BGP를 통해 수신되는 경로를 확인합니다.

   2. 서비스 링크 가상 라우팅 및 포워딩 인스턴스(VRF)의 라우팅 테이블을 확인하세요. IP 주소 범위를 사용하고 있다고 표시되어야 합니다.

2. 리전 연결을 보장하려면 라우팅 테이블에서 서비스 링크 VRF를 확인하세요. 여기에는 AWS 퍼블릭 IP 주소 범위 또는 기본 경로가 포함되어야 합니다.

3. 서비스 링크 VRF에서 AWS 퍼블릭 IP 주소 범위를 수신하지 못하는 경우 다음 항목을 확인하십시오.

   1. 에지 라우터 또는 에서 AWS Direct Connect 링크 상태를 확인합니다. AWS Management Console

   2. 물리적 링크가 UP인 경우, 엣지 라우터에서 BGP 피어링 상태를 확인하세요.

   3. BGP 피어링 DOWN 상태인 경우 피어 AWS IP 주소를 ping하고 에지 라우터에서 BGP 구성을 확인합니다. 자세한 내용은 AWS Direct Connect 사용 설명서의 문제 해결 및 AWS Direct Connect콘솔에서 내 가상 인터페이스 BGP 상태가 다운되었음을 참조하십시오. AWS 어떻게 해야 할까요?

   4. BGP가 설정되었는데 VRF에 기본 경로 또는 AWS 퍼블릭 IP 주소 범위가 표시되지 않는 경우 엔터프라이즈 AWS 지원 플랜을 사용하여 Support에 문의하십시오.

4. 온프레미스 방화벽을 사용하는 경우 다음 항목을 확인하세요.

   1. 서비스 링크 연결에 필요한 포트가 네트워크 방화벽에 허용되는지 확인하세요. 포트 443의 traceroute 또는 기타 네트워크 문제 해결 도구를 사용하여 방화벽과 네트워크 장치를 통한 연결을 확인합니다. 서비스 링크 연결을 위해 방화벽 정책에서 다음 포트를 구성해야 합니다.

      • TCP 프로토콜 - 소스 포트: TCP 1025-65535, 대상 포트: 443.

      • UDP 프로토콜 - 소스 포트: TCP 1025-65535, 대상 포트: 443.

   2. 방화벽이 스테이트풀 상태인 경우 아웃바운드 규칙이 Outpost의 서비스 링크 IP 주소 범위를 퍼블릭 IP 주소 범위로 허용하는지 확인하십시오. AWS 자세한 정보는 AWS OutpostsAWS 지역과의 연결성을 참조하세요.

   3. 방화벽이 스테이트풀 방식이 아닌 경우 AWS 퍼블릭 IP 주소 범위에서 서비스 링크 IP 주소 범위까지의 인바운드 흐름도 허용해야 합니다.

   4. 방화벽에 가상 라우터를 구성한 경우 Outpost와 AWS 리전 간의 트래픽에 대해 적절한 라우팅이 구성되어 있는지 확인하세요.

5. Outpost의 서비스 링크 IP 주소 범위를 자체 공용 IP 주소로 변환하도록 온프레미스 네트워크에서 NAT를 구성한 경우 다음 항목을 확인하세요.

   1. NAT 장치에 과부하가 걸리지 않았는지, 새 세션에 할당할 수 있는 빈 포트가 있는지 확인합니다.

   2. NAT 장치가 주소 변환을 수행하도록 올바르게 구성되었는지 확인합니다.

6. 문제가 지속되면 에지 라우터에서 피어 IP 주소로 MTR/traceroute/패킷 캡처를 수행하십시오. AWS Direct Connect 엔터프라이즈 AWS 지원 플랜을 사용하여 Support와 테스트 결과를 공유하십시오.

AWS Direct ConnectAWS 지역에 대한 프라이빗 가상 인터페이스 연결

다음 체크리스트를 사용하여 서비스 링크 연결에 프라이빗 가상 인터페이스를 사용할 AWS Direct Connect 때 연결된 에지 라우터 문제를 해결하십시오.

1. Outpost 랙과 AWS 지역 간 연결에서 AWS Outposts 개인 연결 기능을 사용하는 경우 다음 항목을 확인하십시오.

   1. 에지 라우터에서 원격 피어링 AWS IP 주소를 ping하고 BGP 피어링 상태를 확인합니다.

   2. 서비스 링크 엔드포인트 VPC와 온프레미스에 설치된 Outpost 간의 AWS Direct Connect 프라이빗 가상 인터페이스를 통한 BGP 피어링이 가능한지 확인하십시오. UP 자세한 내용은 AWS Direct Connect 사용 설명서의 문제 해결을 참조하십시오. AWS Direct Connect콘솔에서 내 가상 인터페이스 BGP 상태가 다운되었습니다. AWS 어떻게 해야 할까요?, 그리고 Direct Connect를 통한 BGP 연결 문제를 해결하려면 어떻게 해야 할까요?를 참조하세요.

   3. AWS Direct Connect 프라이빗 가상 인터페이스는 선택한 AWS Direct Connect 위치의 에지 라우터에 대한 프라이빗 연결이며 BGP를 사용하여 경로를 교환합니다. Virtual Private Cloud(VPC) CIDR 범위는 이 BGP 세션을 통해 에지 라우터에 알려집니다. 마찬가지로 Outpost 서비스 링크의 IP 주소 범위도 엣지 라우터의 BGP를 통해 해당 리전에 알려집니다.

   4. VPC의 서비스 링크 프라이빗 엔드포인트와 연결된 네트워크 ACL이 관련 트래픽을 허용하는지 확인합니다. 자세한 내용은 네트워크 준비 체크리스트 단원을 참조하세요.

   5. 온프레미스 방화벽을 사용하는 경우, 방화벽에 서비스 링크 IP 주소 범위와 VPC 또는 VPC CIDR에 있는 Outpost 서비스 엔드포인트 (네트워크 인터페이스 IP 주소)를 허용하는 아웃바운드 규칙이 있는지 확인하세요. TCP 1025-65535 및 UDP 443 포트가 차단되지 않았는지 확인합니다. 자세한 내용은 AWS Outposts 프라이빗 연결 소개를 참조하십시오.

   6. 방화벽이 상태 저장 상태가 아닌 경우, 방화벽에 VPC의 Outpost 서비스 엔드포인트에서 Outpost로 들어오는 인바운드 트래픽을 허용하는 규칙과 정책이 있는지 확인하세요.

2. 온-프레미스 네트워크에 100개가 넘는 네트워크가 있는 경우 BGP 세션을 통한 기본 경로를 개인 가상 AWS 인터페이스에 알릴 수 있습니다. 기본 경로를 알리고 싶지 않은 경우 알려지는 경로 수가 100개 미만이 되도록 경로를 요약합니다.

3. 문제가 지속되면 에지 라우터에서 피어 IP 주소로 MTR/traceroute/패킷 캡처를 수행하십시오. AWS Direct Connect 엔터프라이즈 AWS 지원 플랜을 사용하여 Support와 테스트 결과를 공유하십시오.

AWS 리전에 대한 ISP 공용 인터넷 연결

서비스 링크 연결에 공용 인터넷을 사용할 때 다음 체크리스트를 사용하여 ISP를 통해 연결된 엣지 라우터 문제를 해결하세요.

• 인터넷 링크가 작동 중인지 확인합니다.

• ISP를 통해 연결된 엣지 장치에서 공용 서버에 액세스할 수 있는지 확인합니다.

ISP 링크를 통해 인터넷 또는 공용 서버에 액세스할 수 없는 경우 다음 단계를 완료하세요.

1. ISP 라우터와의 BGP 피어링 상태가 설정되었는지 확인하세요.

   1. BGP가 플래핑되지 않는지 확인하세요.

   2. BGP가 ISP로부터 필요한 경로를 수신하고 광고하고 있는지 확인합니다.

2. 고정 경로 구성의 경우 엣지 장치에 기본 경로가 제대로 구성되어 있는지 확인합니다.

3. 다른 ISP 연결을 사용하여 인터넷에 연결할 수 있는지 확인하세요.

4. 문제가 지속되면 엣지 라우터에서 MTR / traceroute / packet 캡처를 수행하세요. 추가 문제 해결을 위해 ISP 기술 지원 팀과 결과를 공유합니다.

ISP 링크를 통해 인터넷 및 공용 서버에 액세스할 수 있는 경우 다음 단계를 완료합니다.

1. Outpost 홈 리전에서 공개적으로 액세스할 수 있는 EC2 인스턴스 또는 로드 밸런서가 엣지 장치에서 액세스할 수 있는지 확인합니다. 핑 또는 텔넷을 사용하여 연결을 확인한 다음 traceroute를 사용하여 네트워크 경로를 확인할 수 있습니다.

2. VRF를 사용하여 네트워크에서 트래픽을 분리하는 경우 서비스 링크 VRF에 트래픽을 ISP(인터넷) 및 VRF로 보내고 받는 경로 또는 정책이 있는지 확인하세요. 다음 체크포인트를 참조하세요.

   1. ISP에 연결된 에지 라우터. 엣지 라우터의 ISP VRF 라우팅 테이블을 확인하여 서비스 링크 IP 주소 범위가 존재하는지 확인합니다.

   2. Outpost에 연결하는 고객 로컬 네트워크 장치. VRF의 구성을 확인하고 서비스 링크 VRF와 ISP VRF 간의 연결에 필요한 라우팅 및 정책이 제대로 구성되었는지 확인합니다. 일반적으로 인터넷 트래픽의 경우 ISP VRF에서 서비스 링크 VRF로 기본 경로가 전송됩니다.

   3. Outpost에 연결된 라우터에서 소스 기반 라우팅을 구성한 경우 구성이 올바른지 확인하세요.

3. 온-프레미스 방화벽이 Outpost 서비스 링크 IP 주소 범위에서 퍼블릭 IP 주소 범위로의 아웃바운드 연결 (TCP 1025-65535 및 UDP 443 포트) 을 허용하도록 구성되어 있는지 확인하십시오. AWS 방화벽이 상태 저장 방식이 아닌 경우 Outpost에 대한 인바운드 연결도 구성되었는지 확인하세요.

4. Outpost의 서비스 링크 IP 주소 범위를 공용 IP 주소로 변환하도록 온프레미스 네트워크에 NAT가 구성되어 있는지 확인하세요. 또한 다음 항목을 확인하세요.

   1. NAT 장치에 과부하가 걸리지 않았고 새 세션에 할당할 수 있는 빈 포트가 있습니다.

   2. NAT 장치가 주소 변환을 수행하도록 올바르게 구성되었습니다.

문제가 지속되면 MTR / traceroute / packet 캡처를 수행하세요.

• 결과 온프레미스 네트워크에서 패킷이 삭제되거나 차단된 것으로 나타나면 네트워크 또는 기술팀에 문의하여 추가 지침을 확인하세요.

• 결과가 ISP 네트워크에서 패킷이 삭제되거나 차단된 것으로 나타나면 ISP 기술 지원 팀에 문의하십시오.

• 결과에 문제가 없는 경우 모든 테스트 결과 (예: MTR, 텔넷, 추적 경로, 패킷 캡처, BGP 로그) 를 수집하고 Enterprise AWS Support 플랜을 사용하여 Support에 문의하십시오.

Outposts는 두 개의 방화벽 장치 뒤에 있습니다.

Outpost를 고가용성 동기화 방화벽 쌍이나 독립형 방화벽 두 개 뒤에 설치한 경우 서비스 링크의 비대칭 라우팅이 발생할 수 있습니다. 즉, 인바운드 트래픽은 방화벽-1을 통과하고 아웃바운드 트래픽은 방화벽-2를 통과할 수 있습니다. 다음 체크리스트를 사용하여 서비스 링크의 잠재적인 비대칭 라우팅을 식별하십시오. 특히 이전에 제대로 작동하고 있었다면 더욱 그렇습니다.

• 회사 네트워크 라우팅 설정에 최근 변경 사항이나 지속적인 유지 관리로 인해 방화벽을 통한 서비스 링크의 비대칭 라우팅이 발생했을 수 있는 부분이 있는지 확인하십시오.

  • 방화벽 트래픽 그래프를 사용하여 서비스 연결 문제의 시작과 일치하는 트래픽 패턴의 변경 사항을 확인하세요.

  • 방화벽 간의 연결 테이블을 더 이상 동기화하지 못하게 하는 원인이 될 수 있는 부분적인 방화벽 장애 또는 분리형 방화벽 쌍 시나리오가 있는지 확인하세요.

  • 회사 네트워크에서 링크가 다운되었거나 최근 라우팅 변경 사항 (OSPF/ISIS/EIGRP 지표 변경, BGP 경로 맵 변경) 이 서비스 링크 문제의 시작과 일치하는지 확인하십시오.

• 홈 지역으로의 서비스 링크에 공용 인터넷 연결을 사용하는 경우 서비스 제공업체 유지 관리로 인해 방화벽을 통한 서비스 링크가 비대칭적으로 라우팅될 수 있습니다.

  • ISP로 연결되는 링크의 트래픽 그래프에서 서비스 연결 문제의 시작과 일치하는 트래픽 패턴의 변경 사항을 확인하십시오.

• 서비스 링크에 AWS Direct Connect 연결을 사용하는 경우 AWS 계획된 유지 관리로 인해 서비스 링크의 비대칭 라우팅이 트리거되었을 수 있습니다.

  • AWS Direct Connect 서비스에 예정된 유지 관리 알림이 있는지 확인하세요.

  • 중복 AWS Direct Connect 서비스가 있는 경우 유지 관리 조건에서 가능한 각 네트워크 경로를 통해 Outposts 서비스 링크의 라우팅을 사전에 테스트할 수 있습니다. 이를 통해 서비스 중 하나가 중단되면 AWS Direct Connect 서비스 링크가 비대칭적으로 라우팅될 수 있는지 테스트할 수 있습니다. end-to-end 네트워크 연결 AWS Direct Connect 부분의 복원력은 Resiliency with AWS Direct Connect Resiliency Toolkit에서 테스트할 수 있습니다. 자세한 내용은 복원력 도구 키트를 사용한 AWS Direct Connect 복원력 테스트 — 장애 조치 테스트를 참조하십시오.

위의 체크리스트를 살펴보고 서비스 링크의 비대칭 라우팅을 가능한 근본 원인으로 지목한 후 다음과 같은 추가 조치를 취할 수 있습니다.

• 회사 네트워크 변경 사항을 되돌리거나 제공업체가 계획한 유지 관리가 완료될 때까지 기다려 대칭 라우팅을 복원하십시오.

• 방화벽 중 하나 또는 둘 다에 로그인하고 명령줄에서 모든 흐름에 대한 모든 흐름 상태 정보를 지우십시오 (방화벽 공급업체에서 지원하는 경우).

• 다른 방화벽을 통해 대칭 라우팅을 강제하려면 방화벽 중 하나를 통해 BGP 알림을 일시적으로 필터링하거나 한 방화벽의 인터페이스를 종료하십시오.

• 각 방화벽을 차례로 재부팅하여 방화벽 메모리의 서비스 링크 트래픽에 대한 흐름 상태 추적의 잠재적 손상을 방지하십시오.

• 방화벽 벤더에 문의하여 포트 443에서 공급되고 포트 443으로 향하는 UDP 연결의 UDP 흐름 상태 추적을 확인하거나 완화하십시오.