Outpost 네트워크 장치와의 연결 AWS Direct Connect 지역에 대한 AWS 공용 가상 인터페이스 연결 AWS Direct ConnectAWS 지역에 대한 프라이빗 가상 인터페이스 연결 ISP AWS 지역에 대한 공용 인터넷 연결 Outposts는 두 개의 방화벽 장치 뒤에 있습니다.

Outposts 랙 네트워크 문제 해결 체크리스트

이 체크리스트를 사용하면 상태가 DOWN인 서비스 링크의 문제를 해결하는 데 도움이 됩니다.

Outpost 네트워크 장치와의 연결

Outpost 네트워크 장치에 연결된 고객 로컬 네트워크 장치의 BGP 피어링 상태를 확인합니다. BGP피어링 상태가 DOWN 인 경우 다음 단계를 따르십시오.

고객 장치에서 Outpost 네트워크 장치의 원격 피어 IP 주소를 핑합니다. 디바이스 BGP 구성에서 피어 IP 주소를 찾을 수 있습니다. 설치 시 네트워크 준비 체크리스트에 제공된 정보를 참조할 수도 있습니다.
핑에 실패한 경우 물리적 연결을 확인하고 연결 상태가 UP인지 확인합니다.
1. 고객 로컬 네트워크 장치의 LACP 상태를 확인합니다.
2. 장치의 인터페이스 상태를 확인합니다. UP 상태인 경우 3단계로 건너뜁니다.
3. 고객 로컬 네트워크 장치를 확인하고 광 모듈이 작동하는지 확인합니다.
4. 결함이 있는 광케이블을 교체하고 표시등(Tx/Rx)이 허용 범위 내에 있는지 확인하세요.
핑이 성공하면 고객 로컬 네트워크 장치를 확인하고 다음 BGP 구성이 올바른지 확인하십시오.
1. 로컬 자율 시스템 번호 (고객ASN) 가 올바르게 구성되었는지 확인하십시오.
2. 원격 자율 시스템 번호 (OutpostASN) 가 올바르게 구성되었는지 확인합니다.
3. 인터페이스 IP와 원격 피어 IP 주소가 올바르게 구성되었는지 확인합니다.
4. 광고된 경로와 수신된 경로가 올바른지 확인하세요.
BGP세션이 활성 상태와 연결 상태 사이를 오가는 경우 고객 로컬 네트워크 장치에서 TCP 포트 179 및 기타 관련 임시 포트가 차단되지 않았는지 확인하십시오.
추가 문제 해결이 필요한 경우 고객 로컬 네트워크 장치에서 다음을 확인합니다.
1. BGP및 디버그 로그 TCP
2. BGP로그
3. 패킷 캡처
문제가 지속되면 Outpost에 연결된 라우터에서 Outpost 네트워크 장치 피어 IP 주소로 /traceroute/ 패킷 캡처를 수행하십시오MTR. 엔터프라이즈 AWS 지원 플랜을 사용하여 Support와 테스트 결과를 공유하십시오.

고객 로컬 네트워크 장치와 Outpost 네트워크 장치 UP 간의 BGP 피어링 상태이지만 서비스 링크는 여전히 DOWN 연결되어 있는 경우 고객 로컬 네트워크 장치에서 다음 장치를 확인하여 추가 문제를 해결할 수 있습니다. 서비스 링크 연결이 프로비저닝된 방식에 따라 다음 체크리스트 중 하나를 사용합니다.

연결된 에지 라우터 AWS Direct Connect — 서비스 링크 연결에 사용 중인 공용 가상 인터페이스. 자세한 내용은 AWS Direct Connect 지역에 대한 AWS 공용 가상 인터페이스 연결 단원을 참조하십시오.
연결된 에지 라우터 AWS Direct Connect — 서비스 링크 연결에 사용 중인 사설 가상 인터페이스. 자세한 내용은 AWS Direct ConnectAWS 지역에 대한 프라이빗 가상 인터페이스 연결 단원을 참조하십시오.
인터넷 서비스 공급자와 연결된 에지 라우터 (ISPs) — 서비스 링크 연결에 사용되는 공용 인터넷. 자세한 내용은 ISP AWS 지역에 대한 공용 인터넷 연결 단원을 참조하십시오.

AWS Direct Connect 지역에 대한 AWS 공용 가상 인터페이스 연결

다음 체크리스트를 사용하여 서비스 링크 연결에 공용 가상 인터페이스를 사용할 AWS Direct Connect 때 연결된 에지 라우터 문제를 해결하십시오.

Outpost 네트워크 디바이스에 직접 연결하는 디바이스가 서비스 링크 IP 주소 범위를 수신하고 있는지 확인합니다. BGP
1. 장치를 통해 BGP 수신되는 경로를 확인하십시오.
2. 서비스 링크 가상 라우팅 및 포워딩 인스턴스 (VRF) 의 라우팅 테이블을 확인합니다. IP 주소 범위를 사용하고 있다고 표시되어야 합니다.
지역 연결을 확인하려면 서비스 VRF 링크의 라우팅 테이블을 확인하세요. 여기에는 AWS 퍼블릭 IP 주소 범위 또는 기본 경로가 포함되어야 합니다.
서비스 VRF 링크에서 AWS 퍼블릭 IP 주소 범위를 수신하지 못하는 경우 다음 항목을 확인하십시오.
1. 에지 라우터 또는 에서 AWS Direct Connect 링크 상태를 확인하십시오 AWS Management Console.
2. 물리적 링크가 UP 인 경우 에지 라우터에서 BGP 피어링 상태를 확인하십시오.
3. BGP피어링 DOWN 상태인 경우 피어 AWS IP 주소를 ping하고 에지 라우터에서 BGP 컨피그레이션을 확인합니다. 자세한 내용은 AWS Direct Connect 사용 설명서의 문제 해결 AWS Direct Connect 및 콘솔의 내 가상 인터페이스 BGP 상태가 다운됨을 AWS 참조하십시오. 어떻게 해야 할까요?
4. BGP가 설정되어 있는데 기본 경로 또는 AWS 퍼블릭 IP 주소 범위가 표시되지 않으면 엔터프라이즈 AWS 지원 플랜을 사용하여 Support에 문의하십시오. VRF
온프레미스 방화벽을 사용하는 경우 다음 항목을 확인하세요.
1. 서비스 링크 연결에 필요한 포트가 네트워크 방화벽에 허용되는지 확인하세요. 포트 443의 traceroute 또는 기타 네트워크 문제 해결 도구를 사용하여 방화벽과 네트워크 장치를 통한 연결을 확인합니다. 서비스 링크 연결을 위해 방화벽 정책에서 다음 포트를 구성해야 합니다.
  - TCP프로토콜 — 소스 포트: TCP 1025-65535, 목적지 포트: 443.
  - UDP프로토콜 — 소스 포트: TCP 1025-65535, 목적지 포트: 443.
2. 방화벽이 스테이트풀 상태인 경우 아웃바운드 규칙이 Outpost의 서비스 링크 IP 주소 범위를 퍼블릭 IP 주소 범위로 허용하는지 확인하십시오. AWS 자세한 내용은 AWS OutpostsAWS 지역과의 연결성 단원을 참조하십시오.
3. 방화벽이 스테이트풀 방식이 아닌 경우 AWS 퍼블릭 IP 주소 범위에서 서비스 링크 IP 주소 범위까지의 인바운드 흐름도 허용해야 합니다.
4. 방화벽에 가상 라우터를 구성한 경우 Outpost와 AWS 리전 간의 트래픽에 대해 적절한 라우팅이 구성되어 있는지 확인하세요.
NATOutpost의 서비스 링크 IP 주소 범위를 자체 공용 IP 주소로 변환하도록 온프레미스 네트워크를 구성한 경우 다음 항목을 확인하십시오.
1. NAT디바이스에 과부하가 걸리지 않았는지, 새 세션에 할당할 수 있는 빈 포트가 있는지 확인하십시오.
2. NAT장치가 주소 변환을 수행하도록 올바르게 구성되었는지 확인합니다.
문제가 지속되면 에지 라우터에서 피어 IP 주소로 MTR /traceroute/ 패킷 캡처를 수행하십시오. AWS Direct Connect 엔터프라이즈 AWS 지원 플랜을 사용하여 Support와 테스트 결과를 공유하십시오.

AWS Direct ConnectAWS 지역에 대한 프라이빗 가상 인터페이스 연결

다음 체크리스트를 사용하여 서비스 링크 연결에 프라이빗 가상 인터페이스를 사용할 AWS Direct Connect 때 연결된 에지 라우터 문제를 해결하십시오.

Outposts 랙과 AWS 지역 간의 연결에서 AWS Outposts 개인 연결 기능을 사용하는 경우 다음 항목을 확인하십시오.
1. 에지 라우터에서 원격 피어링 AWS IP 주소를 핑하고 BGP 피어링 상태를 확인합니다.
2. 서비스 링크 VPC 엔드포인트와 온프레미스에 설치된 Outpost 간의 AWS Direct Connect 프라이빗 가상 인터페이스 BGP 피어링이 가능한지 확인하십시오. UP 자세한 내용은 AWS Direct Connect 사용 설명서의 문제 해결을 참조하십시오. AWS Direct Connect콘솔에서 내 가상 인터페이스 BGP 상태가 다운되었습니다. AWS 어떻게 해야 하나요? , Direct Connect를 통한 BGP 연결 문제를 해결하려면 어떻게 해야 합니까? .
3. AWS Direct Connect 프라이빗 가상 인터페이스는 선택한 AWS Direct Connect 위치의 에지 라우터에 대한 프라이빗 연결이며, 경로를 BGP 교환하는 데 사용됩니다. 사설 가상 사설 클라우드 (VPC) CIDR 범위는 이 BGP 세션을 통해 에지 라우터에 알려집니다. 마찬가지로 Outpost 서비스 링크의 IP 주소 범위도 에지 라우터를 통해 해당 지역에 BGP 알려집니다.
4. 내 서비스 링크 프라이빗 ACLs 엔드포인트와 연결된 네트워크가 관련 트래픽을 VPC 허용하는지 확인하십시오. 자세한 내용은 네트워크 준비 체크리스트 단원을 참조하십시오.
5. 온프레미스 방화벽을 사용하는 경우 방화벽에 서비스 링크 IP 주소 범위와 또는 에 있는 Outpost 서비스 엔드포인트 (네트워크 인터페이스 IP 주소) 를 허용하는 아웃바운드 규칙이 있는지 확인하십시오. VPC VPC CIDR TCP1025-65535 및 443 포트가 차단되지 않았는지 확인하십시오. UDP 자세한 내용은 프라이빗 연결 소개를 참조하십시오. AWS Outposts
6. 방화벽이 스테이트풀 상태가 아닌 경우 방화벽에 Outpost 서비스 엔드포인트에서 Outpost로 들어오는 인바운드 트래픽을 허용하는 규칙과 정책이 있는지 확인하십시오. VPC
온프레미스 네트워크에 100개가 넘는 네트워크가 있는 경우 BGP 세션을 통한 기본 경로를 프라이빗 가상 인터페이스에 알릴 수 있습니다. AWS 기본 경로를 알리고 싶지 않은 경우 알려지는 경로 수가 100개 미만이 되도록 경로를 요약합니다.
문제가 지속되면 에지 라우터에서 피어 MTR IP 주소로 /traceroute/ 패킷 캡처를 수행하십시오. AWS Direct Connect 엔터프라이즈 AWS 지원 플랜을 사용하여 Support와 테스트 결과를 공유하십시오.

ISP AWS 지역에 대한 공용 인터넷 연결

서비스 링크 연결에 공용 인터넷을 사용할 ISP 때 다음 체크리스트를 사용하여 네트워크를 통해 연결된 에지 라우터 문제를 해결하십시오.

인터넷 링크가 작동 중인지 확인합니다.
를 통해 연결된 에지 디바이스에서 공용 서버에 액세스할 수 있는지 확인하십시오. ISP

ISP링크를 통해 인터넷 또는 공용 서버에 액세스할 수 없는 경우 다음 단계를 완료하십시오.

ISP라우터와의 BGP 피어링 상태가 설정되었는지 확인하십시오.
1. 가 펄럭이지 않는지 확인하십시오. BGP
2. 에서 필요한 경로를 수신하고 광고하고 있는지 확인하십시오. BGP ISP
고정 경로 구성의 경우 엣지 장치에 기본 경로가 제대로 구성되어 있는지 확인합니다.
다른 ISP 연결을 사용하여 인터넷에 연결할 수 있는지 확인하십시오.
문제가 지속되면 에지 라우터에서 MTR /traceroute/ 패킷 캡처를 수행하십시오. 추가 문제 해결을 위해 해당 기술 지원 팀과 결과를 공유하세요ISP.

ISP링크를 통해 인터넷 및 공용 서버에 액세스할 수 있는 경우 다음 단계를 완료하십시오.

Outpost 홈 지역의 공개적으로 액세스할 수 있는 EC2 인스턴스 또는 로드 밸런서가 에지 디바이스에서 액세스할 수 있는지 확인하십시오. 핑 또는 텔넷을 사용하여 연결을 확인한 다음 traceroute를 사용하여 네트워크 경로를 확인할 수 있습니다.
를 사용하여 네트워크에서 트래픽을 VRFs 분리하는 경우 서비스 VRF 링크에 트래픽을 ISP (인터넷) 과 주고 받는 라우트 또는 정책이 있는지 확인하십시오. VRF 다음 체크포인트를 참조하세요.
1. 에 ISP 연결되는 에지 라우터. 에지 라우터의 ISP VRF 라우팅 테이블을 확인하여 서비스 링크 IP 주소 범위가 존재하는지 확인합니다.
2. Outpost에 연결하는 고객 로컬 네트워크 장치. 의 구성을 확인하고 서비스 VRFs 링크와 서비스 링크 간의 연결에 필요한 라우팅 VRF 및 정책이 제대로 구성되어 ISP VRF 있는지 확인하십시오. 일반적으로 ISP VRF 인터넷으로 전달되는 트래픽에 VRF 대해 에서 서비스 링크로 기본 경로가 전송됩니다.
3. Outpost에 연결된 라우터에서 소스 기반 라우팅을 구성한 경우 구성이 올바른지 확인하세요.
온-프레미스 방화벽이 Outpost 서비스 링크 IP 주소 범위에서 퍼블릭 IP 주소 범위로의 아웃바운드 연결 (TCP1025-65535 및 UDP 443 포트) 을 허용하도록 구성되어 있는지 확인하십시오. AWS 방화벽이 상태 저장 방식이 아닌 경우 Outpost에 대한 인바운드 연결도 구성되었는지 확인하세요.
Outpost의 NAT 서비스 링크 IP 주소 범위를 공용 IP 주소로 변환하도록 온-프레미스 네트워크에 구성되어 있는지 확인하십시오. 또한 다음 항목을 확인하세요.
1. NAT디바이스에 과부하가 걸리지 않으며 새 세션에 할당할 수 있는 무료 포트가 있습니다.
2. NAT장치가 주소 변환을 수행하도록 올바르게 구성되었습니다.

문제가 지속되면 MTR /traceroute/ 패킷 캡처를 수행하십시오.

결과 온프레미스 네트워크에서 패킷이 삭제되거나 차단된 것으로 나타나면 네트워크 또는 기술팀에 문의하여 추가 지침을 확인하세요.
결과 패킷이 해당 네트워크에서 삭제되거나 차단된 것으로 나타나면 해당 기술 ISP 지원 팀에 문의하십시오. ISP
결과에 문제가 없는 경우 모든 테스트 결과 (예: 텔넷, 추적 경로, 패킷 캡처MTR, BGP 로그) 를 수집하고 Enterprise AWS 지원 플랜을 사용하여 Support에 문의하십시오.

Outposts는 두 개의 방화벽 장치 뒤에 있습니다.

Outpost를 고가용성 동기화 방화벽 쌍이나 독립형 방화벽 두 개 뒤에 설치한 경우 서비스 링크의 비대칭 라우팅이 발생할 수 있습니다. 즉, 인바운드 트래픽은 방화벽-1을 통과하고 아웃바운드 트래픽은 방화벽-2를 통과할 수 있습니다. 다음 체크리스트를 사용하여 서비스 링크의 잠재적인 비대칭 라우팅을 식별하십시오. 특히 이전에 제대로 작동하고 있었다면 더욱 그렇습니다.

회사 네트워크 라우팅 설정에 최근 변경 사항이나 지속적인 유지 관리로 인해 방화벽을 통한 서비스 링크의 비대칭 라우팅이 발생했을 수 있는 부분이 있는지 확인하십시오.
- 방화벽 트래픽 그래프를 사용하여 서비스 연결 문제의 시작과 일치하는 트래픽 패턴의 변경 사항을 확인하세요.
- 방화벽 간의 연결 테이블을 더 이상 동기화하지 못하게 하는 원인이 될 수 있는 부분적인 방화벽 장애 또는 분리형 방화벽 쌍 시나리오가 있는지 확인하세요.
- 서비스 링크 문제의 시작과 일치하는 회사 네트워크의 링크 다운이나 최근 라우팅 변경 (OSPFISIS//EIGRP지표 변경, BGP 라우트 맵 변경) 이 있는지 확인하세요.
홈 지역에 대한 서비스 링크에 공용 인터넷 연결을 사용하는 경우 서비스 제공업체 유지 관리 작업으로 인해 방화벽을 통한 서비스 링크가 비대칭적으로 라우팅될 수 있습니다.
- 사용자 ISP (들) 로 연결되는 링크의 트래픽 그래프를 확인하여 서비스 연결 문제의 시작과 일치하는 트래픽 패턴의 변경 사항을 확인하십시오.
서비스 링크에 AWS Direct Connect 연결을 사용하는 경우 AWS 계획된 유지 관리로 인해 서비스 링크의 비대칭 라우팅이 트리거되었을 수 있습니다.
- AWS Direct Connect 서비스에 예정된 유지 관리 알림이 있는지 확인하세요.
- 중복 AWS Direct Connect 서비스가 있는 경우 유지 관리 조건에서 가능한 각 네트워크 경로를 통해 Outposts 서비스 링크의 라우팅을 사전에 테스트할 수 있습니다. 이를 통해 서비스 중 하나가 중단되면 AWS Direct Connect 서비스 링크가 비대칭적으로 라우팅될 수 있는지 테스트할 수 있습니다. end-to-end 네트워크 연결 AWS Direct Connect 부분의 복원력은 Resiliency with AWS Direct Connect Resiliency Toolkit에서 테스트할 수 있습니다. 자세한 내용은 복원력 도구 키트를 사용한 AWS Direct Connect 복원력 테스트 — 장애 조치 테스트를 참조하십시오.

위의 체크리스트를 살펴보고 서비스 링크의 비대칭 라우팅을 가능한 근본 원인으로 지목한 후 다음과 같은 추가 조치를 취할 수 있습니다.

회사 네트워크 변경 사항을 되돌리거나 제공업체가 계획한 유지 관리가 완료될 때까지 기다려 대칭 라우팅을 복원하십시오.
방화벽 중 하나 또는 둘 다에 로그인하고 명령줄에서 모든 흐름에 대한 모든 흐름 상태 정보를 지우십시오 (방화벽 공급업체에서 지원하는 경우).
다른 방화벽을 통해 대칭 라우팅을 강제하려면 방화벽 중 하나를 통해 BGP 알림을 일시적으로 필터링하거나 한 방화벽의 인터페이스를 종료하십시오.
방화벽 메모리에 있는 서비스 링크 트래픽의 흐름 상태 추적에서 잠재적인 손상을 제거하려면 각 방화벽을 차례로 재부팅하십시오.
방화벽 벤더에 문의하여 포트 443에서 시작되고 포트 443으로 향하는 UDP 연결의 UDP 흐름 상태 추적을 확인하거나 완화하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

서비스 링크

로컬 게이트웨이