[AWS] AWS Transit Gateway와 다중 Customer Gateway 간 Site-to-Site VPN 연결 이중화 구성 (BGP)

🌎 환경

신규로 통신이 필요한 외부 네트워크와 VPN으로 연결하고자 한다. Client Network 정책 상 두 개의 vpn ip를 제공하여 각각을 primary, secondary 터널로 이용한다.

AWS에서는 Client와 Site-to-Site VPN을 연결하기 위해 제공받은 IP로 두 개의 Customer Gateway를 생성하였고 각 CGW에 대해서 Site-to-Site VPN connection을 생성하였다. Client는 BGP를 지원하여 AWS의 VPN Connection은 dynamic 타입으로 생성하였고 AWS 내 VPN 타겟 타입은 기존 구성되어 있는 Transit Gateway로 지정하였다. 마지막으로, 생성한 VPN 연결에 대한 Transit Gateway Attachment를 2ea 생성하였다.

• Customer Gateway : 2ea
• Site-to-Site VPN Connection : 2ea
  • type: dynamic
  • target gateway type: transit gateway
• Transit Gateway Attachment : 2ea

 

 

☄️ 문제

생성한 VPN 연결은 2개이지만 한 연결 당 한 터널만 up 상태이기 때문에 up인 터널에 대해서 장애 발생 시 동일한 연결에 있는 터널이 up되는 것이 아니고, 다른 VPN 연결이 통신에 이용되어야 한다. 즉, vpn-01에 tunnel-01(up), tunnel-02(down)가 있고 vpn-02에 tunnel-03(up), tunnel-04(down)가 있는데 평소 통신할 때 사용하던 vpn-01의 tunnel-01에 문제가 생기면 vpn-02를 통신에 이용해야 한다. 그렇기 때문에 transit gateway의 route table에서 외부 네트워크 대역에 대해 vpn-01과 연결한 tgw attachment 가 vpn-02와 연결된 tgw attachment로 자동으로 변경되어야 한다.

trangit gateway routing table에서는 같은 CIDR 대역에 대해서 다른 attachment로 라우팅을 추가할 수가 없다. route table에 명시된 attachment(vpn-01)에 문제가 생기는 경우, route table은 BLACKHOLE을 가리키게 된다. 따라서 transit gateway route table에서 수동으로 동일한 CIDR 대역에 대해 다른 attachment(vpn-02)로 변경해주어야 한다.

 

---

 

🔫 해결 방법

Static Route를 이용하지 않고  attachment를 모두 propagation으로 생성한다.

propagation을 생성하면 해당 CIDR 대역에 대해 propagted type으로 경로가 하나 생성된다. 

Fail-Over 테스트 시 외부에 있는 VPN 장비에서 임의로 vpn-01 터널을 다운 시키면 transit gateway의 route table에서 자동으로 attachment가 변경된다. 즉 primary vpn connection에서 secondary vpn connection으로 라우팅 경로가 자동으로 변경된다.

🚨 주의 🚨
CIDR 대역을 prefix list로 관리하여 Transit Gateway에 Prefix list references로 추가해도 route type이 propagated로 표시된다. 하지만 이 경우에는 vpn connection이 다운되어도 자동으로 attachment를 변경해주지 않으니 주의하자.

---

동적 VPN을 사용하면 여러 VPN 연결을 동일한 Transit Gateway 타겟으로 구성하고 BGP 속성에 따라 Active/Passive로 설정할 수 있으므로 중단이 발생하지 않는다. Dynamic으로 구성된 중복 VPN 터널을 통해 외부망에서 advertise 되는 BGP 경로가 다음 hop을 2개의 VPN 연결로 사용하여 TGW로 자동으로 전파된다.

 

AWS로 VPN 연결하는 외부 네트워크에서는 설정 관련하여 아래와 같은 AWS Support ticket 답변을 받았다.

“

트래픽에 영향을 줄 수 있는 방법과 관련하여 AWS로의 아웃바운드 트래픽을 극대화하기 위해 온프레미스 측에서 기본 터널에 대한 “High Local preference” BGP 속성을 사용하고, AWS에서 온프레미스로 반환되는 트래픽이 항상 기본 (Primary) 터널 경로를 따르도록, 보조 터널 (Secondary)에 “AS path prepending” BGP 속성을 사용하여 두 VPN 연결 모두에 동일한 경로를 알릴 수 있습니다.

VPN-ABC (터널 1) - Local Preference: 500 | AS PATH : 65270

VPN-XYZ (터널 3) - Local Preference: 300 | AS PATH : 65270 65270 65270

”

 

AWS Site-to-Site VPN은 연결되는 외부의 VPN 장비의 설정을 따라간다고 하니 참조합시다.

 

 

---

🔗 참고 링크

1. AWS Docs: AWS Transit Gateway와 VPN의 조합 (에서 두번째 다이아그램)
2. AWS Docs: 전송 게이트웨이를 통한 다중 Site-to-Site VPN 연결
3. AWS Docs: AWS Transit Gateway + AWS Site-to-Site VPN