AWSのよくある質問(FAQ)

以下の質問のいずれかをクリックすると、提案や解決策が表示されます。

Direct Connect接続のバックアップとしてVPNを設定するにはどうすればよいですか?

AWS Direct Connect接続でフェイルオーバー用のバックアップVPN接続を設定しようとしています。推奨事項やベストプラクティスはありますか?

解決策

Direct Connect接続のバックアップとしてハードウェアVPNを設定するには:

  • Direct ConnectとVPCへのVPN接続の両方に、同じ仮想プライベートゲートウェイを使用していることを確認してください。
  • ボーダーゲートウェイプロトコル(BGP)VPNを設定している場合は、Direct ConnectとVPNに同じプレフィックスをアドバタイズします。
  • 静的VPNを設定している場合は、Direct Connect仮想インターフェイスでアナウンスしているものと同じ静的プレフィックスをVPN接続に追加します。
  • AWS VPCに向けて同じルートをアドバタイズする場合、ASパスの先頭は関係なく、Direct Connectパスが常に優先されます。

重要

非対称ルーティングを回避するために、Direct Connect仮想インターフェイスが稼働しているときは、Direct ConnectがVPN経由ではなく、エンドからの優先ルートであることを確認してください。これにより、トラフィックがドロップされる可能性があります。常にVPNルートよりもDirect Connect接続を優先します。ルートの優先度とルーティングオプションの詳細については、次のAWSトピックを参照してください。ルーティングの優先度

注意

短期間または低コストのソリューションが必要な場合は、Direct Connect接続のフェイルオーバーオプションとして、ハードウェアVPNの設定を検討してください。VPN接続は、ほとんどのDirect Connect接続で利用できるのと同じレベルの帯域幅を提供するようには設計されていません。Direct Connect接続のバックアップとしてVPNを設定する場合は、ユースケースまたはアプリケーションが低い帯域幅を許容できることを確認してください。

Direct Connectで使用するためにBFDを有効にするにはどうすればよいですか?

双方向フォワーディング検出(BFD)は、ネットワーク障害検出プロトコルであり、障害検出時間を高速化することで、動的ルーティングプロトコルの再収束時間を短縮します。メディア、ルーティングプロトコル、データには依存しません。複数のAWS Direct Connect接続を設定する場合、または単一のAWS Direct Connect接続とVPN接続をバックアップとして設定する場合は、BFDを有効にして、高速な検出とフェイルオーバーを確保することをお勧めします。Direct ConnectがBGPピアリングをすばやく終了してバックアップルートを開始できるように、リンクまたはパスの障害を検出し、動的ルーティングを更新するようにBFDを設定できます。これにより、90秒のホールドダウン時間で3つのキープアライブが失敗するのを待つのではなく、双方向フォワーディング検出(BGP)ネイバー関係が迅速に無効化されます。

解決策

BFD間隔はBFDパケットを送信する頻度を指定し、min_rxはルーターがパケットを受信すると予想される頻度を指定し、乗数はBGPネイバー関係がダウンしていると見なされる前に見逃すことができる数を指定します。

非同期BFDは、AWS側のDirect Connect仮想インターフェイスごとに自動的に有効になりますが、ルーターで設定されるまでは有効になりません。Direct Connectのデフォルトでは、BFD生体検知の最小間隔は300ミリ秒、BFD生体検知の乗数は3に設定されています。

ネットワークデバイスでBFDエコーモードを使用する前に、インターネット制御メッセージプロトコル(ICMP)の送信を無効にし、no ip redirectコマンドを使用してメッセージをリダイレクトして、CPU使用率が高くならないようにする必要があります。

Direct Connect接続をアクティブ/パッシブに設定するにはどうすればよいですか?

AWS Direct Connectを使用して本番環境のワークロードをAWSとの間で転送する場合は、単一のポートまたはペアのDC内の物理ポート接続(ディスクリートまたはLAG/LACPのいずれか)から、または複数のDC場所に分散して、デュアルDirect Connect仮想回線を使用することをお勧めします。

以下を設定できます。

  • 単一ポイントのデバイス障害を回避するために、プライマリおよびセカンダリDX接続を終了する2つのルーター。
  • 同じVPCで終了する各DXルーターのプライベート仮想インターフェイス。 2台のルーターでHAルーティングプロトコル(HSRP、VRRF、GLBPなど)を使用して、ローカルサーバーが1台の仮想ルーターとして機能する複数のルーターを使用し、プライマリルーターが故障しても接続を維持できるようにします。セカンダリルータが引き継いでアクティブになるか、Direct Connect EBGPからルートを学習して内部のiBGPゲートウェイにプレフィックスを配布するiBGPのような内部ルーティングプロトコルを実行します。
  • アクティブ/パッシブ(フェイルオーバー)。1つの接続はトラフィックを処理し、もう1つの接続はスタンバイになります。アクティブ接続が使用できなくなった場合、すべてのトラフィックはパッシブ接続を介してルーティングされます。パッシブリンクにするためには、リンクの1つでルートの先頭にASパスを追加する必要があります。 詳細については、AWS Direct Connectの冗長接続を設定する)を参照してください。

ローカルプリファレンス属性は、ローカル自律システム(AS)からの優先的な出口ポイントを識別します。ASからの出口ポイントが複数ある場合、ローカルプリファレンス属性は、特定のルートの出口ポイントを選択します。

ASパスの先頭を使用してAWSアウトバウンドトラフィックに影響を与える

BGPベストパスアルゴリズムは、自律システムへの最適なパスを選択する方法を決定します。最適なパスを決定するための共通値は、ASパスの長さです。プレフィックスに到達するために2つ以上のルートが存在する場合、BGPのデフォルトでは、ASパスが最も短いルートが優先されます。

セカンダリルーターはより長いASパスをアドバタイズするため、VPCからネットワークへのトラフィックは常にプライマリルーターを経由します。

パブリック仮想インターフェイスが「検証中」の状態で停止しています。どうすればよいですか?

パブリック仮想インターフェイスを作成し、パブリックピアIPアドレスを指定する場合、AWS Direct Connectチームの承認が必要となります(プライベートVIF/VXCはこの承認を必要とせず、数分以内に利用可能になります)。パブリックIPプレフィックスまたはパブリックASNを承認する前に、AWS Direct ConnectチームはパブリックIPプレフィックスとBGP ASNの所有権を確認する必要があります。AWS Direct Connectチームは、地域レジストリがAWSアカウントにリストされている組織名に属していることを確認することで、所有権を確認します。

解決策

パブリック仮想インターフェイスの状態が72時間以上検証中の状態にある場合は、AWSアカウントに登録されているメールアドレスを確認してください。BGP ASNの所有者またはアドバタイズされたルートのいずれかがアカウントの詳細と一致しない場合は、AWS Direct Connectチームからメールが届いている可能性があります。

BGP ASNまたはアドバタイズされたルートがアカウントと一致しない場合は、次を実行できます。

  • IPアドレスの所有者にdirectconnect-requests@amazon.comへのメールの送信を依頼し、パブリック仮想インターフェイスdxvif-xxxに対して、パブリックIPプレフィックスの承認を許可することを伝えてもらいます。

    または

  • IPアドレスの所有者に、会社のレターヘッドを使用した承認書を提出してもらうか、AWSアカウントでパブリック仮想インターフェイスdxvif-xxxのパブリックIPプレフィックスの使用を承認するメールを送信してもらうように依頼します。次に、Direct Connectパブリック仮想インターフェイスを所有するアカウントにサインインし、ケースを開き、承認書をケースに添付します。

AWSコンソールで仮想インターフェイスのBGPステータスがダウンしています。どうすればよいですか?

OSIレイヤー2またはボーダーゲートウェイプロトコル(BGP)の設定の問題が原因で、仮想インターフェイスのステータスがダウンしている可能性があります。

OSIレイヤー2の設定

まず、OSIレイヤー2が正しく設定されていることを確認します。 次の詳細を確認します。

  • デバイス(ルーターやスイッチなど)で、dot1Qカプセル化を使用して正しいVLAN IDが設定されています。VLAN IDは、VXCのAエンドサービスとして[Portal Information(ポータル情報)]タブに表示されます。

  • ピアIPアドレスは、デバイス、ポータル、AWS Direct Connectコンソールで、同じように設定されています。

  • 中間デバイスはすべて、適切なVLAN IDを使用してVLANタグ付けするように設定され、VLANタグ付きトラフィックはAWS Direct Connectエンドポイントに保持されます。

  • デバイスは、アドレス解決プロトコル(ARP)テーブルから、設定されたVLAN IDのAWS Direct Connectエンドポイントのメディアアクセスコントロール(MAC)アドレスを学習しています。

  • デバイスは、ピアIPから、AmazonピアIPソーシングにpingを実行できます。

BGP設定

OSIレイヤー2のテスト結果がポジティブの場合は、デバイスのBGP設定を確認してください。次を確認します。

  • VXCのAエンドサービスとして「Portal Information(ポータル情報)」タブに記載されているローカルASNとリモートASN。
  • VXCのAエンドサービスとして「Portal Information(ポータル情報)」タブに記載されているネイバーIPアドレスとBGP MD5パスワード。
  • デバイスは、TCPポート179(BGP)およびその他の適切なエフェメラルポートからのイングレスまたはエグレスをブロックしていない。
  • デバイスは、BGPによってAWSに100を超えるプレフィックスをアドバタイズしていない。デフォルトでは、AWS Direct ConnectでBGPセッションを使用して、AWSは最大100のプレフィックスのみを受け入れます。

これらの設定を確認すると、仮想インターフェイスのBGPステータスは上がるはずです。


最後の更新: