고객 게이트웨이 디바이스 - AWS Site-to-Site VPN

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

고객 게이트웨이 디바이스

고객 게이트웨이 디바이스는 온프레미스 네트워크(Site-to-Site VPN 연결에서 사용자 측)에서 소유하거나 관리하는 물리적 또는 소프트웨어 어플라이언스입니다. 사용자 또는 네트워크 관리자가 Site-to-Site VPN 연결 작업을 수행하도록 디바이스를 구성해야 합니다.

다음 다이어그램에서는 사용자의 네트워크, 고객 게이트웨이 디바이스와, 가상 프라이빗 게이트웨이(VPC에 연결됨)가 되는 VPN 연결을 보여줍니다. 고객 게이트웨이와 가상 프라이빗 게이트웨이 사이의 두 줄은 VPN 연결을 위한 터널을 나타냅니다. 내부에 기기 장애가 발생하는 경우 AWS, VPN 연결이 자동으로 두 번째 터널로 페일오버되므로 액세스가 중단되지 않습니다. AWS 또한 때때로 VPN 연결에 대한 정기 유지 관리를 수행하는데, 이로 인해 VPN 연결의 두 터널 중 하나가 잠시 비활성화될 수 있습니다. 자세한 설명은 Site-to-Site VPN 터널 엔드포인트 교체 섹션을 참조하세요. 따라서 고객 게이트웨이 디바이스를 구성할 때 두 개의 터널을 사용하도록 구성하는 것이 중요합니다.


            개략적인 고객 게이트웨이 개요

VPN 연결을 설정하는 단계는 AWS Site-to-Site VPN 시작하기 단원을 참조하십시오. 이 과정에서 에서 AWS 고객 게이트웨이 리소스를 생성하여 장치에 AWS 대한 정보 (예: 공용 IP 주소) 를 제공합니다. 자세한 설명은 Site-to-Site VPN 연결을 위한 고객 게이트웨이 옵션 섹션을 참조하세요. 의 고객 게이트웨이 리소스는 고객 게이트웨이 디바이스를 구성하거나 생성하지 AWS 않습니다. 디바이스를 직접 구성해야 합니다.

AWS Marketplace에서 소프트웨어 VPN 어플라이언스를 찾을 수도 있습니다..

구성 파일 예시

VPN 연결을 생성한 뒤에는 Amazon VPC 콘솔에서 AWS-제공 샘플 구성 파일을 다운로드하거나 EC2 API를 사용할 추가 옵션이 주어집니다. 자세한 정보는 6단계: 구성 파일 다운로드을 참조하세요 정적 라우팅과 동적 라우팅에 특히 적용되는 샘플 구성의 zip 파일을 다운로드할 수도 있습니다.

zip 파일 다운로드

AWS제공된 샘플 구성 파일에는 고객 게이트웨이 디바이스를 구성하는 데 사용할 수 있는 VPN 연결 관련 정보가 들어 있습니다. 이러한 디바이스별 구성 파일은 AWS가 테스트한 디바이스에서만 사용할 수 있습니다. 특정 고객 게이트웨이 디바이스가 목록에 없을 경우 일반 구성 파일을 다운로드하여 시작할 수 있습니다.

중요

구성 파일은 예시일 뿐이며 의도한 Site-to-Site VPN 연결 설정과 완전히 일치하지 않을 수 있습니다. 대부분의 AWS 지역에서는 AES128, SHA1 및 디피-헬만 그룹 2와 지역의 AES128, SHA2 및 디피-헬만 그룹 14의 사이트-사이트 간 VPN 연결에 대한 최소 요구 사항을 지정합니다. AWS GovCloud 또한 인증을 위해 사전 공유 키를 지정합니다. 추가 보안 알고리즘, Diffie-Hellman 그룹, 프라이빗 인증서 및 IPv6 트래픽을 활용하려면 예제 구성 파일을 수정해야 합니다.

참고

이러한 AWS 기기별 구성 파일은 에서 최선을 다해 제공합니다. 에서 테스트를 AWS 거쳤지만 이 테스트는 제한적입니다. 구성 파일에 문제가 발생하는 경우 추가 지원을 받으려면 특정 공급 업체에 연락해야 할 수 있습니다.

다음 표에는 IKEv2를 지원하도록 업데이트되어 다운로드할 수 있는 예제 구성 파일을 포함한 디바이스 목록이 나와 있습니다. 널리 사용되는 고객 게이트웨이 디바이스에 대한 구성 파일에 IKEv2 지원을 도입했으며 앞으로도 꾸준히 추가 파일을 추가할 예정입니다. 이 목록은 예제 구성 파일이 추가되면 업데이트됩니다.

공급 업체 플랫폼 소프트웨어

체크포인트

Gaia

R80.10 이상

Cisco Meraki

MX 시리즈

15.12 이상 (WebUI)

Cisco Systems

ASA 5500 시리즈

ASA 9.7 이상 VTI

Cisco Systems

CSRv AMI

IOS 12.4 이상

Fortinet

Fortigate 40 이상 시리즈

FortiOS 6.4.4 이상 (GUI)

Juniper Networks

J-Series 라우터

JunOS 9.5 이상

Juniper Networks

SRX 라우터

JunOS 11.0 이상

Mikrotik

RouterOS

6.44.3

Palo Alto Networks

PA 시리즈

PANOS 7.0 이상

SonicWall

NSA, TZ

OS 6.5

Sophos 

Sophos 방화벽

v19 이상

Strongswan

Ubuntu 16.04

Stronswan 5.5.1 이상

Yamaha

RTX 라우터

Rev.10.01.16 이상

고객 게이트웨이 디바이스 요구 사항

앞에 나온 예제 목록에 없는 디바이스를 보유하고 있다면, 이 단원에 이를 사용하여 Site-to-Site VPN에 연결하기 위해 디바이스가 충족해야 하는 요구 사항이 설명되어 있으므로 그 내용을 참조하시기 바랍니다.

고객 게이트웨이 디바이스의 구성을 위한 4가지 주요 파트가 있습니다. 다음 기호는 구성의 각 부분을 나타냅니다.


                                    IKE

인터넷 키 교환(IKE) 보안 연결. IPsec 보안 연결 설정에 사용되는 키 교환에 필요합니다.


                                    IPsec

IPsec 보안 연결. 터널의 암호화, 인증 등을 처리합니다.


                                    터널

터널 인터페이스. 터널과 주고받는 트래픽을 수신합니다.


                                    BGP

(선택 사항) BGP(Border Gateway Protocol) 피어링. BGP를 사용하는 디바이스의 경우, 고객 게이트웨이 디바이스와 가상 프라이빗 게이트웨이 간에 라우팅을 교환합니다.

다음 표에는 고객 게이트웨이 디바이스의 요구 사항, 관련 RFC(참조용) 및 요구 사항에 대한 설명이 나와 있습니다.

각 VPN 연결은 두 개의 별개 터널로 구성됩니다. 각 터널에는 IKE 보안 연결, IPsec 보안 연결 및 BGP 피어링이 포함되어 있습니다. 터널당 1개의 고유한 보안 연결(SA) 페어(인바운드 1개, 아웃바운드 1개)로 제한되며 따라서 2개의 터널에는 총 2개의 고유한 SA 페어(4개의 SA)로 제한됩니다. 일부 디바이스는 정책 기반 VPN을 사용하고 ACL 항목만큼 많은 SA를 만듭니다. 따라서 불필요한 트래픽은 허용하지 않도록 규칙을 통합한 다음 필터링해야 할 수도 있습니다.

기본적으로 VPN 터널은 트래픽이 생성되고 VPN 연결의 사용자 측에서 IKE 협상이 시작될 때 가동합니다. 대신 연결 AWS 측에서 IKE 협상을 시작하도록 VPN 연결을 구성할 수 있습니다. 자세한 설명은 Site-to-Site VPN 터널 시작 옵션 섹션을 참조하세요.

VPN 엔드포인트는 키 재지정을 지원하며, 고객 게이트웨이 디바이스가 재협상 트래픽을 전송하지 않은 경우, 1단계가 만료되려 할 때 재협상을 시작할 수 있습니다.

요구 사항 RFC 설명

IKE 보안 연결 설정


                                        IKE

RFC 2409

RFC 7296

IKE 보안 연결은 인증자로 사용되는 AWS Private Certificate Authority 사전 공유 키 또는 사설 인증서를 사용하여 가상 프라이빗 게이트웨이와 고객 게이트웨이 디바이스 간에 먼저 설정됩니다. 연결을 설정할 때 IKE에서 임시 키를 협상하여 이후의 IKE 메시지를 보호합니다. 암호화 및 인증 파라미터를 포함하여 파라미터 간에 완전한 동의가 있어야 합니다.

에서 AWS VPN 연결을 생성할 때 각 터널에 대해 미리 공유한 키를 직접 지정하거나 직접 생성하도록 AWS 할 수 있습니다. 또는 고객 게이트웨이 AWS Private Certificate Authority 디바이스에 사용할 사설 인증서를 지정할 수도 있습니다. VPN 터널 구성에 대한 자세한 내용은 Site-to-Site VPN 연결의 터널 옵션 단원을 참조하십시오.

IKEv1 및 IKEv2 버전이 지원됩니다.

IKEv1에서만 기본 모드를 지원합니다.

Site-to-Site VPN 서비스는 경로 기반 솔루션입니다. 정책 기반 구성을 사용하는 경우 구성을 단일 보안 연결(SA)로 제한해야 합니다.

터널 모드에서 IPsec 보안 연결을 설정합니다.


                                        IPsec

RFC 4301

IKE 휘발성 키를 사용하여 가상 프라이빗 게이트웨이와 고객 게이트웨이 디바이스 간에 IPsec 보안 연결(SA)을 형성하기 위한 키가 설정됩니다. 게이트웨이 간 트래픽은 이 SA를 사용하여 암호화되고 해독됩니다. IPsec SA 내에서 트래픽을 암호화하는 데 사용되는 휘발성 키는 통신의 기밀성 보장을 위해 IKE가 정기적으로 자동으로 순환하여 사용합니다.

AES 128비트 암호화 또는 AES 256비트 암호화 기능을 사용합니다.

RFC 3602

이 암호화 기능은 IKE 및 IPsec 연결 보안의 개인 정보를 보호하는 데 사용됩니다.

SHA-1 또는 SHA-2(256) 해싱 기능을 사용합니다.

RFC 2404

이 해시 기능은 IKE 및 IPsec 연결 보안을 모두 인증하는 데 사용됩니다.

Diffie-Hellman Perfect Forward Secrecy를 사용합니다.

RFC 2409

IKE는 Diffie-Hellman을 사용하여 고객 게이트웨이 디바이스와 가상 프라이빗 게이트웨이 사이의 모든 통신을 보호하기 위한 휘발성 키를 설정합니다.

다음 그룹이 지원됩니다.

  • 1단계 그룹: 2, 14-24

  • 2단계 그룹: 2, 5, 14-24

(동적으로 라우팅된 VPN 연결) IPsec Dead Peer Detection 사용

RFC 3706

Dead Peer Detection은 VPN 디바이스가 네트워크 상태가 인터넷을 통한 패킷 전달을 막는 시점을 빠르게 식별할 수 있습니다. 이런 문제가 발생하면 게이트웨이가 보안 연결을 삭제하고 새 연결을 생성하려 시도합니다. 이 프로세스 중에 가능하면 대체 IPsec 터널이 사용됩니다.

(동적으로 라우팅된 VPN 연결) 터널을 논리 인터페이스에 바인딩(라우팅 기반 VPN)


                                        Tunnel

None

디바이스에서 IPsec 터널을 논리적 인터페이스에 바인딩할 수 있어야 합니다. 논리적 인터페이스에는 가상 프라이빗 게이트웨이에 대한 BGP 피어링을 설정하는 데 사용되는 IP 주소가 있습니다. 이 논리적 인터페이스가 추가적인 캡슐화(예: GRE 또는 IP in IP)를 수행하면 안 됩니다. 인터페이스를 1399바이트의 최대 전송 단위(MTU)로 설정해야 합니다.

(동적으로 라우팅된 VPN 연결) BGP 피어링 설정


                                        BGP

RFC 4271

BGP는 BGP를 사용하는 디바이스에 대해 고객 게이트웨이 디바이스와 가상 프라이빗 게이트웨이 간에 라우팅을 교환하는 데 사용됩니다. 모든 BGP 트래픽이 암호화되어 IPsec 보안 연결을 통해 전송됩니다. BGP는 두 게이트웨이 모두 IPsec SA를 통해 도달 가능한 IP 접두사를 교환하는 데 필요합니다.

AWS VPN 연결은 경로 MTU 검색 (RFC 1191) 을 지원하지 않습니다.

고객 게이트웨이 디바이스와 인터넷 사이에 방화벽이 있는 경우 인터넷과 고객 게이트웨이 디바이스 사이에 방화벽 구성 단원을 참조하십시오.

고객 게이트웨이 디바이스 모범 사례

패킷에 대한 ‘조각화 금지(DF)’ 플래그 재설정

어떤 패킷에는 DF(조각화 금지) 플래그라는 플래그가 있는데, 이는 패킷을 조각화하면 안 됨을 표시합니다. 패킷에 플래그가 있으면 게이트웨이가 'ICMP 경로 MTU 초과' 메시지를 생성합니다. 어떤 경우에는 애플리케이션에 이런 ICMP 메시지를 처리하고 각 패킷에 전송되는 데이터의 양을 줄이기 위한 적합한 메커니즘이 없습니다. 일부 VPN 디바이스는 필요에 따라 DF 플래그를 무시하고 패킷을 무조건 조각화할 수 있습니다. 고객 게이트웨이 디바이스에 이런 기능이 있는 경우에는 그 기능을 적절히 사용하는 것이 좋습니다. 자세한 내용은 RFC 791을 참조하세요.

암호화 전에 IP 패킷 조각화

Site-to-Site VPN 연결을 통해 전송되는 패킷이 MTU 크기를 초과하는 경우 패킷을 프래그먼트화해야 합니다. 성능 저하를 방지하려면 패킷을 암호화하기 전에 프래그먼트화하도록 고객 게이트웨이 디바이스를 구성하는 것이 좋습니다. 그러면 Site-to-Site VPN이 프래그먼트된 패킷을 재조합한 후 다음 목적지로 전달하여 네트워크를 통한 더 높은 플로우를 달성합니다. packet-per-second AWS 자세한 내용은 RFC 4459를 참조하세요.

대상 네트워크의 패킷 크기가 MTU를 초과하지 않는지 확인하십시오.

Site-to-Site VPN은 고객 게이트웨이 디바이스에서 수신한 프래그먼트된 패킷을 다음 대상으로 전달하기 전에 재구성하므로, 대상 네트워크에서 패킷이 다음에 전달되는 경우 (예: 오버) 에 대한 패킷 크기/MTU 고려 사항이 있을 수 있다는 점을 염두에 두십시오. AWS Direct Connect

사용 중인 알고리즘에 따라 MTU 및 MSS 크기 조정

TCP 패킷은 종종 IPsec 터널 전반에 걸쳐 가장 일반적인 유형의 패킷입니다. Site-to-Site VPN은 1446바이트의 최대 전송 단위(MTU)와 상응하는 1406바이트의 최대 세그먼트 크기 (MSS)를 지원합니다. 그러나 암호화 알고리즘은 헤더 크기가 다양하므로 이러한 최대값을 달성하지 못할 수 있습니다. 조각화를 방지하여 최적의 성능을 얻으려면 사용하는 구체적인 알고리즘을 기반으로 MTU 및 MSS를 설정하는 것이 좋습니다.

다음 표를 사용하여 조각화를 방지하고 최적의 성능을 달성하도록 MTU/MSS를 설정하세요.

암호화 알고리즘 해싱 알고리즘 NAT 주소 변환 MTU MSS(IPv4) MSS(IPv6-in-IPv4)

AES-GCM-16

N/A

disabled

1446

1406

1386

AES-GCM-16

N/A

enabled

1438

1398

1378

AES-CBC

SHA1/SHA2-256

disabled

1438

1398

1378

AES-CBC

SHA1/SHA2-256

enabled

1422

1382

1362

AES-CBC

SHA2-384

disabled

1422

1382

1362

AES-CBC

SHA2-384

enabled

1422

1382

1362

AES-CBC

SHA2-512

disabled

1422

1382

1362

AES-CBC

SHA2-512

enabled

1406

1366

1346

참고

AES-GCM 알고리즘은 암호화와 인증을 모두 포함하므로 MTU에 영향을 미치는 고유 인증 알고리즘 선택 옵션이 없습니다.

인터넷과 고객 게이트웨이 디바이스 사이에 방화벽 구성

고객 게이트웨이 디바이스를 엔드포인트에 연결하는 IPsec 터널의 엔드포인트로 사용하려면 고정 IP 주소가 있어야 합니다. AWS Site-to-Site VPN 고객 게이트웨이 AWS 디바이스와 고객 게이트웨이 디바이스 사이에 방화벽이 설치되어 있는 경우 IPsec 터널을 설정하려면 다음 표의 규칙을 적용해야 합니다. AWS-side의 IP 주소는 구성 파일에 있습니다.

입력 규칙 I1

소스 IP

Tunnel1 외부 IP

대상 IP

고객 게이트웨이

프로토콜

UDP

원본 포트

500

대상 주소

500

입력 규칙 I2

소스 IP

Tunnel2 외부 IP

대상 IP

고객 게이트웨이

프로토콜

UDP

원본 포트

500

대상 포트

500

입력 규칙 I3

소스 IP

Tunnel1 외부 IP

대상 IP

고객 게이트웨이

프로토콜

IP 50(ESP)

입력 규칙 I4

소스 IP

Tunnel2 외부 IP

대상 IP

고객 게이트웨이

프로토콜

IP 50(ESP)

출력 규칙 O1

소스 IP

고객 게이트웨이

대상 IP

Tunnel1 외부 IP

프로토콜

UDP

원본 포트

500

대상 포트

500

출력 규칙 O2

소스 IP

고객 게이트웨이

대상 IP

Tunnel2 외부 IP

프로토콜

UDP

원본 포트

500

대상 포트

500

출력 규칙 O3

소스 IP

고객 게이트웨이

대상 IP

Tunnel1 외부 IP

프로토콜

IP 50(ESP)

출력 규칙 O4

소스 IP

고객 게이트웨이

대상 IP

Tunnel2 외부 IP

프로토콜

IP 50(ESP)

규칙 I1, I2, O1 및 O2를 사용하여 IKE 패킷을 전송할 수 있습니다. 규칙 I3, I4, O3 및 O4를 사용하여 암호화된 네트워크 트래픽을 포함한 IPsec 패킷을 전송할 수 있습니다.

참고

디바이스에서 NAT 트래버설 (NAT-T) 을 사용하는 경우 포트 4500의 UDP 트래픽도 네트워크와 엔드포인트 간에 전달되도록 허용해야 합니다. AWS Site-to-Site VPN 디바이스가 NAT-T를 알리는지 확인하십시오.

다중 VPN 연결 시나리오

다음은 하나 이상의 고객 게이트웨이 디바이스를 사용하여 여러 VPN 연결을 만들 수 있는 시나리오입니다.

동일한 고객 게이트웨이 디바이스를 사용하여 여러 VPN 연결

온프레미스 위치에서 동일한 고객 게이트웨이 디바이스를 사용하여 다른 VPC에 대한 VPN 연결을 추가로 생성할 수 있습니다. 이러한 VPN 연결 각각에 대해 동일한 고객 게이트웨이 IP 주소를 재사용할 수 있습니다.

두 번째 고객 게이트웨이 디바이스를 사용하여 중복 VPN 연결

고객 게이트웨이 디바이스를 사용할 수 없을 때 연결이 끊어지지 않도록 두 번째 고객 게이트웨이 디바이스를 사용하여 두 번째 VPN 연결을 설정할 수 있습니다. 자세한 설명은 중복 Site-to-Site VPN 연결을 사용하여 장애 조치 제공 섹션을 참조하세요. 단일 위치에 중복 고객 게이트웨이 디바이스를 설정하는 경우 두 디바이스가 모두 같은 IP 범위를 공고해야 합니다.

여러 고객 게이트웨이 디바이스에서 단일 가상 프라이빗 게이트웨이로 () AWS VPN CloudHub

여러 고객 게이트웨이 디바이스에서 단일 가상 프라이빗 게이트웨이로 VPN 연결을 여러 개 설정할 수 있습니다. 이렇게 하면 여러 위치를 AWS VPN에 연결할 수 CloudHub 있습니다. 자세한 설명은 VPN CloudHub를 사용하여 사이트 간에 보안 통신 제공 섹션을 참조하세요. 고객 게이트웨이 디바이스가 여러 지리적 위치에 분산되어 있을 때, 각 디바이스는 해당 위치에 특정한 고유의 IP 범위 집합을 공고해야 합니다.

고객 게이트웨이 디바이스의 라우팅

AWS 가상 프라이빗 게이트웨이의 라우팅 결정에 영향을 미치도록 특정 BGP 경로를 광고할 것을 권장합니다. 디바이스 관련 명령에 대해서는 공급업체 설명서를 참조하십시오.

여러 개의 VPN 연결을 생성할 때, 가상 프라이빗 게이트웨이는 고정으로 배정되는 경로 또는 BGP 경로 알림을 사용하여 알맞은 VPN 연결로 네트워크 트래픽을 보냅니다. 라우팅은 VPN 연결의 구성 방식에 따라 다릅니다. 가상 프라이빗 게이트웨이에 동일한 경로가 존재하는 경우에는 BGP에서 알려주는 경로보다 고정으로 배정된 경로가 우선됩니다. BGP 광고를 사용하는 옵션을 선택하면 정적 라우팅을 지정할 수 없습니다.

라우팅 우선 순위에 대한 자세한 내용은 라우팅 테이블 및 VPN 라우팅 우선 순위 단원을 참조하십시오.