AWS Site-to-Site VPN 시작하기

다음 절차에 따라 AWS Site-to-Site VPN 연결을 설정합니다. 생성 과정에서 대상 게이트웨이 유형으로 가상 프라이빗 게이트웨이, 전송 게이트웨이 또는 "연결되지 않음"을 지정합니다. "연결되지 않음"으로 지정하면 나중에 대상 게이트웨이 유형을 선택하거나 AWS 클라우드 WAN용 VPN 연결로 사용할 수 있습니다. 이 자습서는 가상 프라이빗 게이트웨이를 사용하여 VPN 연결을 생성하는 데 도움이 됩니다. 하나 이상의 서브넷이 있는 기존 VPC가 있다고 가정합니다.

가상 프라이빗 게이트웨이를 사용하여 VPN 연결을 설정하려면 다음 단계를 완료하세요.

관련 작업

• AWS 클라우드 WAN용 VPN 연결을 생성하려면 AWS 클라우드 WAN용 VPN 연결 생성을 참조하세요.

• 전송 게이트웨이에서 VPN 연결을 생성하려면 전송 게이트웨이 VPN 연결 생성을 참조하세요.

필수 조건

VPN 연결 구성 요소를 설정하고 구성하려면 다음 정보가 필요합니다.

항목	정보
고객 게이트웨이 디바이스	사용자 측 VPN 연결의 물리적 또는 소프트웨어 디바이스. 공급업체(예: Cisco), 플랫폼(예: ISR 시리즈 라우터), 소프트웨어 버전(예: IOS 12.4)이 필요합니다.
고객 게이트웨이	AWS에서 고객 게이트웨이 리소스를 생성하려면 다음 정보가 필요합니다. 디바이스의 외부 인터페이스에 대한 인터넷 라우팅 가능 IP 주소입니다. 라우팅 유형: 정적 또는 동적 동적 라우팅에서 BGP(Border Gateway Protocol) ASN(자율 시스템 번호)을 입력합니다. (선택 사항) VPN을 인증하기 위한 AWS Private Certificate Authority의 사설 인증서 자세한 내용은 고객 게이트웨이 옵션 섹션을 참조하세요.
(선택 사항) AWS 측 BGP 세션의 ASN	가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 만들 때 이 옵션을 지정합니다. 값을 지정하지 않으면 기본 ASN이 적용됩니다. 자세한 정보는 가상 프라이빗 게이트웨이을 참조하십시오.
VPN 연결	VPN 연결을 생성하려면 다음 정보가 필요합니다. 정적 라우팅의 경우 프라이빗 네트워크의 IP 접두사가 사용됩니다. (선택 사항) 각 VPN 터널에 대한 터널 옵션입니다. 자세한 내용은 Site-to-Site VPN 연결의 터널 옵션 섹션을 참조하세요.

1단계: 고객 게이트웨이 생성

고객 게이트웨이는 고객 게이트웨이 디바이스 또는 소프트웨어 애플리케이션에 대한 정보를 AWS에 제공합니다. 자세한 정보는 고객 게이트웨이을 참조하십시오.

프라이빗 인증서를 사용하여 VPN을 인증하려면 를 사용하여 하위 CA에서 프라이빗 인증서를 만듭니다AWS Private Certificate Authority 프라이빗 인증서 생성에 대한 자세한 내용은 AWS Private Certificate Authority 사용 설명서의 프라이빗 CA 생성 및 관리를 참조하세요.

참고

사설 인증서의 IP 주소 또는 Amazon 리소스 이름을 지정해야 합니다.

콘솔을 사용하여 고객 게이트웨이를 생성하는 방법

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 고객 게이트웨이를 선택합니다.

3. 고객 게이트웨이 생성을 선택합니다.

4. (선택 사항) 이름 태그에 고객 게이트웨이 이름을 입력합니다. 이렇게 하면 Name 키와 지정한 값으로 태그가 생성됩니다.

5. BGP ASN에 고객 게이트웨이의 경계 경로 프로토콜(BGP) 자율 시스템 번호(ASN)를 입력합니다.

6. (선택 사항) 고객 게이트웨이 디바이스의 인터넷 라우팅 가능한 고정 IP 주소를 IP 주소(IP address)에 입력합니다. 고객 게이트웨이 디바이스가 NAT-T를 지원하는 NAT 디바이스 뒤에 상주하는 경우 NAT 디바이스의 퍼블릭 IP 주소를 사용합니다.

7. (선택 사항) 인증서 ARN에 대해 사설 인증서를 사용하려면 사설 인증서의 Amazon 리소스 이름을 선택합니다.

8. (선택 사항) 디바이스에 이 고객 게이트웨이에 연결된 고객 게이트웨이 디바이스의 이름을 입력합니다.

9. 고객 게이트웨이 생성을 선택합니다.

명령줄 또는 API를 사용하여 고객 게이트웨이를 생성하는 방법

• CreateCustomerGateway(Amazon EC2 쿼리 API)

• create-customer-gateway(AWS CLI)

• New-EC2CustomerGateway(AWS Tools for Windows PowerShell)

2단계: 대상 게이트웨이 생성

VPC와 온프레미스 네트워크 간에 VPN 연결을 설정하려면 연결의 AWS 측에 대상 게이트웨이를 생성해야 합니다. 대상 게이트웨이는 가상 프라이빗 게이트웨이 또는 전송 게이트웨이가 될 수 있습니다.

가상 프라이빗 게이트웨이 생성

가상 프라이빗 게이트웨이를 생성할 때 Amazon 측 게이트웨이의 사용자 정의 프라이빗 자율 시스템 번호(ASN)를 지정하거나 Amazon 기본 ASN을 사용할 수 있습니다. 이 ASN은 고객 게이트웨이에 지정된 ASN과 달라야 합니다.

가상 프라이빗 게이트웨이를 생성한 후 VPC에 연결해야 합니다.

가상 프라이빗 게이트웨이를 생성하여 VPC에 연결하는 방법

1. 탐색 창에서 가상 프라이빗 게이트웨이를 선택합니다.

2. 가상 프라이빗 게이트웨이 생성(Create virtual private gateway)을 선택합니다.

3. (선택 사항) 이름 태그에 가상 프라이빗 게이트웨이의 이름을 입력합니다. 이렇게 하면 Name 키와 지정한 값으로 태그가 생성됩니다.

4. 기본 Amazon ASN을 사용하려면 자율 시스템 번호(ASN)에서 기본 선택 항목인 Amazon 기본 ASN을 유지합니다. 그렇지 않으면, 사용자 지정 ASN을 선택하고 값을 입력합니다. 16비트 ASN의 경우, 값은 64512~65534 범위여야 합니다. 32비트 ASN의 경우, 값은 4200000000~4294967294 범위여야 합니다.

5. 가상 프라이빗 게이트웨이 생성(Create virtual private gateway)을 선택합니다.

6. 생성된 가상 프라이빗 게이트웨이를 선택한 후 작업(Actions), VPC에 연결(Attach to VPC)을 선택합니다.

7. 사용 가능한 VPC에서 VPC를 선택한 다음 VPC에 연결을 선택합니다.

명령줄 또는 API를 사용하여 가상 프라이빗 게이트웨이를 만드는 방법

• CreateVpnGateway(Amazon EC2 쿼리 API)

• create-vpn-gateway(AWS CLI)

• New-EC2VpnGateway(AWS Tools for Windows PowerShell)

명령줄 또는 API를 사용하여 가상 프라이빗 게이트웨이를 VPC에 연결하는 방법

• AttachVpnGateway(Amazon EC2 쿼리 API)

• attach-vpn-gateway(AWS CLI)

• Add-EC2VpnGateway(AWS Tools for Windows PowerShell)

Transit Gateway 생성

전송 게이트웨이 생성에 대한 자세한 내용은 Amazon VPC Transit Gateway의 Transit Gateway를 참조하십시오.

3단계: 라우팅 구성

VPC의 인스턴스가 고객 게이트웨이에 도달하도록 하려면 VPN 연결에 사용되는 경로를 포함하고 이 경로를 가상 프라이빗 게이트웨이 또는 전송 게이트웨이로 연결하도록 라우팅 테이블을 구성해야 합니다.

(가상 프라이빗 게이트웨이) 라우팅 테이블에서 라우팅 전파 활성화

라우팅 테이블에 대한 라우팅 전파를 활성화하여 Site-to-Site VPN 라우팅을 자동으로 전파할 수 있습니다.

정적 라우팅의 경우, VPN 구성에 지정하는 고정 IP 접두사는 VPN 연결 상태가 UP일 때 라우팅 테이블로 전파됩니다. 이와 마찬가지로 동적 라우팅의 경우, BGP를 통해 공급되고 고객 게이트웨이에서 받은 경로는 VPN 연결 상태가 UP일 때 라우팅 테이블에 전파됩니다.

참고

연결이 중단되었지만 VPN 연결이 작동 상태로 유지되면 라우팅 테이블에 있는 전파된 라우팅은 자동으로 제거되지 않습니다. 예를 들어 트래픽이 고정 라우팅으로 장애 조치되도록 하려면 이 점을 염두에 두십시오. 이 경우 전파된 라우팅을 제거하기 위해 라우팅 전파를 비활성화해야 할 수 있습니다.

콘솔을 사용하여 라우팅 전파를 활성화하는 방법

1. 탐색 창에서 라우팅 테이블(Route tables)을 선택합니다.

2. 서브넷과 연결된 라우팅 테이블을 선택합니다.

3. 라우팅 전파 탭에서 라우팅 전파 편집을 선택합니다. 이전 절차에서 생성한 가상 프라이빗 게이트웨이를 선택한 다음 저장을 선택합니다.

참고

라우팅 전파를 활성화하지 않으면 VPN 연결이 사용하는 정적 경로를 수동으로 입력해야 합니다. 이 작업을 하려면 라우팅 테이블을 선택하고 Routes, Edit를 차례로 선택합니다. Destination에 Site-to-Site VPN 연결이 사용하는 정적 경로를 추가합니다. [대상]에서 가상 프라이빗 게이트웨이 ID를 선택하고 [Save]를 선택합니다.

콘솔을 사용하여 경로 전파 비활성화

1. 탐색 창에서 라우팅 테이블(Route tables)을 선택합니다.

2. 서브넷과 연결된 라우팅 테이블을 선택합니다.

3. 라우팅 전파 탭에서 라우팅 전파 편집을 선택합니다. 가상 프라이빗 게이트웨이의 전파 확인란을 지웁니다.

4. Save를 선택합니다.

명령줄 또는 API를 사용하여 라우팅 전파를 활성화하는 방법

• EnableVgwRoutePropagation(Amazon EC2 쿼리 API)

• enable-vgw-route-propagation(AWS CLI)

• Enable-EC2VgwRoutePropagation(AWS Tools for Windows PowerShell)

명령줄 또는 API를 사용하여 정적 경로를 비활성화하는 방법

• DisableVgwRoutePropagation(Amazon EC2 쿼리 API)

• disable-vgw-route-propagation(AWS CLI)

• Disable-EC2VgwRoutePropagation(AWS Tools for Windows PowerShell)

(전송 게이트웨이) 라우팅 테이블에 라우팅 추가

전송 게이트웨이에 대해 라우팅 테이블 전파를 활성화한 경우 VPN 연결의 라우팅이 전송 게이트웨이 라우팅 테이블로 전파됩니다. 자세한 내용은 Amazon VPC Transit Gateway의 라우팅을 참조하십시오.

VPC를 전송 게이트웨이에 연결하고 VPC의 리소스가 고객 게이트웨이에 도달하도록 하려면 서브넷 라우팅 테이블에 라우팅을 추가하여 전송 게이트웨이를 가리키도록 해야 합니다.

VPC 라우팅 테이블에 경로 추가

1. 탐색 창에서 라우팅 테이블을 선택합니다.

2. VPC와 연결된 라우팅 테이블을 선택합니다.

3. 라우팅 탭에서 라우팅 편집을 선택합니다.

4. 라우팅 추가를 선택합니다.

5. 대상에 대상 IP 주소 범위를 입력합니다. Target(대상)에서 전송 게이트웨이를 선택합니다.

6. Save changes(변경 사항 저장)를 선택합니다.

4단계: 보안 그룹 업데이트

네트워크에서 VPC의 인스턴스에 액세스하려면 보안 그룹 규칙을 업데이트하여 인바운드 SSH, RDP, ICMP 액세스를 활성화해야 합니다.

보안 그룹에 규칙을 추가하여 액세스를 활성화하는 방법

1. 탐색 창에서 보안 그룹을 선택합니다.

2. VPC의 기본 보안 그룹을 선택합니다.

3. [인바운드 규칙(Inbound rules)] 탭에서 [인바운드 규칙 편집(Edit inbound rules)]을 선택합니다.

4. 네트워크로부터 인바운드 SSH, RDP, ICMP 액세스를 허용하는 규칙을 추가한 다음 규칙 저장을 선택합니다. 자세한 내용은 Amazon VPC 사용 설명서의 보안 그룹 규칙 작업을 참조하세요.

5단계: VPN 연결 생성

고객 게이트웨이와 이전에 생성한 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 함께 사용하여 VPN 연결을 생성합니다.

VPN 연결을 생성하려면 다음을 수행합니다.

1. 탐색 창에서 Site-to-Site VPN 연결을 선택합니다.

2. VPN 연결 생성을 선택합니다.

3. (선택 사항) 이름 태그에 VPN 연결의 이름을 입력합니다. Name 키와 지정한 값으로 태그가 생성됩니다.

4. 대상 게이트웨이 유형(Target gateway type)에서 가상 프라이빗 게이트웨이(Virtual private gateway) 또는 전송 게이트웨이(Transit gateway)를 선택합니다. 그런 다음 이전에 만든 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 선택합니다.

5. 고객 게이트웨이에서 기존을 선택한 다음 고객 게이트웨이 ID에서 이전에 생성한 고객 게이트웨이를 선택합니다.

6. 고객 게이트웨이 디바이스에서 BGP(Border Gateway Protocol)를 지원하는지 여부에 따라 라우팅 옵션 중 하나를 선택합니다.

   • 고객 게이트웨이 디바이스가 BGP를 지원하는 경우 동적(BGP 필요)을 선택합니다.

   • 고객 게이트웨이 디바이스가 BGP를 지원하지 않는 경우 정적을 선택합니다. 정적 IP 접두사에서 VPN 연결의 프라이빗 네트워크에 대한 IP 접두사를 각각 지정합니다.

7. 대상 게이트웨이 유형이 전송 게이트웨이인 경우 터널 내부 IP 버전에서 VPN 터널이 IPv4 트랙픽을 지원하는지 아니면 IPv6 트래픽을 지원하는지 지정합니다. IPv6 트래픽은 전송 게이트웨이의 VPN 연결에 대해서만 지원됩니다.

8. 터널 내부 IP 버전에서 IPv4를 지정한 경우 VPN 터널을 통해 통신할 수 있는 고객 게이트웨이 측과 AWS 측의 IPv4 CIDR 범위를 필요에 따라 지정할 수 있습니다. 기본값은 0.0.0.0/0입니다.

   터널 내부 IP 버전에서 IPv6를 지정한 경우 VPN 터널을 통해 통신할 수 있는 고객 게이트웨이 측과 AWS 측의 IPv6 CIDR 범위를 필요에 따라 지정할 수 있습니다. 두 범위의 기본값은 ::/0입니다.

9. 외부 IP 주소 유형에서 기본 옵션인 PublicIPv4를 유지합니다.

10. (선택 사항) 터널 옵션에서 각 터널별로 다음 정보를 지정할 수 있습니다.

    • 내부 터널 IPv4 주소의 169.254.0.0/16 범위에서 크기 /30 IPv4 CIDR 블록을 지정합니다.

    • 터널 내부 IP 버전에 IPv6을 지정한 경우 내부 터널 IPv6 주소의 fd00::/8 범위에서 /126 IPv6 CIDR 블록을 지정합니다.

    • IKE 사전 공유 키(PSK) IKEv1 또는 IKEv2 버전이 지원됩니다.

    • 터널의 고급 옵션을 편집하려면 터널 옵션 편집을 선택합니다. 자세한 내용은 VPN 터널 옵션 섹션을 참조하세요.

11. VPN 연결 생성을 선택합니다. VPN 연결이 생성되는 데 몇 분 정도 걸릴 수 있습니다.

명령줄 또는 API를 사용하여 VPN 연결을 생성하는 방법

• CreateVpnConnection(Amazon EC2 쿼리 API)

• create-vpn-connection(AWS CLI)

• New-EC2VpnConnection(AWS Tools for Windows PowerShell)

6단계: 구성 파일 다운로드

VPN 연결을 생성한 후, 고객 게이트웨이 디바이스를 구성하는 데 사용할 샘플 구성 파일을 다운로드할 수 있습니다.

중요

구성 파일은 예시일 뿐이며 의도한 VPN 연결 설정과 완전히 일치하지 않을 수 있습니다. 이 파일은 대부분의 AWS 리전의 AES128, SHA1, Diffie-Hellman 그룹 2와 AWS GovCloud 리전의 AES128, SHA2, Diffie-Hellman 그룹 14의 VPN 연결을 위한 최소 요구 사항을 지정합니다. 또한 인증을 위해 사전 공유 키를 지정합니다. 추가 보안 알고리즘, Diffie-Hellman 그룹, 프라이빗 인증서 및 IPv6 트래픽을 활용하려면 예제 구성 파일을 수정해야 합니다.

널리 사용되는 고객 게이트웨이 디바이스에 대한 구성 파일에 IKEv2 지원을 도입했으며 앞으로도 꾸준히 추가 파일을 추가할 예정입니다. IKEv2 지원이 제공되는 구성 파일의 목록은 고객 게이트웨이 디바이스를 참조하세요.

권한

AWS Management Console에서 다운로드 구성 화면을 올바르게 로드하려면 IAM 역할 또는 사용자에게 다음 Amazon EC2 API에 대한 권한이 있어야 합니다. GetVpnConnectionDeviceTypes 및 GetVpnConnectionDeviceSampleConfiguration.

콘솔을 사용하여 구성 파일을 다운로드하는 방법

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 Site-to-Site VPN 연결을 선택합니다.

3. VPN 연결을 선택하고 구성 다운로드를 선택합니다.

4. 고객 게이트웨이 디바이스에 해당하는 공급업체, 플랫폼, 소프트웨어, IKE 버전을 선택합니다. 디바이스가 목록에 없으면 일반을 선택합니다.

5. 다운로드를 선택합니다.

명령줄 또는 API를 사용하여 샘플 구성 파일 다운로드

• GetVpnConnectionDeviceTypes(Amazon EC2 쿼리 API)

• GetVpnConnectionDeviceSampleConfiguration(Amazon EC2 쿼리 API)

• get-vpn-connection-device-types (AWS CLI)

• get-vpn-connection-device-sample-configuration (AWS CLI)

7단계: 고객 게이트웨이 디바이스 구성

예제 구성 파일을 사용해 고객 게이트웨이 디바이스를 구성합니다. 고객 게이트웨이는 VPN 연결에서 고객 측에 있는 물리적 또는 소프트웨어 어플라이언스입니다. 자세한 내용은 고객 게이트웨이 디바이스 섹션을 참조하세요.