시작하기 - AWS Site-to-Site VPN

시작하기

다음 절차에 따라 AWS Site-to-Site VPN 연결을 수동으로 설정하세요. 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 대상 게이트웨이로 사용하여 Site-to-Site VPN 연결을 생성할 수 있습니다.

Site-to-Site VPN 연결을 설정하려면 다음 단계를 완료하십시오.

이 절차에서는 하나 이상의 서브넷이 있는 VPC를 사용하는 것으로 간주합니다.

전송 게이트웨이에서 Site-to-Site VPN 연결을 생성하는 단계는 전송 게이트웨이 VPN 첨부 파일 만들기 단원을 참조하십시오.

Prerequisites

Site-to-Site VPN 연결의 구성 요소를 설정하고 구성하려면 다음 정보가 필요합니다.

항목 정보
고객 게이트웨이 디바이스 사용자 측 VPN 연결의 물리적 또는 소프트웨어 디바이스. 공급업체(예: Cisco), 플랫폼(예: ISR 시리즈 라우터), 소프트웨어 버전(예: IOS 12.4)이 필요합니다.
고객 게이트웨이 AWS에서 고객 게이트웨이 리소스를 생성하려면 다음 정보가 필요합니다.
  • 디바이스의 외부 인터페이스에 대한 인터넷 라우팅 가능 IP 주소입니다.

  • 라우팅 유형: 정적 또는 동적

  • 동적 라우팅에서 BGP(Border Gateway Protocol) ASN(자율 시스템 번호)을 입력합니다.

  • (선택 사항) VPN을 인증하기 위한 AWS Certificate Manager Private Certificate Authority의 사설 인증서

자세한 정보는 Site-to-Site VPN 연결을 위한 고객 게이트웨이 옵션을 참조하십시오.

(선택 사항) AWS 측 BGP 세션의 ASN

가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 만들 때 이 옵션을 지정합니다. 값을 지정하지 않으면 기본 ASN이 적용됩니다. 자세한 정보는 가상 프라이빗 게이트웨이을 참조하십시오.

VPN 연결 VPN 연결을 생성하려면 다음 정보가 필요합니다.
  • 정적 라우팅의 경우 프라이빗 네트워크의 IP 접두사가 사용됩니다.

  • (선택 사항) 각 VPN 터널에 대한 터널 옵션입니다. 자세한 정보는 Site-to-Site VPN 연결의 터널 옵션을 참조하십시오.

고객 게이트웨이 생성

고객 게이트웨이는 고객 게이트웨이 디바이스 또는 소프트웨어 애플리케이션에 대한 정보를 AWS에 제공합니다. 자세한 정보는 고객 게이트웨이을 참조하십시오.

프라이빗 인증서를 사용하여 VPN을 인증하려면 를 사용하여 하위 CA에서 프라이빗 인증서를 만듭니다AWS Certificate Manager Private Certificate Authority 프라이빗 인증서 생성에 대한 자세한 내용은 AWS Certificate Manager Private Certificate Authority 사용 설명서프라이빗 CA 생성 및 관리를 참조하세요.

참고

사설 인증서의 IP 주소 또는 Amazon 리소스 이름을 지정해야 합니다.

콘솔을 사용하여 고객 게이트웨이를 생성하는 방법

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Customer Gateways]를 선택한 후 [Create Customer Gateway]를 선택합니다.

  3. 다음 정보를 입력한 다음 [Create Customer Gateway]를 선택합니다.

    • (선택 사항) 이름에 고객 게이트웨이 이름을 입력합니다. Name 키와 지정한 값으로 태그가 생성됩니다.

    • [Routing] 목록에서 라우팅 유형을 선택합니다.

    • BGP ASN의 동적 라우팅에서 BGP(Border Gateway Protocol) ASN(자율 시스템 번호) 입력합니다.

    • (선택 사항) 고객 게이트웨이 디바이스의 인터넷 라우팅 가능한 고정 IP 주소를 IP 주소에 입력합니다. 고객 게이트웨이가 NAT-T를 지원하는 NAT 디바이스 뒤에 상주하는 경우 NAT 디바이스의 퍼블릭 IP 주소를 사용합니다.

    • (선택 사항) 인증서 ARN에 대해 사설 인증서를 사용하려면 사설 인증서의 Amazon 리소스 이름을 선택합니다.

명령줄 또는 API를 사용하여 고객 게이트웨이를 생성하는 방법

대상 게이트웨이 생성

VPC와 온프레미스 네트워크 간에 VPN 연결을 설정하려면 연결의 AWS 측에 대상 게이트웨이를 생성해야 합니다. 대상 게이트웨이는 가상 프라이빗 게이트웨이 또는 전송 게이트웨이가 될 수 있습니다.

가상 프라이빗 게이트웨이 생성

가상 프라이빗 게이트웨이를 생성할 때 Amazon 측 게이트웨이의 프라이빗 자율 시스템 번호(ASN)를 선택적으로 지정할 수 있습니다. ASN은 고객 게이트웨이에 지정된 BGP ASN과 달아야 합니다.

가상 프라이빗 게이트웨이를 생성한 후 VPC에 연결해야 합니다.

가상 프라이빗 게이트웨이를 생성하여 VPC에 연결하는 방법

  1. 탐색 창에서 [Virtual Private Gateways], [Create Virtual Private Gateway]를 차례로 선택합니다.

  2. (선택 사항) 가상 프라이빗 게이트웨이에 이름을 입력합니다. Name 키와 지정한 값으로 태그가 생성됩니다.

  3. ASN에서 기본 선택 항목을 유지하고 기본 Amazon ASN을 사용합니다. 그렇지 않으면, 사용자 지정 ASN을 선택하고 값을 입력합니다. 16비트 ASN의 경우, 값은 64512~65534 범위여야 합니다. 32비트 ASN의 경우, 값은 4200000000~4294967294 범위여야 합니다.

  4. [Create Virtual Private Gateway]를 선택합니다.

  5. 생성된 가상 프라이빗 게이트웨이를 선택한 후 [Actions], [Attach to VPC]를 선택합니다.

  6. 목록에서 VPC를 선택하고 [Yes, Attach]를 선택합니다.

명령줄 또는 API를 사용하여 가상 프라이빗 게이트웨이를 만드는 방법

명령줄 또는 API를 사용하여 가상 프라이빗 게이트웨이를 VPC에 연결하는 방법

Transit Gateway 생성

전송 게이트웨이 생성에 대한 자세한 내용은 Amazon VPC 전송 게이트웨이전송 게이트웨이를 참조하십시오.

라우팅 구성

VPC의 인스턴스가 고객 게이트웨이에 도달하도록 하려면 Site-to-Site VPN 연결에 사용되는 라우팅을 포함하고 이 라우팅이 가상 프라이빗 게이트웨이 또는 전송 게이트웨이로 향하도록 라우팅 테이블을 구성해야 합니다.

(가상 프라이빗 게이트웨이) 라우팅 테이블에서 라우팅 전파 활성화

라우팅 테이블에 대한 라우팅 전파를 활성화하여 Site-to-Site VPN 라우팅을 자동으로 전파할 수 있습니다.

정적 라우팅의 경우, VPN 구성에 지정하는 고정 IP 접두사는 Site-to-Site VPN 연결 상태가 UP일 때 라우팅 테이블로 전파됩니다. 마찬가지로 동적 라우팅의 경우, 고객 게이트웨이의 BGP 보급 라우팅은 Site-to-Site VPN 연결 상태가 UP일 때 라우팅 테이블로 전파됩니다.

참고

연결이 중단되었지만 VPN 연결이 작동 상태로 유지되면 라우팅 테이블에 있는 전파된 라우팅은 자동으로 제거되지 않습니다. 예를 들어 트래픽이 고정 라우팅으로 장애 조치되도록 하려면 이 점을 염두에 두십시오. 이 경우 전파된 라우팅을 제거하기 위해 라우팅 전파를 비활성화해야 할 수 있습니다.

콘솔을 사용하여 라우팅 전파를 활성화하는 방법

  1. 탐색 창에서 [Route Tables]를 선택한 후 서브넷에 연결된 라우팅 테이블을 선택합니다. 기본적으로, VPC의 기본 라우팅 테이블입니다.

  2. 세부 정보 창의 [경로 전파(Route Propagation)] 탭에서 [경로 전파 편집(Edit route propagation)]을 선택하고 이전 절차에서 생성된 가상 프라이빗 게이트웨이를 선택한 후 [저장(Save)]을 선택합니다.

참고

라우팅 전파를 활성화하지 않으면 Site-to-Site VPN 연결이 사용하는 고정 경로를 수동으로 입력해야 합니다. 이 작업을 하려면 라우팅 테이블을 선택하고 Routes, Edit를 차례로 선택합니다. Destination에 Site-to-Site VPN 연결이 사용하는 정적 경로를 추가합니다. [대상]에서 가상 프라이빗 게이트웨이 ID를 선택하고 [Save]를 선택합니다.

콘솔을 사용하여 경로 전파 비활성화

  1. 탐색 창에서 [Route Tables]를 선택한 후 서브넷에 연결된 라우팅 테이블을 선택합니다.

  2. [경로 전파(Route Propagation)], [경로 전파 수정(Edit route propagation)]을 선택합니다. 가상 프라이빗 게이트웨이의 [Propagate] 확인란을 지운 후 [Save]를 선택합니다.

명령줄 또는 API를 사용하여 라우팅 전파를 활성화하는 방법

명령줄 또는 API를 사용하여 정적 경로를 비활성화하는 방법

(전송 게이트웨이) 라우팅 테이블에 라우팅 추가

전송 게이트웨이에 대해 라우팅 테이블 전파를 활성화한 경우 VPN 연결의 라우팅이 전송 게이트웨이 라우팅 테이블로 전파됩니다. 자세한 내용은 Amazon VPC 전송 게이트웨이라우팅을 참조하십시오.

VPC를 전송 게이트웨이에 연결하고 VPC의 리소스가 고객 게이트웨이에 도달하도록 하려면 서브넷 라우팅 테이블에 라우팅을 추가하여 전송 게이트웨이를 가리키도록 해야 합니다.

VPC 라우팅 테이블에 경로 추가

  1. 탐색 창에서 라우팅 테이블을 선택합니다.

  2. VPC와 연결된 라우팅 테이블을 선택합니다.

  3. 경로(Routes) 탭에서 라우팅 편집(Edit routes)을 선택합니다.

  4. 경로 추가(Add route)를 선택합니다.

  5. 대상(Destination) 열에 대상 IP 주소 범위를 입력합니다. Target(대상)에서 전송 게이트웨이를 선택합니다.

  6. Save routes(라우팅 저장)를 선택한 후 닫기를 선택합니다.

보안 그룹 업데이트

네트워크에서 VPC의 인스턴스에 액세스하려면 보안 그룹 규칙을 업데이트하여 인바운드 SSH, RDP, ICMP 액세스를 활성화해야 합니다.

보안 그룹에 규칙을 추가하여 인바운드 SSH, RDP 및 ICMP 액세스를 활성화하려면

  1. 탐색 창에서 [Security Groups]를 선택한 후 VPC의 기본 보안 그룹을 선택합니다.

  2. 세부 정보 창의 [Inbound] 탭에서 네트워크로부터 인바운드 SSH, RDP 및 ICMP 액세스를 허용하는 규칙을 추가한 후 [Save]를 선택합니다. 인바운드 규칙 추가에 대한 자세한 내용은 Amazon VPC 사용 설명서규칙 추가, 제거 및 업데이트를 참조하십시오.

AWS CLI를 사용하여 보안 그룹을 작업하는 방법에 대한 자세한 내용은 Amazon VPC 사용 설명서VPC의 보안 그룹을 참조하세요.

Site-to-Site VPN 연결 생성

고객 게이트웨이와 이전에 생성한 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 사용하여 Site-to-Site VPN 연결을 생성합니다.

Site-to-Site VPN 연결을 생성하려면

  1. 탐색 창에서 Site-to-Site VPN Connections(Site-to-Site VPN 연결), Create VPN Connection(VPN 연결 생성)을 선택합니다.

  2. (선택 사항) Name tag(이름 태그)에 Site-to-Site VPN 연결의 이름을 입력합니다. Name 키와 지정한 값으로 태그가 생성됩니다.

  3. 대상 게이트웨이 유형에서 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 선택합니다. 그런 다음 이전에 만든 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 선택합니다.

  4. 고객 게이트웨이 ID에 대해 이전에 생성한 고객 게이트웨이를 선택합니다.

  5. 고객 게이트웨이 디바이스에서 BGP(Border Gateway Protocol)를 지원하는지 여부에 따라 라우팅 옵션 중 하나를 선택합니다.

    • 고객 게이트웨이 디바이스가 BGP를 지원하는 경우 동적(BGP 필요)을 선택합니다.

    • 고객 게이트웨이 디바이스가 BGP를 지원하지 않는 경우 정적을 선택합니다. Static IP Prefixes(고정 IP 접두사)에서 Site-to-Site VPN 연결의 프라이빗 네트워크에 대한 각 IP 접두사를 지정합니다.

  6. (선택 사항) 터널 내부 IP 버전의 경우 VPN 터널이 IPv4 또는 IPv6 트래픽을 지원하는지 여부를 지정합니다. IPv6 트래픽은 전송 게이트웨이의 VPN 연결에 대해서만 지원됩니다.

  7. (선택 사항) 로컬 IPv4 네트워크 CIDR(Local IPv4 Network CIDR)에서 VPN 터널을 통해 통신할 수 있는 고객 게이트웨이(온프레미스) 측의 IPv4 CIDR 범위를 지정합니다. 기본값은 0.0.0.0/0입니다.

    [원격 IPv4 네트워크 CIDR(Remote IPv4 Network CIDR)]에서 VPN 터널을 통해 통신할 수 있는 AWS 측의 IPv4 CIDR 범위를 지정합니다. 기본값은 0.0.0.0/0입니다.

    [IP 버전 내부의 터널(Tunnel Inside IP Version)]에서 IPv6를 지정한 경우 VPN 터널을 통해 통신할 수 있는 고객 게이트웨이 측과 AWS 측의 IPv6 CIDR 범위를 지정합니다. 두 범위의 기본값은 ::/0입니다.

  8. (선택 사항) 터널 옵션에서 각 터널별로 다음 정보를 지정할 수 있습니다.

    • 내부 터널 IPv4 주소의 169.254.0.0/16 범위에서 크기 /30 IPv4 CIDR 블록을 지정합니다.

    • 터널 내부 IP 버전IPv6을 지정한 경우 내부 터널 IPv6 주소의 fd00::/8 범위에서 /126 IPv6 CIDR 블록을 지정합니다.

    • IKE 사전 공유 키(PSK) IKEv1 또는 IKEv2 버전이 지원됩니다.

    • 다음을 포함하는 고급 터널 정보:

      • IKE 협상의 1단계와 2단계를 위한 암호화 알고리즘

      • IKE 협상의 1단계와 2단계를 위한 무결성 알고리즘

      • IKE 협상의 1단계와 2단계를 위한 Diffie-Hellman 그룹

      • IKE 버전

      • 1단계 및 2단계 수명

      • 마진 시간 교체

      • 퍼지 교체

      • 재생 창 크기

      • Dead Peer Detection 간격

      • Dead Peer Detection 시간 초과 작업

      • 시작 작업

    이러한 옵션에 대한 자세한 내용은 Site-to-Site VPN 연결의 터널 옵션 단원을 참조하십시오.

  9. VPN 연결 생성을 선택합니다. Site-to-Site VPN 연결을 생성하려면 몇 분 정도 걸릴 수 있습니다.

명령줄 또는 API를 사용하여 Site-to-Site VPN 연결을 생성하려면

구성 파일 다운로드

Site-to-Site VPN 연결을 생성한 후, 고객 게이트웨이 디바이스를 구성하는 데 사용할 샘플 구성 파일을 다운로드할 수 있습니다.

중요

구성 파일은 예시일 뿐이며 의도한 Site-to-Site VPN 연결 설정과 완전히 일치하지 않을 수 있습니다. 이 파일은 AWS 리전 및 AWS GovCloud 리전 내의 AES128, SHA2, 및 Diffie-Hellman 그룹 14 대부분에 해당하는 AES128, SHA1 및 Decvelman Gellman 그룹 2의 Site-to-Site VPN 연결에 대한 최소 요구 사항을 명시합니다. 또한 인증을 위해 사전 공유 키를 지정합니다. 추가 보안 알고리즘, Diffie-Hellman 그룹, 프라이빗 인증서 및 IPv6 트래픽을 활용하려면 예제 구성 파일을 수정해야 합니다.

널리 사용되는 고객 게이트웨이 디바이스에 대한 구성 파일에 IKEv2 지원을 도입했으며 앞으로도 꾸준히 추가 파일을 추가할 예정입니다. 이 목록은 예제 구성 파일이 추가되면 업데이트됩니다. IKEv2 지원이 제공되는 구성 파일의 전체 목록은 고객 게이트웨이 디바이스 단원을 참조하십시오.

AWS Management Console에서 구성 파일 다운로드

참고

AWS Management Console에서 다운로드 구성 화면을 올바르게 로드하려면 IAM 역할을 확인하거나, 사용자에게 Amazon EC2 API인 GetVpnConnectionDeviceTypes 및GetVpnConnectionDeviceSampleConfiguration 권한이 있는지 확인해 주십시오.

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Site-to-Site VPN 연결(Site-to-Site VPN Connections)을 선택합니다.

  3. VPN 연결을 선택한 후 구성 다운로드를 선택합니다.

  4. 자신의 고객 게이트웨이 디바이스에 해당하는vendor, platform, softwareIKE version 항목을 선택합니다. 디바이스가 목록에 없으면 Generic을 선택합니다.

  5. 다운로드를 선택합니다.

AWS 명령줄 또는 API를 사용하여 샘플 구성 파일 다운로드

고객 게이트웨이 디바이스 구성

예제 구성 파일을 사용해 고객 게이트웨이 디바이스를 구성합니다. 고객 게이트웨이 디바이스는 Site-to-Site VPN 연결의 고객 측에 있는 물리적 또는 소프트웨어 어플라이언스입니다. 자세한 정보는 고객 게이트웨이 디바이스을 참조하십시오.