시작하기 - AWS Site-to-Site VPN

시작하기

다음 절차에 따라 AWS Site-to-Site VPN 연결을 수동으로 설정합니다. 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 대상 게이트웨이로 사용하여 Site-to-Site VPN 연결을 생성할 수 있습니다.

Site-to-Site VPN 연결을 설정하려면 다음 단계를 완료하십시오.

이 절차에서는 하나 이상의 서브넷이 있는 VPC를 사용하는 것으로 간주합니다.

전송 게이트웨이에서 Site-to-Site VPN 연결을 만드는 단계는 전송 게이트웨이 VPN 첨부 파일 만들기 단원을 참조하십시오.

사전 조건

Site-to-Site VPN 연결 구성 요소를 설정하고 구성하려면 다음 정보가 필요합니다.

항목 정보
고객 게이트웨이 디바이스 사용자 측 VPN 연결의 물리적 또는 소프트웨어 디바이스. 공급업체(예: Cisco), 플랫폼(예: ISR 시리즈 라우터), 소프트웨어 버전(예: IOS 12.4)이 필요합니다.
고객 게이트웨이 AWS에서 고객 게이트웨이 리소스를 생성하려면 다음 정보가 필요합니다.
  • 디바이스의 외부 인터페이스에 대한 인터넷 라우팅 가능 IP 주소입니다.

  • 라우팅 유형: 정적 또는 동적

  • 동적 라우팅에서 BGP(Border Gateway Protocol) ASN(자율 시스템 번호)을 입력합니다.

  • (선택 사항) VPN을 인증하기 위한 AWS Certificate Manager Private Certificate Authority의 사설 인증서

자세한 내용은 Site-to-Site VPN 연결을 위한 고객 게이트웨이 옵션 단원을 참조하십시오.

(선택 사항) AWS 측 BGP 세션의 ASN

가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 만들 때 이 옵션을 지정합니다. 값을 지정하지 않으면 기본 ASN이 적용됩니다. 자세한 내용은 가상 프라이빗 게이트웨이 단원을 참조하십시오.

VPN 연결 VPN 연결을 생성하려면 다음 정보가 필요합니다.

고객 게이트웨이 생성

고객 게이트웨이는 고객 게이트웨이 디바이스 또는 소프트웨어 애플리케이션에 대한 정보를 AWS에 제공합니다. 자세한 정보는 고객 게이트웨이 단원을 참조하십시오.

사설 인증서를 사용하여 VPN을 인증하려면 AWS Certificate Manager Private Certificate Authority를 사용하여 하위 CA에서 사설 인증서를 만듭니다. 사설 인증서 생성에 대한 자세한 내용은 AWS Certificate Manager Private Certificate Authority 사용 설명서사설 CA 생성 및 관리를 참조하십시오.

참고

사설 인증서의 IP 주소 또는 Amazon 리소스 이름을 지정해야 합니다.

콘솔을 사용하여 고객 게이트웨이를 생성하는 방법

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Customer Gateways]를 선택한 후 [Create Customer Gateway]를 선택합니다.

  3. 다음 정보를 입력한 다음 [Create Customer Gateway]를 선택합니다.

    • (선택 사항) 이름에 고객 게이트웨이 이름을 입력합니다. Name 키와 지정한 값으로 태그가 생성됩니다.

    • [Routing] 목록에서 라우팅 유형을 선택합니다.

    • BGP ASN의 동적 라우팅에서 BGP(Border Gateway Protocol) ASN(자율 시스템 번호) 입력합니다.

    • (선택 사항) 고객 게이트웨이 디바이스의 인터넷 라우팅 가능한 고정 IP 주소를 IP 주소에 입력합니다. 고객 게이트웨이가 NAT-T를 지원하는 NAT 디바이스 뒤에 상주하는 경우 NAT 디바이스의 퍼블릭 IP 주소를 사용합니다.

    • (선택 사항) 인증서 ARN에 대해 사설 인증서를 사용하려면 사설 인증서의 Amazon 리소스 이름을 선택합니다.

명령줄 또는 API를 사용하여 고객 게이트웨이를 생성하는 방법

대상 게이트웨이 생성

VPC와 온프레미스 네트워크 간에 VPN 연결을 설정하려면 연결의 AWS 측에 대상 게이트웨이를 생성해야 합니다. 대상 게이트웨이는 가상 프라이빗 게이트웨이 또는 전송 게이트웨이가 될 수 있습니다.

가상 프라이빗 게이트웨이 생성

가상 프라이빗 게이트웨이를 생성할 때 Amazon 측 게이트웨이의 프라이빗 자율 시스템 번호(ASN)를 선택적으로 지정할 수 있습니다. ASN은 고객 게이트웨이에 지정된 BGP ASN과 달아야 합니다.

가상 프라이빗 게이트웨이를 생성한 후 VPC에 연결해야 합니다.

가상 프라이빗 게이트웨이를 생성하여 VPC에 연결하는 방법

  1. 탐색 창에서 [Virtual Private Gateways], [Create Virtual Private Gateway]를 차례로 선택합니다.

  2. (선택 사항) 가상 프라이빗 게이트웨이에 이름을 입력합니다. Name 키와 지정한 값으로 태그가 생성됩니다.

  3. ASN에서 기본 선택 항목을 그대로 두고 기본 Amazon ASN을 사용합니다. 그렇지 않으면, 사용자 지정 ASN을 선택하고 값을 입력합니다. 16비트 ASN의 경우, 값은 64512~65534 범위여야 합니다. 32비트 ASN의 경우, 값은 4200000000~4294967294 범위여야 합니다.

  4. [Create Virtual Private Gateway]를 선택합니다.

  5. 생성된 가상 프라이빗 게이트웨이를 선택한 후 [Actions], [Attach to VPC]를 선택합니다.

  6. 목록에서 VPC를 선택하고 [Yes, Attach]를 선택합니다.

명령줄 또는 API를 사용하여 가상 프라이빗 게이트웨이를 만드는 방법

명령줄 또는 API를 사용하여 가상 프라이빗 게이트웨이를 VPC에 연결하는 방법

전송 게이트웨이 생성

전송 게이트웨이 만들기에 대한 자세한 내용은 Amazon VPC 전송 게이트웨이전송 게이트웨이를 참조하십시오.

라우팅 구성

VPC의 인스턴스가 고객 게이트웨이에 도달하도록 하려면 Site-to-Site VPN 연결에 사용되는 경로를 포함하고 이 경로를 가상 프라이빗 게이트웨이 또는 전송 게이트웨이로 연결하도록 라우팅 테이블을 구성해야 합니다.

(가상 프라이빗 게이트웨이) 라우팅 테이블에서 라우팅 전파 활성화

라우팅 테이블에 대한 경로 전파를 활성화하여 Site-to-Site VPN 라우팅을 자동으로 전파할 수 있습니다.

정적 라우팅의 경우, VPN 구성에 지정하는 고정 IP 접두사는 Site-to-Site VPN 연결 상태가 UP일 때 라우팅 테이블로 전파됩니다. 이와 마찬가지로 동적 라우팅의 경우, BGP를 통해 공급되고 고객 게이트웨이에서 받은 경로는 Site-to-Site VPN 연결 상태가 UP일 때 라우팅 테이블에 전파됩니다.

참고

연결이 중단되었지만 VPN 연결이 작동 상태로 유지되면 라우팅 테이블에 있는 전파된 라우팅은 자동으로 제거되지 않습니다. 예를 들어 트래픽이 고정 라우팅으로 장애 조치되도록 하려면 이 점을 염두에 두십시오. 이 경우 전파된 라우팅을 제거하기 위해 라우팅 전파를 비활성화해야 할 수 있습니다.

콘솔을 사용하여 라우팅 전파를 활성화하는 방법

  1. 탐색 창에서 [Route Tables]를 선택한 후 서브넷에 연결된 라우팅 테이블을 선택합니다. 기본적으로, VPC의 기본 라우팅 테이블입니다.

  2. 세부 정보 창의 [Route Propagation] 탭에서 [Edit]를 선택하고 이전 절차에서 생성된 가상 프라이빗 게이트웨이를 선택한 후 [Save]를 선택합니다.

참고

정적 라우팅의 경우 경로 전파를 활성화하지 않으면 Site-to-Site VPN 연결에 사용되는 정적 경로를 수동으로 입력해야 합니다. 이 작업을 하려면 라우팅 테이블을 선택하고 [Routes], [Edit]를 차례로 선택합니다. 대상 주소에서 Site-to-Site VPN 연결에서 사용하는 정적 경로를 추가합니다. [대상]에서 가상 프라이빗 게이트웨이 ID를 선택하고 [Save]를 선택합니다.

콘솔을 사용하여 라우팅 전파를 비활성화하는 방법

  1. 탐색 창에서 [Route Tables]를 선택한 후 서브넷에 연결된 라우팅 테이블을 선택합니다.

  2. [Route Propagation], [Edit]를 선택합니다. 가상 프라이빗 게이트웨이의 [Propagate] 확인란을 지운 후 [Save]를 선택합니다.

명령줄 또는 API를 사용하여 라우팅 전파를 활성화하는 방법

명령줄 또는 API를 사용하여 정적 경로를 비활성화하는 방법

(전송 게이트웨이) 라우팅 테이블에 라우팅 추가

전송 게이트웨이에 대해 라우팅 테이블 전파를 활성화한 경우 VPN 연결의 라우팅이 전송 게이트웨이 라우팅 테이블로 전파됩니다. 자세한 내용은 Amazon VPC 전송 게이트웨이라우팅을 참조하십시오.

VPC를 전송 게이트웨이에 연결하고 VPC의 리소스가 고객 게이트웨이에 도달하도록 하려면 서브넷 라우팅 테이블에 라우팅을 추가하여 전송 게이트웨이를 가리키도록 해야 합니다.

VPC 라우팅 테이블에 라우팅을 추가하려면

  1. 탐색 창에서 라우팅 테이블을 선택합니다.

  2. VPC와 연결된 라우팅 테이블을 선택합니다.

  3. 라우팅 탭에서 Edit routes(라우팅 편집)를 선택합니다.

  4. 라우팅 추가를 선택합니다.

  5. Destination(대상 주소) 열에서 대상 IP 주소 범위를 입력합니다. 대상에서 전송 게이트웨이를 선택합니다.

  6. Save routes(라우팅 저장)를 선택한 후 닫기를 선택합니다.

보안 그룹 업데이트

네트워크에서 VPC의 인스턴스에 액세스하려면 보안 그룹 규칙을 업데이트하여 인바운드 SSH, RDP, ICMP 액세스를 활성화해야 합니다.

보안 그룹에 규칙을 추가하여 인바운드 SSH, RDP 및 ICMP 액세스를 활성화하려면

  1. 탐색 창에서 [Security Groups]를 선택한 후 VPC의 기본 보안 그룹을 선택합니다.

  2. 세부 정보 창의 [Inbound] 탭에서 네트워크로부터 인바운드 SSH, RDP 및 ICMP 액세스를 허용하는 규칙을 추가한 후 [Save]를 선택합니다. 인바운드 규칙 추가에 대한 자세한 내용은 Amazon VPC 사용 설명서규칙 추가, 제거 및 업데이트를 참조하십시오.

AWS CLI를 사용하여 보안 그룹 작업을 수행하는 방법에 대한 자세한 내용은 Amazon VPC 사용 설명서VPC의 보안 그룹을 참조하십시오.

Site-to-Site VPN 연결 생성

고객 게이트웨이와 이전에 만든 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 사용하여 Site-to-Site VPN 연결을 만듭니다.

Site-to-Site VPN 연결을 생성하려면 다음과 같이 합니다.

  1. 탐색 창에서 Site-to-Site VPN 연결, VPN 연결 생성을 차례로 선택합니다.

  2. (선택 사항) Name 태그에 Site-to-Site VPN 연결의 이름을 입력합니다. Name 키와 지정한 값으로 태그가 생성됩니다.

  3. 대상 게이트웨이 유형에서 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 선택합니다. 그런 다음 이전에 만든 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 선택합니다.

  4. 고객 게이트웨이 ID에 대해 이전에 생성한 고객 게이트웨이를 선택합니다.

  5. 고객 게이트웨이 디바이스에서 BGP(Border Gateway Protocol)를 지원하는지 여부에 따라 라우팅 옵션 중 하나를 선택합니다.

    • 고객 게이트웨이 디바이스가 BGP를 지원하는 경우 동적(BGP 필요)을 선택합니다.

    • 고객 게이트웨이 디바이스가 BGP를 지원하지 않는 경우 정적을 선택합니다. 정적 IP 접두사에서 Site-to-Site VPN 연결의 프라이빗 네트워크에 대한 IP 접두사를 각기 지정합니다.

  6. (선택 사항) 터널 옵션에서 각 터널별로 다음 정보를 지정할 수 있습니다.

    • 내부 터널 IP 주소에서 169.254.0.0/16 범위의 크기/30 CIDR 블록.

    • IKE 사전 공유 키(PSK) IKEv1 또는 IKEv2 버전이 지원됩니다.

    • 다음을 포함하는 고급 터널 정보:

      • IKE 협상의 1단계와 2단계를 위한 암호화 알고리즘

      • IKE 협상의 1단계와 2단계를 위한 무결성 알고리즘

      • IKE 협상의 1단계와 2단계를 위한 Diffie-Hellman 그룹

      • IKE 버전

      • 1단계 및 2단계 수명

      • 마진 시간 교체

      • 퍼지 교체

      • 재생 창 크기

      • Dead Peer Detection 간격

    이러한 옵션에 대한 자세한 정보는 Site-to-Site VPN 연결에 대한Site-to-Site VPN 터널 옵션 단원을 참조하십시오.

  7. VPN 연결 생성을 선택합니다. Site-to-Site VPN 연결이 생성되는 데 몇 분 정도 걸릴 수 있습니다.

명령줄 또는 API를 사용하여 Site-to-Site VPN 연결을 생성하는 방법

구성 파일을 다운로드하려면 다음을 수행합니다.

Site-to-Site VPN 연결을 만든 후 구성 정보를 다운로드하고 이것을 사용하여 고객 게이트웨이 디바이스 또는 소프트웨어 애플리케이션을 구성합니다.

중요

구성 파일은 예시일 뿐이며 의도한 VPN 연결 설정과 일치하지 않을 수 있습니다. 예를 들어, 대부분의 AWS 리전에서 IKE 버전 1, AES128, SHA1 및 DH 그룹 2의 최소 요구 사항을 지정하고 AWS GovCloud 리전에서 IKE 버전 1, AES128, SHA2 및 DH 그룹 14의 최소 요구 사항을 지정합니다. 또한 인증을 위해 사전 공유 키를 지정합니다. IKE 버전 2, AES256, SHA256 및 기타 DH 그룹(예: 2, 14-18, 22, 23 및 24) 및 사설 인증서를 활용하려면 예제 구성 파일을 수정해야 합니다.

Site-to-Site VPN 연결을 만들거나 수정할 때 사용자 지정 터널 옵션을 지정한 경우 터널의 사용자 지정 설정과 일치하도록 예제 구성 파일을 수정합니다.

이 파일에는 가상 프라이빗 게이트웨이의 외부 IP 주소 값도 포함됩니다. AWS에서 VPN 연결을 다시 생성하는 경우를 제외하면 정적인 값입니다.

구성 파일을 다운로드하려면 다음을 수행합니다.

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Site-to-Site VPN 연결을 선택합니다.

  3. VPN 연결을 선택한 후 구성 다운로드를 선택합니다.

  4. 고객 게이트웨이 디바이스 또는 소프트웨어에 해당하는 공급업체, 플랫폼 및 소프트웨어를 선택합니다. 디바이스가 목록에 없으면 일반을 선택합니다. 다운로드를 선택합니다.

고객 게이트웨이 디바이스 구성

고객 게이트웨이 디바이스에서 구성할 구성 파일을 사용합니다. 고객 게이트웨이는 Site-to-Site VPN 연결에서 고객 측에 있는 물리적 또는 소프트웨어 어플라이언스입니다. 자세한 내용은 고객 게이트웨이 디바이스 단원을 참조하십시오.