Site-to-Site VPN 라우팅 옵션 - AWS Site-to-Site VPN

Site-to-Site VPN 라우팅 옵션

Site-to-Site VPN 연결을 생성하는 경우 다음을 수행해야 합니다.

  • 사용하려는 라우팅 유형 지정(정적 또는 동적)

  • 서브넷용 라우팅 테이블 업데이트

라우팅 테이블에 추가할 수 있는 라우팅의 수에는 할당량이 있습니다. 자세한 내용은 Amazon VPC 사용 설명서Amazon VPC 할당량에서 라우팅 테이블 섹션을 참조하십시오.

정적 및 동적 라우팅

고객 게이트웨이 디바이스의 제조업체와 모델에 따라 라우팅 유형을 선택할 수 있습니다. 고객 게이트웨이 디바이스에서 Border Gateway Protocol(BGP)을 지원할 경우 Site-to-Site VPN 연결을 구성할 때 동적 라우팅을 지정합니다. 고객 게이트웨이 디바이스가 BGP를 지원하지 않는 경우 정적 라우팅을 지정합니다. Site-to-Site VPN을 사용하여 테스트한 정적 및 동적 라우팅 디바이스 목록은 테스트한 고객 게이트웨이 디바이스 단원을 참조하십시오.

BGP 광고를 지원하는 디바이스를 사용하는 경우 디바이스에서 BGP를 사용하여 해당 라우팅을 가상 프라이빗 게이트웨이에 광고하기 때문에 Site-to-Site VPN 연결에 대한 정적 라우팅을 지정할 필요가 없습니다. BGP 광고를 지원하지 않는 디바이스를 사용하는 경우 정적 라우팅을 선택하고, 가상 프라이빗 게이트웨이에 전달할 라우팅(IP 접두사)을 네트워크에 대해 입력해야 합니다.

BGP 프로토콜은 첫 번째 터널이 다운될 경우 두 번째 VPN 터널에 대한 장애 조치를 지원할 수 있는 강력한 라이브니스 탐지 검사를 제공하므로 가능하다면 BGP 지원 디바이스를 사용하는 것이 좋습니다. 또한 BGP를 지원하지 않는 디바이스는 상태 확인을 수행하여 필요할 경우 두 번째 터널로 장애 조치를 지원할 수 있습니다.

온프레미스 네트워크에서 Site-to-Site VPN 연결로 트래픽을 라우팅하도록 고객 게이트웨이 디바이스를 구성해야 합니다. 구성은 디바이스의 제조업체와 모델에 따라 달라집니다. 자세한 내용은 고객 게이트웨이 디바이스 단원을 참조하십시오.

라우팅 테이블 및 VPN 라우팅 우선 순위

라우팅 테이블에 따라 VPC에서 네트워크 트래픽이 전달되는 위치가 결정됩니다. VPC 라우팅 테이블에서, 원격 네트워크에 대한 경로를 추가하고 가상 프라이빗 게이트웨이를 대상으로 지정해야 합니다. 이렇게 하면 사용자의 원격 네트워크로 향하는 VPC의 트래픽이 가상 프라이빗 게이트웨이를 통해서, 그리고 VPN 터널 중 하나를 따라 라우팅됩니다. 라우팅 테이블의 경로 전파가 자동으로 네트워크 경로를 테이블로 전파하도록 할 수 있습니다.

Amazon은 라우팅 테이블에서 LPM(Longest Prefix Match)을 통해 트래픽과 일치하는, 가장 구체적인 라우팅을 사용하여 트래픽의 라우팅 방법을 결정합니다. 라우팅 테이블에 겹치거나 일치하는 경로가 있는 경우 다음 규칙이 적용됩니다.

  • Site-to-Site VPN 연결 또는 AWS Direct Connect 연결에서 전파된 경로가 VPC의 로컬 경로와 중첩되는 경우, 전파된 경로가 더 특정하더라도 로컬 경로가 가장 우선적으로 적용됩니다.

  • Site-to-Site VPN 연결 또는 AWS Direct Connect 연결에서 전파된 경로에 다른 기존 정적 경로와 동일한 대상 CIDR 블록이 있는 경우(가장 긴 접두사 일치 항목이 적용될 수 없음) 대상이 인터넷 게이트웨이, 가상 프라이빗 게이트웨이, 네트워크 인터페이스, 인스턴스 ID, VPC 피어링 연결, NAT 게이트웨이, 전송 게이트웨이 또는 게이트웨이 VPC 엔드포인트인 정적 경로가 우선적으로 적용됩니다.

예를 들어 다음 라우팅 테이블에는 인터넷 게이트웨이에 대한 정적 라우팅과 가상 프라이빗 게이트웨이에 대한 전파된 라우팅이 있습니다. 두 라우팅은 모두 대상 주소가 172.31.0.0/24입니다. 이 경우 대상 주소가 172.31.0.0/24인 모든 트래픽은 인터넷 게이트웨이로 라우팅됩니다. — 이 라우팅은 고정 라우팅이므로 전파된 라우팅보다 우선합니다.

대상 주소 대상
10.0.0.0/16 로컬
172.31.0.0/24 vgw-11223344556677889(전파됨)
172.31.0.0/24 igw-12345678901234567(정적)

BGP 광고 또는 정적 라우팅 항목을 통해 가상 프라이빗 게이트웨이에 알려진 IP 접두사만 VPC에서 오는 트래픽을 수신할 수 있습니다. 가상 프라이빗 게이트웨이는 수신된 BGP 알림, 정적 라우팅 항목 또는 연결된 VPC CIDR의 외부로 전달되는 다른 모든 트래픽을 라우팅하지 않습니다. 가상 프라이빗 게이트웨이는 IPv6 트래픽을 지원하지 않습니다.

가상 프라이빗 게이트웨이가 라우팅 정보를 받으면, 경로 선택을 사용하여 트래픽을 라우팅하는 방법을 결정합니다. 가장 긴 접두사 일치가 적용됩니다. 접두사가 같으면 가상 프라이빗 게이트웨이는 가장 선호도가 높은 경로부터 가장 낮은 우선 순위까지 다음과 같이 라우팅의 우선 순위를 지정합니다.

  • AWS Direct Connect 연결로부터의 BGP 전파 라우팅

  • Site-to-Site VPN 연결에 수동으로 추가된 정적 경로

  • Site-to-Site VPN 연결로부터의 BGP 전파 경로

  • 각 Site-to-Site VPN 연결이 BGP를 사용하는 경우 접두사가 일치한다면, AS PATH를 비교하여 AS PATH가 가장 짧은 접두사를 선택하게 됩니다.

    참고

    두 터널의 AS PATH가 같도록 AS PATH 접두어를 사용하는 것은 권장하지 않습니다.

  • AS PATH의 길이가 같고 AS_SEQUENCE의 첫 번째 AS가 여러 경로에서 동일하면 multi-exit discriminators(MED)가 비교됩니다. MED 값이 가장 낮은 경로가 선호됩니다.

라우팅 우선 순위는 VPN 터널 엔드포인트 업데이트 중에 영향을 받습니다.

가상 프라이빗 게이트웨이의 Site-to-Site VPN 연결의 경우 AWS는 두 개의 중복 터널 중 하나를 기본 송신 경로로 선택합니다. 이 선택은 때때로 변경될 수 있으며 고가용성을 위해 두 터널을 모두 구성하는 것이 좋습니다.

BGP를 사용하는 Site-to-Site VPN 연결의 경우 기본 터널은 multi-exit discriminator(MED) 값으로 식별할 수 있습니다. 라우팅 결정에 영향을 주기 위해 보다 구체적인 BGP 경로를 알리는 것이 좋습니다.

정적 라우팅을 사용하는 Site-to-Site VPN 연결의 경우 기본 터널은 트래픽 통계 또는 지표로 식별할 수 있습니다.

두 터널을 모두 사용하려면 전송 게이트웨이의 Site-to-Site VPN 연결에 대해 지원되는 ECMP(Equal Cost Multipath)를 살펴보는 것이 좋습니다. 자세한 내용은 Amazon VPC 전송 게이트웨이전송 게이트웨이를 참조하십시오.

VPN 터널 엔드포인트 업데이트 중 라우팅

Site-to-Site VPN 연결은 고객 게이트웨이 디바이스와 가상 프라이빗 게이트웨이 또는 전송 게이트웨이 간 두 개의 VPN 터널로 구성됩니다. 중복성을 위해 두 터널을 모두 구성하는 것이 좋습니다. 두 터널 중 하나에서 터널 엔드포인트 업데이트를 수행할 때 VPN 연결의 중복성이 잠시 손실될 수 있습니다. 터널 엔드포인트 업데이트는 상태, 소프트웨어 업그레이드, 기본 하드웨어 폐기 등 여러 가지 이유로 발생할 수 있습니다.

한 VPN 터널에서 업데이트를 수행하면 다른 터널에 더 낮은 아웃바운드 multi-exit discriminator(MED) 값이 설정됩니다. 두 터널을 모두 사용하도록 고객 게이트웨이 장치를 구성한 경우 VPN 연결은 터널 엔드포인트 업데이트 프로세스 중에 다른 (위쪽) 터널을 사용합니다.

참고

낮은 MED가 있는 위쪽 터널이 기본 설정되도록 하려면 고객 게이트웨이 디바이스가 두 터널에 대해 동일한 가중치 및 로컬 기본 설정 값을 사용하는지 확인하십시오(가중치 및 로컬 기본 설정은 MED보다 우선 순위가 높음).