Site-to-Site VPN 연결의 터널 옵션 - AWS Site-to-Site VPN

Site-to-Site VPN 연결의 터널 옵션

Site-to-Site VPN 연결을 사용하여 원격 네트워크를 VPC에 연결합니다. Site-to-Site VPN 연결마다 2개의 터널이 있으며, 고유의 가상 프라이빗 게이트웨이 퍼블릭 IP 주소가 각 터널에 사용됩니다. 중복성을 위해 두 터널 모두 구성해야 합니다. 유지 관리를 위해 가동을 중지하는 등의 이유로 한 터널을 사용할 수 없을 때 특정 Site-to-Site VPN 연결에 사용 가능한 터널로 네트워크 트래픽이 자동 라우팅됩니다.

다음 다이어그램은 Site-to-Site VPN 연결의 두 터널을 보여 줍니다.

Site-to-Site VPN 연결을 만들 때 각 터널 구성 정보를 포함하여 장치를 구성하기 위한 정보가 들어 있는 고객 게이트웨이 장치에 특정한 구성 파일을 다운로드합니다. Site-to-Site VPN 연결을 만들 때 선택적으로 일부 터널 옵션을 직접 지정할 수 있습니다. 그렇지 않으면 AWS는 기본값을 제공합니다.

다음 표에서는 구성 가능한 터널 옵션에 대해 설명합니다.

항목 설명 AWS 제공 기본값
Dead peer detection(DPD) 제한 시간(초)

DPD 시간 초과가 발생하는 기간입니다.

30 이상을 지정할 수 있습니다.

30
IKE 버전 VPN 터널에 허용되는 IKE 버전입니다. 하나 이상의 기본값을 지정할 수 있습니다. ikev1, ikev2

터널 CIDR 내부

VPN 터널의 내부 IP 주소 범위. 169.254.0.0/16 범위에서 크기/30 CIDR 블록을 지정할 수 있습니다. CIDR 블록은 동일한 가상 프라이빗 게이트웨이를 사용하는 모든 Site-to-Site VPN 연결에서 고유해야 합니다.

다음 CIDR 블록은 예약되어 사용할 수 없습니다.

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

169.254.0.0/16 범위의 크기/30 CIDR 블록

1단계 Diffie-Hellman(DH) 그룹 번호 IKE 협상의 1단계에서 VPN 터널에 허용되는 DH 그룹 번호입니다. 하나 이상의 기본값을 지정할 수 있습니다. 2, 14, 15, 16, 17, 18, 22, 23, 24
2단계 Diffie-Hellman(DH) 그룹 번호 IKE 협상의 2단계에서 VPN 터널에 허용되는 DH 그룹 번호입니다. 하나 이상의 기본값을 지정할 수 있습니다. 2, 5, 14, 15, 16, 17, 18, 22, 23, 24
1단계 암호화 알고리즘 1단계 IKE 협상에 대해 VPN 터널에 허용되는 암호화 알고리즘입니다. 하나 이상의 기본값을 지정할 수 있습니다. AES128, AES256
2단계 암호화 알고리즘 2단계 IKE 협상에 대해 VPN 터널에 허용되는 암호화 알고리즘입니다. 하나 이상의 기본값을 지정할 수 있습니다. AES128, AES256
1단계 무결성 알고리즘 1단계 IKE 협상에 대해 VPN 터널에 허용되는 무결성 알고리즘입니다. 하나 이상의 기본값을 지정할 수 있습니다. SHA-1, SHA2-256
2단계 무결성 알고리즘 2단계 IKE 협상에 대해 VPN 터널에 허용되는 무결성 알고리즘입니다. 하나 이상의 기본값을 지정할 수 있습니다. SHA-1, SHA2-256
1단계 수명(초) 1단계 IKE 협상의 수명(초)입니다. 900에서 28,800 사이의 숫자를 지정할 수 있습니다. 28,800(8시간)
2단계 수명(초) 2단계 IKE 협상의 수명(초)입니다. 900에서 3,600 사이의 숫자를 지정할 수 있습니다. 지정하는 숫자는 1단계 수명(초)보다 작아야 합니다. 3,600(1시간)

사전 공유 키(PSK)

사전 공유 키(PSK)는 가상 프라이빗 게이트웨이와 고객 게이트웨이 사이의 초기 internet key exchange(IKE) 보안 연결을 설정합니다.

PSK 길이는 8~64자 사이여야 하며 0으로 시작해서는 안 됩니다. 영숫자, 마침표(.), 밑줄(_)을 사용할 수 있습니다.

32자 영숫자 문자열

퍼지 교체(백분율)

키 재지정 시간이 임의로 선택되는 키 재지정 기간의 백분율(키 재지정 마진 시간에 의해 결정됨)입니다.

0 ~ 100 범위의 값을 지정할 수 있습니다.

100
마진 시간 교체(초)

2단계 수명이 만료되기 전의 마진 시간(초)으로, 이 시간 동안 VPN 연결의 AWS 측에서 IKE 교체를 수행합니다.

60에서 2단계 수명(초) 값의 절반 사이의 숫자를 지정할 수 있습니다.

정확한 교체 시간은 퍼지 교체 값을 기준으로 무작위로 선택됩니다.

540(9분)
재생 창 크기 패킷

IKE 재생 창의 패킷 수입니다.

64 ~ 2048 범위의 값을 지정할 수 있습니다.

1024

Site-to-Site VPN 연결을 생성할 때 터널 옵션을 지정하거나 기존 VPN 연결의 터널 옵션을 수정할 수 있습니다. AWS Classic VPN 연결에서는 터널 옵션을 구성할 수 없습니다. 자세한 내용은 다음 항목을 참조하십시오.