Site-to-Site VPN 연결을 위한 고객 게이트웨이 옵션 - AWS Site-to-Site VPN

Site-to-Site VPN 연결을 위한 고객 게이트웨이 옵션

다음 표는 에서 고객 게이트웨이 리소스를 만들 때 필요한 정보에 대한 설명입니다AWS

항목 설명

(선택 사항) 고객 게이트웨이 디바이스 외부 인터페이스의 IP 주소입니다.

이 IP 주소는 고정 값이어야 합니다.

고객 게이트웨이 디바이스가 Network Address Translation(NAT) 디바이스 뒤에 있는 경우 NAT 디바이스의 IP 주소를 사용합니다. 또한 포트 500(및 NAT-traversal이 사용되는 경우 포트 4500)의 UDP 패킷이 네트워크와 AWS Site-to-Site VPN 엔드포인트 사이를 통과할 수 있어야 합니다. 자세한 내용은 방화벽 규칙 단원을 참조하십시오.

AWS Certificate Manager Private Certificate Authority에서 프라이빗 인증서를 사용하는 경우에는 IP 주소가 필요하지 않습니다.

라우팅 유형 - 정적 또는 동적

자세한 정보는 Site-to-Site VPN 라우팅 옵션을 참조하십시오.

(동적 라우팅만 해당) 고객 게이트웨이의 BGP(Border Gateway Protocol) ASN(자율 시스템 번호)

1~2,147,483,647 범위의 ASN이 지원됩니다. 다음 항목을 제외하고 네트워크에 할당된 기존 퍼블릭 ASN을 사용할 수 있습니다.

  • 7224 - 모든 리전에서 예약됨

  • 9059 - eu-west-1 리전에서 예약됨

  • 10124 - ap-northeast-1 리전에서 예약됨

  • 17943 - ap-southeast-1 리전에서 예약됨

퍼블릭 ASN이 없는 경우에는 64,512~65,534 범위의 프라이빗 ASN을 사용할 수 있습니다. 기본 ASN은 65000입니다. 고객 게이트웨이는 4,200,000,000~4,294,967,294 범위의 프라이빗 ASN을 지원하지 않습니다.

(선택 사항) AWS Certificate Manager(ACM)을 사용하는 하위 CA의 사설 인증서

인증서 기반 인증을 사용하려면 고객 게이트웨이 디바이스에 사용할 ACM 사설 인증서의 ARN을 제공합니다.

고객 게이트웨이를 만들 때 AWS Certificate Manager Private Certificate Authority 프라이빗 인증서를 사용하여 Site-to-Site VPN을 인증하도록 고객 게이트웨이를 구성할 수 있습니다.

이 옵션을 사용하기로 선택하면 조직 내부에서 사용할 수 있도록 전적으로 AWS에서 호스팅하는 프라이빗 CA(인증 기관)가 만들어집니다. 루트 CA 인증서와 하위 CA 인증서는 모두 ACM Private CA에서 저장 및 관리합니다.

고객 게이트웨이를 만들기 전에 AWS Certificate Manager Private Certificate Authority를 사용하여 하위 CA에서 사설 인증서를 만든 다음 고객 게이트웨이를 구성할 때 해당 인증서를 지정합니다. 프라이빗 인증서 생성에 대한 자세한 내용은 AWS Certificate Manager Private Certificate Authority 사용 설명서프라이빗 CA 생성 및 관리를 참조하세요.