Site-to-Site VPN 터널 시작 옵션 - AWS Site-to-Site VPN

Site-to-Site VPN 터널 시작 옵션

기본적으로 고객 게이트웨이 디바이스는 트래픽을 생성하고 IKE(Internet Key Exchange) 협상 프로세스를 시작하여 Site-to-Site VPN 연결을 위한 터널을 표시해야 합니다. 대신 AWS가 IKE 협상 프로세스를 시작하거나 다시 시작하도록 지정하도록 VPN 터널을 구성할 수 있습니다.

VPN 터널 IKE 시작 옵션

다음 IKE 시작 옵션을 사용할 수 있습니다. VPN 터널에 대한 옵션 중 하나 또는 둘 다를 구현할 수 있습니다.

  • 시작 작업(Startup action): 새 VPN 연결이나 수정된 VPN 연결에 대해 VPN 터널을 설정할 때 수행할 작업입니다. 기본적으로 고객 게이트웨이 디바이스는 IKE 협상 프로세스를 시작하여 터널을 표시합니다. 대신 AWS가 IKE 협상 프로세스를 시작하도록 지정할 수 있습니다.

  • DPD 시간 초과 작업(DPD timeout action): Dead Peer Detection(DPD) 시간 초과가 발생한 후에 수행할 작업입니다. 기본적으로 IKE 세션이 중지되고 터널이 중단되고 경로가 제거됩니다. DPD 시간 초과가 발생할 때 AWS가 IKE 세션을 다시 시작하도록 지정하거나, DPD 시간 초과가 발생할 때 AWS가 작업을 수행하지 않도록 지정할 수 있습니다.

Site-to-Site VPN 연결에서 VPN 터널 중 하나 또는 모두에 대해 IKE 시작 옵션을 구성할 수 있습니다.

규칙 및 제한 사항

다음과 같은 규칙과 제한 사항이 적용됩니다.

  • IKE 협상을 시작하려면 AWS에 고객 게이트웨이 디바이스의 퍼블릭 IP 주소가 필요합니다. VPN 연결에 대해 인증서 기반 인증을 구성하고 AWS에서 고객 게이트웨이 리소스를 생성할 때 IP 주소를 지정하지 않은 경우 새 고객 게이트웨이를 생성하고 IP 주소를 지정해야 합니다. 그런 다음, VPN 연결을 수정하고 새 고객 게이트웨이를 지정합니다. 자세한 내용은 Site-to-Site VPN 연결에 대한 고객 게이트웨이 변경 섹션을 참조하세요.

  • AWS Classic VPN 연결에 대한 IKE 시작 옵션은 구성할 수 없습니다.

  • VPN 연결의 AWS 측에서 IKE 시작(시작 작업)은 IKEv2에서만 지원됩니다.

  • 고객 게이트웨이 디바이스가 네트워크 주소 변환(NAT)을 사용하는 방화벽 또는 기타 디바이스 뒤에 있는 경우 자격 증명(IDr)이 구성되어 있어야 합니다. IDr에 대한 자세한 내용은 RFC 7296을 참조하세요.

VPN 터널에 대해 AWS 측에서 IKE 시작을 구성하지 않고 VPN 연결에서 유휴 시간(구성에 따라 일반적으로 10초)이 발생하면 터널이 중단될 수 있습니다. 이를 방지하려면 네트워크 모니터링 도구를 사용하여 keepalive ping을 생성하면 됩니다.

VPN 터널 시작 옵션 작업

VPN 터널 시작 옵션 작업에 대한 자세한 내용은 다음 주제를 참조하세요.