고객 게이트웨이 디바이스 - AWS Site-to-Site VPN

고객 게이트웨이 디바이스

고객 게이트웨이 디바이스는 온프레미스 네트워크(Site-to-Site VPN 연결에서 사용자 측)에서 소유하거나 관리하는 물리적 또는 소프트웨어 어플라이언스입니다. 사용자 또는 네트워크 관리자가 Site-to-Site VPN 연결 작업을 수행하도록 디바이스를 구성해야 합니다.

다음 다이어그램에서는 사용자의 네트워크, 고객 게이트웨이 디바이스, 가상 프라이빗 게이트웨이(VPN에 연결됨)가 되는 VPN 연결을 보여줍니다. 고객 게이트웨이 디바이스와 가상 프라이빗 게이트웨이 사이의 두 줄은 VPN 연결을 위한 터널을 나타냅니다. AWS 내에 디바이스 장애가 있는 경우 VPN 연결은 두 번째 터널로 자동으로 장애 조치되므로 액세스가 중단되지 않습니다. AWS는 때로 가상 프라이빗 게이트웨이에 대한 정기 유지 관리도 수행하는데, 이로 인해 VPN 연결을 구성하는 두 터널 중 하나가 잠시 비활성화될 수 있습니다. 유지 관리를 수행하는 동안 VPN 연결은 두 번째 터널로 자동 장애 조치됩니다. 따라서 고객 게이트웨이 디바이스를 구성할 때 두 개의 터널을 구성하는 것이 중요합니다.


				개략적인 고객 게이트웨이 개요

VPN 연결을 설정하는 단계는 시작하기 단원을 참조하십시오. 이 프로세스 중에 AWS에서 고객 게이트웨이 리소스를 만듭니다. 이 리소스는 디바이스에 대한 정보(예: 퍼블릭 IP 주소)를 AWS에 제공합니다. 자세한 내용은 Site-to-Site VPN 연결을 위한 고객 게이트웨이 옵션 단원을 참조하십시오. AWS의 고객 게이트웨이 리소스는 고객 게이트웨이 디바이스를 구성하거나 생성하지 않습니다. 디바이스를 직접 구성해야 합니다.

VPN 연결을 만든 후 Amazon VPC 콘솔에서 VPN 연결과 관련된 정보가 포함된 구성 파일을 다운로드합니다. 이 정보를 사용하여 고객 게이트웨이 디바이스를 구성합니다. 경우에 따라 테스트한 디바이스에 디바이스별 구성 파일을 사용할 수 있습니다. 그렇지 않으면 일반 구성 파일을 다운로드할 수 있습니다.

테스트한 고객 게이트웨이 디바이스

고객 게이트웨이 디바이스는 물리적 어플라이언스 또는 소프트웨어 어플라이언스일 수 있습니다. 다음 디바이스에 대한 구성 정보를 테스트하고 제공했습니다.

  • R77.10 이상 소프트웨어를 실행하는 Check Point Security Gateway

  • Cisco ASA 8.2 이상의 소프트웨어를 실행하는 Cisco ASA

  • Cisco IOS 12.4 이상의 소프트웨어를 실행하는 Cisco IOS

  • SonicOS 5.9 이상의 소프트웨어를 실행하는 SonicWALL

  • Fortinet Fortigate 40+ Series 실행 FortiOS 4.0(이상) 소프트웨어

  • JunOS 9.5 이상의 소프트웨어를 실행하는 Juniper J-Series

  • JunOS 11.0 이상의 소프트웨어를 실행하는 Juniper SRX

  • Juniper SSG 실행 ScreenOS 6.1, 또는 6.2(이상) 소프트웨어

  • Juniper ISG 실행 ScreenOS 6.1, 또는 6.2(이상) 소프트웨어

  • OS 2.2.5 이상 소프트웨어를 실행하는 Netgate pfSense

  • PANOS 4.1.2 이상 소프트웨어를 실행하는 Palo Alto Networks

  • Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 및 SRT100 라우터

  • Microsoft Windows Server 2008 R2(이상) 소프트웨어

  • Microsoft Windows Server 2012 R2(이상) 소프트웨어

  • 고정 라우팅 VPN 연결용 Zyxel Zywall Series 4.20(이상) 소프트웨어 또는 동적 라우팅 VPN 연결용 4.30(이상) 소프트웨어

이런 디바이스 중 하나를 보유하고 있지만 이 구성 파일에 제시된 것과는 다른 방법으로 IPsec를 구성하는 경우, 여기서 제안하는 구성을 필요에 다라 자유롭게 변경할 수 있습니다.

고객 게이트웨이 디바이스 요구 사항

앞에 나온 테스트 대상 디바이스 목록에 없는 디바이스를 보유하고 있다면, 이 단원에 이를 사용해 Site-to-Site VPN에 연결하기 위해 디바이스가 충족해야 하는 요구 사항이 설명되어 있으므로 그 내용을 참조하십시오.

고객 게이트웨이 디바이스의 구성을 위한 4가지 주요 파트가 있습니다. 다음 기호는 구성의 각 부분을 나타냅니다.

인터넷 키 교환(IKE) 보안 연결. IPsec 보안 연결 설정에 사용되는 키 교환에 필요합니다.

IPsec 보안 연결. 터널의 암호화, 인증 등을 처리합니다.

터널 인터페이스. 터널과 주고받는 트래픽을 수신합니다.

(선택 사항) BGP(Border Gateway Protocol) 피어링. BGP를 사용하는 디바이스의 경우, 고객 게이트웨이 디바이스와 가상 프라이빗 게이트웨이 간에 라우팅을 교환합니다.

다음 표에는 고객 게이트웨이 디바이스의 요구 사항, 관련 RFC(참조용) 및 요구 사항에 대한 설명이 나와 있습니다.

각 VPN 연결은 두 개의 별개 터널로 구성됩니다. 각 터널에는 IKE 보안 연결, IPsec 보안 연결 및 BGP 피어링이 포함되어 있습니다. 터널당 1개의 고유한 보안 연결(SA) 페어(인바운드 1개, 아웃바운드 1개)로 제한되며 따라서 2개의 터널에는 총 2개의 고유한 SA 페어(4개의 SA)로 제한됩니다. 일부 디바이스는 정책 기반 VPN을 사용하고 ACL 항목만큼 많은 SA를 만듭니다. 따라서 불필요한 트래픽은 허용하지 않도록 규칙을 통합한 다음 필터링해야 할 수도 있습니다.

기본적으로 VPN 터널은 트래픽이 생성되고 VPN 연결의 사용자 측에서 IKE 협상이 시작될 때 가동합니다. 대신 연결의 AWS 측에서 IKE 협상을 시작하도록 VPN 연결을 구성할 수 있습니다. 자세한 내용은 Site-to-Site VPN 터널 시작 옵션 단원을 참조하십시오.

VPN 엔드포인트는 키 재지정을 지원하며, 고객 게이트웨이 디바이스가 재협상 트래픽을 전송하지 않은 경우, 1단계가 만료되려 할 때 재협상을 시작할 수 있습니다.

요구 사항 RFC 설명

IKE 보안 연결 설정

RFC 2409

RFC 7296

우선, 사전 공유 키 또는 AWS Certificate Manager Private Certificate Authority를 사용하는 프라이빗 인증서를 인증자로 사용하여 가상 프라이빗 게이트웨이와 고객 게이트웨이 디바이스 사이에 IKE 보안 연결이 설정됩니다. 연결을 설정할 때 IKE에서 임시 키를 협상하여 이후의 IKE 메시지를 보호합니다. 암호화 및 인증 파라미터를 포함하여 파라미터 간에 완전한 동의가 있어야 합니다.

AWS에서 VPN 연결을 만들 때 각 터널별로 자체 사전 공유 키를 지정하거나 AWS가 사전 공유 키를 자동 생성하도록 할 수 있습니다. 또는 AWS Certificate Manager Private Certificate Authority를 사용하는 프라이빗 인증서를 지정하여 고객 게이트웨이 디바이스에 사용할 수 있습니다. VPN 터널 구성에 대한 자세한 내용은 Site-to-Site VPN 연결의 터널 옵션 단원을 참조하십시오.

IKEv1 및 IKEv2 버전이 지원됩니다.

IKEv1에서만 기본 모드를 지원합니다.

Site-to-Site VPN 서비스는 라우팅 기반 솔루션입니다. 정책 기반 구성을 사용하는 경우 구성을 단일 보안 연결(SA)로 제한해야 합니다.

터널 모드에서 IPsec 보안 연결을 설정합니다.

RFC 4301

IKE 휘발성 키를 사용하여 가상 프라이빗 게이트웨이와 고객 게이트웨이 디바이스 간에 IPsec 보안 연결(SA)을 형성하기 위한 키가 설정됩니다. 게이트웨이 간 트래픽은 이 SA를 사용하여 암호화되고 해독됩니다. IPsec SA 내에서 트래픽을 암호화하는 데 사용되는 휘발성 키는 통신의 기밀성 보장을 위해 IKE가 정기적으로 자동으로 순환하여 사용합니다.

AES 128비트 암호화 또는 AES 256비트 암호화 기능을 사용합니다.

RFC 3602

이 암호화 기능은 IKE 및 IPsec 연결 보안의 개인 정보를 보호하는 데 사용됩니다.

SHA-1 또는 SHA-2(256) 해싱 기능을 사용합니다.

RFC 2404

이 해시 기능은 IKE 및 IPsec 연결 보안을 모두 인증하는 데 사용됩니다.

Diffie-Hellman Perfect Forward Secrecy를 사용합니다.

RFC 2409

IKE는 Diffie-Hellman을 사용하여 고객 게이트웨이 디바이스와 가상 프라이빗 게이트웨이 사이의 모든 통신을 보호하기 위한 휘발성 키를 설정합니다.

다음 그룹이 지원됩니다.

  • 1단계 그룹: 2, 14-24

  • 2단계 그룹: 2, 5, 14-24

암호화 전에 IP 패킷 조각화

RFC 4459

패킷이 너무 커서 변환할 수 없을 때는 패킷을 조각화해야 합니다. 조각화된 암호화 패킷을 다시 수집하지는 않습니다. 따라서 VPN 디바이스는 VPN 헤더로 패킷을 캡슐화하기 전에 조각화해야 합니다. 조각은 원격 호스트로 개별적으로 전송되며, 원격 호스트에서 이들 조각을 다시 수집합니다.

(동적으로 라우팅된 VPN 연결) IPsec Dead Peer Detection 사용

RFC 3706

Dead Peer Detection은 VPN 디바이스가 네트워크 상태가 인터넷을 통한 패킷 전달을 막는 시점을 빠르게 식별할 수 있습니다. 이런 문제가 발생하면 게이트웨이가 보안 연결을 삭제하고 새 연결을 생성하려 시도합니다. 이 프로세스 중에 가능하면 대체 IPsec 터널이 사용됩니다.

(동적으로 라우팅된 VPN 연결) 터널을 논리 인터페이스에 바인딩(라우팅 기반 VPN)

없음

디바이스에서 IPsec 터널을 논리적 인터페이스에 바인딩할 수 있어야 합니다. 논리적 인터페이스에는 가상 프라이빗 게이트웨이에 대한 BGP 피어링을 설정하는 데 사용되는 IP 주소가 있습니다. 이 논리적 인터페이스가 추가적인 캡슐화(예: GRE 또는 IP in IP)를 수행하면 안 됩니다. 인터페이스를 1399바이트의 최대 전송 단위(MTU)로 설정해야 합니다.

(동적으로 라우팅된 VPN 연결) BGP 피어링 설정

RFC 4271

BGP는 BGP를 사용하는 디바이스에 대해 고객 게이트웨이 디바이스와 가상 프라이빗 게이트웨이 간에 라우팅을 교환하는 데 사용됩니다. 모든 BGP 트래픽이 암호화되어 IPsec 보안 연결을 통해 전송됩니다. BGP는 두 게이트웨이 모두 IPsec SA를 통해 도달 가능한 IP 접두사를 교환하는 데 필요합니다.

연결이 (IPsec를 포함하여) 추가적인 네트워크 헤더와 함께 패킷을 캡슐화하기 때문에, 단일 패킷으로 전송 가능한 데이터의 양이 감소됩니다. 다음 표에 나열되어 있는 기술을 사용하여 IPsec 터널을 통해 전송될 수 있는 데이터 양과 관련된 문제를 최소화하는 것이 좋습니다.

기술 RFC 설명

VPN 터널로 들어가는 TCP 패킷의 최소 세그먼트 크기(MSS) 조정

RFC 4459

TCP 패킷은 종종 IPsec 터널 전반에 걸쳐 가장 일반적인 유형의 패킷입니다. 일부 게이트웨이는 TCP 최대 세그먼트 크기(MSS) 파라미터를 변경할 수 있습니다. 이로 인해 TCP 엔드포인트(클라이언트, 서버)가 각 패킷과 함께 보내는 데이터의 양을 줄이게 됩니다. VPN 디바이스에 도착하는 패킷이 캡슐화를 거쳐 전송되기에 충분할 정도로 작으므로, 이는 이상적인 접근 방식입니다.

SHA2-384 또는 SHA2-512 해싱 알고리즘을 사용할 때는 고객 게이트웨이 디바이스의 MSS를 1359로 설정하는 것이 좋습니다. 이는 더 큰 헤더를 수용하기 위해 필요합니다.

패킷에 대한 "조각화 금지" 플래그 재설정

RFC 791

어떤 패킷에는 DF(조각화 금지) 플래그라는 플래그가 있는데, 이는 패킷을 조각화하면 안 됨을 표시합니다. 패킷에 플래그가 있으면 게이트웨이가 'ICMP 경로 MTU 초과' 메시지를 생성합니다. 어떤 경우에는 애플리케이션에 이런 ICMP 메시지를 처리하고 각 패킷에 전송되는 데이터의 양을 줄이기 위한 적합한 메커니즘이 없습니다. 일부 VPN 디바이스는 필요에 따라 DF 플래그를 무시하고 패킷을 무조건 조각화할 수 있습니다. 고객 게이트웨이 디바이스에 이런 기능이 있는 경우에는 그 기능을 적절히 사용하는 것이 좋습니다.

AWS VPN 연결은 경로 MTU 검색(RFC 1191)을 지원하지 않습니다.

고객 게이트웨이 디바이스와 인터넷 사이에 방화벽이 있는 경우 인터넷과 고객 게이트웨이 디바이스 사이에 방화벽 구성 단원을 참조하십시오.

인터넷과 고객 게이트웨이 디바이스 사이에 방화벽 구성

고객 게이트웨이 디바이스를 가상 프라이빗 게이트웨이에 연결하는 IPsec 터널에 대한 엔드포인트로 사용할 인터넷 라우팅 가능 IP 주소가 있어야 합니다. 인터넷과 게이트웨이 사이에 방화벽이 마련되어 있는 경우 IPsec 터널을 설정하기 위해 다음 표에 나와 있는 규칙이 마련되어 있어야 합니다. 가상 프라이빗 게이트웨이 주소는 구성 파일에 있습니다.

입력 규칙 I1

소스 IP

가상 프라이빗 게이트웨이 1

대상 IP

고객 게이트웨이

프로토콜

UDP

원본 포트

500

대상 주소

500

입력 규칙 I2

소스 IP

가상 프라이빗 게이트웨이 2

대상 IP

고객 게이트웨이

프로토콜

UDP

원본 포트

500개

대상 포트

500개

입력 규칙 I3

소스 IP

가상 프라이빗 게이트웨이 1

대상 IP

고객 게이트웨이

프로토콜

IP 50(ESP)

입력 규칙 I4

소스 IP

가상 프라이빗 게이트웨이 2

대상 IP

고객 게이트웨이

프로토콜

IP 50(ESP)

출력 규칙 O1

소스 IP

고객 게이트웨이

대상 IP

가상 프라이빗 게이트웨이 1

프로토콜

UDP

원본 포트

500개

대상 포트

500

출력 규칙 O2

소스 IP

고객 게이트웨이

대상 IP

가상 프라이빗 게이트웨이 2

프로토콜

UDP

원본 포트

500개

대상 포트

500개

출력 규칙 O3

소스 IP

고객 게이트웨이

대상 IP

가상 프라이빗 게이트웨이 1

프로토콜

IP 50(ESP)

출력 규칙 O4

소스 IP

고객 게이트웨이

대상 IP

가상 프라이빗 게이트웨이 2

프로토콜

IP 50(ESP)

규칙 I1, I2, O1 및 O2를 사용하여 IKE 패킷을 전송할 수 있습니다. 규칙 I3, I4, O3 및 O4를 사용하여 암호화된 네트워크 트래픽을 포함한 IPsec 패킷을 전송할 수 있습니다.

디바이스에서 NAT-T(NAT traversal)를 사용하는 경우 포트 4500에서 UDP 액세스를 허용하는 규칙을 포함시켜야 합니다. 디바이스가 NAT-T를 알리는지 확인하십시오.

다중 VPN 연결 시나리오

다음은 하나 이상의 고객 게이트웨이 디바이스를 사용하여 여러 VPN 연결을 만들 수 있는 시나리오입니다.

동일한 고객 게이트웨이 디바이스를 사용하여 여러 VPN 연결

온프레미스 위치에서 동일한 고객 게이트웨이 디바이스를 사용하여 다른 VPC에 대한 VPN 연결을 추가로 생성할 수 있습니다. 이러한 VPN 연결 각각에 대해 동일한 고객 게이트웨이 IP 주소를 재사용할 수 있습니다.

두 번째 고객 게이트웨이 디바이스를 사용하여 중복 VPN 연결

고객 게이트웨이 디바이스를 사용할 수 없을 때 연결이 끊어지지 않도록 두 번째 고객 게이트웨이 디바이스를 사용하여 두 번째 VPN 연결을 설정할 수 있습니다. 자세한 내용은 중복 Site-to-Site VPN 연결을 사용하여 장애 조치 제공 단원을 참조하십시오. 단일 위치에 중복 고객 게이트웨이 디바이스를 설정하는 경우 두 디바이스가 모두 같은 IP 범위를 공고해야 합니다.

단일 가상 프라이빗 게이트웨이로 연결되는 여러 고객 게이트웨이 디바이스(AWS VPN CloudHub)

여러 고객 게이트웨이 디바이스에서 단일 가상 프라이빗 게이트웨이로 VPN 연결을 여러 개 설정할 수 있습니다. 이를 통해 여러 위치를 AWS VPN CloudHub에 연결할 수 있습니다. 자세한 내용은 VPN CloudHub를 사용하여 사이트 간에 보안 통신 제공 단원을 참조하십시오. 고객 게이트웨이 디바이스가 여러 지리적 위치에 분산되어 있을 때, 각 디바이스는 해당 위치에 특정한 고유의 IP 범위 집합을 공고해야 합니다.

고객 게이트웨이 디바이스의 라우팅

가상 프라이빗 게이트웨이의 라우팅 결정에 영향을 주려면 구체적인 BGP 라우팅을 공고하는 것이 좋습니다. 디바이스 관련 명령에 대해서는 공급업체 설명서를 참조하십시오.

여러 개의 VPN 연결을 생성할 때, 가상 프라이빗 게이트웨이는 고정으로 배정되는 경로 또는 BGP 경로 알림을 사용하여 알맞은 VPN 연결로 네트워크 트래픽을 보냅니다. 라우팅은 VPN 연결의 구성 방식에 따라 다릅니다. 가상 프라이빗 게이트웨이에 동일한 경로가 존재하는 경우에는 BGP에서 알려주는 경로보다 고정으로 배정된 경로가 우선됩니다. BGP 광고를 사용하는 옵션을 선택하면 정적 라우팅을 지정할 수 없습니다.

라우팅 우선 순위에 대한 자세한 내용은 라우팅 테이블 및 VPN 라우팅 우선 순위 단원을 참조하십시오.