기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AWS Virtual Private Network 고객 게이트웨이 디바이스에 대한 동적 라우팅 구성 다음은 사용자 인터페이스(사용 가능한 경우)를 사용하여 고객 게이트웨이 디바이스를 구성하는 몇 가지 예제 절차입니다. ------ #### [ Check Point ] 다음은 Gaia 웹 포털 및 Check Point SmartDashboard를 사용하여 R77.10 이상을 실행하는 Check Point Security Gateway 디바이스를 구성하는 단계입니다. Check Point Support Center의 [Amazon Web Services (AWS) VPN BGP ](https://support.checkpoint.com/results/sk/sk108958) 문서도 참조할 수 있습니다. **터널 인터페이스를 구성하려면** 첫 번째 단계는 VPN 터널을 생성하고 각 터널에 대해 고객 게이트웨이 및 가상 프라이빗 게이트웨이의 프라이빗(내부) IP 주소를 제공하는 것입니다. 첫 번째 터널을 생성하려면 구성 파일의 `IPSec Tunnel #1` 단원에 제공된 정보를 사용합니다. 두 번째 터널을 생성하려면 구성 파일의 `IPSec Tunnel #2` 단원에 제공된 값을 사용합니다. 1. SSH를 통해 보안 게이트웨이에 연결합니다. 기본이 아닌 셸을 사용하는 경우 `clish` 명령을 실행하여 clish로 변경합니다. 1. 다음 명령을 실행하여 고객 게이트웨이 ASN(고객 게이트웨이가 생성될 때 제공된 ASN AWS)을 설정합니다. ``` set as {{65000}} ``` 1. 구성 파일의 `IPSec Tunnel #1` 단원에 제공된 정보를 사용하여 첫 번째 터널에 대한 터널 인터페이스를 생성합니다. 터널에 고유 이름을 지정합니다(예: `AWS_VPC_Tunnel_1`). ``` add vpn tunnel 1 type numbered local {{169.254.44.234}} remote {{169.254.44.233}} peer {{AWS_VPC_Tunnel_1}} set interface vpnt1 state on set interface vpnt1 mtu {{1436}} ``` 1. 구성 파일의 `IPSec Tunnel #2` 단원에 제공된 정보로 이 명령을 반복하여 두 번째 터널을 생성합니다. 터널에 고유 이름을 지정합니다(예: `AWS_VPC_Tunnel_2`). ``` add vpn tunnel 1 type numbered local {{169.254.44.38}} remote {{169.254.44.37}} peer {{AWS_VPC_Tunnel_2}} set interface vpnt2 state on set interface vpnt2 mtu {{1436}} ``` 1. 가상 프라이빗 게이트웨이 ASN을 설정합니다. ``` set bgp external remote-as {{7224}} on ``` 1. 구성 파일의 `IPSec Tunnel #1` 단원에 제공된 정보를 사용하여 첫 번째 터널에 대한 BGP를 구성합니다. ``` set bgp external remote-as {{7224}} peer {{169.254.44.233}} on set bgp external remote-as {{7224}} peer {{169.254.44.233}} holdtime 30 set bgp external remote-as {{7224}} peer {{169.254.44.233}} keepalive 10 ``` 1. 구성 파일의 `IPSec Tunnel #2` 단원에 제공된 정보를 사용하여 두 번째 터널에 대한 BGP를 구성합니다. ``` set bgp external remote-as {{7224}} peer {{169.254.44.37}} on set bgp external remote-as {{7224}} peer {{169.254.44.37}} holdtime 30 set bgp external remote-as {{7224}} peer {{169.254.44.37}} keepalive 10 ``` 1. 구성을 저장합니다. ``` save config ``` **BGP 정책을 생성하려면** 그런 다음, AWS가 보급한 경로를 가져오도록 허용하는 BGP 정책을 만듭니다. 그런 다음 고객 게이트웨이를 구성하여 AWS로 로컬 경로를 광고합니다. 1. Gaia WebUI에서 [**Advanced Routing**], [**Inbound Route Filters**]를 선택합니다. [**Add**]를 선택하고 [**Add BGP Policy (Based on AS)**]를 선택합니다. 1. **Add BGP Policy(BGP 정책 추가)**의 첫 번째 필드에서 512와 1024 사이의 값을 선택하고 두 번째 필드에 가상 프라이빗 게이트웨이 ASN을 입력합니다(예: `7224`). 1. **저장**을 선택합니다. **로컬 경로를 알리려면** 다음은 로컬 인터페이스 경로를 배포하기 위한 단계입니다. 정적 경로 또는 동적 라우팅 프로토콜을 통해 얻은 경로와 같은 다양한 소스의 경로도 재배포할 수 있습니다. 자세한 정보는 [Gaia Advanced Routing R77 Versions Administration Guide](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm) 단원을 참조하십시오. 1. Gaia WebUI에서 [**Advanced Routing**], [**Routing Redistribution**]을 선택합니다. **Add Redistribution From**을 선택하고 **Interface**를 선택합니다 1. **To Protocol**에서 가상 프라이빗 게이트웨이 ASN을 선택합니다(예: `7224`). 1. [**Interface**]에서 내부 인터페이스를 선택합니다. **저장**을 선택합니다. **새 네트워크 객체를 정의하려면** 그런 다음, 가상 프라이빗 게이트웨이에 퍼블릭(외부) IP 주소를 지정하여 각 VPN 터널에 대한 네트워크 객체를 생성합니다. 나중에 이 네트워크 객체를 VPN 커뮤니티를 위한 위성 게이트웨이로 추가합니다. VPN 도메인의 자리 표시자 역할을 하는 빈 그룹도 생성해야 합니다. 1. Check Point SmartDashboard를 엽니다. 1. [**Groups**]에서 컨텍스트 메뉴를 열고 [**Groups**], [**Simple Group**]을 선택합니다. 각 네트워크 객체에 동일한 그룹을 사용할 수 있습니다. 1. [**Network Objects**]에서 컨텍스트 메뉴를 열고(마우스 오른쪽 버튼 클릭) [**New**], [**Interoperable Device**]를 선택합니다. 1. **이름**에 1단계에서 터널에 지정한 이름을 입력합니다(예: `AWS_VPC_Tunnel_1` 또는 `AWS_VPC_Tunnel_2`). 1. [**IPv4 Address**]에 구성 파일에 제공된 가상 프라이빗 게이트웨이의 외부 IP 주소를 입력합니다(예: `54.84.169.196`). 설정을 저장하고 대화 상자를 닫습니다. ![[Check Point Interoperable Device] 대화 상자](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/check-point-network-device.png) 1. 왼쪽 카테고리 창에서 [choose **Topology**]를 선택합니다. 1. **VPN 도메인** 단원에서 **수동으로 정의**를 선택하고 2단계에서 생성한 빈 단순 그룹을 찾아서 선택합니다. **확인**을 선택합니다. 1. 구성 파일의 `IPSec Tunnel #2` 단원에 제공된 정보로 이 단계를 반복하여 두 번째 네트워크 객체를 생성합니다. 1. 게이트웨이 네트워크 객체로 이동하여 게이트웨이 또는 클러스터 객체를 열고 [**Topology**]를 선택합니다. 1. **VPN 도메인** 단원에서 **수동으로 정의**를 선택하고 2단계에서 생성한 빈 단순 그룹을 찾아서 선택합니다. **확인**을 선택합니다. **참고** 구성한 기존 VPN 도메인을 유지할 수 있습니다. 하지만 특히 VPN 도메인이 자동으로 파생된 경우 새로운 VPN 연결에서 사용되거나 제공되는 호스트 및 네트워크가 해당 VPN 도메인에서 선언되지 않았는지 확인하십시오. **참고** 클러스터를 사용하는 경우 토폴로지를 편집하고 인터페이스를 클러스터 인터페이스로 정의합니다. 구성 파일에 지정된 IP 주소를 사용합니다. **VPN 커뮤니티, IKE 및 IPsec 설정을 생성하고 구성하려면** 그런 다음, Check Point 게이트웨이에서 각 터널의 네트워크 객체(상호 운용 가능한 디바이스)를 추가할 VPN 커뮤니티를 생성합니다. IKE(Internet Key Exchange) 및 IPsec 설정도 구성할 수 있습니다. 1. 게이트웨이 속성에서 카테고리 창의 [**IPSec VPN**]을 선택합니다. 1. [**Communities**], [**New**], [**Star Community**]를 선택합니다. 1. 커뮤니티에 이름을 지정한 다음(예: `AWS_VPN_Star`) 카테고리 창에서 [**Center Gateways**]를 선택합니다. 1. [**Add**]를 선택하고 참여 게이트웨이 또는 클러스터를 게이트웨이 목록에 추가합니다. 1. 카테고리 창에서 **Satellite Gateways**, **Add**를 선택하고 이전에 생성한 상호 운용 가능한 디바이스(`AWS_VPC_Tunnel_1` 및 `AWS_VPC_Tunnel_2`)를 참여 게이트웨이 목록에 추가합니다. 1. 카테고리 창에서 [**Encryption**]을 선택합니다. [**Encryption Method**] 단원에서 [**IKEv1 for IPv4 and IKEv2 for IPv6**]를 선택합니다. [**Encryption Suite**] 단원에서 [**Custom**], [**Custom Encryption**]을 선택합니다. **참고** IKEv1 기능의 경우 **IKEv1 for IPv4 and IKEv2 for IPv6** 옵션을 선택해야 합니다. 1. 대화 상자에서 다음과 같이 암호화 속성을 구성하고 구성을 완료하면 **확인**을 선택합니다. + IKE 보안 연결(1단계) 속성: + [**Perform key exchange encryption with**]: AES-128 + [**Perform data integrity with**]: SHA-1 + IPsec 보안 연결(2단계) 속성: + [**Perform IPsec data encryption with**]: AES-128 + [**Perform data integrity with**]: SHA-1 1. 카테고리 창에서 [**Tunnel Management**]를 선택합니다. [**Set Permanent Tunnels**], [**On all tunnels in the community**]를 선택합니다. [**VPN Tunnel Sharing**] 단원에서 [**One VPN tunnel per Gateway pair**]를 선택합니다. 1. 카테고리 창에서 [**Advanced Settings**]를 확장하고 [**Shared Secret**]을 선택합니다. 1. 첫 번째 터널의 피어 이름을 선택하고 **편집**을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 `IPSec Tunnel #1` 단원에 입력합니다. 1. 두 번째 터널의 피어 이름을 선택하고 **편집**을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 `IPSec Tunnel #2` 단원에 입력합니다. ![[Check Point Interoperable Shared Secret] 대화 상자](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/check-point-shared-secret.png) 1. 여전히 **Advanced Settings** 카테고리에서 **Advanced VPN Properties**를 선택하고 다음과 같이 속성을 구성한 후 구성을 완료하면 **확인**을 선택합니다. + IKE(1단계): + **Use Diffie-Hellman group**: `Group 2 (1024 bit)` + [**Renegotiate IKE security associations every**] `480` [**minutes**] + IPsec(2단계): + [**Use Perfect Forward Secrecy**] 선택 + **Use Diffie-Hellman group**: `Group 2 (1024 bit)` + [**Renegotiate IPsec security associations every**] `3600` [**seconds**] **방화벽 규칙을 생성하려면** 그런 다음, VPC와 로컬 네트워크 간에 통신을 허용하는 방화벽 규칙 및 방향 일치 규칙을 사용하여 정책을 구성합니다. 그런 다음 게이트웨이에 정책을 설치합니다. 1. SmartDashboard에서 게이트웨이에 대한 [**Global Properties**]를 선택합니다. 카테고리 창에서 [**VPN**]을 확장하고 [**Advanced**]를 선택합니다. 1. [**Enable VPN Directional Match in VPN Column**]을 선택하고 [**OK**]를 선택합니다. 1. SmartDashboard에서 [**Firewall**]을 선택하고 다음 규칙을 사용하여 정책을 생성합니다. + 필수 프로토콜을 통해 VPC 서브넷이 로컬 네트워크와 통신할 수 있도록 허용합니다. + 필수 프로토콜을 통해 로컬 네트워크가 VPC 서브넷과 통신할 수 있도록 허용합니다. 1. VPN 열의 셀에 대한 컨텍스트 메뉴를 열고 [**Edit Cell**]을 선택합니다. 1. [**VPN Match Conditions**] 대화 상자에서 [**Match traffic in this direction only**]를 선택합니다. 각각에 대해 **추가**를 선택하여 다음과 같은 방향 일치 규칙을 생성하고 생성을 완료하면 **확인**을 선택합니다. + `internal_clear` > VPN 커뮤니티(이전에 생성한 VPN 항성 커뮤니티, 예: `AWS_VPN_Star`) + VPN 커뮤니티 > VPN 커뮤니티 + VPN 커뮤니티 > `internal_clear` 1. SmartDashboard에서 [**Policy**], [**Install**]을 선택합니다. 1. 대화 상자에서 게이트웨이를 선택하고 [**OK**]를 선택하여 정책을 설치합니다. **tunnel\_keepalive\_method 속성을 변경하려면** Check Point 게이트웨이는 DPD(Dead Peer Detection)를 사용하여 IKE 연결이 가동 중지되는 시간을 식별할 수 있습니다. 영구 터널에 대해 DPD를 구성하려면 AWS VPN 커뮤니티에서 영구 터널을 구성해야 합니다. 기본적으로 VPN 게이트웨이의 `tunnel_keepalive_method` 속성은 `tunnel_test`로 설정됩니다. 값을 `dpd`로 변경해야 합니다. 타사 VPN 게이트웨이를 포함하여 DPD 모니터링이 필요한 VPN 커뮤니티의 각 VPN 게이트웨이는 `tunnel_keepalive_method` 속성으로 구성해야 합니다. 동일한 게이트웨이에 대해 다른 모니터링 메커니즘을 구성할 수 없습니다. GuiDBedit 도구를 사용하여 `tunnel_keepalive_method` 속성을 업데이트할 수 있습니다. 1. Check Point SmartDashboard를 열고 [**Security Management Server**], [**Domain Management Server**]를 선택합니다. 1. [**File**], [**Database Revision Control...**]을 선택하고 변경된 버전 스냅샷을 생성합니다. 1. SmartDashboard, SmartView Tracker 및 SmartView Monitor 등 모든 SmartConsole 창을 닫습니다. 1. GuiBDedit 도구를 시작합니다. 자세한 정보는 Check Point Support Center의 [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) 문서를 참조하십시오. 1. [**Security Management Server**], [**Domain Management Server**]를 선택합니다. 1. 왼쪽 상단 창에서 [**Table**], [**Network Objects**], [**network\_objects**]를 선택합니다. 1. 오른쪽 상단 창에서 관련된 [**Security Gateway**], [**Cluster**] 객체를 선택합니다. 1. CTRL\+F를 누르거나 [**Search**] 메뉴를 사용하여 다음 `tunnel_keepalive_method`를 검색합니다. 1. 아래쪽 창에서 `tunnel_keepalive_method`에 대한 컨텍스트 메뉴를 열고 [**Edit...**]를 선택합니다. **dpd**, **확인**을 선택합니다. 1. AWS VPN 커뮤니티에 포함된 각 게이트웨이에 대해 7\~9단계를 반복합니다. 1. [**File**], [**Save All**]을 선택합니다. 1. GuiDBedit 도구를 닫습니다. 1. Check Point SmartDashboard를 열고 [**Security Management Server**], [**Domain Management Server**]를 선택합니다. 1. 관련된 [**Security Gateway**], [**Cluster**] 객체에 정책을 설치합니다. 자세한 정보는 Check Point Support Center의 [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746) 문서를 참조하십시오. **TCP MSS 클램핑을 활성화하려면** TCP MSS 클램핑은 TCP 패키지의 최대 세그먼트 크기를 축소하여 패킷 조각화를 방지합니다. 1. 다음 디렉터리로 이동합니다. `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\` 1. `GuiDBEdit.exe` 파일을 실행하여 Check Point Database Tool을 엽니다. 1. [**Table**], [**Global Properties**], [**properties**]를 선택합니다. 1. `fw_clamp_tcp_mss`에 대해 [**Edit**]을 선택합니다. 값을 `true`로 변경하고 **확인**을 선택합니다. **터널 상태를 확인하려면** 전문가 모드의 명령줄 도구에서 다음 명령을 실행하여 터널 상태를 확인할 수 있습니다. ``` vpn tunnelutil ``` 다음에 표시되는 옵션에서 **1**을 선택하여 IKE 연결을 확인하고 **2**를 선택하여 IPsec 연결을 확인합니다. Check Point Smart Tracker Log를 사용하여 연결을 통해 패킷이 암호화되는지도 확인할 수 있습니다. 예를 들어 다음 로그는 VPC로 이동하는 패킷이 터널 1을 통해 전송되었고 암호화되었음을 나타냅니다. ![Check Point 로그 파일](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/check-point-log.png) ------ #### [ SonicWALL ] SonicOS 관리 인터페이스를 사용하여 SonicWALL 디바이스를 구성할 수 있습니다. 터널 구성에 대한 자세한 내용은 [AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 정적 라우팅 구성](cgw-static-routing-example-interface.md) 단원을 참조하십시오. 관리 인터페이스로는 디바이스에 대해 BGP를 구성할 수 없습니다. 그 대신에 **BGP**라는 섹션에서 예시 구성 파일에 제공된 명령줄 지침을 사용해야 합니다. ------