AWS Site-to-Site VPN 작동 방식 - AWS Site-to-Site VPN

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Site-to-Site VPN 작동 방식

Site-to-Site VPN 연결은 다음과 같은 구성 요소로 이루어집니다.

VPN 연결은 AWS 측의 가상 프라이빗 게이트웨이 또는 전송 게이트웨이와 온프레미스 측의 고객 게이트웨이 간에 두 개의 VPN 터널을 제공합니다.

Site-to-Site VPN 할당량에 대한 자세한 내용은 AWS Site-to-Site VPN 할당량 단원을 참조하십시오.

가상 프라이빗 게이트웨이

가상 프라이빗 게이트웨이는 Site-to-Site VPN 연결의 Amazon 측에 있는 VPN 집선기입니다. 가상 프라이빗 게이트웨이를 생성하여 Site-to-Site VPN 연결에 액세스해야 하는 리소스가 포함된 Virtual Private Cloud(VPC)에 연결합니다.

다음 다이어그램은 가상 프라이빗 게이트웨이를 사용하는 온프레미스 네트워크와 단일 VPC 간의 VPN 연결을 보여줍니다.

연결된 가상 프라이빗 게이트웨이와 온프레미스 네트워크에 대한 VPN 연결이 있는 VPC.

가상 프라이빗 게이트웨이를 생성할 때 Amazon 측 게이트웨이의 프라이빗 자율 시스템 번호(ASN)를 지정할 수 있습니다. ASN을 지정하지 않는 경우 가상 프라이빗 게이트웨이는 기본 ASN(64512)으로 생성됩니다. 가상 프라이빗 게이트웨이를 만든 후에는 ASN을 변경할 수 없습니다. ASN에서 가상 프라이빗 게이트웨이를 확인하려면 Amazon VPC 콘솔의 가상 프라이빗 게이트웨이 페이지에서 세부 정보를 보거나 describe-vpn-gateways AWS CLI 명령을 사용합니다.

참고

가상 프라이빗 게이트웨이는 Site-to-Site VPN 연결에 대해 IPv6를 지원하지 않습니다. IPv6 지원이 필요한 경우 VPN 연결에 전송 게이트웨이 또는 Cloud WAN을 사용합니다.

Transit Gateway

전송 게이트웨이는 VPC와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 전송 허브입니다. 자세한 내용은 Amazon VPC 전송 게이트웨이를 참조하십시오. 전송 게이트웨이의 연결로 Site-to-Site VPN 연결을 생성할 수 있습니다.

다음 다이어그램은 전송 게이트웨이를 사용하는 온프레미스 네트워크와 여러 VPC 간의 VPN 연결을 보여줍니다. 전송 게이트웨이에는 VPC 연결 3개와 VPN 연결 1개가 있습니다.

VPC 연결 3개와 VPN 연결 1개가 있는 전송 게이트웨이.

전송 게이트웨이의 Site-to-Site VPN 연결은 VPN 터널(내부 IP 주소) 내의 IPv4 또는 IPv6 트래픽을 지원할 수 있습니다. 또한 전송 게이트웨이는 외부 터널 IP 주소에 대해 IPv6 주소를 지원합니다. 자세한 내용은 의 IPv4 및 IPv6 트래픽 AWS Site-to-Site VPN 단원을 참조하십시오.

가상 프라이빗 게이트웨이에서 전송 게이트웨이로 Site-to-Site VPN 연결의 대상 게이트웨이를 수정할 수 있습니다. 자세한 정보는 AWS Site-to-Site VPN 연결의 대상 게이트웨이 수정을 참조하십시오.

고객 게이트웨이 디바이스

고객 게이트웨이 디바이스는 Site-to-Site VPN 연결을 위해 고객 측에 설치된 물리적 디바이스 또는 소프트웨어 애플리케이션입니다. Site-to-Site VPN 연결로 작업하도록 디바이스를 구성 합니다. 자세한 정보는 AWS Site-to-Site VPN 고객 게이트웨이 디바이스을 참조하십시오.

기본적으로 고객 게이트웨이 디바이스는 트래픽을 생성하고 IKE(Internet Key Exchange) 협상 프로세스를 시작하여 Site-to-Site VPN 연결을 위한 터널을 표시해야 합니다. 그 대신 AWS 가 IKE 협상 프로세스를 시작해야 하는 것으로 지정하도록 Site-to-Site VPN 연결을 구성할 수 있습니다. 자세한 내용은 AWS Site-to-Site VPN 터널 시작 옵션 단원을 참조하십시오.

외부 터널 IP 주소에 IPv6를 사용하는 경우 고객 게이트웨이 디바이스는 IPv6 주소 지정을 지원하고 IPv6 엔드포인트로 IPsec 터널을 설정할 수 있어야 합니다.

고객 게이트웨이

고객 게이트웨이는 온프레미스 네트워크의 고객 게이트웨이 디바이스를 나타내는 AWS 에서 생성하는 리소스입니다. 고객 게이트웨이를 생성할 때 디바이스에 대한 정보를 제공합니다 AWS. 자세한 내용은 AWS Site-to-Site VPN 연결을 위한 고객 게이트웨이 옵션 단원을 참조하십시오.

고객 게이트웨이 및 고객 게이트웨이 디바이스.

Site-to-Site VPN 연결에서 Amazon VPC를 사용하려면 사용자 또는 네트워크 관리자가 원격 네트워크에서 고객 게이트웨이 디바이스 또는 애플리케이션도 구성해야 합니다. Site-to-Site VPN 연결을 생성하면 사용자에게 필요한 구성 정보가 제공되며 일반적으로 네트워크 관리자가 이 구성을 수행합니다. 고객 게이트웨이 요구 사항 및 구성에 대한 자세한 내용은 AWS Site-to-Site VPN 고객 게이트웨이 디바이스 단원을 참조하십시오.

IPv6 고객 게이트웨이

IPv6 외부 터널 IPs와 함께 사용할 고객 게이트웨이를 생성할 때 IPv4 주소 대신 IPvIPv6 주소를 지정합니다. AWS 관리 콘솔 또는 AWS CLI를 사용하여 IPv6 고객 게이트웨이를 생성할 수 있습니다.

AWS CLI를 사용하여 IPv6 고객 게이트웨이를 생성하려면 다음 명령을 사용합니다.

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

IPv6 주소는 고객 게이트웨이 디바이스의 인터넷 라우팅이 가능한 유효한 IPv6 주소여야 합니다.

IPv6 VPN 연결

Site-to-Site VPN 연결은 다음 IPv6 구성을 지원합니다.

  • IPv4 내부 패킷이 있는 IPv4 외부 터널 - Virtual Private Gateway(VGW), Transit Gateway(TGW) 및 Cloud WAN에서 지원되는 기본 IPv4 VPN 기능입니다.

  • IPv6 내부 패킷이 있는 IPv4 외부 터널 IPv6 - VPN 터널 내에서 IPv6 애플리케이션/전송을 허용합니다. TGW 및 Cloud WAN에서 지원됩니다(VGW에서는 지원되지 않음).

  • IPv6 내부 패킷이 있는 IPv6 외부 터널 - 외부 터널 IPs와 내부 패킷 IP 모두에 대해 IPv6 주소를 사용한 전체 IPv6 IPv6 마이그레이션을 허용합니다. IPs TGW 및 Cloud WAN에서 지원됩니다.

  • IPv4 내부 패킷이 있는 IPv6 외부 터널 IPv4 - 터널 내에서 레거시 IPv4 애플리케이션을 지원하면서 IPv4IPv6 외부 터널 주소 지정을 허용합니다. TGW 및 Cloud WAN에서 지원됩니다.

IPv6 외부 터널 IPs를 사용하여 VPN 연결을 생성하려면 VPN 연결을 생성할 OutsideIPAddressType=Ipv6 때를 지정합니다. AWS는 VPN 터널의 AWS 측에 대한 외부 터널 IPv6 주소를 자동으로 구성합니다.

IPv6 외부 터널 IPs 및 IPv6 내부 터널 IP와의 VPN 연결을 생성하는 CLI 명령 IPs:

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

describe-vpn-connection CLI 명령을 사용하여 VPN 연결에 할당된 IPv6 주소를 볼 수 있습니다.