기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Site-to-Site VPN 작동 방식
<a name="how_it_works"></a>

Site-to-Site VPN 연결은 다음과 같은 구성 요소로 이루어집니다.
+ [가상 프라이빗 게이트웨이](#VPNGateway) 또는 [전송 게이트웨이](#Transit-Gateway)
+ [고객 게이트웨이 디바이스](#CustomerGatewayDevice)
+ [고객 게이트웨이](#CustomerGateway)

VPN 연결은 AWS 측의 가상 프라이빗 게이트웨이 또는 전송 게이트웨이와 온프레미스 측의 고객 게이트웨이 간에 두 개의 VPN 터널을 제공합니다.

Site-to-Site VPN 할당량에 대한 자세한 내용은 [AWS Site-to-Site VPN할당량](vpn-limits.md) 단원을 참조하십시오.

## 가상 프라이빗 게이트웨이
<a name="VPNGateway"></a>

*가상 프라이빗 게이트웨이*는 Site-to-Site VPN 연결의 Amazon 측에 있는 Site-to-Site VPN Concentrator입니다. 가상 프라이빗 게이트웨이를 생성하여 Site-to-Site VPN 연결에 액세스해야 하는 리소스가 포함된 Virtual Private Cloud(VPC)에 연결합니다.

다음 다이어그램은 가상 프라이빗 게이트웨이를 사용하는 온프레미스 네트워크와 단일 VPC 간의 VPN 연결을 보여줍니다.

![연결된 가상 프라이빗 게이트웨이와 온프레미스 네트워크에 대한 VPN 연결이 있는 VPC.](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)


가상 프라이빗 게이트웨이를 생성할 때 Amazon 측 게이트웨이의 프라이빗 자율 시스템 번호(ASN)를 지정할 수 있습니다. ASN을 지정하지 않는 경우 가상 프라이빗 게이트웨이는 기본 ASN(64512)으로 생성됩니다. 가상 프라이빗 게이트웨이를 만든 후에는 ASN을 변경할 수 없습니다. ASN에서 가상 프라이빗 게이트웨이를 확인하려면 Amazon VPC 콘솔의 **가상 프라이빗 게이트웨이** 페이지에서 세부 정보를 보거나 [describe-vpn-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-gateways.html) AWS CLI 명령을 사용합니다.

**참고**  
가상 프라이빗 게이트웨이는 Site-to-Site VPN 연결에 IPv6를 지원하지 않습니다. IPv6 지원이 필요한 경우 VPN 연결에 전송 게이트웨이 또는 Cloud WAN을 사용합니다.

## Transit Gateway
<a name="Transit-Gateway"></a>

전송 게이트웨이는 VPC와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 전송 허브입니다. 자세한 내용은 [Amazon VPC 전송 게이트웨이](https://docs.aws.amazon.com/vpc/latest/tgw/)를 참조하십시오. 전송 게이트웨이의 연결로 Site-to-Site VPN 연결을 생성할 수 있습니다.

다음 다이어그램은 전송 게이트웨이를 사용하는 온프레미스 네트워크와 여러 VPC 간의 VPN 연결을 보여줍니다. 전송 게이트웨이에는 VPC 연결 3개와 VPN 연결 1개가 있습니다.

![VPC 연결 3개와 VPN 연결 1개가 있는 전송 게이트웨이.](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)


전송 게이트웨이의 Site-to-Site VPN 연결은 VPN 터널 내(내부 IP 주소)에서 IPv4 또는 IPv6 트래픽을 지원할 수 있습니다. 또한 전송 게이트웨이는 외부 터널 IP 주소에 대해 IPv6 주소를 지원합니다. 자세한 내용은 [AWS Site-to-Site VPN에서의 IPv4 및 IPv6 트래픽](ipv4-ipv6.md) 단원을 참조하십시오.

가상 프라이빗 게이트웨이에서 전송 게이트웨이로 Site-to-Site VPN 연결의 대상 게이트웨이를 수정할 수 있습니다. 자세한 정보는 [AWS Site-to-Site VPN 연결의 대상 게이트웨이 수정](modify-vpn-target.md)을 참조하십시오.

## 고객 게이트웨이 디바이스
<a name="CustomerGatewayDevice"></a>

*고객 게이트웨이 디바이스*는 Site-to-Site VPN 연결을 위해 고객 측에 설치된 물리적 디바이스 또는 소프트웨어 애플리케이션입니다. Site-to-Site VPN 연결로 작업하도록 디바이스를 구성 합니다. 자세한 정보는 [AWS Site-to-Site VPN 고객 게이트웨이 디바이스](your-cgw.md)을 참조하십시오.

기본적으로 고객 게이트웨이 디바이스는 트래픽을 생성하고 IKE(Internet Key Exchange) 협상 프로세스를 시작하여 Site-to-Site VPN 연결을 위한 터널을 표시해야 합니다. 그 대신 AWS 가 IKE 협상 프로세스를 시작해야 하는 것으로 지정하도록 Site-to-Site VPN 연결을 구성할 수 있습니다. 자세한 내용은 [AWS Site-to-Site VPN 터널 시작 옵션](initiate-vpn-tunnels.md) 단원을 참조하십시오.

외부 터널 IP 주소에 IPv6를 사용하는 경우 고객 게이트웨이 디바이스는 IPv6 주소 지정을 지원하고 IPv6 엔드포인트로 IPsec 터널을 설정할 수 있어야 합니다.

## 고객 게이트웨이
<a name="CustomerGateway"></a>

*고객 게이트웨이*는 온프레미스 네트워크의 고객 게이트웨이 디바이스를 나타내는 AWS 에서 생성하는 리소스입니다. 고객 게이트웨이를 생성할 때 디바이스에 대한 정보를 제공합니다 AWS. 자세한 내용은 [AWS Site-to-Site VPN 연결을 위한 고객 게이트웨이 옵션](cgw-options.md) 단원을 참조하십시오.

![고객 게이트웨이 및 고객 게이트웨이 디바이스.](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/vpn-how-it-works-cgw.png)


Site-to-Site VPN 연결에서 Amazon VPC를 사용하려면 사용자 또는 네트워크 관리자가 원격 네트워크에서 고객 게이트웨이 디바이스 또는 애플리케이션도 구성해야 합니다. Site-to-Site VPN 연결을 생성하면 사용자에게 필요한 구성 정보가 제공되며 일반적으로 네트워크 관리자가 이 구성을 수행합니다. 고객 게이트웨이 요구 사항 및 구성에 대한 자세한 내용은 [AWS Site-to-Site VPN 고객 게이트웨이 디바이스](your-cgw.md) 단원을 참조하십시오.

### IPv6 고객 게이트웨이
<a name="ipv6-customer-gateway"></a>

IPv6 외부 터널 IP와 함께 사용할 고객 게이트웨이를 생성할 때 IPv4 주소 대신 IPv6 주소를 지정합니다. AWS 관리 콘솔 또는 AWS CLI를 사용하여 IPv6 고객 게이트웨이를 생성할 수 있습니다.

 AWS CLI를 사용하여 IPv6 고객 게이트웨이를 생성하려면 다음 명령을 사용합니다.

```
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```

IPv6 주소는 고객 게이트웨이 디바이스의 인터넷 라우팅이 가능한 유효한 IPv6 주소여야 합니다.

## IPv6 VPN 연결
<a name="ipv6-vpn-connections"></a>

Site-to-Site VPN VPN 연결은 다음 IPv6 구성을 지원합니다.
+ *IPv4 내부 패킷이 있는 IPv4 외부 터널* - 가상 프라이빗 게이트웨이(VGW), Transit Gateway(TGW) 및 Cloud WAN에서 지원되는 기본 IPv4 VPN 기능입니다.
+ *IPv6 내부 패킷이 있는 IPv4 외부 터널* - VPN 터널 내에서 IPv6 애플리케이션/전송을 허용합니다. TGW 및 Cloud WAN에서 지원됩니다(VGW에서는 지원되지 않음).
+ *IPv6 내부 패킷이 있는 IPv6 외부 터널* - 외부 터널 IP와 내부 패킷 IP 모두에 대해 IPv6 주소를 사용한 전체 IPv6 마이그레이션을 허용합니다. TGW 및 Cloud WAN에서 지원됩니다.
+ *IPv4 내부 패킷이 있는 IPv6 외부 터널* - 터널 내에서 레거시 IPv4 애플리케이션을 지원하면서 IPv6 외부 터널 주소 지정을 허용합니다. TGW 및 Cloud WAN에서 지원됩니다.

IPv6 외부 터널 IP를 사용하여 VPN 연결을 생성하려면 VPN 연결을 생성할 때 `OutsideIPAddressType=Ipv6`을 지정합니다. AWS는 VPN 터널의 AWS 측에 대한 외부 터널 IPv6 주소를 자동으로 구성합니다.

IPv6 외부 터널 IP 및 IPv6 내부 터널 IP와의 VPN 연결을 생성하는 CLI 명령 IP의 예:

```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```

`describe-vpn-connection` CLI 명령을 사용하여 VPN 연결에 할당된 IPv6 주소를 볼 수 있습니다.