Site to Site VPN에 대해 알아보자!

2022.08.17

소개

안녕하세요! 클래스메소드 금상원 입니다. 이번 블로그에서는 Site to Site VPN에 대해 알아 보겠습니다.

Site to Site VPN란?

Site-to-Site VPN 연결은 AWS 측의 가상 프라이빗 게이트웨이 또는 Transit Gateway와 원격(온프레미스) 측의 고객 게이트웨이(VPN 디바이스를 나타냄) 사이에 두 개의 VPN 터널을 제공하고, 라우팅을 구성하여 VPC에서 원격 네트워크에 대한 액세스를 활성화할 수 있습니다.

개념

  • VPN 연결: 온프레미스 장비와 VPC 간의 보안 연결입니다.
  • VPN 터널: 데이터가 고객 네트워크에서 AWS와 주고받을 수 있는 암호화된 링크입니다. 고가용성을 위해 동시에 사용할 수 있는 두 개의 VPN 터널이 포함되어 있습니다.
  • 고객 게이트웨이: 고객 게이트웨이 디바이스에 대한 정보를 AWS에 제공하는 AWS 리소스입니다.
  • 고객 게이트웨이 디바이스: Site-to-Site VPN 연결을 위해 고객 측에 설치된 물리적 디바이스 또는 소프트웨어 애플리케이션입니다.
  • 대상 게이트웨이(Target gateway): 사이트 간 VPN 연결의 Amazon 측 VPN 엔드포인트를 일컫는 일반적인 용어입니다.
  • 가상 프라이빗 게이트웨이(Virtual private gateway): 단일 VPC에 연결할 수 있는 사이트 간 VPN 연결의 Amazon 측 VPN 엔드포인트입니다.
  • 전송 게이트웨이(Transit gateway): 사이트 간 VPN 연결의 Amazon 측 VPN 엔드포인트로 여러 VPC와 온프레미스 네트워크를 상호 연결하는 데 사용될 수 있는 전송 허브입니다.

작동 방식

가상 프라이빗 게이트웨이

가상 프라이빗 게이트웨이는 Site-to-Site VPN 연결의 Amazon 측에 있는 VPN 집선기입니다.

가상 프라이빗 게이트웨이를 생성하여 Site-to-Site VPN 연결을 생성할 VPC에 연결합니다. 가상 프라이빗 게이트웨이를 생성할 때 Amazon 측 게이트웨이의 프라이빗 ASN(자율 시스템 번호)를 지정할 수 있습니다.

!기본 ASN는 64512 이며 생성후에는 변경이 불가 합니다.

Transit Gateway

Transit Gateway는 가상 프라이빗 클라우드(VPC)와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 전송 허브이며 Site-to-Site VPN 연결을 생성할 수 있습니다.

Transit Gateway에 대한 내용은 아래의 블로그를 참고해 주세요

고객 게이트웨이 디바이스

고객 게이트웨이 디바이스는 Site-to-Site VPN 연결을 위해 고객 측에 설치된 물리적 디바이스 또는 소프트웨어 애플리케이션입니다.

기본적으로 고객 게이트웨이 디바이스는 트래픽을 생성하고 IKE(Internet Key Exchange) 협상 프로세스를 시작하여 Site-to-Site VPN 연결을 위한 터널을 표시해야 합니다. 그 대신 AWS가 IKE 협상 프로세스를 시작해야 하는 것으로 지정하도록 Site-to-Site VPN 연결을 구성할 수 있습니다.

고객 게이트웨이

고객 게이트웨이는 온프레미스 네트워크의 고객 게이트웨이 디바이스의 정보를 나타내는 AWS에서 생성하는 리소스입니다.

Site-to-Site VPN 연결에서 Amazon VPC를 사용하기위해 사용자 또는 네트워크 관리자가 원격 네트워크에서 고객 게이트웨이 디바이스 또는 애플리케이션도 구성해야 합니다. Site-to-Site VPN 연결을 생성하면 사용자에게 필요한 구성 정보가 제공되며 일반적으로 네트워크 관리자가 이 구성을 수행합니다.

요금

AWS Site-to-Site VPN 연결 요금: 시간당 0.05 USD

데이터 송신 요금: 처음 100GB는 무료 추가 되는 GB당 0.09 USD

구축 해보기

이번 구축은 Transit Gateway와 연동하여 고객의 On-premises환경과 연결하는 구성으로 구축 해보도록 하겠습니다.

고객 게이트웨이 생성

   VPC하면에서 왼쪽 메뉴에서 [고객 게이트웨이]를 클릭한 후 [고객 게이트웨이 생성] 버튼을 클릭합니다.

[이름]

고객 게이트웨이를 표시할 이름을 입력합니다.

[BGP설정]

1~2,147,483,647 범위의 ASN이 지원됩니다. 기본 ASN은 65000이고, 64,512~65,534 범위의 프라이빗 ASN을 사용할 수 있지만 이하의 설정값은 사용할 수 없습니다.

  • 7224 - 모든 리전에서 예약됨
  • 9059 - eu-west-1 리전에서 예약됨
  • 10124 - ap-northeast-1 리전에서 예약됨
  • 17943 - ap-southeast-1 리전에서 예약됨

[IP 설정]

게이트웨이의 외부 인터페이스에 대해 인터넷 라우팅 가능한 연결대상의 글로벌 정적IP 주소를 지정합니다.

[인증서 ARN]

인증서 기반 인증을 사용하려면 고객 게이트웨이를 만들기 전에 AWS Certificate Manager Private Certificate Authority를 사용하여 하위 CA에서 사설 인증서를 만든 다음 고객 게이트웨이를 구성할 때 해당 인증서를 지정합니다.

[디바이스]

디바이스 이름 입력이 필요하시면 입력합니다.

Site to Site VPN 생성

VPC화면의 왼쪽에서 [Site to Site VPN]를 클릭한 후 [VPN연결 생성] 버튼을 클릭합니다.

[이름 태그] Site to Site VPN를 표시할 이름을 입력합니다.

[대상 게이트웨이 유형]

Site-to-Site 연결을 위한 기존 가상 프라이빗 게이트웨이 또는 Transit gateway를 선택합니다. 나중에 지정하거나 Cloud WAN으로의 연결에 사용하려는 경우 연결되지 않음을 선택합니다.

[고객 게이트웨이]

위에서 작성한 기존 고객 게이트웨이를 선택하거나 VPN 연결에 사용할 새 고객 게이트웨이를 생성합니다.

[라우팅 옵션]

고객 게이트웨이 디바이스가 경계 경로 프로토콜(BGP)을 지원하는 경우 Site-to-Site VPN 연결을 구성할 때 동적 라우팅을 지정합니다. 그렇지 않은 경우 정적 라우팅을 지정합니다. [터널 내부 IP 버전]

터널 내부의 IP 버전에 맞추어 설정합니다.

[가속화 활성화]

글로벌 네트워크를 통해 VPN 터널의 성능을 개선할 수 있습니다. 가속화를 활성화하면 VPN 연결에서 VPN 터널당 하나씩 2개의 AWS Global Accelerator를 생성하여 사용하게 되며 요금이 발생 하게 됩니다.

[로컬 IPv4 네트워크 CIDR / 원격 IPv4 네트워크 CIDR]

VPN 터널을 통해 통신할 수 있는 고객/AWS 게이트웨이(온프레미스) 측의 IPv4 CIDR 범위를 지정합니다.

(로컬: on-premise 원격: AWS)

[외부 IP 주소 유형]

고객 게이트웨이 디바이스가 퍼블릭 또는 프라이빗 IPv4 주소를 사용하는지 여부를 지정합니다.

[터널 1의 내부 IPv4 CIDR]

VPN 채널 안쪽의(내부) IPv4 주소 범위입니다. 169.254.0.0/16 범위에서 크기/30 CIDR 블록을 지정할 수 있지만 지정된 IP를 사용하는 것이 아니라면 생략시 자동으로 설정됩니다.

[터널 1의 사전 공유 키]

대상 게이트웨이와 고객 게이트웨이 사이의 초기 인터넷 키 교환(IKE) 보안 연결을 설정합니다.

PSK 길이는 8~64자 사이여야 하며 0으로 시작해서는 안 됩니다. 영숫자, 마침표(.), 밑줄(_)을 사용할 수 있지만 생략시 자동으로 32자 영숫자 문자열이 설정됩니다.

[터널 1의 고급 옵션]

[터널 1옵션 편집]을 선택하면 터널 1의 상세 설정을 할 수 있습니다. 상세 설정은 아래에서 설명해 드리겠습니다.

[단계 암호화 알고리즘]

1,2단계 IKE 협상에 대해 VPN 터널에 허용되는 암호화 알고리즘입니다. 아래의 항목중 한개이상의 설정이 가능합니다. 특별한 설정이 없다면 기본적으로 전부 추가되어 있습니다.

  • AES128
  • AES256
  • AES128-GCM-16
  • AES256-GCM-16

[단계 무결성 알고리즘]

1,2단계 IKE 협상에 대해 VPN 터널에 허용되는 무결성 알고리즘입니다. 아래의 항목중 한개이상의 설정이 가능합니다. 특별한 설정이 없다면 기본적으로 전부 추가되어 있습니다.

  • SHA1
  • SHA2-256
  • SHA2-384
  • SHA2-512

[단계 Diffie-Hellman(DH) 그룹 번호]

IKE 협상의 1,2단계에서 VPN 터널에 허용되는 DH 그룹 번호입니다. 아래의 항목중 한개이상의 설정이 가능합니다. 특별한 설정이 없다면 기본적으로 전부 추가되어 있습니다.

(2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24)

[IKE 버전]

VPN 터널에 허용되는 IKE 버전입니다. 아래의 항목중 한개이상의 설정이 가능합니다. 특별한 설정이 없다면 기본적으로 전부 추가되어 있습니다.

  • ikev1
  • ikev2

[단계 수명(초)]

1,2단계 IKE 협상의 수명(초)입니다. 900에서 28,800 사이의 숫자를 지정할 수 있습니다. 2단계 수명은 1단계 수명보다 짧아야합니다.

[키 재조정 여유 시간(초)]

1단계 및 2단계 수명이 만료되기 전의 기간으로, AWS에서 IKE 키 재조정을 시작하는 시간을 설정합니다.

[무작위 키 재조정(백분율)]

키 재조정 시간이 임의로 선택되는 키 재조정 기간의 백분율를 설정합니다.

[재생 창 크기(패킷)]

IKE 재생 창의 패킷 수를 64 ~ 2048 범위의 값을 지정할 수 있습니다. 기본값은 1024 입니다.

[DPD 제한 시간(초)]

DPD 시간 초과가 발생하는 기간(초)입니다. 30 이상을 지정할 수 있습니다. 기본값은 30초 입니다.

[DPD 제한 시간 작업]

Dead Peer Detection(DPD) 시간 초과가 발생한 후에 아래의 세이프를 지정하여 수행할 수 있는 작업입니다.

  • Clear: DPD 시간 초과가 발생하면 IKE 세션을 종료합니다(터널을 중지하고 경로를 지웁니다).
  • None: DPD 시간 초과가 발생하면 아무 작업도 수행하지 않습니다.
  • Restart: DPD 시간 초과가 발생하면 IKE 세션을 다시 시작합니다.

[시작 작업]

VPN 연결용 터널을 설정할 때 아래의 세이프를 지정하여 수행할 작업입니다.

  • Start: AWS는 IKE 협상을 시작하여 터널을 표시합니다. 고객 게이트웨이가 IP 주소로 구성된 경우에만 지원됩니다.
  • Add: 터널을 표시하려면 고객 게이트웨이 디바이스가 IKE 협상을 시작해야 합니다.

터널 2옵션 설정은 위의 터널 1옵션과 내용이 같으므로 필요하실경우 설정을 하시면 됩니다.

위의 설정들이 완료되었으면 아래의 [VPN연결 생성] 버튼을 클릭하여 생성합니다.

VPN연결이 생성되었으면 위의 화면과 같이 [구성 다운로드] 버튼을 클릭하여 구성정보를 다운받으신 후 On-premises 환경에 설정합니다.

On-premises환경에 설정이 완료되었으면 위의 [터널 세부 정보] 탭에서 상태가 [Up]이 되어있으면 완료입니다.

마무리

이번 블로그에서는 Site to Site VPN에 대해 알아보았습니다.

Site to Site VPN는 AWS 측의 가상 프라이빗 게이트웨이 또는 Transit Gateway와 원격(온프레미스) 측의 고객 게이트웨이에 연결할 수 있으므로 다른 네트워크 환경과 통신이 필요한 분들께 도움이 되었으면 좋겠습니다.

참고자료

개인PC와 통신을 원하시는 분들은 아래의 블로그를 참고해주세요.

(일본어 블로그) 크롬으로 실행후 우클릭->한국어로 번역을 해주세요

본 블로그 게시글을 보시고 문의 사항이 있으신 분들은 클래스메소드코리아 (info@classmethod.kr)로 연락 주시면 빠른 시일 내 담당자가 회신 드릴 수 있도록 하겠습니다 !