용어 정리

Site-to-Site VPN

• AWS VPC와 온프레미스 네트워크 간 통신을 가능하게 하는 AWS 서비스이다
• IPSec을 사용하여 AWS VPC와 온프레미스 네트워크 간 프라이빗 네트워크 구성

VGW (Virtual Private Gateway)

• AWS VPC와 온프레미스 네트워크 연결 시, AWS VPC의 라우터 역할
• VGW를 이용하여 온프레미스 네트워크와 연결 시, 온프레미스 네트워크 쪽의 CGW 구성 필요
  특징

1. VGW는 오직 1개의 AWS VPC와 연결 가능.
2. VGW는 여러 개의 온프레미스 라우터와 연결 가능.
3. VGW 생성 시 동적 라우팅 사용할 경우, ASN 지정.

CGW (Customer Gateway)

• 온프레미스 네트워크의 CGD (Customer Gateway Device) 의 설정값을 VGW에 제공하기 위한 가상 게이트웨이.
  특징

1. VGW는 CGW에 있는 값들을 참조해 CGD에 연결.
2. CGW 또한 동적 라우팅 사용할 경우, ASN 지정.

CGD (Customer Gateway Device)

• Site-to-Site VPN 연결을 위해 온프레미스에 설치된 라우터 등의 물리적 디바이스 또는 소프트웨어.

VPN Tunnel

• AWS VPC와 온프레미스 네트워크 간 데이터를 주고 받을 수 있는 암호화된 링크.
  특징

1. IPSec 사용하여 데이터 암호화 처리.
2. 각 VPN Tunnel은 Outside IP (인터넷 연결 목적), Inside IP (내부 통신 목적) 로 구성.
3. Site-to-Site VPN 구성 시, 자동으로 HA 목적으로 2개의 VPN Tunnel 생성.

• Site-to-Site VPN 할당량 : Site-to-Site VPN 할당량 - AWS Site-to-Site VPN

구성도

간단한 VPC 구성 후, Site-to-Site VPN 테스트 진행 할 것이며, VPN 터널은 VPN 장비마다 이중화를 지원하지 않을 수도 있음.

CGW 생성

VPC 콘솔 화면 → 고객 게이트웨이 → 고객 게이트웨이 생성

실제 연결하고자 하는 온프레미스 네트워크의 게이트웨이 장비 정보를 입력한다.

• CGW 옵션 상세 설명 : Customer gateway options for your Site-to-Site VPN connection - AWS Site-to-Site VPN
  특징

1. 게이트웨이 장비가 NAT 보다 뒤에 있는 경우라면, IP 주소는 NAT IP를 입력해줘야함.
2. AWS ACM (Private CA) 를 발급 받은 경우라면, IP의 정보는 필요하지 않고 인증서 ARN 정보가 필요.

VGW 생성

VPC 콘솔 화면 → 가상 프라이빗 게이트웨이 → 가상 프라이빗 게이트웨이 생성

이름 및 ASN을 지정합니다. (기본 VGW의 ASN은 64512)

• VGW 옵션 상세 설명 : https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-target-gateway
  
  생성된 VGW는 기본적으로 VPC와 연결되어 있지 않기 때문에 VPC와 연결을 해줘야한다.
  
  VGW - CGW 간 연결된 VPN의 경로를 VPC에 추가하기 위한 작업으로 라우팅 테이블에 추가하는 방법이며, 여러 개의 라우팅 테이블이 있을 시, VPN의 경로를 추가하고 싶은 라우팅 테이블에만 전파를 활성화시키면 라우팅 테이블을 하나씩 수정하지 않아도 된다.

Site to Site VPN 연결

이름 태그, VGW 및 CGW 설정을 한다.

• 가상 프라이빗 게이트웨이 : 생성한 VGW
• 고객 게이트웨이 : 생성한 CGW
• 로컬 IPv4 네트워크 CIDR : 온프레미스 네트워크 CIDR
• 원격 IPv4 네트워크 CIDR : AWS VPC CIDR

앞의 용어 정리에서 설명되어 있듯이, HA 목적으로 기본적으로 VPN Tunnel이 2개로 생성된 모습

CGD 설정

온프레미스 네트워크의 게이트웨이 장비에 맞게 설정하여 파일을 다운로드를 하면 아래와 같은 정보를 확인할 수 있다.

위의 사진과 같이 텍스트 파일 혹은 엑셀 파일로 다운로드가 되고 각 장비의 설정에 맞게 값을 추가해주면 된다.

온프레미스 네트워크 환경에서 올바른 설정을 했다면 위의 사진과 같이 Status가 Up으로 변경이 될 것이다.
AWS에서 VPN 관련한 작업이 자주 있어 이중화를 지원하는 VPN 장비를 사용하는 것을 추천한다.