AWS Site-to-Site VPN 구성 방법

AWS Site-to-Site VPN 구성 방법에 대해서 알아보자.

 

 

시작에 앞서 Site-to-Site VPN에 대해서 알아보자.

 

Site-to-Site VPN

 

• Site-to-Site VPN 이란 IPSec 암호화 프로토콜을 사용해 AWS Cloud 환경과 On-Premise 환경을 연결해 주는 서비스
• AWS 클라우드와 On-Premise 데이터 센터가 있다. 
• AWS에는 VGW(Virtual Private Gateway)가 있고 On-Premise에는 CGW(Customer Gateway)가 붙어있으며 이 둘 사이에 IPSec 프로토콜을 이용해 터널링을 만들어 줘 인터넷을 통해서 상호 간 통신이 가능하게끔 해주는 원리다.
• AWS와 On-Premise와 보안성 있게 연결하기 위해서 사용하는 방법 중 하나는 위의 방법이 있고 또 다른 방법으로는 AWS Direct Connect 서비스(전용선)를 사용할 수 있다. 
• 예산이 허용한다면 Direct Connect를 주로 사용하고 Site-to-Site VPN을 백업용으로 구성해 볼 수 있다. 

 

Site-to-Site VPN 기본 구성

 

 

VGW 이란

 

• VGW는 AWS Cloud VPC의 라우터라고 생각하면 된다. 
• 하나의 VGW는 여러 On-Premise와 연결이 가능하지만 VGW 하나당 복수개의 VPC를 연결할 수 없다(VPC 하나에 VGW 한 개). 
• VGW는 Site-to-Stie VPN과 Direct Connect 연결을 둘 다 지원하며 생성 시, BGP 라우팅에 필요한 ASN(Autonomous System Number)를 지정하게 되는데 On-Premise 쪽 라우터에도 ASN이 있다.

 

CGW 이란

 

• CGW는 On-Premise의 라우터 값을 AWS에 제공해주는 서비스다. 
• On-Premise 내부적으로 사용하는 Private IP주소 대역이 있을 텐데 VPN에 사용할 사설 IP대역을 CGW에 지정하고 VGW는 이 값을 참조해 연결하는 것이다. 
• 헷갈릴 수 있는데 CGW는 AWS에서 구성되는 가상 게이트웨이이며 이를 위해 On-Premise 쪽에 별도의 VPN 장비를 준비해야 한다.
  모든 준비가 완료되면, AWS 쪽에서 VPN 라우팅을 위한 구성 파일을 다운로드하여 On-Premise 쪽의 VPN 장비에 설치를 해줘야 비로소 통신이 연결된다

 

Autonomous System 이란

 

위 설명에 AWS VPC를 위한 ASN이 있고 On-Premise 장비 쪽에도 ASN이 있다고 했다. 

이 AS가 무엇이고 이 둘이 무엇을 하는 걸까. 

다음 그림을 보면 왼쪽/오른쪽 두 네트워크 그룹이다.

 

 

 

 

• 각각의 네트워크 그룹은 Interior Gateway(OSPF etc... ) 프로토콜을 이용해 라우팅 테이블을 내부적으로 공유해 자기들끼리는 통신이 가능하다. 
• 그리고 이 둘의 라우팅 테이블을 교환하기 위해서는 Interior Gateway가 아닌 Exterior Gateway 프로토콜 중 하나인 BGP를 이용해 Peering을 해야 한다.
  
  선 끝에 위치하고 있는 라우터 2개만 BGP Peering을 통해 서로의 라우팅 테이블을 교환하고 내부에 위치하고 있는 반투명 라우터들은 서로를 모르게 구성함으로써 데이터를 가볍게  교환할 수 있다. 
• 이것을 Autonomous System이라고 부르며 각각을 식별하기 위해 ASN(Autonomous System Number)가 있다. 
• 이것을 지정해 서로 통신을 하는 거다. 
• AWS의 디폴트 ASN은 64512다.

 

 

구성 순서

 

1. VGW 생성
2. CGW 생성
3. CGW에 라우팅 정보 입력
4. VPN 구성 파일 다운로드 및 전달
5. Site-to-Site VPN 구성 파일을 On-Premise 장비에 업데이트 (IDC 쪽 장비 사전 도입 필수)
6. IPSec 터널링 완성

 

Site-to-Site VPN 실습

 

 

1. CGW 생성

 - IP 주소는 그냥 실습을 위해 만든 랜덤 넘버.

 - CGW는 On-Premise의 장비를 VPN에 연결하기 위한 가상 게이트웨이 서비스다.

 - 생성 경로 :  'VPC > VPN > Customer Gateways'

 

 

2. VGW를 생성

 - VGW는 AWS를 VPN과 연결하기 위한 가상 게이트웨이 서비스다.

 - 생성 경로 : 'VPC > VPN > Virtual Private Gatways'

 

 

3. VGW를 VPC와 연결

 

 

 

4. Site-to-Site VPN 연결 생성

 - 생성 경로 :  'VPC > VPN > Site-to-Site VPN Connections'

 

 

 

 

5. VPN 연결 생성을 위한 입력 값 기입

 - VPN은 특정 네트워크의 경로만을 허용하기에 설정은 정적으로 하는 것이 좋다. 

 

 

 

 

6. VPN 연결 구성 다운로드

 - VPN 장비도 여러 가지가 있는데 장비에 맞게 정보를 입력하고 파일을 다운로드한다.

 

 

7. 구성 파일 내용 확인

 - 여기까지 했으면 AWS에서 VPN 구성은 완료되었다.

 - 그다음 On-Premise 쪽도 연결 구성을 위해 이 파일을 전달해 주면 된다.

 - 만약 상대 장비가 사용하는 소프트웨어가 여러 개라면 그 수에 맞게 구성을 다운로드하여 전달해 준다.

 

 

 

 

 

 

 

 

 

 

 

 

 

출처

https://bosungtea9416.tistory.com/entry/AWS-Site-to-Site-VPN-%EA%B5%AC%EC%84%B1%ED%95%98%EA%B8%B0