AWS Site-to-Site VPN 연결을 위한 터널 옵션

다음은 구성할 수 있는 터널 옵션입니다.

데드 피어 감지(DPD) 제한 시간

DPD 제한 시간이 발생한 후의 초 수입니다. 제한 DPD 시간이 30초인 경우 VPN 엔드포인트는 첫 번째 연결 유지 실패 후 30초 후에 피어가 중단된 것으로 간주합니다. 30 이상을 지정할 수 있습니다.

기본값: 40

DPD 제한 시간 조치

데드 피어 감지(DPD) 제한 시간이 초과된 후 수행할 작업입니다. 다음을 지정할 수 있습니다.

• Clear: DPD 제한 시간이 발생하면 IKE 세션을 종료합니다(터널을 중지하고 경로를 지움).

• None: DPD 제한 시간이 초과되면 아무 작업도 수행하지 않습니다.

• Restart: DPD 제한 시간이 발생하면 IKE 세션을 다시 시작합니다.

자세한 내용은 AWS Site-to-Site VPN 터널 시작 옵션 단원을 참조하십시오.

기본값: Clear

VPN 로깅 옵션

VPN 로그를 사용하면 Site-to-Site IP 보안(IPsec) 터널 설정, 인터넷 키 교환(IKE) 협상 및 데드 피어 감지(DPD) 프로토콜 메시지에 대한 세부 정보에 액세스할 수 있습니다.

자세한 내용은 AWS Site-to-Site VPN 로그 단원을 참조하십시오.

사용 가능한 로그 형식: json, text

IKE 버전

VPN 터널에 허용되는 IKE 버전입니다. 하나 이상의 기본값을 지정할 수 있습니다.

기본값: ikev1, ikev2

내부 터널 IPv4 CIDR

VPN 터널의 내부(내부) IPv4 주소 범위입니다. 169.254.0.0/16 범위에서 /30 CIDR 블록 크기를 지정할 수 있습니다. CIDR 블록은 동일한 가상 프라이빗 게이트웨이를 사용하는 모든 Site-to-Site VPN 연결에서 고유해야 합니다.

참고

CIDR 블록은 전송 게이트웨이의 모든 연결에서 고유할 필요는 없습니다. 그러나 고유하지 않은 경우 고객 게이트웨이에 충돌이 발생할 수 있습니다. Transit Gateway의 여러 Site-to-Site VPN 연결에서 동일한 CIDR 블록을 재사용할 때는 주의해서 진행합니다.

다음 CIDR 블록은 예약되어 있으며 사용할 수 없습니다.

• 169.254.0.0/30

• 169.254.1.0/30

• 169.254.2.0/30

• 169.254.3.0/30

• 169.254.4.0/30

• 169.254.5.0/30

• 169.254.169.252/30

기본값: 169.254.0.0/16 범위의 /30 IPv4 CIDR 블록 크기입니다.

내부 터널 IPv6 CIDR

(IPv6 VPN 연결만 해당) VPN 터널의 내부(내부) IPv6 주소 범위입니다. 로컬 fd00::/8 범위에서 /126 CIDR 블록 크기를 지정할 수 있습니다. CIDR 블록은 동일한 전송 게이트웨이를 사용하는 모든 Site-to-Site VPN 연결에서 고유해야 합니다.

기본값: 로컬 fd00::/8 범위에서 /126 IPv6 CIDR 블록 크기입니다.

로컬 IPv4 네트워크 CIDR

(IPv4 VPN 연결만 해당) VPN 터널을 통해 통신할 수 있는 고객 게이트웨이(온프레미스) 측의 IPv4 CIDR 범위입니다.

기본값: 0.0.0.0/0

원격 IPv4 네트워크 CIDR

(IPv4 VPN 연결만 해당) VPN 터널을 통해 통신할 수 있는 AWS 측의 IPv4 CIDR 범위입니다.

기본값: 0.0.0.0/0

로컬 IPv6 네트워크 CIDR

(IPv6 VPN 연결만 해당) VPN 터널을 통해 통신할 수 있는 고객 게이트웨이(온프레미스) 측의 IPv6 CIDR 범위입니다.

기본값: ::/0

원격 IPv6 네트워크 CIDR

(IPv6 VPN 연결만 해당) VPN 터널을 통해 통신할 수 있는 AWS 측의 IPv6 CIDR 범위입니다.

기본값: ::/0

1단계 Diffie-Hellman(DH) 그룹 번호

IKE 협상 1단계의 VPN 터널에 허용되는 DH 그룹 번호입니다. 하나 이상의 기본값을 지정할 수 있습니다.

기본값: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

2단계 Diffie-Hellman(DH) 그룹 번호

IKE 협상 2단계의 VPN 터널에 허용되는 DH 그룹 번호입니다. 하나 이상의 기본값을 지정할 수 있습니다.

기본값: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

1단계 암호화 알고리즘

IKE 협상 1단계의 VPN 터널에 허용되는 암호화 알고리즘입니다. 하나 이상의 기본값을 지정할 수 있습니다.

기본값: AES128, AES256, AES128-GCM-16, AES256-GCM-16

2단계 암호화 알고리즘

2단계 IKE 협상을 위해 VPN 터널에 허용되는 암호화 알고리즘입니다. 하나 이상의 기본값을 지정할 수 있습니다.

기본값: AES128, AES256, AES128-GCM-16, AES256-GCM-16

1단계 무결성 알고리즘

IKE 협상 1단계의 VPN 터널에 허용되는 무결성 알고리즘입니다. 하나 이상의 기본값을 지정할 수 있습니다.

기본값: SHA1, SHA2-256, SHA2-384, SHA2-512

2단계 무결성 알고리즘

IKE 협상 2단계의 VPN 터널에 허용되는 무결성 알고리즘입니다. 하나 이상의 기본값을 지정할 수 있습니다.

기본값: SHA1, SHA2-256, SHA2-384, SHA2-512

1단계 수명

참고

AWS 는 1단계 수명 및 2단계 수명 필드에 설정된 타이밍 값으로 재키를 시작합니다. 이러한 수명이 협상된 핸드셰이크 값과 다를 경우 터널 연결이 중단될 수 있습니다.

IKE 협상의 1단계에 대한 초 단위 수명입니다. 900에서 28,800 사이의 숫자를 지정할 수 있습니다.

기본값: 28,800(8시간)

2단계 수명

참고

AWS 는 1단계 수명 및 2단계 수명 필드에 설정된 타이밍 값으로 재키를 시작합니다. 이러한 수명이 협상된 핸드셰이크 값과 다를 경우 터널 연결이 중단될 수 있습니다.

IKE 협상 2단계의 초 단위 수명입니다. 900에서 3,600 사이의 숫자를 지정할 수 있습니다. 지정하는 숫자는 1단계 수명(초)보다 작아야 합니다.

기본값: 3,600(1시간)

미리 공유한 키(PSK)

대상 게이트웨이와 고객 게이트웨이 간에 초기 인터넷 키 교환(PSK) 보안 연결을 설정하는 사전 공유 키(IKE)입니다.

는 길이가 8~64자여야 PSK 하며 영(0)으로 시작할 수 없습니다. 영숫자, 마침표(.), 밑줄(_)을 사용할 수 있습니다.

기본값: 32자 영숫자 문자열

퍼지 교체

키 재지정 시간이 임의로 선택되는 키 재지정 기간의 백분율(키 재지정 마진 시간에 의해 결정됨)입니다.

0에서 100 사이의 백분율 값을 지정할 수 있습니다.

기본값: 100

마진 시간 교체

1단계 및 2단계 수명이 만료되기 전 초 단위의 여백 시간으로, VPN 연결 AWS 측에서 IKE 재키를 수행합니다.

60부터 2단계 수명 값의 절반 사이의 숫자를 지정할 수 있습니다.

정확한 교체 시간은 퍼지 교체 값을 기준으로 무작위로 선택됩니다.

기본값: 270(4.5분)

재생 창 크기 패킷

IKE 재생 창의 패킷 수입니다.

64 ~ 2048 범위의 값을 지정할 수 있습니다.

기본값: 1024

시작 작업

VPN 연결을 위한 터널을 설정할 때 수행할 작업입니다. 다음을 지정할 수 있습니다.

• Start:터널을 높이기 위한 IKE 협상을 AWS 시작합니다. 고객 게이트웨이가 IP 주소로 구성된 경우에만 지원됩니다.

• Add: 고객 게이트웨이 디바이스는 터널을 활성화하기 위해 IKE 협상을 시작해야 합니다.

자세한 내용은 AWS Site-to-Site VPN 터널 시작 옵션 단원을 참조하십시오.

기본값: Add

터널 엔드포인트 수명 주기 제어

터널 엔드포인트 수명 주기 제어를 통해 엔드포인트 교체 일정을 제어할 수 있습니다.

자세한 내용은 AWS Site-to-Site VPN 터널 엔드포인트 수명 주기 제어 단원을 참조하십시오.

기본값: Off