AWS Site-to-Site VPN 터널 시작 옵션 - AWS Site-to-Site VPN
VPN 터널 IKE 시작 옵션규칙 및 제한 사항VPN 터널 시작 옵션 작업

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Site-to-Site VPN 터널 시작 옵션

기본적으로 고객 게이트웨이 디바이스는 트래픽을 생성하고 인터넷 키 교환(IKE) 협상 프로세스를 시작하여 VPN 연결에 대한 터널을 Site-to-Site 가져와야 합니다. 대신 IKE가 협상 프로세스를 시작하거나 다시 시작VPN하도록 터널을 구성할 수 AWS 있습니다.

VPN 터널 IKE 시작 옵션

다음 IKE 시작 옵션을 사용할 수 있습니다. VPN 연결의 터널 중 하나 또는 둘 다에 대해 옵션 중 하나 또는 둘 다를 구현할 수 있습니다 Site-to-Site. 이러한 설정 및 기타 터널 옵션 설정에 대한 자세한 내용은 VPN 터널 옵션 섹션을 참조하세요.

  • 시작 작업: 새 연결 또는 수정된 VPN 연결을 위한 VPN 터널을 설정할 때 수행할 작업입니다. 기본적으로 고객 게이트웨이 디바이스는 터널을 활성화하기 위해 IKE 협상 프로세스를 시작합니다. 대신 IKE가 협상 프로세스를 시작하도록 지정할 수 AWS 있습니다.

  • DPD 제한 시간 작업: 데드 피어 감지(DPD) 제한 시간이 발생한 후 수행할 작업입니다. 기본적으로 IKE 세션이 중지되고 터널이 다운되며 경로가 제거됩니다. DPD 제한 시간이 발생할 때가 IKE 세션을 다시 시작 AWS 하도록 지정하거나 제한 DPD 시간이 발생할 때가 조치를 취하지 않도록 지정할 수 AWS 있습니다.

규칙 및 제한 사항

다음과 같은 규칙과 제한 사항이 적용됩니다.

  • 협상을 시작하려면 IKE에 고객 게이트웨이 디바이스의 퍼블릭 IP 주소가 AWS 필요합니다. VPN 연결에 대한 인증서 기반 인증을 구성하고에서 고객 게이트웨이 리소스를 생성할 때 IP 주소를 지정하지 않은 경우 새 고객 게이트웨이를 생성하고 IP 주소를 지정 AWS해야 합니다. 그런 다음 VPN 연결을 수정하고 새 고객 게이트웨이를 지정합니다. 자세한 내용은 AWS Site-to-Site VPN 연결에 대한 고객 게이트웨이 변경 단원을 참조하십시오.

  • IKE VPN 연결 AWS 측에서 시작(시작 작업)은 IKEv2에 대해서만 지원됩니다.

  • VPN 연결 AWS 측에서 IKE 시작을 사용하는 경우 제한 시간 설정은 포함되지 않습니다. 연결이 이루어질 때까지 계속해서 연결을 시도합니다. 또한 고객 게이트웨이에서 SA 삭제 메시지를 수신하면 VPN 연결 AWS 측에서 IKE 협상을 다시 시작합니다.

  • 고객 게이트웨이 디바이스가 Network Address Translation(NAT)을 사용하는 방화벽 또는 기타 디바이스 뒤에 있는 경우 자격 증명(IDr)이 구성되어 있어야 합니다. 에 대한 자세한 내용은 RFC 7296을 IDr참조하세요.

VPN 터널의 AWS 측면에서 IKE 시작을 구성하지 않고 VPN 연결에 유휴 시간(일반적으로 구성에 따라 10초)이 발생하는 경우 터널이 다운될 수 있습니다. 이를 방지하려면 네트워크 모니터링 도구를 사용하여 keepalive ping을 생성하면 됩니다.

VPN 터널 시작 옵션 작업

VPN 터널 시작 옵션 작업에 대한 자세한 내용은 다음 주제를 참조하세요.