PaloAlto 방화벽과 AWS VPN을 사용하여 동적 라우팅 기반 VPN을 구축하려면 어떻게 해야 하나요?

3분 분량
0

AWS와 PaloAlto 방화벽 사이에 동적 AWS 가상 프라이빗 네트워크(AWS VPN)을 구축하고 싶습니다.

해결 방법

사전 조건

온프레미스 네트워크와 중첩되지 않는 IP-CIDR이 있는 Virtual Private Cloud(VPC)가 있어야 합니다. 이 VPC는 가상 프라이빗 게이트웨이(VGW)와 연결되거나 전송 게이트웨이(TGW)에 연결되어야 합니다.

AWS 구성

1.    고객 게이트웨이(CGW)를 생성합니다. CGW를 생성할 때 자율 시스템 번호(AS 번호)를 제공하거나 기본 옵션을 선택할 수 있습니다. 기본값을 선택하면 AWS에서 CGW에 AS 번호를 제공합니다.

2.    Site-to-Site VPN을 생성합니다. 게이트웨이에서 VGW 또는 TGW를 선택하고 라우팅 옵션에서 동적을 선택합니다.

3.    AWS Management Console에서 구성 파일을 다운로드합니다.

구성 파일은 다음을 제공합니다.

  • AWS 퍼블릭 IP 및 사전 공유 키
  • PaloAlto 터널 인터페이스를 위한 IP 주소 및 MTU 구성
  • PaloAlto 방화벽에서 구성할 Border Gateway Protocol(BGP) 구성 및 BGP IP

PaloAlto 구성

PaloAlto는 기본적으로 경로 기반 VPN을 지원하는 차세대 방화벽을 제공합니다. 따라서 PaloAlto와 AWS 간에 VPN을 만드는 경우 프록시 ID가 필요하지 않습니다.

참고: 다음 암호화, DH-그룹 및 인증 설정은 IKE-crypto와 IPsec-crypto 모두에 대해 동일하게 유지됩니다. 1단계 및 2단계 설정의 수명은 기본적으로 8시간과 1시간입니다.

  • 암호화: AES-256-GCM
  • DH-그룹: 20
  • 인증: SHA-384

1.    위의 알고리즘을 사용하여 IKE-Crypto 프로필을 생성합니다.

2.    위의 알고리즘을 사용하여 IPsec-Crypto 프로필을 생성합니다.

3.    터널 인터페이스를 구축합니다. IPv4의 경우 터널 인터페이스 IP를 제공합니다. AWS Management Console에서 다운로드한 구성 파일의 섹션 3에서 이 내용을 확인할 수 있습니다. 고급에서 1427MTU를 설정합니다.

4.    다음 구성을 사용하여 IKE-게이트웨이를 생성합니다.

  • 버전에서 IKEv2만을 선택하고 인증에서 사전 공유 키를 선택합니다.
  • 고급 섹션에서 NAT Traversal 설정이 켜져 있는지 확인합니다.
  • 1단계에서 생성한 IKE-Crypto 프로필을 선택합니다.
  • 생동성 검사5초 간격으로 켭니다.

5.    네트워크 탭에서 IPsec 터널을 선택한 후 IPsec 터널을 생성합니다. 이전 단계에서 생성한 터널 인터페이스와 IKE-게이트웨이를 선택합니다.

6.    변경 사항을 커밋합니다. 이 작업이 완료되면 방화벽의 SSH 액세스를 수행하고 다음 명령을 실행하여 VPN 협상을 시작합니다.

test vpn ike-sa gateway <IKE-Gateway-Name>

test vpn ipsec-sa tunnel <IPsec-Tunnel-Name>

이제 GUI 인터페이스의 IPsec 터널 아래에서 상태가 녹색으로 표시됩니다.

BGP 라우팅을 PaloAlto로 구성

참고: AWS VPN은 정상 다시 시작 및 양방향 전달 감지(BFD)를 지원하지 않습니다.

먼저 재배포 프로필을 생성합니다. 그런 다음, 아래 설정을 사용하여 ](https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/networking/bgp/configure-bgp#id5a996ef8-59f6-4ed4-9e5c-1d262f173e0b)BGP를 구성[합니다.

1.    일반 탭에서 확인란을 선택하여 BGP를 켭니다.

2.    라우터 ID를 추가하고 PaloAlto AS 번호를 입력합니다.

3.    피어 그룹 탭에서 새 피어 그룹 생성을 선택합니다.

4.    피어 AS에 AWS AS 번호를 입력합니다. 피어 주소에는 AWS BGP IP를 입력합니다. 이러한 두 번호는 이전에 AWS Management Console에서 다운로드한 구성 파일의 섹션 4에서 찾을 수 있습니다.

4.    연결 옵션연결 유지 간격에서 10초를 선택합니다. 대기 시간에서 30초를 선택합니다.

5.    R****edist 규칙 탭을 선택한 후 redist 규칙을 생성합니다. 이름에서 이전에 생성한 재배포 프로필을 선택합니다. 그런 다음, 변경 사항 커밋을 선택합니다.

다음으로 BGP가 설정되었는지 확인합니다.

1.    네트워크 탭을 선택한 후 가상 라우터를 선택합니다.

2.    추가 런타임 통계를 선택한 후 BGP를 선택합니다. 피어에서 상태가 설정됨인지 확인합니다.

관련 정보

AWS Site-to-Site VPN 예제 구성 파일을 다운로드하려면 어떻게 해야 하나요?

AWS 공식
AWS 공식업데이트됨 10달 전