Site to Site VPN 연결 시 Tunnel 설정

안녕하세요

고객쪽 VPN 장비에서도 각각 2개 tunnel 설정을 하셨는지요?

Tunnel 1개만 up 되어 있어도 당장 사용은 가능하지만 Tunnel 장애 발생하면 바로 연결이 끊기기 때문에 이중화를 위해 Tunnel 2개를 모두 설정해서 사용하시는것을 권장해드립니다.

또한, static routing 으로 설정하시면 Tunnel 2개 사용하더라도 장애시 자동으로 routing 이 넘어가지 않고 수동으로 바꿔주셔야 합니다.

따라서 고객쪽 VPN 장비에서 사용이 가능하시다면 가급적 BGP 를 사용해서 Tunnel 구성하시고 자동으로 failover 되도록 해서 사용하시는게 좋습니다.

아래에서 질문에 대한 답변을 확인하시기 바랍니다:

1. 예, 고객님의 이해가 정확합니다. AWS는 VPN 연결에서 터널을 모두 사용할 것을 권장합니다. AWS Site-to-Site VPN은 관리형 서비스이며 주기적으로 VPN 터널 엔드포인트에 업데이트를 적용합니다. Site-to-Site VPN 연결은 이중화를 위해 두 개의 VPN 터널로 구성됩니다. 때때로 AWS가 터널 업데이트를 수행하거나 사용자가 VPN 연결을 수정할 때 VPN 터널 엔드포인트 중 하나 또는 둘 다 교체됩니다. 터널 엔드포인트를 교체하는 동안 새 터널 엔드포인트가 프로비저닝되는 동안 터널을 통한 연결이 중단될 수 있습니다.

AWS는 터널 엔드포인트 업데이트는 VPN 연결의 터널 하나씩에 적용됩니다. 터널 엔드포인트가 업데이트되는 동안 VPN 연결의 이중화 기능이 잠시 손실될 수 있습니다. 따라서 고가용성을 위해 VPN 연결의 두 터널을 모두 구성하는 것이 중요합니다.

https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/endpoint-replacements.html

2. 예, 양쪽의 IKE 및 IPsec 구성을 일치시켜야 합니다. 또한 기본적으로 AWS는 VPN 교섭에서 응답자로 구성되므로 달리 구성하지 않는 한 피어 측에서 IKE initiation을 수행해야 합니다.

기본적으로 고객님의 게이트웨이 장치는 트래픽을 생성하고 IKE(Internet Key Exchange) 교섭 프로세스를 시작하여 Site-to-Site VPN 연결을 위한 터널을 가져와야 합니다. AWS가 대신 IKE 교섭 프로세스를 시작하거나, 재시작하도록 지정하도록 VPN 터널을 구성할 수 있습니다.

https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/initiate-vpn-tunnels.html

사용 사례에 대한 적절한 해결책을 얻으려면 비공개 정보인 세부 정보가 필요합니다.다음 링크를 사용하여 AWS의 지원 사례를 여십시오. https://console.aws.amazon.com/support/home#/case/create