IBM Cloud Docs
AWS 피어에 연결

AWS 피어에 연결

IBM Cloud VPN for VPC를 사용하여 안전하게 VPN 터널을 통해 VPC를 온프레미스 네트워크에 연결할 수 있습니다. 이 주제에서는 VPN for VPC에 연결하도록 AWS VPN 게이트웨이를 구성하는 방법에 대한 지침을 제공합니다.

AWS의 경우 2단계에서 PFS를 사용으로 설정해야 하기 때문에 사용자 정의 IPsec 정책을 작성하여 VPC의 VPN에 대한 기본 정책을 대체해야 합니다. 자세한 정보는 IPsec 정책 작성 을 참조하십시오.

VPN for VPC로부터 AWS VPN이 연결 요청을 받으면, AWS VPN은 IPsec 1단계 매개변수를 사용하여 안전한 연결을 설정하고 VPN for VPC 게이트웨이를 인증합니다. 그런 다음 보안 정책에서 연결을 허용하는 경우 AWS VPN에서 IPsec 2단계 매개변수를 사용하여 터널을 설정한 후 IPsec 보안 정책을 적용합니다. 키 관리, 인증 및 보안 서비스는 IKE 프로토콜을 통해 동적으로 협상합니다.

온프레미스 피어에 연결하기 전에 VPN 게이트웨이 제한사항 을 검토하십시오.

이러한 기능을 지원하려면 AWS VPN에서 다음 일반 구성 단계를 수행해야 합니다.

  • AWS VPN에서 원격 피어를 인증하고 보안 연결을 설정하기 위해 필요한 1단계 매개변수를 정의하십시오.
  • AWS VPN에서 VPN for VPC를 사용하여 VPN 터널을 작성하기 위해 필요한 2단계 매개변수를 정의하십시오.

IBM 정책 기반 VPN을 AWS 피어에 연결

VPN for VPC 정책 기반 VPN을 사용하여 AWS 라우트 기반 VPN에 연결할 수 있습니다. 그러나 정책 기반 VPN은 각 서브넷에 대해 별도의 보안 연관 (SA) 을 필요로 하는 반면, 라우트 기반 VPN은 모든 암호화된 트래픽에 대해 단일 SA를 사용합니다. 따라서 정책 기반 VPN과 라우트 기반 VPN간의 연결은 단일 CIDR 범위와 연관된 하나의 SA로 제한됩니다.

인접한 주소 범위를 갖는 여러 서브넷이 있는 경우 서브넷의 수퍼세트인 CIDR을 사용하여 연결을 작성할 수 있습니다. 예를 들어, 192.168.0.0/24192.168.1.0/24 는 CIDR 192.168.0.0/23 에 포함됩니다.

IBM 정책 기반 VPN을 AWS 피어에 연결
그림 1: IBM 정책 기반 VPN을 AWS 피어에 연결

AWS 구성

AWS 피어를 구성하려면 다음 단계를 수행하십시오.

  1. IBM 정책 기반 VPN IP 주소를 사용하여 AWS 고객 게이트웨이를 작성하십시오.

  2. AWS Virtual Private Gateway를 작성하고 IBM VPC에 트래픽을 전송해야 하는 AWS VPC에 AWS Virtual Private Gateway를 연결하십시오.

  3. 단일 AWS 사이트-사이트 연결을 작성하십시오.

    • 가상 사설 게이트웨이 를 2단계에서작성한 게이트웨이로 설정하십시오.

    • 고객 게이트웨이 를 1단계에서작성한 고객 게이트웨이로 설정하십시오.

    • 라우팅 옵션정적으로 설정하십시오.

    • IBM 측의 단일 CIDR을 정적 IP 접두부에 추가하십시오.

      IBM VPC에서 여러 개의 연속 서브넷에 도달하려면 모든 필수 서브넷을 포함하는 더 큰 CIDR 범위를 사용하십시오.

    • tunnel1tunnel2에 대한 사전 공유 키를 입력하십시오.

    • 두 AWS 터널에 대해 터널 X 옵션 편집을 선택한 후 원하는 보안 매개변수를 선택하십시오. IBM VPN에서도 지원되는 경우 각 매개변수에 대해 여러 값을 선택할 수 있습니다.

      AWS 터널 옵션
      그림 2: AWS 터널 옵션

  4. AWS 사이트 간 연결 상태가 사용 가능이 되면 정적 라우트 탭으로 이동하여 올바른 라우트가 자동으로 추가되었는지 확인하십시오. 필요한 경우 수동으로 조정하십시오.

    다음 이미지는 IBM VPC측의 네트워크 10.240.128.0/2710.240.128.32/27 가 새 목적지 10.240.128.0/26 로 라우팅됨을 표시합니다.

    AWS 연결 정적 라우트
    그림 3: AWS 연결 정적 라우트

  5. 가상 프라이빗 클라우드 섹션의 AWS 라우트 테이블 로 이동하여 VPN이 연결된 VPC와 연관된 라우트 테이블을 찾으십시오. 경로 편집을 클릭한 후 라우트 테이블에 동일한 라우트를 추가하십시오.

    AWS 라우트 테이블
    그림 4: AWS 라우트 테이블

  6. 사이트 간 연결 페이지에서 연결 상태를 확인하십시오.

  7. AWS ACL및 보안 그룹 규칙이 필요한 트래픽을 허용하도록 조정되었는지 확인하십시오.

IBM 정책 기반 VPN 구성하기

AWS 피어에 대해 IBM 정책 기반 VPN을 구성하려면 다음 단계를 따르십시오.

  1. AWS 터널 IP중 하나에 대해 새 연결을 작성하십시오. 로컬 서브넷피어 서브넷 모두에 단일 CIDR를 사용하십시오.

    AWS 에서는 2단계에서 PFS가 사용으로 설정 되어야 하므로 VPC에서 VPN에 대한 기본 정책을 대체하도록 사용자 정의 IPsec 정책을 작성해야 합니다. 자세한 정보는 VPN for VPC에서 사용자 정의 IPsec 정책 작성을 참조하십시오.

  2. 연결 상태가 활성이 되면 서브넷 간의 트래픽을 확인하십시오.

IBM 라우트 기반 VPN을 AWS 피어에 연결

이 설정에는 하나의 IBM VPN 게이트웨이와 두 개의 AWS VPN 연결 (총 네 개의 터널) 이 있어야 합니다.

IBM 라우트 기반 VPN을 AWS 피어에 연결
그림 5: IBM 라우트 기반 VPN을 AWS 피어에 연결

AWS 구성

AWS 피어를 구성하려면 다음 단계를 수행하십시오.

  1. 각 IBM 라우트 기반 VPN 멤버 IP 주소를 사용하여 두 개의 AWS 고객 게이트웨이를 작성하십시오.

  2. AWS Virtual Private Gateway를 작성하고 IBM VPC에 트래픽을 전송해야 하는 AWS VPC에 AWS Virtual Private Gateway를 연결하십시오.

  3. 첫 번째 AWS 사이트 대 사이트 연결을 작성하십시오.

    • 가상 사설 게이트웨이 를 2단계에서작성한 게이트웨이로 설정하십시오.
    • 고객 게이트웨이 를 1단계에서작성한 첫 번째 고객 게이트웨이로 설정하십시오.
    • 라우팅 옵션정적으로 설정하십시오.
    • IBM VPC 서브넷을 두 개의 작은 서브넷으로 나누고 정적 IP 접두부에 추가하십시오. 이러한 방식으로 첫 번째 연결이 두 번째 연결보다 선호됩니다.
    • tunnel1tunnel2 모두에 대해 사전 공유 키를 입력하십시오.
    • 두 AWS 터널 모두에 대해 터널 X 옵션 편집 을 선택하고 필요한 보안 매개변수를 선택하십시오. IBM VPN에서도 지원되는 경우 각 매개변수에 대해 여러 값을 선택할 수 있습니다.

  4. 두 번째 AWS 사이트 간 연결을 작성하십시오.

    • 가상 사설 게이트웨이 를 2단계에서작성한 게이트웨이로 설정하십시오.
    • 고객 게이트웨이 를 1단계에서작성한 두 번째 고객 게이트웨이로 설정하십시오.
    • 라우팅 옵션정적으로 설정하십시오.
    • IBM VPC 서브넷을 정적 IP 접두부에 추가하십시오.
    • tunnel1tunnel2 모두에 대해 사전 공유 키를 입력하십시오.
    • 두 AWS 터널 모두에 대해 터널 X 옵션 편집 을 선택하고 필요한 보안 매개변수를 선택하십시오. IBM VPN에서도 지원되는 경우 각 매개변수에 대해 여러 값을 선택할 수 있습니다.

    AWS 터널 옵션
    그림 6: AWS 터널 옵션

  5. AWS 사이트 간 연결이 사용 가능 상태가 되면 각 사이트 간 연결의 정적 라우트 탭으로 이동하여 올바른 라우트가 자동으로 추가되었는지 확인하십시오. 필요한 경우 수동으로 조정하십시오. 다음 이미지는 네트워크 10.248.0.0/24 가 두 연결 모두에서 라우팅됨을 표시합니다.

    AWS 연결 정적 라우트
    그림 7: AWS 연결 정적 라우트

    AWS 연결 정적 라우트
    그림 8: AWS 연결 정적 라우트

  6. VIRTUAL PRIVATE CLOUD 아래의 AWS 라우트 테이블 로 이동하여 VPN이 연결된 VPC와 연관된 라우트 테이블을 찾으십시오. 경로 편집을 클릭한 후 라우트 테이블에 동일한 라우트를 추가하십시오.

    AWS 라우트 테이블
    그림 9: AWS 라우트 테이블

  7. 사이트 간 연결 페이지에서 연결 상태를 확인하십시오.

  8. AWS ACL및 보안 그룹 규칙이 필요한 트래픽을 허용하도록 조정되었는지 확인하십시오.

IBM 라우트 기반 VPN 구성

AWS 피어에 대해 IBM 라우트 기반 VPN을 구성하려면 다음 단계를 따르십시오.

  1. AWS 터널 IP마다 하나씩 네 개의 새 연결을 작성하십시오.

    AWS의 경우 2단계에서 PFS를 사용으로 설정해야 하기 때문에 사용자 정의 IPsec 정책을 작성하여 VPC의 VPN에 대한 기본 정책을 대체해야 합니다. 자세한 정보는 VPN for VPC에서 사용자 정의 IPsec 정책 작성을 참조하십시오.

  2. 1단계에서작성한 각 연결을 가리키는 다음 홉 옵션을 사용하여 각 피어 서브넷에 대해 네 개의 라우트를 작성하십시오. 그런 다음 각 라우트를 다른 우선순위 값으로 설정하십시오.

    우선순위 값이 가장 낮은 라우트가 우선순위 라우트입니다.

    IBM 라우팅 테이블
    그림 5: IBM 라우팅 테이블

  3. 두 연결의 상태가 활성으로 표시되면 서브넷 간의 트래픽을 확인하십시오.

    비대칭 라우팅을 방지하려면 AWS 에서 선호하는 연결이 IBM 에서와 동일한지 확인하십시오.