• 참고 링크

LabGuide - AWS Site-to-Site VPN & VPN 소개

1. 동작 소개

• 실습 환경 기준해서 동작 설명을 하였습니다. 실습 환경에 CGW(IDC VPN장비)가 1대 일 경우입니다.

1.1 AWS 관리형 VPN(VGW=가상 프라이빗 게이트웨이)와 IDC(라고 가정) 환경 내부에 서버에 소프트웨어 VPN(StrongSwan) 간 연동

• 그림 처럼 IDC 에 StrongSwan 는 1대만 사용하여 AWS VGW의 2개의 Endpoint(Tunnel1, Tunnel2)를 동시에 VPN 터널을 맺음

  

1.2 IDC(라고 가정) 내부에 EC2에 설치(StrongSwan)되는 NAT 환경

• AWS VGW는 IDC VPN장비의 IP를 'c.c.c.c'로 이해하고 트래픽을 전달합니다.

• 그럼 'c.c.c.c'는 인터넷 게이트웨이(IGW)가 받아서 IP를 EC2의 Private IP 로 1:1 NAT 를 해서 전달하게 됩니다.

• 이때 NAT 환경 내부와 VPN 협상과 터널을 맺으려면 NAT-Traversal 동작에 의해서 UDP 4500 포트를 사용하게 됩니다.

  

  • 아래 설명부터는 인터넷 게이트웨이는 생략하고 설명하겠습니다.

1.3 VPN Tunnel 내부 논리 인터페이스와 BGP 네이버 관계

• AWS VGW 의 경우 Tunnel 외부 IP를 참고하는 논리 인터페이스(169.254.X.X IP사용)를 가지고 있습니다.

  • 해당 논리 인터페이스는 BGP 라우팅 동작에 사용 - 상대측 BGP와 네이버 맺기, BGP 라우팅 정보 전달 등

• 마찬가지로 IDC EC2(StrongSwan)도 논리 인터페이스(vti) 2개를 생성하게 됩니다.

  # 대략 아래와 같은 형태로 Linux 에 VTI Tunnel 인터페이스를 생성합니다
  IP link add vti1 type vti local IP remote IP okey KEY ikey KEY
  

  참고 링크 : Linux Virtual Interfaces - Tunnels

  

  • 위 그림에서 StrongSwan 은 프라이빗IP(eth0)에 VTI1과 VTI2 둘 다 참고(속하게)하고 (아래에서) 설정 실습 예정입니다.

<aside> 💡 물론 IDC에 물리장비 2대로 구성 가능합니다. 아래 실습에서 간단하게 테스트를 위해서 EC2 1대에서 VPN Tunnel 2개 이중화를 위해서 위 처럼 구성합니다.

</aside>