교체 중 발생하는 IKEv2 터널 안정성 문제를 해결하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 1월 26일

IKEv2를 사용하여 AWS Virtual Private Network(AWS VPN) 연결을 만들었습니다. VPN 터널이 작도하고 있었는데 교체 중 중단되어서 다시 복구되지 않습니다. 이 문제를 해결하려면 어떻게 해야 합니까?

해결 방법

교체 중 IKEv2 터널 안정성 문제 해결:

  • Phase 2 구성에서 고객 게이트웨이에 "PFS(Perfect Forward Secrecy)"가 활성화되었는지 확인합니다.
  • Phase 1과 Phase 2에서 동일한 DH(Diffie-Hellman) 그룹을 사용하는지 확인합니다.
    참고: 고객 게이트웨이 디바이스가 수명이 만료되기 전에 교체를 시작하지 않으면 AWS가 교체를 시작합니다. IKEv2에서는 AWS의 VPN 엔드포인트가 이전 Phase 1 협상의 DH 그룹과 함께 얻은 키 교체(KE) 페이로드를 제안합니다. 따라서 고객 게이트웨이 디바이스가 교체를 거부할 수 있습니다. 필요한 경우, [VPN 터널 옵션 수정]을 설정하여 특정 VPN 파라미터로 터널 옵션을 제한하세요.
  • 고객 게이트웨이가 정책 기반 VPN으로 구성된 경우, 특정 트래픽 선택기를 사용하도록 VPN 연결을 다시 구성해야 하는지 확인하세요. 기본적으로 AWS VPN 엔드포인트는 라우팅 기반 VPN으로 구성됩니다. AWS는 트래픽 선택기에 0.0.0.0/0, 0.0.0.0/0을 사용하여 하위 보안 연결(SA) 교체를 시작합니다. 일부 고객 게이트웨이 디바이스는 AWS에서 시작한 Phase 2 교체를 수락하지 않습니다. AWS VPN 엔드포인트의 트래픽 선택기가 고객 게이트웨이 디바이스에 구성된 트래픽 선택기와 일치하지 않기 때문입니다. 이 경우, 고객 게이트웨이와 일치하는 특정 트래픽 선택기를 사용하도록 AWS VPN 연결을 구성할 수 있습니다.

           특정 트래픽 선택기를 사용하도록 새 VPN 연결을 구성하는 방법:
              1.    로컬 IPv4 네트워크 CIDR에 온프레미스(고객측) CIDR 범위를 지정합니다.
              2.    원격 IPv4 네트워크 CIDR에 AWS측 CIDR 범위를 지정합니다.

           특정 트래픽 선택기를 사용하도록 기존 VPN 연결 구성 방법:
              1.    AWS측에서 트래픽 선택기를 수정해야 하는 AWS VPN 연결을 선택합니다.                    
              2.    [작업]을 선택한 다음, 드롭다운에서 [VPN 연결 옵션 수정]을 선택합니다.
              3.    로컬 IPv4 네트워크 CIDR에 온프레미스(고객측) CIDR 범위를 지정합니다.
              4.    원격 IPv4 네트워크 CIDR에 AWS측 CIDR 범위를 지정합니다.
              5.    [저장]을 선택합니다. 
            참고:
VPN 연결은 업데이트되는 동안 잠시 사용할 수 없습니다.

중요: VPN 연결 옵션을 수정할 때는 다음 항목을 변경해서는 안 됩니다.

    • AWS측 VPN 엔드포인트 IP 주소
    • 터널 옵션

이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요합니까?