고객 게이트웨이 디바이스에서 VPN 터널 비활성 또는 불안정 또는 터널 중단 문제를 해결하려면 어떻게 해야 합니까?
최종 업데이트 날짜: 2021년 5월 5일
네트워크 디바이스에서 VPN(가상 프라이빗 네트워크) 터널이 작동하지 않거나 불안정한 문제가 있습니다. Amazon VPC(Amazon Virtual Private Cloud)에서 이 문제를 해결하려면 어떻게 해야 합니까?
간략한 설명
고객 게이트웨이 디바이스에서 VPN 터널 비활성 또는 불안정 문제가 발생하는 일반적인 원인은 다음과 같습니다.
- IPsec(Internet Protocol Security) DPD(Dead Peer Detection) 모니터링 관련 문제
- VPN 터널의 트래픽 부족 또는 공급업체별 고객 게이트웨이 디바이스 구성 문제로 인한 유휴 시간 초과
- 단계 1 또는 단계 2의 키 재지정 문제
해결 방법
DPD 설정 확인
VPN 피어가 세 개의 연속된 DPD에 응답하지 않으면 피어가 작동하지 않는 것으로 간주되고 터널이 닫힙니다.
고객 게이트웨이 디바이스에 DPD가 활성화된 경우 다음 사항을 확인합니다.
- DPD 메시지를 수신하고 응답하도록 구성되어 있습니다.
- AWS 피어의 DPD 메시지에 응답하느라 너무 분주하지 않습니다.
- 방화벽에서 IPS 기능이 활성화되어 있어 DPD 메시지의 속도를 제한하지 않습니다.
유휴 제한 시간 문제 해결
VPN 터널의 트래픽이 적어 유휴 시간 초과가 발생하는 경우:
- 로컬 네트워크와 VPC 사이에 일정한 양방향 트래픽이 있는지 확인하십시오. 필요한 경우 VPC의 인스턴스에 5초마다 ICMP 요청을 전송하는 호스트를 생성하십시오.
- 디바이스 공급업체의 정보를 사용하여 VPN 디바이스의 유휴 제한 시간 설정을 검토하십시오. 공급업체별 VPN 유휴 시간 동안 VPN 터널을 통과하는 트래픽이 없으면 IPsec 세션이 종료됩니다. 해당 디바이스에 대한 공급업체 설명서를 확인하세요.
단계 1 또는 단계 2의 키 재지정 문제
VPN 터널에서 단계 1 또는 단계 2 불일치로 인해 키 재지정 문제가 발생하는 경우:
- 고객 게이트웨이의 단계 1 또는 단계 2 수명 필드를 검토합니다. AWS 파라미터와 일치하는지 확인합니다. 모범 사례는 VPN 연결을 위해 고객 게이트웨이에 필요하지 않은 VPN 터널 옵션에서 파라미터를 선택 취소하는 것입니다.
- 고객 게이트웨이의 UDP 포트 500 [IKE], 4500 [NAT-T] 및 IP 50 [ESP]에 대한 인바운드 트래픽이 AWS 엔드포인트에 대한 키 재사용을 허용하는지 확인합니다.
자세한 내용은 Site-to-Site VPN 연결의 터널 옵션 및 고객 게이트웨이 디바이스를 참조하세요.