기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AWS Site-to-Site VPN 고객 게이트웨이 디바이스의 모범 사례 **IKEv2 사용** Site-to-Site VPN 연결에는 IKEv2를 사용하는 것이 좋습니다. IKEv2는 IKEv1보다 더 간단하고 견고하며 안전한 프로토콜입니다. 고객 게이트웨이 디바이스가 IKEv2를 지원하지 않는 경우에만 IKEv1을 사용해야 합니다. IKEv1과 IKEv2의 차이점에 대한 자세한 내용은 [ RFC7296의 부록 A](https://www.rfc-editor.org/rfc/rfc7296#appendix-A)를 참조하세요. **패킷에 대한 ‘조각화 금지(DF)’ 플래그 재설정** 어떤 패킷에는 DF(조각화 금지) 플래그라는 플래그가 있는데, 이는 패킷을 조각화하면 안 됨을 표시합니다. 패킷에 플래그가 있으면 게이트웨이가 'ICMP 경로 MTU 초과' 메시지를 생성합니다. 어떤 경우에는 애플리케이션에 이런 ICMP 메시지를 처리하고 각 패킷에 전송되는 데이터의 양을 줄이기 위한 적합한 메커니즘이 없습니다. 일부 VPN 디바이스는 필요에 따라 DF 플래그를 무시하고 패킷을 무조건 조각화할 수 있습니다. 고객 게이트웨이 디바이스에 이런 기능이 있는 경우에는 그 기능을 적절히 사용하는 것이 좋습니다. 자세한 내용은 [RFC 791](https://datatracker.ietf.org/doc/html/rfc791)을 참조하세요. **암호화 전에 IP 패킷 조각화** Site-to-Site VPN 연결을 통해 전송되는 패킷이 MTU 크기를 초과하는 경우 조각화해야 합니다. 성능 저하를 방지하려면 암호화하기 *전에* 패킷을 조각화하도록 고객 게이트웨이 디바이스를 구성하는 것이 좋습니다. 그런 다음 Site-to-Site VPN은 AWS 네트워크를 통해 packet-per-second 흐름을 높이기 위해 조각화된 패킷을 다음 대상으로 전달하기 전에 다시 구성합니다. 자세한 내용은 [RFC 4459](https://datatracker.ietf.org/doc/html/rfc4459)를 참조하세요. **패킷 크기가 대상 네트워크의 MTU를 초과하지 않는지 확인합니다.** Site-to-Site VPN은 다음 대상으로 전달하기 전에 고객 게이트웨이 디바이스에서 수신한 조각난 패킷을 다시 어셈블하므로, Radius와 같은 특정 프로토콜을 통해 Direct Connect다음 번에 패킷이 전달되는 대상 네트워크에 대한 패킷 크기/MTU 고려 사항이 있을 수 있습니다. **사용 중인 알고리즘에 따라 MTU 및 MSS 크기 조정** TCP 패킷은 종종 IPsec 터널 전반에 걸쳐 가장 일반적인 유형의 패킷입니다. Site-to-Site VPN은 1446바이트의 최대 전송 단위(MTU)와 상응하는 1406바이트의 최대 세그먼트 크기 (MSS)를 지원합니다. 그러나 암호화 알고리즘은 헤더 크기가 다양하므로 이러한 최대값을 달성하지 못할 수 있습니다. 조각화를 방지하여 최적의 성능을 얻으려면 사용하는 구체적인 알고리즘을 기반으로 MTU 및 MSS를 설정하는 것이 좋습니다. 다음 표를 사용하여 조각화를 방지하고 최적의 성능을 달성하도록 MTU/MSS를 설정하세요. | 암호화 알고리즘 | 해싱 알고리즘 | NAT 주소 변환 | MTU | MSS(IPv4) | MSS(IPv6-in-IPv4) | | --- | --- | --- | --- | --- | --- | | AES-GCM-16 | 해당 사항 없음 | disabled | 1446 | 1406 | 1386 | | AES-GCM-16 | 해당 사항 없음 | enabled | 1438 | 1398 | 1378 | | AES-CBC | SHA1/SHA2-256 | disabled | 1438 | 1398 | 1378 | | AES-CBC | SHA1/SHA2-256 | enabled | 1422 | 1382 | 1362 | | AES-CBC | SHA2-384 | disabled | 1422 | 1382 | 1362 | | AES-CBC | SHA2-384 | enabled | 1422 | 1382 | 1362 | | AES-CBC | SHA2-512 | disabled | 1422 | 1382 | 1362 | | AES-CBC | SHA2-512 | enabled | 1406 | 1366 | 1346 | **참고** AES-GCM 알고리즘은 암호화와 인증을 모두 포함하므로 MTU에 영향을 미치는 고유 인증 알고리즘 선택 옵션이 없습니다. **IKE 고유 ID 비활성화** 일부 고객 게이트웨이 디바이스는 터널 구성당 최대 하나의 1단계 보안 연결이 존재하도록 하는 설정을 지원합니다. 이 설정을 사용하면 VPN 피어 간에 2단계 상태가 일치하지 않을 수 있습니다. 고객 게이트웨이 디바이스가 이 설정을 지원하는 경우 비활성화하는 것이 좋습니다.