기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 정적 및 동적 구성 파일
<a name="example-configuration-files"></a>

VPN 연결을 생성한 뒤에는 Amazon VPC 콘솔에서 AWS-제공 샘플 구성 파일을 다운로드하거나 EC2 API를 사용할 추가 옵션이 주어집니다. 자세한 정보는 [6단계: 구성 파일 다운로드](SetUpVPNConnections.md#vpn-download-config)을 참조하세요. 각 페이지에서 정적 라우팅과 동적 라우팅에 특히 적용되는 샘플 구성의 zip 파일을 다운로드할 수도 있습니다.

 AWS제공 샘플 구성 파일에는 고객 게이트웨이 디바이스를 구성하는 데 사용할 수 있는 VPN 연결 관련 정보가 포함되어 있습니다. 이러한 디바이스별 구성 파일은 AWS가 테스트한 디바이스에서만 사용할 수 있습니다. 특정 고객 게이트웨이 디바이스가 목록에 없을 경우 일반 구성 파일을 다운로드하여 시작할 수 있습니다.

**중요**  
구성 파일은 예시일 뿐이며 의도한 Site-to-Site VPN 연결 설정과 완전히 일치하지 않을 수 있습니다. 대부분의 AWS 리전에서 AES128, SHA1 및 Diffie-Hellman 그룹 2, AWS GovCloud 리전에서 AES128, SHA2 및 Diffie-Hellman 그룹 14의 Site-to-Site VPN 연결에 대한 최소 요구 사항을 지정합니다. 또한 인증을 위해 사전 공유 키를 지정합니다. 추가 보안 알고리즘, Diffie-Hellman 그룹, 프라이빗 인증서 및 IPv6 트래픽을 활용하려면 예제 구성 파일을 수정해야 합니다.

**참고**  
이러한 디바이스별 구성 파일은 AWS 에서 최대한 제공합니다. 에서 테스트했지만 AWS이 테스트는 제한됩니다. 구성 파일에 문제가 발생하는 경우 추가 지원을 받으려면 특정 공급 업체에 연락해야 할 수 있습니다.

다음 표에는 IKEv2를 지원하도록 업데이트되어 다운로드할 수 있는 예제 구성 파일을 포함한 디바이스 목록이 나와 있습니다. 널리 사용되는 고객 게이트웨이 디바이스에 대한 구성 파일에 IKEv2 지원을 도입했으며 앞으로도 꾸준히 추가 파일을 추가할 예정입니다. 이 목록은 예제 구성 파일이 추가되면 업데이트됩니다.


| 공급 업체 | 플랫폼 | 소프트웨어 | 
| --- | --- | --- | 
|  축  |  NF  |  AOS 3.2 이상  | 
|  축  |  UTM  |  AOS 2.1 이상  | 
|  체크포인트  |  Gaia  |  R80.10 이상  | 
|  Cisco Meraki  |  MX 시리즈  |  15.12 이상 (WebUI)  | 
|  Cisco Systems  |  ASA 5500 시리즈  |  ASA 9.7 이상 VTI  | 
|  Cisco Systems  |  CSRv AMI  |  IOS 12.4 이상  | 
|  Fortinet  |  Fortigate 40 이상 시리즈  |  FortiOS 6.4.4 이상 (GUI)  | 
|  Juniper Networks  |  J-Series 라우터  |  JunOS 9.5 이상  | 
|  Juniper Networks  |  SRX 라우터  |  JunOS 11.0 이상  | 
|  Mikrotik  |  RouterOS  |  6.44.3  | 
|  Palo Alto Networks  |  PA 시리즈  |  PANOS 7.0 이상  | 
|  SonicWall  |  NSA, TZ  |  OS 6.5  | 
|  Sophos   |  Sophos 방화벽  |  v19 이상  | 
|  Strongswan  |  Ubuntu 16.04  |  Stronswan 5.5.1 이상  | 
|  Yamaha  |  RTX 라우터  |  Rev.10.01.16 이상  | 

# AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 다운로드 가능한 정적 라우팅 구성 파일
<a name="cgw-static-routing-examples"></a>

Site-to-Site VPN 연결 구성과 관련된 값이 있는 샘플 구성 파일을 다운로드하려면 Amazon VPC 콘솔, AWS 명령줄 또는 Amazon EC2 API를 사용합니다. 자세한 내용은 [6단계: 구성 파일 다운로드](SetUpVPNConnections.md#vpn-download-config) 단원을 참조하십시오.

Site-to-Site VPN 연결 구성에 해당하는 값을 포함하지 않는 고정 라우팅을 위한 일반적인 예제 구성 파일을 다운로드할 수도 있습니다. [static-routing-examples.zip](samples/static-routing-examples.zip) 

이 파일은 일부 구성요소에 자리 표시자 값을 사용합니다. 예를 들어, 다음을 사용합니다.
+ VPN 연결 ID, 고객 게이트웨이 ID 및 가상 프라이빗 게이트웨이 ID 예시 값
+ 원격(외부) IP 주소 AWS 엔드포인트(*AWS\$1ENDPOINT\$11* 및 *AWS\$1ENDPOINT\$12*)의 자리 표시자
+ 고객 게이트웨이 디바이스의 인터넷 라우팅 가능 외부 인터페이스(*your-cgw-ip-address*)의 IP 주소에 대한 자리 표시자입니다.
+ 미리 공유된 키 값의 자리 표시자 (미리 공유된 키)
+ IP 주소 내부의 터널에 대한 예시 값.
+ MTU 설정의 예제 값입니다.

**참고**  
샘플 구성 파일에 제공된 MTU 설정은 예제일 뿐입니다. 상황에 맞는 최적의 MTU 값을 설정하는 방법에 대해서는 [AWS Site-to-Site VPN 고객 게이트웨이 디바이스의 모범 사례](cgw-best-practice.md) 섹션을 참조하세요.

파일은 자리 표시자 값을 제공하는 것 외에도 대부분의 AWS 리전에서 AES128, SHA1 및 Diffie-Hellman 그룹 2, AWS GovCloud 리전에서 AES128, SHA2 및 Diffie-Hellman 그룹 14의 Site-to-Site VPN 연결에 대한 최소 요구 사항을 지정합니다. 또한 [인증](vpn-tunnel-authentication-options.md)을 위해 미리 공유된 키를 지정합니다. 추가 보안 알고리즘, Diffie-Hellman 그룹, 프라이빗 인증서 및 IPv6 트래픽을 활용하려면 예제 구성 파일을 수정해야 합니다.

다음 다이어그램은 고객 게이트웨이 디바이스에 구성된 다양한 구성 요소에 대한 개요를 제공합니다. 여기에는 터널 인터페이스 IP 주소에 대한 예제 값이 포함됩니다.

![\[정적 라우팅이 가능한 고객 게이트웨이 디바이스\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/cgw-static-routing.png)


# AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 정적 라우팅 구성
<a name="cgw-static-routing-example-interface"></a>

다음은 사용자 인터페이스(사용 가능한 경우)를 사용하여 고객 게이트웨이 디바이스를 구성하는 몇 가지 예제 절차입니다.

------
#### [ Check Point ]

다음은 Gaia 운영 체제 및 Check Point SmartDashboard를 사용하여 고객 게이트웨이 디바이스(R77.10 이상을 실행하는 Check Point Security Gateway 디바이스인 경우)를 구성하는 단계입니다. Check Point Support Center의 [Check Point Security Gateway IPsec VPN to Amazon Web Services VPC](https://support.checkpoint.com/results/sk/sk100726) 문서도 참조할 수 있습니다.

**터널 인터페이스를 구성하려면**

첫 번째 단계는 VPN 터널을 생성하고 각 터널에 대해 고객 게이트웨이 및 가상 프라이빗 게이트웨이의 프라이빗(내부) IP 주소를 제공하는 것입니다. 첫 번째 터널을 생성하려면 구성 파일의 `IPSec Tunnel #1` 단원에 제공된 정보를 사용합니다. 두 번째 터널을 생성하려면 구성 파일의 `IPSec Tunnel #2` 단원에 제공된 값을 사용합니다.

1. Check Point Security Gateway 디바이스의 Gaia 포털을 엽니다.

1. [**Network Interfaces**], [**Add**], [**VPN tunnel**]을 선택합니다.

1. 대화 상자에서 다음과 같이 설정을 구성하고 구성을 완료하면 [**OK**]를 선택합니다.
   + [**VPN Tunnel ID**]에 고유의 값을 입력합니다(예: 1).
   + [**Peer**]에 터널의 고유 이름을 입력합니다(예: `AWS_VPC_Tunnel_1` 또는 `AWS_VPC_Tunnel_2`).
   + **Numbered**가 선택되어 있는지 확인하고 **Local Address**에 구성 파일의 `CGW Tunnel IP`에 지정된 IP 주소를 입력합니다(예: `169.254.44.234`).
   + [**Remote Address**]에 구성 파일의 `VGW Tunnel IP`에 지정된 IP 주소를 입력합니다(예: `169.254.44.233`).  
![\[Check Point Add VPN Tunnel 대화 상자\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/check-point-create-tunnel.png)

1. SSH를 통해 보안 게이트웨이에 연결합니다. 기본이 아닌 셸을 사용하는 경우 `clish` 명령을 실행하여 clish로 변경합니다.

1. 터널 1에 대해 다음 명령을 실행합니다.

   ```
   set interface vpnt1 mtu 1436
   ```

   터널 2에 대해 다음 명령을 실행합니다.

   ```
   set interface vpnt2 mtu 1436
   ```

1. 구성 파일의 `IPSec Tunnel #2` 단원에 제공된 정보로 이 단계를 반복하여 두 번째 터널을 생성합니다.

**정적 경로를 구성하려면**

이 단계에서는 터널 인터페이스를 통해 트래픽을 전송할 수 있도록 각 터널의 VPC 내 서브넷에 정적 경로를 지정합니다. 두 번째 터널은 첫 번째 터널에 문제가 있을 경우 장애 조치를 활성화합니다. 문제가 감지되면 정책 기반 정적 경로가 라우팅 테이블에서 제거되고 두 번째 경로가 활성화됩니다. 터널의 다른 쪽 끝을 ping하여 터널이 작동 중인지 확인하기 위해 Check Point 게이트웨이도 활성화해야 합니다.

1. Gaia 포털에서 [**IPv4 Static Routes**], [**Add**]를 선택합니다.

1. 서브넷의 CIDR를 지정합니다(예: `10.28.13.0/24`).

1. [**Add Gateway**], [**IP Address**]를 선택합니다.

1. 구성 파일의 `VGW Tunnel IP`에 지정된 IP 주소를 입력하고(예: `169.254.44.233`) 우선 순위 1을 지정합니다.

1. [**Ping**]을 선택합니다.

1. 구성 파일의 `VGW Tunnel IP` 섹션에 있는 `IPSec Tunnel #2` 값을 사용하여 두 번째 터널에 대해 3단계 및 4단계를 반복합니다. 우선 순위 2를 지정합니다.  
![\[Check Point Edit Destination Route 대화 상자\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/check-point-static-routes.png)

1. **저장**을 선택합니다.

클러스터를 사용하는 경우 클러스터의 다른 구성원에 대해 위의 단계를 반복합니다.

**새 네트워크 객체를 정의하려면**

이 단계에서는 가상 프라이빗 게이트웨이에 퍼블릭(외부) IP 주소를 지정하여 각 VPN 터널에 대한 네트워크 객체를 생성합니다. 나중에 이 네트워크 객체를 VPN 커뮤니티를 위한 위성 게이트웨이로 추가합니다. VPN 도메인의 자리 표시자 역할을 하는 빈 그룹도 생성해야 합니다.

1. Check Point SmartDashboard를 엽니다.

1. [**Groups**]에서 컨텍스트 메뉴를 열고 [**Groups**], [**Simple Group**]을 선택합니다. 각 네트워크 객체에 동일한 그룹을 사용할 수 있습니다.

1. [**Network Objects**]에서 컨텍스트 메뉴를 열고(마우스 오른쪽 버튼 클릭) [**New**], [**Interoperable Device**]를 선택합니다.

1. **이름**에 터널에 지정한 이름을 입력합니다(예: `AWS_VPC_Tunnel_1` 또는 `AWS_VPC_Tunnel_2`).

1. [**IPv4 Address**]에 구성 파일에 제공된 가상 프라이빗 게이트웨이의 외부 IP 주소를 입력합니다(예: `54.84.169.196`). 설정을 저장하고 대화 상자를 닫습니다.  
![\[[Check Point Interoperable Device] 대화 상자\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/check-point-network-device.png)

1. SmartDashboard에서 게이트웨이 속성을 열고 카테고리 창에서 [**Topology**]를 선택합니다.

1. 인터페이스 구성을 가져오려면 [**Get Topology**]를 선택합니다.

1. **VPN 도메인** 단원에서 **수동으로 정의**를 선택하고 2단계에서 생성한 빈 단순 그룹을 찾아서 선택합니다. **확인**을 선택합니다.
**참고**  
구성한 기존 VPN 도메인을 유지할 수 있습니다. 하지만 특히 VPN 도메인이 자동으로 파생된 경우 새로운 VPN 연결에서 사용되거나 제공되는 호스트 및 네트워크가 해당 VPN 도메인에서 선언되지 않았는지 확인하십시오.

1. 구성 파일의 `IPSec Tunnel #2` 단원에 제공된 정보로 이 단계를 반복하여 두 번째 네트워크 객체를 생성합니다.

**참고**  
클러스터를 사용하는 경우 토폴로지를 편집하고 인터페이스를 클러스터 인터페이스로 정의합니다. 구성 파일에 지정된 IP 주소를 사용합니다.

**VPN 커뮤니티, IKE 및 IPsec 설정을 생성하고 구성하려면**

이 단계에서는 Check Point 게이트웨이에서 각 터널의 네트워크 객체(상호 운용 가능한 디바이스)를 추가할 VPN 커뮤니티를 생성합니다. IKE(Internet Key Exchange) 및 IPsec 설정도 구성할 수 있습니다.

1. 게이트웨이 속성에서 카테고리 창의 [**IPSec VPN**]을 선택합니다.

1. [**Communities**], [**New**], [**Star Community**]를 선택합니다.

1. 커뮤니티에 이름을 지정한 다음(예: `AWS_VPN_Star`) 카테고리 창에서 [**Center Gateways**]를 선택합니다.

1. [**Add**]를 선택하고 참여 게이트웨이 또는 클러스터를 게이트웨이 목록에 추가합니다.

1. 카테고리 창에서 **Satellite Gateways(위성 게이트웨이)**, **추가**를 선택하고 이전에 생성한 상호 운용 가능한 디바이스(`AWS_VPC_Tunnel_1` 및 `AWS_VPC_Tunnel_2`)를 참여 게이트웨이 목록에 추가합니다.

1. 카테고리 창에서 [**Encryption**]을 선택합니다. [**Encryption Method**] 단원에서 [**IKEv1 only**]를 선택합니다. [**Encryption Suite**] 단원에서 [**Custom**], [**Custom Encryption**]을 선택합니다.

1. 대화 상자에서 다음과 같이 암호화 속성을 구성하고 구성을 완료하면 [**OK**]를 선택합니다.
   + IKE 보안 연결(1단계) 속성:
     + [**Perform key exchange encryption with**]: AES-128
     + [**Perform data integrity with**]: SHA-1
   + IPsec 보안 연결(2단계) 속성:
     + [**Perform IPsec data encryption with**]: AES-128
     + [**Perform data integrity with**]: SHA-1

1. 카테고리 창에서 [**Tunnel Management**]를 선택합니다. [**Set Permanent Tunnels**], [**On all tunnels in the community**]를 선택합니다. [**VPN Tunnel Sharing**] 단원에서 [**One VPN tunnel per Gateway pair**]를 선택합니다.

1. 카테고리 창에서 [**Advanced Settings**]를 확장하고 [**Shared Secret**]을 선택합니다.

1. 첫 번째 터널의 피어 이름을 선택하고 **편집**을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 `IPSec Tunnel #1` 단원에 입력합니다.

1. 두 번째 터널의 피어 이름을 선택하고 **편집**을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 `IPSec Tunnel #2` 단원에 입력합니다.  
![\[[Check Point Interoperable Shared Secret] 대화 상자\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. 여전히 **Advanced Settings** 카테고리에서 **Advanced VPN Properties**를 선택하고 다음과 같이 속성을 구성한 후 구성을 완료하면 **확인**을 선택합니다.
   + IKE(1단계):
     + **Use Diffie-Hellman group**: `Group 2`
     + [**Renegotiate IKE security associations every**] `480` [**minutes**]
   + IPsec(2단계):
     + [**Use Perfect Forward Secrecy**] 선택
     + **Use Diffie-Hellman group**: `Group 2`
     + [**Renegotiate IPsec security associations every**] `3600` [**seconds**]

**방화벽 규칙을 생성하려면**

이 단계에서는 VPC와 로컬 네트워크 간에 통신을 허용하는 방화벽 규칙 및 방향 일치 규칙을 사용하여 정책을 구성합니다. 그런 다음 게이트웨이에 정책을 설치합니다.

1. SmartDashboard에서 게이트웨이에 대한 [**Global Properties**]를 선택합니다. 카테고리 창에서 [**VPN**]을 확장하고 [**Advanced**]를 선택합니다.

1. [**Enable VPN Directional Match in VPN Column**]을 선택하고 변경 내용을 저장합니다.

1. SmartDashboard에서 [**Firewall**]을 선택하고 다음 규칙을 사용하여 정책을 생성합니다.
   + 필수 프로토콜을 통해 VPC 서브넷이 로컬 네트워크와 통신할 수 있도록 허용합니다.
   + 필수 프로토콜을 통해 로컬 네트워크가 VPC 서브넷과 통신할 수 있도록 허용합니다.

1. VPN 열의 셀에 대한 컨텍스트 메뉴를 열고 [**Edit Cell**]을 선택합니다.

1. [**VPN Match Conditions**] 대화 상자에서 [**Match traffic in this direction only**]를 선택합니다. 각각에 대해 [**Add**]를 선택하여 다음과 같은 방향 일치 규칙을 생성하고 생성을 완료하면 [**OK**]를 선택합니다.
   + `internal_clear` > VPN 커뮤니티(이전에 생성한 VPN 항성 커뮤니티, 예: `AWS_VPN_Star`)
   + VPN 커뮤니티 > VPN 커뮤니티
   + VPN 커뮤니티 > `internal_clear`

1. SmartDashboard에서 [**Policy**], [**Install**]을 선택합니다.

1. 대화 상자에서 게이트웨이를 선택하고 [**OK**]를 선택하여 정책을 설치합니다.

**tunnel\$1keepalive\$1method 속성을 변경하려면**

Check Point 게이트웨이는 DPD(Dead Peer Detection)를 사용하여 IKE 연결이 가동 중지되는 시간을 식별할 수 있습니다. 영구 터널에 대해 DPD를 구성하려면 AWS VPN 커뮤니티에서 영구 터널을 구성해야 합니다(8단계 참조).

기본적으로 VPN 게이트웨이의 `tunnel_keepalive_method` 속성은 `tunnel_test`로 설정됩니다. 값을 `dpd`로 변경해야 합니다. 타사 VPN 게이트웨이를 포함하여 DPD 모니터링이 필요한 VPN 커뮤니티의 각 VPN 게이트웨이는 `tunnel_keepalive_method` 속성으로 구성해야 합니다. 동일한 게이트웨이에 대해 다른 모니터링 메커니즘을 구성할 수 없습니다.

GuiDBedit 도구를 사용하여 `tunnel_keepalive_method` 속성을 업데이트할 수 있습니다.

1. Check Point SmartDashboard를 열고 [**Security Management Server**], [**Domain Management Server**]를 선택합니다.

1. [**File**], [**Database Revision Control...**]을 선택하고 변경된 버전 스냅샷을 생성합니다.

1. SmartDashboard, SmartView Tracker 및 SmartView Monitor 등 모든 SmartConsole 창을 닫습니다.

1. GuiBDedit 도구를 시작합니다. 자세한 정보는 Check Point Support Center의 [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) 문서를 참조하십시오.

1. [**Security Management Server**], [**Domain Management Server**]를 선택합니다.

1. 왼쪽 상단 창에서 [**Table**], [**Network Objects**], [**network\$1objects**]를 선택합니다.

1. 오른쪽 상단 창에서 관련된 [**Security Gateway**], [**Cluster**] 객체를 선택합니다.

1. CTRL\$1F를 누르거나 [**Search**] 메뉴를 사용하여 다음 `tunnel_keepalive_method`를 검색합니다.

1. 아래쪽 창에서 `tunnel_keepalive_method`에 대한 컨텍스트 메뉴를 열고 **편집...**을 선택합니다. **dpd**를 선택한 다음 **확인**을 선택합니다.

1.  AWS VPN 커뮤니티에 포함된 각 게이트웨이에 대해 7\$19단계를 반복합니다.

1. [**File**], [**Save All**]을 선택합니다.

1. GuiDBedit 도구를 닫습니다.

1. Check Point SmartDashboard를 열고 [**Security Management Server**], [**Domain Management Server**]를 선택합니다.

1. 관련된 [**Security Gateway**], [**Cluster**] 객체에 정책을 설치합니다.

자세한 정보는 Check Point Support Center의 [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746) 문서를 참조하십시오.

**TCP MSS 클램핑을 활성화하려면**

TCP MSS 클램핑은 TCP 패키지의 최대 세그먼트 크기를 축소하여 패킷 조각화를 방지합니다.

1. 다음 디렉터리로 이동합니다. `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\` 

1. `GuiDBEdit.exe` 파일을 실행하여 Check Point Database Tool을 엽니다.

1. [**Table**], [**Global Properties**], [**properties**]를 선택합니다.

1. `fw_clamp_tcp_mss`에 대해 [**Edit**]을 선택합니다. 값을 `true`로 변경하고 [**OK**]를 선택합니다.

**터널 상태를 확인하려면**  
전문가 모드의 명령줄 도구에서 다음 명령을 실행하여 터널 상태를 확인할 수 있습니다.

```
vpn tunnelutil
```

다음에 표시되는 옵션에서 **1**을 선택하여 IKE 연결을 확인하고 **2**를 선택하여 IPsec 연결을 확인합니다.

Check Point Smart Tracker Log를 사용하여 연결을 통해 패킷이 암호화되는지도 확인할 수 있습니다. 예를 들어 다음 로그는 VPC로 이동하는 패킷이 터널 1을 통해 전송되었고 암호화되었음을 나타냅니다.

![\[Check Point 로그 파일\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

다음 절차는 SonicOS 관리 인터페이스를 사용하는 SonicWALL 디바이스에서 VPN 터널을 구성하는 방법을 보여줍니다.

**터널을 구성하려면**

1. SonicWALL SonicOS 관리 인터페이스를 엽니다.

1. 왼쪽 창에서 [**VPN**], [**Settings**]를 선택합니다. **VPN Policies**에서 **Add...**를 선택합니다.

1. **General** 탭의 VPN 정책에서 다음 정보를 입력합니다.
   + **정책 유형**: **터널 인터페이스**를 선택하십시오.
   + **Authentication Method**: **IKE using Preshared Secret**을 선택합니다.
   + **Name**: VPN 정책의 이름을 입력합니다. 구성 파일에 제공된 VPN ID의 이름을 사용할 것을 권장합니다.
   + **IPsec Primary Gateway Name or Address**: 구성 파일에 제공된 가상 프라이빗 게이트웨이의 IP 주소를 입력합니다(예: `72.21.209.193`).
   + **IPsec Secondary Gateway Name or Address**: 기본값을 그대로 둡니다.
   + **Shared Secret**: 구성 파일에 제공된 사전 공유 키를 입력한 후 **Confirm Shared Secret**에 다시 입력합니다.
   + **Local IKE ID**: 고객 게이트웨이의 IPv4 주소를 입력합니다(SonicWALL 디바이스).
   + **Peer IKE ID**: 가상 프라이빗 게이트웨이의 IPv4 주소를 입력합니다.

1. **Network** 탭에서 다음 정보를 입력합니다.
   + **Local Networks**에서 **Any address**를 선택합니다. 로컬 네트워크에 연결 문제가 발생하는 것을 방지하기 위해 이 옵션을 권장합니다.
   + **Remote Networks**에서 **Choose a destination network from list**를 선택합니다. AWS에서 VPC의 CIDR로 주소 객체를 생성합니다.

1. **제안** 탭에서 다음 정보를 입력합니다.
   + **IKE (Phase 1) Proposal**에서 다음 작업을 수행합니다.
     + **Exchange**: **Main Mode**를 선택합니다.
     + **DH Group**: Diffie-Hellman 그룹에 대한 값을 입력합니다(예: `2`).
     + **Encryption**: **AES-128** 또는 **AES-256**을 선택합니다.
     + **Authentication**: **SHA1** 또는 **SHA256**을 선택합니다.
     + **Life Time**: `28800`을 입력합니다.
   + **IKE (Phase 2) Proposal**에서 다음 작업을 수행합니다.
     + **Protocol**: **ESP**를 선택합니다.
     + **Encryption**: **AES-128** 또는 **AES-256**을 선택합니다.
     + **Authentication**: **SHA1** 또는 **SHA256**을 선택합니다.
     + **Enable Perfect Forward Secrecy** 확인란을 선택한 후, Diffie-Hellman 그룹을 선택합니다.
     + **Life Time**: `3600`을 입력합니다.
**중요**  
2015년 10월 이전에 가상 프라이빗 게이트웨이를 생성한 경우, 두 단계 모두에 대해 Diffie-Hellman 그룹 2, AES-128 및 SHA1을 지정해야 합니다.

1. **Advanced** 탭에서 다음 정보를 입력합니다.
   + **Enable Keep Alive**를 선택합니다.
   + **Enable Phase2 Dead Peer Detection**을 선택한 후 다음을 입력합니다.
     + **Dead Peer Detection Interval**에 대해 `60`을 입력합니다(이것은 SonicWALL 디바이스가 수용할 수 있는 최소값입니다).
     + **Failure Trigger Level**에 대해 `3`를 입력합니다.
   + **VPN Policy bound to**에 대해 **Interface X1**을 선택합니다. 이것은 퍼블릭 IP 주소에 일반적으로 지정되는 인터페이스입니다.

1. **확인**을 선택합니다. **Settings** 페이지에서 터널에 대한 **Enable** 확인란은 기본으로 선택해야 합니다. 녹색 점은 터널이 가동 상태임을 뜻합니다.

------

## Cisco 디바이스: 추가 정보
<a name="cgw-static-routing-examples-cisco"></a>

일부 Cisco ASA는 액티브/스탠바이 모드만 지원합니다. 이런 Cisco ASA를 사용할 때는 액티브 터널이 한 번에 한 개만 있을 수 있습니다. 첫 번째 터널을 사용할 수 없으면 다른 스탠바이 터널이 활성화됩니다. 이런 중복성을 사용할 때는 항상 터널 중 하나를 통해 VPC에 연결되어 있어야 합니다.

Cisco ASA 9.7.1 이상 버전은 액티브/액티브 모드를 지원합니다. 이런 Cisco ASA를 사용할 때는 동시에 두 터널을 활성화할 수 있습니다. 이런 중복성을 사용할 때는 항상 터널 중 하나를 통해 VPC에 연결되어 있어야 합니다.

Cisco 디바이스의 경우 다음을 수행해야 합니다.
+ 외부 인터페이스를 구성합니다.
+ Crypto ISAKMP Policy Sequence 번호가 고유한지 확인합니다.
+ Crypto List Policy Sequence 번호가 고유한지 확인합니다.
+ Crypto IPsec Transform Set와 Crypto ISAKMP Policy Sequence가 디바이스에 구성된 다른 모든 IPsec 터널과 일치하는지 확인합니다.
+ SLA 모니터링 번호가 고유한지 확인합니다.
+ 고객 게이트웨이 디바이스와 로컬 네트워크 사이에서 트래픽을 이동하는 모든 내부 라우팅을 구성합니다.

# AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 다운로드 가능한 동적 라우팅 구성 파일
<a name="cgw-dynamic-routing-examples"></a>

Site-to-Site VPN 연결 구성과 관련된 값이 있는 샘플 구성 파일을 다운로드하려면 Amazon VPC 콘솔, AWS 명령줄 또는 Amazon EC2 API를 사용합니다. 자세한 내용은 [6단계: 구성 파일 다운로드](SetUpVPNConnections.md#vpn-download-config) 단원을 참조하십시오.

Site-to-Site VPN 연결 구성에 해당하는 값을 포함하지 않는 동적 라우팅을 위한 일반적인 예제 구성 파일을 다운로드할 수도 있습니다.[dynamic-routing-examples.zip](samples/dynamic-routing-examples.zip)

이 파일은 일부 구성요소에 자리 표시자 값을 사용합니다. 예를 들어, 다음을 사용합니다.
+ VPN 연결 ID, 고객 게이트웨이 ID 및 가상 프라이빗 게이트웨이 ID 예시 값
+ 원격(외부) IP 주소 AWS 엔드포인트(*AWS\$1ENDPOINT\$11* 및 *AWS\$1ENDPOINT\$12*)의 자리 표시자
+ 고객 게이트웨이 디바이스의 인터넷 라우팅 가능 외부 인터페이스(*your-cgw-ip-address*)의 IP 주소에 대한 자리 표시자입니다.
+ 미리 공유된 키 값의 자리 표시자 (미리 공유된 키)
+ IP 주소 내부의 터널에 대한 예시 값.
+ MTU 설정의 예제 값입니다.

**참고**  
샘플 구성 파일에 제공된 MTU 설정은 예제일 뿐입니다. 상황에 맞는 최적의 MTU 값을 설정하는 방법에 대해서는 [AWS Site-to-Site VPN 고객 게이트웨이 디바이스의 모범 사례](cgw-best-practice.md) 섹션을 참조하세요.

파일은 자리 표시자 값을 제공하는 것 외에도 대부분의 AWS 리전에서 AES128, SHA1 및 Diffie-Hellman 그룹 2, AWS GovCloud 리전에서 AES128, SHA2 및 Diffie-Hellman 그룹 14의 Site-to-Site VPN 연결에 대한 최소 요구 사항을 지정합니다. 또한 [인증](vpn-tunnel-authentication-options.md)을 위해 미리 공유된 키를 지정합니다. 추가 보안 알고리즘, Diffie-Hellman 그룹, 프라이빗 인증서 및 IPv6 트래픽을 활용하려면 예제 구성 파일을 수정해야 합니다.

다음 다이어그램은 고객 게이트웨이 디바이스에 구성된 다양한 구성 요소에 대한 개요를 제공합니다. 여기에는 터널 인터페이스 IP 주소에 대한 예제 값이 포함됩니다.

![\[동적 라우팅이 가능한 고객 게이트웨이 디바이스\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/cgw-bgp.png)


# AWS Virtual Private Network 고객 게이트웨이 디바이스에 대한 동적 라우팅 구성
<a name="cgw-dynamic-routing-example-interface"></a>

다음은 사용자 인터페이스(사용 가능한 경우)를 사용하여 고객 게이트웨이 디바이스를 구성하는 몇 가지 예제 절차입니다.

------
#### [ Check Point ]

다음은 Gaia 웹 포털 및 Check Point SmartDashboard를 사용하여 R77.10 이상을 실행하는 Check Point Security Gateway 디바이스를 구성하는 단계입니다. Check Point Support Center의 [Amazon Web Services (AWS) VPN BGP ](https://support.checkpoint.com/results/sk/sk108958) 문서도 참조할 수 있습니다.

**터널 인터페이스를 구성하려면**

첫 번째 단계는 VPN 터널을 생성하고 각 터널에 대해 고객 게이트웨이 및 가상 프라이빗 게이트웨이의 프라이빗(내부) IP 주소를 제공하는 것입니다. 첫 번째 터널을 생성하려면 구성 파일의 `IPSec Tunnel #1` 단원에 제공된 정보를 사용합니다. 두 번째 터널을 생성하려면 구성 파일의 `IPSec Tunnel #2` 단원에 제공된 값을 사용합니다.

1. SSH를 통해 보안 게이트웨이에 연결합니다. 기본이 아닌 셸을 사용하는 경우 `clish` 명령을 실행하여 clish로 변경합니다.

1. 다음 명령을 실행하여 고객 게이트웨이 ASN(고객 게이트웨이가 생성될 때 제공된 ASN AWS)을 설정합니다.

   ```
   set as 65000
   ```

1. 구성 파일의 `IPSec Tunnel #1` 단원에 제공된 정보를 사용하여 첫 번째 터널에 대한 터널 인터페이스를 생성합니다. 터널에 고유 이름을 지정합니다(예: `AWS_VPC_Tunnel_1`).

   ```
   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436
   ```

1. 구성 파일의 `IPSec Tunnel #2` 단원에 제공된 정보로 이 명령을 반복하여 두 번째 터널을 생성합니다. 터널에 고유 이름을 지정합니다(예: `AWS_VPC_Tunnel_2`).

   ```
   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436
   ```

1. 가상 프라이빗 게이트웨이 ASN을 설정합니다.

   ```
   set bgp external remote-as 7224 on 
   ```

1. 구성 파일의 `IPSec Tunnel #1` 단원에 제공된 정보를 사용하여 첫 번째 터널에 대한 BGP를 구성합니다.

   ```
   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
   ```

1. 구성 파일의 `IPSec Tunnel #2` 단원에 제공된 정보를 사용하여 두 번째 터널에 대한 BGP를 구성합니다.

   ```
   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
   ```

1. 구성을 저장합니다.

   ```
   save config
   ```

**BGP 정책을 생성하려면**

그런 다음, AWS가 보급한 경로를 가져오도록 허용하는 BGP 정책을 만듭니다. 그런 다음 고객 게이트웨이를 구성하여 AWS로 로컬 경로를 광고합니다.

1. Gaia WebUI에서 [**Advanced Routing**], [**Inbound Route Filters**]를 선택합니다. [**Add**]를 선택하고 [**Add BGP Policy (Based on AS)**]를 선택합니다.

1. **Add BGP Policy(BGP 정책 추가)**의 첫 번째 필드에서 512와 1024 사이의 값을 선택하고 두 번째 필드에 가상 프라이빗 게이트웨이 ASN을 입력합니다(예: `7224`).

1. **저장**을 선택합니다.

**로컬 경로를 알리려면**

다음은 로컬 인터페이스 경로를 배포하기 위한 단계입니다. 정적 경로 또는 동적 라우팅 프로토콜을 통해 얻은 경로와 같은 다양한 소스의 경로도 재배포할 수 있습니다. 자세한 정보는 [Gaia Advanced Routing R77 Versions Administration Guide](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm) 단원을 참조하십시오.

1. Gaia WebUI에서 [**Advanced Routing**], [**Routing Redistribution**]을 선택합니다. **Add Redistribution From**을 선택하고 **Interface**를 선택합니다

1. **To Protocol**에서 가상 프라이빗 게이트웨이 ASN을 선택합니다(예: `7224`).

1. [**Interface**]에서 내부 인터페이스를 선택합니다. **저장**을 선택합니다.

**새 네트워크 객체를 정의하려면**

그런 다음, 가상 프라이빗 게이트웨이에 퍼블릭(외부) IP 주소를 지정하여 각 VPN 터널에 대한 네트워크 객체를 생성합니다. 나중에 이 네트워크 객체를 VPN 커뮤니티를 위한 위성 게이트웨이로 추가합니다. VPN 도메인의 자리 표시자 역할을 하는 빈 그룹도 생성해야 합니다.

1. Check Point SmartDashboard를 엽니다.

1. [**Groups**]에서 컨텍스트 메뉴를 열고 [**Groups**], [**Simple Group**]을 선택합니다. 각 네트워크 객체에 동일한 그룹을 사용할 수 있습니다.

1. [**Network Objects**]에서 컨텍스트 메뉴를 열고(마우스 오른쪽 버튼 클릭) [**New**], [**Interoperable Device**]를 선택합니다.

1. **이름**에 1단계에서 터널에 지정한 이름을 입력합니다(예: `AWS_VPC_Tunnel_1` 또는 `AWS_VPC_Tunnel_2`).

1. [**IPv4 Address**]에 구성 파일에 제공된 가상 프라이빗 게이트웨이의 외부 IP 주소를 입력합니다(예: `54.84.169.196`). 설정을 저장하고 대화 상자를 닫습니다.  
![\[[Check Point Interoperable Device] 대화 상자\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/check-point-network-device.png)

1. 왼쪽 카테고리 창에서 [choose **Topology**]를 선택합니다.

1. **VPN 도메인** 단원에서 **수동으로 정의**를 선택하고 2단계에서 생성한 빈 단순 그룹을 찾아서 선택합니다. **확인**을 선택합니다.

1. 구성 파일의 `IPSec Tunnel #2` 단원에 제공된 정보로 이 단계를 반복하여 두 번째 네트워크 객체를 생성합니다.

1. 게이트웨이 네트워크 객체로 이동하여 게이트웨이 또는 클러스터 객체를 열고 [**Topology**]를 선택합니다.

1. **VPN 도메인** 단원에서 **수동으로 정의**를 선택하고 2단계에서 생성한 빈 단순 그룹을 찾아서 선택합니다. **확인**을 선택합니다.
**참고**  
구성한 기존 VPN 도메인을 유지할 수 있습니다. 하지만 특히 VPN 도메인이 자동으로 파생된 경우 새로운 VPN 연결에서 사용되거나 제공되는 호스트 및 네트워크가 해당 VPN 도메인에서 선언되지 않았는지 확인하십시오.

**참고**  
클러스터를 사용하는 경우 토폴로지를 편집하고 인터페이스를 클러스터 인터페이스로 정의합니다. 구성 파일에 지정된 IP 주소를 사용합니다.

**VPN 커뮤니티, IKE 및 IPsec 설정을 생성하고 구성하려면**

그런 다음, Check Point 게이트웨이에서 각 터널의 네트워크 객체(상호 운용 가능한 디바이스)를 추가할 VPN 커뮤니티를 생성합니다. IKE(Internet Key Exchange) 및 IPsec 설정도 구성할 수 있습니다.

1. 게이트웨이 속성에서 카테고리 창의 [**IPSec VPN**]을 선택합니다.

1. [**Communities**], [**New**], [**Star Community**]를 선택합니다.

1. 커뮤니티에 이름을 지정한 다음(예: `AWS_VPN_Star`) 카테고리 창에서 [**Center Gateways**]를 선택합니다.

1. [**Add**]를 선택하고 참여 게이트웨이 또는 클러스터를 게이트웨이 목록에 추가합니다.

1. 카테고리 창에서 **Satellite Gateways**, **Add**를 선택하고 이전에 생성한 상호 운용 가능한 디바이스(`AWS_VPC_Tunnel_1` 및 `AWS_VPC_Tunnel_2`)를 참여 게이트웨이 목록에 추가합니다.

1. 카테고리 창에서 [**Encryption**]을 선택합니다. [**Encryption Method**] 단원에서 [**IKEv1 for IPv4 and IKEv2 for IPv6**]를 선택합니다. [**Encryption Suite**] 단원에서 [**Custom**], [**Custom Encryption**]을 선택합니다.
**참고**  
IKEv1 기능의 경우 **IKEv1 for IPv4 and IKEv2 for IPv6** 옵션을 선택해야 합니다.

1. 대화 상자에서 다음과 같이 암호화 속성을 구성하고 구성을 완료하면 **확인**을 선택합니다.
   + IKE 보안 연결(1단계) 속성:
     + [**Perform key exchange encryption with**]: AES-128
     + [**Perform data integrity with**]: SHA-1
   + IPsec 보안 연결(2단계) 속성:
     + [**Perform IPsec data encryption with**]: AES-128
     + [**Perform data integrity with**]: SHA-1

1. 카테고리 창에서 [**Tunnel Management**]를 선택합니다. [**Set Permanent Tunnels**], [**On all tunnels in the community**]를 선택합니다. [**VPN Tunnel Sharing**] 단원에서 [**One VPN tunnel per Gateway pair**]를 선택합니다.

1. 카테고리 창에서 [**Advanced Settings**]를 확장하고 [**Shared Secret**]을 선택합니다.

1. 첫 번째 터널의 피어 이름을 선택하고 **편집**을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 `IPSec Tunnel #1` 단원에 입력합니다.

1. 두 번째 터널의 피어 이름을 선택하고 **편집**을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 `IPSec Tunnel #2` 단원에 입력합니다.  
![\[[Check Point Interoperable Shared Secret] 대화 상자\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. 여전히 **Advanced Settings** 카테고리에서 **Advanced VPN Properties**를 선택하고 다음과 같이 속성을 구성한 후 구성을 완료하면 **확인**을 선택합니다.
   + IKE(1단계):
     + **Use Diffie-Hellman group**: `Group 2 (1024 bit)`
     + [**Renegotiate IKE security associations every**] `480` [**minutes**]
   + IPsec(2단계):
     + [**Use Perfect Forward Secrecy**] 선택
     + **Use Diffie-Hellman group**: `Group 2 (1024 bit)`
     + [**Renegotiate IPsec security associations every**] `3600` [**seconds**]

**방화벽 규칙을 생성하려면**

그런 다음, VPC와 로컬 네트워크 간에 통신을 허용하는 방화벽 규칙 및 방향 일치 규칙을 사용하여 정책을 구성합니다. 그런 다음 게이트웨이에 정책을 설치합니다.

1. SmartDashboard에서 게이트웨이에 대한 [**Global Properties**]를 선택합니다. 카테고리 창에서 [**VPN**]을 확장하고 [**Advanced**]를 선택합니다.

1. [**Enable VPN Directional Match in VPN Column**]을 선택하고 [**OK**]를 선택합니다.

1. SmartDashboard에서 [**Firewall**]을 선택하고 다음 규칙을 사용하여 정책을 생성합니다.
   + 필수 프로토콜을 통해 VPC 서브넷이 로컬 네트워크와 통신할 수 있도록 허용합니다.
   + 필수 프로토콜을 통해 로컬 네트워크가 VPC 서브넷과 통신할 수 있도록 허용합니다.

1. VPN 열의 셀에 대한 컨텍스트 메뉴를 열고 [**Edit Cell**]을 선택합니다.

1. [**VPN Match Conditions**] 대화 상자에서 [**Match traffic in this direction only**]를 선택합니다. 각각에 대해 **추가**를 선택하여 다음과 같은 방향 일치 규칙을 생성하고 생성을 완료하면 **확인**을 선택합니다.
   + `internal_clear` > VPN 커뮤니티(이전에 생성한 VPN 항성 커뮤니티, 예: `AWS_VPN_Star`)
   + VPN 커뮤니티 > VPN 커뮤니티
   + VPN 커뮤니티 > `internal_clear`

1. SmartDashboard에서 [**Policy**], [**Install**]을 선택합니다.

1. 대화 상자에서 게이트웨이를 선택하고 [**OK**]를 선택하여 정책을 설치합니다.

**tunnel\$1keepalive\$1method 속성을 변경하려면**

Check Point 게이트웨이는 DPD(Dead Peer Detection)를 사용하여 IKE 연결이 가동 중지되는 시간을 식별할 수 있습니다. 영구 터널에 대해 DPD를 구성하려면 AWS VPN 커뮤니티에서 영구 터널을 구성해야 합니다.

기본적으로 VPN 게이트웨이의 `tunnel_keepalive_method` 속성은 `tunnel_test`로 설정됩니다. 값을 `dpd`로 변경해야 합니다. 타사 VPN 게이트웨이를 포함하여 DPD 모니터링이 필요한 VPN 커뮤니티의 각 VPN 게이트웨이는 `tunnel_keepalive_method` 속성으로 구성해야 합니다. 동일한 게이트웨이에 대해 다른 모니터링 메커니즘을 구성할 수 없습니다.

GuiDBedit 도구를 사용하여 `tunnel_keepalive_method` 속성을 업데이트할 수 있습니다.

1. Check Point SmartDashboard를 열고 [**Security Management Server**], [**Domain Management Server**]를 선택합니다.

1. [**File**], [**Database Revision Control...**]을 선택하고 변경된 버전 스냅샷을 생성합니다.

1. SmartDashboard, SmartView Tracker 및 SmartView Monitor 등 모든 SmartConsole 창을 닫습니다.

1. GuiBDedit 도구를 시작합니다. 자세한 정보는 Check Point Support Center의 [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) 문서를 참조하십시오.

1. [**Security Management Server**], [**Domain Management Server**]를 선택합니다.

1. 왼쪽 상단 창에서 [**Table**], [**Network Objects**], [**network\$1objects**]를 선택합니다.

1. 오른쪽 상단 창에서 관련된 [**Security Gateway**], [**Cluster**] 객체를 선택합니다.

1. CTRL\$1F를 누르거나 [**Search**] 메뉴를 사용하여 다음 `tunnel_keepalive_method`를 검색합니다.

1. 아래쪽 창에서 `tunnel_keepalive_method`에 대한 컨텍스트 메뉴를 열고 [**Edit...**]를 선택합니다. **dpd**, **확인**을 선택합니다.

1.  AWS VPN 커뮤니티에 포함된 각 게이트웨이에 대해 7\$19단계를 반복합니다.

1. [**File**], [**Save All**]을 선택합니다.

1. GuiDBedit 도구를 닫습니다.

1. Check Point SmartDashboard를 열고 [**Security Management Server**], [**Domain Management Server**]를 선택합니다.

1. 관련된 [**Security Gateway**], [**Cluster**] 객체에 정책을 설치합니다.

자세한 정보는 Check Point Support Center의 [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746) 문서를 참조하십시오.

**TCP MSS 클램핑을 활성화하려면**

TCP MSS 클램핑은 TCP 패키지의 최대 세그먼트 크기를 축소하여 패킷 조각화를 방지합니다.

1. 다음 디렉터리로 이동합니다. `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\` 

1. `GuiDBEdit.exe` 파일을 실행하여 Check Point Database Tool을 엽니다.

1. [**Table**], [**Global Properties**], [**properties**]를 선택합니다.

1. `fw_clamp_tcp_mss`에 대해 [**Edit**]을 선택합니다. 값을 `true`로 변경하고 **확인**을 선택합니다.

**터널 상태를 확인하려면**  
전문가 모드의 명령줄 도구에서 다음 명령을 실행하여 터널 상태를 확인할 수 있습니다.

```
vpn tunnelutil
```

다음에 표시되는 옵션에서 **1**을 선택하여 IKE 연결을 확인하고 **2**를 선택하여 IPsec 연결을 확인합니다.

Check Point Smart Tracker Log를 사용하여 연결을 통해 패킷이 암호화되는지도 확인할 수 있습니다. 예를 들어 다음 로그는 VPC로 이동하는 패킷이 터널 1을 통해 전송되었고 암호화되었음을 나타냅니다.

![\[Check Point 로그 파일\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

SonicOS 관리 인터페이스를 사용하여 SonicWALL 디바이스를 구성할 수 있습니다. 터널 구성에 대한 자세한 내용은 [AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 정적 라우팅 구성](cgw-static-routing-example-interface.md) 단원을 참조하십시오.

관리 인터페이스로는 디바이스에 대해 BGP를 구성할 수 없습니다. 그 대신에 **BGP**라는 섹션에서 예시 구성 파일에 제공된 명령줄 지침을 사용해야 합니다.

------

## Cisco 디바이스: 추가 정보
<a name="cgw-dynamic-routing-examples-cisco"></a>

일부 Cisco ASA는 액티브/스탠바이 모드만 지원합니다. 이런 Cisco ASA를 사용할 때는 액티브 터널이 한 번에 한 개만 있을 수 있습니다. 첫 번째 터널을 사용할 수 없으면 다른 스탠바이 터널이 활성화됩니다. 이런 중복성을 사용할 때는 항상 터널 중 하나를 통해 VPC에 연결되어 있어야 합니다.

Cisco ASA 9.7.1 이상 버전은 액티브/액티브 모드를 지원합니다. 이런 Cisco ASA를 사용할 때는 동시에 두 터널을 활성화할 수 있습니다. 이런 중복성을 사용할 때는 항상 터널 중 하나를 통해 VPC에 연결되어 있어야 합니다.

Cisco 디바이스의 경우 다음을 수행해야 합니다.
+ 외부 인터페이스를 구성합니다.
+ Crypto ISAKMP Policy Sequence 번호가 고유한지 확인합니다.
+ Crypto List Policy Sequence 번호가 고유한지 확인합니다.
+ Crypto IPsec Transform Set와 Crypto ISAKMP Policy Sequence가 디바이스에 구성된 다른 모든 IPsec 터널과 일치하는지 확인합니다.
+ SLA 모니터링 번호가 고유한지 확인합니다.
+ 고객 게이트웨이 디바이스와 로컬 네트워크 사이에서 트래픽을 이동하는 모든 내부 라우팅을 구성합니다.

## Juniper 디바이스: 추가 정보
<a name="cgw-dynamic-routing-examples-juniper"></a>

다음 정보는 Juniper J-Series 및 SRX 고객 게이트웨이 디바이스의 구성 파일 예제에 적용됩니다.
+ 외부 인터페이스는 *ge-0/0/0.0*으로 지칭됩니다.
+ 터널 인터페이스 ID를 *st0.1* 및 *st0.2*라고 합니다.
+ 업링크 인터페이스의 보안 영역을 식별합니다(구성 정보는 기본 "untrust" 영역을 사용).
+ 내부 인터페이스의 보안 영역을 식별합니다(구성 정보는 기본 "trust" 영역을 사용).