[AWS] Site-to-Site VPN Concentrator 구성 방법

2025년 11월 19일, AWS는 Site-to-Site VPN에 대해 VPN Concentrator 기능을 정식 출시했습니다. 이 기능은 특히 지점(branch/remote site)이 많고, 각 지점의 대역폭 요구가 낮은(예: 100 Mbps 이하) 경우 예: 전국 단위 지사, 프랜차이즈, 리테일 점포망 등 여러 VPN 연결을 단일 VPN Concentrator + 단일 Transit Gateway Attachment 로 집약할 수 있도록 해 줍니다. 이를 통해 운영 복잡도와 비용을 크게 줄일 수 있습니다.

---

VPN Concentrator란?

• VPN Concentrator는 여러 원격지(온프레미스 지사, 브랜치 등)의 VPN 터널을 하나로 집약할 수 있는 AWS 완전관리형 VPN 엔드포인트입니다. 기존에는 지점마다 별도 VPN 연결을 구성해야 했지만, 이제는 최대 100개 지점까지 하나의 Concentrator에 연결 가능합니다.
• 단, 이 기능은 항상 AWS Transit Gateway (TGW) 와 함께 사용해야 하며, 기존의 Virtual Private Gateway(VGW)나 AWS Cloud WAN 과는 호환되지 않습니다.
• 지원 대역폭은 집계 기준 최대 약 5 Gbps, 각 지점은 최대 100 Mbps 대역폭을 지원하도록 설계되어 있습니다.
• 라우팅은 BGP (동적 라우팅) 만 지원하며, 정적 라우팅은 지원되지 않습니다. 모든 지점은 동일한 Concentrator–TGW Attachment를 통해 라우팅됩니다.

즉, “수십 개 지점을 낮은 대역폭으로 AWS에 연결해야 하는 경우”, “VPN 터널을 많이 관리하기 복잡한 경우”, “운영 효율·비용 절감이 중요한 경우”에 특히 적합한 기능입니다.

구성 절차

아래는 VPN Concentrator를 설정하고 지점을 연결하는 기본적인 순서입니다.

1. 사전 준비

• 기존에 Transit Gateway가 있어야 하며, TGW가 없다면 먼저 생성해야 합니다.
• 각 지점에는 Customer Gateway (CGW) 장비가 있어야 하고, BGP 설정이 가능한지 확인해야 합니다. 왜냐하면 VPN Concentrator가 BGP 기반 동적 라우팅만 지원하기 때문입니다.

2. VPN Concentrator 생성

AWS 콘솔 또는 CLI/API를 통해 생성할 수 있습니다. 콘솔 기준 절차는 다음과 같습니다.

1. VPC 콘솔 → 좌측 메뉴에서 Site-to-Site VPN Concentrators 선택
2. Create Site-to-Site VPN Concentrator 클릭
3. Transit Gateway 선택
4. (선택) 태그 지정 — 예: Name = MyCompany-VPN-Concentrator
5. 생성

CLI 예:

aws ec2 create-vpn-concentrator --transit-gateway-id tgw-0123456789abcdef0 --tag-specifications 'ResourceType=vpn-concentrator,Tags=[{Key=Name,Value=MyVPNConcentrator}]'

 

생성 후에는 상태가 pending이 되며, 잠시 후 available 상태로 바뀝니다. 그러면 VPN 연결을 만들 준비가 됩니다.

3. 원격 지점 (Customer Gateway) 준비

각 지점(분산 사무실, 지사, 리테일 지점 등)에 다음이 준비되어야 합니다:

• 인터넷에 공인 IP
• IPSec + BGP 지원 라우터 또는 VPN 장비
• BGP ASN 및 터널 내부 IP 설정

각 지점마다 별도의 Customer Gateway 리소스를 AWS 쪽에 등록해야 합니다. 이는 기존 Site-to-Site VPN 구성과 동일합니다.

4. VPN 연결 생성 (Concentrator 대상)

Concentrator에 연결하기 위한 새로운 VPN 연결을 생성합니다. 콘솔 기준 절차:

1. Site-to-Site VPN Concentrators에서 해당 Concentrator 선택
2. Create VPN connection 클릭
3. Customer Gateway 선택 또는 새로 생성
4. Target gateway type에서 “Site-to-Site VPN Concentrator” 선택
5. 터널 옵션: IPv4 또는 IPv6, 사전공유키(PSK) 입력 또는 AWS Secrets Manager 사용
6. BGP 설정 (BGP routing mandatory)
7. 생성

이 과정을 각 지점마다 반복하면, 최대 100개의 지점을 하나의 Concentrator + TGW Attachment로 묶을 수 있습니다.

5. 라우팅 및 TGW 연동

Transit Gateway의 라우팅 테이블을 통해 VPC, TGW Attachment, VPN Concentrator Attachment 등을 연결합니다. BGP를 통해 경로나 Prefix가 자동으로 전파되므로 별도의 수동 경로 설정이 필요 없습니다.

필요 시 보안 그룹, NACL, 방화벽 규칙 등을 통해 지점 간 또는 지점↔VPC 간 통신을 제어할 수 있습니다.

6. 연결 확인 및 모니터링

• VPN 터널이 정상 UP 되었는지 확인
• 각 지점의 트래픽 흐름과 대역폭이 설계 범위 (예: ≤ 100 Mbps) 안에 있는지 확인
• TGW Flow Logs 또는 VPN 로그를 활성화해 트래픽 / 보안 모니터링

Concentrator를 통해 연결된 모든 지점은 단일 Attachment를 통해 관리되므로, 모니터링과 운영이 훨씬 단순해집니다.

활용 방법

1. 분산 지사 / 리테일 / 프랜차이즈 환경

예: 전국에 50여 개 지점이 있는 리테일 체인. 각 지점은 50 Mbps 수준의 인터넷 회선을 가지고 있으며, AWS 상의 ERP / 백오피스 / POS 서버에 연결해야 할 경우.

• 기존 방식: 지점마다 별도 Site-to-Site VPN → 관리 복잡, TGW attachment 수 증가, 터널 관리 복잡
• Concentrator 방식: 하나의 VPN Concentrator + 단일 TGW Attachment → 운영 단순화, 비용 절감, 라우팅 통합

2. 브랜치 오피스 + 본사 + 클라우드 자원 통합

예: 여러 지사 + 본사 + AWS VPC 여러 개가 있고, 지사 트래픽은 본사 또는 특정 VPC를 통해만 인터넷 출구를 사용해야 하는 경우.

• Concentrator + TGW + 라우팅 + 보안 그룹/NACL 조합으로 중앙 집중형 네트워크 아키텍처 구성 가능

유의 사항 및 제한점

• 대역폭 제한: 각 지점은 최대 100 Mbps, 전체 집계는 약 5 Gbps (현재 기준)입니다. 고대역폭 지점이 많거나 대용량 트래픽이 있는 경우 적합하지 않을 수 있습니다.
• 라우팅 방식 제한: BGP 기반 동적 라우팅만 지원하며, 정적 라우팅은 지원되지 않습니다.
• Transit Gateway 의존: VPN Concentrator는 TGW 전용이며, VGW 또는 Cloud WAN과는 연동되지 않습니다. 이미 VGW 기반 구조인 경우 재설계가 필요합니다.
• 지연/대기 시간: 저대역폭 지점 여러 곳을 하나로 집약할 경우, 트래픽 몰림이나 지연이 발생할 여지가 있으므로 트래픽 패턴과 용도에 맞춰 설계해야 합니다.
• 장비 호환성: 각 지점의 고객 게이트웨이 장비가 IPSec + BGP를 지원해야 하며, 설정을 일관되게 유지해야 합니다.

---

정리

VPN Concentrator 기능은 특히 지점이 많고 인터넷 회선이 낮은 분산 환경에서 매우 유용한 도구입니다.
단일 VPN 엔드포인트 + TGW 집약 구조로 운영 복잡도를 줄이고, 라우팅과 보안을 일관성 있게 관리할 수 있는 장점이 큽니다.

다만 트래픽 패턴, 대역폭 요구, 라우팅 방식, 지점 장비 호환성 등을 사전에 면밀히 검토해야 하며, 필요하다면 테스트 지점 몇 개로 먼저 PoC(Proof of Concept)를 진행하는 것을 권장합니다.