다음을 통해 공유


Azure Portal을 사용하여 사이트 간 연결 및 ExpressRoute 공존 연결 구성

이 문서에서는 공존하는 ExpressRoute 및 사이트 간 VPN 연결을 구성합니다. 사이트 간 VPN 및 ExpressRoute를 구성하는 기능이 있으면 여러 장점이 있습니다. 사이트 간 VPN을 ExpressRoute의 보안 장애 조치 경로로 구성하거나, 사이트 간 VPN을 사용하여 ExpressRoute를 통해 연결되지 않은 사이트에 연결할 수 있습니다. 이 문서에서는 두 시나리오를 모두 구성하는 단계를 설명합니다. 이 문서는 Resource Manager 배포 모델에 적용됩니다.

사이트 간 VPN과 ExpressRoute가 공존하는 연결을 구성하면 여러 장점이 있습니다.

  • 사이트 간 VPN을 ExpressRoute에 대한 안전한 장애 조치(failover) 경로로 구성할 수 있습니다.
  • 또는 사이트 간 VPN을 사용하여 ExpressRoute를 통해 연결되어 있지 않은 사이트에 연결할 수 있습니다.

이 문서에서는 두 시나리오를 모두 구성하는 단계를 설명합니다. 어떤 게이트웨이를 먼저 구성해도 상관 없습니다. 일반적으로 새 게이트웨이 또는 게이트웨이 연결을 추가할 때 가동 중지 시간이 발생하지 않습니다.

참고 항목

  • ExpressRoute 연결을 통해 사이트 간 VPN을 만들려면 Microsoft 피어링을 통해 사이트-사이트를 참조하세요.
  • ExpressRoute-VPN Gateway 공존의 경우 ExpressRoute를 이미 배포한 경우 ExpressRoute를 만드는 필수 구성 요소이므로 가상 네트워크 및 게이트웨이 서브넷을 만들 필요가 없습니다.
  • 암호화된 Express Route Gateway의 경우 MSS 클램핑은 Azure VPN Gateway를 통해 수행되어 TCP 패킷 크기를 1250바이트로 고정합니다.

제한 및 제한 사항

  • 경로 기반 VPN Gateway만 지원됩니다. 경로 기반 VPN 게이트웨이를 사용해야 합니다. 여러 정책 기반 VPN 디바이스에 연결에 설명된 대로 '정책 기반 트래픽 선택기'용으로 구성된 VPN 연결을 통해 경로 기반 VPN 게이트웨이를 사용할 수도 있습니다.
  • ExpressRoute-VPN Gateway 공존 구성은 기본 SKU에서 지원되지 않습니다.
  • ExpressRoute와 VPN Gateway가 모두 제대로 작동하려면 BGP를 통해 서로 통신할 수 있어야 합니다. 게이트웨이 서브넷에서 UDR을 사용하는 경우 게이트웨이 서브넷 범위 자체에 대한 경로가 BGP 트래픽을 방해할 수 있으므로 포함되지 않은지 확인합니다.
  • ExpressRoute와 VPN 간의 전송 라우팅을 사용하려면 Azure VPN Gateway의 ASN을 65515로 설정해야 합니다. Azure VPN Gateway는 BGP 라우팅 프로토콜을 지원합니다. ExpressRoute와 Azure VPN이 함께 작동하려면 Azure VPN 게이트웨이의 자율 시스템 번호를 기본값인 65515로 유지해야 합니다. 이전에 65515 이외의 ASN을 선택하고 설정을 65515로 변경하는 경우 설정을 적용하려면 VPN 게이트웨이를 다시 설정해야 합니다.
  • 게이트웨이 서브넷은 /27 또는 더 짧은 접두사(예: /26, /25)여야 합니다. 그렇지 않으면 ExpressRoute 가상 네트워크 게이트웨이를 추가할 때 오류 메시지가 표시됩니다.

구성 디자인

사이트 간 VPN을 ExpressRoute에 대한 장애 조치(failover) 경로로 구성

ExpressRoute에 대한 백업으로 사이트 간 VPN 연결을 구성할 수 있습니다. 이 연결은 Azure 프라이빗 피어링 경로에 연결된 가상 네트워크에만 적용됩니다. Azure Microsoft 피어링을 통해 액세스할 수 있는 서비스에 대한 VPN 기반 장애 조치(failover) 솔루션은 없습니다. ExpressRoute 회로는 항상 기본 링크입니다. ExpressRoute 회로가 실패하면 데이터는 사이트 간 VPN 경로를 통해 전송됩니다. 비대칭 라우팅을 방지하려면 로컬 네트워크 구성에서 사이트 간 VPN을 통한 ExpressRoute 회로를 사용해야 합니다. ExpressRoute를 수신한 경로에 대해 더 높은 로컬 기본 설정을 설정하여 ExpressRoute 경로를 사용할 수 있습니다.

참고

ExpressRoute Microsoft 피어링을 사용하도록 설정한 경우 ExpressRoute 연결에서 Azure VPN 게이트웨이의 공용 IP 주소를 받을 수 있습니다. 사이트 간 VPN 연결을 백업으로 설정하려면 VPN 연결을 인터넷으로 라우팅하도록 온-프레미스 네트워크를 구성해야 합니다.

참고

두 경로가 동일한 경우 사이트 간 VPN보다 ExpressRoute 회로가 사용되며, Azure는 가장 긴 접두사 일치 항목을 사용하여 패킷의 대상에 대한 경로를 선택합니다.

ExpressRoute에 대한 백업으로 사용되는 사이트 간 VPN 연결의 다이어그램

사이트 간 VPN을 구성하여 ExpressRoute를 통해 연결되지 않은 사이트에 연결

일부 사이트는 사이트 간 VPN을 통해 Azure에 직접 연결하고 일부 사이트는 ExpressRoute를 통해 연결된 네트워크를 구성할 수 있습니다.

서로 다른 두 사이트에 대한 ExpressRoute 연결과 함께 존재하는 사이트 간 VPN 연결의 다이어그램

사용할 단계 선택

두 가지 절차 중에서 선택할 수 있습니다. 연결할 기존 가상 네트워크가 있는지 아니면 새 가상 네트워크를 만들 것인지에 따라 구성 절차를 선택합니다.

  • VNet이 없어서 만들어야 하는 경우

    가상 네트워크가 아직 없는 경우 이 절차에서는 Resource Manager 배포 모델을 사용하여 새 가상 네트워크를 만들고 새 ExpressRoute 및 사이트 간 VPN 연결을 만드는 과정을 안내합니다. 가상 네트워크를 구성하려면 새 가상 네트워크 및 공존 연결을 만들려면 섹션의 단계를 따릅니다.

  • 이미 Resource Manager 배포 모델 VNet이 있는 경우

    기존 사이트 간 VPN 또는 ExpressRoute에 연결된 가상 네트워크가 이미 있을 수 있습니다. 이 시나리오에서 게이트웨이 서브넷 접두사가 /28 이상(/29, /30 등)이면 기존 게이트웨이를 삭제해야 합니다. 기존 VNet에 대해 공존 연결을 구성하려면 섹션에서는 게이트웨이를 삭제한 다음 새 ExpressRoute 및 사이트 간 VPN 연결을 만드는 과정을 안내합니다.

    게이트웨이를 삭제하고 다시 만드는 경우 프레미스 간 연결에 대한 가동 중지 시간을 갖습니다. 그러나 VM 및 서비스는 그렇게 구성된 경우 게이트웨이를 구성하는 동안 부하 분산 장치를 통해 통신할 수 있습니다.

새 가상 네트워크 및 공존 연결을 만들려면 다음을 수행합니다.

이 절차에서는 공존하는 VNet과 사이트 간 연결 및 ExpressRoute 연결을 만드는 방법을 안내합니다.

  1. Azure Portal에 로그인합니다.

  2. 화면의 왼쪽 상단에서 + 리소스 만들기를 선택하고 가상 네트워크를 검색합니다.

  3. 만들기를 선택하여 가상 네트워크 구성을 시작합니다.

    가상 네트워크 만들기 페이지의 스크린샷

  4. 기본 탭에서 가상 네트워크를 저장할 새 리소스 그룹을 선택하거나 만듭니다. 그런 다음 이름을 입력하고 가상 네트워크를 배포할 지역을 선택합니다. 다음: IP 주소 >를 선택하여 주소 공간과 서브넷을 구성합니다.

    가상 네트워크 만들기의 기본 사항 탭 스크린샷

  5. IP 주소 탭에서 가상 네트워크 주소 공간을 구성합니다. 그런 다음 게이트웨이 서브넷을 포함하여 만들려는 서브넷을 정의합니다. 검토 + 만들기를 선택한 다음 만들기*를 선택하여 가상 네트워크를 배포합니다. 가상 네트워크 만들기에 대한 자세한 내용은 가상 네트워크 만들기를 참조하세요. 서브넷 만들기에 대한 자세한 내용은 서브넷 만들기를 참조하세요.

    Important

    게이트웨이 서브넷은 /27 또는 더 짧은 접두사(예: /26 또는 /25)여야 합니다.

    가상 네트워크 만들기의 IP 주소 탭 스크린샷

  6. 사이트 간 VPN 게이트웨이 및 로컬 네트워크 게이트웨이를 만듭니다. VPN Gateway 구성에 대한 자세한 내용은 사이트 간 연결로 VNet 구성을 참조하세요. GatewaySku는 VpnGw1, VpnGw2, VpnGw3, StandardHighPerformance VPN 게이트웨이에 대해서만 지원됩니다. ExpressRoute-VPN Gateway 공존 구성은 기본 SKU에서 지원되지 않습니다. VpnType은 RouteBased여야 합니다.

  7. 새 Azure VPN Gateway에 연결할 로컬 VPN 디바이스를 구성합니다. VPN 디바이스 구성에 대한 자세한 내용은 VPN 디바이스 구성을 참조하세요.

  8. 기존 ExpressRoute 회로에 연결하는 경우 8~9단계를 건너뛰고, 10단계로 이동합니다. ExpressRoute 회로를 구성합니다. ExpressRoute 회로 구성에 대한 자세한 내용은 ExpressRoute 회로 만들기를 참조하세요.

  9. ExpressRoute 회로를 통해 Azure 프라이빗 피어링을 구성합니다. ExpressRoute 회로를 통한 Azure 개인 피어링에 대한 자세한 내용은 피어링 구성을 참조하세요.

  10. + 리소스 만들기를 선택하고 가상 네트워크 게이트웨이를 검색합니다. 다음으로 만들기를 선택합니다.

  11. ExpressRoute 게이트웨이 유형, 적절한 SKU 및 게이트웨이를 배포할 가상 네트워크를 선택합니다.

    ExpressRoute에 대한 가상 네트워크 게이트웨이 만들기의 스크린샷

  12. ExpressRoute 게이트웨이를 ExpressRoute 회로에 연결합니다. 이 단계를 완료하면 ExpressRoute를 통해 온-프레미스 네트워크와 Azure 간의 연결이 설정됩니다. 링크 작업에 대한 자세한 내용은 Vnet을 ExpressRoute에 연결을 참조하세요.

기존 VNet에 대한 공존 연결을 구성하려면 다음을 수행합니다.

가상 네트워크 게이트웨이가 하나밖에 없는 가상 네트워크(예: 사이트 간 VPN 게이트웨이)를 보유하고 있으며 다른 종류의 게이트웨이(예: ExpressRoute 게이트웨이)를 추가하고 싶은 경우 게이트웨이 서브넷 크기를 확인합니다. 게이트웨이 서브넷이 /27 이상이면 다음 단계를 건너뛰고 이전 섹션의 단계에 따라 사이트 간 VPN 게이트웨이 또는 ExpressRoute 게이트웨이를 추가할 수 있습니다. 게이트웨이 서브넷이 /28 또는 /29인 경우 우선 가상 네트워크 게이트웨이를 삭제하고 게이트웨이 서브넷 크기를 늘려야 합니다. 이 섹션에서 단계별 수행 방법을 보여줍니다.

  1. 기존 ExpressRoute 또는 사이트 간 VPN 게이트웨이를 삭제합니다.

  2. /27 이하의 접두사로 GatewaySubnet을 삭제하고 다시 만듭니다.

  3. 사이트 간 연결을 사용하여 VNet을 구성한 다음 ExpressRoute 게이트웨이를 구성합니다.

  4. ExpressRoute 게이트웨이가 배포되면 가상 네트워크를 ExpressRoute 회로에 연결할 수 있습니다.

VPN Gateway에 지점 및 사이트 간 구성을 추가하려면

Azure 인증서 인증을 사용하여 지점 및 사이트 간 VPN 연결 구성의 지침에 따라 공존하는 세트에 지점 및 사이트 간 구성을 추가할 수 있습니다.

ExpressRoute와 Azure VPN 간의 전송 라우팅을 사용하도록 설정하려면 다음을 수행합니다.

ExpressRoute에 연결된 로컬 네트워크 중 하나와 사이트 간 VPN 연결에 연결된 다른 로컬 네트워크 간에 연결을 사용하도록 설정하려면 Azure Route Server를 설정해야 합니다.

다음 단계

ExpressRoute에 대한 자세한 내용은 ExpressRoute FAQ를 참조하세요.