사용자 VPN(지점 및 사이트 간) 개념
다음 문서에서는 Virtual WAN 사용자 VPN P2S(지점 및 사이트 간) 구성 및 게이트웨이와 관련된 개념 및 고객이 구성할 수 있는 옵션에 대해 설명합니다. 이 문서는 P2S VPN 서버 구성 개념에 대한 섹션 및 P2S VPN 게이트웨이 개념에 대한 섹션을 포함하여 여러 섹션으로 나뉩니다.
VPN 서버 구성 개념
VPN 서버 구성은 사용자를 인증하고 IP 주소를 할당하고 트래픽을 암호화하는 데 사용되는 인증, 암호화 및 사용자 그룹 매개 변수를 정의합니다. P2S 게이트웨이는 P2S VPN 서버 구성과 연결됩니다.
일반적인 개념
| 개념 | 설명 | 참고 |
|---|---|---|
| 터널 유형 | P2S VPN 게이트웨이와 연결 사용자 간에 사용되는 프로토콜입니다. | 사용 가능한 매개 변수: IKEv2, OpenVPN 또는 둘 다. IKEv2 서버 구성의 경우 RADIUS 및 인증서 기반 인증만 사용할 수 있습니다. Open VPN 서버 구성의 경우 RADIUS, 인증서 기반 및 Microsoft Entra ID 기반 인증을 사용할 수 있습니다. 또한 동일한 서버 구성의 여러 인증 방법(예: 동일한 구성의 인증서 및 RADIUS)은 OpenVPN에 대해서만 지원됩니다. 또한 IKEv2는 프로토콜 수준이 255개 경로로 제한되지만 OpenVPN은 1000개 경로로 제한됩니다. |
| 사용자 지정 IPsec 매개 변수 | IKEv2를 사용하는 게이트웨이에 대해 P2S VPN Gateway에서 사용하는 암호화 매개 변수입니다. | 사용 가능한 매개 변수는 지점 및 사이트 간 VPN에 대한 사용자 지정 IPsec 매개 변수를 참조하세요. 이 매개 변수는 OpenVPN 인증을 사용하는 게이트웨이에는 적용되지 않습니다. |
Azure 인증서 인증 개념
다음 개념은 인증서 기반 인증을 사용하는 서버 구성과 관련이 있습니다.
| 개념 | 설명 | 참고 |
|---|---|---|
| 루트 인증서 이름 | Azure에서 고객 루트 인증서를 식별하는 데 사용하는 이름입니다. | 모든 이름으로 구성할 수 있습니다. 여러 루트 인증서를 가질 수 있습니다. |
| 공용 인증서 데이터 | 클라이언트 인증서가 발급되는 루트 인증서입니다. | 루트 인증서 공용 데이터에 해당하는 문자열을 입력합니다. 루트 인증서 공용 데이터를 가져오는 방법에 대한 예제는 인증서 생성에 대한 다음 문서의 8단계를 참조하세요. |
| 해지된 인증서 | Azure에서 해지할 인증서를 식별하는 데 사용하는 이름입니다. | 모든 이름으로 구성할 수 있습니다. |
| 해지된 인증서 지문 | 게이트웨이에 연결할 수 없는 최종 사용자 인증서의 지문입니다. | 이 매개 변수에 대한 입력은 하나 이상의 인증서 지문입니다. 모든 사용자 인증서는 개별적으로 해지해야 합니다. 중간 인증서 또는 루트 인증서를 해지해도 모든 자식 인증서가 자동으로 해지되지는 않습니다. |
RADIUS 인증 개념
P2S VPN Gateway가 RADIUS 기반 인증을 사용하도록 구성된 경우 P2S VPN Gateway는 NPS(네트워크 정책 서버) 프록시 역할을 하여 인증 요청을 고객 RADIUS 서버에 전달합니다. 게이트웨이는 하나 또는 두 개의 RADIUS 서버를 사용하여 인증 요청을 처리할 수 있습니다. 인증 요청은 여러 개가 제공된 경우 RADIUS 서버 간에 자동으로 부하가 분산됩니다.
| 개념 | 설명 | 참고 |
|---|---|---|
| 주 서버 비밀 | RADIUS 프로토콜에서 암호화하는 데 사용되는 고객의 주 RADIUS 서버에 구성된 서버 비밀입니다. | 모든 공유 비밀 문자열입니다. |
| 주 서버 IP 주소 | RADIUS 서버의 개인 IP 주소 | 이 IP는 가상 허브에서 연결할 수 있는 개인 IP여야 합니다. RADIUS 서버를 호스트하는 연결이 게이트웨이를 사용하여 허브의 defaultRouteTable로 전파되는지 확인합니다. |
| 보조 서버 비밀 | RADIUS 프로토콜에서 암호화하는 데 사용되는 두 번째 RADIUS 서버에 구성된 서버 비밀입니다. | 제공된 공유 비밀 문자열입니다. |
| 보조 서버 IP 주소 | RADIUS 서버의 개인 IP 주소 | 이 IP는 가상 허브에서 연결할 수 있는 개인 IP여야 합니다. RADIUS 서버를 호스트하는 연결이 게이트웨이를 사용하여 허브의 defaultRouteTable로 전파되는지 확인합니다. |
| RADIUS 서버 루트 인증서 | RADIUS 서버 루트 인증서 공용 데이터입니다. | 이 필드는 선택적입니다. RADIUS 루트 인증서 공용 데이터에 해당하는 문자열을 입력합니다. 여러 루트 인증서를 입력할 수 있습니다. 인증을 위해 제시된 모든 클라이언트 인증서는 지정된 루트 인증서에서 발급되어야 합니다. 인증서 공용 데이터를 가져오는 방법에 대한 예제는 인증서 생성에 대한 다음 문서의 8단계를 참조하세요. |
| 해지된 클라이언트 인증서 | 해지된 RADIUS 클라이언트 인증서의 지문입니다. 해지된 인증서를 제공하는 클라이언트는 연결할 수 없습니다. | 이 필드는 선택적입니다. 모든 사용자 인증서는 개별적으로 해지해야 합니다. 중간 인증서 또는 루트 인증서를 해지해도 모든 자식 인증서가 자동으로 해지되지는 않습니다. |
Microsoft Entra 인증 개념
다음 개념은 Microsoft Entra ID 기반 인증을 사용하는 서버 구성과 관련이 있습니다. Microsoft Entra ID 기반 인증은 터널 유형이 OpenVPN인 경우에만 사용할 수 있습니다.
| 개념 | 설명 | 사용 가능한 매개 변수 |
|---|---|---|
| 대상 | Microsoft Entra 테넌트에 등록된 Azure VPN 엔터프라이즈 애플리케이션의 애플리케이션 ID입니다. | 테넌트에서 Azure VPN 애플리케이션을 등록하고 애플리케이션 ID를 찾는 방법에 대한 자세한 내용은 P2S 사용자 VPN OpenVPN 프로토콜 연결에 대한 테넌트 구성을 참조하세요. |
| Issuer | Active Directory에 연결된 STS(보안 토큰 서비스)에 해당하는 전체 URL입니다. | 다음 형식의 문자열: https://sts.windows.net/<your Directory ID>/ |
| Microsoft Entra 테넌트 | 게이트웨이에서 인증에 사용되는 Active Directory 테넌트 에 해당하는 전체 URL입니다. | Active Directory 테넌트가 배포되는 클라우드에 따라 다릅니다. 클라우드별 세부 정보는 아래를 참조하세요. |
Microsoft Entra 테넌트 ID
다음 표에서는 배포된 클라우드 Microsoft Entra ID를 기반으로 하는 Microsoft Entra URL의 형식을 설명합니다.
| 클라우드 | 매개 변수 형식 |
|---|---|
| Azure 퍼블릭 클라우드 | https://login.microsoftonline.com/{AzureAD TenantID} |
| Azure Government 클라우드 | https://login.microsoftonline.us/{AzureAD TenantID} |
| 중국 21Vianet 클라우드 | https://login.chinacloudapi.cn/{AzureAD TenantID} |
사용자 그룹(다중 풀) 개념
다음 개념은 Virtual WAN의 사용자 그룹(다중 풀)과 관련된 것입니다. 사용자 그룹을 사용하면 자격 증명에 따라 사용자를 연결하는 데 서로 다른 IP 주소를 할당할 수 있으므로 워크로드를 보호하도록 ACL(액세스 제어 목록) 및 방화벽 규칙을 구성할 수 있습니다. 자세한 내용 및 예제는 다중 풀 개념을 참조하세요.
서버 구성에는 그룹 정의가 포함되며, 이 경우 그룹은 게이트웨이에서 서버 구성 그룹을 IP 주소에 매핑하는 데 사용됩니다.
| 개념 | 설명 | 참고 |
|---|---|---|
| 사용자 그룹/정책 그룹 | 사용자 그룹 또는 정책 그룹은 동일한 주소 풀의 IP 주소를 할당받아야 하는 사용자 그룹의 논리적 표현입니다. | 자세한 내용은 사용자 그룹 정보를 참조하세요. |
| 기본 그룹 | 사용자가 사용자 그룹 기능을 사용하여 게이트웨이에 연결하려고 하면 게이트웨이에 할당된 그룹과 일치하지 않는 사용자는 자동으로 기본 그룹의 일부로 간주되고 해당 그룹에 연결된 IP 주소가 할당됩니다. | 서버 구성의 각 그룹을 기본 그룹 또는 기본 그룹이 아닌 그룹으로 지정할 수 있으며, 이 설정은 그룹을 만든 후에는 변경할 수 없습니다. 할당된 서버 구성에 여러 기본 그룹이 있는 경우에도 정확히 하나의 기본 그룹을 각 P2S VPN 게이트웨이에 할당할 수 있습니다. |
| 그룹 우선 순위 | 여러 그룹이 게이트웨이에 할당된 경우 연결 사용자는 여러 그룹과 일치하는 자격 증명을 표시할 수 있습니다. Virtual WAN은 우선 순위 순서로 게이트웨이에 할당된 그룹을 처리합니다. | 우선 순위는 양의 정수이며 숫자 우선 순위가 낮은 그룹이 먼저 처리됩니다. 모든 그룹에는 고유한 우선 순위가 있어야 합니다. |
| 그룹 설정/구성원 | 사용자 그룹은 멤버로 구성됩니다. 구성원은 개별 사용자에 해당하는 것이 아니라 연결하는 사용자가 속한 그룹을 결정하는 데 사용되는 조건/일치 조건을 정의합니다. 그룹이 게이트웨이에 할당되면 해당 자격 증명이 그룹의 구성원 중 하나에 대해 지정된 조건과 일치하는 연결 사용자는 해당 그룹의 일부로 간주되며 적절한 IP 주소를 할당할 수 있습니다. | 사용 가능한 조건의 전체 목록은 사용 가능한 그룹 설정을 참조하세요. |
게이트웨이 구성 개념
다음 섹션에서는 P2S VPN Gateway와 관련된 개념을 설명합니다. 모든 게이트웨이는 하나의 VPN 서버 구성과 연결되며 다른 많은 구성 가능한 옵션이 있습니다.
일반 게이트웨이 개념
| 개념 | 설명 | 참고 |
|---|---|---|
| 게이트웨이 배율 단위 | 게이트웨이 배율 단위는 P2S VPN Gateway에서 지원할 수 있는 집계 처리량 및 동시 사용자 수를 정의합니다. | 게이트웨이 배율 단위의 범위는 1~200개이며 게이트웨이당 500~100,000명의 사용자를 지원합니다. |
| P2S 서버 구성 | P2S VPN Gateway가 들어오는 사용자를 인증하는 데 사용하는 인증 매개 변수를 정의합니다. | Virtual WAN 게이트웨이에 연결된 모든 P2S 서버 구성입니다. 게이트웨이가 이를 참조하려면 서버 구성을 성공적으로 만들어야 합니다. |
| 라우팅 기본 설정 | Azure와 인터넷 간에 트래픽이 라우팅되는 방법을 선택할 수 있습니다. | Microsoft 네트워크를 통해 또는 ISP 네트워크(공용 인터넷)를 통해 트래픽을 라우팅하도록 선택할 수 있습니다. 이 설정에 대한 자세한 내용은 라우팅 기본 설정이란?을 참조하세요. 게이트웨이를 만든 후에는 이 설정을 수정할 수 없습니다. |
| 사용자 지정 DNS 서버 | 사용자를 연결하는 DNS 서버의 IP 주소는 DNS 요청을 전달해야 합니다. | 모든 라우팅 가능한 IP 주소입니다. |
| 기본 경로 전파 | Virtual WAN 허브가 0.0.0.0/0 기본 경로(기본 경로 테이블의 고정 경로 또는 온-프레미스에서 보급된 0.0.0.0/0)로 구성된 경우 이 설정은 0.0.0.0/0 경로가 연결 사용자에게 보급되는지 여부를 제어합니다. | 이 필드는 참 또는 거짓으로 설정할 수 있습니다.. |
RADIUS 관련 개념
| 개념 | 설명 | 참고 |
|---|---|---|
| 원격/온-프레미스 RADIUS 서버 설정 사용 | Virtual WAN에서 온-프레미스에서 또는 다른 가상 허브에 연결된 Virtual Network에서 호스트되는 RADIUS 서버로 RADIUS 인증 패킷을 전달할 수 있는지 여부를 제어합니다. | 이 설정에는 true 또는 false의 두 값이 있습니다. Virtual WAN이 RADIUS 기반 인증을 사용하도록 구성된 경우 Virtual WAN P2S 게이트웨이는 RADIUS 서버에 인증 요청을 보내는 RADIUS 프록시 역할을 합니다. 이 설정(true인 경우)을 사용하면 Virtual WAN 게이트웨이가 온-프레미스 또는 다른 허브에 연결된 Virtual Network에 배포된 RADIUS 서버와 통신할 수 있습니다. false이면 Virtual WAN에서 게이트웨이를 사용하여 허브에 연결된 Virtual Networks에서 호스트되는 RADIUS 서버와만 인증할 수 있습니다. |
| RADIUS 프록시 IP | P2S VPN 게이트웨이에서 RADIUS 서버로 보낸 RADIUS 인증 패킷에는 RADIUS 프록시 IP의 필드에 지정된 원본 IP가 있습니다. 이러한 IP는 RADIUS 서버에서 RADIUS 클라이언트로 허용 목록에 있어야 합니다. | 이 매개 변수는 직접 구성할 수 없습니다. '원격/온-프레미스 RADIUS 서버 사용'이 true로 설정된 경우 RADIUS 프록시 IP는 게이트웨이에 지정된 클라이언트 주소 풀의 IP 주소로 자동으로 구성됩니다. 이 설정이 false이면 IP는 허브 주소 공간 내의 IP 주소입니다. RADIUS 프록시 IP는 P2S VPN 게이트웨이 페이지의 Azure Portal에서 찾을 수 있습니다. |
연결 구성 개념
P2S VPN Gateway에 하나 이상의 연결 구성이 있을 수 있습니다. 각 연결 구성에는 라우팅 구성이 있으며(주의 사항은 아래 참조) 동일한 주소 풀의 IP 주소가 할당된 사용자의 그룹 또는 세그먼트를 나타냅니다.
| 개념 | 설명 | 참고 |
|---|---|---|
| 구성 이름 | P2S VPN 구성의 이름 | 모든 이름을 제공할 수 있습니다. 사용자 그룹/다중 풀 기능을 활용하는 경우 게이트웨이에 둘 이상의 연결 구성을 사용할 수 있습니다. 이 기능을 사용하지 않는 경우 게이트웨이당 구성이 하나만 있을 수 있습니다. |
| 사용자 그룹 | 구성에 해당하는 사용자 그룹 | VPN Server 구성에서 참조되는 모든 사용자 그룹입니다. 이 매개 변수는 선택 사항입니다. 자세한 내용은 사용자 그룹 정보를 참조하세요. |
| 주소 풀 | 주소 풀은 연결하는 사용자에게 할당된 개인 IP 주소입니다. | 주소 풀은 가상 허브 주소 공간, Virtual WAN 연결된 Virtual Network에서 사용되는 IP 주소 또는 온-프레미스에서 보급된 주소와 겹치지 않는 CIDR 블록으로 지정할 수 있습니다. 게이트웨이에 지정된 배율 단위에 따라 둘 이상의 CIDR 블록이 필요할 수 있습니다. 자세한 내용은 주소 풀 정보를 참조하세요. |
| 회람 구성 | Virtual Hub에 대한 모든 연결에는 연결이 연결된 경로 테이블과 경로 테이블이 전파하는 경로 테이블을 정의하는 라우팅 구성이 있습니다. | 동일한 허브(ExpressRoute, VPN, NVA)에 대한 모든 분기 연결은 defaultRouteTable에 연결하고 동일한 경로 테이블 집합에 전파해야 합니다. 분기 연결에 대해 다른 전파가 있으면 Virtual WAN이 한 분기에 대한 라우팅 구성을 선택하고 모든 분기에 적용하므로 예기치 않은 라우팅 동작이 발생할 수 있으므로 온-프레미스에서 학습된 경로입니다. |
다음 단계
다음 단계를 위해 여기에 몇 가지 문서에 대한 링크를 추가합니다.