다음을 통해 공유

P2S 사용자 VPN에 대한 사용자 그룹 및 IP 주소 풀 정보

  • 아티클

사용자 그룹을 만들어 ID 또는 인증 자격 증명에 따라 특정 주소 풀에서 사용자 IP 주소를 할당하도록 P2S 사용자 VPN을 구성할 수 있습니다. 이 문서에서는 Virtual WAN P2S VPN Gateway가 사용자 그룹을 결정하고 IP 주소를 할당하는 데 사용하는 다양한 구성 및 매개 변수에 대해 설명합니다. 구성 단계는 P2S 사용자 VPN에 대한 사용자 그룹 및 IP 주소 풀 구성을 참조하세요.

이 문서에서는 다음 개념을 다룹니다.

  • 서버 구성 개념
    • 사용자 그룹
    • 그룹 멤버
    • 기본 정책 그룹
    • 그룹 우선 순위
    • 사용 가능한 그룹 설정
  • 게이트웨이 개념
  • 구성 요구 사항 및 제한 사항
  • 사용 사례

서버 구성 개념

다음 섹션에서는 서버 구성에 사용되는 일반적인 용어와 값에 대해 설명합니다.

사용자 그룹(정책 그룹)

사용자 그룹 또는 정책 그룹은 동일한 주소 풀의 IP 주소를 할당받아야 하는 사용자 그룹의 논리적 표현입니다.

그룹 멤버(정책 멤버)

사용자 그룹은 멤버로 구성됩니다. 멤버는 개별 사용자에 해당하는 것이 아니라 연결하는 사용자가 속한 그룹을 결정하는 데 사용되는 조건을 정의합니다. 단일 그룹에 여러 멤버가 있을 수 있습니다. 연결하는 사용자가 그룹 멤버 중 하나에 대해 할당된 조건과 일치하는 경우 사용자는 해당 그룹의 일부로 간주되며 적절한 IP 주소를 할당받을 수 있습니다. 사용 가능한 멤버 매개 변수 형식은 VPN 서버 구성에 지정된 인증 방법에 따라 다릅니다. 사용 가능한 조건의 전체 목록은 이 문서의 사용 가능한 그룹 설정 섹션을 참조하세요.

기본 사용자/정책 그룹

모든 P2S VPN 서버 구성에 대해 하나의 그룹을 기본값으로 선택해야 합니다. 그룹 설정과 일치하지 않는 자격 증명을 제시하는 사용자는 기본 그룹의 일부로 간주됩니다. 그룹이 만들어지면 해당 그룹의 기본 설정을 변경할 수 없습니다.

그룹 우선 순위

각 그룹에는 숫자 우선 순위도 할당됩니다. 우선 순위가 낮은 그룹이 먼저 평가됩니다. 즉, 사용자가 여러 그룹의 설정과 일치하는 자격 증명을 제시하면 그중 우선 순위가 가장 낮은 그룹의 일부로 간주됩니다. 예를 들어, 사용자 A가 IT 그룹(우선 순위 3) 및 재무 그룹(우선 순위 4)에 해당하는 자격 증명을 제시하면 사용자 A는 IP 주소 할당을 위해 IT 그룹의 일부로 간주됩니다.

사용 가능한 그룹 설정

다음 섹션에서는 그룹 멤버가 속한 그룹을 정의하는 데 사용할 수 있는 다양한 매개 변수에 대해 설명합니다. 사용 가능한 매개 변수는 선택한 인증 방법에 따라 다릅니다. 다음 표에는 사용 가능한 설정 형식과 허용되는 값이 요약되어 있습니다. 각 형식의 멤버 값에 대한 자세한 내용은 인증 형식에 해당하는 섹션을 참조하세요.

인증 유형 멤버 형식 멤버 가치 멤버 값 예
Microsoft Entra ID AADGroupID Microsoft Entra 그룹 개체 ID 0cf484f2-238e-440b-8c73-7bf232b248dc
RADIUS AzureRADIUSGroupID 공급업체별 특성 값(16진수)(6ad1bd로 시작해야 함) 6ad1bd23
인증서 AzureCertificateID 인증서 일반 이름 도메인 이름(CN=user@red.com) red

Microsoft Entra 인증(OpenVPN만 해당)

Microsoft Entra 인증을 사용하는 게이트웨이는 Microsoft Entra 그룹 개체 ID를 사용하여 사용자가 속한 사용자 그룹을 결정할 수 있습니다. 사용자가 여러 Microsoft Entra 그룹의 일부인 경우 우선 순위 숫자가 가장 낮은 P2S VPN 사용자 그룹의 일부로 간주됩니다.

그러나 외부 사용자(VPN Gateway에 구성된 Microsoft Entra 도메인에 속하지 않은 사용자)를 지점 및 사이트 간 VPN Gateway에 연결하려면 외부 사용자의 사용자 유형이 "게스트"가 아닌 "멤버"인지 확인합니다. 또한 사용자의 "이름"이 사용자의 이메일 주소로 설정되어 있는지 확인합니다. 연결 사용자의 사용자 유형과 이름이 위에서 설명한 대로 올바르게 설정되지 않았거나 외부 구성원을 Microsoft Entra 도메인의 “구성원”으로 설정할 수 없는 경우 해당 연결 사용자는 기본 그룹에 할당되고 기본 IP 주소 풀의 IP가 할당됩니다.

사용자의 "사용자 계정 이름"을 확인하여 사용자가 외부에 있는지 여부를 식별할 수도 있습니다. 외부 사용자의 "사용자 계정 이름"에는 #EXT가 있습니다.

Screenshot of a Microsoft Entra group.

Azure 인증서(OpenVPN 및 IKEv2)

인증서 기반 인증을 사용하는 게이트웨이는 사용자 인증서 CN(일반 이름)의 도메인 이름을 사용하여 연결하는 사용자가 속한 그룹을 결정합니다. 일반 이름은 다음 형식 중 하나여야 합니다.

  • 도메인/사용자 이름
  • username@domain.com

도메인이 그룹 멤버로 입력되었는지 확인합니다.

RADIUS 서버(OpenVPN 및 IKEv2)

RADIUS 기반 인증을 사용하는 게이트웨이는 새로운 VSA(Vendor-Specific Attribute)를 사용하여 VPN 사용자 그룹을 결정합니다. RADIUS 기반 인증이 P2S 게이트웨이에 구성된 경우 게이트웨이는 NPS(네트워크 정책 서버) 프록시 역할을 합니다. 즉, P2S VPN Gateway는 RADIUS 프로토콜을 사용하여 RADIUS 서버에서 사용자를 인증하는 클라이언트 역할을 합니다.

RADIUS 서버가 사용자 자격 증명을 성공적으로 확인한 후 액세스 허용 패킷의 일부로 새로운 VSA(Vendor-Specific Attribute)를 보내도록 RADIUS 서버를 구성할 수 있습니다. P2S VPN Gateway는 Access-Accept 패킷에서 VSA를 처리하고 VSA 값에 따라 사용자에게 특정 IP 주소를 할당합니다.

따라서 동일한 그룹에 속하는 모든 사용자에 대해 동일한 값을 가진 VSA를 보내도록 RADIUS 서버를 구성해야 합니다.

참고 항목

VSA 값은 RADIUS 서버 및 Azure에서 8진수 16진수 문자열이어야 합니다. 이 8진수 문자열은 6ad1bd로 시작해야 합니다. 마지막 2개의 16진수 숫자는 자유롭게 구성할 수 있습니다. 예를 들어, 6ad1bd98은 유효하지만 6ad12323 및 6a1bd2는 유효하지 않습니다.

새 VSA는 MS-Azure-Policy-ID입니다.

MS-Azure-Policy-ID VSA는 Azure 측에서 구성된 인증된 RADIUS 사용자 정책과 일치시키기 위해 P2S VPN 서버에서 사용하는 식별자를 전송하기 위해 RADIUS 서버에서 사용됩니다. 이 정책은 사용자에 대한 IP/라우팅 구성(할당된 IP 주소)을 선택하는 데 사용됩니다.

MS-Azure-Policy-ID의 필드는 다음과 같이 설정되어야 합니다.

  • Vendor-Type: 0x41(정수: 65)로 설정되어야 하는 8비트 부호 없는 정수입니다.
  • Vendor-Length: 특성별 값의 8진수 문자열 길이에 2를 더한 값으로 설정되어야 하는 8비트 부호 없는 정수입니다.
  • 특성별 값: Azure 지점 및 사이트 간 VPN 서버에 구성된 정책 ID를 포함하는 8진수 문자열입니다.

구성 정보는 RADIUS - 공급업체별 특성에 대한 NPS 구성을 참조하세요.

게이트웨이 개념

Virtual WAN P2S VPN Gateway에 사용자/정책 그룹을 사용하는 VPN 서버 구성이 할당되면 게이트웨이에서 여러 P2S VPN 연결 구성을 만들 수 있습니다.

각 연결 구성에는 하나 이상의 VPN 서버 구성 사용자 그룹이 포함될 수 있습니다. 그러면 각 연결 구성이 하나 이상의 IP 주소 풀에 매핑됩니다. 이 게이트웨이에 연결하는 사용자에게는 ID, 자격 증명, 기본 그룹 및 우선 순위에 따라 IP 주소가 할당됩니다.

이 예에서 VPN 서버 구성에는 다음 그룹이 구성되어 있습니다.

기본값 우선 순위 그룹 이름 인증 유형 멤버 값
0 공학 Microsoft Entra ID groupObjectId1
아니요 1 재무 Microsoft Entra ID groupObjectId2
아니요 2 PM Microsoft Entra ID groupObjectId3

이 VPN 서버 구성은 다음을 사용하여 Virtual WAN의 P2S VPN Gateway에 할당할 수 있습니다.

구성 Groups 주소 풀
Config0 엔지니어링, PM x.x.x.x/yy
Config1 재무 a.a.a.a/bb

다음 결과는 다음과 같습니다.

  • 이 P2S VPN Gateway에 연결하는 사용자는 엔지니어링 또는 PM Microsoft Entra 그룹에 속하는 경우 x.x.x.x/yy의 주소가 할당됩니다.
  • Finance Microsoft Entra 그룹에 속한 사용자에게는 a.a.a.a/bb의 IP 주소가 할당됩니다.
  • Engineering이 기본 그룹이므로 구성된 그룹에 속하지 않은 사용자는 Engineering의 일부로 간주되며 x.x.x.x/yy의 IP 주소가 할당됩니다.

구성 고려 사항

이 섹션에는 사용자 그룹 및 IP 주소 풀에 대한 구성 요구 사항 및 제한 사항이 나열되어 있습니다.

  • 단일 P2S VPN Gateway에서 참조할 수 있는 최대 그룹 수는 90개입니다. 게이트웨이에 할당된 그룹의 최대 정책/그룹 구성원 수(연결 사용자가 속한 그룹을 식별하는 데 사용되는 기준)는 390개입니다. 그러나 그룹이 동일한 게이트웨이의 여러 연결 구성에 할당된 경우 이 그룹과 해당 구성원은 제한에 대해 여러 번 계산됩니다. 예를 들어 게이트웨이에서 3개의 VPN 연결 구성에 할당된 구성원이 10명인 정책 그룹이 있는 경우입니다. 이 구성은 멤버가 10명인 그룹 하나가 아니라 총 멤버가 30명인 그룹 3개로 계산됩니다. 게이트웨이에 연결하는 총 동시 사용자 수는 게이트웨이 배율 단위와 각 사용자 그룹에 할당된 IP 주소 수로 제한되며 게이트웨이와 연결된 정책/그룹 멤버 수가 아닙니다.

  • VPN 서버 구성의 일부로 그룹이 만들어진 이후에는 그룹의 이름과 기본 설정을 수정할 수 없습니다.

  • 그룹 이름은 구분되어야 합니다.

  • 숫자 우선 순위가 낮은 그룹은 숫자 우선 순위가 높은 그룹보다 먼저 처리됩니다. 연결 사용자가 여러 그룹의 구성원인 경우 게이트웨이는 IP 주소 할당을 위해 숫자 우선 순위가 낮은 그룹의 구성원으로 간주합니다.

  • 기존 지점 및 사이트 간 VPN Gateway에서 사용 중인 그룹은 삭제할 수 없습니다.

  • 해당 그룹에 해당하는 위-아래 화살표 단추를 클릭하여 그룹의 우선 순위를 재정렬할 수 있습니다.

  • 주소 풀은 동일한 Virtual WAN의 다른 연결 구성(동일하거나 다른 게이트웨이)에서 사용되는 주소 풀과 겹칠 수 없습니다.

  • 또한 주소 풀은 가상 네트워크 주소 공간, 가상 허브 주소 공간 또는 온-프레미스 주소와 겹칠 수 없습니다.

사용 사례

Contoso Corporation은 재무, 인사 및 엔지니어링과 같은 여러 기능 부서로 구성됩니다. Contoso는 Azure Virtual WAN을 사용하여 원격 작업자(사용자)가 가상 WAN에 연결하고 온-프레미스 또는 가상 WAN 허브에 연결된 가상 네트워크를 통해 호스트되는 리소스에 액세스할 수 있도록 합니다.

그러나 Contoso의 내부 보안 정책에 따르면 재무 부서의 사용자가 특정 데이터베이스 및 Virtual Machines에만 액세스할 수 있고 인사 부서의 사용자가 다른 중요한 애플리케이션에 액세스할 수 있습니다.

  • Contoso는 각 기능 부서에 대해 서로 다른 사용자 그룹을 구성하여 문제를 방지할 수 있습니다. 이렇게 하면 각 부서의 사용자에게 부서 수준 미리 정의된 주소 풀의 IP 주소가 할당됩니다.

  • Contoso의 네트워크 관리자는 방화벽 규칙, NSG(네트워크 보안 그룹) 또는 ACL(액세스 제어 목록)을 구성하여 특정 사용자의 IP 주소를 기반으로 리소스에 대한 액세스를 허용하거나 거부할 수 있습니다.

다음 단계