Virtual WAN 파트너를 위한 자동화 지침

이 문서는 Azure Virtual WAN의 분기 디바이스(고객 온-프레미스 VPN 디바이스 또는 SDWAN CPE)를 연결 및 구성하기 위해 자동화 환경을 설정하는 방법을 이해하는 데 도움이 됩니다. 이 문서는 IPsec/IKEv2 또는 IPsec/IKEv1을 통해 VPN 연결을 수용할 수 있는 분기 디바이스를 제공하는 공급자를 대상으로 합니다.

분기 디바이스(고객 온-프레미스 VPN 디바이스 또는 SDWAN CPE)는 일반적으로 프로비전될 컨트롤러/디바이스 대시보드를 사용합니다. SD-WAN 솔루션 관리자는 종종 네트워크로 연결하기 전에 관리 콘솔을 사용하여 디바이스를 사전 프로비전할 수 있습니다. 이 VPN 지원 디바이스는 컨트롤러에서 해당 컨트롤 평면 논리를 가져옵니다. VPN 디바이스 또는 SD-WAN 컨트롤러는 Azure API를 사용하여 Azure Virtual WAN에 대한 연결을 자동화할 수 있습니다. 이 연결 유형은 할당된 외부 연결 공용 IP 주소를 갖고 있는 온-프레미스 디바이스를 필요로 합니다.

자동화 시작 전

  • 디바이스에서 IPsec IKEv1/IKEv2를 지원하는지 확인합니다. 기본 정책을 참조하세요.

  • Azure Virtual WAN에 대한 연결을 자동화하는 데 사용하는 REST API를 봅니다.

  • Azure Virtual WAN의 포털 환경을 테스트합니다.

  • 그런 다음, 자동화하려는 연결 단계의 부분을 결정합니다. 최소한 자동화하는 것이 좋습니다.

    • 액세스 제어
    • Azure Virtual WAN에 분기 디바이스 정보 업로드
    • Azure 구성 다운로드 및 분기 디바이스에서 Azure Virtual WAN으로 연결 설정

추가 정보

고객 환경

Azure Virtual WAN과 함께 예상되는 고객 환경을 이해합니다.

  1. 일반적으로 가상 WAN 사용자는 Virtual WAN 리소스를 만들어 프로세스를 시작합니다.
  2. 사용자는 온-프레미스 시스템(사용자의 분기 컨트롤러 또는 VPN 디바이스 프로비저닝 소프트웨어)에 대한 서비스 주체 기반 리소스 그룹 액세스를 설정하여 Azure Virtual WAN으로 분기 정보를 작성합니다.
  3. 사용자는 이 때 UI에 로그인하고 서비스 주체 자격 증명을 설정하도록 결정할 수 있습니다. 완료되면 컨트롤러는 제공하는 자동화를 사용하여 분기 정보를 업로드할 수 있어야 합니다. Azure 측에서 동일한 수동 작업은 '사이트 만들기'입니다.
  4. 사이트(분기 디바이스) 정보를 Azure에서 사용할 수 있으면 사용자는 허브에 사이트를 연결합니다. 가상 허브는 Microsoft에서 관리하는 가상 네트워크입니다. 허브는 온-프레미스 네트워크(vpnsite)에서 연결을 활성화하는 다양한 서비스 엔드포인트를 포함합니다. 허브는 지역에서 네트워크의 핵심이며 이 프로세스 중에 내부 vpn 엔드포인트(vpngateway)가 만들어집니다. 이제 고객은 동일한 Azure Virtual WAN에 대해 동일한 지역에서 둘 이상의 허브를 만들 수 있습니다. VPN 게이트웨이는 대역폭 및 연결 요구 사항에 따라 적절하게 크기가 조정되는 확장 가능한 게이트웨이입니다. 분기 디바이스 컨트롤러 대시보드에서 가상 허브 및 vpngateway 생성을 자동화하도록 선택할 수 있습니다.
  5. 가상 허브가 사이트에 연결되면 사용자가 수동으로 다운로드할 수 있도록 구성 파일이 생성됩니다. 자동화가 들어오는 위치이며 사용자 환경을 원활하게 만듭니다. 사용자가 수동으로 다운로드하고 분기 디바이스를 구성하는 대신 자동화를 설정하고 UI에서 최소 클릭 환경을 제공할 수 있으므로 공유 키 불일치, IPSec 매개 변수 불일치, 구성 파일 가독성 등과 같은 일반적인 연결 문제를 완화합니다.
  6. 솔루션의 이 단계 끝에서 사용자는 분기 디바이스와 가상 허브 간의 원활한 사이트 간 연결을 갖게 됩니다. 다른 허브에서 추가 연결을 설정할 수도 있습니다. 각 연결은 활성-활성 터널입니다. 고객은 터널에 대한 각 링크에 다른 ISP를 사용하도록 선택할 수 있습니다.
  7. CPE 관리 인터페이스에서 문제 해결 및 모니터링 기능을 제공하는 것이 좋습니다. 일반적인 시나리오에는 "고객이 CPE 문제로 인해 Azure 리소스에 액세스할 수 없습니다", "CPE 쪽에 IPsec 매개 변수 표시" 등이 있습니다.

자동화 세부 정보

Access Control

고객은 디바이스 UI에서 Virtual WAN에 적절한 액세스 제어를 설정할 수 있어야 합니다. 이 경우, Azure 서비스 주체를 사용하는 것이 좋습니다. 서비스 주체 기반 액세스는 분기 정보 업로드에 적합한 인증을 디바이스 컨트롤러에 제공합니다. 자세한 내용은 서비스 주체 만들기를 참조하세요. 이 기능은 Azure Virtual WAN 제품의 외부이지만 관련 세부 정보가 디바이스 관리 대시보드에 입력된 후 Azure에서 액세스를 설정하는 데 수행되는 일반적인 단계를 아래에 나열합니다.

  • 온-프레미스 디바이스 컨트롤러에 대한 Microsoft Entra 애플리케이션을 만듭니다.
  • 애플리케이션 ID 및 인증 키 가져오기
  • 테넌트 ID 가져오기
  • 애플리케이션을 “기여자”에 할당

분기 디바이스 정보 업로드

분기(온-프레미스 사이트) 정보를 Azure에 업로드하도록 사용자 환경을 디자인해야 합니다. VPNSite의 REST API를 사용하여 Virtual WAN에서 사이트 정보를 작성할 수 있습니다. 모든 분기 SDWAN/VPN 디바이스를 제공하거나 적절하게 디바이스 사용자 지정을 선택할 수 있습니다.

디바이스 구성 다운로드 및 연결

이 단계는 Azure 구성 다운로드 및 분기 디바이스에서 Azure Virtual WAN으로 연결 설정을 포함합니다. 이 단계에서는 공급자를 사용하지 않는 고객은 수동으로 Azure 구성을 다운로드하고 온-프레미스 SDWAN/VPN 디바이스에 적용합니다. 공급자는 이 단계를 자동화해야 합니다. 추가 정보는 다운로드 REST API를 확인하세요. 디바이스 컨트롤러는 'GetVpnConfiguration' REST API를 호출하여 Azure 구성을 다운로드할 수 있습니다.

구성 정보

  • 가상 허브에 연결된 Azure VNet은 ConnectedSubnet으로 표시됩니다.
  • VPN 연결은 경로 기반 구성을 사용하며 IKEv1 및 IKEv2 프로토콜을 모두 지원합니다.

디바이스 구성 파일

디바이스 구성 파일에는 온-프레미스 VPN 디바이스를 구성할 때 사용할 설정이 포함되어 있습니다. 이 파일을 볼 때 다음 정보를 확인합니다.

  • vpnSiteConfiguration - 이 섹션은 Virtual WAN에 연결된 사이트로 설정된 디바이스 정보를 나타냅니다. 여기에는 분기 디바이스의 이름 및 공용 IP 주소가 포함됩니다.

  • vpnSiteConnections - 이 섹션에서는 다음 정보를 제공합니다.

    • 가상 허브 VNet의 주소 공간.
      예시:

      "AddressSpace":"10.1.0.0/24"
      
    • 허브에 연결된 VNet의 주소 공간.
      예시:

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
      
    • 가상 허브 vpngateway의 IP 주소. vpngateway에는 활성-활성 구성의 2개 터널로 구성된 각 연결이 있기 때문에 이 파일에 두 IP 주소가 모두 나열됩니다. 이 예제에서는 각 사이트에 대한 “Instance0” 및 “Instance1”이 표시됩니다.
      예시:

      "Instance0":"104.45.18.186"
      "Instance1":"104.45.13.195"
      
    • BGP, 미리 공유한 키 등의 Vpngateway 연결 구성 세부 정보. PSK는 자동으로 생성되는 미리 공유한 키입니다. 사용자 지정 PSK의 개요 페이지에서 연결을 언제든지 편집할 수 있습니다.

예제 디바이스 구성 파일

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

연결 세부 정보

온-프레미스 SDWAN/VPN 디바이스 또는 SD-WAN 구성은 Azure IPsec/IKE 정책에서 지정한 다음과 같은 알고리즘 및 매개 변수와 일치하거나 해당 항목을 포함해야 합니다.

  • IKE 암호화 알고리즘
  • IKE 무결성 알고리즘
  • DH 그룹
  • IPsec 암호화 알고리즘
  • IPsec 무결성 알고리즘
  • PFS 그룹

IPsec 연결에 대한 기본 정책

참고 항목

기본 정책으로 작업할 때 Azure는 IPsec 터널을 설정하는 동안 개시 장치와 응답기 역할을 모두 수행할 수 있습니다. Virtual WAN VPN은 많은 알고리즘 조합을 지원하지만 최적의 성능을 위해 IPSEC 암호화 및 무결성 모두에 대해 GCMAES256을 권장합니다. AES256 및 SHA256은 성능이 낮은 것으로 간주되므로 유사한 알고리즘 형식에 대해 대기 시간 및 패킷 삭제와 같은 성능 저하가 예상될 수 있습니다. 가상 WAN에 대한 자세한 내용은 Azure Virtual WAN FAQ를 참조하세요.

시작자

다음 섹션에는 Azure가 터널의 시작자인 경우, 지원되는 정책 조합이 나와 있습니다.

1단계

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

2단계

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

응답자

다음 섹션에는 Azure가 터널의 응답자인 경우, 지원되는 정책 조합이 나와 있습니다.

1단계

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

2단계

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

SA 수명 값

이러한 수명 시간 값은 초기자와 응답자 모두에 적용됩니다

  • SA 수명(초): 3600초
  • SA 수명(바이트): 102,400,000KB

IPsec 연결에 대한 사용자 지정 정책

사용자 지정 IPsec 정책으로 작업하는 경우 다음 요구 사항을 염두에 두어야 합니다.

  • IKE - IKE의 경우 IKE 암호화의 매개 변수와 IKE 무결성의 매개 변수 및 DH 그룹의 매개 변수를 선택할 수 있습니다.
  • IPsec - IPsec의 경우 IPsec 암호화의 매개 변수와 IPsec 무결성의 매개 변수 및 PFS의 매개 변수를 선택할 수 있습니다. IPsec 암호화 또는 IPsec 무결성에 대한 매개 변수가 GCM인 경우 두 설정 모두에 대한 매개 변수는 GCM이어야 합니다.

기본 사용자 지정 정책에는 이전 버전과의 호환성을 위해 SHA1, DHGroup2 및 3DES가 포함됩니다. 이는 사용자 지정 정책을 만들 때 지원되지 않는 약한 알고리즘입니다. 다음 알고리즘만 사용하는 것이 좋습니다.

사용 가능한 설정 및 매개 변수

설정 매개 변수
IKE 암호화 GCMAES256, GCMAES128, AES256, AES128
IKE 무결성 SHA384, SHA256
DH 그룹 ECP384, ECP256, DHGroup24, DHGroup14
IPsec 암호화 GCMAES256, GCMAES128, AES256, AES128, 없음
IPsec 무결성 GCMAES256, GCMAES128, SHA256
PFS 그룹 ECP384, ECP256, PFS24, PFS14, 없음
SA 수명 정수; 최소 300/기본값 3600초

다음 단계

Virtual WAN에 대한 자세한 내용은 Azure Virtual WAN 정보Azure Virtual WAN FAQ를 참조하세요.

추가 정보는 azurevirtualwan@microsoft.com으로 이메일을 보내세요. 제목 줄에서 “[]”에 회사 이름을 적어주세요.