Azure VPN Gateway용 BGP를 구성하는 방법
이 문서는 Azure Portal을 사용하여 프레미스 간 S2S(사이트 간) VPN 연결 및 VNet 간 연결에서 BGP를 사용하도록 설정하는 데 도움이 됩니다. Azure CLI 또는 PowerShell을 사용하여 이 구성을 만들 수도 있습니다.
BGP는 두 개 이상의 네트워크 간에 라우팅 및 연결 정보를 교환하도록 인터넷에서 일반적으로 사용하는 표준 라우팅 프로토콜입니다. BGP를 통해 VPN 게이트웨이 및 온-프레미스 VPN 디바이스(BGP 피어 또는 인접이라고 함)는 관련된 게이트웨이 또는 라우터를 거치도록 해당 접두사의 가용성 및 연결 가능성에 대한 정보를 두 게이트웨이에 제공하는 "경로"를 교환할 수 있습니다. BGP 게이트웨이가 하나의 BGP 피어에서 파악한 경로를 다른 모든 BGP 피어로 전파하여 BGP를 통해 여러 네트워크 간에 전송 라우팅을 사용할 수도 있습니다.
BGP의 이점에 대한 자세한 내용 및 BGP 사용의 기술 요구 사항과 고려 사항을 이해하려면 BGP 및 Azure VPN Gateway 정보를 참조하세요.
시작하기
이 문서의 각 부는 네트워크 연결에서 BGP를 사용하기 위한 기본 구성 요소를 형성하는 데 도움이 됩니다. 세 부분(게이트웨이에서 BGP 구성, S2S 연결 및 VNet 간 연결)을 모두 완료하는 경우 다이어그램 1과 같이 토폴로지를 빌드합니다. 파트를 결합하여 필요에 따라 더 복잡한 다중 홉 전송 네트워크를 빌드할 수 있습니다.
다이어그램 1
다이어그램 1과 같이 컨텍스트에 대해 TestVNet2와 TestVNet1간에 BGP를 사용하지 않도록 설정하는 경우 TestVNet2는 온-프레미스 네트워크인 Site5에 대한 경로를 알 수 없으므로 사이트 5와 통신할 수 없습니다. BGP를 사용하도록 설정하면 세 네트워크는 모두 S2S IPsec 및 VNet 간 연결을 통해 통신할 수 있습니다.
필수 조건
Azure 구독이 있는지 확인합니다. Azure 구독이 아직 없는 경우 MSDN 구독자 혜택을 활성화하거나 무료 계정에 등록할 수 있습니다.
VPN 게이트웨이에 대해 BGP를 사용하도록 설정
이 섹션은 다른 두 구성 섹션을 수행하기 전에 반드시 수행해야 합니다. 다음 구성 단계에서는 다이어그램 2에 표시된 대로 VPN 게이트웨이의 BGP 매개 변수를 설정합니다.
다이어그램 2
1. TestVNet1 만들기
이 단계에서는 TestVNet1을 만들고 구성합니다. 게이트웨이 만들기 자습서의 단계를 사용하여 Azure 가상 네트워크 및 VPN 게이트웨이를 만들고 구성합니다.
가상 네트워크 예제 값:
- 리소스 그룹: TestRG1
- VNet: TestVNet1
- 위치/지역: EastUS
- 주소 공간: 10.11.0.0/16, 10.12.0.0/16
- 서브넷:
- 프런트 엔드: 10.11.0.0/24
- 백 엔드: 10.12.0.0/24
- 게이트웨이 서브넷 = 10.12.255.0/27
2. BGP를 사용하여 TestVNet1 게이트웨이 만들기
이 단계에서는 해당 BGP 매개 변수를 사용하여 VPN 게이트웨이를 만듭니다.
VPN 게이트웨이 만들기 및 관리의 단계를 사용하여 다음 매개 변수를 사용하여 게이트웨이를 만듭니다.
인스턴스 세부 정보:
- 이름: VNet1GW
- 지역: EastUS
- 게이트웨이 유형: VPN
- VPN 유형: 경로 기반
- SKU: VpnGW1 이상
- 세대: 세대 선택
- 가상 네트워크: TestVNet1
공용 IP 주소
- 공용 IP 주소 유형: 기본 또는 표준
- 공용 IP 주소: 새로 만들기
- 공용 IP 주소 이름: VNet1GWIP
- 활성-활성 사용: 사용 안 함
- BGP 구성: 사용
페이지의 선택된 BGP 구성 섹션에서 다음 설정을 구성합니다.
BGP 구성 화면을 표시하려면 BGP 구성 - 사용을 선택합니다.
ASN(자치 시스템 번호)을 입력합니다.
AZURE APIPA BGP IP 주소 필드는 선택 사항입니다. 온-프레미스 VPN 디바이스에서 BGP에 대해 APIPA 주소를 사용하는 경우 VPN에 대한 Azure 예약 APIPA 주소 범위(169.254.21.0에서 169.254.22.255로)의 주소를 선택해야 합니다.
활성-활성 VPN 게이트웨이를 만드는 경우 BGP 섹션에 추가 두 번째 사용자 지정 Azure APIPA BGP IP 주소가 표시됩니다. 선택한 각 주소는 고유해야 하며 허용된 APIPA 범위(169.254.21.0 ~ 169.254.22.255)에 있어야 합니다. 또한 활성-활성 게이트웨이는 Azure APIPA BGP IP 주소와 두 번째 사용자 지정 Azure APIPA BGP IP 주소에 대해 여러 주소를 지원합니다. 추가 입력은 첫 번째 APIPA BGP IP 주소를 입력한 후에만 표시됩니다.
Important
기본적으로 Azure는 VPN 게이트웨이에서 Azure BGP IP 주소로 자동으로 GatewaySubnet 접두사 범위에서 개인 IP 주소를 할당합니다. 온-프레미스 VPN 디바이스에서 BGP IP로 APIPA 주소(169.254.0.1 ~ 169.254.255.254)를 사용하는 경우 사용자 지정 Azure APIPA BGP 주소가 필요합니다. 해당 로컬 네트워크 게이트웨이 리소스(온-프레미스 네트워크)에 BGP 피어 IP로 APIPA 주소가 있으면 VPN Gateway에서 사용자 지정 APIPA 주소를 선택합니다. 로컬 네트워크 게이트웨이에서 APIPA가 아닌 일반 IP 주소를 사용하는 경우 VPN Gateway는 GatewaySubnet 범위에서 개인 IP 주소로 돌아갑니다.
APIPA BGP 주소는 온-프레미스 VPN 디바이스와 연결된 모든 VPN 게이트웨이 간에 겹치지 않아야 합니다.
VPN 게이트웨이에서 APIPA 주소를 사용하는 경우 게이트웨이는 APIPA 원본 IP 주소를 사용하여 BGP 피어링 세션을 시작하지 않습니다. 온-프레미스 VPN 디바이스에서 BGP 피어링 연결을 시작해야 합니다.
검토 + 만들기를 선택하여 유효성 검사를 실행합니다. 유효성 검사를 통과하면 만들기를 선택하여 VPN 게이트웨이를 배포합니다. 종종 선택한 게이트웨이 SKU에 따라 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다. 배포 상태는 게이트웨이에 대한 개요 페이지에서 확인할 수 있습니다.
3. Azure BGP 피어 IP 주소 가져오기
게이트웨이를 만든 후 VPN 게이트웨이에서 BGP 피어 IP 주소를 가져올 수 있습니다. 이러한 주소는 VPN 게이트웨이를 사용하여 BGP 세션을 설정하도록 온-프레미스 VPN 디바이스를 구성하는 데 필요합니다.
가상 네트워크 게이트웨이 구성 페이지에서 VPN 게이트웨이의 BGP 구성 정보를 볼 수 있습니다. ASN, 공용 IP 주소 및 Azure 측(기본 및 APIPA)의 해당 BGP 피어 IP 주소입니다. 다음 구성을 변경할 수도 있습니다.
- 필요한 경우 ASN 또는 APIPA BGP IP 주소를 업데이트할 수 있습니다.
- 활성-활성 VPN 게이트웨이가 있는 경우 이 페이지에는 두 번째 VPN 게이트웨이 인스턴스의 공용 IP 주소, 기본 및 APIPA BGP IP 주소가 표시됩니다.
Azure BGP 피어 IP 주소를 가져오려면 다음을 수행합니다.
- 가상 네트워크 게이트웨이 리소스로 이동하고 구성 페이지를 선택하여 BGP 구성 정보를 확인합니다.
- BGP 피어 IP 주소를 기록해 둡니다.
프레미스 간 S2S 연결에서 BGP를 구성하려면
이 섹션의 지침은 프레미스 간 사이트 간 구성에 적용됩니다.
프레미스 간 연결을 설정하려면 사이트 간 연결 만들기에 설명된 대로 온-프레미스 VPN 디바이스를 나타내는 로컬 네트워크 게이트웨이를 만들고 VPN 게이트웨이와 로컬 네트워크 게이트웨이를 연결하는 연결을 만들어야 합니다. 다음 섹션에는 다이어그램 3에 표시된 BGP 구성 매개 변수를 지정하는 데 필요한 추가 속성이 포함되어 있습니다.
다이어그램 3
계속하기 전에 VPN 게이트웨이에 대해 BGP를 사용하도록 설정했는지 확인합니다.
1. 로컬 네트워크 게이트웨이 만들기
BGP 설정을 사용하여 로컬 네트워크 게이트웨이를 구성합니다.
- 자세한 내용 및 단계는 사이트 간 연결 문서의 로컬 네트워크 게이트웨이 섹션을 참조하세요.
- 로컬 네트워크 게이트웨이가 이미 있는 경우 수정할 수 있습니다. 로컬 네트워크 게이트웨이를 수정하려면 로컬 네트워크 게이트웨이 리소스 구성 페이지로 이동하여 필요한 내용을 변경합니다.
로컬 네트워크 게이트웨이를 만들 때 이 연습에서는 다음 값을 사용합니다.
- 이름: Site5
- IP 주소: 연결하려는 게이트웨이 엔드포인트의 IP 주소입니다. 예: 128.9.9.9
- 주소 공간: BGP를 사용하도록 설정한 경우 주소 공간이 필요하지 않습니다.
BGP 설정을 구성하려면 고급 페이지로 이동합니다. 다이어그램 3에 표시된 다음 예제 값을 사용합니다. 환경과 일치하는 값을 수정합니다.
- BGP 설정 구성: 예
- ASN(자율 시스템 번호): 65050
- BGP 피어 IP 주소: 온-프레미스 VPN 디바이스의 주소. 예: 10.51.255.254
검토 + 만들기를 클릭하여 로컬 네트워크 게이트웨이를 만듭니다.
중요한 구성 고려 사항
- ASN 및 BGP 피어 IP 주소는 온-프레미스 VPN 라우터 구성과 일치해야 합니다.
- BGP를 사용하여 이 네트워크에 연결하는 경우에만 주소 공간을 비워 둘 수 있습니다. Azure VPN 게이트웨이는 내부적으로 BGP 피어 IP 주소의 경로를 해당하는 IPsec 터널에 추가합니다. VPN 게이트웨이와 이 특정 네트워크 간에 BGP를 사용하지 않는 경우 주소 공간에 대한 유효한 주소 접두사 목록을 제공해야 합니다.
- 필요한 경우 APIPA IP 주소(169.254)를 온-프레미스 BGP 피어 IP로 사용할 수 있습니다. 그러나 VPN 게이트웨이에 대한 이 문서의 앞부분에서 설명한 대로 APIPA IP 주소를 지정해야 합니다. 그러지 않으면 BGP 세션에서 이 연결을 설정할 수 없습니다.
- 로컬 네트워크 게이트웨이를 만드는 동안 BGP 구성 정보를 입력하거나, 로컬 네트워크 게이트웨이 리소스의 구성 페이지에서 BGP 구성을 추가하거나 변경할 수 있습니다.
2. BGP를 사용하여 S2S 연결 구성
이 단계에서는 BGP를 사용하도록 설정된 새 연결을 만듭니다. 이미 연결이 있고 BGP를 사용하도록 설정하려는 경우 이를 업데이트할 수 있습니다.
연결을 만들려면
- 새 연결을 만들려면 가상 네트워크 게이트웨이 연결 페이지로 이동합니다.
- +추가를 선택하여 연결 추가 페이지를 엽니다.
- 필수 값을 입력합니다.
- BGP 사용을 선택하여 이 연결에서 BGP를 사용하도록 설정합니다.
- 확인 을 선택하여 변경 내용을 저장합니다.
기존 연결을 업데이트하는 방법
- 가상 네트워크 게이트웨이 연결 페이지로 이동합니다.
- 수정할 연결을 선택합니다.
- 연결에 대한 구성 페이지로 이동합니다.
- BGP 설정을 사용으로 변경합니다.
- 변경 내용을 저장합니다.
온-프레미스 디바이스 구성
다음 예제에서 이 연습을 위해 온-프레미스 VPN 디바이스의 BGP 구성 섹션에 입력할 매개 변수를 나열합니다.
- Site5 ASN : 65050
- Site5 BGP IP : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN : 65010
- Azure VNet BGP IP : 10.12.255.30
- Static route : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop : Ensure the "multihop" option for eBGP is enabled on your device if needed
VNet-VNet 연결에서 BGP를 사용하도록 설정하려면
이 섹션의 단계는 VNet-VNet 연결에 적용됩니다.
VNet 간 연결에서 BGP를 사용하거나 사용하지 않으려면 이전 섹션의 S2S 크로스-프레미스 단계와 동일한 단계를 사용합니다. 연결을 만들 때 BGP를 사용하도록 설정하거나 기존 VNet 간 연결에 대한 구성을 업데이트할 수 있습니다.
참고 항목
BGP를 사용하지 않는 VNet 간 연결에서는 두 개의 연결된 VNet만 통신을 제한합니다. BGP를 사용하도록 설정하여 이 두 VNet의 다른 S2S 또는 VNet 간 연결에 대한 전송 라우팅 기능을 허용합니다.
다음 단계
BGP에 대한 자세한 내용은 BGP 및 VPN Gateway 정보를 참조하세요.