다음을 통해 공유


Azure VPN Gateway의 NAT 정보

이 문서에서는 Azure VPN Gateway의 NAT(Network Address Translation) 지원을 간략하게 설명합니다. NAT는 IP 패킷의 한 IP 주소를 다른 IP 주소로 번역하는 메커니즘을 정의합니다. NAT에 대한 여러 가지 시나리오가 있습니다.

  • IP 주소가 겹치는 네트워크 여러 개 연결
  • 개인 IP 주소(RFC1918)가 있는 네트워크에서 인터넷으로 연결(인터넷 분리)
  • IPv6 네트워크를 IPv4 네트워크에 연결(NAT64)

Important

Azure VPN Gateway NAT는 온-프레미스 네트워크나 지점을 IP 주소가 겹치는 Azure 가상 네트워크에 연결하는 첫 번째 시나리오를 지원합니다. 인터넷 분리와 NAT64는 지원되지 않습니다.

겹치는 주소 공간

조직에서는 일반적으로 개인 네트워크의 내부 통신에 RFC1918에 정의된 개인 IP 주소를 사용합니다. 인터넷을 통해 또는 프라이빗 WAN에서 VPN을 사용하여 이러한 네트워크를 연결한 경우에는 주소 공간이 겹치지 않아야 합니다. 그렇지 않으면 통신이 실패합니다. IP 주소가 겹치는 네트워크를 두 개 이상 연결하기 위해 NAT는 네트워크를 연결하는 게이트웨이 디바이스에 배포됩니다.

NAT 형식: 정적 및 동적

게이트웨이 디바이스의 NAT는 주소 충돌이 방지되도록 NAT 정책이나 규칙에 따라 원본 및/또는 대상 IP 주소를 번역합니다. NAT 변환 규칙에는 다음과 같은 다양한 형식이 있습니다.

  • 정적 NAT: 정적 규칙은 고정 주소 매핑 관계를 정의합니다. 지정된 IP 주소의 경우 대상 풀의 동일한 주소에 매핑됩니다. 매핑은 고정되어 있으므로 정적 규칙에 대한 매핑은 상태 비저장입니다.

  • 동적 NAT: 동적 NAT의 경우 IP 주소를 가용성에 따라 다른 대상 IP 주소 또는 IP 주소와 TCP/UDP 포트의 다양한 조합으로 번역될 수 있습니다. 후자를 NAPT, 네트워크 주소 및 포트 변환이라고도 합니다. 동적 규칙은 지정된 시간의 트래픽 흐름에 따라 상태 저장 번역 매핑을 발생시킵니다.

참고 항목

동적 NAT 규칙을 사용하는 경우 트래픽은 단방향이므로 규칙의 내부 매핑 필드에 표시된 사이트에서 통신을 시작해야 합니다. 외부 매핑에서 트래픽이 시작되면 연결이 설정되지 않습니다. 양방향 트래픽 시작이 필요한 경우 고정 NAT 규칙을 사용하여 1:1 매핑을 정의합니다.

또 다른 고려 사항은 번역에 사용되는 주소 풀 크기입니다. 대상 주소 풀 크기가 원래 주소 풀과 동일한 경우 정적 NAT 규칙을 사용하여 순차적으로 1:1 매핑을 정의합니다. 대상 주소 풀이 원래 주소 풀보다 작은 경우 동적 NAT 규칙을 사용하여 차이점을 수용합니다.

Important

  • NAT는 VpnGw2~5, VpnGw2AZ~5AZ와 같은 SKU에서 지원됩니다.
  • NAT는 IPsec 크로스-프레미스 연결에만 지원됩니다. VNet 간 연결이나 P2S 연결은 지원되지 않습니다.
  • 모든 동적 NAT 규칙을 단일 연결에 할당할 수 있습니다.

NAT 모드: 수신 및 송신

각 NAT 규칙은 해당 네트워크 주소 공간에 대한 주소 매핑이나 번역 관계를 정의합니다.

  • 수신: IngressSNAT 규칙은 주소 겹침이 방지되도록 온-프레미스 네트워크 주소 공간을 번역된 주소 공간에 매핑합니다.

  • 송신: EgressSNAT 규칙은 Azure VNet 주소 공간을 번역된 다른 주소 공간에 매핑합니다.

각 NAT 규칙의 경우 다음 두 필드는 변환 전후의 주소 공간을 지정합니다.

  • 내부 매핑: 변환 의 주소 공간입니다. 수신 규칙의 경우 이 필드는 온-프레미스 네트워크의 원래 주소 공간에 해당합니다. 송신 규칙의 경우 원래 VNet 주소 공간입니다.

  • 외부 매핑: 온-프레미스 네트워크(수신)나 VNet(송신)을 변환한 의 주소 공간입니다. Azure VPN 게이트웨이에 연결된 다른 네트워크의 경우 모든 외부 매핑의 주소 공간은 서로 겹쳐서는 안 되며 NAT 없이 연결된 네트워크를 사용해야 합니다.

NAT 및 라우팅

NAT 규칙을 연결에 정의하면 연결의 유효 주소 공간이 규칙에 맞게 변경됩니다. Azure VPN 게이트웨이에서 BGP를 사용하는 경우 "BGP 경로 변환 사용"을 선택하여 NAT 규칙을 통해 연결에서 학습되고 보급된 경로를 자동으로 변환합니다.

  • 학습된 경로: IngressSNAT 규칙을 사용하는 연결을 통해 학습된 경로의 대상 접두사는 내부 매핑 접두사(이전 NAT)에서 해당 규칙의 외부 매핑 접두사(NAT 이후)로 번역됩니다.

  • 보급된 경로: Azure VPN 게이트웨이는 VNet 주소 공간에 대한 EgressSNAT 규칙의 외부 매핑(NAT 이후) 접두사와 다른 연결의 NAT 이후 주소 접두사가 있는 학습된 경로를 보급합니다.

  • NAT'ed 온-프레미스 네트워크에 대한 BGP 피어 IP 주소 고려 사항:

    • APIPA(169.254.0.1~169.254.255.254) 주소: NAT는 BGP APIPA 주소에서 지원되지 않습니다.
    • 비 APIPA 주소: NAT 범위에서 BGP 피어 IP 주소를 제외합니다.

참고 항목

IngressSNAT 규칙이 없는 연결에 대한 학습된 경로는 변환되지 않습니다. EgressSNAT 규칙이 없는 연결에 보급된 VNet 경로도 변환되지 않습니다.

NAT 예제

다음 다이어그램에서는 Azure VPN NAT 구성의 예를 보여줍니다.

NAT 구성 및 규칙을 보여 주는 다이어그램

이 다이어그램에서는 10.0.1.0/24 주소 공간이 있는 Azure VNet 및 온-프레미스 네트워크 2개를 보여줍니다. 이러한 두 네트워크를 Azure VNet 및 VPN 게이트웨이에 연결하려면 다음 규칙을 만듭니다.

  • IngressSNAT 규칙 1: 이 규칙은 온-프레미스 주소 공간 10.0.1.0/24 192.168.2.0/24를 변환합니다.

  • IngressSNAT 규칙 2: 이 규칙은 온-프레미스 주소 공간 10.0.1.0/24를 192.168.3.0/24로 변환합니다.

  • EgressSNAT 규칙 1: 이 규칙은 VNet 주소 공간 10.0.1.0/24를 192.168.1.0/24로 변환합니다.

다이어그램에서 각 연결 리소스에는 다음과 같은 규칙이 있습니다.

  • 연결 1(VNet-Branch1):

    • IngressSNAT 규칙 1
    • EgressSNAT 규칙 1
  • 연결 2(VNet-Branch2)

    • IngressSNAT 규칙 2
    • EgressSNAT 규칙 1

연결과 관련된 규칙에 따라 각 네트워크의 주소 공간은 다음과 같습니다.

네트워크 Original 변역됨
VNet 10.0.1.0/24 192.168.1.0/24
분기 1 10.0.1.0/24 192.168.2.0/24
분기 2 10.0.1.0/24 192.168.3.0/24

다음 다이어그램에서는 NAT 변환 전후에 분기 1에서 VNet으로 이동하는 IP 패킷을 보여 줍니다.

NAT 변환 전후를 보여 주는 다이어그램

Important

단일 SNAT 규칙은 특별한 네트워크의 방향 모두에 대한 변환을 정의합니다.

  • IngressSNAT 규칙은 온-프레미스 네트워크에서 Azure VPN 게이트웨이 들어오는 원본 IP 주소 변환을 정의합니다. 또한 VNet에서 동일한 온-프레미스 네트워크로 나가는 대상 IP 주소 변환을 처리합니다.
  • EgressSNAT 규칙은 Azure VPN 게이트웨이에서 온-프레미스 네트워크로 나가는 원본 IP 주소의 변환을 정의합니다. 또한 EgressSNAT 규칙과의 연결을 통해 VNet으로 들어오는 패킷의 대상 IP 주소 변환을 처리합니다.
  • 두 경우 모두 DNAT 규칙이 필요 없습니다.

NAT 구성

이전 섹션에 표시된 대로 NAT 구성을 구현하려면 먼저 Azure VPN 게이트웨이에 NAT 규칙을 만든 다음, 연결된 해당 NAT 규칙을 사용하여 연결을 만듭니다. 크로스-프레미스에 NAT을 구성하는 단계는 Azure VPN 게이트웨이에서 NAT 구성을 참조하세요.

NAT 제한 사항 및 고려 사항

Important

NAT 기능에 대한 몇 가지 제약 조건이 있습니다.

  • NAT는 VpnGw2~5, VpnGw2AZ~5AZ와 같은 SKU에서 지원됩니다.
  • NAT는 IPsec 크로스-프레미스 연결만 지원됩니다. VNet 간 연결 또는 P2S 연결은 지원되지 않습니다.
  • 정책 기반 트래픽 선택기 사용이 사용되는 연결에서는 NAT 규칙이 지원되지 않습니다.
  • 동적 NAT에 대해 지원되는 최대 외부 매핑 서브넷 크기는 /26입니다.
  • 포트 매핑은 정적 NAT 형식으로만 구성할 수 있습니다. 동적 NAT 시나리오는 포트 매핑에 적용되지 않습니다.
  • 포트 매핑은 현재 범위를 사용할 수 없습니다. 개별 포트를 입력해야 합니다.
  • 포트 매핑은 TCP 및 UDP 프로토콜 모두에 사용할 수 있습니다.

NAT FAQ

NAT가 모든 Azure VPN Gateway SKU에서 지원되나요?

NAT는 VpnGw2에서 VpnGw25로, VpnGw2AZ에서 VpnGw5AZ로 지원됩니다.

VNet-VNet 또는 P2S 연결에서 NAT를 사용할 수 있나요?

아니요.

VPN Gateway에서 사용할 수 있는 NAT 규칙은 몇 개인가요?

VPN 게이트웨이에서 최대 100개의 NAT 규칙(수신 및 송신 규칙 결합)을 만들 수 있습니다.

NAT 규칙 이름에 슬래시(/)를 사용할 수 있나요?

아니요. 오류가 표시됩니다.

NAT가 VPN Gateway의 모든 연결에 적용되나요?

NAT는 NAT 규칙이 있는 연결에 적용됩니다. 연결에 NAT 규칙이 없으면 NAT가 해당 연결에 적용되지 않습니다. 동일한 VPN 게이트웨이에서 NAT가 적용된 연결과 NAT가 적용되지 않은 연결이 함께 작동할 수 있습니다.

VPN 게이트웨이는 어떤 유형의 NAT를 지원하나요?

VPN 게이트웨이는 정적 1:1 NAT 및 동적 NAT만 지원합니다. NAT64를 지원하지 않습니다.

NAT가 활성-활성 VPN Gateway에서 작동하나요?

예. NAT는 활성-활성 VPN Gateway와 활성-대기 VPN Gateway 모두에서 작동합니다. 각 NAT 규칙은 VPN 게이트웨이의 단일 인스턴스에 적용됩니다. 활성-활성 게이트웨이에서 IP 구성 ID 필드를 통해 각 게이트웨이 인스턴스에 대해 별도의 NAT 규칙을 만듭니다.

NAT는 BGP 연결에서 작동하나요?

예, NAT와 함께 BGP를 사용할 수 있습니다. 몇 가지 중요한 고려 사항:

  • 학습된 경로와 보급된 경로가 연결과 관련된 NAT 규칙에 따라 NAT 이후 주소 접두사(외부 매핑)로 변환되도록 하려면 NAT 규칙의 구성 페이지에서 BGP 경로 변환 사용을 선택하세요. 온-프레미스 BGP 라우터는 IngressSNAT 규칙에 정의된 대로 정확한 접두사를 보급해야 합니다.

  • 온-프레미스 VPN 라우터가 일반 비 APIPA 주소를 사용하고 VNet 주소 공간 또는 다른 온-프레미스 네트워크 공간과 충돌하는 경우 IngressSNAT 규칙이 BGP 피어 IP를 겹치지 않는 고유한 주소로 변환하는지 확인합니다. NAT 이후 주소를 로컬 네트워크 게이트웨이의 BGP 피어 IP 주소 필드에 배치합니다.

  • NAT는 BGP APIPA 주소에서 지원되지 않습니다.

SNAT 규칙에 대해 일치하는 DNAT 규칙을 만들어야 하나요?

아니요. 단일 SNAT(원본 네트워크 주소 변환) 규칙은 특정 네트워크의 방향에 대한 변환을 정의합니다.

  • IngressSNAT 규칙은 온-프레미스 네트워크에서 VPN 게이트웨이로 들어오는 원본 IP 주소의 변환을 정의합니다. 또한 가상 네트워크에서 같은 온-프레미스 네트워크로 나가는 대상 IP 주소 변환을 처리합니다.

  • EgressSNAT 규칙은 VPN 게이트웨이에서 온-프레미스 네트워크로 나가는 VNet 원본 IP 주소의 변환을 정의합니다. 또한 EgressSNAT 규칙이 있는 연결을 통해 가상 네트워크로 들어오는 패킷의 대상 IP 주소 변환을 처리합니다.

두 경우 모두 DNAT(대상 네트워크 주소 변환) 규칙이 필요하지 않습니다.

내 VNet 또는 로컬 네트워크 게이트웨이 주소 공간에 두 개 이상의 접두사가 있는 경우 어떻게 해야 합니까? NAT를 모든 항목에 적용할 수 있나요, 아니면 하위 항목에만 적용할 수 있나요?

각 NAT 규칙은 하나의 주소 접두사만 포함할 수 있으므로 각 접두사에 대해 하나의 NAT 규칙을 만들어야 합니다. 예를 들어 로컬 네트워크 게이트웨이의 주소 공간이 10.0.1.0/24와 10.0.2.0/25로 구성된 경우 다음 두 규칙을 만들 수 있습니다.

  • IngressSNAT 규칙 1: Map 10.0.1.0/24 to 192.168.1.0/24.
  • IngressSNAT 규칙 2: Map 10.0.2.0/25 to 192.168.2.0/25.

두 규칙은 해당 주소 접두사의 접두사 길이와 일치해야 합니다. VNet 주소 공간에 대한 EgressSNAT 규칙에 동일한 지침이 적용됩니다.

Important

위의 연결에 하나의 규칙만 연결하는 경우 다른 주소 공간은 변환되지 않습니다.

외부 매핑에 사용할 수 있는 IP 범위는 무엇인가요?

공용 및 개인 IP를 포함하여 원하는 모든 적합한 IP 범위를 외부 매핑에 사용할 수 있습니다.

다른 EgressSNAT 규칙을 사용하여 내 VNet 주소 공간을 온-프레미스 네트워크에 대한 다른 접두사로 변환할 수 있나요?

예. 동일한 VNet 주소 공간에 대해 여러 EgressSNAT 규칙을 만든 다음 EgressSNAT 규칙을 다른 연결에 적용할 수 있습니다.

다른 연결에서 동일한 IngressSNAT 규칙을 사용할 수 있나요?

예. 일반적으로 동일한 온-프레미스 네트워크에 대한 연결이 중복성을 제공해야 할 때 동일한 IngressSNAT 규칙을 사용합니다. 서로 다른 온-프레미스 네트워크에 대한 연결인 경우 동일한 수신 규칙을 사용할 수 없습니다.

NAT 연결에 수신 규칙과 송신 규칙이 모두 필요한가요?

온-프레미스 네트워크 주소 공간이 VNet 주소 공간과 겹치는 경우 동일한 연결에서 수신 규칙과 송신 규칙이 모두 필요합니다. VNet 주소 공간이 연결된 네트워크 전체에서 고유한 경우 해당 연결에 대한 EgressSNAT 규칙이 필요하지 않습니다. 수신 규칙을 사용하여 온-프레미스 네트워크 간의 주소 겹침을 방지할 수 있습니다.

IP 구성 ID로 무엇을 선택해야 하나요?

IP 구성 ID는 NAT 규칙을 사용하려는 IP 구성 개체의 이름일 뿐입니다. 이 설정을 사용하면 NAT 규칙에 적용할 게이트웨이 공용 IP 주소를 선택하기만 하면 됩니다. 게이트웨이를 만들 때 사용자 지정 이름을 지정하지 않은 경우 게이트웨이의 기본 IP 주소는 기본 IP 구성에 할당되고 보조 IP는 activeActive IP 구성에 할당됩니다.

다음 단계

크로스-프레미스에 NAT을 구성하는 단계는 Azure VPN 게이트웨이에서 NAT 구성을 참조하세요.