사이트 간 VPN Gateway 연결에 대한 VPN 디바이스 및 IPsec/IKE 매개 변수 정보
VPN 게이트웨이를 사용하여 S2S(사이트 간) 프레미스 간 VPN 연결을 구성하려면 VPN 디바이스가 필요합니다. 온-프레미스 네트워크와 가상 네트워크 간의 보안 연결을 만들려고 할 때마다 또는 하이브리드 솔루션을 만드는 데 사이트 간 연결을 사용할 수 있습니다. 이 문서에서는 유효성이 검사된 VPN 디바이스 목록과 VPN 게이트웨이의 IPsec/IKE 매개 변수 목록을 제공합니다.
Important
온-프레미스 VPN 디바이스와 VPN 게이트웨이 간에 연결 문제가 있는 경우 알려진 디바이스 호환성 문제를 참조하세요.
테이블 확인 시 주의 사항:
- Azure VPN 게이트웨이에 대한 용어가 변경되었습니다. 이름만 변경되었습니다. 기능이 변경되지 않았습니다.
- 정적 라우팅 = 정책 기반
- 동적 라우팅 = 경로 기반
- 고성능 VPN 게이트웨이 및 경로 기반 VPN 게이트웨이에 대한 사양은 별도로 언급하지 않는 한 동일합니다. 예를 들어 경로 기반 VPN 게이트웨이와 호환되는 확인된 VPN 디바이스는 고성능 VPN 게이트웨이와도 호환됩니다.
확인된 VPN 디바이스 및 디바이스 구성 가이드
디바이스 공급업체와 협력하여 표준 VPN 디바이스 집합의 유효성을 검사했습니다. 다음 목록에 포함된 디바이스 제품군의 모든 디바이스는 VPN 게이트웨이에서 작동합니다. 이러한 알고리즘은 디바이스 구성에 권장되는 알고리즘입니다.
| 권장 알고리즘 | 암호화 | 무결성 | DH 그룹 |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPSec | AES256GCM | AES256GCM | 없음 |
VPN 디바이스를 구성하려면 적절한 디바이스 제품군에 해당하는 링크를 참조하세요. 구성 지침에 대한 링크는 최상의 노력으로 제공되며 구성 가이드에 나열된 기본값은 최상의 암호화 알고리즘을 포함할 필요가 없습니다. VPN 디바이스 지원은 디바이스 제조업체에 문의하세요.
| 공급업체 | 디바이스 패밀리 | 최소 OS 버전 | 정책 기반 구성 지침 | 경로 기반 구성 지침 |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | 호환되지 않음 | 구성 가이드 |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
테스트되지 않음 | 구성 가이드 |
| Allied Telesis | AR 시리즈 VPN 라우터 | AR 시리즈 5.4.7 이상 | 구성 가이드 | 구성 가이드 |
| Arista | CloudEOS Router | vEOS 4.24.0FX | 테스트되지 않음 | 구성 가이드 |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | 정책 기반: 5.4.3 경로 기반: 6.2.0 |
구성 가이드 | 구성 가이드 |
| Check Point | Security Gateway | R80.10 | 구성 가이드 | 구성 가이드 |
| 시스코 | ASA | 8.3 8.4+(IKEv2*) |
지원됨 | 구성 가이드* |
| 시스코 | ASR | 정책 기반: IOS 15.1 경로 기반: IOS 15.2 |
지원됨 | 지원됨 |
| 시스코 | CSR | 경로 기반: IOS-XE 16.10 | 테스트되지 않음 | 구성 스크립트 |
| 시스코 | ISR | 정책 기반: IOS 15.0 경로 기반*: IOS 15.1 |
지원됨 | 지원됨 |
| 시스코 | Meraki(MX) | MX v15.12 | 호환되지 않음 | 구성 가이드 |
| 시스코 | vEdge(Viptela OS) | 18.4.0(활성/수동 모드) | 호환되지 않음 | 수동 구성(활성/수동) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 이상 | 구성 가이드 | 호환되지 않음 |
| F5 | BIG-IP 시리즈 | 12.0 | 구성 가이드 | 구성 가이드 |
| Fortinet | FortiGate | FortiOS 5.6 | 테스트되지 않음 | 구성 가이드 |
| Fujitsu | Si-R G 시리즈 | V04: V04.12 V20: V20.14 |
구성 가이드 | 구성 가이드 |
| Hillstone Networks | NGFW(차세대 방화벽) | 5.5R7 | 테스트되지 않음 | 구성 가이드 |
| HPE Aruba | EdgeConnect SDWAN 게이트웨이 | ECOS 릴리스 v9.2 오케스트레이터 OS v9.2 |
구성 가이드 | 구성 가이드 |
| IIJ(Internet Initiative Japan) | SEIL 시리즈 | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
구성 가이드 | 호환되지 않음 |
| Juniper | SRX | 정책 기반: JunOS 10.2 경로 기반: JunOS 11.4 |
지원됨 | 구성 스크립트 |
| Juniper | J 시리즈 | 정책 기반: JunOS 10.4r9 경로 기반: JunOS 11.4 |
지원됨 | 구성 스크립트 |
| Juniper | ISG | ScreenOS 6.3 | 지원됨 | 구성 스크립트 |
| Juniper | SSG | ScreenOS 6.2 | 지원됨 | 구성 스크립트 |
| Juniper | MX | JunOS 12.x | 지원됨 | 구성 스크립트 |
| Microsoft | 라우팅 및 원격 액세스 서비스 | Windows Server 2012 | 호환되지 않음 | 지원됨 |
| 개방형 시스템 AG | 핵심 업무 제어 보안 게이트웨이 | 해당 없음 | 지원됨 | 호환되지 않음 |
| Palo Alto Networks | PAN-OS를 실행하는 모든 디바이스 | PAN-OS 정책 기반: 6.1.5 이상 경로 기반: 7.1.4 |
지원됨 | 구성 가이드 |
| Sentrium(개발자) | VyOS | VyOS 1.2.2 | 테스트되지 않음 | 구성 가이드 |
| ShareTech | 차세대 UTM(NU 시리즈) | 9.0.1.3 | 호환되지 않음 | 구성 가이드 |
| SonicWall | TZ 시리즈, NSA 시리즈 SuperMassive 시리즈 E-클래스 NSA 시리즈 |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
호환되지 않음 | 구성 가이드 |
| Sophos | XG 차세대 방화벽 | XG v17 | 테스트되지 않음 | 구성 가이드 구성 가이드 - 다중 SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | 테스트되지 않음 | 구성 가이드 |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | 테스트되지 않음 | IKEv2/IPsec을 통한 BGP IKEv2/IPsec을 통한 VTI |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | 테스트되지 않음 | 구성 가이드 |
| WatchGuard | 모두 | Fireware XTM 정책 기반: v11.11.x 경로 기반: v11.12.x |
구성 가이드 | 구성 가이드 |
| Zyxel | ZyWALL USG 시리즈 ZyWALL ATP 시리즈 ZyWALL VPN 시리즈 |
ZLD v4.32+ | 테스트되지 않음 | IKEv2/IPsec을 통한 VTI IKEv2/IPsec을 통한 BGP |
참고 항목
(*)Cisco ASA 버전 8.4+ IKEv2 지원은 "UsePolicyBasedTrafficSelectors" 옵션과 함께 사용자 지정 IPsec/IKE 정책을 사용하여 Azure VPN Gateway에 연결할 수 있습니다. 이 방법 문서를 참조하세요.
(\*\*)ISR 7200 시리즈 라우터는 정책 기반 VPN만을 지원합니다.
Azure에서 VPN 디바이스 구성 스크립트 다운로드
특정 디바이스의 경우 Azure에서 직접 구성 스크립트를 다운로드할 수 있습니다. 자세한 내용 및 다운로드 지침은 VPN 디바이스 구성 스크립트 다운로드를 참조하세요.
확인되지 않은 VPN 디바이스
디바이스가 확인된 VPN 디바이스 테이블에 없더라도 사이트 간 연결을 사용할 수 있습니다. 지원 및 구성 지침은 디바이스 제조업체에 문의하세요.
디바이스 구성 샘플 편집
제공된 VPN 디바이스 구성 샘플을 다운로드한 후 환경에 대한 설정을 반영하기 위해 일부 값을 바꿔야 합니다.
샘플을 편집하려면
- 메모장을 사용하여 샘플을 엽니다.
- 모든 <text> 문자열을 검색하여 환경에 관련된 값으로 바꿉니다. < 및 >를 포함해야 합니다. 이름을 지정할 때 선택하는 이름은 고유해야 합니다. 명령이 작동하지 않는 경우 해당 디바이스 제조업체 설명서를 참조하세요.
| 샘플 텍스트 | 변경 |
|---|---|
| <RP_OnPremisesNetwork> | 이 개체에 대해 선택한 이름입니다. 예: myOnPremisesNetwork |
| <RP_AzureNetwork> | 이 개체에 대해 선택한 이름입니다. 예: myAzureNetwork |
| <RP_AccessList> | 이 개체에 대해 선택한 이름입니다. 예: myAzureAccessList |
| <RP_IPSecTransformSet> | 이 개체에 대해 선택한 이름입니다. 예: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | 이 개체에 대해 선택한 이름입니다. 예: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | 범위를 지정합니다. 예: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | 서브넷 마스크를 지정합니다. 예: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | 온-프레미스 범위를 지정합니다. 예: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | 온-프레미스 서브넷 마스크를 지정합니다. 예: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | 이 정보는 가상 네트워크와 관련이 있으며 게이트웨이 IP 주소인 관리 포털에 있습니다. |
| <SP_PresharedKey> | 이 정보는 가상 네트워크와 관련이 있으며 키 관리인 관리 포털에 있습니다. |
기본 IPsec/IKE 매개 변수
다음 표에는 알고리즘의 조합 및 기본 구성(기본 정책)에서 Azure VPN 게이트웨이가 사용하는 매개 변수를 포함합니다. Azure Resource Management 배포 모델을 사용하여 만든 경로 기반 VPN Gateway의 경우 각 개별 연결에 사용자 지정 정책을 지정할 수 있습니다. 자세한 지침은 IPsec/IKE 정책 구성을 참조하세요.
또한 TCP MSS를 1350에 고정해야 합니다. 또는 VPN 디바이스가 MSS 고정을 지원하지 않는 경우 대신 터널 인터페이스의 MTU를 1400바이트로 설정할 수 있습니다.
다음 테이블에서
- SA = 보안 연결
- IKE 1단계는 "주 모드"라고도 합니다.
- IKE 2단계는 "빠른 모드"라고도 합니다.
IKE 1단계(주 모드) 매개 변수
| 속성 | 정책 기반 | 경로 기반 |
|---|---|---|
| IKE 버전 | IKEv1 | IKEv1 및 IKEv2 |
| Diffie-Hellman 그룹 | 그룹 2(1024비트) | 그룹 2(1024비트) |
| 인증 방법 | 미리 공유한 키 | 미리 공유한 키 |
| 암호화 및 해싱 알고리즘 | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| SA 수명 | 28,800초 | 28,800초 |
| 빠른 모드 SA 수 | 100 | 100 |
IKE 2단계(빠른 모드) 매개 변수
| 속성 | 정책 기반 | 경로 기반 |
|---|---|---|
| IKE 버전 | IKEv1 | IKEv1 및 IKEv2 |
| 암호화 및 해싱 알고리즘 | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
RouteBased QM SA 제품 |
| SA 수명(시간) | 3,600초 | 27,000초 |
| SA 수명(바이트) | 102,400,000 KB | 102,400,000 KB |
| PFS(Perfect Forward Secrecy) | 아니요 | RouteBased QM SA 제품 |
| 작동하지 않는 피어 검색(DPD) | 지원되지 않음 | 지원됨 |
RouteBased VPN IPsec 보안 연결(IKE 빠른 모드 SA) 제품
다음 표는 IPsec SA(IKE 빠른 모드) 제품을 나열합니다. 제안이 제시되거나 수락되는 기본 설정 순서대로 제안이 나열되어 있습니다.
Azure 게이트웨이(초기자)
| - | 암호화 | 인증 | PFS 그룹 |
|---|---|---|---|
| 1 | GCM AES256 | GCM(AES256) | 없음 |
| 2 | AES256 | SHA1 | 없음 |
| 3 | 3DES | SHA1 | 없음 |
| 4 | AES256 | SHA256 | 없음 |
| 5 | AES128 | SHA1 | 없음 |
| 6 | 3DES | SHA256 | 없음 |
Azure 게이트웨이(응답자)
| - | 암호화 | 인증 | PFS 그룹 |
|---|---|---|---|
| 1 | GCM AES256 | GCM(AES256) | 없음 |
| 2 | AES256 | SHA1 | 없음 |
| 3 | 3DES | SHA1 | 없음 |
| 4 | AES256 | SHA256 | 없음 |
| 5 | AES128 | SHA1 | 없음 |
| 6 | 3DES | SHA256 | 없음 |
| 7 | DES | SHA1 | 없음 |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | 없음 |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- 경로 기반 및 고성능 VPN 게이트웨이를 사용하여 IPsec ESP NULL 암호화를 지정할 수 있습니다. Null 기반 암호화는 전송 중인 데이터를 보호하지 않으며, 최대 처리량 및 최소 대기 시간이 필요한 경우에만 사용됩니다. 클라이언트에서는 VNet 간 통신 시나리오 또는 솔루션의 다른 곳에서 암호화가 적용된 경우에 이 암호화를 사용할 수 있습니다.
- 인터넷을 통한 프레미스 간 연결의 경우 중요한 통신의 보안을 보장하려면 앞의 표에 나열된 암호화 및 해시 알고리즘을 사용하는 기본 Azure VPN Gateway 설정을 사용하세요.
알려진 디바이스 호환성 문제
Important
해당 내용은 타사 VPN 디바이스 및 Azure VPN 게이트웨이 간의 알려진 호환성 문제입니다. Azure 팀은 여기에 나열된 문제를 해결하기 위해 공급 업체와 함께 적극적으로 작업 중입니다. 문제가 해결되면 이 페이지는 가장 최신 정보로 업데이트됩니다. 주기적으로 다시 확인하세요.
2017년 2월 16일
Azure 경로 기반 VPN에 대한 7.1.4 이전 버전으로 Palo Alto Networks 디바이스: 7.1.4 이전의 PAN-OS 버전으로 Palo Alto Networks에서 VPN 디바이스를 사용하고 Azure 경로 기반 VPN 게이트웨이에 연결 문제가 발생하는 경우 다음 단계를 수행하세요.
- Palo Alto Networks 디바이스의 펌웨어 버전을 확인합니다. PAN-OS 버전이 7.1.4보다 오래된 경우 7.1.4로 업그레이드하세요.
- Palo Alto Networks 디바이스에서 Azure VPN Gateway로 연결하는 경우 단계 2 SA(또는 빠른 모드 SA) 수명을 28,800초(8시간)로 변경합니다.
- 여전히 연결 문제가 발생하면 Azure Portal에서 지원 요청을 여세요.