학습
모듈
Microsoft Azure의 VPN 게이트웨이 문제 해결 - Training
네트워크 구성 및 VPN(가상 사설망) 사용은 성공적인 협업에 필수적입니다. 이 모듈에서는 사이트 간 VPN과 지점 및 사이트 간 VPN을 모니터링하고 문제를 해결하는 방법을 살펴봅니다. AZ720 AZ-720 az-720 네트워킹
VPN 게이트웨이를 사용하여 S2S(사이트 간) 프레미스 간 VPN 연결을 구성하려면 VPN 디바이스가 필요합니다. 온-프레미스 네트워크와 가상 네트워크 간의 보안 연결을 만들려고 할 때마다 또는 하이브리드 솔루션을 만드는 데 사이트 간 연결을 사용할 수 있습니다. 이 문서에서는 유효성이 검사된 VPN 디바이스 목록과 VPN 게이트웨이의 IPsec/IKE 매개 변수 목록을 제공합니다.
중요
온-프레미스 VPN 디바이스와 VPN 게이트웨이 간에 연결 문제가 있는 경우 알려진 디바이스 호환성 문제를 참조하세요.
디바이스 공급업체와 협력하여 표준 VPN 디바이스 집합의 유효성을 검사했습니다. 다음 목록에 포함된 디바이스 제품군의 모든 디바이스는 VPN 게이트웨이에서 작동합니다. 이러한 알고리즘은 디바이스 구성에 권장되는 알고리즘입니다.
권장 알고리즘 | 암호화 | 무결성 | DH 그룹 |
---|---|---|---|
IKE | AES256 | SHA256 | DH2 |
IPSec | AES256GCM | AES256GCM | 없음 |
VPN 디바이스를 구성하려면 적절한 디바이스 제품군에 해당하는 링크를 참조하세요. 구성 지침에 대한 링크는 최상의 노력으로 제공되며 구성 가이드에 나열된 기본값은 최상의 암호화 알고리즘을 포함할 필요가 없습니다. VPN 디바이스 지원은 디바이스 제조업체에 문의하세요.
공급업체 | 디바이스 패밀리 | 최소 OS 버전 | 정책 기반 구성 지침 | 경로 기반 구성 지침 |
---|---|---|---|---|
A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | 호환되지 않음 | 구성 가이드 |
AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
테스트되지 않음 | 구성 가이드 |
Allied Telesis | AR 시리즈 VPN 라우터 | AR 시리즈 5.4.7 이상 | 구성 가이드 | 구성 가이드 |
Arista | CloudEOS Router | vEOS 4.24.0FX | 테스트되지 않음 | 구성 가이드 |
Barracuda Networks, Inc. | Barracuda CloudGen Firewall | 정책 기반: 5.4.3 경로 기반: 6.2.0 |
구성 가이드 | 구성 가이드 |
Check Point | Security Gateway | R80.10 | 구성 가이드 | 구성 가이드 |
시스코 | ASA | 8.3 8.4+(IKEv2*) |
지원됨 | 구성 가이드* |
시스코 | ASR | 정책 기반: IOS 15.1 경로 기반: IOS 15.2 |
지원됨 | 지원됨 |
시스코 | CSR | 경로 기반: IOS-XE 16.10 | 테스트되지 않음 | 구성 스크립트 |
시스코 | ISR | 정책 기반: IOS 15.0 경로 기반*: IOS 15.1 |
지원됨 | 지원됨 |
시스코 | Meraki(MX) | MX v15.12 | 호환되지 않음 | 구성 가이드 |
시스코 | vEdge(Viptela OS) | 18.4.0(활성/수동 모드) | 호환되지 않음 | 수동 구성(활성/수동) |
Citrix | NetScaler MPX, SDX, VPX | 10.1 이상 | 구성 가이드 | 호환되지 않음 |
F5 | BIG-IP 시리즈 | 12.0 | 구성 가이드 | 구성 가이드 |
Fortinet | FortiGate | FortiOS 5.6 | 테스트되지 않음 | 구성 가이드 |
FSAS 기술 | Si-R G 시리즈 | V04: V04.12 V20: V20.14 |
구성 가이드 | 구성 가이드 |
Hillstone Networks | NGFW(차세대 방화벽) | 5.5R7 | 테스트되지 않음 | 구성 가이드 |
HPE Aruba | EdgeConnect SDWAN 게이트웨이 | ECOS 릴리스 v9.2 오케스트레이터 OS v9.2 |
구성 가이드 | 구성 가이드 |
IIJ(Internet Initiative Japan) | SEIL 시리즈 | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
구성 가이드 | 호환되지 않음 |
Juniper | SRX | 정책 기반: JunOS 10.2 경로 기반: JunOS 11.4 |
지원됨 | 구성 스크립트 |
Juniper | J 시리즈 | 정책 기반: JunOS 10.4r9 경로 기반: JunOS 11.4 |
지원됨 | 구성 스크립트 |
Juniper | ISG | ScreenOS 6.3 | 지원됨 | 구성 스크립트 |
Juniper | SSG | ScreenOS 6.2 | 지원됨 | 구성 스크립트 |
Juniper | MX | JunOS 12.x | 지원됨 | 구성 스크립트 |
Microsoft | 라우팅 및 원격 액세스 서비스 | Windows Server 2012 | 호환되지 않음 | 지원됨 |
개방형 시스템 AG | 핵심 업무 제어 보안 게이트웨이 | 해당 없음 | 지원됨 | 호환되지 않음 |
Palo Alto Networks | PAN-OS를 실행하는 모든 디바이스 | PAN-OS 정책 기반: 6.1.5 이상 경로 기반: 7.1.4 |
지원됨 | 구성 가이드 |
Sentrium(개발자) | VyOS | VyOS 1.2.2 | 테스트되지 않음 | 구성 가이드 |
ShareTech | 차세대 UTM(NU 시리즈) | 9.0.1.3 | 호환되지 않음 | 구성 가이드 |
SonicWall | TZ 시리즈, NSA 시리즈 SuperMassive 시리즈 E-클래스 NSA 시리즈 |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
호환되지 않음 | 구성 가이드 |
Sophos | XG 차세대 방화벽 | XG v17 | 테스트되지 않음 | 구성 가이드 구성 가이드 - 다중 SA |
Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | 테스트되지 않음 | 구성 가이드 |
Ubiquiti | EdgeRouter | EdgeOS v1.10 | 테스트되지 않음 | IKEv2/IPsec을 통한 BGP IKEv2/IPsec을 통한 VTI |
Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | 테스트되지 않음 | 구성 가이드 |
WatchGuard | 모두 | Fireware XTM 정책 기반: v11.11.x 경로 기반: v11.12.x |
구성 가이드 | 구성 가이드 |
Zyxel | ZyWALL USG 시리즈 ZyWALL ATP 시리즈 ZyWALL VPN 시리즈 |
ZLD v4.32+ | 테스트되지 않음 | IKEv2/IPsec을 통한 VTI IKEv2/IPsec을 통한 BGP |
참고
(*)Cisco ASA 버전 8.4+ IKEv2 지원은 "UsePolicyBasedTrafficSelectors" 옵션과 함께 사용자 지정 IPsec/IKE 정책을 사용하여 Azure VPN Gateway에 연결할 수 있습니다. 이 방법 문서를 참조하세요.
(\*\*)ISR 7200 시리즈 라우터는 정책 기반 VPN만을 지원합니다.
특정 디바이스의 경우 Azure에서 직접 구성 스크립트를 다운로드할 수 있습니다. 자세한 내용 및 다운로드 지침은 VPN 디바이스 구성 스크립트 다운로드를 참조하세요.
디바이스가 확인된 VPN 디바이스 테이블에 없더라도 사이트 간 연결을 사용할 수 있습니다. 지원 및 구성 지침은 디바이스 제조업체에 문의하세요.
제공된 VPN 디바이스 구성 샘플을 다운로드한 후 환경에 대한 설정을 반영하기 위해 일부 값을 바꿔야 합니다.
샘플 텍스트 | 변경 |
---|---|
<RP_OnPremisesNetwork> | 이 개체에 대해 선택한 이름입니다. 예: myOnPremisesNetwork |
<RP_AzureNetwork> | 이 개체에 대해 선택한 이름입니다. 예: myAzureNetwork |
<RP_AccessList> | 이 개체에 대해 선택한 이름입니다. 예: myAzureAccessList |
<RP_IPSecTransformSet> | 이 개체에 대해 선택한 이름입니다. 예: myIPSecTransformSet |
<RP_IPSecCryptoMap> | 이 개체에 대해 선택한 이름입니다. 예: myIPSecCryptoMap |
<SP_AzureNetworkIpRange> | 범위를 지정합니다. 예: 192.168.0.0 |
<SP_AzureNetworkSubnetMask> | 서브넷 마스크를 지정합니다. 예: 255.255.0.0 |
<SP_OnPremisesNetworkIpRange> | 온-프레미스 범위를 지정합니다. 예: 10.2.1.0 |
<SP_OnPremisesNetworkSubnetMask> | 온-프레미스 서브넷 마스크를 지정합니다. 예: 255.255.255.0 |
<SP_AzureGatewayIpAddress> | 이 정보는 가상 네트워크와 관련이 있으며 게이트웨이 IP 주소인 관리 포털에 있습니다. |
<SP_PresharedKey> | 이 정보는 가상 네트워크와 관련이 있으며 키 관리인 관리 포털에 있습니다. |
다음 표에는 알고리즘의 조합 및 기본 구성(기본 정책)에서 Azure VPN 게이트웨이가 사용하는 매개 변수를 포함합니다. Azure Resource Management 배포 모델을 사용하여 만든 경로 기반 VPN Gateway의 경우 각 개별 연결에 사용자 지정 정책을 지정할 수 있습니다. 자세한 지침은 IPsec/IKE 정책 구성을 참조하세요.
다음 테이블에서
속성 | 정책 기반 | 경로 기반 |
---|---|---|
IKE 버전 | IKEv1 | IKEv1 및 IKEv2 |
Diffie-Hellman 그룹 | 그룹 2(1024비트) | 그룹 2(1024비트) |
인증 방법 | 미리 공유한 키 | 미리 공유한 키 |
암호화 및 해싱 알고리즘 | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
SA 수명 | 28,800초 | 28,800초 |
빠른 모드 SA 수 | 100 | 100 |
속성 | 정책 기반 | 경로 기반 |
---|---|---|
IKE 버전 | IKEv1 | IKEv1 및 IKEv2 |
암호화 및 해싱 알고리즘 | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
RouteBased QM SA 제품 |
SA 수명(시간) | 3,600초 | 27,000초 |
SA 수명(바이트) | 102,400,000 KB | 102,400,000 KB |
PFS(Perfect Forward Secrecy) | 아니요 | RouteBased QM SA 제품 |
작동하지 않는 피어 검색(DPD) | 지원되지 않음 | 지원됨 |
MSS 클램핑은 Azure VPN Gateway에서 양방향으로 수행됩니다. 다음 표에는 다양한 시나리오에서의 패킷 크기가 나열되어 있습니다.
패킷 흐름 | IPv4 | IPv6 |
---|---|---|
인터넷을 통해 | 1340바이트 | 1360바이트 |
Express Route 게이트웨이를 통해 | 1250바이트 | 1250바이트 |
다음 표는 IPsec SA(IKE 빠른 모드) 제품을 나열합니다. 제안이 제시되거나 수락되는 기본 설정 순서대로 제안이 나열되어 있습니다.
- | 암호화 | 인증 | PFS 그룹 |
---|---|---|---|
1 | GCM AES256 | GCM(AES256) | 없음 |
2 | AES256 | SHA1 | 없음 |
3 | 3DES | SHA1 | 없음 |
4 | AES256 | SHA256 | 없음 |
5 | AES128 | SHA1 | 없음 |
6 | 3DES | SHA256 | 없음 |
- | 암호화 | 인증 | PFS 그룹 |
---|---|---|---|
1 | GCM AES256 | GCM(AES256) | 없음 |
2 | AES256 | SHA1 | 없음 |
3 | 3DES | SHA1 | 없음 |
4 | AES256 | SHA256 | 없음 |
5 | AES128 | SHA1 | 없음 |
6 | 3DES | SHA256 | 없음 |
7 | DES | SHA1 | 없음 |
8 | AES256 | SHA1 | 1 |
9 | AES256 | SHA1 | 2 |
10 | AES256 | SHA1 | 14 |
11 | AES128 | SHA1 | 1 |
12 | AES128 | SHA1 | 2 |
13 | AES128 | SHA1 | 14 |
14 | 3DES | SHA1 | 1 |
15 | 3DES | SHA1 | 2 |
16 | 3DES | SHA256 | 2 |
17 | AES256 | SHA256 | 1 |
18 | AES256 | SHA256 | 2 |
19 | AES256 | SHA256 | 14 |
20 | AES256 | SHA1 | 24 |
21 | AES256 | SHA256 | 24 |
22 | AES128 | SHA256 | 없음 |
23 | AES128 | SHA256 | 1 |
24 | AES128 | SHA256 | 2 |
25 | AES128 | SHA256 | 14 |
26 | 3DES | SHA1 | 14 |
중요
해당 내용은 타사 VPN 디바이스 및 Azure VPN 게이트웨이 간의 알려진 호환성 문제입니다. Azure 팀은 여기에 나열된 문제를 해결하기 위해 공급 업체와 함께 적극적으로 작업 중입니다. 문제가 해결되면 이 페이지는 가장 최신 정보로 업데이트됩니다. 주기적으로 다시 확인하세요.
Azure 경로 기반 VPN에 대한 7.1.4 이전 버전으로 Palo Alto Networks 디바이스: 7.1.4 이전의 PAN-OS 버전으로 Palo Alto Networks에서 VPN 디바이스를 사용하고 Azure 경로 기반 VPN 게이트웨이에 연결 문제가 발생하는 경우 다음 단계를 수행하세요.
학습
모듈
Microsoft Azure의 VPN 게이트웨이 문제 해결 - Training
네트워크 구성 및 VPN(가상 사설망) 사용은 성공적인 협업에 필수적입니다. 이 모듈에서는 사이트 간 VPN과 지점 및 사이트 간 VPN을 모니터링하고 문제를 해결하는 방법을 살펴봅니다. AZ720 AZ-720 az-720 네트워킹