VPN Gateway FAQ

  • 아티클

가상 네트워크에 연결

다양한 Azure 지역에서 가상 네트워크를 연결할 수 있습니까?

예. 지역 제약 조건이 없습니다. 가상 네트워크를 동일한 지역 또는 다른 Azure 지역의 다른 가상 네트워크에 연결할 수 있습니다.

다른 구독의 가상 네트워크를 연결할 수 있습니까?

예.

VPN 게이트웨이를 구성할 때 VNet에서 프라이빗 DNS 서버를 지정할 수 있나요?

가상 네트워크를 만들 때 DNS 서버나 서버를 지정한 경우 VPN Gateway는 지정한 DNS 서버를 사용합니다. DNS 서버를 지정하는 경우 DNS 서버가 Azure에 필요한 도메인 이름을 확인할 수 있는지 확인합니다.

단일 가상 네트워크에서 여러 사이트에 연결할 수 있습니까?

Windows PowerShell 및 Azure REST API를 사용하여 여러 사이트에 연결할 수 있습니다. 다중 사이트 및 VNet 간 연결 FAQ 섹션을 참조하세요.

VPN 게이트웨이를 활성-활성으로 설정기 위한 추가 비용이 있나요?

아니요. 그러나 추가 공용 IP에 대한 비용은 그에 따라 청구됩니다. IP 주소 가격 책정을 참조하세요.

내 프레미스 간 연결 옵션은 무엇입니까?

다음과 같은 프레미스 간 가상 네트워크 게이트웨이 연결이 지원됩니다.

  • 사이트 간: IPsec 통한 VPN 연결(IKE v1 및 IKE v2). 이 연결 유형은 VPN 디바이스 또는 RRAS가 필요합니다. 자세한 내용은 사이트 간을 참조하세요.
  • 지점 및 사이트 간: SSTP(Secure Socket Tunneling Protocol) 또는 IKE v2를 통한 VPN 연결. 이 연결에는 VPN 디바이스가 필요하지 않습니다. 자세한 내용은 지점 및 사이트 간을 참조하세요.
  • VNet 간: 이 유형의 연결은 사이트 간 구성과 동일합니다. VNet 간 연결은 IPsec를 통한 VPN 연결(IKE v1 및 IKE v2)입니다. VPN 디바이스가 필요하지 않습니다. 자세한 내용은 VNet 간을 참조하세요.
  • ExpressRoute: ExpressRoute는 공용 인터넷을 통한 VPN 연결이 아닌 WAN에서 Azure에 대한 프라이빗 연결입니다. 자세한 내용은 ExpressRoute 기술 개요ExpressRoute FAQ를 참조하세요.

VPN Gateway 연결에 대한 자세한 내용은 VPN Gateway 정보를 참조하세요.

사이트 간 연결과 지점 및 사이트 간 연결의 차이점은 무엇입니까?

사이트 간(IPsec/IKE VPN 터널) 구성은 온-프레미스 위치와 Azure 사이에 있습니다. 즉, 라우팅 및 사용 권리를 어떻게 구성하는지에 따라 프레미스에 있는 원하는 컴퓨터에서 가상 네트워크 내에 있는 원하는 가상 머신 또는 역할 인스턴스에 연결할 수 있습니다. 이 연결은 항상 사용할 수 있는 프레미스 간 연결에 유용한 옵션이며 하이브리드 구성에 적합합니다. 이 연결 유형에서는 네트워크의 가장자리에 배포되어야 하는 IPsec VPN 어플라이언스(하드웨어 디바이스 또는 소프트 어플라이언스)를 사용합니다. 이 형식의 연결을 만들려면 외부 연결 IPv4 주소가 있어야 합니다.

지점 및 사이트 간(SSTP를 통한 VPN) 구성을 사용하면 모든 위치의 단일 컴퓨터에서 가상 네트워크에 있는 모든 컴퓨터에 연결할 수 있습니다. Windows 인박스 VPN 클라이언트를 사용합니다. 지점 및 사이트 간 구성의 일부로 컴퓨터를 가상 네트워크 내의 가상 머신이나 역할 인스턴스에 연결할 수 있게 해주는 설정이 포함된 VPN 클라이언트 구성 패키지와 인증서를 설치합니다. 가상 네트워크에 연결하려고 하지만 온-프레미스에 없는 경우에 유용합니다. 사이트 간 연결에 필요한 VPN 하드웨어 또는 외부 연결 IPv4 주소에 액세스할 수 없을 때 유용한 옵션입니다.

게이트웨이에 경로 기반 VPN 유형을 사용하여 사이트 간 연결을 만들기만 하면 사이트 간 연결과 지점 및 사이트 간 연결을 동시에 사용하도록 가상 네트워크를 구성할 수 있습니다. 경로 기반 VPN 유형은 클래식 배포 모델에서 동적 게이트웨이라고 합니다.

개인 정보 보호

VPN 서비스에서 고객 데이터를 저장하거나 처리하나요?

아니요.

가상 네트워크 게이트웨이

VPN Gateway는 가상 네트워크 게이트웨이인가요?

VPN Gateway는 가상 네트워크 게이트웨이의 유형입니다. VPN Gateway는 공용 연결을 통해 가상 네트워크와 온-프레미스 위치 간에 암호화된 트래픽을 전송합니다. 또한 VPN 게이트웨이를 사용하여 가상 네트워크 간에 트래픽을 전송할 수 있습니다. VPN Gateway를 만드는 경우 -GatewayType 값 'Vpn'을 사용합니다. 자세한 내용은 VPN Gateway 구성 설정 정보를 참조하세요.

정책 기반 및 경로 기반 VPN 형식을 지정할 수 없는 이유는 무엇인가요?

2023년 10월 1일 현재 Azure Portal을 통해 정책 기반 VPN 게이트웨이를 만들 수 없습니다. 모든 새 VPN 게이트웨이는 경로 기반으로 자동 생성됩니다. 정책 기반 게이트웨이가 이미 있으면 게이트웨이를 경로 기반으로 업그레이드할 필요가 없습니다. Powershell/CLI를 사용하여 정책 기반 게이트웨이를 만들 수 있습니다.

지금까지는 기존 게이트웨이 SKU에서는 경로 기반 게이트웨이의 IKEv1을 지원하지 않았습니다. 이제 대부분의 현재 게이트웨이 SKU에서 IKEv1 및 IKEv2 모두 지원합니다.

게이트웨이 VPN 유형 게이트웨이 SKU 지원되는 IKE 버전
정책 기반 게이트웨이 Basic IKEv1
경로 기반 게이트웨이 Basic IKEv2
경로 기반 게이트웨이 VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 및 IKEv2
경로 기반 게이트웨이 VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 및 IKEv2

정책 기반 VPN Gateway를 경로 기반으로 업데이트할 수 있나요?

아니요. 게이트웨이 형식은 정책 기반에서 경로 기반으로 변경하거나 경로 기반에서 정책 기반으로 변경할 수 없습니다. 게이트웨이 형식을 변경하려면 게이트웨이를 삭제하고 다시 만들어야 합니다. 이 프로세스는 60분 정도 걸립니다. 새 게이트웨이를 만들 때 원래 게이트웨이의 IP 주소를 유지할 수 없습니다.

  1. 게이트웨이와 연결된 모든 연결을 삭제합니다.

  2. 다음 문서 중 하나를 사용하여 게이트웨이를 삭제합니다.

  3. 원하는 게이트웨이 형식을 사용하여 새 게이트웨이를 만든 다음, VPN 설치를 완료합니다. 단계는 사이트 간 자습서를 참조하세요.

자체 정책 기반 트래픽 선택기를 지정할 수 있나요?

예, 트래픽 선택기는 New-AzIpsecTrafficSelectorPolicy PowerShell 명령을 통해 연결의 trafficSelectorPolicies 특성을 통해 정의할 수 있습니다. 지정된 트래픽 선택기를 적용하려면 정책 기반 트래픽 선택기 사용 옵션이 사용하도록 설정되어 있는지 확인합니다.

사용자 지정 구성된 트래픽 선택기는 Azure VPN 게이트웨이가 연결을 시작하는 경우에만 제안됩니다. VPN 게이트웨이는 원격 게이트웨이(온-프레미스 VPN 디바이스)에서 제안한 모든 트래픽 선택기를 허용합니다. 이 동작은 모든 연결 모드(기본값, InitiatorOnly 및 ResponderOnly) 간에 일치합니다.

'GatewaySubnet'이 필요한가요?

예. 게이트웨이 서브넷은 가상 네트워크 게이트웨이 서비스가 사용하는 IP 주소를 포함합니다. 가상 네트워크 게이트웨이를 구성하려면 가상 네트워크에서 사용할 게이트웨이 서브넷을 만들어야 합니다. 모든 게이트웨이 서브넷이 제대로 작동하려면 이름을 'GatewaySubnet'으로 지정해야 합니다. 게이트웨이 서브넷에 다른 이름을 지정하지 않습니다. 게이트웨이 서브넷에 VM 또는 다른 항목을 배포하지 않습니다.

게이트웨이 서브넷을 만드는 경우 서브넷이 포함하는 IP 주소의 수를 지정합니다. 게이트웨이 서브넷의 IP 주소는 게이트웨이 서비스에 할당됩니다. 일부 구성은 게이트웨이 서비스에 다른 구성보다 더 많은 IP 주소가 할당되어야 합니다. 이후 성장 및 새로운 연결 구성이 추가될 가능성에 대비하여 게이트웨이 서브넷에 IP 주소가 충분히 포함되어 있는지 확인하는 것이 좋습니다. 따라서 게이트웨이 서브넷을 /29만큼 작게 만들 수 있지만 게이트웨이 서브넷을 /27 이상으로 만드는 것이 좋습니다(/27, /26, /25 등). 만들려는 구성에 대한 요구 사항을 검토하고 가지고 있는 게이트웨이 서브넷이 그러한 요구 사항을 충족하는지 확인하세요.

Virtual Machines 또는 역할 인스턴스를 내 게이트웨이 서브넷에 배포할 수 있습니까?

아니요.

VPN 게이트웨이 IP 주소를 만들기 전에 내 VPN 게이트웨이 IP 주소를 가져올 수 있나요?

Azure Standard SKU 공용 IP 리소스는 정적 할당 방법을 사용해야 합니다. 따라서 사용하려는 표준 SKU 공용 IP 리소스를 만드는 즉시 VPN 게이트웨이의 공용 IP 주소가 생깁니다.

내 VPN 게이트웨이에 고정 공용 IP 주소를 요청할 수 있나요?

표준 SKU 공용 IP 주소 리소스는 정적 할당 방법을 사용합니다. 앞으로 새 VPN 게이트웨이를 만들 때 표준 SKU 공용 IP 주소를 사용해야 합니다. 이는 기본 SKU를 제외한 모든 게이트웨이 SKU에 적용됩니다. 현재 기본 게이트웨이 SKU는 기본 SKU 공용 IP 주소만 지원합니다. 기본 게이트웨이 SKU에 대한 표준 SKU 공용 IP 주소가 곧 지원될 예정입니다.

이전에 만든 비 영역 중복 및 비영역 게이트웨이(이름에 AZ가 없는 게이트웨이 SKU)의 경우 동적 IP 주소 할당이 지원되지만 단계적으로 폐지되고 있습니다. 동적 IP 주소를 사용하는 경우 IP 주소가 VPN 게이트웨이에 할당된 후에는 변경되지 않습니다. 게이트웨이가 삭제되고 다시 만들어지는 경우에만 VPN Gateway IP 주소가 변경됩니다. VPN 게이트웨이 공용 IP 주소는 VPN 게이트웨이의 크기 조정, 다시 설정 또는 기타 내부 유지 관리와 업그레이드를 완료할 때 변경되지 않습니다.

공용 IP 주소 기본 SKU가 사용 중지되면 VPN Gateway가 어떤 영향을 받나요?

Microsoft는 기본 SKU 공용 IP 주소를 활용하는 배포된 VPN 게이트웨이가 지속적으로 작동하기 위한 조치를 취하고 있습니다. 기본 SKU 공용 IP 주소가 있는 VPN 게이트웨이가 이미 있는 경우 아무 작업도 수행할 필요가 없습니다.

그러나 기본 SKU 공용 IP 주소가 단계적으로 폐지되고 있다는 점에 유의해야 합니다. 앞으로 새 VPN 게이트웨이를 만들 때 표준 SKU 공용 IP 주소를 사용해야 합니다. 기본 SKU 공용 IP 주소 사용 중지에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

내 VPN 터널을 어떻게 인증합니까?

Azure VPN은 PSK(미리 공유한 키) 인증을 사용합니다. VPN 터널을 만들 때 PSK(미리 공유한 키)를 생성합니다. Set Pre-Shared Key PowerShell cmdlet 또는 REST API를 사용하여 자동 생성된 PSK를 자체 PSK로 변경할 수 있습니다.

사전 공유 키 설정 API를 사용하여 정책 기반(고정 라우팅) 게이트웨이 VPN을 구성할 수 있습니까?

예, 사전 공유 키 설정 API 및 PowerShell cmdlet을 Azure 정책 기반(고정) VPN 및 경로 기반(동적) 라우팅 VPN을 구성하는 데 사용할 수 있습니다.

다른 인증 옵션을 사용할 수 있습니까?

인증에는 PSK(미리 공유한 키)를 사용하도록 제한됩니다.

VPN 게이트웨이를 통해 전송되는 트래픽을 지정하려면 어떻게 해야 합니까?

리소스 관리자 배포 모델

  • PowerShell: "AddressPrefix"를 사용하여 로컬 네트워크 게이트웨이에 대한 트래픽을 지정합니다.
  • Azure Portal: 로컬 네트워크 게이트웨이 > 구성> 주소 공간으로 이동합니다.

클래식 배포 모델

  • Azure Portal: 클래식 가상 네트워크 > VPN 연결 > 사이트 간 VPN 연결 > 로컬 사이트 이름 > 로컬 사이트 > 클라이언트 주소 공간으로 이동합니다.

내 VPN 연결에서 NAT-T를 사용할 수 있나요?

예, NAT-T(NAT traversal)가 지원됩니다. Azure VPN Gateway는 IPsec 터널과 주고받는 내부 패킷에서 NAT 같은 기능을 수행하지 않습니다. 이 구성에서 온-프레미스 디바이스가 IPSec 터널을 시작하는지 확인합니다.

Azure에서 내 VPN 서버를 설정하여 온-프레미스 네트워크에 연결하는 데 사용할 수 있습니까?

예, Azure Marketplace에서 또는 사용자 VPN 라우터를 만들어서 Azure에 사용자 VPN 게이트웨이 또는 서버를 배포할 수 있습니다. 온-프레미스 네트워크와 가상 네트워크 서브넷 간에 트래픽이 적절하게 라우팅되도록 하려면 가상 네트워크에서 사용자 정의 경로를 구성해야 합니다.

내 가상 네트워크 게이트웨이에서 특정 포트가 열리는 이유는?

Azure 인프라 통신을 위해 필요합니다. Azure 인증서에 의해 보호(잠김)됩니다. 적절한 인증서가 없는 경우 해당 게이트웨이 고객을 포함하여 외부 엔터티는 해당 엔드포인트에 어떤 영향도 미칠 수 없습니다.

가상 네트워크 게이트웨이는 기본적으로 고객 프라이빗 네트워크에 연결하는 하나의 NIC와 공용 네트워크를 연결하는 하나의 NIC를 갖춘 멀티홈 디바이스입니다. Azure 인프라 엔터티는 규정 준수 이유로 고객 프라이빗 네트워크에 연결할 수 없으므로 인프라 통신용 공용 엔드포인트를 이용해야 합니다. 공용 엔드포인트는 Azure 보안 감사에서 정기적으로 검색됩니다.

포털에서 기본 게이트웨이 SKU를 사용하여 VPN Gateway를 만들 수 있나요?

아니요. 기본 SKU를 포털에서 사용할 수 없습니다. Azure CLI 또는 PowerShell을 사용하여 기본 SKU VPN Gateway를 만들 수 있습니다.

게이트웨이 유형, 요구 사항 및 처리량에 대한 정보를 어디서 찾을 수 있나요?

다음 문서를 참조하세요.

레거시 SKU에 대한 SKU 사용 중단

표준 및 고성능 SKU는 2025년 9월 30일부터 사용되지 않습니다. 여기서 공지를 확인할 수 있습니다. 제품 팀은 2024년 11월 30일까지 이러한 SKU에 마이그레이션 경로를 사용할 수 있도록 합니다. 자세한 내용은 VPN Gateway 레거시 SKU 문서를 참조하세요. 현재 수행해야 하는 작업은 없습니다.

2023년 11월 30일 사용 중단 발표 후 새 표준/고성능 SKU를 만들 수 있나요?

아니요. 2023년 12월 1일부터는 표준 또는 고성능 SKU를 사용하여 새 게이트웨이를 만들 수 없습니다. 가격 책정 페이지에 각각 나열된 표준 및 고성능 SKU와 동일한 가격으로 VpnGw1 및 VpnGw2를 사용하여 새 게이트웨이를 만들 수 있습니다.

기존 게이트웨이는 표준/고성능 SKU에서 지원되는 기간은 어떻게 되나요?

표준 또는 고성능 SKU를 사용하는 모든 기존 게이트웨이는 2025년 9월 30일까지 지원됩니다.

지금 표준/고성능 게이트웨이 SKU를 마이그레이션해야 하나요?

지금 수행해야 하는 작업은 없습니다. 2024년 12월부터 SKU를 마이그레이션할 수 있습니다. Microsoft는 마이그레이션 단계에 대한 자세한 문서를 제공할 예정입니다.

게이트웨이를 마이그레이션할 수 있는 SKU는 무엇인가요?

게이트웨이 SKU 마이그레이션을 사용할 수 있게 되면 다음과 같이 SKU를 마이그레이션할 수 있습니다.

  • 표준 -> VpnGw1
  • 고성능 -> VpnGw2

AZ SKU로 마이그레이션하려면 어떻게 해야 하나요?

레거시 SKU를 AZ SKU로 마이그레이션할 수 없습니다. 그러나 2025년 9월 30일 이후에 표준 또는 고성능 SKU를 계속 사용하는 모든 게이트웨이는 자동으로 마이그레이션되고 다음과 같은 SKU로 업그레이드됩니다.

  • 표준 -> VpnGw1AZ
  • 고성능 -> VpnGw2AZ

이 전략을 사용하여 SKU를 자동으로 마이그레이션하고 AZ SKU로 업그레이드할 수 있습니다. 그런 다음, 필요한 경우 해당 SKU 제품군 내에서 SKU 크기를 조정할 수 있습니다. AZ SKU 가격 책정은 가격 책정 페이지를 참조하세요. SKU별 처리량 정보는 게이트웨이 SKU 정보를 참조하세요.

마이그레이션 후 게이트웨이 가격에 차이가 있나요?

2025년 9월 30일까지 SKU를 마이그레이션하는 경우에는 가격 차이가 없습니다. VpnGw1 및 VpnGw2 SKU는 각각 표준 및 고성능 SKU와 같은 가격으로 제공됩니다. 해당 날짜까지 마이그레이션하지 않으면 SKU가 자동으로 마이그레이션되고 AZ SKU로 업그레이드됩니다. 이 경우 가격 차이가 발생합니다.

이 마이그레이션을 통해 게이트웨이 성능이 영향을 받나요?

예, VpnGw1 및 VpnGw2를 사용하면 성능이 향상됩니다. 현재 650Mbps의 VpnGw1 및 1Gbps의 VpnGw2의 성능은 각각 레거시 표준 및 고성능 게이트웨이와 같은 가격으로 6.5배 및 5배 향상됩니다. SKU 처리량에 대한 자세한 내용은 게이트웨이 SKU 정보를 참조하세요.

2025년 9월 30일까지 SKU를 마이그레이션하지 않으면 어떻게 되나요?

표준 또는 고성능 SKU를 계속 사용하는 모든 게이트웨이는 자동으로 마이그레이션되고 다음과 같은 AZ SKU로 업그레이드됩니다.

  • 표준 -> VpnGw1AZ
  • 고성능 -> VpnGw2AZ

모든 게이트웨이에서 마이그레이션을 시작하기 전에 최종 통신이 전송됩니다.

VPN Gateway 기본 SKU도 사용 중지되나요?

아니요, VPN Gateway 기본 SKU가 여기에 있습니다. PowerShell 또는 CLI를 통해 기본 게이트웨이 SKU를 사용하여 VPN 게이트웨이를 만들 수 있습니다. 현재 VPN Gateway 기본 게이트웨이 SKU는 기본 SKU 공용 IP 주소 리소스(사용 중지 경로에 있음)만 지원합니다. 표준 SKU 공용 IP 주소 리소스에 대한 VPN Gateway 기본 게이트웨이 SKU에 지원을 추가하기 위해 노력하고 있습니다.

사이트 간 연결 및 VPN 디바이스

VPN 디바이스를 선택할 때 고려할 사항은 무엇입니까?

디바이스 공급업체와 협력하여 표준 사이트 간 VPN 디바이스의 유효성을 검사했습니다. 알려진 호환 VPN 디바이스, 해당 구성 지침 또는 샘플 및 디바이스 사양 목록은 VPN 디바이스 정보 문서에서 확인할 수 있습니다. 호환하는 것으로 알려진 목록의 디바이스 제품군에 포함된 모든 디바이스는 Virtual Network에서 작동합니다. VPN 디바이스를 구성하려면 적절한 디바이스 제품군에 해당하는 디바이스 구성 샘플 또는 링크를 참조하세요.

VPN 디바이스 구성 설정을 어디서 찾을 수 있나요?

VPN 디바이스 구성 스크립트를 다운로드하려면:

사용하는 VPN 디바이스에 따라 VPN 디바이스 구성 스크립트를 다운로드할 수 있습니다. 자세한 내용은 VPN 디바이스 구성 스크립트 다운로드를 참조하세요.

추가 구성 정보는 다음 링크를 참조하세요.

VPN 디바이스 구성 샘플을 편집하려면 어떻게 하나요?

디바이스 구성 샘플을 편집하는 방법에 대한 정보는 샘플 편집을 참조하세요.

IPsec 및 IKE 매개 변수를 어디서 찾을 수 있나요?

IPsec/IKE 매개 변수는 매개 변수를 참조하세요.

트래픽이 유휴 상태일 때 정책 기반 VPN 터널이 다운되는 이유는 무엇인가요?

정책 기반(정적 라우팅이라고도 함) VPN 게이트웨이에서 예상되는 동작입니다. 터널의 트래픽이 5분 이상 유휴 상태이면 터널이 삭제됩니다. 트래픽이 어느 방향으로든지 흐르기 시작되면 터널이 즉시 다시 설정됩니다.

소프트웨어 VPN을 사용하여 Azure에 연결할 수 있습니까?

사이트 간 교차 프레미스 구성에 Windows Server 2012 RRAS(라우팅 및 원격 액세스) 서버를 지원합니다.

다른 소프트웨어 VPN 솔루션은 업계 표준 IPsec 구현을 따르는 경우에만 Microsoft 게이트웨이에 사용할 수 있습니다. 구성 및 지원 지침은 소프트웨어 공급 업체에 문의하세요.

사이트 간 연결이 활성인 사이트에 있는 경우 지점 및 사이트 간을 통해 VPN 게이트웨이에 연결할 수 있나요?

예, 하지만 지점 및 사이트 간 클라이언트의 공용 IP 주소는 사이트 간 VPN 디바이스에서 사용하는 공용 IP 주소와 달라야 합니다. 그렇지 않으면 지점 및 사이트 간 연결이 작동하지 않습니다. IKEv2와의 지점 및 사이트 간 연결은 동일한 Azure VPN 게이트웨이에서 사이트 간 VPN 연결이 구성되는 동일한 공용 IP 주소에서 시작할 수 없습니다.

지점 및 사이트 간 - 인증서 인증

이 섹션은 Resource Manager 배포 모델에 적용됩니다.

지점 및 사이트 간 구성에서 VPN 클라이언트 엔드포인트를 몇 개까지 지정할 수 있나요?

게이트웨이 SKU에 따라 다릅니다. 지원되는 연결 수에 대한 자세한 내용은 게이트웨이 SKU를 참조하세요.

지점 및 사이트 간 연결에 사용할 수 있는 클라이언트 운영 체제는 무엇인가요?

다음과 같은 클라이언트 운영 체제가 지원됩니다.

  • Windows Server 2008 R2(64비트 전용)
  • Windows 8.1(32비트 및 64비트)
  • Windows Server 2012(64비트 전용)
  • Windows Server 2012 R2(64비트 전용)
  • Windows Server 2016(64비트 전용)
  • Windows Server 2019(64비트 전용)
  • Windows Server 2022(64비트만 해당)
  • Windows 10
  • Windows 11
  • macOS 버전 10.11 이상
  • Linux(StrongSwan)
  • iOS

지점 및 사이트 간 기능을 사용하여 프록시와 방화벽을 트래버스할 수 있나요?

Azure에서는 세 가지 형식의 지점 및 사이트 간 VPN 옵션을 지원합니다.

  • SSTP(Secure Socket Tunneling Protocol) SSTP는 Microsoft 등록 SSL 기반 솔루션으로 대부분의 방화벽이 443 SSL에서 사용하는 아웃바운드 TCP 포트를 열기 때문에 방화벽을 뚫을 수 있습니다.

  • OpenVPN. OpenVPN은 SSL 기반 솔루션으로 대부분의 방화벽이 443 SSL에서 사용하는 아웃바운드 TCP 포트를 열기 때문에 방화벽을 뚫을 수 있습니다.

  • IKEv2 VPN IKEv2 VPN은 표준 기반 IPsec VPN 솔루션으로 아웃바운드 UDP 포트 500과 4500 및 IP 주소 프로토콜 번호 50을 사용합니다. 방화벽이 항상 이러한 포트를 여는 것은 아니므로 IKEv2 VPN이 프록시와 방화벽을 통과하지 못할 가능성이 있습니다.

지점 및 사이트 간 연결에 구성한 클라이언트 컴퓨터를 다시 시작하면 VPN이 자동으로 다시 연결되나요?

자동 다시 연결은 사용되는 클라이언트의 함수입니다. Windows는 Always On VPN 클라이언트 기능을 구성하여 자동 다시 연결 기능을 지원합니다.

지점 및 사이트 간 연결이 VPN 클라이언트에서 DDNS를 지원하나요?

DDNS는 현재 지점 및 사이트 간 VPN에서 지원되지 않습니다.

동일한 가상 네트워크에 대해 사이트 간 구성과 지점 및 사이트 간 구성을 함께 사용할 수 있나요?

예. Resource Manager 배포 모델의 경우 게이트웨이에 대한 경로 기반 VPN 형식이 있어야 합니다. 클래식 배포 모델의 경우 동적 게이트웨이가 필요합니다. 고정 라우팅 VPN 게이트웨이 또는 정책 기반 VPN 게이트웨이에 지점 및 사이트 간 연결을 지원하지 않습니다.

지점 및 사이트 간 클라이언트를 여러 가상 네트워크 게이트웨이에 동시에 연결하도록 구성할 수 있나요?

사용되는 VPN 클라이언트 소프트웨어에 따라 연결 대상 가상 네트워크 간 또는 클라이언트가 연결되는 네트워크에 충돌하는 주소 공간이 없다면 여러 Virtual Network 게이트웨이에 연결할 수 있습니다. Azure VPN 클라이언트는 여러 VPN 연결을 지원하지만 한 번에 한 VPN만 연결할 수 있습니다.

지점 및 사이트 간 클라이언트를 동시에 여러 가상 네트워크에 연결되도록 구성할 수 있나요?

예, 다른 VNet과 피어링된 VNet에 배포된 가상 네트워크 게이트웨이에 대한 지점 및 사이트 간 클라이언트 연결에는 피어링된 다른 VNet에 대한 액세스 권한이 있을 수 있습니다. 피어링된 VNet이 UseRemoteGateway/AllowGatewayTransit 기능을 사용하는 경우 지점 및 사이트 간 클라이언트는 피어링된 VNet에 연결할 수 있습니다. 자세한 내용은 지점 및 사이트 간 라우팅 정보를 참조하세요.

사이트 간 연결 또는 지점 및 사이트 간 연결을 통해 어느 정도의 처리량을 제공할 수 있나요?

VPN 터널의 정확한 처리량을 유지하는 것은 어렵습니다. IPsec과 SSTP는 암호화 중심 VPN 프로토콜입니다. 또한 처리량은 프레미스와 인터넷 간의 대기 시간과 대역폭에 의해 제한됩니다. IKEv2 지점 및 사이트 간 VPN 연결을 포함한 VPN Gateway의 경우 예상할 수 있는 총 처리량은 게이트웨이 SKU에 따라 달라집니다. 처리량에 대한 자세한 내용은 게이트웨이 SKU를 참조하세요.

SSTP 및/또는 IKEv2를 지원하는 지점 및 사이트 간 연결에 소프트웨어 VPN 클라이언트를 사용할 수 있나요?

아니요. SSTP의 경우 Windows에서 네이티브 VPN 클라이언트를 사용하고 IKEv2의 경우 Mac에서 네이티브 VPN 클라이언트를 사용할 수 있습니다. 그러나 모든 플랫폼의 OpenVPN 클라이언트를 사용하여 OpenVPN 프로토콜을 통해 연결할 수 있습니다. 지원되는 클라이언트 운영 체제 목록을 참조하세요.

지점 및 사이트 간 연결의 인증 유형을 변경하려면 어떻게 할까요?

예. 포털에서 VPN 게이트웨이 -> 지점 및 사이트 간 구성 페이지로 이동합니다. 인증 유형에서 사용하려는 인증 유형을 선택합니다. 인증 유형을 변경한 후에는 새 VPN 클라이언트 구성 프로필이 생성, 다운로드되고 각 VPN 클라이언트에 적용될 때까지 현재 클라이언트에서 연결하지 못할 수 있습니다.

Azure는 Windows에서 IKEv2 VPN을 지원합니까?

IKEv2는 Windows 10 및 Server 2016에서 지원됩니다. 그러나 특정 OS 버전에서 IKEv2를 사용하려면 업데이트를 설치하고 로컬로 레지스트리 키 값을 설정해야 합니다. Windows 10 이전의 OS는 지원되지 않으며 SSTP 또는 OpenVPN® 프로토콜만 사용할 수 있습니다.

참고 항목

Windows 10 버전 1709 및 Windows Server 2016 버전 1607보다 최신인 Windows OS 빌드에는 이러한 단계가 필요하지 않습니다.

IKEv2에 대해 Windows 10 또는 Server 2016을 준비하려면:

  1. OS 버전에 따라 업데이트를 설치합니다.

    OS 버전 날짜 번호/링크
    Windows Server 2016
    Windows 10 버전 1607    		 2018년 1월 17일 KB4057142
    Windows 10 버전 1703 2018년 1월 17일 KB4057144
    Windows 10 버전 1709 2018년 3월 22일 KB4089848

  2. 레지스트리 키 값을 설정합니다. 레지스트리에 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD 키를 만들거나 1로 설정합니다.

지점 및 사이트 간 연결을 위한 IKEv2 트래픽 선택기에는 어떤 제한이 있나요?

Windows 10 버전 2004(2021년 9월에 출시)에서 트래픽 선택기 제한이 255로 상향되었습니다. 이전 버전의 Windows는 트래픽 선택기 제한이 25입니다.

Windows의 트래픽 선택기 제한에 따라 가상 네트워크의 최대 주소 공간 및 로컬 네트워크의 최대 합계, VNet 간 연결 수, 게이트웨이에 연결된 피어링된 VNet 수가 달라집니다. 이 제한을 초과하면 Windows 기반 지점 및 사이트 간 클라이언트가 IKEv2를 통해 연결할 수 없습니다.

P2S VPN 연결에 대해 SSTP 및 IKEv2를 모두 구성되면 어떻게 되나요?

혼합된 환경(Windows 및 Mac 디바이스로 구성)에서 SSTP 및 IKEv2 모두를 구성하는 경우 Windows VPN 클라이언트는 항상 IKEv2 터널을 먼저 시도하지만 IKEv2 연결이 실패하는 경우 SSTP로 대체합니다. MacOSX는 IKEv2를 통해서만 연결합니다.

게이트웨이에서 SSTP와 IKEv2를 모두 사용하도록 설정하면 지점 및 사이트 간 주소 풀이 둘 간에 정적으로 분할되므로 서로 다른 프로토콜을 사용하는 클라이언트에는 하위 범위의 IP 주소가 할당됩니다. 주소 범위가 /24보다 크더라도 SSTP 클라이언트의 최대 크기는 항상 128이며, 그 결과 IKEv2 클라이언트에서 사용할 수 있는 주소 양이 더 커집니다. 더 작은 범위의 경우 풀이 똑같이 반으로 줄어듭니다. 게이트웨이에서 사용하는 트래픽 선택기에는 지점 및 사이트 간 주소 범위 CIDR이 포함되지 않지만 두 개의 하위 범위 CIDR이 포함될 수 있습니다.

Azure는 P2S VPN에 대해 Windows나 Mac 이외에 다른 어떤 플랫폼을 지원합니까?

Azure는 P2S VPN에 대해 Windows, Mac 및 Linux를 지원합니다.

배포된 Azure VPN Gateway가 이미 있습니다. 여기에서 RADIUS 및/또는 IKEv2 VPN을 사용할 수 있습니까?

예, 사용 중인 게이트웨이 SKU에서 RADIUS 및/또는 IKEv2를 지원하는 경우 PowerShell 또는 Azure Portal을 사용하여 이미 배포한 게이트웨이에서 이 기능을 사용할 수 있습니다. 기본 SKU는 RADIUS 또는 IKEv2를 지원하지 않습니다.

P2S 연결 구성을 제거하는 방법은 무엇인가요?

Azure CLI 및 PowerShell에서 다음 명령을 사용하여P2S 구성을 제거할 수 있습니다.

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

인증서 인증을 사용하여 연결할 때 인증서 불일치가 발생하면 어떻게 해야 합니까?

수동으로 프로필을 만들 때 "인증서의 유효성을 검사하여 서버의 ID 검증"을 선택 취소하거나 인증서와 함께 서버 FQDN을 추가합니다. 명령 프롬프트에서 rasphone을 실행하고 드롭다운 목록에서 프로필을 선택하여 이 작업을 수행할 수 있습니다.

일반적으로 서버 ID 유효성 검사를 우회하는 것은 권장되지 않지만 Azure 인증서 인증을 사용하면 VPN 터널링 프로토콜(IKEv2/SSTP) 및 EAP 프로토콜에서 서버 유효성 검사에 동일한 인증서가 사용됩니다. 서버 인증서와 FQDN의 유효성은 이미 VPN 터널링 프로토콜을 통해 검사되었으므로 EAP에서 다시 같은 유효성을 검사할 필요는 없습니다.

지점 및 사이트 간의 인증

지점 및 사이트 간 연결을 위한 인증서를 생성하기 위해 내부 PKI 루트 CA를 사용할 수 있습니까?

예. 이전에는 자체 서명한 루트 인증서만 사용할 수 있었습니다. 여전히 20개의 루트 인증서를 업로드할 수 있습니다.

Azure Key Vault의 인증서를 사용할 수 있습니까?

아니요.

인증서를 만들려면 어떤 도구를 사용합니까?

You can use your Enterprise PKI 솔루션(사용자 인터넷 PKI), Azure PowerShell, MakeCert 및 OpenSSL을 사용할 수 있습니다.

인증서 설정 및 매개 변수에 대한 지침이 있나요?

  • Internal PKI/Enterprise PKI 솔루션:인증서 생성단계를 봅니다.

  • Azure PowerShell: 단계는 Azure PowerShell 문서를 참조하세요.

  • Makecert: 단계는 Makecert 문서를 참조하세요.

  • OpenSSL:

    • 인증서를 내보낼 때는 루트 인증서를 Base64로 변환해야 합니다.

    • 클라이언트 인증서:

      • 프라이빗 키를 만들 때에는 길이를 4096으로 지정합니다.
      • 인증서를 만들 때에는 -extensions 매개 변수에 대해 usr_cert를 지정합니다.

지점 및 사이트 간 - RADIUS 인증

이 섹션은 Resource Manager 배포 모델에 적용됩니다.

지점 및 사이트 간 구성에서 VPN 클라이언트 엔드포인트를 몇 개까지 지정할 수 있나요?

게이트웨이 SKU에 따라 다릅니다. 지원되는 연결 수에 대한 자세한 내용은 게이트웨이 SKU를 참조하세요.

지점 및 사이트 간 연결에 사용할 수 있는 클라이언트 운영 체제는 무엇인가요?

다음과 같은 클라이언트 운영 체제가 지원됩니다.

  • Windows Server 2008 R2(64비트 전용)
  • Windows 8.1(32비트 및 64비트)
  • Windows Server 2012(64비트 전용)
  • Windows Server 2012 R2(64비트 전용)
  • Windows Server 2016(64비트 전용)
  • Windows Server 2019(64비트 전용)
  • Windows Server 2022(64비트만 해당)
  • Windows 10
  • Windows 11
  • macOS 버전 10.11 이상
  • Linux(StrongSwan)
  • iOS

지점 및 사이트 간 기능을 사용하여 프록시와 방화벽을 트래버스할 수 있나요?

Azure에서는 세 가지 형식의 지점 및 사이트 간 VPN 옵션을 지원합니다.

  • SSTP(Secure Socket Tunneling Protocol) SSTP는 Microsoft 등록 SSL 기반 솔루션으로 대부분의 방화벽이 443 SSL에서 사용하는 아웃바운드 TCP 포트를 열기 때문에 방화벽을 뚫을 수 있습니다.

  • OpenVPN. OpenVPN은 SSL 기반 솔루션으로 대부분의 방화벽이 443 SSL에서 사용하는 아웃바운드 TCP 포트를 열기 때문에 방화벽을 뚫을 수 있습니다.

  • IKEv2 VPN IKEv2 VPN은 표준 기반 IPsec VPN 솔루션으로 아웃바운드 UDP 포트 500과 4500 및 IP 주소 프로토콜 번호 50을 사용합니다. 방화벽이 항상 이러한 포트를 여는 것은 아니므로 IKEv2 VPN이 프록시와 방화벽을 통과하지 못할 가능성이 있습니다.

지점 및 사이트 간 연결에 구성한 클라이언트 컴퓨터를 다시 시작하면 VPN이 자동으로 다시 연결되나요?

자동 다시 연결은 사용되는 클라이언트의 함수입니다. Windows는 Always On VPN 클라이언트 기능을 구성하여 자동 다시 연결 기능을 지원합니다.

지점 및 사이트 간 연결이 VPN 클라이언트에서 DDNS를 지원하나요?

DDNS는 현재 지점 및 사이트 간 VPN에서 지원되지 않습니다.

동일한 가상 네트워크에 대해 사이트 간 구성과 지점 및 사이트 간 구성을 함께 사용할 수 있나요?

예. Resource Manager 배포 모델의 경우 게이트웨이에 대한 경로 기반 VPN 형식이 있어야 합니다. 클래식 배포 모델의 경우 동적 게이트웨이가 필요합니다. 고정 라우팅 VPN 게이트웨이 또는 정책 기반 VPN 게이트웨이에 지점 및 사이트 간 연결을 지원하지 않습니다.

지점 및 사이트 간 클라이언트를 여러 가상 네트워크 게이트웨이에 동시에 연결하도록 구성할 수 있나요?

사용되는 VPN 클라이언트 소프트웨어에 따라 연결 대상 가상 네트워크 간 또는 클라이언트가 연결되는 네트워크에 충돌하는 주소 공간이 없다면 여러 Virtual Network 게이트웨이에 연결할 수 있습니다. Azure VPN 클라이언트는 여러 VPN 연결을 지원하지만 한 번에 한 VPN만 연결할 수 있습니다.

지점 및 사이트 간 클라이언트를 동시에 여러 가상 네트워크에 연결되도록 구성할 수 있나요?

예, 다른 VNet과 피어링된 VNet에 배포된 가상 네트워크 게이트웨이에 대한 지점 및 사이트 간 클라이언트 연결에는 피어링된 다른 VNet에 대한 액세스 권한이 있을 수 있습니다. 피어링된 VNet이 UseRemoteGateway/AllowGatewayTransit 기능을 사용하는 경우 지점 및 사이트 간 클라이언트는 피어링된 VNet에 연결할 수 있습니다. 자세한 내용은 지점 및 사이트 간 라우팅 정보를 참조하세요.

사이트 간 연결 또는 지점 및 사이트 간 연결을 통해 어느 정도의 처리량을 제공할 수 있나요?

VPN 터널의 정확한 처리량을 유지하는 것은 어렵습니다. IPsec과 SSTP는 암호화 중심 VPN 프로토콜입니다. 또한 처리량은 프레미스와 인터넷 간의 대기 시간과 대역폭에 의해 제한됩니다. IKEv2 지점 및 사이트 간 VPN 연결을 포함한 VPN Gateway의 경우 예상할 수 있는 총 처리량은 게이트웨이 SKU에 따라 달라집니다. 처리량에 대한 자세한 내용은 게이트웨이 SKU를 참조하세요.

SSTP 및/또는 IKEv2를 지원하는 지점 및 사이트 간 연결에 소프트웨어 VPN 클라이언트를 사용할 수 있나요?

아니요. SSTP의 경우 Windows에서 네이티브 VPN 클라이언트를 사용하고 IKEv2의 경우 Mac에서 네이티브 VPN 클라이언트를 사용할 수 있습니다. 그러나 모든 플랫폼의 OpenVPN 클라이언트를 사용하여 OpenVPN 프로토콜을 통해 연결할 수 있습니다. 지원되는 클라이언트 운영 체제 목록을 참조하세요.

지점 및 사이트 간 연결의 인증 유형을 변경하려면 어떻게 할까요?

예. 포털에서 VPN 게이트웨이 -> 지점 및 사이트 간 구성 페이지로 이동합니다. 인증 유형에서 사용하려는 인증 유형을 선택합니다. 인증 유형을 변경한 후에는 새 VPN 클라이언트 구성 프로필이 생성, 다운로드되고 각 VPN 클라이언트에 적용될 때까지 현재 클라이언트에서 연결하지 못할 수 있습니다.

Azure는 Windows에서 IKEv2 VPN을 지원합니까?

IKEv2는 Windows 10 및 Server 2016에서 지원됩니다. 그러나 특정 OS 버전에서 IKEv2를 사용하려면 업데이트를 설치하고 로컬로 레지스트리 키 값을 설정해야 합니다. Windows 10 이전의 OS는 지원되지 않으며 SSTP 또는 OpenVPN® 프로토콜만 사용할 수 있습니다.

참고 항목

Windows 10 버전 1709 및 Windows Server 2016 버전 1607보다 최신인 Windows OS 빌드에는 이러한 단계가 필요하지 않습니다.

IKEv2에 대해 Windows 10 또는 Server 2016을 준비하려면:

  1. OS 버전에 따라 업데이트를 설치합니다.

    OS 버전 날짜 번호/링크
    Windows Server 2016
    Windows 10 버전 1607    		 2018년 1월 17일 KB4057142
    Windows 10 버전 1703 2018년 1월 17일 KB4057144
    Windows 10 버전 1709 2018년 3월 22일 KB4089848

  2. 레지스트리 키 값을 설정합니다. 레지스트리에 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD 키를 만들거나 1로 설정합니다.

지점 및 사이트 간 연결을 위한 IKEv2 트래픽 선택기에는 어떤 제한이 있나요?

Windows 10 버전 2004(2021년 9월에 출시)에서 트래픽 선택기 제한이 255로 상향되었습니다. 이전 버전의 Windows는 트래픽 선택기 제한이 25입니다.

Windows의 트래픽 선택기 제한에 따라 가상 네트워크의 최대 주소 공간 및 로컬 네트워크의 최대 합계, VNet 간 연결 수, 게이트웨이에 연결된 피어링된 VNet 수가 달라집니다. 이 제한을 초과하면 Windows 기반 지점 및 사이트 간 클라이언트가 IKEv2를 통해 연결할 수 없습니다.

P2S VPN 연결에 대해 SSTP 및 IKEv2를 모두 구성되면 어떻게 되나요?

혼합된 환경(Windows 및 Mac 디바이스로 구성)에서 SSTP 및 IKEv2 모두를 구성하는 경우 Windows VPN 클라이언트는 항상 IKEv2 터널을 먼저 시도하지만 IKEv2 연결이 실패하는 경우 SSTP로 대체합니다. MacOSX는 IKEv2를 통해서만 연결합니다.

게이트웨이에서 SSTP와 IKEv2를 모두 사용하도록 설정하면 지점 및 사이트 간 주소 풀이 둘 간에 정적으로 분할되므로 서로 다른 프로토콜을 사용하는 클라이언트에는 하위 범위의 IP 주소가 할당됩니다. 주소 범위가 /24보다 크더라도 SSTP 클라이언트의 최대 크기는 항상 128이며, 그 결과 IKEv2 클라이언트에서 사용할 수 있는 주소 양이 더 커집니다. 더 작은 범위의 경우 풀이 똑같이 반으로 줄어듭니다. 게이트웨이에서 사용하는 트래픽 선택기에는 지점 및 사이트 간 주소 범위 CIDR이 포함되지 않지만 두 개의 하위 범위 CIDR이 포함될 수 있습니다.

Azure는 P2S VPN에 대해 Windows나 Mac 이외에 다른 어떤 플랫폼을 지원합니까?

Azure는 P2S VPN에 대해 Windows, Mac 및 Linux를 지원합니다.

배포된 Azure VPN Gateway가 이미 있습니다. 여기에서 RADIUS 및/또는 IKEv2 VPN을 사용할 수 있습니까?

예, 사용 중인 게이트웨이 SKU에서 RADIUS 및/또는 IKEv2를 지원하는 경우 PowerShell 또는 Azure Portal을 사용하여 이미 배포한 게이트웨이에서 이 기능을 사용할 수 있습니다. 기본 SKU는 RADIUS 또는 IKEv2를 지원하지 않습니다.

P2S 연결 구성을 제거하는 방법은 무엇인가요?

Azure CLI 및 PowerShell에서 다음 명령을 사용하여P2S 구성을 제거할 수 있습니다.

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

모든 Azure VPN Gateway SKU에서 RADIUS 인증이 지원되나요?

RADIUS 인증은 기본 SKU를 제외한 모든 SKU에 대해 지원됩니다.

레거시 SKU의 경우 RADIUS 인증은 표준 및 고성능 SKU에서 사용할 수 있습니다. 기본 게이트웨이 SKU에서 지원되지 않습니다.

클래식 배포 모델에 RADIUS 인증이 지원되나요?

아니요. RADIUS 인증은 클래식 배포 모델에서 지원되지 않습니다.

RADIUS 서버로 전송된 RADIUS 요청의 제한 시간은 얼마인가요?

RADIUS 요청은 30초 후에 시간 제한으로 설정됩니다. 사용자 정의 시간 제한 값은 현재 지원되지 않습니다.

타사 RADIUS 서버가 지원되나요?

네, 타사 RADIUS 서버가 지원됩니다.

Azure 게이트웨이가 온-프레미스 RADIUS 서버에 연결할 수 있는지 확인하기 위한 연결 요구 사항은 무엇인가요?

적절한 경로로 구성된 온-프레미스 사이트에 대한 사이트 간 VPN 연결이 필요합니다.

ExpressRoute 연결을 통해 Azure VPN Gateway에서 온-프레미스 RADIUS 서버로 트래픽을 라우팅할 수 있나요?

아니요. 사이트 간 연결을 통해서만 라우팅될 수 있습니다.

RADIUS 인증으로 지원되는 SSTP 연결 수가 변경되었나요? 지원되는 SSTP 및 IKEv2 연결의 최대 수는 무엇인가요?

RADIUS 인증을 사용하여 게이트웨이에서 지원되는 최대 SSTP 연결 수는 변경되지 않았습니다. SSTP의 경우 128개가 남지만, IKEv2의 경우 게이트웨이 SKU에 따라 달라집니다. 지원되는 연결 수에 대한 자세한 내용은 게이트웨이 SKU를 참조하세요.

(신뢰할 수 있는 인증서를 Azure에 업로드하여) RADIUS 서버 또는 Azure 네이티브 인증서 인증을 사용하여 인증서 인증을 수행하는 작업의 차이점은 무엇인가요?

RADIUS 인증서 인증에서 인증 요청은 실제 인증서 유효성 검사를 처리하는 RADIUS 서버로 전달됩니다. 이 옵션은 이미 RADIUS를 통해 인증서 인증 인프라와 통합하려는 경우에 유용합니다.

인증서 인증에 Azure를 사용하는 경우 Azure VPN Gateway는 인증서의 유효성 검사를 수행합니다. 게이트웨이에 인증서 공개 키를 업로드해야 합니다. 연결하도록 허용되지 않는 해지된 인증서 목록을 지정할 수도 있습니다.

RADIUS 인증은 IKEv2 및 SSTP VPN 모두에서 작동합니까?

예, RADIUS 인증은 IKEv2 및 SSTP VPN 모두에서 지원됩니다.

RADIUS 인증은 OpenVPN 클라이언트에서 작동하나요?

RADIUS 인증은 OpenVPN 프로토콜에 대해 지원됩니다.

VNet 간 연결 및 다중 사이트 연결

VNet 간 FAQ는 VPN 게이트웨이 연결에 적용됩니다. VNet 피어링에 대한 자세한 내용은 가상 네트워크 피어링을 참조하세요.

Azure는 VNet 간 트래픽에 요금을 청구하나요?

VPN 게이트웨이 연결을 사용하는 경우 동일한 지역 내의 VNet 간 트래픽은 양방향 모두에 대해 무료입니다. 지역 전체 VNet 간 송신 트래픽은 원본 지역을 기반으로 아웃바운드 VNet 간 데이터 전송 요금으로 청구됩니다. 자세한 내용은 VPN Gateway 가격 페이지를 참조하세요. VPN 게이트웨이 대신 VNet 피어링을 사용하여 VNet을 연결하는 경우 가상 네트워크 가격 책정을 참조하세요.

VNet 간 트래픽은 인터넷을 거쳐서 이동하나요?

아니요. VNet 간 트래픽은 인터넷이 아닌 Microsoft Azure 백본을 거쳐서 이동합니다.

Microsoft Entra 테넌트에 VNet 간 연결을 설정할 수 있나요?

예, Azure VPN 게이트웨이를 사용하는 VNet 간 연결은 Microsoft Entra 테넌트에서 작동합니다.

VNet 간 트래픽은 안전한가요?

예, IPsec/IKE 암호화로 보호됩니다.

VNet을 함께 연결하려면 VPN 디바이스가 필요한가요?

아니요. 크로스-프레미스 연결이 필요한 경우가 아니면 여러 Azure 가상 네트워크를 함께 연결할 때 VPN 디바이스는 필요하지 않습니다.

VNet이 동일한 지역에 있어야 하나요?

아니요. 가상 네트워크는 같은 Azure 지역(위치)에 있을 수도 있고 다른 Azure 지역(위치)에 있을 수도 있습니다.

VNet이 동일한 구독에 없으면 구독이 동일한 Active Directory 테넌트에 연결되어야 하나요?

아니요.

별도 가상 네트워크에 있는 Azure 인스턴스를 연결하는 데 VNet 간 연결을 사용할 수 있나요?

아니요. VNet 간 연결은 동일한 Azure 인스턴스 내에서 가상 네트워크 연결을 지원합니다. 예를 들어 전역 Azure와 중국어/독일어/US Government Azure 인스턴스 사이에 연결을 만들 수 없습니다. 이러한 시나리오의 경우 사이트 간 VPN 연결을 사용하는 것이 좋습니다.

VNet간 연결을 멀티 사이트 연결과 함께 사용할 수 있나요?

예. 가상 네트워크 연결을 다중 사이트 VPN과 동시에 사용할 수 있습니다.

하나의 가상 네트워크에 연결할 수 있는 온-프레미스 사이트 및 가상 네트워크 수는 어떻게 됩니까?

게이트웨이 요구 사항 표를 참조하세요.

VNet 간 연결을 사용하여 VNet 외부의 VM 또는 클라우드 서비스를 연결할 수 있나요?

아니요. VNet 간 연결은 가상 네트워크 연결을 지원합니다. 가상 네트워크에 포함되지 않은 가상 머신 또는 클라우드 서비스 연결은 지원되지 않습니다.

클라우드 서비스 또는 부하 분산 엔드포인트가 VNet까지 이어지나요?

아니요. 클라우드 서비스 또는 부하 분산 엔드포인트는 연결되어 있더라도 여러 가상 네트워크에 분산될 수 없습니다.

VNet 간 또는 멀티 사이트 연결에 PolicyBased VPN 유형을 사용할 수 있나요?

아니요. VNet 간 연결 및 멀티 사이트 연결에는 RouteBased(이전의 동적 라우팅) VPN 유형의 Azure VPN 게이트웨이가 필요합니다.

PolicyBased VPN 형식을 가진 VNet을 다른 RouteBased VPN 형식을 가진 VNet과 연결할 수 있습니까?

아니요, 두 가상 네트워크는 모두 경로 기반(이전의 동적 라우팅) VPN을 사용해야 합니다.

VPN 터널은 대역폭을 공유하나요?

예. 가상 네트워크의 모든 VPN 터널은 Azure VPN 게이트웨이의 사용 가능한 대역폭 및 Azure의 동일 VPN 게이트웨이 작동 시간 SLA를 공유합니다.

중복 터널이 지원되나요?

하나의 가상 네트워크 게이트웨이를 active-active로 구성하면 한 쌍의 가상 네트워크 사이의 중복 터널이 지원됩니다.

VNet 간 구성에 대해 겹치는 주소 공간을 가질 수 있나요?

아니요. 겹치는 IP 주소 범위를 가질 수 있습니다.

연결된 가상 네트워크와 온-프레미스 로컬 사이트 사이에 겹치는 주소 공간이 있을 수 있나요?

아니요. 겹치는 IP 주소 범위를 가질 수 있습니다.

사이트 간 VPN 연결과 내 ExpressRoute 간의 라우팅을 사용하도록 설정하려면 어떻게 할까요?

ExpressRoute에 연결된 분기와 사이트 간 VPN 연결에 연결된 분기 간의 라우팅을 사용하려면 Azure Route Server를 설정해야 합니다.

Azure VPN 게이트웨이를 사용하여 온-프레미스 사이트 간에 또는 다른 가상 네트워크에 트래픽을 전송할 수 있습니까?

리소스 관리자 배포 모델
예. 자세한 내용은 BGP 섹션을 참조하세요.

클래식 배포 모델
Azure VPN 게이트웨이 통한 전송 트래픽은 클래식 배포 모델을 사용할 수 있지만 네트워크 구성 파일에서 정적으로 정의된 주소 공간의 영향을 받습니다. BGP는 클래식 배포 모델을 사용하는 Azure Virtual Networks 및 VPN 게이트웨이에서 아직 지원되지 않습니다. BGP를 사용하지 않고 전송 주소 공간을 수동으로 정의하면 오류가 발생하기 쉬우므로 사용하지 않는 것이 좋습니다.

Azure는 동일한 가상 네트워크의 모든 VPN 연결에 대해 동일한 IPsec/IKE 미리 공유한 키를 생성합니까?

아니요, 기본적으로 Azure는 VPN 연결마다 다른 미리 공유한 키를 생성합니다. 하지만 Set VPN Gateway Key REST API 또는 PowerShell cmdlet을 사용하여 원하는 키 값을 설정할 수 있습니다. 키는 공백, 하이픈(-) 또는 물결표(~)를 제외한 인쇄 가능한 ASCII 문자만 포함해야 합니다.

단일 가상 네트워크보다 더 많은 사이트 간 VPN을 사용하면 대역폭이 증가합니까?

아니요, 지점 및 사이트 간 VPN을 포함하여 모든 VPN 터널은 동일한 Azure VPN 게이트웨이 및 사용 가능한 대역폭을 공유합니다.

다중 사이트 VPN을 사용하여 내 가상 네트워크와 온-프레미스 사이트 간에 여러 터널을 구성할 수 있습니까?

예, 하지만 두 터널의 BGP를 동일한 위치로 구성해야 합니다.

Azure VPN Gateway는 내 온-프레미스 사이트에 대한 여러 연결 간의 라우팅 결정에 도움이 되도록 추가된 AS 경로를 적용하나요?

예, Azure VPN 게이트웨이는 BGP를 사용하도록 설정할 때 라우팅 결정을 내리는 데 도움이 되도록 AS Path 추가를 적용합니다. BGP 경로 선택에서는 더 짧은 AS Path가 우선 적용됩니다.

새 VPN VirtualNetworkGateway 연결을 만들 때 RoutingWeight 속성을 사용할 수 있나요?

아니요. 이러한 설정은 ExpressRoute 게이트웨이 연결을 위해 예약되어 있습니다. 여러 연결 간의 라우팅 결정에 영향을 주려면 AS 경로 앞에 추가를 사용해야 합니다.

여러 VPN 터널을 포함하는 내 가상 네트워크에서 지점 및 사이트 간 VPN을 사용할 수 있습니까?

예, 여러 온-프레미스 사이트 및 기타 가상 네트워크에 연결하는 VPN 게이트웨이에서 지정 및 사이트 간(P2S) VPN을 사용할 수 있습니다.

IPsec VPN을 사용하는 가상 네트워크를 ExpressRoute 회로에 연결할 수 있습니까?

예, 지원됩니다. 자세한 내용은 공존하는 ExpressRoute 및 사이트 간 VPN 연결 구성을 참조하세요.

IPsec/IKE 정책

사용자 지정 IPsec/IKE 정책은 모든 Azure VPN Gateway SKU에서 지원되나요?

사용자 지정 IPsec/IKE 정책은 기본 SKU를 제외한 모든 Azure SKU에서 지원됩니다.

연결에서 얼마나 많은 정책을 지정할 수 있나요?

지정된 연결에 대해 one 정책 조합만 지정할 수 있습니다.

연결에 대해 부분적 정책을 지정할 수 있나요? (예: IPsec을 제외하고 IKE 알고리즘만 해당)

아니요, IKE(주 모드) 및 IPsec(빠른 모드) 모두에 대한 모든 알고리즘 및 매개 변수를 지정해야 합니다. 부분적인 정책 사양은 허용되지 않습니다.

사용자 지정 정책에서 지원되는 알고리즘과 키 강도는 어떻게 되나요?

다음 표에는 직접 구성할 수 있는 지원되는 암호화 알고리즘 및 키 수준이 나와 있습니다. 모든 필드에 대해 한 가지 옵션을 선택해야 합니다.

IPsec/IKEv2 옵션
IKEv2 암호화 GCMAES256, GCMAES128, AES256, AES192, AES128
IKEv2 무결성 SHA384, SHA256, SHA1, MD5
DH 그룹 DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, 없음
IPsec 암호화 GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, 없음
IPsec 무결성 GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS 그룹 PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, 없음
QM SA 수명 (선택 사항: 지정되지 않으면 기본값이 사용됨)
초(정수, 최소 300/기본값 27,000초)
KB(정수, 최소 1,024/기본값 102,400,000KB)
트래픽 선택기 UsePolicyBasedTrafficSelectors** ($True/$False - 선택 사항, 지정되지 않으면 기본값 $False)
DPD 제한 시간 초(정수: 최소 9/최대 3600, 기본 45초)

  • 온-프레미스 VPN 디바이스 구성은 Azure IPsec/IKE 정책에서 지정한 다음 알고리즘 및 매개 변수가 일치하거나 포함해야 합니다.

    • IKE 암호화 알고리즘(기본 모드/1단계)
    • IKE 무결성 알고리즘(기본 모드/1단계)
    • DH 그룹(기본 모드/1단계)
    • IPsec 암호화 알고리즘(빠른 모드/2단계)
    • IPsec 무결성 알고리즘(빠른 모드/2단계)
    • PFS 그룹(빠른 모드/2단계)
    • 트래픽 선택기(UsePolicyBasedTrafficSelectors를 사용하는 경우)
    • SA 수명은 로컬 사양일 뿐이며 일치할 필요가 없습니다.

  • GCMAES가 IPsec 암호화 알고리즘에 사용되면 IPsec 무결성에 대해 동일한 GCMAES 알고리즘 및 키 길이를 선택해야 합니다(예: 둘 다에 대해 GCMAES128 사용).

  • 알고리즘 및 키 테이블에서:

    • IKE는 주 모드 또는 1단계에 해당합니다.
    • IPsec은 빠른 모드 또는 2단계에 해당합니다.
    • DH 그룹은 기본 모드 또는 1단계에서 사용되는 Diffie-Hellman 그룹을 지정합니다.
    • PFS 그룹은 빠른 모드 또는 2단계에서 사용되는 Diffie-Hellman 그룹을 지정했습니다.

  • IKE 주 모드 SA 수명은 Azure VPN Gateways에서 28,800초로 고정됩니다.

  • 'UsePolicyBasedTrafficSelectors'는 연결에 대한 선택적 매개 변수입니다. 연결에 대해 UsePolicyBasedTrafficSelectors를 $True로 설정하면 온-프레미스의 정책 기반 VPN 방화벽에 연결되도록 Azure VPN Gateways가 구성됩니다. PolicyBasedTrafficSelectors를 사용하도록 설정한 경우 VPN 디바이스에 온-프레미스 네트워크(로컬 네트워크 게이트웨이) 접두사 및 Azure Virtual Network 접두사 간의 모든 조합으로 정의된 일치하는 트래픽 선택기가 있는지 확인해야 합니다. Azure VPN Gateway는 Azure VPN Gateway에 구성된 항목에 관계없이 원격 VPN Gateway에서 제안하는 트래픽 선택기를 허용합니다.

    예를 들어 온-프레미스 네트워크 접두사가 10.1.0.0/16 및 10.2.0.0/16이고 가상 네트워크 접두사가 192.168.0.0/16 및 172.16.0.0/16이면 다음 트래픽 선택기를 지정해야 합니다.

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    정책 기반 트래픽 선택기에 대한 자세한 내용은 여러 온-프레미스 정책 기반 VPN 디바이스 연결을 참조하세요.

  • DPD 제한 시간 - 기본값은 Azure VPN Gateways에서 45초입니다. 시간 제한을 더 짧은 기간으로 설정하면 IKE가 더 적극적으로 키를 다시 입력하여 연결이 끊어진 것처럼 보이는 경우도 있습니다. 온-프레미스 위치가 VPN 게이트웨이가 있는 Azure 지역에서 멀리 떨어져 있거나 물리적 링크 조건으로 인해 패킷 손실이 발생할 수 있는 경우에는 적합하지 않을 수 있습니다. 일반적인 권장 사항은 제한 시간을 30~45초 사이로 설정하는 것입니다.

자세한 내용은 여러 온-프레미스 정책 기반 VPN 디바이스 연결을 참조하세요.

어떤 Diffie-Hellman 그룹이 지원되나요?

다음 표에는 사용자 지정 정책에서 지원하는 해당 Diffie-hellman 그룹이 나열되어 있습니다.

Diffie-Hellman 그룹 DHGroup PFSGroup 키 길이
1 DHGroup1 PFS1 768비트 MODP
2 DHGroup2 PFS2 1024비트 MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048비트 MODP
19 ECP256 ECP256 256비트 ECP
20 ECP384 ECP384 384비트 ECP
24 DHGroup24 PFS24 2048비트 MODP

자세한 내용은 RFC3526RFC5114를 참조하세요.

사용자 지정 정책이 Azure VPN Gateway에 대한 기본 IPsec/IKE 정책 집합을 대체하나요?

예, 연결에 사용자 지정 정책이 지정되면 Azure VPN Gateway는 IKE 개시 장치 및 IKE 응답기로의 연결에만 정책을 사용합니다.

사용자 지정 IPsec/IKE 정책을 제거하면 연결이 보호되지 않나요?

아니요, 연결은 IPsec/IKE로 계속 보호됩니다. 연결에서 사용자 지정 정책을 제거하면 Azure VPN Gateway는 IPsec/IKE 제안의 기본 목록으로 다시 되돌아와서 온-프레미스 VPN 디바이스에서 IKE 핸드셰이크를 다시 시작합니다.

IPsec/IKE 정책을 추가 또는 업데이트하는 것이 VPN 연결에 방해가 될까요?

예, Azure VPN Gateway가 기존 연결을 삭제하고 IKE 핸드셰이크를 다시 시작하여 새로운 암호화 알고리즘 및 매개 변수로 IPsec 터널을 다시 설정하므로 약간의 서비스 중단(몇 초)이 발생할 수 있습니다. 중단을 최소화하려면 온-프레미스 VPN 디바이스가 일치하는 알고리즘 및 키 강도로 구성되었는지도 확인하세요.

다른 연결에 다른 정책을 사용할 수 있나요?

예. 사용자 지정 정책은 각 연결 단위로 적용됩니다. 다른 연결에 서로 다른 IPsec/IKE 정책을 만들어 적용할 수 있습니다. 또한 연결의 하위 집합에 대해 사용자 지정 정책을 적용하도록 선택할 수도 있습니다. 나머지는 Azure 기본 IPsec/IKE 정책 집합을 사용합니다.

VNet 간 연결에서도 사용자 지정 정책을 사용할 수 있나요?

예, IPsec 프레미스 간 연결 또는 VNet 간 연결 모두에 사용자 지정 정책을 적용할 수 있습니다.

두 VNet 간 연결 리소스에 동일한 정책을 지정해야 하나요?

예. Azure에서 VNet 간 터널은 두 개의 연결 리소스(각 방향당 하나씩)로 구성됩니다. 두 연결 리소스에 동일한 정책이 있어야 합니다. 그렇지 않으면 VNet 간 연결이 설정되지 않습니다.

기본 DPD 시간 제한 값이란 무엇인가요? 다른 DPD 시간 제한을 지정할 수 있나요?

기본 DPD 시간 제한은 45초입니다. 각 IPsec 또는 VNet 간 연결에 9초에서 3600초까지 다양한 DPD 시간 제한 값을 지정할 수 있습니다.

참고 항목

기본값은 Azure VPN 게이트웨이에서 45초입니다. 시간 제한을 더 짧은 기간으로 설정하면 IKE가 더 적극적으로 키를 다시 입력하여 연결이 끊어진 것처럼 보이는 경우도 있습니다. 온-프레미스 위치가 VPN 게이트웨이가 있는 Azure 지역에서 멀리 떨어져 있는 경우 또는 물리적 링크 조건으로 인해 패킷 손실이 발생할 수 있는 경우에는 적합하지 않을 수 있습니다. 일반적인 권장 사항은 시간 제한을 30~45초 사이로 설정하는 것입니다.

ExpressRoute 연결에서 사용자 지정 IPsec/IKE 정책이 작동하나요?

아니요. IPsec/IKE 정책은 Azure VPN Gateway를 통해 S2S VPN 및 VNet 간 연결에서만 작동합니다.

IKEv1 또는 IKEv2 프로토콜 유형과의 연결을 어떻게 만드나요?

IKEv1 연결은 Basic SKU, Standard SKU, 기타 레거시 SKU를 제외하고 모든 RouteBased VPN 유형 SKU에서 만들 수 있습니다. 연결을 만드는 동안 연결 프로토콜 유형(IKEv1 또는 IKEv2)을 지정할 수 있습니다. 연결 프로토콜 유형을 지정하지 않으면 해당하는 경우 기본 옵션으로 IKEv2가 사용됩니다. 자세한 내용은 PowerShell cmdlet 설명서를 참조하세요. SKU 유형 및 IKEv1/IKEv2 지원에 대한 내용은 게이트웨이를 정책 기반 VPN 디바이스에 연결을 참조하세요.

IKEv1과 IKEv2 연결 간의 전송이 허용되나요?

예. IKEv1와 IKEv2 연결 간의 전송은 지원됩니다.

RouteBased VPN 유형의 기본 SKU에 대한 IKEv1 사이트 간 연결을 사용할 수 있나요?

아니요. 기본 SKU는 이를 지원하지 않습니다.

연결을 만든 후 연결 프로토콜 유형을 변경할 수 있나요? (IKEv1에서 IKEv2로 또는 그 반대로)

아니요. 연결이 만들어지면 IKEv1/IKEv2 프로토콜을 변경할 수 없습니다. 원하는 프로토콜 유형을 사용하여 새 연결을 삭제하고 다시 만들어야 합니다.

내 IKEv1 연결이 자주 다시 연결되는 이유는 무엇인가요?

고정 라우팅 또는 경로 기반 IKEv1 연결이 일상적인 간격으로 연결이 끊기는 경우 VPN Gateway가 현재 위치 다시 키를 지원하지 않기 때문일 수 있습니다. 기본 모드가 다시 입력되면 IKEv1 터널의 연결이 끊기고 다시 연결하는 데 최대 5초가 걸립니다. 기본 모드 협상 시간 초과 값은 키 다시 입력 빈도를 결정합니다. 이러한 재연결을 방지하기 위해 인플레이스 키 다시 입력을 지원하는 IKEv2를 사용하도록 전환할 수 있습니다.

연결이 임의의 시간에 다시 연결되는 경우 문제 해결 가이드를 따릅니다.

구성 정보 및 단계는 어디에서 찾을 수 있나요?

자세한 내용 및 구성 단계는 다음 문서를 참조하세요.

BGP 및 라우팅

BGP가 모든 Azure VPN Gateway SKU를 지원하나요?

BGP는 기본 SKU를 제외한 모든 Azure VPN Gateway SKU에서 지원됩니다.

Azure Policy VPN 게이트웨이에서 BGP를 사용할 수 있나요?

아니요. BGP는 경로 기반 VPN 게이트웨이에서만 지원됩니다.

어떤 ASN(자치 시스템 번호)을 사용할 수 있나요?

온-프레미스 네트워크와 Azure 가상 네트워크 모두에 자체 공용 ASN 또는 프라이빗 ASN을 사용할 수 있습니다. Azure 또는 IANA에서 예약한 범위는 사용할 수 없습니다.

다음 ASNs는 Azure 또는 IANA에서 예약됩니다.

  • Azure에서 예약된 ASN:

    • 공용 ASN: 8074, 8075, 12076
    • 프라이빗 ASN: 65515, 65517, 65518, 65519, 65520

  • IANA에서 예약한 ASN:

    • 23456, 64496-64511, 65535-65551 및 429496729

Azure VPN 게이트웨이에 연결할 때 온-프레미스 VPN 디바이스에 이러한 ASN을 지정할 수 없습니다.

32비트(4바이트) ASN을 사용할 수 있나요?

예. VPN Gateway는 이제 32비트(4바이트) ASN을 지원합니다. 10진 형식의 ASN을 사용하여 구성하려면 PowerShell, Azure CLI 또는 Azure SDK를 사용하세요.

사용할 수 있는 프라이빗 ASN은 무엇인가요?

사용 가능한 프라이빗 ASN의 범위는 다음과 같습니다.

  • 64512-65514 및 65521-65534

이러한 ASN은 IANA 또는 Azure에서 사용하도록 예약되어 있지 않으므로 Azure VPN 게이트웨이에 할당하는 데 사용할 수 있습니다.

VPN Gateway는 BGP 피어 IP에 어떤 주소를 사용하나요?

기본적으로 VPN Gateway는 활성-대기 VPN 게이트웨이에 대해 GatewaySubnet 범위에서 단일 IP 주소를 할당하거나 활성-활성 VPN 게이트웨이에 대해 두 개의 IP 주소를 할당합니다. 이러한 주소는 VPN 게이트웨이를 만들 때 자동으로 할당됩니다. PowerShell을 사용하거나 Azure Portal에서 검색하는 방식으로 할당된 실제 BGP IP 주소를 확인할 수 있습니다. PowerShell에서는 Get-AzVirtualNetworkGateway를 사용하고 bgpPeeringAddress 속성을 찾습니다. Azure Portal의 게이트웨이 구성 페이지에서 BGP ASN 구성 속성을 확인합니다.

온-프레미스 VPN 라우터가 APIPA IP 주소(169.254.x.x)를 BGP IP 주소로 사용하는 경우 Azure VPN 게이트웨이에서 하나 이상의 Azure APIPA BGP IP 주소를 지정해야 합니다. Azure VPN Gateway는 로컬 네트워크 게이트웨이에 지정된 온-프레미스 APIPA BGP 피어와 함께 사용할 APIPA 주소를 선택하거나 비 APIPA 온-프레미스 BGP 피어에 대한 개인 IP 주소를 선택합니다. 자세한 내용은 BGP 구성을 참조하세요.

VPN 디바이스에서 BGP 피어 IP 주소에 대한 요구 사항은 무엇인가요?

온-프레미스 BGP 피어 주소는 VPN 디바이스의 공용 IP 주소 또는 VPN 게이트웨이의 가상 네트워크 주소 공간에 있는 것과 동일하지 않아야 합니다. VPN 디바이스에서 BGP 피어 IP에 다른 IP 주소를 사용하세요. 이는 디바이스의 루프백 인터페이스에 할당된 주소, 일반 IP 주소 또는 APIPA 주소일 수 있습니다. 디바이스가 BGP에 APIPA 주소를 사용하는 경우 BGP 구성에 설명된 대로 Azure VPN 게이트웨이에서 하나 이상의 APIPA BGP IP 주소를 지정해야 합니다. 위치를 나타내는 해당 로컬 네트워크 게이트웨이에서 이러한 주소를 지정합니다.

BGP를 사용할 때 로컬 네트워크 게이트웨이의 내 주소 접두사로 무엇을 지정해야 하나요?

Important

이는 이전에 문서화된 요구 사항에서 변경된 사항입니다. 연결에 BGP를 사용하는 경우 해당 로컬 네트워크 게이트웨이 리소스의 주소 공간 필드를 비워 두세요. Azure VPN Gateway는 내부적으로 IPsec 터널을 통해 온-프레미스 BGP 피어 IP에 호스트 경로를 추가합니다. 주소 공간 필드에 /32 경로를 추가하지 마세요. 이는 중복되며 APIPA 주소를 온 프레미스 VPN 디바이스 BGP IP로 사용하는 경우 이 필드에 추가할 수 없습니다. 주소 공간 필드에 다른 접두사를 추가하면 BGP를 통해 학습된 경로 외에 Azure VPN 게이트웨이에서 고정 경로로 추가됩니다.

온-프레미스 VPN 네트워크와 Azure 가상 네트워크에 동일한 ASN을 사용할 수 있나요?

아니요. 온-프레미스 네트워크와 Azure 가상 네트워크를 함께 BGP에 연결하려면 서로 다른 ASN을 할당해야 합니다. 크로스 프레미스 연결에 대한 BGP 활성화 여부에 관계없이 Azure VPN 게이트웨이에 할당되는 기본 ASN은 65515입니다. VPN 게이트웨이를 만들 때 다른 ASN을 적용하여 이 기본값을 다시 정의하거나, 게이트웨이를 만든 후 ASN을 변경할 수 있습니다. 해당하는 Azure 로컬 네트워크 게이트웨이에 온-프레미스 ASN을 할당해야 합니다.

Azure VPN 게이트웨이가 나에게 알리는 주소 접두어는 무엇인가요?

이 게이트웨이는 온-프레미스 BGP 디바이스에 다음 경로를 보급합니다.

  • 가상 네트워크 주소 접두사
  • Azure VPN 게이트웨이에 연결된 각 로컬 네트워크 게이트웨이의 주소 접두사
  • Azure VPN 게이트웨이에 연결된 다른 BGP 피어링 세션에서 확인한 경로(기본 경로 또는 다른 가상 네트워크 접두사와 겹치는 경로 제외)

Azure VPN Gateway에 접두사를 몇 개나 보급할 수 있나요?

Azure VPN Gateway는 최대 4,000개의 접두사를 지원합니다. 접두사의 수가 제한을 초과하는 경우 BGP 세션은 삭제됩니다.

Azure VPN 게이트웨이에 기본 경로(0.0.0.0/0)를 보급할 수 있나요?

예. 그러면 모든 가상 네트워크 송신 트래픽이 강제로 온-프레미스 사이트를 향합니다. 또한 가상 네트워크 VM이 인터넷에서 VM으로의 RDP 또는 SSH와 같은 공개 통신을 인터넷에서 직접 수락하지 못합니다.

내 가상 네트워크 접두사와 똑같은 접두사를 보급할 수 있나요?

아니요. 가상 네트워크 주소 접두사 중 하나와 동일한 접두사의 보급은 Azure에서 차단되거나 필터링됩니다. 그러나 가상 네트워크 내에 포함된 접두사의 상위 집합에 해당하는 접두사를 보급할 수 있습니다.

예를 들어 가상 네트워크에서 10.0.0.0/16 주소 공간을 사용하는 경우 10.0.0.0/8은 보급할 수 있지만, 10.0.0.0/16 또는 10.0.0.0/24는 보급할 수 없습니다.

가상 네트워크 간 연결에 BGP를 사용할 수 있나요?

예. 크로스 프레미스 연결과 가상 네트워크 간 연결 모두에 BGP를 사용할 수 있습니다.

BGP를 비 BGP 연결과 혼합하여 내 Azure VPN 게이트웨이에 사용할 수 있나요?

예. BGP와 비 BGP 연결을 동일한 Azure VPN 게이트웨이에 혼합 사용할 수 있습니다.

Azure VPN Gateway가 BGP 전송 라우팅을 지원하나요?

예. BGP 전송 라우팅이 지원됩니다. 단 Azure VPN 게이트웨이가 기본 경로를 타 BGP 피어에 알리지 않는다는 점이 다릅니다. 여러 Azure VPN 게이트웨이 간 전송 라우팅을 활성화하려면 가상 네트워크 간의 모든 중간 연결에 BGP를 활성화해야 합니다. 자세한 내용은 BGP 정보를 참조하세요.

Azure VPN 게이트웨이와 내 온-프레미스 네트워크 간에 터널이 여러 개 있을 수 있나요?

예. Azure VPN 게이트웨이와 내 온-프레미스 네트워크 간에 S2S(사이트 간) VPN 터널을 여러 개 구축할 수 있습니다. 이러한 모든 터널은 Azure VPN 게이트웨이의 총 터널 수와 비교하여 계산되며 두 터널 모두에서 BGP를 활성화해야 합니다.

예를 들어 Azure VPN 게이트웨이와 온-프레미스 네트워크 중 하나 간에 2개의 중복 터널이 있는 경우 총 Azure VPN 게이트웨이 할당량 중 2개 터널을 사용하는 것입니다.

두 Azure 가상 네트워크와 BGP 간에 여러 터널이 있을 수 있나요?

예, 하지만 하나 이상의 가상 네트워크 게이트웨이가 active-active 구성에 있어야 합니다.

Azure ExpressRoute와 S2S VPN 공존 구성에서 S2S VPN에 BGP를 사용할 수 있나요?

예.

BGP 피어링 세션에 대해 온-프레미스 VPN 디바이스에 무엇을 추가해야 하나요?

VPN 디바이스에 Azure BGP 피어 IP 주소의 호스트 경로를 추가합니다. 이 경로는 IPsec S2S VPN 터널을 가리킵니다. 예를 들어, Azure VPN 피어 IP가 10.12.255.30이라면 VPN 디바이스에서 일치하는 IPsec 터널 인터페이스의 다음 홉 인터페이스와 10.12.255.30에 대한 호스트 경로를 추가해야 합니다.

가상 네트워크 게이트웨이가 BGP를 사용한 S2S 연결에 BFD를 지원하나요?

아니요. BFD(양방향 전달 검색)는 BGP와 함께 사용할 수 있는 프로토콜로, 표준 BGP “keepalive”를 단독으로 사용하는 것보다 빠르게 인접한 가동 중지 시간을 검색할 수 있습니다. BFD는 LAN 환경에서 작동하도록 설계된 초 단위 이하 타이머를 사용하지만, 공용 인터넷 또는 광역 네트워크 연결에서는 사용하지 않습니다.

공용 인터넷을 통한 연결의 경우 특정 패킷이 지연되거나 삭제되는 일이 자주 발생하기 때문에, 이렇게 빠른 타이머를 도입하면 불안정성이 생길 수 있습니다. 이러한 불안정성으로 인해 경로가 BGP에 의해 중단될 수 있습니다. 그 대안으로 기본 60초 "keepalive" 간격 및 180초 유지 타이머보다 낮은 타이머로 온-프레미스 디바이스를 구성할 수 있습니다. 그러면 수렴 시간이 단축됩니다. 그러나 기본 60초 "keepalive" 간격 이하의 타이머나 기본 180초 보류 타이머는 안정적이지 않습니다. 타이머를 기본값 이상으로 유지하는 것이 좋습니다.

Azure VPN 게이트웨이가 BGP 피어링 세션 또는 연결을 시작하나요?

게이트웨이는 VPN 게이트웨이에서 개인 IP 주소를 사용하여 로컬 네트워크 게이트웨이 리소스에 지정된 온-프레미스 BGP 피어 IP 주소에 대한 BGP 피어링 세션을 시작합니다. 이는 온-프레미스 BGP IP 주소가 APIPA 범위 또는 일반 개인 IP 주소에 있는지 여부에 관계없이 적용됩니다. 온-프레미스 VPN 디바이스에서 APIPA 주소를 BGP IP로 사용하는 경우 연결을 시작하도록 BGP 스피커를 구성해야 합니다.

강제 터널링을 구성할 수 있나요?

예. 강제 터널링 구성을 참조하세요.

NAT

NAT가 모든 Azure VPN Gateway SKU에서 지원되나요?

NAT는 VpnGw2~5 및 VpnGw2AZ~5AZ에서 지원됩니다.

VNet-VNet 또는 P2S 연결에서 NAT를 사용할 수 있나요?

아니요.

VPN Gateway에서 사용할 수 있는 NAT 규칙은 몇 개인가요?

VPN Gateway에서 최대 100개의 NAT 규칙(수신 및 송신 규칙 결합)을 만들 수 있습니다.

NAT 규칙 이름에 /를 사용할 수 있나요?

아니요. 오류가 표시됩니다.

NAT가 VPN Gateway의 모든 연결에 적용되나요?

NAT는 NAT 규칙이 있는 연결에 적용됩니다. 연결에 NAT 규칙이 없으면 NAT가 해당 연결에 적용되지 않습니다. 동일한 VPN Gateway에서 NAT와의 일부 연결 및 NAT가 함께 작동하지 않는 다른 연결을 가질 수 있습니다.

Azure VPN Gateway에서 지원되는 NAT 유형은 무엇인가요?

정적 1:1 NAT 및 동적 NAT만 지원됩니다. NAT64는 지원되지 않습니다.

NAT가 활성-활성 VPN Gateway에서 작동하나요?

예. NAT는 활성-활성 VPN Gateway와 활성-대기 VPN Gateway 모두에서 작동합니다. 각 NAT 규칙은 VPN 게이트웨이의 단일 인스턴스에 적용됩니다. 활성-활성 게이트웨이에서 "IP 구성 ID" 필드를 통해 각 게이트웨이 인스턴스에 대해 별도의 NAT 규칙을 만듭니다.

NAT는 BGP 연결에서 작동하나요?

예, NAT와 함께 BGP를 사용할 수 있습니다. 몇 가지 중요한 고려 사항:

  • NAT 규칙 구성 페이지에서 BGP 경로 변환 사용을 선택하여 학습된 경로 및 보급된 경로가 연결과 관련된 NAT 규칙에 따라 NAT 후 주소 접두사(외부 매핑)로 변환되도록 합니다. 온-프레미스 BGP 라우터가 IngressSNAT 규칙에 정의된 대로 정확한 접두사를 보급하는지 확인해야 합니다.

  • 온-프레미스 VPN 라우터가 일반 비 APIPA 주소를 사용하고 가상 네트워크 주소 공간이나 다른 온-프레미스 네트워크 공간과 충돌하는 경우 IngressSNAT 규칙에서 BGP 피어 IP를 겹치지 않는 고유한 주소로 변환하고 로컬 네트워크 게이트웨이의 BGP 피어 IP 주소 필드에 NAT 후 주소를 배치하는지 확인합니다.

  • NAT는 BGP APIPA 주소에서 지원되지 않습니다.

SNAT 규칙에 대해 일치하는 DNAT 규칙을 만들어야 하나요?

아니요. 단일 SNAT 규칙은 특별한 네트워크의 방향 모두에 대한 변환을 정의합니다.

  • IngressSNAT 규칙은 온-프레미스 네트워크에서 Azure VPN 게이트웨이 들어오는 원본 IP 주소 변환을 정의합니다. 또한 가상 네트워크에서 같은 온-프레미스 네트워크로 나가는 대상 IP 주소 변환을 처리합니다.

  • EgressSNAT 규칙은 Azure VPN Gateway에서 온-프레미스 네트워크로 나가는 가상 네트워크 원본 IP 주소 변환을 정의합니다. 또한 EgressSNAT 규칙을 사용하는 해당 연결을 통해 가상 네트워크로 들어오는 패킷의 대상 IP 주소 변환을 처리합니다.

  • 두 경우 모두 DNAT 규칙이 필요 없습니다.

내 VNet 또는 로컬 네트워크 게이트웨이 주소 공간에 두 개 이상의 접두사가 있는 경우 어떻게 해야 합니까? NAT를 모두에게 적용할 수 있나요? 또는 하위 집합인가요?

각 NAT 규칙은 NAT에 대한 주소 접두사를 하나만 포함할 수 있으므로 NAT에 필요한 각 접두사에 대해 하나의 NAT 규칙을 만들어야 합니다. 예를 들어 로컬 네트워크 게이트웨이 주소 공간이 10.0.1.0/24 및 10.0.2.0/25로 구성된 경우 아래와 같이 두 개의 규칙을 만들 수 있습니다.

  • IngressSNAT 규칙 1: 10.0.1.0/24를 100.0.1.0/24에 매핑
  • IngressSNAT 규칙 2: 10.0.2.0/25를 100.0.2.0/25에 매핑

두 규칙은 해당 주소 접두사의 접두사 길이와 일치해야 합니다. 가상 네트워크 주소 공간에 대한 EgressSNAT 규칙에도 동일하게 적용됩니다.

Important

위의 연결에 하나의 규칙만 연결하면 다른 주소 공간은 변환되지 않습니다.

외부 매핑에 사용할 수 있는 IP 범위는 무엇인가요?

공용 및 개인 IP를 포함하여 외부 매핑에 원하는 적합한 IP 범위를 사용할 수 있습니다.

다른 EgressSNAT 규칙을 사용하여 VNet 주소 공간을 다른 온-프레미스 네트워크에 대한 다른 접두사로 변환할 수 있나요?

예, 동일한 VNet 주소 공간에 대해 여러 EgressSNAT 규칙을 만들고 EgressSNAT 규칙을 다른 연결에 적용할 수 있습니다.

다른 연결에서 동일한 IngressSNAT 규칙을 사용할 수 있나요?

예, 일반적으로 동일한 온-프레미스 네트워크에 대한 연결이 중복성을 제공하는 경우에 사용됩니다. 다른 온-프레미스 네트워크에 대한 연결인 경우 동일한 수신 규칙을 사용할 수 없습니다.

NAT 연결에 수신 규칙과 송신 규칙이 모두 필요한가요?

온-프레미스 네트워크 주소 공간이 가상 네트워크 주소 공간과 겹치면 동일한 연결에 수신 및 송신 규칙이 모두 필요합니다. 가상 네트워크 주소 공간이 연결된 모든 네트워크 간에 고유하면 해당 연결에 EgressSNAT 규칙이 필요하지 않습니다. 수신 규칙을 사용하여 온-프레미스 네트워크 간의 주소 겹침을 방지할 수 있습니다.

"IP 구성 ID"로 무엇을 선택하나요?

"IP 구성 ID"는 단순히 NAT 규칙에서 사용하려는 IP 구성 개체의 이름입니다. 이 설정을 사용하면 NAT 규칙에 적용할 게이트웨이 공용 IP 주소를 선택하기만 하면 됩니다. 게이트웨이를 만들 때 사용자 지정 이름을 할당하지 않은 경우 게이트웨이의 기본 IP 주소는 "기본" IPconfiguration에 할당되고 보조 IP는 "activeActive" IPconfiguration에 할당됩니다.

크로스-프레미스 연결 및 VM

가상 컴퓨터가 가상 네트워크에 있고 프레미스 간 연결을 사용하는 경우 VM에 연결하려면 어떻게 해야 합니까?

몇 가지 옵션이 있습니다. VM에 RDP를 사용하도록 설정한 경우 개인 IP 주소를 사용하여 가상 머신에 연결할 수 있습니다. 이 경우 개인 IP 주소 및 연결하려는 포트(일반적으로 3389)를 지정합니다. 가상 머신에서 트래픽에 대한 포트를 구성해야 합니다.

동일한 가상 네트워크에 있는 다른 가상 머신의 개인 IP 주소를 통해 가상 머신에 연결할 수도 있습니다. 가상 네트워크의 외부 위치에서 연결할 경우 개인 IP 주소를 사용하여 가상 머신에 RDP할 수 없습니다. 예를 들어 지점 및 사이트 간 가상 네트워크를 구성하고 컴퓨터에서 연결을 설정하지 않은 경우 개인 IP 주소를 통해 가상 머신에 연결할 수 없습니다.

내 가상 머신이 프레미스 간 연결을 사용하는 가상 네트워크에 포함된 경우 내 VM의 모든 트래픽이 해당 연결을 통해 이동됩니까?

아니요. 대상 IP가 지정된 가상 네트워크 로컬 네트워크 IP 주소 범위에 포함되는 트래픽만 가상 네트워크 게이트웨이를 통해 이동됩니다. 대상 IP가 가상 네트워크 내에 있는 트래픽은 가상 네트워크 내에 유지됩니다. 다른 트래픽은 부하 분산 장치를 통해 공용 네트워크에 전송되고, 강제 터널링을 사용하는 경우 Azure VPN 게이트웨이를 통해 전송됩니다.

VM에 대한 RDP 연결 문제를 해결하려면 어떻게 하나요?

VPN 연결을 통해 가상 머신에 연결하는 데 문제가 있으면 다음 항목을 확인합니다.

  • VPN 연결이 성공했는지 확인합니다.
  • VM의 개인 IP 주소에 연결하고 있는지 확인합니다.
  • 컴퓨터 이름이 아닌 개인 IP 주소를 사용하여 VM에 연결할 수 있는 경우 DNS를 올바르게 구성했는지 확인합니다. 이름 확인이 VM에서 작동하는 방법에 대한 자세한 내용은 VM에서 이름 확인을 참조하세요.

지점 및 사이트를 통해 연결할 경우 다음 추가 항목을 확인합니다.

  • 'ipconfig'를 사용하여 연결하는 컴퓨터의 이더넷 어댑터에 할당된 IPv4 주소를 확인합니다. IP 주소가 연결하는 가상 네트워크 주소 범위나 VPNClientAddressPool 주소 범위 내에 있는 경우 이 주소를 겹치는 주소 공간이라고 합니다. 주소 공간이 이러한 방식으로 겹치면 네트워크 트래픽이 Azure에 도달하지 않고 로컬 네트워크에 남아 있습니다.
  • DNS 서버 IP 주소가 가상 네트워크에 지정된 후에 VPN 클라이언트 구성 패키지가 생성되었는지 확인합니다. DNS 서버 IP 주소를 업데이트한 경우 새 VPN 클라이언트 구성 패키지를 생성하고 설치합니다.

RDP 연결의 문제를 해결하는 방법에 대한 자세한 내용은 VM에 대한 원격 데스크톱 연결 문제 해결을 참조하세요.

고객 제어 게이트웨이 유지 관리

네트워크 게이트웨이의 유지 관리 구성 범위에는 어떤 서비스가 포함되나요?

네트워크 게이트웨이 범위에는 네트워킹 서비스의 게이트웨이 리소스가 포함됩니다. 네트워크 게이트웨이 범위에는 4가지 형식의 리소스가 있습니다.

  • ExpressRoute 서비스의 가상 네트워크 게이트웨이
  • VPN Gateway 서비스의 가상 네트워크 게이트웨이
  • Virtual WAN 서비스의 VPN Gateway(사이트 간)
  • Virtual WAN 서비스의 ExpressRoute 게이트웨이

고객 제어 유지 관리에서 지원하거나 지원하지 않는 유지 관리는 무엇인가요?

Azure 서비스는 기능, 안정성, 성능 및 보안을 향상시키기 위해 정기적으로 유지 관리 업데이트를 수행합니다. 리소스 유지 관리 기간을 구성하면 해당 기간 동안 게스트 OS 및 서비스 유지 관리가 수행됩니다. 호스트 업데이트(TOR, 전원 등) 및 중요 보안 업데이트 이외의 호스트 업데이트에는 고객 제어 유지 관리가 적용되지 않습니다.

유지 관리에 대한 사전 알림을 가져올 수 있나요?

현재로서는 네트워크 게이트웨이 리소스 유지 관리에 대한 사전 알림을 사용하도록 설정할 수 없습니다.

유지 관리 기간을 5시간 미만으로 구성할 수 있나요?

원하는 표준 시간대에서 기간을 최소 5시간이상으로 구성해야 합니다.

일별 일정 이외의 유지 관리 기간을 구성할 수 있나요?

일별 유지 관리 기간을 구성해야 합니다.

특정 업데이트를 제어할 수 없는 경우가 있나요?

고객 제어 유지 관리는 게스트 OS 및 서비스 업데이트를 지원합니다. 이러한 업데이트는 고객에게 우려를 불러일으키는 대부분의 유지 관리 항목을 설명합니다. 호스트 업데이트를 포함한 일부 다른 형식의 업데이트는 고객 제어 유지 관리 범위를 벗어납니다.

또한 고객을 위험에 빠뜨릴 수 있는 심각한 보안 문제가 발생하면 Azure에서 유지 관리 기간에 대한 고객 제어를 재정의하고 변경 내용을 적용해야 할 수도 있습니다. 이는 극단적인 경우에만 사용되는 드문 경우입니다.

유지 관리 구성 리소스는 게이트웨이 리소스와 동일한 지역에 있어야 하나요?

고객 제어 유지 관리를 사용하도록 구성할 수 있는 게이트웨이 SKU는 무엇인가요?

모든 게이트웨이 SKU(VPN Gateway용 기본 SKU 제외)는 고객 제어 유지 관리를 사용하도록 구성될 수 있습니다.

유지 관리 구성 정책이 게이트웨이 리소스에 할당된 후 적용되는 데 시간이 얼마나 걸리나요?

유지 관리 정책이 게이트웨이 리소스와 연결된 후 네트워크 게이트웨이가 유지 관리 일정을 따르는 데 최대 24시간이 걸릴 수 있습니다.

기본 SKU 공용 IP 주소를 기반으로 고객 제어 유지 관리를 사용하는 데 제한 사항이 있나요?

예. 기본 SKU 공용 IP 주소를 사용하는 게이트웨이 리소스는 고객 제어 유지 관리 일정에 따라서만 서비스 업데이트를 받을 수 있습니다. 이러한 게이트웨이의 경우 게스트 OS 유지 관리는 인프라 제한 사항으로 인해 고객 제어 유지 관리 일정을 따르지 않습니다.

공존 시나리오에서 VPN과 ExpressRoute를 사용할 때 유지 관리 기간을 어떻게 계획해야 하나요?

공존 시나리오에서 VPN 및 ExpressRoute를 사용하는 경우 또는 백업 역할을 하는 리소스가 있을 때마다 별도의 유지 관리 기간을 설정하는 것이 좋습니다. 이 방식을 사용하면 유지 관리가 동시에 백업 리소스에 영향을 주지 않습니다.

리소스 중 하나의 유지 관리 기간을 향후 날짜로 예약했습니다. 그때까지 이 리소스에 대한 유지 관리 작업이 일시 중지되나요?

아니요, 예약된 유지 관리 기간 전 기간 동안에는 리소스에 대한 유지 관리 작업이 일시 중지되지 않습니다. 유지 관리 일정에 포함되지 않은 날짜에는 리소스에 대한 유지 관리가 평소와 같이 계속됩니다.

고객 제어 게이트웨이 유지 관리를 자세히 알아보려면 어떻게 해야 하나요?

자세한 내용은 VPN Gateway 고객 제어 게이트웨이 유지 관리 문서를 참조하세요.

다음 단계

"OpenVPN"은 OpenVPN Inc.의 상표입니다.