사이트 간 VPN 게이트웨이 문제 해결

  • 10분

사이트 간 VPN 게이트웨이를 사용하는 경우, 문제가 발생할 수 있는 여러 단계와 다양한 영역이 있습니다. 이 섹션에서는 설치에 대한 간략한 개요를 제시하고, 문제를 일으킬 수 있는 영역을 검토하며, 연결 문제를 해결하는 방법을 보여줍니다.

사이트 간 VPN 게이트웨이란 무엇인가요?

여러 곳에 사무실이 위치한 회사가 있는 경우, 네트워크를 통해 LAN(Local Area Networks) 간에 보안 연결을 설정할 수 있습니다. 사이트 간 VPN 게이트웨이는 서로 다른 위치에서 컴퓨터 리소스 간에 보안 연결을 만듭니다.

Screenshot showing a site-to-site VPN set-up.

사이트 간 VPN 게이트웨이를 배포하는 주요 단계는 다음과 같습니다.

  • 온-프레미스 네트워크에 연결할 가상 네트워크를 만듭니다.

  • 가상 네트워크에 게이트웨이 서브넷을 만듭니다.

  • VPN 게이트웨이를 만듭니다.

  • 로컬 네트워크 게이트웨이를 만듭니다.

  • 온-프레미스 게이트웨이를 구성합니다.

  • Azure에서 Azure와 로컬 네트워크 게이트웨이 간의 사이트 간 연결을 위한 하나의 연결을 만듭니다.

시작 시 명확한 지침을 준수한다면 사이트 간 연결 또는 지점 및 사이트 간 연결 시 문제를 해결하는 데 도움이 됩니다. 예를 들면 다음과 같습니다.

  • 나중에 수정할 수 없으므로 설정 중인 네트워크를 명확하게 식별하는 리소스 그룹 이름이 있어야 합니다.

  • 다양한 구성 요소를 만든 후 이를 쉽게 식별할 수 있는 명명 규칙을 채택합니다.

문제가 발생하면 설치를 자세히 살펴보기 전에 가상 네트워크 연결이 올바른지 확인합니다. 확인할 사항:

  • 올바른 구독을 선택했나요?

  • 올바른 지역을 선택했나요?

  • IP 주소 범위는 두 네트워크에 대해 고유한가요? 주소 공간이 겹치면 연결할 수 없습니다.

  • 서브넷 주소 범위는 정확한가요? 이 필드는 종종 자동으로 채워지며 IPv4 주소 범위를 변경하는 경우 서브넷 값이 자동으로 변경되지는 않습니다.

이 단원은 위에 설명된 다양한 단계의 문제를 해결하는 데 도움이 됩니다.

사용 가능한 게이트웨이 및 SKU

사이트 간 VPN 게이트웨이는 IPsec/IKE(IKEv1 또는 IKEv2) VPN 터널을 통한 연결입니다.

게이트웨이 유형

  • VPN – 공용 인터넷을 통해 암호화된 트래픽을 보냅니다.

  • ExpressRoute – 프라이빗 연결에서 네트워크 트래픽을 보냅니다.

SKU 크기

각 게이트웨이는 서로 다른 SKU에서 사용할 수 있습니다. 필요한 SKU를 설정하는 데 필요한 CPU 사용량 및 대역폭을 결정해야 합니다. SKU의 크기 및/또는 유형을 변경해야 하는 경우, 이를 업그레이드할 수 있습니다. 그러나 경우에 따라서는 게이트웨이를 다시 설정해야 할 수 있습니다.

VPN 유형

게이트웨이를 설정할 때에는 VPN 유형을 선택해야 합니다. 사이트 간 연결은 경로 기반 VPN 또는 정책 기반 VPN을 지원합니다. VPN 유형을 변경할 수는 없으므로 정책 기반 게이트웨이의 제한 사항이 시스템에 영향을 주지 않는지 확인합니다. 정책 기반 VPN의 주요 제한 사항은 다음과 같습니다.

  • 기본 SKU만 사용할 수 있습니다.

  • 하나의 터널만 사용할 수 있습니다.

  • 특정 디바이스만 정책 기반 연결을 허용합니다.

  • 지점 및 사이트 간 VPN 게이트웨이에 연결할 수 없습니다.

VPN 유형을 잘못 설정한 경우 가상 게이트웨이를 삭제하고 새 게이트웨이를 만들어야 합니다.

BGP(Border Gateway Protocol)

Screenshot of the B G P configuration screen.

BGP는 Azure 경로 기반 게이트웨이와 함께 사용할 수 있는 선택적 기능입니다. BGP는 인터넷에서 사용되는 것과 동일한 기술을 가지고 있지만 Azure 내에 있습니다. BGP를 사용하면 Azure VPN 게이트웨이 및 연결된 모든 온-프레미스 게이트웨이가 현재 사용 중인 IP 범위에 관한 정보를 교환할 수 있습니다.

다음 검사 목록을 사용하여 BGP 연결 문제를 해결합니다.

  • BGP를 사용하도록 설정하기 위해 가상 네트워크 게이트웨이에 자율 시스템(AS) 번호를 만들었나요?

  • Azure에서 가상 네트워크의 개요 섹션과 대조하여 시스템이 BGN을 지원하는지 확인합니다. SKU가 기본인 경우, VpnGw1로 크기를 조정한 후 AS 번호를 추가해야 합니다.

  • PowerShell을 사용하여 로컬 네트워크 게이트웨이에 AS 번호와 BGP 피어 주소를 제공했나요?

  • 연결 게이트웨이가 BGP를 사용하도록 설정되었나요?

활성/활성 VPN 게이트웨이

게이트웨이에는 활성/활성 및 활성/대기의 두 가지 유형이 있습니다.

활성/활성 유형을 구성했다면 다음 요건이 충족되는지 확인합니다.

  • 두 개의 공용 IP 주소를 사용하여 두 개의 게이트웨이 IP 구성을 만들었습니다.

  • EnableActiveActiveFeature 플래그가 설정되었는지 확인합니다.

  • 게이트웨이 SKU가 VpnGw1, VpnGw2 또는 VpnGw3인지 확인합니다.

게이트웨이에 대한 구성 스크립트 찾기, 검토 및 구성

프레미스 간 연결을 완료하려면 구성 스크립트를 다운로드하고 완료합니다. 오류가 발생하면 다음을 확인합니다.

  • 올바른 스크립트를 다운로드했나요?

  • 구문은 각 모델 및 펌웨어 버전마다 다르기 때문에 올바른 스크립트를 다운로드했는지 확인하는 것이 중요합니다.

  • 텍스트 편집기에서 스크립트를 열고 바꾸기 섹션을 찾습니다. 매개 변수 정보를 올바르게 수정했나요?

    Screenshot showing the REPLACE text highlighting the information that needs to be replaced in a configuration script.

  • 디바이스에서 다음 값을 다시 확인합니다.

    • 인터페이스 번호.

    • 액세스 제어 목록(ACL) 번호.

    • 정책 이름, 숫자 등.

Edge 디바이스가 게이트웨이와 호환이 되나요?

모든 디바이스가 VPN 게이트웨이에 대해 확인되고 유효성 검사를 받은 것은 아닙니다. 디바이스에 문제가 있다면 다음 검사 목록이 도움이 될 수 있습니다.

  • 디바이스가 올바르게 구성되었는지 확인하고, 무엇보다도 Microsoft에서 디바이스의 유효성을 검사했는지 확인합니다.

디바이스가 목록에 없다면 디바이스 제조업체에 문의하여 지원 및 구성 지침을 받을 수 있는지 확인합니다. 디바이스가 계속 작동할 수 있습니다.

로그 분석 쿼리를 실행하여 게이트웨이 문제 해결

Log Analytics를 사용하여 추세를 식별하고 Azure에서 수집한 데이터를 분석할 수 있습니다. Log Analytics는 현재 문제를 식별하고 게이트웨이의 상태에 대한 중요한 인사이트를 제공하는 데 유용한 도구입니다. 사전에 사용하면 잠재적인 이슈를 식별하고 문제 해결 대신 예방 조치를 취할 수 있습니다.

다음과 같이 미리 작성된 다양한 쿼리를 사용할 수 있습니다.

  • RL별 4xx 오류율.

  • 애플리케이션 규칙 로그 데이터.

  • BGP 경로 테이블.

  • 모니터링 상태가 다운된 엔드포인트.

  • 시간당 실패한 요청.

  • 게이트웨이 구성 변경 내용.

Screenshot of the Microsoft Azure log screen showing a query and its results.

쿼리를 처음 설정할 때 네트워크에서 발생하는 일을 이해하는 데 도움이 되도록 올바른 정보에 액세스하고 있는지 확인하기 위해 다른 테이블의 정보를 미리 봅니다. 위에 표시된 샘플은 미리 작성된 수백 개의 사용 가능한 쿼리 중 몇 가지에 불과합니다. 더 복잡한 쿼리를 작성하려는 경우, 읽어야 할 자습서가 있습니다.

VPN Gateway 다시 설정

온-프레미스 디바이스가 제대로 작동하지만 Azure VPN Gateway를 사용하여 IPsec 터널을 설정할 수 없는 경우, 이 터널을 다시 설정해야 합니다.

다음 두 가지 재설정을 사용할 수 있습니다.

게이트웨이 재설정은 게이트웨이를 다시 부팅하고 현재 공용 IP 주소를 유지하므로 VPN 라우터 구성을 업데이트할 필요가 없습니다.

다시 부팅하기 전에 다음 검사 목록을 사용합니다.

  • Azure VPN 게이트웨이 및 온-프레미스 VPN 게이트웨이에 대한 두 개의 IP 주소가 Azure 및 온-프레미스 VPN 정책에 올바르게 구성되어 있는가?

  • 두 게이트웨이에서 미리 공유된 키가 동일한가?

  • 암호화 또는 해시 로그와 같은 특정 IPsec/IKE 구성을 적용했는가?

  • 그렇다면 두 게이트웨이 모두에서 구성이 일치하는지 확인합니다.

다시 부팅하는 명령을 실행하면 1분 이상 걸리지 않습니다. 그러나 문제가 해결되지 않고 두 번째로 다시 부팅하는 명령을 실행하면 최대 45분이 걸릴 수 있습니다.

다시 부팅을 두 번 한 후에도 문제가 계속 발생한다면 Azure Portal을 이용해 서비스 티켓을 발생시켜야 합니다. 재설정은 포털을 통해 또는 PowerShell을 사용하여 실시할 수 있습니다.

연결 재설정은 게이트웨이를 다시 부팅하지 않고 선택한 연결만 다시 설정합니다.

사이트 간 게이트웨이 연결 문제 해결

연결이 올바르게 작동하다가 갑자기 중지된 경우, 다음 검사 목록을 사용합니다.

  • 온-프레미스 디바이스의 유효성이 검사되고 올바르게 구성되었는지 확인합니다.

    Screenshot showing the Gateway overview screen.

  • 각 연결의 공유 키가 일치하는지 확인합니다.

    Screenshot of shared key option and shared key field.

  • Azure의 로컬 네트워크 게이트웨이 IP 정의가 온-프레미스 디바이스 IP와 일치하나요?

  • UDR(사용자 정의 라우팅) 또는 NSG(네트워크 보안 그룹)를 확인하고 제거한 후 결과를 테스트합니다.

  • 간헐적인 연결 끊김이 발생하는 경우, VPN 인터넷 연결 IP 주소가 Azure의 로컬 네트워크 정의에 포함되지 않았는지 확인합니다.

  • 가상 네트워크 서브넷 주소 공간이 Azure 가상 네트워크 및 온-프레미스 네트워크에서 일치하는지 확인합니다.

  • https://< YourVirtualNetworkGatewayIP>:8081/healthprobe로 이동하여 상태 프로브를 확인합니다. 응답을 받지 못하면 게이트웨이가 비정상일 수 있습니다.

  • 간헐적인 연결 끊김 문제가 발생하며 디바이스에서 완벽한 전달 비밀을 사용하도록 설정했다면 해당 기능을 사용하지 않도록 설정하고 VPN 게이트웨이 IPsec 정책을 업데이트합니다.

    Screenshot showing the Resource health area

  • 리소스 상태를 확인합니다.

  • Azure 내에서 문제 해결 도구를 사용합니다.

    Screenshot of the diagnose and solve problems feature.

사이트 간 VPN 내 대기 시간 이슈의 근본 원인 식별

터널 수신 및 송신 메트릭은 Azure Monitor를 사용하여 Azure Portal 내에서 모니터링할 수 있습니다. 클라이언트 컴퓨터에서 tracert를 실행하면 100ms를 초과하는 누적 지연을 볼 수 있습니다.

터널 수신 및 송신 메트릭

아래 단계에 따라 Azure 내에서 메트릭에 액세스합니다.

  • 가상 네트워크 게이트웨이로 이동합니다.

  • 개요를 선택하여 터널 수신 및 송신 메트릭을 확인합니다.

    Screenshot of the Azure metrics screen

  • 필요에 따라 추가 메트릭을 보려면 측면 패널에서 메트릭을 클릭합니다.

누적 지연 모니터링

tracert 명령은 100ms를 초과하는 누적 지연이 있는지 확인합니다.

  • 온-프레미스 네트워크의 클라이언트 컴퓨터에서 명령 창을 엽니다.

  • Tracert <Azure 게이트웨이에 대한 VIP>를 입력합니다.

  • 결과에 *가 표시되면 Azure 에지를 적중한 것입니다.

  • DNS 이름에 msm이 포함되어 있다면 Microsoft 백본에 도달한 것입니다.

Screenshot of the tracert screen.