Azure Stack Hub에 대 한 VPN gateway 설정 구성Configure VPN gateway settings for Azure Stack Hub

VPN gateway는 Azure Stack 허브의 가상 네트워크와 원격 VPN 게이트웨이의 암호화 된 트래픽을 전송 하는 가상 네트워크 게이트웨이의 유형입니다.A VPN gateway is a type of virtual network gateway that sends encrypted traffic between your virtual network in Azure Stack Hub and a remote VPN gateway. 원격 VPN 게이트웨이는 Azure, 데이터 센터의 장치 또는 다른 사이트의 장치에 있을 수 있습니다.The remote VPN gateway can be in Azure, a device in your datacenter, or a device on another site. 두 끝점 간에 네트워크 연결이 있는 경우 두 네트워크 간에 보안 사이트 간 (S2S) VPN 연결을 설정할 수 있습니다.If there is network connectivity between the two endpoints, you can establish a secure Site-to-Site (S2S) VPN connection between the two networks.

VPN Gateway 연결은 각각이 구성 가능한 설정을 포함하는 여러 리소스의 구성에 따라 좌우됩니다.A VPN gateway connection relies on the configuration of multiple resources, each of which contains configurable settings. 이 문서에서는 리소스 관리자 배포 모델에서 만든 가상 네트워크에 대 한 VPN gateway와 관련 된 리소스 및 설정을 설명 합니다.This article describes the resources and settings that relate to a VPN gateway for a virtual network that you create in the Resource Manager deployment model. Azure Stack 허브에 대 한 VPN 게이트웨이 만들기에서 각 연결 솔루션에 대 한 설명 및 토폴로지 다이어그램을 찾을 수 있습니다.You can find descriptions and topology diagrams for each connection solution in Create VPN gateways for Azure Stack Hub.

VPN gateway 설정VPN gateway settings

게이트웨이 유형Gateway types

각 Azure Stack 허브 가상 네트워크는 Vpn 유형 이어야 하는 단일 가상 네트워크 게이트웨이를 지원 합니다.Each Azure Stack Hub virtual network supports a single virtual network gateway, which must be of the type Vpn. 이 지원은 추가 유형을 지 원하는 Azure와 다릅니다.This support is different from Azure, which supports additional types.

가상 네트워크 게이트웨이를 만들 때 구성에 대 한 게이트웨이 형식이 올바른지 확인 해야 합니다.When you create a virtual network gateway, you must make sure that the gateway type is correct for your configuration. VPN gateway에는 플래그가 필요 합니다. -GatewayType Vpn 예를 들면 다음과 같습니다.A VPN gateway requires the -GatewayType Vpn flag; for example:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
   -VpnType RouteBased

게이트웨이 SKUGateway SKUs

가상 네트워크 게이트웨이를 만들 때 사용 하려는 게이트웨이 SKU를 지정 해야 합니다.When you create a virtual network gateway, you must specify the gateway SKU that you want to use. 작업 부하, 처리량, 기능 및 SLA의 종류를 기반으로 하는 요구 사항을 충족하는 SKU를 선택합니다.Select the SKUs that satisfy your requirements based on the types of workloads, throughputs, features, and SLAs.

Azure Stack 허브는 다음 표에 나와 있는 VPN gateway Sku를 제공 합니다.Azure Stack Hub offers the VPN gateway SKUs shown in the following table:

터널 처리량Tunnel throughput VPN gateway 최대 IPsec 터널VPN gateway maximum IPsec tunnels
기본 SKUBasic SKU 100Mbps100 Mbps 2020
표준 SKUStandard SKU 100Mbps100 Mbps 2020
고성능 SKUHigh Performance SKU 200Mbps200 Mbps 1010

게이트웨이 SKU 크기 조정Resizing gateway SKUs

Azure Stack 허브는 지원 되는 레거시 Sku 간의 Sku 크기 조정을 지원 하지 않습니다.Azure Stack Hub does not support a resize of SKUs between the supported legacy SKUs.

마찬가지로 Azure Stack 허브는 지원 되는 레거시 SKU (Basic, StandardHighperformance)에서 Azure (VpnGw1, VpnGw2VpnGw3)가 지 원하는 최신 sku로 크기 조정을 지원 하지 않습니다.Similarly, Azure Stack Hub does not support a resize from a supported legacy SKU (Basic, Standard, and HighPerformance) to a newer SKU supported by Azure (VpnGw1, VpnGw2, and VpnGw3).

게이트웨이 SKU 구성Configure the gateway SKU

Azure Stack 허브 포털Azure Stack Hub portal

Azure Stack 허브 포털을 사용 하 여 리소스 관리자 가상 네트워크 게이트웨이를 만드는 경우 드롭다운 목록을 사용 하 여 게이트웨이 SKU를 선택할 수 있습니다.If you use the Azure Stack Hub portal to create a Resource Manager virtual network gateway, you can select the gateway SKU by using the dropdown list. 옵션은 선택한 게이트웨이 유형 및 VPN 유형에 해당 합니다.The options correspond to the gateway type and VPN type that you select.

PowerShellPowerShell

다음 PowerShell 예제에서는 -GatewaySku 매개 변수를 Standard 로 지정 합니다.The following PowerShell example specifies the -GatewaySku parameter as Standard:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
   -GatewayType Vpn -VpnType RouteBased

연결 유형Connection types

Resource Manager 배포 모델에서 각 구성이 작동하려면 특정 가상 네트워크 게이트웨이 연결 유형이 필요합니다.In the Resource Manager deployment model, each configuration requires a specific virtual network gateway connection type. 에 사용할 수 있는 리소스 관리자 PowerShell 값은 -ConnectionType IPsec 입니다.The available Resource Manager PowerShell values for -ConnectionType are IPsec.

다음 PowerShell 예제에서는 IPsec 연결 형식이 필요한 S2S 연결이 생성 됩니다.In the following PowerShell example, a S2S connection is created that requires the IPsec connection type:

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
   -Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

VPN 유형VPN types

VPN Gateway 구성에 대한 가상 네트워크 게이트웨이 만들 때 VPN 유형을 지정해야 합니다.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. 선택하는 VPN 유형은 만들려는 연결 토폴로지에 따라 달라집니다.The VPN type that you choose depends on the connection topology that you want to create. VPN 유형은 사용 하는 하드웨어에 따라서도 달라질 수 있습니다.A VPN type can also depend on the hardware that you're using. S2S 구성에는 VPN 디바이스가 필요합니다.S2S configurations require a VPN device. 일부 VPN 디바이스는 특정 VPN 유형을 지원합니다.Some VPN devices only support a certain VPN type.

중요

현재 Azure Stack 허브는 경로 기반 VPN 유형만 지원 합니다.Currently, Azure Stack Hub only supports the route-based VPN type. 장치에서 정책 기반 Vpn만 지 원하는 경우 Azure Stack 허브에서 해당 장치에 연결 하는 것은 지원 되지 않습니다.If your device only supports policy-based VPNs, then connections to those devices from Azure Stack Hub are not supported.

또한 사용자 지정 IPSec/IKE 정책 구성이 지원 되지 않기 때문에 Azure Stack 허브는 현재 경로 기반 게이트웨이의 정책 기반 트래픽 선택기 사용을 지원 하지 않습니다.In addition, Azure Stack Hub does not support using policy-based traffic selectors for route-based gateways at this time, because custom IPSec/IKE policy configurations are not supported.

  • Policybased: 정책 기반 vpn은 온-프레미스 네트워크와 Azure Stack 허브 VNet 간의 주소 접두사 조합으로 구성 된 ipsec 정책에 따라 ipsec 터널을 통해 패킷을 암호화 하 고 직접 전달 합니다.PolicyBased: Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the IPsec policies that are configured with the combinations of address prefixes between your on-premises network and the Azure Stack Hub VNet. 일반적으로 정책 또는 트래픽 선택기는 VPN 장치 구성에서 액세스 목록입니다.The policy, or traffic selector, is usually an access list in the VPN device configuration.

    참고

    Policybased 는 Azure에서 지원 되지만 Azure Stack 허브에서는 지원 되지 않습니다.PolicyBased is supported in Azure, but not in Azure Stack Hub.

  • 경로 기반: 경로 기반 VPN은 IP 전달 또는 라우팅 테이블에 구성 된 경로를 사용 하 여 해당 하는 터널 인터페이스로 패킷을 보냅니다.RouteBased: Route-based VPNs use routes that are configured in the IP forwarding or routing table to direct packets to their corresponding tunnel interfaces. 그런 다음 터널 인터페이스는 터널로 들어오는 터널에서 나가는 패킷을 암호화하거나 암호 해독합니다.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. 경로 기반 vpn에 대 한 정책 또는 트래픽 선택기는 임의 또는 와일드 카드를 사용 하 여 구성 됩니다.The policy, or traffic selector, for RouteBased VPNs are configured as any-to-any (or use wild cards). 기본적으로 변경할 수는 없습니다.By default, they cannot be changed. 경로 기반 VPN 유형의 값은 경로 기반 입니다.The value for a RouteBased VPN type is RouteBased.

다음 PowerShell 예제에서는 -VpnTypeRouteBased 로 지정합니다.The following PowerShell example specifies the -VpnType as RouteBased. 게이트웨이를 만들 때 구성이 올바른지 확인 해야 합니다 -VpnType .When you create a gateway, you must make sure that the -VpnType is correct for your configuration.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig `
   -GatewayType Vpn -VpnType RouteBased

게이트웨이 요구 사항Gateway requirements

다음 표에는 VPN 게이트웨이의 요구 사항이 정리 되어 있습니다.The following table lists the requirements for VPN gateways.

정책 기반 기본 VPN GatewayPolicy-based Basic VPN Gateway 경로 기반 기본 VPN GatewayRoute-based Basic VPN Gateway 경로 기반 표준 VPN GatewayRoute-based Standard VPN Gateway 경로 기반 고성능 VPN GatewayRoute-based High Performance VPN Gateway
사이트 간 연결 (S2S 연결)Site-to-Site connectivity (S2S connectivity) 지원되지 않음Not Supported 경로 기반 VPN 구성Route-based VPN configuration 경로 기반 VPN 구성Route-based VPN configuration 경로 기반 VPN 구성Route-based VPN configuration
인증 방법Authentication method 지원되지 않음Not Supported S2S 연결에 대 한 미리 공유한 키Pre-shared key for S2S connectivity S2S 연결에 대 한 미리 공유한 키Pre-shared key for S2S connectivity S2S 연결에 대 한 미리 공유한 키Pre-shared key for S2S connectivity
S2S 연결의 최대 수Maximum number of S2S connections 지원되지 않음Not Supported 2020 2020 1010
활성 라우팅 지원(BGP)Active routing support (BGP) 지원되지 않음Not supported 지원되지 않음Not supported 지원 여부Supported 지원 여부Supported

게이트웨이 서브넷Gateway subnet

VPN Gateway를 만들기 전에 게이트웨이 서브넷을 만들어야 합니다.Before you create a VPN gateway, you must create a gateway subnet. 게이트웨이 서브넷에는 가상 네트워크 게이트웨이 Vm 및 서비스에서 사용 하는 IP 주소가 있습니다.The gateway subnet has the IP addresses that the virtual network gateway VMs and services use. 가상 네트워크 게이트웨이 만들 때 게이트웨이 VM은 게이트웨이 서브넷에 배포되고 필수 VPN Gateway 설정으로 구성됩니다.When you create your virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the required VPN gateway settings. 다른 Vm (예: 추가 Vm)을 게이트웨이 서브넷에 배포 하지 마세요.Don't deploy anything else (for example, additional VMs) to the gateway subnet.

중요

게이트웨이 서브넷이 제대로 작동 하려면 이름이 지정 되어야 합니다.The gateway subnet must be named GatewaySubnet to work properly. Azure Stack 허브는이 이름을 사용 하 여 가상 네트워크 게이트웨이 Vm 및 서비스를 배포할 서브넷을 식별 합니다.Azure Stack Hub uses this name to identify the subnet to which to deploy the virtual network gateway VMs and services.

게이트웨이 서브넷을 만드는 경우 서브넷이 포함하는 IP 주소의 수를 지정합니다.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. 게이트웨이 서브넷의 IP 주소는 게이트웨이 VM 및 게이트웨이 서비스에 할당됩니다.The IP addresses in the gateway subnet are allocated to the gateway VMs and gateway services. 일부 구성에는 다른 구성보다 더 많은 IP 주소가 필요합니다.Some configurations require more IP addresses than others. 만들려는 구성에 대한 지침을 검토하고 가지고 있는 만들려는 게이트웨이 서브넷이 해당 요구 사항을 충족하는지 확인합니다.Look at the instructions for the configuration that you want to create and verify that the gateway subnet you want to create meets those requirements.

또한 게이트웨이 서브넷에 추가 향후 구성을 처리할 충분 한 IP 주소가 있는지 확인 해야 합니다.Additionally, you should make sure your gateway subnet has enough IP addresses to handle additional future configurations. 게이트웨이 서브넷은/29 보다 작게 만들 수 있지만 게이트웨이 서브넷을/28 이상으로 만드는 것이 좋습니다 (/28,/27,/26 등). 이런 방식으로 나중에 기능을 추가 하는 경우 게이트웨이를 종료 하 고 추가 IP 주소를 허용 하기 위해 게이트웨이 서브넷을 삭제 한 후 다시 만들 필요가 없습니다.Although you can create a gateway subnet as small as /29, we recommend you create a gateway subnet of /28 or larger (/28, /27, /26, and so on.) That way, if you add functionality in the future, you do not have to tear down your gateway, then delete and recreate the gateway subnet to allow for more IP addresses.

다음 리소스 관리자 PowerShell 예제에서는 gsubnet 이라는 게이트웨이 서브넷을 보여 줍니다.The following Resource Manager PowerShell example shows a gateway subnet named GatewaySubnet. CIDR 표기법이 /27을 지정하는 것을 확인할 수 있으며 이는 이번에 존재하는 대부분의 구성에 대한 충분한 IP 주소를 허용합니다.You can see the CIDR notation specifies a /27, which allows for enough IP addresses for most configurations that currently exist.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

중요

게이트웨이 서브넷에서 작업할 때는 게이트웨이 서브넷에 NSG(네트워크 보안 그룹)를 연결하지 않습니다.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. 네트워크 보안 그룹을이 서브넷에 연결 하면 VPN gateway가 예상 대로 작동 하지 않을 수 있습니다.Associating a network security group to this subnet can cause your VPN gateway to stop functioning as expected. 네트워크 보안 그룹에 대 한 자세한 내용은 네트워크 보안 그룹 이란?을 참조 하세요.For more information about network security groups, see What is a network security group?.

로컬 네트워크 게이트웨이Local network gateways

Azure에서 VPN gateway 구성을 만들 때 로컬 네트워크 게이트웨이는 일반적으로 온-프레미스 위치를 나타냅니다.When creating a VPN gateway configuration in Azure, the local network gateway often represents your on-premises location. Azure Stack 허브에서는 Azure Stack 허브 외부에 있는 모든 원격 VPN 장치를 나타냅니다.In Azure Stack Hub, it represents any remote VPN device that sits outside Azure Stack Hub. 이 장치는 데이터 센터 (또는 원격 데이터 센터)의 VPN 장치 이거나 Azure의 VPN gateway 일 수 있습니다.This device could be a VPN device in your datacenter (or a remote datacenter), or a VPN gateway in Azure.

로컬 네트워크 게이트웨이에 VPN 장치의 공용 IP 주소를 지정 하 고 온-프레미스 위치에 있는 주소 접두사를 지정 합니다.You give the local network gateway a name, the public IP address of the VPN device, and specify the address prefixes that are on the on-premises location. Azure는 네트워크 트래픽에 대 한 대상 주소 접두사를 보고 로컬 네트워크 게이트웨이에 대해 지정한 구성을 확인 하 고 그에 따라 패킷을 라우팅합니다.Azure looks at the destination address prefixes for network traffic, consults the configuration that you've specified for your local network gateway, and routes packets accordingly.

이 PowerShell 예제에서는 새 로컬 네트워크 게이트웨이를 만듭니다.This PowerShell example creates a new local network gateway:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
   -Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

로컬 네트워크 게이트웨이 설정을 수정 해야 하는 경우도 있습니다. 예를 들어 주소 범위를 추가 하거나 수정 하거나 VPN 장치의 IP 주소가 변경 되는 경우입니다.Sometimes you need to modify the local network gateway settings; for example, when you add or modify the address range, or if the IP address of the VPN device changes. 자세한 내용은 PowerShell을 사용 하 여 로컬 네트워크 게이트웨이 설정 수정을 참조 하세요.For more info, see Modify local network gateway settings using PowerShell.

IPsec/IKE 매개 변수IPsec/IKE parameters

Azure Stack 허브에서 VPN 연결을 설정 하는 경우 양쪽 끝에서 연결을 구성 해야 합니다.When you set up a VPN connection in Azure Stack Hub, you must configure the connection at both ends. Azure Stack 허브와 하드웨어 장치 (예: VPN 게이트웨이의 역할을 하는 스위치 또는 라우터) 간에 VPN 연결을 구성 하는 경우 해당 장치에서 추가 설정을 요청할 수 있습니다.If you're configuring a VPN connection between Azure Stack Hub and a hardware device such as a switch or router that is acting as a VPN gateway, that device might ask you for additional settings.

개시자와 응답자 모두에 게 여러 제안을 지 원하는 Azure와 달리 Azure Stack 허브는 기본적으로 하나의 제품만 지원 합니다.Unlike Azure, which supports multiple offers as both an initiator and a responder, Azure Stack Hub supports only one offer by default. VPN 장치를 사용 하는 데 다른 IPSec/IKE 설정을 사용 해야 하는 경우 연결을 수동으로 구성 하는 데 사용할 수 있는 추가 설정이 있습니다.If you need to use different IPSec/IKE settings to work with your VPN device, there are more settings available to you to configure your connection manually. 자세한 내용은 사이트 간 VPN 연결에 대 한 IPsec/IKE 정책 구성을 참조 하세요.For more information, see Configure IPsec/IKE policy for site-to-site VPN connections.

중요

S2S 터널을 사용 하는 경우 패킷의 전체 크기를 늘리는 추가 헤더로 패킷이 추가로 캡슐화 됩니다.When using the S2S tunnel, packets are further encapsulated with additional headers which increases the overall size of the packet. 이러한 시나리오에서는 TCP MSS1350 에 고정 해야 합니다.In these scenarios, you must clamp TCP MSS at 1350. 또는 VPN 장치에서 MSS 고정을 지원 하지 않는 경우 터널 인터페이스의 MTU 를 대신 1400 바이트로 설정할 수 있습니다.Or, if your VPN devices do not support MSS clamping, you can alternatively set the MTU on the tunnel interface to 1400 bytes instead. 자세한 내용은 가상 NETWORK TCPIP 성능 튜닝을 참조 하세요.For more information, see Virutal Network TCPIP performance tuning.

IKE 1단계(주 모드) 매개 변수IKE Phase 1 (Main Mode) parameters

속성Property Value
IKE 버전IKE Version IKEv2IKEv2
Diffie-Hellman 그룹 *Diffie-Hellman Group* ECP384ECP384
인증 방법Authentication Method 미리 공유한 키Pre-Shared Key
암호화 & 해시 알고리즘 *Encryption & Hashing Algorithms* AES256, SHA384AES256, SHA384
SA 수명(시간)SA Lifetime (Time) 28,800초28,800 seconds

IKE 2단계(빠른 모드) 매개 변수IKE Phase 2 (Quick Mode) parameters

속성Property Value
IKE 버전IKE Version IKEv2IKEv2
암호화 & 해시 알고리즘 (암호화)Encryption & Hashing Algorithms (Encryption) GCMAES256GCMAES256
암호화 & 해시 알고리즘 (인증)Encryption & Hashing Algorithms (Authentication) GCMAES256GCMAES256
SA 수명(시간)SA Lifetime (Time) 27,000초27,000 seconds
SA 수명 (Kb)SA Lifetime (Kilobytes) 3355340833,553,408
PFS (완벽 한 전달 보안) *Perfect Forward Secrecy (PFS)* ECP384ECP384
작동하지 않는 피어 검색Dead Peer Detection 지원 여부Supported

참고

빌드 1910 이상에 대 한 Diffie-Hellman 그룹, 해싱 알고리즘 및 완벽 한 전달 보안의 기본값이 변경 되었습니다.The default values for Diffie-Hellman Group, Hashing Algorithm and Perfect Forward Secrecy have been changed for builds 1910 and above. Azure Stack 허브가 1910 미만의 빌드 버전에 있는 경우 위의 매개 변수에 대해 다음 값을 사용 하세요.If your Azure Stack Hub is on a build version below 1910, please use the following values for the above parameters:

속성Property Value
Diffie-Hellman 그룹Diffie-Hellman Group DHGroup2DHGroup2
해시 알고리즘Hashing Algorithms SHA256SHA256
PFS(Perfect Forward Secrecy)Perfect Forward Secrecy (PFS) NoneNone

* 새 매개 변수 또는 변경 된 매개 변수입니다.* New or changed parameter.

다음 단계Next steps