파트너 VPN 디바이스 구성의 개요Overview of partner VPN device configurations

이 문서에서는 Azure VPN Gateway에 연결하기 위한 온-프레미스 VPN 디바이스를 구성하는 개요를 제공합니다.This article provides an overview of configuring on-premises VPN devices for connecting to Azure VPN gateways. 동일한 매개 변수를 사용하여 다양한 온-프레미스 VPN 디바이스 구성에 연결하는 방법을 보여주는 데 샘플 Azure Virtual Network 및 VPN Gateway 설정을 사용합니다.A sample Azure virtual network and VPN gateway setup is used to show you how to connect to different on-premises VPN device configurations by using the same parameters.

참고

이 문서는 새 Azure PowerShell Az 모듈을 사용하도록 업데이트되었습니다.This article has been updated to use the new Azure PowerShell Az module. AzureRM 모듈은 적어도 2020년 12월까지 버그 수정을 수신할 예정이므로 계속 사용하셔도 됩니다.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. 새 Az 모듈 및 AzureRM 호환성에 대한 자세한 내용은 새 Azure PowerShell Az 모듈 소개를 참조하세요.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az 모듈 설치 지침은 Azure PowerShell 설치를 참조하세요.For Az module installation instructions, see Install Azure PowerShell.

디바이스 요구 사항Device requirements

Azure VPN Gateway는 표준 IPsec/IKE 프로토콜 도구 모음을 사용하여 S2S(사이트 간) VPN 터널을 설정합니다.Azure VPN gateways use standard IPsec/IKE protocol suites for site-to-site (S2S) VPN tunnels. Azure VPN Gateway에 대한 IPsec/IKE 매개 변수 및 암호화 알고리즘 목록은 VPN 디바이스 정보를 참조하세요.For a list of IPsec/IKE parameters and cryptographic algorithms for Azure VPN gateways, see About VPN devices. 또한 암호화 요구 사항 정보에 설명된 대로 특정 연결에 대한 정확한 알고리즘 및 주요 장점을 지정할 수 있습니다.You can also specify the exact algorithms and key strengths for a specific connection as described in About cryptographic requirements.

단일 VPN 터널Single VPN tunnel

샘플의 첫 번째 구성은 Azure VPN Gateway와 온-프레미스 VPN 디바이스 간에 단일 S2S VPN 터널로 구성됩니다.The first configuration in the sample consists of a single S2S VPN tunnel between an Azure VPN gateway and an on-premises VPN device. 필요에 따라 VPN 터널에 BGP(경계 게이트웨이 프로토콜)를 구성할 수 있습니다.You can optionally configure the Border Gateway Protocol (BGP) across the VPN tunnel.

단일 S2S VPN 터널의 다이어그램

단일 VPN 터널을 설정하는 단계별 지침은 사이트 간 연결 구성을 참조하세요.For step-by-step instructions to set up a single VPN tunnel, see Configure a site-to-site connection. 다음 섹션에서는 샘플 구성에 대한 연결 매개 변수를 지정하고 시작할 수 있도록 하는 PowerShell 스크립트를 제공합니다.The following sections specify the connection parameters for the sample configuration and provide a PowerShell script to help you get started.

연결 매개 변수Connection parameters

이 섹션은 이전 섹션에서 설명한 예제의 매개 변수를 나열합니다.This section lists the parameters for the examples that are described in the previous sections.

매개 변수Parameter Value
가상 네트워크 주소 접두사Virtual network address prefixes 10.11.0.0/1610.11.0.0/16
10.12.0.0/1610.12.0.0/16
Azure VPN 게이트웨이 IPAzure VPN gateway IP Azure VPN Gateway IPAzure VPN Gateway IP
온-프레미스 주소 접두사On-premises address prefixes 10.51.0.0/1610.51.0.0/16
10.52.0.0/1610.52.0.0/16
온-프레미스 VPN 디바이스 IPOn-premises VPN device IP 온-프레미스 VPN 디바이스 IPOn-premises VPN device IP
*가상 네트워크 BGP ASN* Virtual network BGP ASN 6501065010
*Azure BGP 피어 IP* Azure BGP peer IP 10.12.255.3010.12.255.30
*온-프레미스 BGP ASN* On-premises BGP ASN 6505065050
*온-프레미스 BGP 피어 IP* On-premises BGP peer IP 10.52.255.25410.52.255.254

*BGP에만 해당하는 선택적 매개 변수* Optional parameter for BGP only.

예제 PowerShell 스크립트Sample PowerShell script

이 섹션에서는 시작하는 데 도움이 되도록 예제 스크립트를 제공합니다.This section provides a sample script to get you started. 자세한 지침은 PowerShell을 사용하여 S2S VPN 연결 만들기를 참조하세요.For detailed instructions, see Create an S2S VPN connection by using PowerShell.

# Declare your variables

$Sub1          = "Replace_With_Your_Subscription_Name"
$RG1           = "TestRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$VNet1ASN      = 65010
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GWIPName1     = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15  = "VNet1toSite5"
$LNGName5      = "Site5"
$LNGPrefix50   = "10.52.255.254/32"
$LNGPrefix51   = "10.51.0.0/16"
$LNGPrefix52   = "10.52.0.0/16"
$LNGIP5        = "Your_VPN_Device_IP"
$LNGASN5       = 65050
$BGPPeerIP5    = "10.52.255.254"

# Connect to your subscription and create a new resource group

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

# Create virtual network

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

# Create VPN gateway

$gwpip1    = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1     = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1   = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN

# Create local network gateway

New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5

# Create the S2S VPN connection

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False

(선택 사항)UsePolicyBasedTrafficSelectors로 사용자 지정 IPsec/IKE 정책 사용(Optional) Use custom IPsec/IKE policy with UsePolicyBasedTrafficSelectors

VPN 디바이스에서 임의 트래픽 선택기(예: 경로 기반/VTI 기반 구성)를 지원하지 않는 경우 UsePolicyBasedTrafficSelectors 옵션을 사용하여 사용자 지정 IPsec/IKE 정책을 만듭니다.If your VPN devices don't support any-to-any traffic selectors, such as route-based or VTI-based configurations, create a custom IPsec/IKE policy with the UsePolicyBasedTrafficSelectors option.

중요

연결에서 UsePolicyBasedTrafficSelectors 옵션을 사용하기 위해 IPsec/IKE 정책을 만들어야 합니다.You must create an IPsec/IKE policy to enable the UsePolicyBasedTrafficSelectors option on the connection.

샘플 스크립트는 다음 알고리즘 및 매개 변수를 사용하여 IPsec/IKE 정책을 만듭니다.The sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA1, PFS24, SA 수명 7,200초 및 20,480,000KB(20GB)IPsec: AES256, SHA1, PFS24, SA Lifetime 7,200 seconds, and 20,480,000 KB (20 GB)

이 스크립트는 IPsec/IKE 정책을 적용하고 연결에서 UsePolicyBasedTrafficSelectors 옵션을 사용합니다.The script applies the IPsec/IKE policy and enables the UsePolicyBasedTrafficSelectors option on the connection.

$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True

(선택 사항)S2S VPN 연결에 BGP 사용(Optional) Use BGP on S2S VPN connection

S2S VPN 연결을 만들 경우 선택적으로 VPN Gateway의 BGP를 사용할 수 있습니다.When you create the S2S VPN connection, you can optionally use BGP for the VPN gateway. 이 방법에는 두 가지 차이점이 있습니다.This approach has two differences:

  • 온-프레미스 주소 접두사는 단일 호스트 주소일 수 있습니다.The on-premises address prefixes can be a single host address. 온-프레미스 BGP 피어 IP 주소는 다음과 같이 지정됩니다.The on-premises BGP peer IP address is specified as follows:

    New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
    
  • 연결을 만들 경우 -EnableBGP 옵션을 $True로 설정해야 합니다.When you create the connection, you must set the -EnableBGP option to $True:

    New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
    

다음 단계Next steps

활성-활성 VPN Gateway를 설정하는 단계별 지침은 크로스-프레미스 및 VNet 간 연결에 대한 활성-활성 VPN Gateway 구성을 참조하세요.For step-by-step instructions to set up active-active VPN gateways, see Configuring active-active VPN gateways for cross-premises and VNet-to-VNet connections.