Azure VPN Gateway의 BGP 정보About BGP with Azure VPN Gateway

이 문서에서는 Azure VPN Gateway에서의 BGP(경계 게이트웨이 프로토콜) 지원에 대한 개요를 제공합니다.This article provides an overview of BGP (Border Gateway Protocol) support in Azure VPN Gateway.

BGP는 두 개 이상의 네트워크 간에 라우팅 및 연결 정보를 교환하도록 인터넷에서 일반적으로 사용하는 표준 라우팅 프로토콜입니다.BGP is the standard routing protocol commonly used in the Internet to exchange routing and reachability information between two or more networks. Azure Virtual Network에서는 BGP를 통해 Azure VPN Gateway 및 온-프레미스 VPN 디바이스(BGP 피어 또는 인접이라고 함)는 관련된 게이트웨이 또는 라우터를 거치도록 해당 접두사의 가용성 및 연결 가능성에 대한 정보를 두 게이트웨이에 제공하는 "경로"를 교환할 수 있습니다.When used in the context of Azure Virtual Networks, BGP enables the Azure VPN Gateways and your on-premises VPN devices, called BGP peers or neighbors, to exchange "routes" that will inform both gateways on the availability and reachability for those prefixes to go through the gateways or routers involved. BGP 게이트웨이가 하나의 BGP 피어에서 파악한 경로를 다른 모든 BGP 피어로 전파하여 BGP를 통해 여러 네트워크 간에 전송 라우팅을 사용할 수도 있습니다.BGP can also enable transit routing among multiple networks by propagating routes a BGP gateway learns from one BGP peer to all other BGP peers.

BGP를 사용하는 이유Why use BGP?

BGP는 선택적 기능으로, Azure 경로 기반 VPN Gateway와 함께 사용할 수 있습니다.BGP is an optional feature you can use with Azure Route-Based VPN gateways. 또한 이 기능을 사용하기 전에 온-프레미스 VPN 디바이스가 BGP를 지원하는지 확인해야 합니다.You should also make sure your on-premises VPN devices support BGP before you enable the feature. BGP 없이도 Azure VPN Gateway 및 온-프레미스 VPN 디바이스를 계속 사용할 수 있습니다.You can continue to use Azure VPN gateways and your on-premises VPN devices without BGP. 네트워크와 Azure 간에 BGP를 통한 동적 라우팅을 사용하는 것과 고정 경로(BGP 없음)를 사용하는 것의 차이 입니다.It is the equivalent of using static routes (without BGP) vs. using dynamic routing with BGP between your networks and Azure.

BGP에는 다음과 같이 몇 가지 장점과 새로운 기능이 있습니다.There are several advantages and new capabilities with BGP:

자동 및 유연한 접두사 업데이트 지원Support automatic and flexible prefix updates

BGP를 사용하면 IPsec S2S VPN 터널을 경유하는 특정 BGP 피어에 최소한의 접두어만 선언하면 됩니다.With BGP, you only need to declare a minimum prefix to a specific BGP peer over the IPsec S2S VPN tunnel. 온-프레미스 VPN 디바이스의 BGP 피어 IP 주소에 있는 호스트 접두어(/32)처럼 짧을 수 있습니다.It can be as small as a host prefix (/32) of the BGP peer IP address of your on-premises VPN device. Azure Virtual Network에 액세스를 허용하기 위해 Azure에 제시할 온-프레미스 네트워크 접두어를 제어할 수 있습니다.You can control which on-premises network prefixes you want to advertise to Azure to allow your Azure Virtual Network to access.

또한 대형 개인 IP 주소 공간(예: 10.0.0.0/8)과 같은 일부 VNet 주소 접두어를 포함하는 더 큰 접두어를 제시할 수도 있습니다.You can also advertise larger prefixes that may include some of your VNet address prefixes, such as a large private IP address space (for example, 10.0.0.0/8). 그렇지만 접두어는 VNet의 어떤 접두어와도 같을 수 없습니다.Note though the prefixes cannot be identical with any one of your VNet prefixes. VNet 접두어와 동일한 경로는 거부됩니다.Those routes identical to your VNet prefixes will be rejected.

BGP를 기준으로 자동 장애 조치(failover)가 있는 VNet과 온-프레미스 사이트 간 여러 터널 지원Support multiple tunnels between a VNet and an on-premises site with automatic failover based on BGP

동일한 위치에서 온-프레미스 VPN 디바이스와 Azure VNet 간에 여러 연결을 수립할 수 있습니다.You can establish multiple connections between your Azure VNet and your on-premises VPN devices in the same location. 이 기능은 활성-활성 구성의 두 네트워크 간에 여러 터널(경로)을 제공합니다.This capability provides multiple tunnels (paths) between the two networks in an active-active configuration. 한 터널의 연결이 끊기면 BGP를 통해 해당 경로가 제거되고 트래픽이 자동으로 다른 터널로 전달됩니다.If one of the tunnels is disconnected, the corresponding routes will be withdrawn via BGP and the traffic automatically shifts to the remaining tunnels.

다음 다이어그램에서는 이러한 고가용성 설정의 간단한 예제를 보여줍니다.The following diagram shows a simple example of this highly available setup:

여러 개의 활성 경로

온-프레미스 네트워크와 여러 Azure VNet 간 전송 라우팅 지원Support transit routing between your on-premises networks and multiple Azure VNets

BGP는 직접 또는 간접 연결 여부에 관계없이 서로 다른 네트워크로부터 접두어를 파악하고 전파하기 위해 여러 게이트웨이를 활성화합니다.BGP enables multiple gateways to learn and propagate prefixes from different networks, whether they are directly or indirectly connected. 따라서 온-프레미스 사이트 간 또는 여러 Azure Virtual Network 간의 Azure VPN Gateway를 통한 전송 라우팅이 가능합니다.This can enable transit routing with Azure VPN gateways between your on-premises sites or across multiple Azure Virtual Networks.

다음 다이어그램에서는 Microsoft 네트워크 내에서 Azure VPN Gateway를 통해 두 온-프레미스 네트워크 간에 트래픽을 전송할 수 있는 다중 홉 토폴로지의 예를 보여줍니다.The following diagram shows an example of a multi-hop topology with multiple paths that can transit traffic between the two on-premises networks through Azure VPN gateways within the Microsoft Networks:

다중 홉 전송

BGP FAQBGP FAQ

BGP가 모든 Azure VPN Gateway SKU를 지원하나요?Is BGP supported on all Azure VPN Gateway SKUs?

아니요. BGP는 Azure VpnGw1, VpnGw2, VpnGw3, StandardHighPerformance VPN 게이트웨이에서 지원됩니다.No, BGP is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard and HighPerformance VPN gateways. 기본 SKU는 지원되지 않습니다.Basic SKU is NOT supported.

Azure 정책 기반 VPN 게이트웨이에 BGP를 사용할 수 있나요?Can I use BGP with Azure Policy-Based VPN gateways?

아니요. BGP는 경로 기반 VPN 게이트웨이에서만 지원됩니다.No, BGP is supported on Route-Based VPN gateways only.

프라이빗 ASN(자치 시스템 번호)을 사용할 수 있나요?Can I use private ASNs (Autonomous System Numbers)?

예. 온-프레미스 네트워크와 Azure 가상 네트워크 모두에 자체 공용 ASN 또는 프라이빗 ASN을 사용할 수 있습니다.Yes, you can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks.

32비트 ASN(자치 시스템 번호)을 사용할 수 있나요?Can I use 32-bit ASNs (Autonomous System Numbers)?

아니요. Azure VPN Gateway는 현재 16비트 ASN을 지원합니다.No, the Azure VPN Gateways support 16-Bit ASNs today.

Azure에서 예약된 ASN이 있나요?Are there ASNs reserved by Azure?

예. 다음 ASN은 내부 및 외부 피어링에 대해 Azure에서 예약되어 있습니다.Yes, the following ASNs are reserved by Azure for both internal and external peerings:

  • 공용 ASN: 8074, 8075, 12076Public ASNs: 8074, 8075, 12076
  • 프라이빗 ASN: 65515, 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520

Azure VPN 게이트웨이에 연결할 때 온-프레미스 VPN 디바이스에 대해 이러한 ASN을 지정할 수 없습니다.You cannot specify these ASNs for your on premises VPN devices when connecting to Azure VPN gateways.

사용할 수 없는 다른 ASN이 있나요?Are there any other ASNs that I can't use?

예, 다음 ASN은 IANA에서 예약한 것으로, 사용자의 Azure VPN Gateway에서 구성할 수 없습니다.Yes, the following ASNs are reserved by IANA and can't be configured on your Azure VPN Gateway:

23456, 64496-64511, 65535-65551 및 42949672923456, 64496-64511, 65535-65551 and 429496729

어떤 개인 ASNs를 사용할 수 있나요?What Private ASNs can I use?

사용할 수 있는 개인 ASNs의 범위는 다음과 같습니다.The useable range of Private ASNs that can be used are:

  • 64512-65514, 65521-6553464512-65514, 65521-65534

이러한 ASNs는 IANA 또는 Azure에서 사용 하기 위해 예약 되지 않으므로 Azure VPN Gateway에 할당 하는 데 사용할 수 있습니다.These ASNs are not reserved by IANA or Azure for use and therefore can be used to assign to your Azure VPN Gateway.

온-프레미스 VPN 네트워크와 Azure VNet에 동일한 ASN을 사용할 수 있나요?Can I use the same ASN for both on-premises VPN networks and Azure VNets?

아니요. 온-프레미스 네트워크와 Azure VNet을 함께 BGP에 연결하려면 서로 다른 ASN을 할당해야 합니다.No, you must assign different ASNs between your on-premises networks and your Azure VNets if you are connecting them together with BGP. 크로스 프레미스 연결에 대한 BGP 활성화 여부에 관계없이 Azure VPN Gateway에 할당되는 기본 ASN은 65515입니다.Azure VPN Gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. VPN 게이트웨이를 만들 때 다른 ASN을 적용하여 이 기본값을 다시 정의하거나, 게이트웨이를 만든 후 ASN을 변경할 수 있습니다.You can override this default by assigning a different ASN when creating the VPN gateway, or change the ASN after the gateway is created. 해당하는 Azure 로컬 네트워크 게이트웨이에 온-프레미스 ASN을 할당해야 합니다.You will need to assign your on-premises ASNs to the corresponding Azure Local Network Gateways.

Azure VPN 게이트웨이가 나에게 알리는 주소 접두어는 무엇인가요?What address prefixes will Azure VPN gateways advertise to me?

Azure VPN 게이트웨이는 온-프레미스 BGP 디바이스에 다음 경로를 알립니다.Azure VPN gateway will advertise the following routes to your on-premises BGP devices:

  • VNet 주소 접두어Your VNet address prefixes
  • Azure VPN 게이트웨이에 연결된 각 로컬 네트워크 게이트웨이의 주소 접두어Address prefixes for each Local Network Gateways connected to the Azure VPN gateway
  • Azure VPN 게이트웨이에 연결된 다른 BGP 피어링 세션에서 확인한 경로( 기본 경로 또는 다른 VNet 접두어와 겹치는 경로 제외)Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except default route or routes overlapped with any VNet prefix.

Azure VPN 게이트웨이에 접두사를 몇 개나 보급할 수 있나요?How many prefixes can I advertise to Azure VPN gateway?

최대 4000개의 접두사를 지원합니다.We support up to 4000 prefixes. 접두사의 수가 제한을 초과하는 경우 BGP 세션은 삭제됩니다.The BGP session is dropped if the number of prefixes exceeds the limit.

Azure VPN 게이트웨이에 기본 경로(0.0.0.0/0)를 보급할 수 있나요?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

예.Yes.

그러면 모든 VNet 송신 트래픽을 온-프레미스 사이트로 강제하고 VNet VM이 인터넷에서 VM으로 RDP 또는 SSH와 같이 인터넷의 공용 통신을 직접 수락하지 않도록 방지하게 됩니다.Please note this will force all VNet egress traffic towards your on-premises site, and will prevent the VNet VMs from accepting public communication from the Internet directly, such RDP or SSH from the Internet to the VMs.

Virtual Network 접두사로 정확한 접두사를 보급할 수 있나요?Can I advertise the exact prefixes as my Virtual Network prefixes?

아니요. Virtual Network 주소 접두사와 동일한 접두사의 보급은 Azure 플랫폼에서 차단되거나 필터링됩니다.No, advertising the same prefixes as any one of your Virtual Network address prefixes will be blocked or filtered by the Azure platform. 그러나 Virtual Network 내에 포함된 접두사의 상위 집합에 해당하는 접두사를 보급할 수 있습니다.However you can advertise a prefix that is a superset of what you have inside your Virtual Network.

예를 들어 가상 네트워크에서 10.0.0.0/16 주소 공간을 사용하는 경우 10.0.0.0/8은 보급할 수 있지만,For example, if your virtual network used the address space 10.0.0.0/16, you could advertise 10.0.0.0/8. 10.0.0.0/16 또는 10.0.0.0/24는 보급할 수 없습니다.But you cannot advertise 10.0.0.0/16 or 10.0.0.0/24.

내 VNet-VNet 연결에 BPG를 사용할 수 있나요?Can I use BGP with my VNet-to-VNet connections?

예. 크로스 프레미스 연결과 VNet-VNet 연결에 모두 BGP를 사용할 수 있습니다.Yes, you can use BGP for both cross-premises connections and VNet-to-VNet connections.

BGP를 비 BGP 연결과 혼합하여 내 Azure VPN 게이트웨이에 사용할 수 있나요?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

예. BGP와 비 BGP 연결을 동일한 Azure VPN 게이트웨이에 혼합 사용할 수 있습니다.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Azure VPN 게이트웨이가 BGP 전송 라우팅을 지원하나요?Does Azure VPN gateway support BGP transit routing?

예. BGP 전송 라우팅이 지원됩니다. 단 Azure VPN 게이트웨이가 기본 경로를 타 BGP 피어에 알리지 않는다는 점이 다릅니다.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways will NOT advertise default routes to other BGP peers. 여러 Azure VPN 게이트웨이 간 전송 라우팅을 활성화하려면 모든 중간 VNet-VNet 연결에서 BGP를 활성화해야 합니다.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate VNet-to-VNet connections. 자세한 내용은 BGP 정보를 참조하세요.For more information, see About BGP.

Azure VPN 게이트웨이와 내 온-프레미스 네트워크 간에 터널이 여러 개 있을 수 있나요?Can I have more than one tunnel between Azure VPN gateway and my on-premises network?

예, Azure VPN 게이트웨이와 내 온-프레미스 네트워크 간에 S2S VPN 터널을 여러 개 구축할 수 있습니다.Yes, you can establish more than one S2S VPN tunnel between an Azure VPN gateway and your on-premises network. 이러한 모든 터널은 Azure VPN 게이트웨이의 총 터널 수와 비교하여 계산되며 두 터널 모두에서 BGP를 활성화해야 합니다.Please note that all these tunnels will be counted against the total number of tunnels for your Azure VPN gateways and you must enable BGP on both tunnels.

예를 들어 Azure VPN 게이트웨이와 온-프레미스 네트워크 중 하나 간에 2개의 중복 터널이 있는 경우 총 Azure VPN 게이트웨이 할당량 중 2개 터널을 사용하는 것입니다(표준 10, HighPerformance 30).For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they will consume 2 tunnels out of the total quota for your Azure VPN gateway (10 for Standard and 30 for HighPerformance).

두 Azure VNet과 BGP와 간에 여러 터널이 있을 수 있나요?Can I have multiple tunnels between two Azure VNets with BGP?

예, 하지만 하나 이상의 가상 네트워크 게이트웨이가 active-active 구성에 있어야 합니다.Yes, but at least one of the virtual network gateways must be in active-active configuration.

ExpressRoute/S2S VPN 동시 존재 구성에서 S2S VPN에 BGP를 사용할 수 있나요?Can I use BGP for S2S VPN in an ExpressRoute/S2S VPN co-existence configuration?

예.Yes.

Azure VPN 게이트웨이는 BGP 피어 IP에 어떤 주소를 사용하나요?What address does Azure VPN gateway use for BGP Peer IP?

Azure VPN gateway는 활성-대기 VPN 게이트웨이의 경우 Gsubnet 범위에서 단일 IP 주소를 할당 하거나 활성-활성 VPN 게이트웨이의 경우 두 개의 IP 주소를 할당 합니다.The Azure VPN gateway will allocate a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. PowerShell을 사용 하 여 할당 된 실제 BGP IP 주소를 가져올 수 있습니다 (AzVirtualNetworkGateway, "Bgppeeringaddress가" 속성 검색) 또는 Azure Portal (게이트웨이 구성 페이지의 "BGP ASN 구성" 속성 아래에 있음).You can get the actual BGP IP address(es) allocated by using PowerShell (Get-AzVirtualNetworkGateway, look for the “bgpPeeringAddress” property), or in the Azure portal (under the “Configure BGP ASN” property on the Gateway Configuration page).

VPN 디바이스에서 BGP 피어 IP 주소에 대 한 요구 사항은 무엇인가요?What are the requirements for the BGP Peer IP addresses on my VPN device?

온-프레미스 BGP 피어 주소는 VPN 장치의 공용 IP 주소 또는 VPN Gateway Vnet 주소 공간과 달라 합니다.Your on-premises BGP peer address MUST NOT be the same as the public IP address of your VPN device or the Vnet address space of the VPN Gateway. VPN 디바이스에서 BGP 피어 IP에 다른 IP 주소를 사용합니다.Use a different IP address on the VPN device for your BGP Peer IP. 디바이스에서 루프백 인터페이스에 할당된 주소를 사용할 수 있지만 APIPA(169.254.x.x) 주소는 사용할 수 없습니다.It can be an address assigned to the loopback interface on the device, but please note that it cannot be an APIPA (169.254.x.x) address. 위치를 나타내는 해당 로컬 네트워크 게이트웨이에서 이 주소를 지정합니다.Specify this address in the corresponding Local Network Gateway representing the location.

BGP를 사용할 때 로컬 네트워크 게이트웨이에 대해 내 주소 접두어로 무엇을 지정해야 하나요?What should I specify as my address prefixes for the Local Network Gateway when I use BGP?

Azure 로컬 네트워크 게이트웨이는 온-프레미스 네트워크에 대해 초기 주소 접두어를 지정합니다.Azure Local Network Gateway specifies the initial address prefixes for the on-premises network. BGP를 사용할 때는 BGP 피어 IP 주소의 호스트 접두어(/32 접두어)를 온-프레미스 네트워크의 주소 공간으로 할당해야 합니다.With BGP, you must allocate the host prefix (/32 prefix) of your BGP Peer IP address as the address space for that on-premises network. BGP 피어 IP가 10.52.255.254라면 이 온-프레미스 네트워크를 나타내는 로컬 네트워크 게이트웨이의 localNetworkAddressSpace로 "10.52.255.254/32"를 지정해야 합니다.If your BGP Peer IP is 10.52.255.254, you should specify "10.52.255.254/32" as the localNetworkAddressSpace of the Local Network Gateway representing this on-premises network. 이것은 Azure VPN 게이트웨이가 S2S VPN 터널을 통해 BGP 세션을 수립하도록 하기 위한 것입니다.This is to ensure that the Azure VPN gateway establishes the BGP session through the S2S VPN tunnel.

BGP 피어링 세션에 대해 온-프레미스 VPN 디바이스에 무엇을 추가해야 하나요?What should I add to my on-premises VPN device for the BGP peering session?

IPsec S2S VPN 터널을 가리키는 VPN 디바이스에서 Azure BGP 피어 IP 주소의 호스트 경로를 추가해야 합니다.You should add a host route of the Azure BGP Peer IP address on your VPN device pointing to the IPsec S2S VPN tunnel. 예를 들어, Azure VPN 피어 IP가 "10.12.255.30"이라면 VPN 디바이스에서 일치하는 IPsec 터널 인터페이스의 nexthop 인터페이스와 "10.12.255.30"에 대한 호스트 경로를 추가해야 합니다.For example, if the Azure VPN Peer IP is "10.12.255.30", you should add a host route for "10.12.255.30" with a nexthop interface of the matching IPsec tunnel interface on your VPN device.

다음 단계Next steps

프레미스 간 연결 및 VNet 간 연결에 대해 BGP를 구성하는 단계는 Azure VPN Gateway에서 BGP 시작하기 를 참조하세요.See Getting started with BGP on Azure VPN gateways for steps to configure BGP for your cross-premises and VNet-to-VNet connections.