S2S VPN 또는 VNet 간 연결에 대한 IPsec/IKE 정책 구성Configure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections

이 문서에서는 Resource Manager 배포 모델 및 PowerShell을 사용하여 사이트 간 VPN 또는 VNet 간 연결에 대한 IPsec/IKE 정책을 구성하는 단계를 안내합니다.This article walks you through the steps to configure IPsec/IKE policy for Site-to-Site VPN or VNet-to-VNet connections using the Resource Manager deployment model and PowerShell.

참고

이 문서는 새 Azure PowerShell Az 모듈을 사용하도록 업데이트되었습니다.This article has been updated to use the new Azure PowerShell Az module. AzureRM 모듈은 적어도 2020년 12월까지 버그 수정을 수신할 예정이므로 계속 사용하셔도 됩니다.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. 새 Az 모듈 및 AzureRM 호환성에 대한 자세한 내용은 새 Azure PowerShell Az 모듈 소개를 참조하세요.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az 모듈 설치 지침은 Azure PowerShell 설치를 참조하세요.For Az module installation instructions, see Install Azure PowerShell.

Azure VPN Gateway에 대한 IPsec 및 IKE 정책 매개 변수 정보About IPsec and IKE policy parameters for Azure VPN gateways

IPsec 및 IKE 프로토콜 표준은 다양하게 결합된 다양한 암호화 알고리즘을 지원합니다.IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. 이러한 지원이 어떻게 프레미스 간 및 VNet 간 연결이 준수 또는 보안 요구 사항을 충족하도록 하는 데 도움이 될 수 있는지를 확인하려면 암호화 요구 사항 및 Azure VPN Gateway 정보를 참조하세요.Refer to About cryptographic requirements and Azure VPN gateways to see how this can help ensuring cross-premises and VNet-to-VNet connectivity satisfy your compliance or security requirements.

이 문서에서는 IPsec/IKE 정책을 만들고 구성하여 새 연결 또는 기존 연결에 적용하기 위한 지침을 제공합니다.This article provides instructions to create and configure an IPsec/IKE policy and apply to a new or existing connection:

중요

  1. IPsec/IKE 정책은 다음 게이트웨이 SKU에만 작동합니다.Note that IPsec/IKE policy only works on the following gateway SKUs:
    • VpnGw1, VpnGw2, VpnGw3(경로 기반)VpnGw1, VpnGw2, VpnGw3 (route-based)
    • StandardHighPerformance(경로 기반)Standard and HighPerformance (route-based)
  2. 지정된 연결에 대해 하나의 정책 조합만 지정할 수 있습니다.You can only specify one policy combination for a given connection.
  3. IKE(주 모드)와 IPsec(빠른 모드) 둘 다에 대한 모든 알고리즘 및 매개 변수를 지정해야 합니다.You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). 부분 정책 지정은 허용되지 않습니다.Partial policy specification is not allowed.
  4. 해당 VPN 디바이스 공급업체 사양을 참조하여 정책이 해당 온-프레미스 VPN 디바이스에서 지원되는지 확인하세요.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. 정책이 호환되지 않는 경우 S2S 또는 VNet 간 연결을 설정할 수 없습니다.S2S or VNet-to-VNet connections cannot establish if the policies are incompatible.

1부 - IPsec/IKE 정책을 만들고 설정하는 워크플로Part 1 - Workflow to create and set IPsec/IKE policy

이 섹션에서는 S2S VPN 또는 VNet 간 연결에 대한 IPsec/IKE 정책을 만들고 업데이트하는 워크플로를 설명합니다.This section outlines the workflow to create and update IPsec/IKE policy on a S2S VPN or VNet-to-VNet connection:

  1. 가상 네트워크 및 VPN Gateway 만들기Create a virtual network and a VPN gateway
  2. 프레미스 간 연결에 대한 로컬 네트워크 게이트웨이 또는 VNet 간 연결에 대한 다른 가상 네트워크 및 게이트웨이 만들기Create a local network gateway for cross premises connection, or another virtual network and gateway for VNet-to-VNet connection
  3. 선택한 알고리즘 및 매개 변수를 사용하여 IPsec/IKE 정책 만들기Create an IPsec/IKE policy with selected algorithms and parameters
  4. IPsec/IKE 정책을 사용하여 연결(IPsec 또는 VNet 간) 만들기Create a connection (IPsec or VNet2VNet) with the IPsec/IKE policy
  5. 기존 연결에 대한 IPsec/IKE 정책 추가/업데이트/제거Add/update/remove an IPsec/IKE policy for an existing connection

이 문서의 지침에서는 다음 다이어그램에 표시된 대로 IPsec/IKE 정책을 설정하고 구성하도록 돕습니다.The instructions in this article helps you set up and configure IPsec/IKE policies as shown in the diagram:

ipsec-ike-policy

2부 - 지원되는 암호화 알고리즘 및 키 수준Part 2 - Supported cryptographic algorithms & key strengths

다음 표에는 고객이 구성 가능하도록 지원되는 암호화 알고리즘 및 키 강도가 나와 있습니다.The following table lists the supported cryptographic algorithms and key strengths configurable by the customers:

IPsec/IKEv2IPsec/IKEv2 옵션Options
IKEv2 암호화IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
IKEv2 무결성IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
DH 그룹DH Group DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, 없음DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec 암호화IPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, 없음GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec 무결성IPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS 그룹PFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, 없음PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA 수명QM SA Lifetime (선택 사항: 지정되지 않으면 기본값이 사용됨)(Optional: default values are used if not specified)
초(정수, 최소 300/기본값 27,000초)Seconds (integer; min. 300/default 27000 seconds)
KB(정수, 최소 1,024/기본값 102,400,000KB)KBytes (integer; min. 1024/default 102400000 KBytes)
트래픽 선택기Traffic Selector UsePolicyBasedTrafficSelectors** ($True/$False - 선택 사항, 지정되지 않으면 기본값 $False)UsePolicyBasedTrafficSelectors** ($True/$False; Optional, default $False if not specified)

중요

  1. 온-프레미스 VPN 디바이스 구성은 Azure IPsec/IKE 정책에서 지정한 다음과 같은 알고리즘 및 매개 변수와 일치하거나 해당 항목을 포함해야 합니다.Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • IKE 암호화 알고리즘(기본 모드/1단계)IKE encryption algorithm (Main Mode / Phase 1)
    • IKE 무결성 알고리즘(기본 모드/1단계)IKE integrity algorithm (Main Mode / Phase 1)
    • DH 그룹(기본 모드/1단계)DH Group (Main Mode / Phase 1)
    • IPsec 암호화 알고리즘(빠른 모드/2단계)IPsec encryption algorithm (Quick Mode / Phase 2)
    • IPsec 무결성 알고리즘(빠른 모드/2단계)IPsec integrity algorithm (Quick Mode / Phase 2)
    • PFS 그룹(빠른 모드/2단계)PFS Group (Quick Mode / Phase 2)
    • 트래픽 선택기(UsePolicyBasedTrafficSelectors를 사용하는 경우)Traffic Selector (if UsePolicyBasedTrafficSelectors is used)
    • SA 수명은 로컬 사양일 뿐이며 일치하지 않아도 됩니다.The SA lifetimes are local specifications only, do not need to match.
  2. GCMAES가 IPsec 암호화 알고리즘에 사용되면 IPsec 무결성에 대해 동일한 GCMAES 알고리즘 및 키 길이를 선택해야 합니다(예: 둘 다에 대해 GCMAES128 사용).If GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec Integrity; for example, using GCMAES128 for both

  3. 위 표에서:In the table above:

    • IKEv2는 기본 모드 또는 1단계에 해당합니다.IKEv2 corresponds to Main Mode or Phase 1
    • IPsec은 빠른 모드 또는 2단계에 해당합니다.IPsec corresponds to Quick Mode or Phase 2
    • DH 그룹은 기본 모드 또는 1단계에서 사용되는 Diffie-Hellmen 그룹을 지정합니다.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1
    • PFS 그룹은 빠른 모드 또는 2단계에서 사용되는 Diffie-Hellmen 그룹을 지정했습니다.PFS Group specified the Diffie-Hellmen Group used in Quick Mode or Phase 2
  4. IKEv2 주 모드 SA 수명은 Azure VPN Gateway에서 28,800초로 고정됩니다.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways

  5. 연결에 대해 “UsePolicyBasedTrafficSelectors”를 $True로 설정하면 온-프레미스의 정책 기반 VPN 방화벽에 연결되도록 Azure VPN Gateway가 구성됩니다.Setting "UsePolicyBasedTrafficSelectors" to $True on a connection will configure the Azure VPN gateway to connect to policy-based VPN firewall on premises. PolicyBasedTrafficSelectors를 사용하도록 설정한 경우 VPN 디바이스에 온-프레미스 네트워크(로컬 네트워크 게이트웨이) 접두사 및 Azure Virtual Network 접두사 간의 모든 조합으로 정의된 일치하는 트래픽 선택기가 있는지 확인해야 합니다.If you enable PolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. 예를 들어 온-프레미스 네트워크 접두사가 10.1.0.0/16 및 10.2.0.0/16이고 가상 네트워크 접두사가 192.168.0.0/16 및 172.16.0.0/16이면 다음 트래픽 선택기를 지정해야 합니다.For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

    • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

정책 기반 트래픽 선택기에 대한 자세한 내용은 여러 온-프레미스 정책 기반 VPN 디바이스 연결을 참조하세요.For more information regarding policy-based traffic selectors, see Connect multiple on-premises policy-based VPN devices.

다음 표에는 사용자 지정 정책에서 지원하는 해당 Diffie-hellman 그룹이 나열되어 있습니다.The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Diffie-Hellman 그룹Diffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup 키 길이Key length
11 DHGroup1DHGroup1 PFS1PFS1 768비트 MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024비트 MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048비트 MODP2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 256비트 ECP256-bit ECP
2020 ECP384ECP384 ECP284ECP284 384비트 ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048비트 MODP2048-bit MODP

자세한 내용은 RFC3526RFC5114를 참조하세요.Refer to RFC3526 and RFC5114 for more details.

3부 - IPsec/IKE 정책을 사용하여 새 S2S VPN 연결 만들기Part 3 - Create a new S2S VPN connection with IPsec/IKE policy

이 섹션에서는 IPsec/IKE 정책을 사용하여 S2S VPN 연결을 만드는 단계를 안내합니다.This section walks you through the steps of creating a S2S VPN connection with an IPsec/IKE policy. 다음 단계에서는 다음 다이어그램에 표시된 대로 연결을 만듭니다.The following steps create the connection as shown in the diagram:

s2s-policy

S2S VPN 연결을 만드는 자세한 단계별 지침은 S2S VPN 연결 만들기를 참조하세요.See Create a S2S VPN connection for more detailed step-by-step instructions for creating a S2S VPN connection.

시작하기 전에Before you begin

  • Azure 구독이 있는지 확인합니다.Verify that you have an Azure subscription. Azure 구독이 아직 없는 경우 MSDN 구독자 혜택을 활성화하거나 무료 계정에 등록할 수 있습니다.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.
  • Azure Resource Manager PowerShell cmdlet을 설치합니다.Install the Azure Resource Manager PowerShell cmdlets. PowerShell cmdlet 설치에 대한 자세한 내용은 Azure PowerShell 개요를 참조하세요.See Overview of Azure PowerShell for more information about installing the PowerShell cmdlets.

1단계 - 가상 네트워크, VPN Gateway 및 로컬 네트워크 게이트웨이 만들기Step 1 - Create the virtual network, VPN gateway, and local network gateway

1. 변수 선언1. Declare your variables

이 연습에서는 먼저 변수를 선언합니다.For this exercise, we start by declaring our variables. 생산을 위해 구성하는 경우 값을 사용자의 값으로 바꾸어야 합니다.Be sure to replace the values with your own when configuring for production.

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. 구독에 연결하고 새 리소스 그룹 만들기2. Connect to your subscription and create a new resource group

리소스 관리자 cmdlet을 사용하려면 PowerShell 모드로 전환해야 합니다.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. 자세한 내용은 리소스 관리자에서 Windows PowerShell 사용을 참조하세요.For more information, see Using Windows PowerShell with Resource Manager.

PowerShell 콘솔을 열고 계정에 연결합니다.Open your PowerShell console and connect to your account. 연결에 도움이 되도록 다음 샘플을 사용합니다.Use the following sample to help you connect:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. 가상 네트워크, VPN Gateway 및 로컬 네트워크 게이트웨이 만들기3. Create the virtual network, VPN gateway, and local network gateway

아래 샘플은 세 개의 서브넷과 VPN Gateway가 있는 가상 네트워크 TestVNet1을 만듭니다.The following sample creates the virtual network, TestVNet1, with three subnets, and the VPN gateway. 값을 대체할 때 언제나 게이트웨이 서브넷 이름을 GatewaySubnet라고 명시적으로 지정해야 합니다.When substituting values, it's important that you always name your gateway subnet specifically GatewaySubnet. 다른 이름을 지정하는 경우 게이트웨이 만들기가 실패합니다.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

2단계 - IPsec/IKE 정책을 사용하여 S2S VPN 연결 만들기Step 2 - Create a S2S VPN connection with an IPsec/IKE policy

1. IPsec/IKE 정책 만들기1. Create an IPsec/IKE policy

다음 샘플 스크립트는 다음 알고리즘 및 매개 변수를 사용하여 IPsec/IKE 정책을 만듭니다.The following sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA256, PFS None, SA 수명 14400초 및 102400000KBIPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

IPsec으로 GCMAES를 사용하는 경우 IPsec 암호화 및 무결성 모두에 대해 동일한 GCMAES 알고리즘 및 키 길이를 사용해야 합니다.If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity. 위 예제의 경우 GCMAES256 사용 시 해당 매개 변수는 "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256"이 됩니다.For example above, the corresponding parameters will be "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" when using GCMAES256.

2. IPsec/IKE 정책을 사용하여 S2S VPN 연결 만들기2. Create the S2S VPN connection with the IPsec/IKE policy

S2S VPN 연결을 만들고 이전에 만든 IPsec/IKE 정책을 적용합니다.Create an S2S VPN connection and apply the IPsec/IKE policy created earlier.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

필요한 경우 “-UsePolicyBasedTrafficSelectors $True”를 추가하여 연결 cmdlet을 만듦으로써 Azure VPN Gateway가 위에 설명된 대로 온-프레미스의 정책 기반 VPN 디바이스에 연결하도록 할 수 있습니다.You can optionally add "-UsePolicyBasedTrafficSelectors $True" to the create connection cmdlet to enable Azure VPN gateway to connect to policy-based VPN devices on premises, as described above.

중요

연결에 IPsec/IKE 정책이 지정되고 나면 Azure VPN Gateway는 해당 특정 연결에 지정된 암호화 알고리즘 및 키 수준으로 된 IPsec/IKE 제안만 보내거나 수락합니다.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. 연결에 대한 온-프레미스 VPN 디바이스에서 정확한 정책 조합을 사용하거나 수락하는지 확인합니다. 그러지 않으면 S2S VPN 터널이 설정되지 않습니다.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the S2S VPN tunnel will not establish.

4부 - IPsec/IKE 정책을 사용하여 새 VNet 간 연결 만들기Part 4 - Create a new VNet-to-VNet connection with IPsec/IKE policy

IPsec/IKE 정책을 사용하여 VNet 간 연결을 만드는 단계는 S2S VPN 연결을 만드는 단계와 유사합니다.The steps of creating a VNet-to-VNet connection with an IPsec/IKE policy are similar to that of a S2S VPN connection. 다음 샘플 스크립트는 다음 다이어그램에 표시된 대로 연결을 만듭니다.The following sample scripts create the connection as shown in the diagram:

v2v-policy

VNet 간 연결을 만드는 자세한 단계는 VNet 간 연결 만들기를 참조하세요.See Create a VNet-to-VNet connection for more detailed steps for creating a VNet-to-VNet connection. TestVNet1 및 VPN Gateway를 만들고 구성하려면 3부를 완료해야 합니다.You must complete Part 3 to create and configure TestVNet1 and the VPN Gateway.

1단계 - 두 번째 가상 네트워크 및 VPN 게이트웨이 만들기Step 1 - Create the second virtual network and VPN gateway

1. 변수 선언1. Declare your variables

값을 구성에 사용할 값으로 바꾸어야 합니다.Be sure to replace the values with the ones that you want to use for your configuration.

$RG2          = "TestPolicyRG2"
$Location2    = "East US 2"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. 새 리소스 그룹에 두 번째 가상 네트워크 및 VPN 게이트웨이 만들기2. Create the second virtual network and VPN gateway in the new resource group

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

2단계 - IPsec/IKE 정책을 사용하여 VNet 간 연결 만들기Step 2 - Create a VNet-toVNet connection with the IPsec/IKE policy

S2S VPN 연결과 유사하게 IPsec/IKE 정책을 만든 다음 새 연결에 정책을 적용합니다.Similar to the S2S VPN connection, create an IPsec/IKE policy then apply to policy to the new connection.

1. IPsec/IKE 정책 만들기1. Create an IPsec/IKE policy

다음 샘플 스크립트는 다음 알고리즘 및 매개 변수를 사용하여 다른 IPsec/IKE 정책을 만듭니다.The following sample script creates a different IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPsec: GCMAES128, GCMAES128, PFS14, SA 수명 14400초 및 102400000KBIPsec: GCMAES128, GCMAES128, PFS14, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS14 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. IPsec/IKE 정책을 사용하여 VNet 간 연결 만들기2. Create VNet-to-VNet connections with the IPsec/IKE policy

VNet 간 연결을 만들고 만든 IPsec/IKE 정책을 적용합니다.Create a VNet-to-VNet connection and apply the IPsec/IKE policy you created. 이 예제에서 두 게이트웨이는 동일한 구독에 있습니다.In this example, both gateways are in the same subscription. 따라서 같은 PowerShell 세션에서 같은 IPsec/IKE 정책을 사용하여 두 연결을 만들고 구성할 수 있습니다.So it is possible to create and configure both connections with the same IPsec/IKE policy in the same PowerShell session.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

중요

연결에 IPsec/IKE 정책이 지정되고 나면 Azure VPN Gateway는 해당 특정 연결에 지정된 암호화 알고리즘 및 키 수준으로 된 IPsec/IKE 제안만 보내거나 수락합니다.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. 두 연결에 대한 IPsec 정책이 같은지 확인합니다. 그러지 않으면 VNet 간 연결이 설정되지 않습니다.Make sure the IPsec policies for both connections are the same, otherwise the VNet-to-VNet connection will not establish.

이러한 단계를 완료하고 나면 몇 분 후에 연결이 설정되고, 시작 부분에 표시된 대로 다음과 같은 네트워크 토폴로지가 구현됩니다.After completing these steps, the connection is established in a few minutes, and you will have the following network topology as shown in the beginning:

ipsec-ike-policy

5부 - 연결에 대한 IPsec/IKE 정책 업데이트Part 5 - Update IPsec/IKE policy for a connection

마지막 섹션에서는 기존 S2S 또는 VNet 간 연결에 대한 IPsec/IKE 정책을 관리하는 방법을 보여 줍니다.The last section shows you how to manage IPsec/IKE policy for an existing S2S or VNet-to-VNet connection. 아래 연습에서는 연결에 대한 다음 작업을 안내합니다.The exercise below walks you through the following operations on a connection:

  1. 연결의 IPsec/IKE 정책 표시Show the IPsec/IKE policy of a connection
  2. 연결에 대한 IPsec/IKE 정책 추가 또는 업데이트Add or update the IPsec/IKE policy to a connection
  3. 연결에서 IPsec/IKE 정책 제거Remove the IPsec/IKE policy from a connection

같은 단계가 S2S 연결과 VNet 간 연결에도 모두 적용됩니다.The same steps apply to both S2S and VNet-to-VNet connections.

중요

IPsec/IKE 정책은 표준고성능 경로 기반 VPN 게이트웨이에서만 지원됩니다.IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. 기본 게이트웨이 SKU 또는 정책 기반 VPN 게이트웨이에서는 작동하지 않습니다.It does not work on the Basic gateway SKU or the policy-based VPN gateway.

1. 연결의 IPsec/IKE 정책 표시1. Show the IPsec/IKE policy of a connection

다음 예제는 연결에 대해 IPsec/IKE 정책을 구성하는 방법을 보여 줍니다.The following example shows how to get the IPsec/IKE policy configured on a connection. 또한 스크립트는 위의 연습에서 계속됩니다.The scripts also continue from the exercises above.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

마지막 명령은 연결에 대해 구성된 현재 IPsec/IKE 정책이 있는 경우 이를 나열합니다.The last command lists the current IPsec/IKE policy configured on the connection, if there is any. 다음은 연결에 대한 샘플 출력입니다.The following is a sample output for the connection:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

구성된 IPsec/IKE 정책이 없는 경우 명령(PS> $connection6.policy)을 실행한 결과로 반환되는 내용이 없습니다.If there is no IPsec/IKE policy configured, the command (PS> $connection6.policy) gets an empty return. 반환되는 내용이 없다고 해서 연결에 대해 IPsec/IKE 정책이 구성되지 않았다는 의미는 아니며, 사용자 지정 IPsec/IKE 정책이 없는 것입니다.It does not mean IPsec/IKE is not configured on the connection, but that there is no custom IPsec/IKE policy. 실제 연결은 온-프레미스 VPN 디바이스 및 Azure VPN Gateway 간에 협상된 기본 정책을 사용합니다.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. 연결에 대한 IPsec/IKE 정책 추가 또는 업데이트2. Add or update an IPsec/IKE policy for a connection

연결에 대한 새 정책을 추가하거나 기존 정책을 업데이트하는 단계는 같습니다. 새 정책을 만든 다음 연결에 새 정책을 적용합니다.The steps to add a new policy or update an existing policy on a connection are the same: create a new policy then apply the new policy to the connection.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

온-프레미스 정책 기반 VPN 디바이스에 연결할 때 “UsePolicyBasedTrafficSelectors”를 사용하도록 설정하려면 cmdlet에 “-UsePolicyBaseTrafficSelectors” 매개 변수를 추가하거나, 이 매개 변수를 $False로 설정하여 옵션을 사용하지 않도록 설정합니다.To enable "UsePolicyBasedTrafficSelectors" when connecting to an on-premises policy-based VPN device, add the "-UsePolicyBaseTrafficSelectors" parameter to the cmdlet, or set it to $False to disable the option:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

연결을 다시 가져와 정책이 업데이트되었는지 확인할 수 있습니다.You can get the connection again to check if the policy is updated.

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

마지막 줄의 출력은 다음 예제와 같습니다.You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. 연결에서 IPsec/IKE 정책 제거3. Remove an IPsec/IKE policy from a connection

연결에서 사용자 지정 정책을 제거하고 나면 Azure VPN Gateway는 IPsec/IKE 제안의 기본 목록으로 되돌려지고 온-프레미스 VPN 디바이스와 다시 협상합니다.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and renegotiates again with your on-premises VPN device.

$RG1           = "TestPolicyRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

같은 스크립트를 사용하여 연결에서 정책이 제거되었는지 확인할 수 있습니다.You can use the same script to check if the policy has been removed from the connection.

다음 단계Next steps

정책 기반 트래픽 선택기에 대한 자세한 내용은 여러 온-프레미스 정책 기반 VPN 디바이스 연결을 참조하세요.See Connect multiple on-premises policy-based VPN devices for more details regarding policy-based traffic selectors.

연결이 완료되면 가상 네트워크에 가상 머신을 추가할 수 있습니다.Once your connection is complete, you can add virtual machines to your virtual networks. 단계는 Virtual Machine 만들기 를 참조하세요.See Create a Virtual Machine for steps.