영업: 1-800-867-1380

가상 네트워크의 VPN 장치 정보

업데이트 날짜: 2014년 11월

사이트 간 보안 VPN 연결을 사용하면 온-프레미스 네트워크 및 가상 네트워크 간에 보안 연결이 필요할 때마다 또는 지사 솔루션을 만들 수 있습니다. 사이트 간 연결을 사용하려면 공용 IPv4 IP 주소가 있어야 하며 호환 VPN 장치나 RRAS가 Windows Server 2012에서 실행되어야 합니다. 요구 사항에 가장 적합한 사이트 간 VPN 연결을 만들려면 다음 요인을 고려해야 합니다.

사이트 간 VPN을 만들 때 정적 또는 동적 게이트웨이를 지정합니다. 사용자의 라우터에서 지원되며 필요한 구성 및 IPSec 매개 변수의 유형에 맞는 게이트웨이 유형을 선택합니다. 아래 표에는 정적 및 동적 VPN 모두에 지원되는 구성이 나와 있습니다. 지점 및 사이트 간 구성과 동시에 사이트 간 구성을 사용하려면 동적 라우팅 VPN 게이트웨이를 구성해야 합니다.

  • 정적 라우팅 VPN - 정적 라우팅 VPN은 정책 기반 VPN이라고도 합니다. 정책 기반 VPN은 고객이 정의한 정책에 기반한 인터페이스를 통해 패킷을 암호화하고 라우팅합니다. 일반적으로 정책은 액세스 목록으로 정의됩니다. 정적 라우팅 VPN은 정적 라우팅 VPN 게이트웨이가 필요합니다.
    참고 - 다중 사이트 VPN, VNet 대 VNet지점 및 사이트 간 연결은 정적 라우팅 VPN 게이트웨이에서 지원되지 않습니다.

  • 동적 라우팅 VPN - 동적 라우팅 VPN은 경로 기반 VPN이라고도 합니다. 경로 기반 VPN은 패킷 전달 전용으로 생성된 터널 인터페이스에 기반합니다. 터널 인터페이스에 도착하는 모든 패킷은 VPN 연결을 통해 전달됩니다. 동적 라우팅 VPN은 동적 라우팅 VPN 게이트웨이가 필요합니다.
    참고 - 동적 라우팅 VPN 게이트웨이는 다중 사이트 VPN, VNet 대 VNet지점 및 사이트 간 연결에 필요합니다.

아래 표에 정적 및 동적 VPN 게이트웨이에 대한 요구 사항이 나와 있습니다.

 

속성 정적 라우팅 VPN 게이트웨이 동적 라우팅 VPN 게이트웨이 고성능 VPN 게이트웨이

사이트 간 연결(S2S)

정책 기반 VPN 구성

경로 기반 VPN 구성

경로 기반 VPN 구성

지점 및 사이트 간 연결(P2S)

지원되지 않음

지원됨(사이트 간 연결과 공존할 수 있음)

지원됨(사이트 간 연결과 공존할 수 있음)

인증 방법

사전 공유 키

  • 사이트 간 연결용 사전 공유 키

  • 지점 및 사이트 간 연결용 인증서

  • 사이트 간 연결용 사전 공유 키

  • 지점 및 사이트 간 연결용 인증서

최대 사이트 간(S2S) 연결 수

1

10

30

최대 지점 및 사이트 간(P2S) 연결 수

지원되지 않음

128

128

활성 라우팅 지원(BGP)

지원되지 않음

지원되지 않음

지원되지 않음

이 페이지의 나머지 부분에서는 별도의 언급이 없으면 고성능 VPN 게이트웨이와 동적 라우팅 VPN 게이트웨이의 사양은 동일합니다. 예를 들어 Azure 동적 라우팅 VPN 게이트웨이와 호환되는 것으로 유효성이 검사된 VPN 장치는 새로운 Azure 고성능 VPN 게이트웨이와도 호환됩니다.

Microsoft는 장치 공급업체와 협력하여 주요 표준 사이트 간(S2S) VPN 장��의 유효성을 검사했습니다. 가상 네트워크와 호환되는 것으로 알려진 VPN 장치 목록은 아래 알려진 호환 VPN 장치를 참조하십시오. 이 목록에 포함된 장치 제품군의 모든 장치는 가상 네트워크를 지원합니다. VPN 장치를 구성하기 위한 도움말은 각 장치 제품군에 해당하는 장치 구성 템플릿을 참조하십시오.

VPN 연결에 사용하려는 장치가 알려진 호환 VPN 장치 목록에 포함되어 있지 않을 경우 게이트웨이 요구 사항 표에 설명된 최소 요구 사항을 충족하는지 확인해야 합니다. 최소 요구 사항을 충족하는 장치는 가상 네트워크에서 사용할 수 있습니다. 자세한 지원 및 구성 지침은 장치 제조업체에 문의하십시오.

Microsoft는 VPN 장치 공급업체와 협력하여 개별 VPN 장치 제품군에 대한 인증을 시행하고 있습니다. 아래 섹션에 Microsoft의 가상 네트워크 게이트웨이에서 사용할 수 있는 모든 장치 제품군의 목록이 나와 있습니다. 예외를 제외하고 아래 장치 제품군 목록에 포함되는 모든 장치는 기본적으로 사용 가능합니다. VPN 장치 지원에 대해서는 해당 장치 제조업체에 문의하십시오.

 

공급업체 장치 제품군 최소 OS 버전 정적 라우팅 구성 예 동적 라우팅 구성 예

Allied Telesis

AR 시리즈 VPN 라우터

2.9.2

출시 예정

호환되지 않음

Barracuda Networks, Inc.

Barracuda NG Firewall

Barracuda Firewall

Barracuda NG Firewall 5.4.3

Barracuda Firewall 6.5

Barracuda NG Firewall

Barracuda Firewall

호환되지 않음

Brocade

Vyatta 5400 vRouter

Virtual Router 6.6R3 GA

구성 지침

호환되지 않음

검사점

보안 게이트웨이

R75.40

R75.40VS

구성 지침

구성 지침

Cisco

ASA

8.3

Cisco ASA 템플릿

호환되지 않음

Cisco

ASR

IOS 15.1(정적)

IOS 15.2(동적)

Cisco ASR 템플릿

Cisco ASR 템플릿

Cisco

ISR

IOS 15.0(정적)

IOS 15.1(동적)

Cisco ISR 템플릿

Cisco ISR 템플릿

Citrix

CloudBridge MPX 어플라이언스 또는 VPX 가상 어플라이언스

해당 없음

통합 지침

호환되지 않음

Dell SonicWALL

TZ 시리즈

NSA 시리즈

SuperMassive 시리즈

E-Class NSA 시리즈

SonicOS 5.8.x, SonicOS 5.9.x, SonicOS 6.x

구성 지침

구성 지침

F5

BIG-IP 시리즈

해당 없음

구성 지침

호환되지 않음

Fortinet

FortiGate

FortiOS 5.0.7

구성 지침

구성 지침

Juniper

SRX

JunOS 10.2(정적)

JunOS 11.4(동적)

Juniper SRX 템플릿

Juniper SRX 템플릿

Juniper

J-Series

JunOS 10.4r9(정적)

JunOS 11.4(동적)

Juniper J 계열 템플릿

Juniper J 계열 템플릿

Juniper

ISG

ScreenOS 6.3(정적 및 동적)

Juniper ISG 템플릿

Juniper ISG 템플릿

Juniper

SSG

ScreenOS 6.2(정적 및 동적)

Juniper SSG 템플릿

Juniper SSG 템플릿

Microsoft

라우팅 및 원격 액세스 서비스

Windows Server 2012

호환되지 않음

RRAS(라우팅 및 원격 액세스 서비스) 템플릿

Openswan

Openswan

2.6.32

(출시 예정)

호환되지 않음

Palo Alto Networks

PAN-OS 5.0 이상이 실행되는 모든 장치

PAN-OS 5x 이상

Palo Alto Networks

호환되지 않음

Watchguard

모두

Fireware XTM v11.x

구성 지침

호환되지 않음

제공된 VPN 장치 구성 템플릿을 다운로드한 뒤에는 사용자 환경에 맞는 설정을 반영하도록 일부 값을 교체해야 할 수 있습니다. VPN 장치 템플릿을 관리 포털에서 다운로드한 경우, 일부 문자열이 사용자 가상 네트워크와 관련된 값으로 미리 채워진 것을 알 수 있습니다. 그렇더라도 사용자 환경에 고유한 추가적인 값을 반영하도록 템플릿을 업데이트해야 합니다.

메모장을 사용하여 템플릿을 엽니다. 모든 <text> 문자열을 찾아 사용자 환경에 관련된 값으로 교체합니다. <>를 반드시 포함하십시오. 이름이 지정된 경우, 선택한 이름은 고유해야 합니다. 명령이 작동하지 않는 경우 해당 장치 제조업체 설명서를 참조하십시오.

 

템플릿 텍스트 변경 내용

<RP_OnPremisesNetwork>

이 개체에 대해 선택한 이름. 예: myOnPremisesNetwork

<RP_AzureNetwork>

이 개체에 대해 선택한 이름. 예: myAzureNetwork

<RP_AccessList>

이 개체에 대해 선택한 이름. 예: myAzureAccessList

<RP_IPSecTransformSet>

이 개체에 대해 선택한 이름. 예: myIPSecTransformSet

<RP_IPSecCryptoMap>

이 개체에 대해 선택한 이름. 예: myIPSecCryptoMap

<SP_AzureNetworkIpRange>

범위 지정. 예: 192.168.0.0

<SP_AzureNetworkSubnetMask>

서브넷 마스크 지정. 예: 255.255.0.0

<SP_OnPremisesNetworkIpRange>

온-프레미스 범위 지정. 예: 10.2.1.0

<SP_OnPremisesNetworkSubnetMask>

온-프레미스 서브넷 마스크 지정. 예: 255.255.255.0

<SP_AzureGatewayIpAddress>

이 정보는 사용자 가상 네트워크에 대해 고유하며 관리 포털에 게이트웨이 IP 주소로 나와 있습니다.

<SP_PresharedKey>

이 정보는 사용자 가상 네트워크에 대해 고유하며 관리 포털에 관리 키로 나와 있습니다.

IKE 1단계 설정

속성 정적 라우팅 VPN 게이트웨이 동적 라우팅 VPN 게이트웨이 및 고성능 VPN 게이트웨이

IKE 버전

IKEv1

IKEv2

Diffie-Hellman 그룹

그룹 2(1024비트)

그룹 2(1024비트)

인증 방법

사전 공유 키

사전 공유 키

암호화 알고리즘

AES256

AES128

3DES

AES256

3DES

해시 알고리즘

SHA1(SHA128)

SHA1(SHA128)

1단계 보안 연결(SA) 수명(시간)

28,800초

28,800초

IKE 2단계 설정

속성 정적 라우팅 VPN 게이트웨이 동적 라우팅 VPN 게이트웨이 및 고성능 VPN 게이트웨이

IKE 버전

IKEv1

IKEv2

해시 알고리즘

SHA1(SHA128)

SHA1(SHA128)

2단계 보안 연결(SA) 수명(시간)

3,600초

-

2단계 보안 연결(SA) 수명(처리량)

102,400,000 KB

-

IPsec SA 암호화 및 인증 제안(선호하는 순서대로)

  1. ESP-AES256

  2. ESP-AES128

  3. ESP-3DES

  4. 해당 없음

동적 라우팅 게이트웨이 IPsec 보안 연결(SA) 제안를 참조하세요.

PFS(Perfect Forward Secrecy)

아니요

예(DH 그룹1)

DPD(Dead Peer Detection)

지원되지 않음

지원 여부

다음 표에서는 IPsec SA 암호화 및 인증 제안을 나열합니다. 제안은 해당 제안이 제시되었거나 수락된 선호하는 순서대로 나열되어 있습니다.

 

IPsec SA 암호화 및 인증 제안 시작자 Azure 게이트웨이 응답자 Azure 게이트웨이

1

ESP AES_256 SHA

ESP AES_128 SHA

2

ESP AES_128 SHA

ESP 3_DES MD5

3

ESP 3_DES MD5

ESP 3_DES SHA

4

ESP 3_DES SHA

AH SHA1(ESP AES_128, null HMAC 사용)

5

AH SHA1(ESP AES_256, null HMAC 사용)

AH SHA1(ESP 3_DES, null HMAC 사용)

6

AH SHA1(ESP AES_128, null HMAC 사용)

AH MD5(ESP 3_DES, null HMAC 사용), 제안된 수명 없음

7

AH SHA1(ESP 3_DES, null HMAC 사용)

AH SHA1(ESP 3_DES SHA1 사용), 수명 없음

8

AH MD5(ESP 3_DES, null HMAC 사용), 제안된 수명 없음

AH MD5(ESP 3_DES MD5 사용), 수명 없음

9

AH SHA1(ESP 3_DES SHA1 사용), 수명 없음

ESP DES MD5

10

AH MD5(ESP 3_DES MD5 사용), 수명 없음

ESP DES SHA1, 수명 없음

11

ESP DES MD5

AH SHA1(ESP DES null HMAC 사용), 제안된 수명 없음

12

ESP DES SHA1, 수명 없음

AH MD5(ESP DES null HMAC 사용), 제안된 수명 없음

13

AH SHA1(ESP DES null HMAC 사용), 제안된 수명 없음

AH SHA1(ESP DES SHA1 사용), 수명 없음

14

AH MD5(ESP DES null HMAC 사용), 제안된 수명 없음

AH MD5(ESP DES MD5 사용), 수명 없음

15

AH SHA1(ESP DES SHA1 사용), 수명 없음

ESP SHA, 수명 없음

16

AH MD5(ESP DES MD5 사용), 수명 없음

ESP MD5, 수명 없음

17

-

AH SHA, 수명 없음

18

-

AH MD5, 수명 없음

Azure 네트워크 내의 VNet 간 연결용으로 지정된 동적 라우팅 및 고성능 VPN 게이트웨이에 대해 IPsec ESP NULL 암호화를 지정할 수 있습니다. 인터넷을 통한 크로스-프레미스 연결의 경우에는 중요한 통신의 보안을 유지할 수 있도록 위 표에 나와 있는 암호화 및 해싱 알고리즘이 포함된 기본 Azure VPN 게이트웨이 설정을 사용하세요.

참고 항목

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
표시:
© 2015 Microsoft