Azure Virtual WAN - P2S

키워드 : vWAN, HUB, VPN, P2S

 

실습 목표
: Azure Virtual WAN을 활용한 Point To Site 통신하기

목차
Azure Virtual WAN이란?
아키텍처
실습
실습 후기

---

Azure Virtual WAN이란?

네트워킹 , 보안 및 라우팅 기능을 결합하여 단을 운영 인터페이스를 제공하는 Azure의 서비스이다.

Virtual WAN의 아키텍처는 가상 네트워크를 위한 확장 및 성능이 제공되는 Hub&Spoke이다.

Virtual WAN을 통해 여러 가상 허브를 생성할 수 있다.
Hub를 통해 실제 S2S 또는 P2S를 구현할 수 있다.

(이미지 클릭시 Azure vWAN문서로 이동)

네트워크 통신에 익숙하지 않은 사람을 위해 덧붙이자면,
LAN(건물)과 LAN(건물)을 통신할 수 있게 하는 단위가 WAN이다.
WAN을 통해 지역과 지역 또는 국가와 국가사이의 통신이 가능해진다.
Azure에서는 통신하고자 하는 지역에 Hub를 생성하면 vWAN 상에서 Azure 백본망을 통해 Hub 간 자동 통신이 이루어진다.

 

아키텍처

 

 

 

10.33.0.0/16 대역대를 가지는 가상머신과 동남아시아 허브 간의 P2S VPN을 통해 연결한다.
한국 on-prem은 한국 중부 허브와 S2S VPN 통신으로 연결되어있는 상태이다.
이때 동남아시아 상의 가상 머신과 국내 on-prem의 통신을 확인하고자 한다.

 

---

 

실습

[실습 전 주의사항]

1. 실습은 3단계로 나누어 진행한다.
2. 해당 실습에서 vWAN과 Hub 생성부터 비용이 청구된다. 때문에 비용에 주의하며 진행해야 한다.

3. vWAN을 통해 P2S VPN 게이트웨이를 생성하고자 한다면, 기존에 가상 네트워크 게이트웨이가 없어야 한다.

   - 기존의 가상 네트워크 게이트웨이는 리소스 삭제 후 진행해야 한다.

 

<실습 순서>

1. vWAN 및 허브 확인

2. 사용자 VPN 프로필 만들기

3. P2S VPN Gateway 생성하기

4. VPN 프로필 다운로드 및 서버에 적용하기

5. 연결 확인을 위한 Ping Test

 

1. vWAN 및 허브 확인

vWAN의 경우 한국 중부에 생성 해두었다.

허브의 경우 위 아키텍처 상의 S2S VPN 생성 까지 마친 상태이다.

* P2S VPN Gateway를 생성하기 앞서 사용자 VPN 프로필을 생성해주어야 한다.

---

2. 사용자 VPN 프로필 생성

vWAN의 네비게이션 메뉴에서 사용자 VPN 구성 탭 클릭

프로필 이름을 P2S로 지정한 뒤, 터널은 IKEv2 VPN으로 지정했다.

* AAD 인증 방식을 이용하기 위해서는 open VPN 방식을 이용해야 한다.

이번 실습에서는 Azure 인증서를 사용할 예정이므로 IKEv2 VPN 클릭 후 Azure 인증서 탭으로 이동

 

인증서를 구분할 수 있도록 이름을 표기하고, 서버에서 생성한 root 인증서 데이터를 붙여 넣기 해준다.

root 인증서는 최대 20개까지 추가할 수 있다.

 

서버에서 인증서를 생성하는 방법은 아래 링크를 통해 확인할 수 있음

인증서 생성 및 내보내기 (클릭)

---

3. P2S VPN Gateway 생성하기

미리 만들어둔 허브의 사용자 VPN(지점 대 사이트) 탭을 클릭한다.

 

구성 설정 후 아래 만들기 클릭

→ 테스트 실습이기 때문에 게이트웨이 배율은 가장 작은 값인 1 배율로 설정한다.

→ 지점 대 사이트 구성에서는 위에서 만든 사용자 VPN 프로필을 설정한다.

→ 클라이언트 주소 풀은 P2S VPN Gateway의 주소 공간으로 쓰이기 때문에 on-prem 또는 가상 네트워크 상의 어떤 대역대와도 중복되지 않아야 한다.

P2S VPN Gateway가 생성 되었다.

토폴로지 확인

첫 번째 라인 : 한국 리전 상의 S2S VPN 통신

두 번째 라인 : 동남아시아 리전 상의 S2S 통신 (이버 실습에서 사용 X)

세 번째 라인 : 동남아시아 리전 상의 P2S 통신 ( 방금 생성한 내용)

---

4. VPN 프로필 다운로드 및 서버에 적용하기

(여기서부터는 동남아시아 리전의 가상 머신에서 진행)

- 인증서가 바뀔 때 마다 구성 또한 바뀌기 때문에 그 때마다 다운로드 해서 적용해 주어야 한다.

가상머신의 os가 windows datacenter 2016 버전이기에 windowsAmd64 폴더 안의 파일 사용

 

해당 응용 프로그램을 설치해주면, 가상 머신의 네트워크 설정창에 해당 VPN이 생성된다.

- 윈도우에서 '네트워크 및 인터넷 설정'창으로 이동했을 때의 모습

설치된 VPN을 클릭한 뒤 connect 버튼 클릭

잘 연결되는 것을 확인 할 수 있다.

---

5. 연결 확인을 위한 Ping Test

VM(동남아시아 리전) → 국내 on-prem (한국 중부 리전)

 

Ping 찍었을 때

통신 확인 완료

 

Tracert 찍었을 때

IPSec 통신으로 인해 중간 경로는 비공개 처리됨

---

실습 후기

WAN이라는 것에 대해 대충 알고 있던 나에게 Virtual WAN은 정말 어려운 과제였다.

특히 허브 간의 연결 또는, 사이트를 구성하는 것들의 메커니즘을 이해하는데 시간이 오래 걸렸던 것 같다.

실습을 진행하면서 그림을 정말 많이 그렸었는데, 이런 통신에 대한 구성을 이해할 때는 그림을 그리는 것이 가장 좋은 방법인듯하다.

해당 포스팅으로는 절대로 vWAN과 허브 P2S에 대해 이해할 수 없을 것이라 생각한다.

혹시나 포스팅을 보고 따라 하고자 한다면 제발 Azure Docs를 많이, 자세히 읽어보는 것을 추천한다.

 

* Azure 인증서는 정말 정말 오류의 확률이 많은 방식이다. 여유가 된다면 꼭 AAD 방식을 사용하길 바란다!

** Azure 인증서에 대한 포스팅을 보려면 클릭