Edge에 프로필을 할당하면 Edge는 프로필에 구성된 CSS(클라우드 보안 서비스) 및 특성을 자동으로 상속합니다. 설정을 재정의하여 다른 클라우드 보안 제공자를 선택하거나 각 Edge에 대한 특성을 수정할 수 있습니다.

특정 Edge에 대한 CSS 구성을 재정의하려면 다음 단계를 수행합니다.

  1. 엔터프라이즈 포털에서 구성(Configure) > Edge(Edges)를 클릭합니다.
  2. CSS 설정을 재정의하려는 Edge를 선택하고 디바이스(Device) 열 아래의 아이콘을 클릭합니다. 선택한 Edge에 대한 디바이스 설정(Device Settings) 페이지가 나타납니다.
  3. 클라우드 보안 서비스(Cloud Security Service) 영역에서 연결된 프로필의 CSS 매개 변수가 표시됩니다. 다른 CSS를 선택하거나 Edge와 연결된 프로필에서 상속된 특성을 수정하려면 Edge 재정의 사용(Enable Edge Override)을 선택합니다. 특성에 대한 자세한 내용은 프로필에 대한 클라우드 보안 서비스 구성를 참조하십시오.

    IPsec 설정 구성

    참고: Zscaler 로그인 URL이 구성된 클라우드 보안 서비스의 경우 Zscaler에 로그인(Login to Zscaler) 버튼이 클라우드 보안 서비스(Cloud Security Service) 영역에 표시됩니다. Zscaler에 로그인(Login to Zscaler) 버튼을 클릭하면 선택된 Zscaler 클라우드의 Zscaler Admin 포털로 리디렉션됩니다.
  4. 상속된 특성과는 별개로 Edge 수준에서 IPsec 터널을 구성하도록 선택하는 경우 IPsec 세션에 대해 FQDN(정규화된 도메인 이름)과 PSK(미리 공유한 키)를 구성해야 합니다.
    참고: Zscaler 및 일반 유형의 CSS에서는 VPN 자격 증명을 생성해야 합니다. Symantec CSS 유형의 경우 VPN 자격 증명이 필요하지 않습니다.
  5. Edge 수준에서 GRE 터널을 구성하도록 선택하는 경우 터널 추가(Add Tunnel)를 클릭합니다.
  6. 터널 추가(Add Tunnel) 창이 나타나면 다음 GRE 터널 매개 변수를 구성하고 확인(OK)을 클릭합니다.
    옵션 설명
    WAN 링크(WAN Links) GRE 터널에서 소스로 사용할 WAN 인터페이스를 선택합니다.
    터널 소스 공용 IP(Tunnel Source Public IP) 터널에서 공용 IP 주소로 사용할 IP 주소를 선택합니다. WAN 링크 IP(WAN Link IP) 또는 사용자 지정 WAN IP(Custom WAN IP) 중에서 선택할 수 있습니다. 사용자 지정 WAN IP(Custom WAN IP)를 선택하는 경우 공용 IP로 사용할 IP 주소를 입력합니다.
    기본 POP(Point-of-Presence) Zscaler Datacenter의 기본 공용 IP 주소를 입력합니다.
    보조 POP(Point-of-Presence) Zscaler Datacenter의 보조 공용 IP 주소를 입력합니다.
    기본 라우터 IP/마스크(Primary Router IP/Mask) 라우터의 기본 IP 주소를 입력합니다.
    보조 라우터 IP/마스크(Secondary Router IP/Mask) 라우터의 보조 IP 주소를 입력합니다.
    기본 ZEN IP/마스크(Primary ZEN IP/Mask) 내부 Zscaler 공용 서비스 Edge의 기본 IP 주소를 입력합니다.
    보조 ZEN IP/마스크(Secondary ZEN IP/Mask) 내부 Zscaler 공용 서비스 Edge의 보조 IP 주소를 입력합니다.
    참고: 라우터 IP/마스크(Router IP/Mask) 및 ZEN IP/마스크(ZEN IP/Mask)는 Zscaler에서 제공합니다.
    참고: GRE가 있는 CSS는 Edge 당 하나만 허용됩니다. Zscaler GRE 자동화를 사용하도록 설정한 Edge는 둘 이상의 세그먼트를 사용할 수 없습니다.
    참고: 확장 제한 사항:
    • GRE-WAN: Edge는 NSD(비 SD-WAN 대상)에 대해 최대 4개의 공용 WAN 링크를 지원하며 각 링크에서 NSD당 최대 2개의 터널(기본/보조)을 유지할 수 있습니다. 따라서 각 NSD에 대해 하나의 Edge에서 최대 8개의 터널과 8개의 BGP 연결을 유지할 수 있습니다.
    • GRE-LAN: Edge는 TGW(전송 게이트웨이)에 대해 1개의 링크를 지원하며 TGW당 최대 2개의 터널(기본/보조)을 유지할 수 있습니다. 따라서 각 TGW에 대해 하나의 Edge에서 최대 2개의 터널과 4개의 BGP 연결을 유지할 수 있습니다(터널당 2개의 BGP 세션).
  7. Edge 창에서 변경 내용 저장(Save Changes)을 클릭하여 수정된 설정을 저장합니다.

Edge에 대한 자동화된 Zscaler CSS 제공자 구성

Edge 수준에서 선택한 자동화된 Zscaler CSS 제공자에 대해 프로필에서 상속된 설정을 재정의하고, 하위 위치를 생성하고, 하위 위치에 대한 게이트웨이 옵션 및 대역폭 제어를 구성할 수 있습니다.

하위 위치를 생성하기 전에 선택한 Edge가 활성화되고 VPN 자격 증명이 Edge에 대해 설정되어 있는지 확인합니다. 선택한 Edge에서 하위 위치를 생성하려면 다음 단계를 수행하십시오.

  1. 엔터프라이즈 포털에서 구성(Configure) > Edge(Edges)를 클릭합니다.
  2. CSS 설정을 재정의하려는 Edge를 선택하고 하위 위치를 생성합니다.
  3. 디바이스(Device) 열 아래에서 아이콘을 클릭합니다. 선택한 Edge에 대한 디바이스 설정(Device Settings) 페이지가 나타납니다.
  4. 클라우드 보안 서비스(Cloud Security Service) 섹션에서 Edge 재정의 사용(Enable Edge Override)을 선택합니다.
  5. 선택한 자동화된 CSS 제공자에 대해 클라우드 보안 서비스(Cloud Security Service) 드롭다운 메뉴에서 필요한 경우 프로필에서 상속된 특성(해시, 암호화 및 키 교환 프로토콜)을 수정합니다. 자동화는 유효한 IPv4 주소를 사용하여 각 Edge의 공용 WAN 링크에 대한 세그먼트에 터널을 생성합니다. 다중 WAN 링크 배포에서는 사용자 데이터 패킷을 전송하는 데 WAN 링크 중 하나만 사용할 수 있습니다. Edge는 대역폭, 지터, 손실 및 지연 시간을 기준으로 최상의 QoS(서비스 품질) 점수가 있는 WAN 링크를 선택합니다. 터널이 설정되면 위치가 자동으로 생성됩니다. 특성에 대한 자세한 내용은 프로필에 대한 클라우드 보안 서비스 구성를 참조하십시오.
    참고: 세그먼트의 경우 자동화된 Zscaler 서비스 제공자에서 다른 CSS 제공자로 변경하는 것이 허용되지 않습니다. 세그먼트에서 선택한 Edge의 경우 클라우드 보안 서비스를 명시적으로 사용하지 않도록 설정한 다음, 자동화된 Zscaler 서비스 제공자의 새 CSS 제공자로 변경하려는 경우 CSS를 다시 사용하도록 설정해야 합니다.

  6. 하위 위치를 생성하려면 작업(Action) 열에서 아이콘을 클릭합니다.
    참고: Edge에 대해 VPN 자격 증명이 설정되지 않은 경우에는 하위 위치를 생성할 수 없습니다. 하위 위치를 구성하기 전에 하위 위치와 해당 제한 사항을 이해하고 있는지 확인합니다. https://help.zscaler.com/zia/about-sub-locations를 참조하십시오.
    1. 하위 위치 이름(Sub-Location Name) 텍스트 상자에 하위 위치의 고유한 이름을 입력합니다. 하위 위치 이름은 Edge에 대한 모든 세그먼트에서 고유해야 합니다. 이름은 최대 단어 길이가 32자인 영숫자를 포함할 수 있습니다.
    2. LAN 네트워크(LAN Networks) 드롭다운 메뉴에서 Edge에 대해 구성된 VLAN을 선택합니다. 선택한 LAN 네트워크에 대한 서브넷이 자동으로 채워집니다.
      참고: 선택한 Edge의 경우 하위 위치에는 모든 세그먼트에서 겹치는 서브넷 IP가 없어야 합니다.
    3. 하위 위치에 대한 게이트웨이 옵션과 대역폭 제어를 구성하려면 편집(Edit)을 클릭합니다. Zscaler 게이트웨이 옵션 및 대역폭 제어(Zscaler Gateway Options and Bandwidth Control) 창이 나타납니다.
    4. 필요에 따라 하위 위치에 대한 게이트웨이 옵션 및 대역폭 제어를 구성하고 변경 내용 저장(Save Changes)을 클릭합니다. SD-WAN Orchestrator에 하위 위치가 생성됩니다.
      참고: 현재, 다음 게이트웨이 옵션은 하위 위치 구성에 대해 지원되지 않습니다.
      • 클라이언트 요청에서 XFF 사용(Use XFF from Client Request)
      • 주의 사용(Enable Caution)
      • AUP 사용(Enable AUP)
      참고: Orchestrator에서 하나 이상의 하위 위치를 생성한 후 Zscaler는 Zscaler 측에 "기타(other)" 하위 위치를 자동으로 생성합니다. Orchestrator에서 "기타(other)" 하위 위치의 게이트웨이 옵션을 구성하는 기능은 지원되지 않습니다.
      옵션 설명
      게이트웨이 옵션(Gateway Options)
      SSL 검사(SSL Inspection) SSL 검사 정책을 하위 위치의 HTTPS 트래픽에 적용하고 HTTPS 트랜잭션의 데이터 누출, 악의적인 컨텐츠 및 바이러스를 검사할 수 있습니다.
      인증(Authentication) 하위 위치의 사용자가 서비스에서 인증을 받도록 요구할 수 있습니다.
      IP 서로게이트(IP Surrogate) 인증(Authentication)을 사용하도록 설정한 경우 사용자를 디바이스 IP 주소에 매핑하려면 이 옵션을 선택합니다.
      분리 유휴 시간(Idle Time for Dissociation) IP 서로게이트(IP Surrogate)를 사용하도록 설정한 경우, 완료된 트랜잭션 후에 서비스가 IP 주소-사용자 매핑을 유지하는 기간을 지정합니다. 분리 유휴 시간(Idle Time for Dissociation)을 분(기본값), 시 또는 일 단위로 지정할 수 있습니다.
      • 사용자가 단위를 분(Mins)로 선택하면 허용되는 범위는 1~43200입니다.
      • 사용자가 단위를 시(Hours)로 선택하면 허용되는 범위는 1~720입니다.
      • 사용자가 단위를 일(Days)로 선택하면 허용되는 범위는 1~30입니다.
      알려진 브라우저의 서로게이트 IP(Surrogate IP for Known Browsers) 기존 IP 주소-사용자 매핑(서로게이트 IP에서 획득)을 사용하여 알려진 브라우저에서 트래픽을 보내는 사용자를 인증할 수 있습니다.
      대리 재검증을 위한 새로 고침 시간(Refresh Time for re-validation of Surrogacy) 알려진 브라우저의 서로게이트 IP(Surrogate IP for Known Browsers)를 사용하도록 설정한 경우 Zscaler 서비스가 알려진 브라우저에서 트래픽을 전송하는 사용자를 인증하기 위해 IP 주소-사용자 매핑을 사용할 수 있는 기간을 지정합니다. 정의된 기간이 경과되면 서비스는 브라우저에서 사용자를 인증하는 데 해당 매핑을 계속 사용할 수 있도록 기존 IP-사용자 매핑을 새로 고치고 다시 검증합니다. 대리 재검증을 위한 새로 고침 시간(Refresh Time for re-validation of Surrogacy)을 분(기본값), 시 또는 일 단위로 지정할 수 있습니다.
      • 사용자가 단위를 분(Mins)로 선택하면 허용되는 범위는 1~43200입니다.
      • 사용자가 단위를 시(Hours)로 선택하면 허용되는 범위는 1~720입니다.
      • 사용자가 단위를 일(Days)로 선택하면 허용되는 범위는 1~30입니다.
      대역폭 제어(Bandwidth Control)
      대역폭 제어(Bandwidth Control) 하위 위치에 대해 대역폭 제어를 적용할 수 있습니다.
      다운로드(Download) 대역폭 제어(Bandwidth Control)를 사용하도록 설정한 경우 다운로드에 대한 최대 대역폭 제한(Mbps)을 지정합니다. 허용 범위는 0.1~99999입니다.
      업로드(Upload) 대역폭 제어(Bandwidth Control)를 사용하도록 설정한 경우 업로드에 대한 최대 대역폭 제한(Mbps)을 지정합니다. 허용 범위는 0.1~99999입니다.
      참고: 하위 위치에 대한 게이트웨이 옵션은 Zscaler 포털에서 구성할 수 있는 것과 동일합니다. Zscaler 게이트웨이 옵션 및 대역폭 제어 매개 변수에 대한 자세한 내용은 https://help.zscaler.com/zia/configuring-locations를 참조하십시오.
  7. 하위 위치를 생성한 후에는 동일한 페이지에서 하위 위치 구성을 업데이트하고 변경 내용 저장(Save Changes)을 클릭할 수 있습니다. Zscaler 측의 하위 위치는 자동으로 업데이트됩니다.
  8. 하위 위치를 삭제하려면 작업(Action) 열에서 아이콘을 클릭합니다.
  9. 변경 내용 저장(Save Changes)을 클릭합니다.