SD-WAN Orchestrator에서 Cisco ASA 유형의 비 SD-WAN 대상를 구성하는 방법을 설명합니다.
프로시저
- SD-WAN Orchestrator의 탐색 패널에서 구성(Configure) > 네트워크 서비스(Network Services)로 이동합니다.
서비스(Services) 화면이 나타납니다.
- 게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Gateway) 영역에서 새로 만들기(New) 버튼을 클릭합니다.
게이트웨이를 통한 새로운 비 SD-WAN 대상(New Non SD-WAN Destinations via Gateway) 대화상자가 나타납니다.
- 이름(Name) 텍스트 상자에 비 SD-WAN 대상의 이름을 입력합니다.
- 유형(Type) 드롭다운 메뉴에서 Cisco ASA를 선택합니다.
- 기본 VPN 게이트웨이의 IP 주소를 입력하고 다음(Next)을 클릭합니다.
Cisco ASA 유형의 비 SD-WAN 대상가 생성되고 비 SD-WAN 대상에 대한 대화상자가 나타납니다.
- 비 SD-WAN 대상의 기본 VPN 게이트웨이에 대한 터널 설정을 구성하려면 고급(Advanced) 버튼을 클릭합니다.
- Primary VPN Gateway(기본 VPN 게이트웨이) 영역에서 다음 터널 설정을 구성할 수 있습니다.
필드 설명 PSK 터널 전체의 인증을 위한 보안 키인 PSK(미리 공유한 키)입니다. Orchestrator는 기본적으로 PSK를 생성합니다. 고유한 PSK 또는 암호를 사용하려면 텍스트 상자에 입력할 수 있습니다. 암호화(Encryption) 데이터를 암호화하는 AES 알고리즘 키 크기로 AES 128 또는 AES 256을 선택합니다. 기본값은 AES 128입니다. DH 그룹(DH Group) 미리 공유한 키를 교환할 때 사용할 DH(Diffie-Hellman) 그룹 알고리즘을 선택합니다. DH 그룹은 알고리즘의 강도를 비트 단위로 설정합니다. 지원되는 DH 그룹은 2, 5 및 14입니다. DH 그룹 14를 사용하는 것이 좋습니다. PFS 추가 보안을 위해 PFS(Perfect Forward Secrecy) 수준을 선택합니다. 지원되는 PFS 수준은 2 및 5입니다. 기본값은 사용 안 함(disabled)입니다. 참고: Cisco ASA 네트워크 서비스 유형에는 보조 VPN 게이트웨이가 지원되지 않습니다.참고:Cisco ASA 비 SD-WAN 대상의 경우 기본적으로 사용되는 로컬 인증 ID 값은 SD-WAN Gateway 인터페이스 로컬 IP입니다.
- 중복 VeloCloud 클라우드 VPN(Redundant VeloCloud Cloud VPN) 확인란을 선택하여 각 VPN 게이트웨이에 대해 중복 터널을 추가합니다.
기본 VPN 게이트웨이의 암호화, DH 그룹 또는 PFS에 대한 변경 내용은 이중화된 VPN 터널(구성된 경우)에도 적용됩니다. 기본 VPN 게이트웨이의 터널 설정을 수정한 후 변경 내용을 저장하고 IKE/IPSec 템플릿 보기(View IKE/IPSec Template)를 클릭하여 업데이트된 터널 구성을 봅니다.
- 위치 업데이트(Update location) 링크를 클릭하여 구성된 비 SD-WAN 대상의 위치를 설정합니다. 위도 및 경도 세부 정보는 네트워크에서 연결할 최상의 Edge 또는 게이트웨이를 결정하는 데 사용됩니다.
- 사이트 서브넷(Site Subnets)에서 + 버튼을 클릭하여 비 SD-WAN 대상에 대한 서브넷을 추가할 수 있습니다.
- 사용자 지정 소스 서브넷(Custom Source Subnets)을 사용하여 이 VPN 디바이스로 라우팅되는 소스 서브넷을 재정의합니다. 일반적으로 소스 서브넷은 이 디바이스로 라우팅되는 Edge LAN 서브넷에서 파생됩니다.
- SD-WAN Gateway에서 Cisco ASA VPN 게이트웨이로의 터널을 시작할 준비가 되면 터널 사용(Enable Tunnel(s)) 확인란을 선택합니다.
- 변경 내용 저장(Save Changes)을 클릭합니다.