SD-WAN Gateway를 통해 Netskope 포털로의 보안 IPSec 터널을 설정하도록 SD-WAN Orchestrator에서 게이트웨이를 통한 비 SD-WAN 대상을 구성합니다.

게이트웨이를 통한 비 SD-WAN 대상을 구성하려면

사전 요구 사항

Netskope NG SWG 포털에서 IPsec 터널을 이미 구성했는지 확인합니다. Net로 구성 포털에서 VPN 자격 증명 구성를 참조하십시오.

프로시저

  1. SD-WAN Orchestrator에 로그인하여 고객 인스턴스가 생성되었는지와 Edge가 온라인 상태인지 확인합니다.
  2. 고객 이름에 대한 링크를 클릭하여 엔터프라이즈 포털로 이동합니다.
  3. 엔터프라이즈 포털에서 구성(Configure) > 네트워크 서비스(Network Services)를 클릭합니다.
  4. 게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Gateway) 창에서 새로 만들기(New)를 클릭하여 비 SD-WAN 대상을 새로 생성합니다.
  5. 게이트웨이를 통한 새로운 비 SD-WAN 대상(New Non SD-WAN Destination via Gateway) 창에서 다음을 구성합니다.
    옵션 설명
    이름(Name) 비 SD-WAN 대상을 설명하는 이름을 입력합니다.
    유형(Type) 유형으로 일반 IKEv2 라우터(경로 기반 VPN)(Generic IKEv2 Router (Route Based VPN))을 선택합니다.
    기본 VPN 게이트웨이(Primary VPN Gateway) Netskope 포털에서 VPN 터널을 설정하는 데 사용되는 기본 POP의 IP 주소를 입력합니다.
    보조 VPN 게이트웨이(Secondary VPN Gateway) Netskope 포털에서 VPN 터널을 설정하는 데 사용되는 보조 POP의 IP 주소를 입력합니다.
    다음(Next)을 클릭합니다.
  6. 다음 창에서 다음 설정을 구성합니다.
    비 SD-WAN 대상의 이름(Name)유형(Type)이 표시됩니다. 터널 사용(Enable Tunnel(s)) 확인란을 선택하여 터널을 사용하도록 설정합니다.
    다음과 같이 고급(Advanced)을 클릭하여 기본 및 보조 VPN 게이트웨이의 다른 IPsec 터널 매개 변수를 구성합니다.
    옵션 설명
    암호화(Encryption) 드롭다운 목록에서 AES 알고리즘 키를 선택하여 데이터를 암호화합니다. 데이터를 암호화하지 않으려면 Null을 선택합니다. 기본값은 AES 128입니다.
    DH 그룹(DH Group) 미리 공유한 키를 교환할 때 사용할 DH(Diffie-Hellman) 그룹 알고리즘을 선택합니다. DH 그룹은 알고리즘의 강도를 비트 단위로 설정합니다. 지원되는 DH 그룹은 2, 5, 14, 15, 16입니다. DH 그룹 14를 사용하는 것이 좋습니다.
    PFS 추가 보안을 위해 PFS(Perfect Forward Secrecy) 수준을 선택합니다. 지원되는 PFS 수준은 2, 5, 14, 15, 16입니다. 기본값은 사용 안 함(Disabled)입니다.
    해시(Hash) 드롭다운 목록에서 VPN 헤더에 대한 인증 알고리즘을 선택합니다. 다음과 같은 SHA(보안 해시 알고리즘) 옵션을 사용할 수 있습니다.
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    기본값은 SHA 256입니다.

    IKE SA 수명(분)(IKE SA Lifetime(min)) IKE SA 수명을 분 단위로 입력합니다. 이 시간이 만료되기 전에 Edge에 대해 키 재생성을 시작해야 합니다. 범위는 10 ~ 1440분입니다. 기본값은 1440분입니다.
    IPsec SA 수명(분)(IPsec SA Lifetime(min)) IPsec SA 수명을 분 단위로 입력합니다. 이 시간이 만료되기 전에 Edge에 대해 키 재생성을 시작해야 합니다. 범위는 3 ~ 480분입니다. 기본값은 480분입니다.
    DPD 시간 초과 타이머(초)(DPD Timeout Timer(sec)) 입력 피어가 비활성 상태로 간주되기 전에 디바이스가 DPD 메시지에 대한 응답을 받기 위해 대기하는 최대 시간을 입력합니다. 기본값은 20초입니다. DPD 시간 초과 타이머를 0으로 구성하여 DPD를 사용하지 않도록 설정할 수 있습니다.
    중복 VeloCloud 클라우드 VPN(Redundant VeloCloud Cloud VPN) – 이 확인란을 선택하여 기본 및 보조 SD-WAN Gateways에서 IPSEC 터널을 설정합니다.
    사이트 서브넷(Site Subnets) – 더하기( +) 아이콘을 사용하여 비 SD-WAN 대상에 대한 서브넷을 추가합니다. 사이트에 대한 서브넷이 필요하지 않은 경우 사이트 서브넷 사용 안 함(Disable Site Subnets) 확인란을 선택합니다.
    로컬 인증 ID(Local Auth Id) - 드롭다운 목록에서 로컬 인증 ID를 선택하여 로컬 게이트웨이의 형식 및 ID를 정의합니다. 다음과 같은 옵션을 사용할 수 있습니다.
    • 기본값(Default) – 기본적으로 SD-WAN Gateway의 인터페이스 공용 IP 주소가 로컬 인증 ID로 사용됩니다.
    • FQDN - 정규화된 도메인 이름 또는 호스트 이름입니다. 예를 들면 google.com입니다.
    • 사용자 FQDN(User FQDN) - 이메일 주소 형식의 사용자 정규화된 도메인 이름입니다. 예를 들면 user@google.com입니다.
    • IPv4 - 로컬 게이트웨이와 통신하는 데 사용되는 IP 주소입니다.
    변경 내용 저장(Save Changes)을 클릭하고 창을 닫습니다.

결과

게이트웨이를 통한 새로운 비 SD-WAN 대상이 네트워크 서비스(Network Services) 창에 표시됩니다.

다음에 수행할 작업

게이트웨이를 통한 새로운 비 SD-WAN 대상을 사용하도록 프로필을 구성합니다. 게이트웨이를 통한 비 SD-WAN 대상으로 프로필 구성를 참조하십시오.