SD-WAN Orchestrator에서 Palo Alto 유형의 비 SD-WAN 대상를 구성하는 방법을 설명합니다.
프로시저
- SD-WAN Orchestrator의 탐색 패널에서 구성(Configure) > 네트워크 서비스(Network Services)로 이동합니다.
서비스(Services) 화면이 나타납니다.
- 게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Gateway) 영역에서 새로 만들기(New) 버튼을 클릭합니다.
새로운 게이트웨이를 통한 비 SD-WAN 대상(New Non SD-WAN Destinations via Gateway) 대화상자가 나타납니다.
- 이름(Name) 텍스트 상자에 비 SD-WAN 대상의 이름을 입력합니다.
- 유형(Type) 드롭다운 메뉴에서 Palo Alto를 선택합니다.
- 기본 VPN 게이트웨이의 IP 주소를 입력하고 다음(Next)을 클릭합니다.
Palo Alto 유형의 비 SD-WAN 대상가 생성되고 비 SD-WAN 대상에 대한 대화상자가 나타납니다.
- 비 SD-WAN 대상의 기본 VPN 게이트웨이에 대한 터널 설정을 구성하려면 고급(Advanced) 버튼을 클릭합니다.
- Primary VPN Gateway(기본 VPN 게이트웨이) 영역에서 다음 터널 설정을 구성할 수 있습니다.
필드 설명 PSK 터널 전체의 인증을 위한 보안 키인 PSK(미리 공유한 키)입니다. Orchestrator는 기본적으로 PSK를 생성합니다. 고유한 PSK 또는 암호를 사용하려면 텍스트 상자에 입력할 수 있습니다. 암호화(Encryption) 데이터를 암호화하는 AES 알고리즘 키 크기로 AES 128 또는 AES 256을 선택합니다. 기본값은 AES 128입니다. DH 그룹(DH Group) 미리 공유한 키를 교환할 때 사용할 DH(Diffie-Hellman) 그룹 알고리즘을 선택합니다. DH 그룹은 알고리즘의 강도를 비트 단위로 설정합니다. 지원되는 DH 그룹은 2, 5 및 14입니다. DH 그룹 14를 사용하는 것이 좋습니다. PFS 추가 보안을 위해 PFS(Perfect Forward Secrecy) 수준을 선택합니다. 지원되는 PFS 수준은 2 및 5입니다. 기본값은 2입니다. - 이 사이트에 대한 보조 VPN 게이트웨이를 생성하려면 보조 VPN 게이트웨이(Secondary VPN Gateway) 옆에 있는 추가(Add) 버튼을 클릭합니다. 팝업 창에서 보조 VPN 게이트웨이의 IP 주소를 입력하고 변경 내용 저장(Save Changes)를 클릭합니다.
이 사이트에 대해 보조 VPN 게이트웨이가 즉시 생성되고 이 게이트웨이에 대한 VMware VPN 터널을 프로비저닝합니다.
참고:Palo Alto 비 SD-WAN 대상의 경우 기본적으로 사용되는 로컬 인증 ID 값은 SD-WAN Gateway 인터페이스 공용 IP입니다.
- 중복 VeloCloud 클라우드 VPN(Redundant VeloCloud Cloud VPN) 확인란을 선택하여 각 VPN 게이트웨이에 대해 중복 터널을 추가합니다.
기본 VPN 게이트웨이의 암호화, DH 그룹 또는 PFS에 대한 변경 내용은 이중화된 VPN 터널(구성된 경우)에도 적용됩니다. 기본 VPN 게이트웨이의 터널 설정을 수정한 후 변경 내용을 저장하고 IKE/IPSec 템플릿 보기(View IKE/IPSec Template)를 클릭하여 업데이트된 터널 구성을 봅니다.
- 위치 업데이트(Update location) 링크를 클릭하여 구성된 비 SD-WAN 대상의 위치를 설정합니다. 위도 및 경도 세부 정보는 네트워크에서 연결할 최상의 Edge 또는 게이트웨이를 결정하는 데 사용됩니다.
- 사이트 서브넷(Site Subnets)에서 + 버튼을 클릭하여 비 SD-WAN 대상에 대한 서브넷을 추가할 수 있습니다.
- SD-WAN Gateway에서 Palo Alto VPN 게이트웨이로의 터널을 시작할 준비가 되면 터널 사용(Enable Tunnel(s)) 확인란을 선택합니다.
- 변경 내용 저장(Save Changes)을 클릭합니다.