타사 방화벽을 사용하여 SD-WAN Edge의 VNF를 통해 트래픽을 배포하고 전달할 수 있습니다.
운영자만 보안 VNF 구성을 사용하도록 설정할 수 있습니다. 보안 VNF(Security VNF) 옵션을 사용할 수 없으면 운영자에게 문의하십시오.
사전 요구 사항
다음 요구 사항이 충족되었는지 확인합니다.
- SD-WAN Orchestrator와 특정 보안 VNF 배포를 지원하는 소프트웨어 버전을 실행 중인 활성화된 SD-WAN Edge. 지원되는 소프트웨어 버전 및 Edge 플랫폼에 대한 자세한 내용은 보안 VNF의 지원 매트릭스를 참조하십시오.
- VNF 관리 서비스 구성. 자세한 내용은 VNF 관리 서비스 구성를 참조하십시오.
프로시저
- 엔터프라이즈 포털에서 를 클릭합니다.
- Edge 페이지에서 Edge 옆에 있는 디바이스(Device) 아이콘을 클릭하거나 Edge에 대한 링크를 클릭하고 디바이스(Device) 탭을 클릭합니다.
- 디바이스(Device) 탭에서 아래로 스크롤하여 보안 VNF(Security VNF) 섹션으로 이동한 후 편집(Edit)을 클릭합니다.
- Edge VNF 구성(Edge VNF Configuration) 창에서 배포(Deploy) 확인란을 선택합니다.
- VM 구성(VM Configuration)에서 다음을 구성합니다.
- VLAN – 드롭다운 목록에서 VNF 관리에 사용할 VLAN을 선택합니다.
- VM-1 IP – VM의 IP 주소를 입력하고 IP 주소가 선택한 VLAN의 서브넷 범위에 있는지 확인합니다.
- VM-1 호스트 이름 – VM 호스트의 이름을 입력합니다.
- 배포 상태(Deployment State) – 다음 옵션 중 하나를 선택합니다.
- 이미지 다운로드 및 전원 켜짐(Image Downloaded and Powered On) – 이 옵션을 선택하면 Edge에서 방화벽 VNF를 구축한 후 VM의 전원을 켭니다. 이 옵션을 선택한 경우에만 트래픽이 VNF를 통과합니다. 이를 위해 하나 이상의 VLAN 또는 라우팅된 인터페이스를 VNF 삽입용으로 구성해야 합니다.
- 이미지 다운로드 및 전원 꺼짐(Image Downloaded and Powered Off) – 이 옵션을 선택하면 Edge에서 방화벽 VNF를 구축한 후 VM의 전원을 끕니다. VNF를 통해 트래픽을 전송하려는 경우에는 이 옵션을 선택하지 마십시오.
- 보안 VNF(Security VNF) – 드롭다운 목록에서 미리 정의된 VNF 관리 서비스를 선택합니다. 새 VNF 서비스(New VNF Service)를 클릭하여 새 VNF 관리 서비스를 생성할 수도 있습니다. 자세한 내용은 VNF 관리 서비스 구성를 참조하십시오.
다음 이미지는 보안 VNF 유형의 예로
Check Point 방화벽을 보여 줍니다.
Palo Alto Networks 방화벽을 보안 VNF로 선택하는 경우 다음 추가 설정을 구성합니다.
- 라이센스(License) – 드롭다운 목록에서 VNF 라이센스(VNF License)를 선택합니다.
- 디바이스 그룹 이름(Device Group Name) – Panorama 서버에 미리 구성된 디바이스 그룹 이름을 입력합니다.
- 구성 템플릿 이름(Config Template Name) – Panorama 서버에 미리 구성된 구성 템플릿 이름을 입력합니다.
참고:
Palo Alto Networks 방화벽(Palo Alto Networks Firewall) 구성의 배포를 VNF 유형에서 제거하려면 구성을 제거하기 전에 Palo Alto Networks의
VNF 라이센스(VNF License)를 비활성화해야 합니다.
Fortinet 방화벽(Fortinet Firewall)을 선택하는 경우 다음 추가 설정을 구성합니다.
- VM 코어(VM Cores) – 드롭다운 목록에서 코어 수를 선택합니다. VM 라이센스는 VM 코어를 기준으로 합니다. VM 라이센스가 선택한 코어 수와 호환되는지 확인합니다.
- 검사 모드(Inspection Mode) – 다음 모드 중 하나를 선택합니다.
- 프록시(Proxy) – 이 옵션은 기본적으로 선택되어 있습니다. 프록시 기반 검사에는 트래픽을 버퍼링하고 분석을 위해 데이터를 전체적으로 검토하는 작업이 포함됩니다.
- 흐름(Flow) – 흐름 기반 검사는 트래픽 데이터가 버퍼링 없이 FortiGate 장치를 통과할 경우 트래픽 데이터를 검사합니다.
- 라이센스(License) – VM 라이센스를 끌어서 놓습니다.
- 업데이트(Update)를 클릭합니다.
결과
보안 VNF(Security VNF) 섹션에 구성 세부 정보가 표시됩니다.
다음에 수행할 작업
여러 트래픽 세그먼트를 VNF로 리디렉션하려면 세그먼트와 서비스 VLAN 간의 매핑을 정의합니다. 서비스 VLAN에 대한 세그먼트 매핑 정의를 참조하십시오.
VLAN 또는 라우팅된 인터페이스에서 VNF로 트래픽을 리디렉션하도록 보안 VNF를 VLAN 및 라우팅된 인터페이스 둘 다에 삽입할 수 있습니다. VNF 삽입을 사용하여 VLAN 구성를 참조하십시오.