클라우드 VPN(Virtual Private Network)은 VMware 및 비 SD-WAN 대상를 연결하는 VPNC 규격 IPSec VPN 연결을 허용합니다. 또한 사이트의 상태(정상 또는 고장 상태)를 나타내며 사이트의 실시간 상태를 알려줍니다.
클라우드 VPN은 다음과 같은 트래픽 흐름을 지원합니다.
- 분기-게이트웨이를 통한 비 SD-WAN 대상
- 분기-SD-WAN Hub
- 분기 간 VPN
- 분기-Edge를 통한 비 SD-WAN 대상
다음 그림은 클라우드 VPN의 세 가지 분기를 보여 줍니다. 이미지의 숫자는 각 분기를 나타내며 다음에 나오는 표의 설명에 해당합니다.
비 SD-WAN 대상 | |
분기-SD-WAN Hub | |
분기 간 VPN | |
분기-비 SD-WAN 대상 | |
분기-비 SD-WAN 대상 |
분기-게이트웨이를 통한 비 SD-WAN 대상
분기-게이트웨이를 통한 비 SD-WAN 대상은 다음과 같은 구성을 지원합니다.
- 기존 방화벽 VPN 라우터를 사용하여 고객 데이터 센터에 연결
- Iaas
- CWS(Zscaler)에 연결
기존 방화벽 VPN 라우터를 사용하여 고객 데이터 센터에 연결
VMware 게이트웨이와 데이터 센터 방화벽(VPN 라우터) 간의 VPN 연결은 분기(SD-WAN Edges가 설치됨)와 비 SD-WAN 대상 간의 연결을 제공하므로 삽입 작업이 용이해집니다. 즉, 고객 데이터 센터를 설치하지 않아도 됩니다.
다음 그림은 VPN 구성을 보여 줍니다.
기본 터널 | |
중복 터널 | |
보조 VPN 게이트웨이(Secondary VPN Gateway) |
- Check Point
- Cisco ASA
- Cisco ISR
- 일반 IKEv2 라우터(경로 기반 VPN)
- Microsoft Azure 가상 허브
- Palo Alto
- SonicWALL
- Zscaler
- 일반 IKEv1 라우터(경로 기반 VPN)
- 일반 방화벽(정책 기반 VPN)
참고: VMware은 게이트웨이에서 일반 경로 기반 및 정책 기반 비 SD-WAN 대상를 둘 다 지원합니다.
SD-WAN Gateway를 통한 분기-비 SD-WAN 대상를 구성하는 방법에 대한 자세한 내용은 게이트웨이를 통한 비 SD-WAN 대상 구성을 참조하십시오.
Iaas
AWS(Amazon Web Services)로 구성할 때 비 SD-WAN 대상 대화상자에서 일반 방화벽(정책 기반 VPN) 옵션을 사용합니다.
타사와 함께 구현하면 다음과 같은 방식으로 이점을 누릴 수 있습니다.
- 메시 제거
- 비용
- 성능
VMware 클라우드 VPN은 설정하기 간단하고(SD-WAN Gateways의 글로벌 네트워크가 VPC에 대한 메시 터널 요구 사항 해소), 분기 VPC 액세스를 제어하기 위한 중앙 정책을 유지하고, 성능을 보장하고, 기존 WAN-VPC 연결에 비해 안전한 연결을 보장합니다.
AWS(Amazon Web Services)를 사용하여 구성하는 방법에 대한 자세한 내용은 Amazon Web Services 구성 섹션을 참조하십시오.
CWS(Zscaler)에 연결
Zscaler Web Security는 보안, 가시성 및 제어를 제공합니다. 클라우드에 제공되는 Zscaler는 위협 보호, 실시간 분석 및 포렌식을 포함하는 웹 보안 기능을 제공합니다.
Zscaler를 사용하여 구성하면 다음과 같은 이점이 있습니다.
- 성능: Zscaler로 직접(게이트웨이를 통한 Zscaler)
- 프록시 관리 복잡성: 간단한 클릭 정책 인식 Zscaler 허용
분기-SD-WAN Hub
SD-WAN Hub는 분기에서 데이터 센터 리소스에 액세스할 수 있도록 하기 위해 데이터 센터에 배포된 Edge입니다. SASE Orchestrator에서 SD-WAN Hub를 설정해야 합니다. SASE Orchestrator는 모든 SD-WAN Edges에 허브에 대해 알리고, SD-WAN Edges는 허브에 대한 보안 오버레이 다중 경로 터널을 구축합니다.
다음 그림에서는 활성-대기 및 활성-활성이 지원되는 방식을 보여 줍니다.
분기 간 VPN
분기 간 VPN은 향상된 성능과 확장성을 위해 분기 간에 VPN 연결을 설정하기 위한 구성을 지원합니다.
분기 간 VPN은 다음 두 가지 구성을 지원합니다.
- 클라우드 게이트웨이
- VPN용 SD-WAN Hubs
다음 그림에서는 클라우드 게이트웨이와 SD-WAN Hub에 대한 분기 간 트래픽 흐름을 보여 줍니다.
또한 클라우드 게이트웨이 및 허브 모두에 대해 동적 분기 간 VPN(Dynamic Branch to Branch VPN)을 활성화할 수도 있습니다.
클라우드 VPN(Cloud VPN) 영역의 구성(Configure) > 프로필(Profiles) > (디바이스) 탭에서 SASE Orchestrator의 단일 클릭 클라우드 VPN 기능에 액세스할 수 있습니다.
분기-Edge를 통한 비 SD-WAN 대상
분기-Edge를 통한 비 SD-WAN 대상은 다음과 같은 경로 기반 VPN 구성을 지원합니다.
- 일반 IKEv2 라우터(경로 기반 VPN)
- 일반 IKEv1 라우터(경로 기반 VPN)
자세한 내용은 Edge를 통한 비 SD-WAN 대상 구성를 참조하십시오.