SD-WAN Edge에서 비 SD-WAN 대상로 직접 보안 IPSec v4 및 v6 터널을 설정하기 위해 VMware을 사용하여 엔터프라이즈 사용자는 비 SD-WAN 대상 인스턴스를 정의 및 구성할 수 있습니다. 이 섹션에서는 클라우드 보안 서비스를 구성할 수도 있습니다.
프로시저
- 엔터프라이즈 포털의 SD-WAN 서비스에서 구성(Configure) > 네트워크 서비스(Network Services)를 이동한 후 비 SD-WAN 대상(Non SD-WAN Destinations) 아래에서 Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Edge)을 확장합니다.
- Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Edge) 영역에서 새로 만들기(New) 또는 새 Edge를 통한 NSD(New NSD via Edge) 옵션을 클릭하여 비 SD-WAN 대상을 새로 생성합니다.
참고: 새 Edge를 통한 NSD(New NSD via Edge) 옵션은 테이블에 항목이 없는 경우에만 나타납니다.
- 다음 구성 옵션을 사용할 수 있습니다.
참고: IKE/IPSec 설정 외에도 데이터 센터 유형의 비 SD-WAN 대상를 지원하려면 비 SD-WAN 대상 로컬 서브넷을 VMware 시스템으로 구성해야 합니다.
옵션 설명 일반(General) 서비스 이름(Service Name) 비 SD-WAN 대상의 이름을 입력합니다. 이 필드는 필수입니다. 서비스 유형(Service Type) 드롭다운 메뉴에서 서비스 유형을 선택합니다. 사용 가능한 옵션은 일반 IKEv1 라우터(경로 기반 VPN)(Generic IKEv1 Router (Route Based VPN)), 일반 IKEv2 라우터(경로 기반 VPN)(Generic IKEv2 Router (Route Based VPN)) 및 Microsoft Azure 가상 WAN입니다. 이 필드는 필수입니다. 터널 모드 드롭다운 메뉴에서 터널 모드를 선택합니다. 사용 가능한 옵션은 활성/활성(Active/Active), 활성/핫대기(Active/Hot-Standby) 및 활성/활성/대기(Active/Active/Standby)입니다. IKE/IPSec 설정(IKE/IPSec Settings) IP 버전 드롭다운 메뉴에서 현재 비 SD-WAN 대상의 IP 버전(IPv4 또는 IPv6)을 선택합니다. 기본 VPN 게이트웨이(Primary VPN Gateway) 공용 IP 올바른 IPv4 또는 IPv6 주소를 입력합니다. 이 필드는 필수입니다. IKE 제안의 고급 설정 보기(View advanced settings for IKE Proposal): 다음 필드를 보려면 이 옵션을 확장합니다. 암호화(Encryption) 드롭다운 목록에서 AES 알고리즘 키 크기를 선택하여 데이터를 암호화합니다. 사용 가능한 옵션은 AES 128, AES 256, AES 128 GCM, AES 256 GCM 및 자동(Auto)입니다. 기본값은 AES 128입니다. DH 그룹(DH Group) 드롭다운 목록에서 DH(Diffie-Hellman) 그룹 알고리즘을 선택합니다. 키 자료 생성에 사용됩니다. DH 그룹은 알고리즘의 강도를 비트 단위로 설정합니다. 지원되는 DH 그룹은 2, 5, 14, 15, 16, 19, 20 및 21입니다. 기본값은 14입니다. 해시(Hash) 드롭다운 메뉴 목록에서 다음과 같이 지원되는 SHA(Secure Hash Algorithm) 기능 중 하나를 선택합니다. - SHA 1
- SHA 256
- SHA 384
참고: 이 값은 Microsoft Azure 가상 WAN 서비스 유형에 사용할 수 없습니다.
- SHA 512
참고: 이 값은 Microsoft Azure 가상 WAN 서비스 유형에 사용할 수 없습니다.
- 자동
기본값은 SHA 256입니다.
IKE SA 수명(분)(IKE SA Lifetime(min)) IKE(Internet Key Exchange) 재입력이 Edge에 대해 시작되는 시간을 입력합니다. 최소 IKE 수명 시간은 10분이고, 최대 IKE 수명 시간은 1440분입니다. 기본값은 1440분입니다. 참고: 재입력은 수명의 75~80%가 만료되기 전에 시작해야 합니다.DPD 시간 초과(초)(DPD Timeout(sec)) DPD 시간 초과 값을 입력합니다. 아래 설명된 대로 DPD 시간 초과 값이 내부 DPD 타이머에 추가됩니다. 피어가 비활성(Dead Peer Detection)인 것으로 간주하기 전에 DPD 메시지의 응답을 기다립니다. 5.1.0 릴리스 이전에는 기본값이 20초입니다. 5.1.0 이상 릴리스의 경우 기본값은 아래 목록을 참조하십시오.- 라이브러리 이름: Quicksec
- 검색 간격: 지수형(0.5초, 1초, 2초, 4초, 8초, 16초)
- 기본 최소 DPD 간격: 47.5초(Quicksec은 마지막 재시도 후 16초 동안 대기합니다. 따라서 0.5+1+2+4+8+16+16 = 47.5초가 됩니다.)
- 기본 최소 DPD 간격 + DPD 시간 초과(초): 67.5초
참고: 5.1.0 이상 릴리스의 경우 DPD 시간 초과 타이머를 0초로 구성하여 DPD를 비활성화할 수 없습니다. DPD 시간 초과 값(초)이 기본 최소값인 47.5초에 추가됩니다.IPsec 제안의 고급 설정 보기(View advanced settings for IPsec Proposal): 다음 필드를 보려면 이 옵션을 확장합니다. 암호화(Encryption) 드롭다운 목록에서 AES 알고리즘 키 크기를 선택하여 데이터를 암호화합니다. 사용 가능한 옵션은 없음(None), AES 128 및 AES 256입니다. 기본값은 AES 128입니다. PFS 추가 보안을 위해 PFS(Perfect Forward Secrecy) 수준을 선택합니다. 지원되는 PFS 수준은 2, 5, 14, 15, 16, 19, 20 및 21입니다. 기본값은 14입니다. 해시(Hash) 드롭다운 메뉴 목록에서 다음과 같이 지원되는 SHA(Secure Hash Algorithm) 기능 중 하나를 선택합니다. - SHA 1
- SHA 256
- SHA 384
참고: 이 값은 Microsoft Azure 가상 WAN 서비스 유형에 사용할 수 없습니다.
- SHA 512
참고: 이 값은 Microsoft Azure 가상 WAN 서비스 유형에 사용할 수 없습니다.
기본값은 SHA 256입니다.
IPsec SA 수명(분)(IPsec SA Lifetime(min)) IPsec(인터넷 보안 프로토콜) 재입력이 Edge에 대해 시작될 때의 시간을 입력합니다. 최소 IPsec 수명 시간은 3분이고, 최대 IPsec 수명 시간은 480분입니다. 기본값은 480분입니다. 참고: 재입력은 수명의 75~80%가 만료되기 전에 시작해야 합니다.보조 VPN 게이트웨이(Secondary VPN Gateway) 추가(Add) - 보조 VPN 게이트웨이를 추가하려면 이 옵션을 클릭합니다. 다음 필드가 표시됩니다. 공용 IP 올바른 IPv4 또는 IPv6 주소를 입력합니다. 제거 보조 VPN 게이트웨이를 삭제합니다. 터널 설정은 기본 VPN 게이트웨이와 동일합니다. 우선 및 차선 게이트웨이에 대해 동일한 설정을 사용하려면 이 확인란을 선택합니다. 보조 VPN 게이트웨이에 대한 설정을 수동으로 입력하도록 선택할 수 있습니다. 사이트 서브넷(Site Subnets) 추가 서브넷과 비 SD-WAN 대상에 대한 설명을 추가하려면 이 옵션을 클릭합니다. 삭제 선택한 서브넷을 삭제하려면 이 옵션을 클릭합니다. - 저장(Save)을 클릭합니다.
- Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Edge) 영역에서 새로 만들기(New) 또는 새 Edge를 통한 NSD(New NSD via Edge) 옵션을 클릭하여 비 SD-WAN 대상을 새로 생성합니다.
- 클라우드 보안 서비스(Cloud Security Services) 영역에서 새로 만들기(New)를 클릭합니다.
- 새 클라우드 보안 서비스(New Cloud Security Service) 창에서 드롭다운 메뉴에서 서비스 유형을 선택합니다. VMware SD-WAN은 다음 CSS 유형을 지원합니다.
- 일반 클라우드 보안 서비스(Generic Cloud Security Service)
- Symantec / Palo Alto 클라우드 보안 서비스
- Zscaler 클라우드 보안 서비스(Zscaler Cloud Security Service)
- 서비스 유형(Service Type)으로 "일반(Generic)" 또는 "Symantec / Palo Alto" 클라우드 보안 서비스를 선택한 경우 다음 필드를 구성하고 변경 내용 저장(Save Changes)을 클릭합니다.
옵션 설명 서비스 이름(Service Name) 클라우드 보안 서비스의 설명 이름을 입력합니다. 기본 POP/서버(Primary Point-of-Presence/Server) 기본 서버의 IP 주소 또는 호스트 이름을 입력합니다. 보조 POP/서버(Secondary Point-of-Presence/Server) 보조 서버의 IP 주소 또는 호스트 이름을 입력합니다. 이 필드는 선택 사항입니다. - 서비스 유형으로 Zscaler 클라우드 보안 서비스(Zscaler Cloud Security Service)를 선택한 경우 다음 필드를 구성하고 변경 내용 저장(Save Changes)을 클릭합니다.
옵션 설명 서비스 이름(Service Name) 클라우드 보안 서비스의 설명 이름을 입력합니다. 클라우드 서비스 배포 자동화 이 확인란을 선택하여 자동화 배포를 선택합니다. Zscaler에 로그인하기 위한 URL 드롭다운 목록에서 기존 Zscaler URL을 사용하거나 새 URL을 입력하도록 선택할 수 있습니다. 기본 서버 기본 서버의 IP 주소 또는 호스트 이름을 입력합니다. 보조 서버 보조 서버의 IP 주소 또는 호스트 이름을 입력합니다. 이 필드는 선택 사항입니다. L7 상태 점검(L7 Health Check) Zscaler 서버(Zscaler Server)의 상태를 모니터링하려면 이 확인란을 선택합니다. 참고: 지정된 Edge/프로필에 대해 사용자는 네트워크 서비스에 구성된 L7 상태 점검 매개 변수를 재정의할 수 없습니다.HTTP 프로브 간격(HTTP Probe Interval) 개별 HTTP 검색 사이의 간격 기간을 표시합니다. 기본 검색 간격은 5초입니다. 재시도 횟수(Number of Retries) 클라우드 서비스를 [종료(DOWN)]로 표시하기 전에 허용되는 재시도 횟수를 선택합니다. 기본값은 3입니다. RTT 임계값(RTT Threshold) 클라우드 서비스 상태를 계산하는 데 사용되는 RTT(왕복 시간) 임계값(밀리초)입니다. 측정된 RTT가 구성된 임계값을 초과하면 클라우드 서비스가 종료(DOWN)로 표시됩니다. 기본값은 3000밀리초입니다. Zscaler 로그인 URL 로그인 URL을 입력한 다음, Zscaler에 로그인(Login to Zscaler)을 클릭합니다. 선택된 Zscaler 클라우드의 Zscaler Admin 포털로 리디렉션됩니다. 참고: Zscaler에 로그인(Login to Zscaler) 링크는 Zscaler 로그인 URL을 입력하는 경우에만 활성화됩니다.참고: 자세한 내용은 클라우드 보안 서비스 항목을 참조하십시오.
- 다음은 Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Edge) 섹션에서 사용할 수 있는 다른 옵션입니다.
옵션 설명 삭제 항목을 선택하고 이 옵션을 클릭하여 삭제합니다. 열 클릭한 후 페이지에서 표시하거나 숨길 열을 선택합니다. 참고: 테이블 맨 위에 있는 정보 아이콘을 클릭하여 개념 다이어그램을 본 다음, 다이어그램 위로 마우스를 이동하여 세부 정보를 확인합니다.
다음에 수행할 작업
- 비 SD-WAN 대상에 대한 터널 설정을 구성합니다. 자세한 내용은 다음을 참조하십시오.
- 비 SD-WAN 대상를 프로필 또는 Edge에 연결합니다. 자세한 내용은 분기 및 Edge를 통한 비 SD-WAN 대상 간 터널 구성 항목을 참조하십시오.
- Edge 수준에서 터널 매개 변수(WAN 링크 선택 항목 및 터널별 자격 증명)를 구성합니다. 자세한 내용은 Edge에 대한 클라우드 VPN 및 터널 매개 변수 구성 항목을 참조하십시오.
- 비즈니스 정책을 구성합니다. 비즈니스 정책을 구성하는 것은 Edge를 통한 비 SD-WAN 대상의 선택적 절차입니다. 구성된 비 SD-WAN 대상가 없는 경우 비즈니스 정책을 통해 인터넷 트래픽을 리디렉션할 수 있습니다. 자세한 내용은 비즈니스 정책 규칙 생성를 참조하십시오.