이 섹션에서는 2 암 구성에서 SD-WAN Edge를 구성하는 방법에 대한 개요를 제공합니다.
개요
2 암 구성에서 SD-WAN Edge를 구성하려면 다음을 수행합니다.
- 허브 1 구성 및 활성화
- 실버 1 사이트 구성 및 활성화
- 분기-허브 간 터널 사용(실버 1-허브 1)
- 브론즈 1 사이트 구성 및 활성화
- 허브 2 구성 및 활성화
- 실버 2 사이트 구성 및 활성화
다음 섹션에서는 이러한 단계에 대해 자세히 설명합니다.
허브 1 구성 및 활성화
이 단계는 허브 위치에서 SD-WAN Edge를 가져오는 방법을 나타내는 일반적인 워크플로를 이해하는 데 도움이 됩니다. SD-WAN Edge는 두 개의 인터페이스로 배포됩니다(각 WAN 링크에 대해 하나씩).
가상 Edge를 허브로 사용합니다. 다음은 배선 및 IP 주소 정보의 예입니다.
로컬 UI를 통해 인터넷에 연결하도록 허브 1 SD-WAN Edge 구성
이 사이트는 데이터 센터/허브 사이트이므로 SD-WAN Edge에서 DHCP를 사용하여 해당 WAN IP를 가져올 가능성이 낮습니다. 따라서 SD-WAN Edge를 활성화할 수 있도록 먼저 데이터 센터 방화벽을 통해 인터넷에 연결하도록 SD-WAN Edge를 설정해야 합니다.
- PC를 SD-WAN Edge의 기본 LAN 포트에 연결합니다(예: Edge 3800인 경우 기본 LAN 포트는 GE1 및 GE2). 이러한 포트는 기본적으로 DHCP 서비스를 지원하며, 192.168.2.0/24 범위의 PC에 IP 주소를 제공합니다.
- PC에서 http://192.168.2.1(SD-WAN Edge의 로컬 웹 인터페이스)로 이동합니다. 구성 검토(review the configuration) 링크를 클릭합니다.
- 인터넷에 연결할 수 있도록 SD-WAN Edge의 GE2 고정 WAN IP 및 기본 게이트웨이를 구성합니다.
저장(Save)을 클릭하고 로그인/암호 admin/admin을 제공합니다.참고: SASE Orchestrator를 통해 동일한 구성을 수행할 수도 있습니다. 이 경우 활성화 URL은 IP 주소 구성을 통합하고, 활성화 중에 SD-WAN Edge에 푸시됩니다. 이것이 기본 방법입니다.
일반적으로 데이터 센터/허브 사이트에서 고정 IP 주소가 사용자에게 할당되고 엔터프라이즈 IT 관리자는 SD-WAN Edge WAN IP를 공용 IP로 변환하도록 방화벽을 구성하고 적절한 트래픽(아웃바운드: TCP/443, 인바운드: UDP/2426, UDP/500, UDP/4500)을 필터링합니다.
- 이때 인터넷 상태가 연결됨(Connected)으로 표시됩니다.
SD-WAN Edge 고정 WAN IP 주소 및 관련 방화벽 구성이 완료된 후에 SD-WAN Edge 인터넷 상태가 "연결됨(Connected)"으로 표시됩니다.
기본 프로필에서 SD-WAN Edge 활성화
- SASE Orchestrator에 로그인합니다.
- 기본 VPN 프로필을 사용하면 SD-WAN Edge를 활성화할 수 있습니다.
허브 1 SD-WAN Edge 활성화
- 구성(Configure) > Edge(Edges)로 이동한 후 새 SD-WAN Edge를 추가합니다. 올바른 모델 및 프로필을 지정합니다(분기 VPN 프로필(Branch VPN Profile) 사용).
- 허브 SD-WAN Edge(DC1-VCE)로 이동하고 정상적인 활성화 프로세스를 따릅니다. 이메일 기능이 이미 설정되어 있으면 해당 이메일 주소로 활성화 이메일을 전송합니다. 그러지 않으면 디바이스 설정(device setting) 페이지로 이동하여 활성화 URL을 가져올 수 있습니다.
- 활성화 URL을 복사하고 SD-WAN Edge에 연결된 PC의 브라우저에 붙여 넣거나 PC 브라우저에서 활성화 URL을 클릭합니다.
- 활성화(Activate) 버튼을 클릭합니다.
- 이제 DC1-VCE 데이터 센터 허브가 실행됩니다. 모니터링(Monitor) > Edge(Edges)로 이동합니다. Edge 개요(Edge Overview) 탭을 클릭합니다. 공용 WAN 링크 용량은 올바른 공용 IP 238.162.42.202 및 ISP와 함께 감지됩니다.
- 구성(Configure) > Edge(Edges)로 이동하고 DC1-VCE를 선택합니다. 디바이스(Device) 탭으로 이동하고 아래쪽의 인터페이스 설정(Interface Settings)으로 스크롤합니다.
등록 프로세스에서 로컬 UI를 통해 구성된 고정 WAN IP 주소 및 게이트웨이를 SASE Orchestrator에 알리는 것을 확인할 수 있습니다. 이에 따라 SASE Orchestrator의 구성이 업데이트됩니다.
- 아래쪽의 WAN 설정(WAN Settings) 섹션으로 스크롤합니다. 링크 유형은 공용 유선(Public Wired)으로 자동으로 식별됩니다.
허브 1 SD-WAN Edge에서 개인 WAN 링크 구성
- SASE Orchestrator에서 직접 개인 MPLS Edge WAN 인터페이스를 구성합니다. 구성(Configure) > Edge(Edges)로 이동하고 DC1-VCE를 선택합니다. 디바이스(Device) 탭으로 이동하고 아래쪽의 인터페이스 설정(Interface Settings) 섹션으로 스크롤합니다. GE3의 고정 IP를 172.31.2.1/24로 구성하고 기본 게이트웨이를 172.31.2.2로 구성합니다. WAN 오버레이(WAN Overlay)에서 사용자 정의 오버레이(User Defined Overlay)를 선택합니다. 이렇게 하면 다음 단계에서 WAN 링크를 수동으로 정의할 수 있습니다.
- WAN 설정(WAN Settings)에서 사용자 정의 WAN 오버레이 추가(Add User Defined WAN Overlay) 버튼(다음 화면 캡처 참조)을 클릭합니다.
- MPLS 경로에 대한 WAN 오버레이를 정의합니다. 링크 유형(Link Type)을 개인(Private)으로 선택하고 IP 주소(IP Address) 필드에 WAN 링크의 다음 홉 IP(172.31.2.2)를 지정합니다. 인터페이스로 GE3를 선택합니다. 고급(Advanced) 버튼을 클릭합니다.
팁: 허브 사이트는 일반적으로 지점보다 더 많은 대역폭을 유지합니다. 자동으로 검색할 대역폭을 선택하면 허브 사이트는 첫 번째 피어(예: 처음 실행되는 분기)로 대역폭 테스트를 실행하고 잘못된 WAN 대역폭을 검색합니다. 허브 사이트의 경우 WAN 대역폭을 항상 수동으로 정의합니다. 이 작업은 고급 설정에서 수행됩니다.
- 개인 WAN 대역폭은 고급 설정에서 지정됩니다. 아래의 스크린샷은 허브의 대칭형 MPLS 링크에 대한 5Mbps 업스트림 및 다운스트림 대역폭의 예를 보여 줍니다.
- WAN 링크가 구성되었는지 확인하고 변경 내용을 저장합니다.
허브에서 SD-WAN Edge 구성 작업을 완료했습니다. 분기 SD-WAN Edge를 사용하도록 설정할 때까지 방금 추가한 사용자 정의 MPLS 오버레이가 표시되지 않습니다.
L3 스위치 뒤에 LAN 네트워크에 대한 고정 경로 구성
L3 스위치를 통과하는 172.30.0.0/24 서브넷에 대한 고정 경로를 추가합니다. 다음 홉으로의 라우팅에 사용할 인터페이스 GE3를 지정해야 합니다. 다른 SD-WAN Edge가 L3 스위치 뒤에 있는 이 서브넷에 대해 알아볼 수 있도록 애드버타이즈(Advertise) 확인란을 사용하도록 설정해야 합니다. 자세한 내용은 고정 경로 설정 구성 항목을 참조하십시오.
실버 1 사이트 구성 및 활성화
이 단계는 실버 사이트에서 SD-WAN Edge를 삽입하는 방법을 나타내는 일반적인 워크플로를 이해하는 데 도움이 됩니다. SD-WAN Edge는 경로를 벗어나서 삽입되고 L3 스위치에 의존하여 트래픽을 리디렉션합니다. 다음은 배선 및 IP 주소 정보의 예입니다.
실버 1 사이트 분기 SD-WAN Edge 활성화
이 예에서 SD-WAN Edge는 DHCP를 사용하여 공용 IP 주소를 가져온다고 가정하므로 구성은 필요하지 않습니다. SD-WAN Edge에는 라우팅된 모든 인터페이스에서 DHCP를 사용하기 위한 기본 구성이 제공됩니다.
- 으로 이동한 후 클라우드 VPN을 켭니다.
- 새 Edge SILVER1-VCE를 생성하고 적절한 모델 및 구성 프로필을 선택합니다.
- PC를 LAN 또는 Wi-Fi에 연결하여 이 SD-WAN Edge를 활성화합니다.
- 이제 SD-WAN Edge는 하나의 공용 링크를 사용하여 SASE Orchestrator에서 활성 상태여야 합니다. 이제 개인 WAN 링크를 구성할 수 있습니다.
실버 1 사이트 SD-WAN Edge에서 개인 WAN 링크 구성
이제 SD-WAN Edge에서 L3 스위치로의 IP 연결을 구축해야 합니다.
- 구성(Configure)> Edge(Edges)로 이동한 후 SILVER1-VCE를 선택하고 [디바이스(Device)] 탭으로 이동한 후 아래쪽의 [인터페이스 설정(Interface Settings)] 섹션으로 이동합니다. GE3의 고정 IP를 10.12.1.1/24로 구성하고 기본 게이트웨이를 10.12.1.2로 구성합니다. WAN 오버레이(WAN Overlay)에서 사용자 정의 오버레이(User Defined Overlay)를 선택합니다. 이렇게 하면 WAN 링크를 수동으로 정의할 수 있습니다.
- WAN 설정(WAN Settings) 섹션에서 사용자 정의 WAN 오버레이 추가(Add User Defined WAN Overlay)를 클릭합니다.
- MPLS 경로에 대한 WAN 오버레이를 정의합니다. 링크 유형(Link Type)을 개인(Private)으로 선택합니다. IP 주소(IP Address) 필드에 WAN 링크의 다음 홉 IP(10.12.1.2)를 지정합니다. 인터페이스로 GE3를 선택합니다. 고급(Advanced) 버튼을 클릭합니다. 팁(Tip): 허브가 이미 설정되어 있으므로 대역폭을 자동으로 검색하는 것이 정상입니다. 이 분기는 허브와의 대역폭 테스트를 실행하여 링크 대역폭을 검색합니다.
- 대역폭 측정(Bandwidth Measurement)을 대역폭 측정(Measure Bandwidth)으로 설정합니다. 이 경우 SD-WAN Gateway에 연결할 때 수행되는 것처럼 분기 SD-WAN Edge가 허브 SD-WAN Edge에 대해 대역폭 테스트를 실행합니다.
- WAN 링크가 구성되었는지 확인하고 변경 내용을 저장합니다.
L3 스위치 뒤에 LAN 네트워크에 대한 고정 경로 구성
L3 스위치를 통과하는 192.168.128.0/24에 대한 고정 경로를 추가합니다. 인터페이스 GE3를 지정해야 합니다. 다른 SD-WAN Edge가 L3 스위치 뒤에 있는 이 서브넷에 대해 알아볼 수 있도록 애드버타이즈(Advertise) 확인란을 사용하도록 설정해야 합니다.
분기-허브 간 터널 사용(실버 1-허브 1로)
이 단계를 통해 분기에서 허브로의 오버레이 터널을 구축할 수 있습니다. 이때 링크가 실행 중이지만 허브로의 터널이 아니라 인터넷 경로를 통한 SD-WAN Gateway로의 터널이라는 것을 알 수 있습니다. 분기에서 허브로의 터널을 설정하려면 클라우드 VPN을 사용하도록 설정해야 합니다.
이제 분기에서 허브로의 터널을 구축할 준비가 되었습니다.
SD-WAN Hub 터널에 대해 클라우드 VPN 및 Edge 사용
- 구성(Configure) > 프로필(Profiles)로 이동하고 분기 VPN 프로필(Branch VPN Profile)을 선택한 후 디바이스(Device) 탭으로 이동합니다. VPN 서비스(VPN Service)에서 클라우드 VPN을 사용하도록 설정하고 다음을 수행합니다.
- 분기-허브 사이트(영구 VPN)에서 사용(Enable) 확인란을 선택합니다.
- 분기 간 VPN(전송 및 동적)(Branch to Branch VPN (Transit & Dynamic))에서 사용(Enable) 확인란을 선택합니다.
- 분기 간 VPN(전송 및 동적)(Branch to Branch VPN (Transit & Dynamic))에서 [VPN의 허브(Hubs for VPN)] 확인란을 선택합니다. 이렇게 하면 SD-WAN Gateway를 통한 데이터부가 분기 간 VPN에 대해 비활성화됩니다. 분기 간 직접 터널이 설정되지만, 분기 간 트래픽은 먼저 허브(다음에 지정할 정렬된 목록에 포함) 중 하나를 통과합니다.
- 이때 분기와 허브 SD-WAN Edge 간의 직접 터널이 작동해야 합니다. 이제 디버그 명령을 실행하면 분기와 허브 간의 직접 터널이 표시됩니다. 아래 예는 SILVER1-VCE에서 가져온 것입니다. 71.6.4.9 및 172.31.2.1에 대한 추가 터널에 유의하십시오. 이러한 터널은 허브 SD-WAN Edge에 대한 직접 터널입니다(공용 인터넷을 통한 GE2 및 개인 링크를 통한 GE3).
브론즈 1 사이트 구성 및 활성화
이 단계를 통해 하나의 DIA와 하나의 광대역이 있는 이중 인터넷 사이트인 브론즈 사이트를 생성할 수 있습니다. 다음은 배선 및 IP 주소 정보의 예입니다. BRONZE1-VCE는 SD-WAN Edge LAN을 사용하고 SD-WAN Edge를 활성화합니다. 두 WAN 인터페이스에 대해 DHCP를 사용하므로 WAN에는 구성이 필요하지 않습니다.
허브 2 구성 및 활성화
인터넷에 연결하도록 허브 2 SD-WAN Edge 구성
- PC를 SD-WAN Edge에 연결하고 브라우저를 사용하여 http://192.168.2.1을 가리킵니다.
- 첫 번째 WAN 인터페이스인 GE2를 구성하여 인터넷에 연결하도록 허브 SD-WAN Edge를 구성합니다.
허브 2 SASE Orchestrator를 SD-WAN Edge에 추가하고 활성화
이 단계에서는 DC2.VCE라는 또 다른 허브 SD-WAN Edge를 생성합니다.
- SASE Orchestrator에서 구성(Configure) > Edge(Edges)로 이동하고 새 Edge(New Edge)를 선택하여 새 SD-WAN Edge를 추가합니다.
- 구성(Configure) > Edge(Edges)로 이동하고 방금 생성한 SD-WAN Edge를 선택한 다음, 디바이스(Device) 탭으로 이동하여 이전 단계에서 구성한 것과 동일한 인터페이스 및 IP를 구성합니다.
중요: 단일 암 모드(물리적 인터페이스는 동일하지만, 이 인터페이스의 터널에 대한 인터페이스는 여러 개 있음)에서 SD-WAN Edge를 배포하고 있지만 WAN 오버레이(WAN Overlay)를 사용자 정의(User Defined)로 지정하는 것이 중요합니다.
- 이때 오버레이를 생성해야 합니다. WAN 설정(WAN Settings)에서 사용자 정의 WAN 오버레이 추가(Add User Defined WAN Overlay)를 클릭합니다.
- 공용 링크에서 오버레이를 생성합니다. 이 예에서는 다음 홉 IP 172.29.0.4를 사용하여 방화벽을 통해 인터넷에 연결합니다. 방화벽은 해당 트래픽을 209.116.155.31로 NAT하도록 이미 구성되어 있습니다.
- 개인 네트워크에서 두 번째 오버레이를 추가합니다. 이 예에서는 이것이 MPLS 레그이고 DC2-VCE가 허브이므로 다음 홉 라우터 172.29.0.1을 지정하고, 대역폭도 지정합니다. GE2를 통과하는 고정 경로를 LAN 측 서브넷 172.30.128.0/24에 추가합니다.
- SD-WAN Edge를 활성화합니다. 활성화가 완료되면 Edge 수준 구성 아래의 디바이스(Device) 탭으로 돌아갑니다. 이제 공용 IP 필드가 채워집니다. 이제 개요(Overview) 탭의 모니터링(Monitor) > Edge(Edges)에 링크가 표시됩니다.
분기 VPN 프로필의 허브 목록에 허브 2 SD-WAN Edge 추가
- 구성(Configure) > 프로필(Profiles)로 이동한 후 프로필 빠른 시작 VPN(Quick Start VPN)을 선택합니다.
- 디바이스(Device) 탭으로 이동하고 이 새 SD-WAN Edge를 허브 목록에 추가합니다.