이 섹션에서는 2 암 구성에서 SD-WAN Edge를 구성하는 방법에 대한 개요를 제공합니다.

개요

2 암 구성에서 SD-WAN Edge를 구성하려면 다음을 수행합니다.

  1. 허브 1 구성 및 활성화
  2. 실버 1 사이트 구성 및 활성화
  3. 분기-허브 간 터널 사용(실버 1-허브 1)
  4. 브론즈 1 사이트 구성 및 활성화
  5. 허브 2 구성 및 활성화
  6. 실버 2 사이트 구성 및 활성화

다음 섹션에서는 이러한 단계에 대해 자세히 설명합니다.

허브 1 구성 및 활성화

이 단계는 허브 위치에서 SD-WAN Edge를 가져오는 방법을 나타내는 일반적인 워크플로를 이해하는 데 도움이 됩니다. SD-WAN Edge는 두 개의 인터페이스로 배포됩니다(각 WAN 링크에 대해 하나씩).

가상 Edge를 허브로 사용합니다. 다음은 배선 및 IP 주소 정보의 예입니다.

configure-activate-hub-1

로컬 UI를 통해 인터넷에 연결하도록 허브 1 SD-WAN Edge 구성

이 사이트는 데이터 센터/허브 사이트이므로 SD-WAN Edge에서 DHCP를 사용하여 해당 WAN IP를 가져올 가능성이 낮습니다. 따라서 SD-WAN Edge를 활성화할 수 있도록 먼저 데이터 센터 방화벽을 통해 인터넷에 연결하도록 SD-WAN Edge를 설정해야 합니다.

  1. PC를 SD-WAN Edge의 기본 LAN 포트에 연결합니다(예: Edge 3800인 경우 기본 LAN 포트는 GE1 및 GE2). 이러한 포트는 기본적으로 DHCP 서비스를 지원하며, 192.168.2.0/24 범위의 PC에 IP 주소를 제공합니다.
  2. PC에서 http://192.168.2.1(SD-WAN Edge의 로컬 웹 인터페이스)로 이동합니다. 구성 검토(review the configuration) 링크를 클릭합니다.

    it-admin-topologies-edge-hub1-review-configuration

  3. 인터넷에 연결할 수 있도록 SD-WAN Edge의 GE2 고정 WAN IP 및 기본 게이트웨이를 구성합니다.
    저장(Save)을 클릭하고 로그인/암호 admin/admin을 제공합니다.
    참고: SASE Orchestrator를 통해 동일한 구성을 수행할 수도 있습니다. 이 경우 활성화 URL은 IP 주소 구성을 통합하고, 활성화 중에 SD-WAN Edge에 푸시됩니다. 이것이 기본 방법입니다.

    일반적으로 데이터 센터/허브 사이트에서 고정 IP 주소가 사용자에게 할당되고 엔터프라이즈 IT 관리자는 SD-WAN Edge WAN IP를 공용 IP로 변환하도록 방화벽을 구성하고 적절한 트래픽(아웃바운드: TCP/443, 인바운드: UDP/2426, UDP/500, UDP/4500)을 필터링합니다.

    it-admin-topologies-edge-hub1-set-static-ip

  4. 이때 인터넷 상태가 연결됨(Connected)으로 표시됩니다.

    SD-WAN Edge 고정 WAN IP 주소 및 관련 방화벽 구성이 완료된 후에 SD-WAN Edge 인터넷 상태가 "연결됨(Connected)"으로 표시됩니다.

    it-admin-topologies-edge-internet-connected

기본 프로필에서 SD-WAN Edge 활성화

  1. SASE Orchestrator에 로그인합니다.
  2. 기본 VPN 프로필을 사용하면 SD-WAN Edge를 활성화할 수 있습니다.

허브 1 SD-WAN Edge 활성화

  1. 구성(Configure) > Edge(Edges)로 이동한 후 새 SD-WAN Edge를 추가합니다. 올바른 모델 및 프로필을 지정합니다(분기 VPN 프로필(Branch VPN Profile) 사용).
  2. 허브 SD-WAN Edge(DC1-VCE)로 이동하고 정상적인 활성화 프로세스를 따릅니다. 이메일 기능이 이미 설정되어 있으면 해당 이메일 주소로 활성화 이메일을 전송합니다. 그러지 않으면 디바이스 설정(device setting) 페이지로 이동하여 활성화 URL을 가져올 수 있습니다.
  3. 활성화 URL을 복사하고 SD-WAN Edge에 연결된 PC의 브라우저에 붙여 넣거나 PC 브라우저에서 활성화 URL을 클릭합니다.
  4. 활성화(Activate) 버튼을 클릭합니다.
  5. 이제 DC1-VCE 데이터 센터 허브가 실행됩니다. 모니터링(Monitor) > Edge(Edges)로 이동합니다. Edge 개요(Edge Overview) 탭을 클릭합니다. 공용 WAN 링크 용량은 올바른 공용 IP 238.162.42.202 및 ISP와 함께 감지됩니다.

    activate-hub-1

  6. 구성(Configure) > Edge(Edges)로 이동하고 DC1-VCE를 선택합니다. 디바이스(Device) 탭으로 이동하고 아래쪽의 인터페이스 설정(Interface Settings)으로 스크롤합니다.

    등록 프로세스에서 로컬 UI를 통해 구성된 고정 WAN IP 주소 및 게이트웨이를 SASE Orchestrator에 알리는 것을 확인할 수 있습니다. 이에 따라 SASE Orchestrator의 구성이 업데이트됩니다.

  7. 아래쪽의 WAN 설정(WAN Settings) 섹션으로 스크롤합니다. 링크 유형은 공용 유선(Public Wired)으로 자동으로 식별됩니다.

허브 1 SD-WAN Edge에서 개인 WAN 링크 구성

  1. SASE Orchestrator에서 직접 개인 MPLS Edge WAN 인터페이스를 구성합니다. 구성(Configure) > Edge(Edges)로 이동하고 DC1-VCE를 선택합니다. 디바이스(Device) 탭으로 이동하고 아래쪽의 인터페이스 설정(Interface Settings) 섹션으로 스크롤합니다. GE3의 고정 IP를 172.31.2.1/24로 구성하고 기본 게이트웨이를 172.31.2.2로 구성합니다. WAN 오버레이(WAN Overlay)에서 사용자 정의 오버레이(User Defined Overlay)를 선택합니다. 이렇게 하면 다음 단계에서 WAN 링크를 수동으로 정의할 수 있습니다.
  2. WAN 설정(WAN Settings)에서 사용자 정의 WAN 오버레이 추가(Add User Defined WAN Overlay) 버튼(다음 화면 캡처 참조)을 클릭합니다.
  3. MPLS 경로에 대한 WAN 오버레이를 정의합니다. 링크 유형(Link Type)개인(Private)으로 선택하고 IP 주소(IP Address) 필드에 WAN 링크의 다음 홉 IP(172.31.2.2)를 지정합니다. 인터페이스로 GE3를 선택합니다. 고급(Advanced) 버튼을 클릭합니다.

    팁: 허브 사이트는 일반적으로 지점보다 더 많은 대역폭을 유지합니다. 자동으로 검색할 대역폭을 선택하면 허브 사이트는 첫 번째 피어(예: 처음 실행되는 분기)로 대역폭 테스트를 실행하고 잘못된 WAN 대역폭을 검색합니다. 허브 사이트의 경우 WAN 대역폭을 항상 수동으로 정의합니다. 이 작업은 고급 설정에서 수행됩니다.

  4. 개인 WAN 대역폭은 고급 설정에서 지정됩니다. 아래의 스크린샷은 허브의 대칭형 MPLS 링크에 대한 5Mbps 업스트림 및 다운스트림 대역폭의 예를 보여 줍니다.
  5. WAN 링크가 구성되었는지 확인하고 변경 내용을 저장합니다.

    허브에서 SD-WAN Edge 구성 작업을 완료했습니다. 분기 SD-WAN Edge를 사용하도록 설정할 때까지 방금 추가한 사용자 정의 MPLS 오버레이가 표시되지 않습니다.

자세한 내용은 다음을 참조하십시오.

L3 스위치 뒤에 LAN 네트워크에 대한 고정 경로 구성

L3 스위치를 통과하는 172.30.0.0/24 서브넷에 대한 고정 경로를 추가합니다. 다음 홉으로의 라우팅에 사용할 인터페이스 GE3를 지정해야 합니다. 다른 SD-WAN Edge가 L3 스위치 뒤에 있는 이 서브넷에 대해 알아볼 수 있도록 애드버타이즈(Advertise) 확인란을 사용하도록 설정해야 합니다. 자세한 내용은 고정 경로 설정 구성 항목을 참조하십시오.

실버 1 사이트 구성 및 활성화

이 단계는 실버 사이트에서 SD-WAN Edge를 삽입하는 방법을 나타내는 일반적인 워크플로를 이해하는 데 도움이 됩니다. SD-WAN Edge는 경로를 벗어나서 삽입되고 L3 스위치에 의존하여 트래픽을 리디렉션합니다. 다음은 배선 및 IP 주소 정보의 예입니다.

topology-configure-and-activate-silver-1-site

실버 1 사이트 분기 SD-WAN Edge 활성화

이 예에서 SD-WAN Edge는 DHCP를 사용하여 공용 IP 주소를 가져온다고 가정하므로 구성은 필요하지 않습니다. SD-WAN Edge에는 라우팅된 모든 인터페이스에서 DHCP를 사용하기 위한 기본 구성이 제공됩니다.

  1. 구성(Configure) > 프로필(Profile) > 새 프로필(New Profile) > 분기 프로필 생성(Create a Branch Profile)으로 이동한 후 클라우드 VPN을 켭니다.
  2. 새 Edge SILVER1-VCE를 생성하고 적절한 모델 및 구성 프로필을 선택합니다.

    create-new-edge-silver-site

  3. PC를 LAN 또는 Wi-Fi에 연결하여 이 SD-WAN Edge를 활성화합니다.
  4. 이제 SD-WAN Edge는 하나의 공용 링크를 사용하여 SASE Orchestrator에서 활성 상태여야 합니다. 이제 개인 WAN 링크를 구성할 수 있습니다.

실버 1 사이트 SD-WAN Edge에서 개인 WAN 링크 구성

이제 SD-WAN Edge에서 L3 스위치로의 IP 연결을 구축해야 합니다.

  1. 구성(Configure)> Edge(Edges)로 이동한 후 SILVER1-VCE를 선택하고 [디바이스(Device)] 탭으로 이동한 후 아래쪽의 [인터페이스 설정(Interface Settings)] 섹션으로 이동합니다. GE3의 고정 IP를 10.12.1.1/24로 구성하고 기본 게이트웨이를 10.12.1.2로 구성합니다. WAN 오버레이(WAN Overlay)에서 사용자 정의 오버레이(User Defined Overlay)를 선택합니다. 이렇게 하면 WAN 링크를 수동으로 정의할 수 있습니다.
  2. WAN 설정(WAN Settings) 섹션에서 사용자 정의 WAN 오버레이 추가(Add User Defined WAN Overlay)를 클릭합니다.
  3. MPLS 경로에 대한 WAN 오버레이를 정의합니다. 링크 유형(Link Type)개인(Private)으로 선택합니다. IP 주소(IP Address) 필드에 WAN 링크의 다음 홉 IP(10.12.1.2)를 지정합니다. 인터페이스로 GE3를 선택합니다. 고급(Advanced) 버튼을 클릭합니다. 팁(Tip): 허브가 이미 설정되어 있으므로 대역폭을 자동으로 검색하는 것이 정상입니다. 이 분기는 허브와의 대역폭 테스트를 실행하여 링크 대역폭을 검색합니다.
  4. 대역폭 측정(Bandwidth Measurement)을 대역폭 측정(Measure Bandwidth)으로 설정합니다. 이 경우 SD-WAN Gateway에 연결할 때 수행되는 것처럼 분기 SD-WAN Edge가 허브 SD-WAN Edge에 대해 대역폭 테스트를 실행합니다.
  5. WAN 링크가 구성되었는지 확인하고 변경 내용을 저장합니다.

L3 스위치 뒤에 LAN 네트워크에 대한 고정 경로 구성

L3 스위치를 통과하는 192.168.128.0/24에 대한 고정 경로를 추가합니다. 인터페이스 GE3를 지정해야 합니다. 다른 SD-WAN Edge가 L3 스위치 뒤에 있는 이 서브넷에 대해 알아볼 수 있도록 애드버타이즈(Advertise) 확인란을 사용하도록 설정해야 합니다.

분기-허브 간 터널 사용(실버 1-허브 1로)

이 단계를 통해 분기에서 허브로의 오버레이 터널을 구축할 수 있습니다. 이때 링크가 실행 중이지만 허브로의 터널이 아니라 인터넷 경로를 통한 SD-WAN Gateway로의 터널이라는 것을 알 수 있습니다. 분기에서 허브로의 터널을 설정하려면 클라우드 VPN을 사용하도록 설정해야 합니다.

이제 분기에서 허브로의 터널을 구축할 준비가 되었습니다.

SD-WAN Hub 터널에 대해 클라우드 VPN 및 Edge 사용

  1. 구성(Configure) > 프로필(Profiles)로 이동하고 분기 VPN 프로필(Branch VPN Profile)을 선택한 후 디바이스(Device) 탭으로 이동합니다. VPN 서비스(VPN Service)에서 클라우드 VPN을 사용하도록 설정하고 다음을 수행합니다.
    • 분기-허브 사이트(영구 VPN)에서 사용(Enable) 확인란을 선택합니다.
    • 분기 간 VPN(전송 및 동적)(Branch to Branch VPN (Transit & Dynamic))에서 사용(Enable) 확인란을 선택합니다.
    • 분기 간 VPN(전송 및 동적)(Branch to Branch VPN (Transit & Dynamic))에서 [VPN의 허브(Hubs for VPN)] 확인란을 선택합니다. 이렇게 하면 SD-WAN Gateway를 통한 데이터부가 분기 간 VPN에 대해 비활성화됩니다. 분기 간 직접 터널이 설정되지만, 분기 간 트래픽은 먼저 허브(다음에 지정할 정렬된 목록에 포함) 중 하나를 통과합니다.
    허브 지정(Hubs Designation) > 허브 편집(Edit Hubs) 버튼을 클릭합니다. 그런 다음, 오른쪽의 DC1-VCE로 이동합니다. 이렇게 하면 DC1-VCESD-WAN Hub로 지정됩니다. 허브에서 DC1-VCE를 클릭하고 백홀 허브 사용(Enable Backhaul Hubs)분기 간 VPN 허브 사용(Enable Branch to Branch VPN Hubs) 버튼을 클릭합니다. 분기 간 트래픽과 허브로의 백홀 인터넷 트래픽에 동일한 DC1-VCE를 사용합니다. [클라우드 VPN(Cloud VPN)] 섹션에서 DC1-VCE는 이제 SD-WAN Hubs로 표시되고 분기 간 VPN 허브에 사용됩니다.
  2. 이때 분기와 허브 SD-WAN Edge 간의 직접 터널이 작동해야 합니다. 이제 디버그 명령을 실행하면 분기와 허브 간의 직접 터널이 표시됩니다. 아래 예는 SILVER1-VCE에서 가져온 것입니다. 71.6.4.9172.31.2.1에 대한 추가 터널에 유의하십시오. 이러한 터널은 허브 SD-WAN Edge에 대한 직접 터널입니다(공용 인터넷을 통한 GE2 및 개인 링크를 통한 GE3).

브론즈 1 사이트 구성 및 활성화

이 단계를 통해 하나의 DIA와 하나의 광대역이 있는 이중 인터넷 사이트인 브론즈 사이트를 생성할 수 있습니다. 다음은 배선 및 IP 주소 정보의 예입니다. BRONZE1-VCESD-WAN Edge LAN을 사용하고 SD-WAN Edge를 활성화합니다. 두 WAN 인터페이스에 대해 DHCP를 사용하므로 WAN에는 구성이 필요하지 않습니다.

허브 2 구성 및 활성화

이 단계는 단일 암 허브 배포에서 일반적으로 사용되는 "IP 주소별 조절(Steer by IP address)"을 구성하는 데 도움이 됩니다. 다음은 배선 및 IP 주소 정보의 예입니다. 단일 암 배포의 경우 동일한 터널 소스 IP를 사용하여 서로 다른 경로에 대해 오버레이를 생성할 수 있습니다.
topology-configure-and-activate-hub-2

인터넷에 연결하도록 허브 2 SD-WAN Edge 구성

  1. PC를 SD-WAN Edge에 연결하고 브라우저를 사용하여 http://192.168.2.1을 가리킵니다.
  2. 첫 번째 WAN 인터페이스인 GE2를 구성하여 인터넷에 연결하도록 허브 SD-WAN Edge를 구성합니다.
    configure-activate-hub-2-configure-hub-to-reach-internet

허브 2 SASE OrchestratorSD-WAN Edge에 추가하고 활성화

이 단계에서는 DC2.VCE라는 또 다른 허브 SD-WAN Edge를 생성합니다.

  1. SASE Orchestrator에서 구성(Configure) > Edge(Edges)로 이동하고 새 Edge(New Edge)를 선택하여 새 SD-WAN Edge를 추가합니다.
  2. 구성(Configure) > Edge(Edges)로 이동하고 방금 생성한 SD-WAN Edge를 선택한 다음, 디바이스(Device) 탭으로 이동하여 이전 단계에서 구성한 것과 동일한 인터페이스 및 IP를 구성합니다.
    중요: 단일 암 모드(물리적 인터페이스는 동일하지만, 이 인터페이스의 터널에 대한 인터페이스는 여러 개 있음)에서 SD-WAN Edge를 배포하고 있지만 WAN 오버레이(WAN Overlay)를 사용자 정의(User Defined)로 지정하는 것이 중요합니다.
  3. 이때 오버레이를 생성해야 합니다. WAN 설정(WAN Settings)에서 사용자 정의 WAN 오버레이 추가(Add User Defined WAN Overlay)를 클릭합니다.
  4. 공용 링크에서 오버레이를 생성합니다. 이 예에서는 다음 홉 IP 172.29.0.4를 사용하여 방화벽을 통해 인터넷에 연결합니다. 방화벽은 해당 트래픽을 209.116.155.31로 NAT하도록 이미 구성되어 있습니다.
  5. 개인 네트워크에서 두 번째 오버레이를 추가합니다. 이 예에서는 이것이 MPLS 레그이고 DC2-VCE가 허브이므로 다음 홉 라우터 172.29.0.1을 지정하고, 대역폭도 지정합니다. GE2를 통과하는 고정 경로를 LAN 측 서브넷 172.30.128.0/24에 추가합니다.
  6. SD-WAN Edge를 활성화합니다. 활성화가 완료되면 Edge 수준 구성 아래의 디바이스(Device) 탭으로 돌아갑니다. 이제 공용 IP 필드가 채워집니다. 이제 개요(Overview) 탭의 모니터링(Monitor) > Edge(Edges)에 링크가 표시됩니다.

분기 VPN 프로필의 허브 목록에 허브 2 SD-WAN Edge 추가

  1. 구성(Configure) > 프로필(Profiles)로 이동한 후 프로필 빠른 시작 VPN(Quick Start VPN)을 선택합니다.
  2. 디바이스(Device) 탭으로 이동하고 이 새 SD-WAN Edge를 허브 목록에 추가합니다.

실버 2 사이트 구성 및 활성화

이 단계를 통해 CE 라우터 뒤에 SD-WAN Edge가 있고 SD-WAN Edge가 LAN의 기본 라우터가 되는 실버 사이트(하이브리드 사이트)를 생성할 수 있습니다. 다음은 각 하드웨어에 대한 배선 및 IP 주소 정보의 예입니다.
topology-configure-and-activate-silver-2-site
PC를 SD-WAN Edge LAN 또는 Wi-Fi에 연결하고 브라우저를 사용하여 http://192.168.2.1을 가리킵니다.