이중화를 제공하기 위해 고가용성으로 구성된 Edge에 보안 VNF를 구성할 수 있습니다.

다음과 같은 시나리오에서 Edge의 HA를 사용하여 VNF를 구성할 수 있습니다.

  • 독립형 Edge에서는 HA 및 VNF를 사용하도록 설정합니다.
  • HA 모드로 구성된 Edge에서는 VNF를 사용하도록 설정합니다.

Edge와 VNF 인스턴스 간에 다음 인터페이스를 사용하도록 설정하고 사용합니다.

  • VNF에 대한 LAN 인터페이스
  • VNF에 대한 WAN 인터페이스
  • 관리 인터페이스 – VNF가 해당 관리자와 통신합니다.
  • VNF 동기화 인터페이스 – 활성 및 대기 Edge에 배포된 VNF 간에 정보를 동기화합니다.

Edge에는 HA 역할이 활성 및 대기로 포함됩니다. 각 Edge의 VNF는 활성-활성 모드로 실행됩니다. 활성 및 대기 Edge는 SNMP를 통해 VNF의 상태를 확인합니다. SNMP 폴링이 Edge의 VNF 데몬별로 1초마다 주기적으로 수행됩니다.

VNF는 사용자 트래픽이 활성 모드의 연결된 Edge에서만 VNF로 전달되는 활성-활성 모드에서 사용됩니다. VM의 Edge가 대기 상태인 대기 VM에서 VNF에는 VNF Manager로만 트래픽이 전달되고 데이터는 다른 VNF 인스턴스와만 동기화됩니다.

다음 예에서는 독립형 Edge에서 HA 및 VNF를 구성하는 방법을 보여 줍니다.

사전 요구 사항

다음 요구 사항이 충족되었는지 확인합니다.

  • SASE Orchestrator 및 소프트웨어 버전 4.0.0 이상을 실행하는 활성화된 SD-WAN Edge. 지원되는 Edge 플랫폼에 대한 자세한 내용은 보안 가상 네트워크 기능의 지원 매트릭스를 참조하십시오.
  • 구성된 Check Point 방화벽 VNF 관리 서비스. 자세한 내용은 VNF 관리 서비스 구성를 참조하십시오.
    참고: VMware은 HA를 사용하는 Edge의 Check Point 방화벽 VNF만 지원합니다.

프로시저

  1. 엔터프라이즈 포털의 SD-WAN 서비스에서 구성(Configure) > Edge(Edges)를 클릭합니다.
  2. Edge(Edges) 페이지에서 구성하려는 Edge에 대한 링크를 클릭하거나 Edge의 디바이스(Device) 열에서 보기(View) 링크를 클릭합니다. 선택한 Edge에 대한 구성 옵션이 디바이스(Device) 탭에 표시됩니다.
  3. 고가용성(High Availability) 섹션으로 스크롤한 후 유형 선택(Select Type) 옵션에서 활성 대기 쌍(Active Standby Pair)을 선택합니다.
  4. 보안 VNF(Security VNF) 섹션으로 이동하고 + 보안 VNF 구성(+ Configure Security VNF)을 클릭합니다. 보안 VNF 구성(Configure Security VNF) 창이 나타납니다.
  5. 보안 VNF 구성(Configure Security VNF) 창에서 배포(Deploy) 확인란을 선택합니다.
  6. VM 구성(VM Configuration)에서 다음 설정을 구성합니다.
    1. VLAN – 드롭다운 목록에서 VNF 관리에 사용할 VLAN을 선택합니다.
    2. VM-1 IP – VM의 IP 주소를 입력하고 IP 주소가 선택한 VLAN의 서브넷 범위에 있는지 확인합니다.
    3. VM-1 호스트 이름 – VM 호스트의 이름을 입력합니다.
    4. 배포 상태(Deployment State) – 다음 옵션 중 하나를 선택합니다.
      • 이미지 다운로드 및 전원 켜짐(Image Downloaded and Powered On) – 이 옵션을 선택하면 Edge에서 방화벽 VNF를 구축한 후 VM의 전원을 켭니다. 이 옵션을 선택한 경우에만 트래픽이 VNF를 통과합니다. 이를 위해 하나 이상의 VLAN 또는 라우팅된 인터페이스를 VNF 삽입용으로 구성해야 합니다.
      • 이미지 다운로드 및 전원 꺼짐(Image Downloaded and Powered Off) – 이 옵션을 선택하면 Edge에서 방화벽 VNF를 구축한 후 VM의 전원을 끕니다. VNF를 통해 트래픽을 전송하려는 경우에는 이 옵션을 선택하지 마십시오.
  7. 보안 VNF(Security VNF)의 드롭다운 목록에서 미리 정의된 Check Point 방화벽 VNF 관리 서비스를 선택합니다. 새 VNF 서비스(New VNF Service)를 클릭하여 새 VNF 관리 서비스를 생성할 수도 있습니다. 자세한 내용은 VNF 관리 서비스 구성를 참조하십시오.
  8. 업데이트(Update)를 클릭합니다.

결과

보안 VNF(Security VNF) 섹션에는 Check Point 방화벽 보안 VNF에 대해 구성된 세부 정보가 표시됩니다.

Edge가 활성 역할을 가정할 때까지 기다린 후 대기 Edge를 활성 Edge의 동일한 인터페이스에 연결합니다. 대기 Edge는 활성 Edge에서 VNF 설정을 포함하는 모든 구성 세부 정보를 수신합니다. HA 구성에 대한 자세한 내용은 고가용성 활성화을 참조하십시오.

활성 Edge에서 VNF가 종료되거나 응답하지 않을 경우 대기 Edge의 VNF가 활성 역할을 수행합니다.

참고: VNF로 구성된 Edge에서 HA를 해제하려는 경우 먼저 VNF를 해제한 다음, HA를 해제합니다.

다음에 수행할 작업

여러 트래픽 세그먼트를 VNF로 리디렉션하려면 세그먼트와 서비스 VLAN 간의 매핑을 정의합니다. 서비스 VLAN에 대한 세그먼트 매핑 정의를 참조하십시오.

VLAN 또는 라우팅된 인터페이스에서 VNF로 트래픽을 리디렉션하도록 보안 VNF를 VLAN 및 라우팅된 인터페이스 둘 다에 삽입할 수 있습니다. VNF 삽입을 사용하여 VLAN 구성를 참조하십시오.