새 게이트웨이를 생성하면 게이트웨이에 대한 속성 및 기타 추가 설정을 구성할 수 있는 게이트웨이 구성(Configure Gateways) 페이지로 자동으로 리디렉션됩니다.

기존 게이트웨이를 구성하려면 다음을 수행합니다.

프로시저

  1. SASE Orchestrator의 파트너 포털에서 게이트웨이 관리(Gateway Management) 탭을 클릭하고 왼쪽 탐색 창에서 게이트웨이(Gateways)로 이동합니다.
    게이트웨이(Gateways) 페이지에는 사용 가능한 게이트웨이의 목록이 표시됩니다.
  2. 추가 설정을 위해 구성해야 하는 게이트웨이에 대한 링크를 클릭합니다. 선택한 게이트웨이의 세부 정보가 구성(Configure) > 게이트웨이(Gateways) 페이지에 표시됩니다.
  3. 개요(Overview) 탭에서 다음 세부 정보를 구성할 수 있습니다.
    필드 설명
    속성 선택한 게이트웨이의 기존 이름 및 설명을 표시합니다. 필요한 경우 해당 정보를 수정할 수 있습니다.
    필요에 따라 게이트웨이 역할을 구성할 수도 있습니다.
    • 데이터부(Data Plane) - 게이트웨이가 데이터부에서 작동할 수 있으며 기본적으로 선택되어 있습니다.
    • 제어부(Control Plane) - 게이트웨이가 제어부에서 작동할 수 있으며 기본적으로 선택되어 있습니다.
    • 보안 VPN 게이트웨이(Secure VPN Gateway) - 게이트웨이를 사용하여 비 SD-WAN 대상에 대한 IPSec 터널을 설정하려면 이 옵션을 선택합니다.
    • 파트너 게이트웨이(Partner Gateway) - 게이트웨이를 Edge에 대한 파트너 게이트웨이로 할당되도록 하려면 이 확인란을 선택합니다. 이 옵션을 선택하는 경우 파트너 게이트웨이(고급 핸드오프) 세부 정보(Partner Gateway (Advanced Handoff) Details) 섹션에서 추가 설정을 구성합니다.
    • CDE - 게이트웨이가 CDE(카드 소유자 데이터 환경) 모드에서 작동할 수 있습니다. PCI 트래픽을 전송해야 하는 고객을 위해 게이트웨이를 할당하려면 이 옵션을 선택합니다.
    • 클라우드 간 상호 연결(Cloud-to-Cloud Interconnect) - SD-WAN Gateway에서 CCI(cloud-to-cloud-interconnect) 터널을 사용하도록 설정하는 옵션을 선택합니다.
      참고: 이 게이트웨이 역할 옵션은 session.options.enableZscalerCci 시스템 속성이 True로 설정된 경우에 표시됩니다.
    • Cloud Web Security - 수퍼유저 또는 표준 역할이 있는 운영자 사용자가 CWS(Cloud Web Security) 역할에 대해 SD-WAN Gateway를 구성할 수 있습니다. 자세한 내용은 https://docs.vmware.com/kr/VMware-Cloud-Web-Security/index.html에 게시된 "VMware SD-WAN Cloud Web Security 구성 가이드" 를 참조하십시오.
    상태(Status) 다음 세부 정보를 구성할 수 있습니다.
    • 상태(Status) - Orchestrator로 전송되는 정기 하트비트의 성공 또는 실패를 반영하는 게이트웨이의 상태를 표시합니다. 사용 가능한 상태는 다음과 같습니다.
      • 연결됨(Connected) - 게이트웨이가 Orchestrator에 성공적으로 하트비트 중입니다.
      • 성능 저하됨(Degraded) - 1분 이상 동안 Orchestrator가 게이트웨이에서 수신하지 못했습니다.
      • 오프라인(Offline) - 2분 이상 동안 Orchestrator가 게이트웨이에서 수신하지 못했습니다.
    • 서비스 상태(Service State) - 다음의 사용 가능한 옵션 중에서 게이트웨이의 서비스 상태를 선택합니다.
      • 서비스 중(In Service) - 게이트웨이가 연결되어 있으며 기본 또는 보조 터널 할당에 사용할 수 있습니다. 게이트웨이의 서비스 상태가 ‘서비스 중단(Out Of Service)’에서 ‘서비스 중(In Service)’ 상태로 전환되면 게이트웨이를 사용하는 각 엔터프라이즈에 대해 기본 또는 보조 할당, 슈퍼 게이트웨이 및 Edge 간 경로가 다시 계산됩니다.
      • 서비스 보류 중(Pending Service) - 게이트웨이가 연결되어 있으며 터널 할당을 위해 보류 중입니다.
      • 서비스 불가(Out of Service) - 게이트웨이가 연결되어 있지 않거나 할당에 사용할 수 없습니다. 기존 할당이 모두 제거됩니다.
      • 중지됨(Quiesced) - 게이트웨이 서비스가 중지 또는 일시 중지되었습니다. 새 터널 또는 NSD 사이트를 게이트웨이에 추가될 수 없습니다. 그러나 기존 할당은 여전히 게이트웨이에 유지됩니다. 백업 또는 유지 보수 목적으로 이 상태를 선택합니다.

        서비스 상태가 중지됨(Quiesced)이면 Orchestrator는 운영자의 지원 없이 기존 게이트웨이에서 새 게이트웨이로 마이그레이션할 수 있는 셀프 서비스 마이그레이션 기능을 제공합니다.

        자세한 내용은 게이트웨이 중지 항목을 참조하십시오.

        참고: 셀프 서비스 마이그레이션은 파트너 게이트웨이에서 지원되지 않습니다.
    • 연결된 Edge(Connected Edges) – 게이트웨이에 연결된 Edge의 수를 표시합니다. 이 옵션은 게이트웨이가 활성화된 경우에만 표시됩니다.
    • 게이트웨이 인증 모드(Gateway Authentication Mode) – 다음의 사용 가능한 옵션 중에서 게이트웨이의 인증 모드를 선택합니다.
      • 인증서 비활성화됨(Certificate Deactivated) - 게이트웨이에서 사전 공유 키 인증 모드를 사용합니다.
      • 인증서 획득(Certificate Acquire) - 이 옵션은 기본적으로 선택되어 있으며, 키 쌍을 생성하고 Orchestrator에 인증서 서명 요청을 전송하여 SASE Orchestrator의 CA(인증 기관)에서 인증서를 획득하도록 게이트웨이에 지시합니다. 획득하게 되면 게이트웨이는 SASE Orchestrator에서 인증을 받고 VCMP 터널을 설정하기 위해 인증서를 사용합니다.
        참고: 인증서를 획득한 후에는 이 옵션을 인증서 필요(Certificate Required)로 업데이트할 수 있습니다.
      • 인증서 필요(Certificate Required) - 게이트웨이가 PKI 인증서를 사용합니다. 운영자는 시스템 속성 gateway.certificate.renewal.window를 사용하여 게이트웨이의 인증서 갱신 기간을 변경할 수 있습니다.
      참고: 게이트웨이 인증서가 해지되면 TLS 연결이 즉시 끊어지므로 게이트웨이가 CRL(인증서 해지 목록)을 수신하지 않습니다. 그래도 게이트웨이는 계속 작동할 수 있습니다.
      참고: 현재 QuickSec 디자인은 CRL 시간 유효성을 검사합니다. 새로 설정된 연결에 영향을 미치려면 CRL 시간 유효성이 Edge의 현재 시간과 일치해야 합니다. 이를 구현하려면 Edge의 날짜 및 시간과 일치하도록 Orchestrator 시간을 올바르게 업데이트해야 합니다.
    • IP 주소(IP Address) - Edge의 공용 WAN 링크가 게이트웨이에 연결하는 데 사용하는 공용 IP 주소를 표시합니다. 이 IP 주소는 게이트웨이를 고유하게 식별하는 데 사용됩니다. 게이트웨이를 IPv4 주소 및 IPv6 주소로 구성한 경우 이 필드에는 두 IP 주소가 모두 표시됩니다.

      IPv4 전용 게이트웨이를 생성했거나 이전 버전에서 업그레이드된 기존 IPv4 게이트웨이가 있는 경우 이중 스택을 지원하도록 IPv6 주소를 입력할 수 있습니다. 변경 내용을 저장한 후 IPv6 주소가 Edge로 즉시 전송되지는 않습니다. 재조정 작업을 트리거하여 IPv6 주소를 고객 및 연결된 Edge에 수동으로 푸시할 수 있으며 다음 제어부 업데이트 중에 IPv6 주소가 Edge로 전송될 수도 있습니다.

      참고: IPv6 주소를 추가하는 작업은 일회성 작업이며 변경 내용을 저장한 후에는 IP 주소를 수정할 수 없습니다.
      경고: 잘못 구성된 IPv6 주소가 Edge로 푸시되면 IPv6 게이트웨이에 대한 IPv6 터널링이 실패할 수 있습니다. 이러한 경우 게이트웨이를 비활성화하고 새 게이트웨이를 생성하여 IPv4 주소와 IPv6 주소를 모두 활성화해야 합니다.
    연락처 및 위치(Contact & Location) 기존 연락처 세부 정보를 표시합니다. 필요한 경우 해당 정보를 수정할 수 있습니다.
    Syslog 설정 4.5 릴리스부터 게이트웨이는 원격 syslog 서버를 통해 또는 telegraf를 통해 원하는 대상으로 NAT 정보를 내보낼 수 있습니다. 자세한 내용은 https://docs.vmware.com/kr/VMware-SD-WAN/index.html에 게시된 "VMware SD-WAN 운영자 가이드" 에서 "게이트웨이에 NAT 항목 Syslog 구성" 섹션을 참조하십시오.
    고객 사용량 고객에게 할당된 다양한 게이트웨이 유형에 대한 사용량 세부 정보를 표시합니다.
    풀 멤버 자격 현재 게이트웨이가 할당된 게이트웨이 풀의 세부 정보를 표시합니다.
    파트너 게이트웨이(고급 핸드오프) 세부 정보(Partner Gateway (Advanced Handoff) Details) 이 섹션은 파트너 게이트웨이(Partner Gateway) 확인란을 선택한 경우에만 사용할 수 있습니다. 파트너 게이트웨이에 대한 고급 핸드오프 설정을 구성할 수 있습니다. 자세한 내용은 아래의 "파트너 게이트웨이(고급 핸드오프) 세부 정보(Partner Gateway (Advanced Handoff) Details)" 섹션을 참조하십시오.
    Cloud Web Security 이 섹션에서는 Cloud Web Security 게이트웨이 역할을 사용하도록 설정한 경우 Cloud Web Security에 대한 Geneve(Generic Network Virtualization Encapsulation) 끝점 IP 주소 및 PoP(Points-of-Presence) 이름을 구성할 수 있습니다.
    파트너 게이트웨이(고급 핸드오프) 세부 정보(Partner Gateway (Advanced Handoff) Details)

    파트너 게이트웨이에 대한 다음 고급 핸드오프 설정을 구성할 수 있습니다.

    경고: 5.0 이전 버전의 소프트웨어를 실행하는 파트너 게이트웨이에는 IPv6 구성을 푸시하지 않는 것이 좋습니다.
    옵션 설명
    고정 경로 | 서브넷(Static Routes | Subnets)SD-WAN Gateway에서 SD-WAN Edge에 애드버타이즈해야 하는 서브넷 또는 경로를 지정합니다. 이 경로는 SD-WAN Gateway별로 전역적이며 모든 고객에게 적용됩니다. BGP를 사용하는 경우 이 섹션은 모든 고객이 액세스해야 하는 공유 서브넷이 있고 NAT 전달이 필요한 경우에만 사용됩니다.

    SD-WAN Edge에 애드버타이즈해야 하는 서브넷이 전혀 없고 전달 유형이 NAT인 경우 고정 경로 목록에서 사용되지 않은 서브넷을 제거합니다.

    IPv4 또는 IPv6 탭을 클릭하여 서브넷에 해당하는 주소 유형을 구성할 수 있습니다.

    서브넷 (Subnets) 게이트웨이가 Edge에 애드버타이즈해야 하는 고정 경로 서브넷의 IPv4 또는 IPv6 주소를 입력합니다.
    비용 경로에 가중치를 적용할 비용을 입력합니다. 범위는 0 ~ 255입니다.
    암호화(Encrypt) Edge와 게이트웨이 사이의 트래픽을 암호화하려면 이 확인란을 선택합니다.
    전달(Hand off) 전달 유형을 VLAN 또는 NAT로 선택합니다.
    설명 필요한 경우 고정 경로에 대한 설명 텍스트를 입력합니다.
    ICMP 프로브 및 핑 응답자 설정(ICMP Probes and Ping Responders Settings)
    ICMP 페일오버 프로브(ICMP Failover Probe)SD-WAN Gateway는 ICMP 프로브를 사용하여 특정 IP 주소의 연결 가능성을 확인하고, IP 주소에 연결할 수 없는 경우 보조 게이트웨이로 페일오버하도록 SD-WAN Edge에 지시합니다. 이 옵션은 IPv4 주소만 지원합니다.
    VLAN 태그 지정(VLAN Tagging) 드롭다운 목록에서 VLAN 태그를 선택하여 ICMP 프로브 패킷에 적용합니다. 사용 가능한 옵션은 다음과 같습니다.
    • 없음(None) – 태그 해제
    • 802.1q – 단일 VLAN 태그
    • 802.1ad / QinQ(0x8100) / QinQ(0x9100) – 이중 VLAN 태그
    대상 IP 주소(Destination IP address) Ping할 IP 주소를 입력합니다.
    빈도(Frequency) Ping 요청을 전송할 시간 간격(초)을 입력합니다. 범위는 1 ~ 60초입니다.
    임계값(Threshold) Ping 응답이 누락되어 연결할 수 없는 경로로 표시할 수 있는 횟수를 입력합니다. 범위는 1 ~ 10입니다.
    ICMP 응답자(ICMP Responder): 해당 터널이 실행 중일 때 SD-WAN Gateway에서 다음 홉 라우터의 ICMP 프로브에 응답할 수 있습니다. 이 옵션은 IPv4 주소만 지원합니다.
    IP 주소(IP address) Ping 요청에 응답할 가상 IP 주소를 입력합니다.
    모드(Mode) 드롭다운 목록에서 다음 모드 중 하나를 선택합니다.
    • 조건부(Conditional) - SD-WAN Gateway는 해당 서비스가 실행 중이고 하나 이상의 터널이 실행 중인 경우에만 ICMP 요청에 응답합니다.
    • 항상(Always)SD-WAN Gateway는 피어의 ICMP 요청에 항상 응답합니다.
    참고: ICMP 프로브 매개 변수는 선택 사항이며 ICMP를 사용하여 SD-WAN Gateway 상태를 확인하려는 경우에만 권장됩니다. 파트너 게이트웨이에서 BGP 지원을 사용하는 경우 페일오버 및 경로 컨버전스에 대해 ICMP 프로브를 사용할 필요가 더는 없습니다. 파트너 게이트웨이의 BGP 지원 및 핸드오프 설정 구성에 대한 자세한 내용은 파트너 전달 구성 항목을 참조하십시오.
  4. 필요한 세부 정보를 구성한 후 변경 내용 저장(Save Changes)을 클릭합니다.