새 게이트웨이를 생성하면 게이트웨이에 대한 속성 및 기타 추가 설정을 구성할 수 있는 게이트웨이 구성(Configure Gateways) 페이지로 자동으로 리디렉션됩니다.
기존 게이트웨이를 구성하려면 다음을 수행합니다.
프로시저
- SASE Orchestrator의 파트너 포털에서 게이트웨이 관리(Gateway Management) 탭을 클릭하고 왼쪽 탐색 창에서 게이트웨이(Gateways)로 이동합니다.
게이트웨이(Gateways) 페이지에는 사용 가능한 게이트웨이의 목록이 표시됩니다.
- 추가 설정을 위해 구성해야 하는 게이트웨이에 대한 링크를 클릭합니다. 선택한 게이트웨이의 세부 정보가 구성(Configure) > 게이트웨이(Gateways) 페이지에 표시됩니다.
- 개요(Overview) 탭에서 다음 세부 정보를 구성할 수 있습니다.
필드 설명 속성 선택한 게이트웨이의 기존 이름 및 설명을 표시합니다. 필요한 경우 해당 정보를 수정할 수 있습니다. 필요에 따라 게이트웨이 역할을 구성할 수도 있습니다.- 데이터부(Data Plane) - 게이트웨이가 데이터부에서 작동할 수 있으며 기본적으로 선택되어 있습니다.
- 제어부(Control Plane) - 게이트웨이가 제어부에서 작동할 수 있으며 기본적으로 선택되어 있습니다.
- 보안 VPN 게이트웨이(Secure VPN Gateway) - 게이트웨이를 사용하여 비 SD-WAN 대상에 대한 IPSec 터널을 설정하려면 이 옵션을 선택합니다.
- 파트너 게이트웨이(Partner Gateway) - 게이트웨이를 Edge에 대한 파트너 게이트웨이로 할당되도록 하려면 이 확인란을 선택합니다. 이 옵션을 선택하는 경우 파트너 게이트웨이(고급 핸드오프) 세부 정보(Partner Gateway (Advanced Handoff) Details) 섹션에서 추가 설정을 구성합니다.
- CDE - 게이트웨이가 CDE(카드 소유자 데이터 환경) 모드에서 작동할 수 있습니다. PCI 트래픽을 전송해야 하는 고객을 위해 게이트웨이를 할당하려면 이 옵션을 선택합니다.
- 클라우드 간 상호 연결(Cloud-to-Cloud Interconnect) - SD-WAN Gateway에서 CCI(cloud-to-cloud-interconnect) 터널을 사용하도록 설정하는 옵션을 선택합니다.
참고: 이 게이트웨이 역할 옵션은
session.options.enableZscalerCci
시스템 속성이True
로 설정된 경우에 표시됩니다. - Cloud Web Security - 수퍼유저 또는 표준 역할이 있는 운영자 사용자가 CWS(Cloud Web Security) 역할에 대해 SD-WAN Gateway를 구성할 수 있습니다. 자세한 내용은 https://docs.vmware.com/kr/VMware-Cloud-Web-Security/index.html에 게시된 "VMware SD-WAN Cloud Web Security 구성 가이드" 를 참조하십시오.
상태(Status) 다음 세부 정보를 구성할 수 있습니다. - 상태(Status) - Orchestrator로 전송되는 정기 하트비트의 성공 또는 실패를 반영하는 게이트웨이의 상태를 표시합니다. 사용 가능한 상태는 다음과 같습니다.
- 연결됨(Connected) - 게이트웨이가 Orchestrator에 성공적으로 하트비트 중입니다.
- 성능 저하됨(Degraded) - 1분 이상 동안 Orchestrator가 게이트웨이에서 수신하지 못했습니다.
- 오프라인(Offline) - 2분 이상 동안 Orchestrator가 게이트웨이에서 수신하지 못했습니다.
- 서비스 상태(Service State) - 다음의 사용 가능한 옵션 중에서 게이트웨이의 서비스 상태를 선택합니다.
- 서비스 중(In Service) - 게이트웨이가 연결되어 있으며 기본 또는 보조 터널 할당에 사용할 수 있습니다. 게이트웨이의 서비스 상태가 ‘서비스 중단(Out Of Service)’에서 ‘서비스 중(In Service)’ 상태로 전환되면 게이트웨이를 사용하는 각 엔터프라이즈에 대해 기본 또는 보조 할당, 슈퍼 게이트웨이 및 Edge 간 경로가 다시 계산됩니다.
- 서비스 보류 중(Pending Service) - 게이트웨이가 연결되어 있으며 터널 할당을 위해 보류 중입니다.
- 서비스 불가(Out of Service) - 게이트웨이가 연결되어 있지 않거나 할당에 사용할 수 없습니다. 기존 할당이 모두 제거됩니다.
- 중지됨(Quiesced) - 게이트웨이 서비스가 중지 또는 일시 중지되었습니다. 새 터널 또는 NSD 사이트를 게이트웨이에 추가될 수 없습니다. 그러나 기존 할당은 여전히 게이트웨이에 유지됩니다. 백업 또는 유지 보수 목적으로 이 상태를 선택합니다.
서비스 상태가 중지됨(Quiesced)이면 Orchestrator는 운영자의 지원 없이 기존 게이트웨이에서 새 게이트웨이로 마이그레이션할 수 있는 셀프 서비스 마이그레이션 기능을 제공합니다.
자세한 내용은 게이트웨이 중지 항목을 참조하십시오.
참고: 셀프 서비스 마이그레이션은 파트너 게이트웨이에서 지원되지 않습니다.
- 연결된 Edge(Connected Edges) – 게이트웨이에 연결된 Edge의 수를 표시합니다. 이 옵션은 게이트웨이가 활성화된 경우에만 표시됩니다.
- 게이트웨이 인증 모드(Gateway Authentication Mode) – 다음의 사용 가능한 옵션 중에서 게이트웨이의 인증 모드를 선택합니다.
- 인증서 비활성화됨(Certificate Deactivated) - 게이트웨이에서 사전 공유 키 인증 모드를 사용합니다.
- 인증서 획득(Certificate Acquire) - 이 옵션은 기본적으로 선택되어 있으며, 키 쌍을 생성하고 Orchestrator에 인증서 서명 요청을 전송하여 SASE Orchestrator의 CA(인증 기관)에서 인증서를 획득하도록 게이트웨이에 지시합니다. 획득하게 되면 게이트웨이는 SASE Orchestrator에서 인증을 받고 VCMP 터널을 설정하기 위해 인증서를 사용합니다.
참고: 인증서를 획득한 후에는 이 옵션을 인증서 필요(Certificate Required)로 업데이트할 수 있습니다.
- 인증서 필요(Certificate Required) - 게이트웨이가 PKI 인증서를 사용합니다. 운영자는 시스템 속성
gateway.certificate.renewal.window
를 사용하여 게이트웨이의 인증서 갱신 기간을 변경할 수 있습니다.
참고: 게이트웨이 인증서가 해지되면 TLS 연결이 즉시 끊어지므로 게이트웨이가 CRL(인증서 해지 목록)을 수신하지 않습니다. 그래도 게이트웨이는 계속 작동할 수 있습니다.참고: 현재 QuickSec 디자인은 CRL 시간 유효성을 검사합니다. 새로 설정된 연결에 영향을 미치려면 CRL 시간 유효성이 Edge의 현재 시간과 일치해야 합니다. 이를 구현하려면 Edge의 날짜 및 시간과 일치하도록 Orchestrator 시간을 올바르게 업데이트해야 합니다. - IP 주소(IP Address) - Edge의 공용 WAN 링크가 게이트웨이에 연결하는 데 사용하는 공용 IP 주소를 표시합니다. 이 IP 주소는 게이트웨이를 고유하게 식별하는 데 사용됩니다. 게이트웨이를 IPv4 주소 및 IPv6 주소로 구성한 경우 이 필드에는 두 IP 주소가 모두 표시됩니다.
IPv4 전용 게이트웨이를 생성했거나 이전 버전에서 업그레이드된 기존 IPv4 게이트웨이가 있는 경우 이중 스택을 지원하도록 IPv6 주소를 입력할 수 있습니다. 변경 내용을 저장한 후 IPv6 주소가 Edge로 즉시 전송되지는 않습니다. 재조정 작업을 트리거하여 IPv6 주소를 고객 및 연결된 Edge에 수동으로 푸시할 수 있으며 다음 제어부 업데이트 중에 IPv6 주소가 Edge로 전송될 수도 있습니다.
참고: IPv6 주소를 추가하는 작업은 일회성 작업이며 변경 내용을 저장한 후에는 IP 주소를 수정할 수 없습니다.경고: 잘못 구성된 IPv6 주소가 Edge로 푸시되면 IPv6 게이트웨이에 대한 IPv6 터널링이 실패할 수 있습니다. 이러한 경우 게이트웨이를 비활성화하고 새 게이트웨이를 생성하여 IPv4 주소와 IPv6 주소를 모두 활성화해야 합니다.
연락처 및 위치(Contact & Location) 기존 연락처 세부 정보를 표시합니다. 필요한 경우 해당 정보를 수정할 수 있습니다. Syslog 설정 4.5 릴리스부터 게이트웨이는 원격 syslog 서버를 통해 또는 telegraf를 통해 원하는 대상으로 NAT 정보를 내보낼 수 있습니다. 자세한 내용은 https://docs.vmware.com/kr/VMware-SD-WAN/index.html에 게시된 "VMware SD-WAN 운영자 가이드" 에서 "게이트웨이에 NAT 항목 Syslog 구성" 섹션을 참조하십시오. 고객 사용량 고객에게 할당된 다양한 게이트웨이 유형에 대한 사용량 세부 정보를 표시합니다. 풀 멤버 자격 현재 게이트웨이가 할당된 게이트웨이 풀의 세부 정보를 표시합니다. 파트너 게이트웨이(고급 핸드오프) 세부 정보(Partner Gateway (Advanced Handoff) Details) 이 섹션은 파트너 게이트웨이(Partner Gateway) 확인란을 선택한 경우에만 사용할 수 있습니다. 파트너 게이트웨이에 대한 고급 핸드오프 설정을 구성할 수 있습니다. 자세한 내용은 아래의 "파트너 게이트웨이(고급 핸드오프) 세부 정보(Partner Gateway (Advanced Handoff) Details)" 섹션을 참조하십시오. Cloud Web Security 이 섹션에서는 Cloud Web Security 게이트웨이 역할을 사용하도록 설정한 경우 Cloud Web Security에 대한 Geneve(Generic Network Virtualization Encapsulation) 끝점 IP 주소 및 PoP(Points-of-Presence) 이름을 구성할 수 있습니다. 파트너 게이트웨이(고급 핸드오프) 세부 정보(Partner Gateway (Advanced Handoff) Details)파트너 게이트웨이에 대한 다음 고급 핸드오프 설정을 구성할 수 있습니다.
경고: 5.0 이전 버전의 소프트웨어를 실행하는 파트너 게이트웨이에는 IPv6 구성을 푸시하지 않는 것이 좋습니다.옵션 설명 고정 경로 | 서브넷(Static Routes | Subnets) – SD-WAN Gateway에서 SD-WAN Edge에 애드버타이즈해야 하는 서브넷 또는 경로를 지정합니다. 이 경로는 SD-WAN Gateway별로 전역적이며 모든 고객에게 적용됩니다. BGP를 사용하는 경우 이 섹션은 모든 고객이 액세스해야 하는 공유 서브넷이 있고 NAT 전달이 필요한 경우에만 사용됩니다. SD-WAN Edge에 애드버타이즈해야 하는 서브넷이 전혀 없고 전달 유형이 NAT인 경우 고정 경로 목록에서 사용되지 않은 서브넷을 제거합니다.
IPv4 또는 IPv6 탭을 클릭하여 서브넷에 해당하는 주소 유형을 구성할 수 있습니다.
서브넷 (Subnets) 게이트웨이가 Edge에 애드버타이즈해야 하는 고정 경로 서브넷의 IPv4 또는 IPv6 주소를 입력합니다. 비용 경로에 가중치를 적용할 비용을 입력합니다. 범위는 0 ~ 255입니다. 암호화(Encrypt) Edge와 게이트웨이 사이의 트래픽을 암호화하려면 이 확인란을 선택합니다. 전달(Hand off) 전달 유형을 VLAN 또는 NAT로 선택합니다. 설명 필요한 경우 고정 경로에 대한 설명 텍스트를 입력합니다. ICMP 프로브 및 핑 응답자 설정(ICMP Probes and Ping Responders Settings) ICMP 페일오버 프로브(ICMP Failover Probe) – SD-WAN Gateway는 ICMP 프로브를 사용하여 특정 IP 주소의 연결 가능성을 확인하고, IP 주소에 연결할 수 없는 경우 보조 게이트웨이로 페일오버하도록 SD-WAN Edge에 지시합니다. 이 옵션은 IPv4 주소만 지원합니다. VLAN 태그 지정(VLAN Tagging) 드롭다운 목록에서 VLAN 태그를 선택하여 ICMP 프로브 패킷에 적용합니다. 사용 가능한 옵션은 다음과 같습니다. - 없음(None) – 태그 해제
- 802.1q – 단일 VLAN 태그
- 802.1ad / QinQ(0x8100) / QinQ(0x9100) – 이중 VLAN 태그
대상 IP 주소(Destination IP address) Ping할 IP 주소를 입력합니다. 빈도(Frequency) Ping 요청을 전송할 시간 간격(초)을 입력합니다. 범위는 1 ~ 60초입니다. 임계값(Threshold) Ping 응답이 누락되어 연결할 수 없는 경로로 표시할 수 있는 횟수를 입력합니다. 범위는 1 ~ 10입니다. ICMP 응답자(ICMP Responder): 해당 터널이 실행 중일 때 SD-WAN Gateway에서 다음 홉 라우터의 ICMP 프로브에 응답할 수 있습니다. 이 옵션은 IPv4 주소만 지원합니다. IP 주소(IP address) Ping 요청에 응답할 가상 IP 주소를 입력합니다. 모드(Mode) 드롭다운 목록에서 다음 모드 중 하나를 선택합니다. - 조건부(Conditional) - SD-WAN Gateway는 해당 서비스가 실행 중이고 하나 이상의 터널이 실행 중인 경우에만 ICMP 요청에 응답합니다.
- 항상(Always) – SD-WAN Gateway는 피어의 ICMP 요청에 항상 응답합니다.
참고: ICMP 프로브 매개 변수는 선택 사항이며 ICMP를 사용하여 SD-WAN Gateway 상태를 확인하려는 경우에만 권장됩니다. 파트너 게이트웨이에서 BGP 지원을 사용하는 경우 페일오버 및 경로 컨버전스에 대해 ICMP 프로브를 사용할 필요가 더는 없습니다. 파트너 게이트웨이의 BGP 지원 및 핸드오프 설정 구성에 대한 자세한 내용은 파트너 전달 구성 항목을 참조하십시오. - 필요한 세부 정보를 구성한 후 변경 내용 저장(Save Changes)을 클릭합니다.