고객을 생성한 후 고객이 액세스할 수 있는 기능 옵션과 설정을 구성합니다. 운영자는 고객이 수정할 수 있는 설정을 선택할 수 있습니다.
새 고객을 생성하면 고객 설정을 구성할 수 있는 고객 구성(Customer Configuration) 페이지로 리디렉션됩니다. 다음 단계에 따라 운영자 포털에서 직접 고객 구성(Customer Configuration) 페이지로 이동할 수도 있습니다.
프로시저
- 모니터링 및 구성 옵션 페이지에서 고객을 선택하고 상단 머리글에서 SD-WAN > 글로벌 설정(Global Settings)을 클릭합니다.
- 왼쪽 메뉴에서 고객 구성(Customer Configuration)을 클릭합니다. 다음 페이지가 표시됩니다.
서비스 구성(Service Configuration) 섹션에는 다음과 같은 서비스가 포함되어 있습니다.
- SD-WAN
- Edge Network Intelligence
- Cloud Web Security
- Secure Access
- 클라우드 허브
설정(Turn On) 버튼을 클릭하여 각 서비스를 활성화합니다. 각 타일의 오른쪽 상단 모서리에 있는 세로 줄임표를 클릭하여 해당 서비스를 끄거나 구성합니다. 각 타일의 오른쪽 아래에 있는 구성(Configure) 옵션을 사용하여 해당 서비스를 구성할 수도 있습니다. 각 타일에는 구성 요약이 표시됩니다.
참고: 해제(Turn off) 옵션을 선택하면 확인을 요청하는 팝업 창이 나타납니다. 이 확인란을 선택하고 서비스 해제(Turn Off Service)를 클릭합니다.- SD-WAN: 구성(Configure) 옵션을 클릭하면 다음과 같은 팝업 창이 표시됩니다. 설정을 구성한 다음, 업데이트(Update)를 클릭합니다.
옵션 설명 도메인(Domain) Orchestrator에 대한 SSO(싱글 사인온) 인증을 활성화하는 데 사용할 도메인 이름을 입력하십시오. 이 도메인 이름은 고객에 대해 Edge Network Intelligence를 활성화하는 데도 필요합니다. 기본 Edge 인증(Default Edge Authentication) 드롭다운 메뉴에서 고객과 연결된 Edge를 인증하는 기본 옵션을 선택합니다.
- 인증서 비활성화됨(Certificate Deactivated) - Edge에서 사전 공유한 키 인증 모드를 사용합니다.
- 인증서 획득(Certificate Acquire): 이 옵션은 기본적으로 선택되어 있으며, 키 쌍을 생성하고 Orchestrator에 인증서 서명 요청을 전송하여 SASE Orchestrator의 CA(인증 기관)에서 인증서를 획득하도록 Edge에 지시합니다. 획득하게 되면 Edge는 SASE Orchestrator에서 인증을 받고 VCMP 터널을 설정하기 위해 인증서를 사용합니다.
참고: 인증서를 획득한 후에는 이 옵션을 인증서 필요(Certificate Required)로 업데이트할 수 있습니다.
- 인증서 필요(Certificate Required): Edge가 PKI 인증서를 사용합니다. 운영자는 시스템 속성
edge.certificate.renewal.window
를 사용하여 Edge의 인증서 갱신 기간을 변경할 수 있습니다.
Edge 라이센싱(Edge Licensing) 기존 Edge 라이센스가 표시됩니다. 라이센스를 추가 또는 제거하려면 추가(Add)를 클릭합니다. 참고: 라이센스 유형은 여러 Edge에서 사용할 수 있습니다. 고객에게 해당 버전 및 지역과 일치하는 모든 유형의 라이센스에 대한 액세스 권한을 제공하는 것이 좋습니다. 자세한 내용은 Edge 라이센싱 항목을 참조하십시오.고객이 소프트웨어를 관리할 수 있도록 허용(Allow Customer to Manage Software) 엔터프라이즈 수퍼유저가 엔터프라이즈에서 사용할 수 있는 소프트웨어 이미지를 관리할 수 있도록 하려면 이 확인란을 선택합니다. 자세한 내용은 "VMware SD-WAN 관리 가이드" 에서 "Edge 이미지 관리(Edge Image Management)" 항목을 참조하십시오. 운영자 프로필(Operator Profile) 사용 가능한 드롭다운 메뉴에서 고객과 연결할 운영자 프로필을 선택합니다. 고객이 소프트웨어를 관리할 수 있도록 허용(Allow Customer to Manage Software)을 선택한 경우 이 필드를 사용할 수 없습니다. 운영자 프로필에 대한 자세한 내용은 운영자 프로필 관리 항목을 참조하십시오. 최대 세그먼트 수(Maximum Number of Segments) 구성할 수 있는 최대 세그먼트 수를 입력합니다. 유효한 범위는 1~16입니다. 기본값은 16입니다. - Edge Network Intelligence: 구성(Configure) 옵션을 클릭하면 다음과 같은 팝업 창이 표시됩니다. 설정을 구성한 다음, 업데이트(Update)를 클릭합니다.
참고: SD-WAN 서비스가 켜져 있는 경우에만 이 옵션을 선택할 수 있습니다.
옵션 설명 도메인(Domain) Orchestrator에 대한 SSO(싱글 사인온) 인증을 활성화하는 데 사용할 도메인 이름을 입력하십시오. 이 도메인 이름은 고객에 대해 Edge Network Intelligence를 활성화하는 데도 필요합니다. 분석 노드(Analytics Nodes) 분석 노드로 프로비저닝할 수 있는 최대 Edge 수를 입력합니다. 기본적으로 제한 없음(Unlimited)이 선택됩니다. 기능 액세스(Feature Access) Edge Network Intelligence가 성능 향상을 위한 권장 사항을 제공하도록 허용하려면 자동 복구(Self Healing) 확인란을 선택합니다. - Cloud Web Security: 이 서비스는 활성화된 Cloud Web Security 역할이 있는 게이트웨이 풀(Gateway Pool)을 선택하는 경우에만 사용할 수 있습니다. Cloud Web Security는 SaaS 및 인터넷 애플리케이션에 액세스하는 사용자 및 인프라를 보호하는 클라우드 호스팅 서비스입니다. 자세한 내용은 "VMware Cloud Web Security 구성 가이드" 를 참조하십시오. 구성(Configure) 옵션을 클릭하면 다음과 같은 팝업 창이 표시됩니다.
필요한 버전을 선택하고 업데이트(Update)를 클릭합니다. Standard Edition에는 URL 필터링, SSL 검사, 바이러스 백신, 인증, 기본 샌드박스, 인라인 CASB 가시성이 포함됩니다. Advanced Edition에는 URL 필터링, SSL 검사, 바이러스 백신, 인증, 기본 샌드박스, 인라인 CASB 가시성 및 제어, 인라인 DLP 가시성 및 제어가 포함됩니다.
- Secure Access: 이 서비스는 활성화된 Cloud Web Security 역할이 있는 게이트웨이 풀(Gateway Pool)을 선택하는 경우에만 사용할 수 있습니다. Secure Access 솔루션은 전 세계 관리형 서비스 노드 네트워크를 통해 일관되고 최적화되고 안전한 클라우드 애플리케이션 액세스를 제공하기 위해 VMware SD-WAN 및 Workspace ONE 서비스를 결합합니다. 자세한 내용은 "VMware Secure Access 구성 가이드" 를 참조하십시오. 구성(Configure) 옵션을 클릭하면 다음과 같은 팝업 창이 표시됩니다.
최대 PoP 수를 입력한 다음, 업데이트(Update)를 클릭합니다.
- 클라우드 허브(Cloud Hub): 이 서비스를 사용하면 MCS(다중 클라우드 서비스) 계정에 액세스할 수 있습니다. 자세한 내용은 "SD-WAN 관리 가이드" 의 "Azure vWAN Hub에서 NVA의 CloudHub 자동 배포" 항목을 참조하십시오.
- 다음은 고객 구성(Customer Configuration) 페이지에서 사용할 수 있는 추가 구성 설정입니다.
옵션 설명 글로벌(Global) 사용자 계약 표시(User Agreement Display) 드롭다운 메뉴에서 다음 중 하나를 선택합니다. - 상속
- 숨기기로 재정의
- 표시로 재정의
참고:이 필드는 시스템 속성session.options.enableUserAgreements
옵션이 True로 설정된 경우에만 사용할 수 있습니다.기능 액세스(Feature Access) 선택한 기능에 대한 액세스를 제공합니다. 아래 목록에서 하나 이상의 확인란을 선택하여 고객에 대해 다음 기능을 활성화합니다. - 엔터프라이즈 인증(Enterprise Auth) – 기본적으로는 운영자만 엔터프라이즈의 2단계 인증을 활성화하거나 비활성화할 수 있습니다. 이 확인란을 선택하면 엔터프라이즈 관리자가 2단계 인증을 자체에 구성할 수 있습니다. 이 옵션은 SSO(Single Sign On)의 활성화 및 비활성화도 제어합니다.
- 프리미엄 서비스 사용(Enable Premium Service): 이 옵션은 기본적으로 선택됩니다. 프리미엄 서비스는 SD-WAN DMPO(동적 다중 경로 최적화)의 핵심 부분인 주문형 업데이트 적용 기능을 나타냅니다. DMPO는 SD-WAN Gateway를 통과하는 모든 트래픽에 사용됩니다. 프리미엄 서비스를 선택하면 게이트웨이는 높은 수준의 WAN 링크 지터나 손실의 영향을 받는 고객 트래픽에 대해 FEC(정방향 오류 수정)를 사용하며 더 나은 품질의 WAN 링크로 조절할 수 없습니다. 프리미엄 서비스를 선택하지 않으면 트래픽은 여전히 SD-WAN Gateway를 통과하며 지속적인 모니터링, 동적 애플리케이션 조절 및 보안 트래픽 전송 등의 다른 DMPO 구성 요소 이점을 누릴 수 있습니다. 그러나 높은 수준의 WAN 링크 지터나 손실의 영향을 받는 트래픽은 게이트웨이의 오류 수정에 따른 이점을 얻지 못합니다. 자세한 내용은 "VMware SD-WAN 관리 가이드" 에서 "DMPO(동적 다중 경로 최적화)" 항목을 참조하십시오.
- 역할 사용자 지정(Role Customization) – 엔터프라이즈 수퍼유저가 다른 엔터프라이즈 사용자의 역할 권한을 사용자 지정할 수 있습니다.
- 경로 역추적(Route Backtracking): 디바이스는 접두사 길이 순서로 최적의 경로를 선택할 수 있습니다.
- 제품 내 상황별 도움말 패널(In-product Contextual Help Panel): Orchestrator와 통합된 [제품 내 도움말(In Product Help)] 패널에 대한 액세스를 제공합니다. 이 기능은 기본적으로 비활성화되어 있습니다. 운영자는 엔터프라이즈 고객에 대해 이 옵션을 활성화해야 합니다.
- Orchestrator에 대한 방화벽 로깅 허용(Enable Firewall Logging to Orchestrator): 기본적으로 Edge는 Orchestrator에 방화벽 로그를 보낼 수 없습니다. Edge가 Orchestrator에 방화벽 로그를 보낼 수 있도록 허용하려면 이 확인란을 선택합니다.
- 사용자 지정 가능한 QoE(Customizable QoE): 고객이 Edge의 음성, 비디오, 트랜잭션 애플리케이션 범주에 대한 최소 및 최대 지연 시간 임계값을 구성할 수 있습니다.
- 클래식 Orchestrator UI 사용(Enable Classic Orchestrator UI): 고객이 Angular Orchestrator UI에서 클래식 Orchestrator UI로 전환할 수 있습니다. 해당 옵션은 시스템 속성
session.options.enableClassicOrchestrator
옵션이 True로 설정된 경우에만 사용할 수 있습니다.
고객에게 관리 위임(Delegate Management To Customer) 고객이 선택한 속성의 설정을 수정할 수 있습니다. 다음 두 속성은 항상 고객에게 표시됩니다. - CoS 매핑 사용(Enable CoS Mapping): 비즈니스 정책을 구성하는 동안 CoS 매핑을 구성할 수 있습니다.
- 서비스 비율 제한 사용(Enable Service Rate Limiting): 비즈니스 정책에서 서비스 비율을 제한할 수 있습니다.
게이트웨이 풀(Gateway Pool) 최근 게이트웨이 풀(Current Gateway Pool) 선택한 고객과 연결된 현재 게이트웨이 풀을 표시합니다. 필요한 경우 드롭다운 메뉴에서 사용할 수 있는 다른 게이트웨이 풀을 선택하고 변경 내용 저장(Save Changes)을 클릭할 수 있습니다. 이 풀의 게이트웨이(Gateways in this Pool) 현재 풀의 게이트웨이 세부 정보를 표시합니다. 파트너 전달(Partner Hand Off) 게이트웨이 풀(Gateway Pool) 옵션을 활성화하면 전달 구성(Configure Hand Off) 섹션이 표시됩니다. 게이트웨이 풀에서 사용 가능한 게이트웨이가 파트너 게이트웨이 역할을 통해 할당된 경우 게이트웨이를 파트너에게 전달할 수 있습니다. 자세한 내용은 파트너 전달 구성 항목을 참조하십시오. 보안 정책(Security Policy) 해시(Hash) AES-GCM은 인증된 암호화 알고리즘이므로 기본적으로 VPN 헤더에 대해 구성된 인증 알고리즘이 없습니다. GCM 해제(Turn off GCM) 확인란을 선택하면 드롭다운 메뉴에서 VPN 헤더에 대한 인증 알고리즘으로 다음 중 하나를 선택할 수 있습니다. - SHA 1
- SHA 256
- SHA 384
- SHA 512
암호화(Encryption) 데이터를 암호화하는 AES 알고리즘 키 크기로 AES 128 또는 AES 256을 선택합니다. 기본 암호화 알고리즘 모드는 AES 128입니다. DH 그룹(DH Group) 사전 공유한 키를 교환할 때 사용할 DH(Diffie-Hellman) 그룹 알고리즘을 선택합니다. DH 그룹은 알고리즘의 강도를 비트 단위로 설정합니다. 지원되는 DH 그룹은 2, 5, 14, 15, 16, 19, 20 및 21입니다. DH 그룹 19, 20 및 21은 Relase 5.2.0부터 사용할 수 있습니다. 참고: 기본값인 DH 그룹 14를 사용하는 것이 좋습니다.PFS 추가 보안을 위해 PFS(Perfect Forward Secrecy) 수준을 선택합니다. 지원되는 PFS 그룹은 2, 5, 14, 15, 16, 19, 20 및 21입니다. PFS 그룹 19, 20 및 21은 Relase 5.2.0부터 사용할 수 있습니다. 기본적으로 PFS는 비활성화되어 있습니다. GCM 해제(Turn off GCM) 이 확인란을 선택하여 해시(Hash)를 활성화하고 VPN 헤더에 대한 인증 알고리즘을 선택합니다. IPSec SA 수명 시간(분)(IPSec SA Lifetime Time(min)) IPSec(인터넷 보안 프로토콜) 재입력이 Edge에 대해 시작될 때의 시간입니다. 최소 IPsec 수명 시간은 3분이고, 최대 IPsec 수명 시간은 480분입니다. 기본값은 480분입니다. 참고: 키 재생성으로 인해 일부 배포에서 트래픽이 중단될 수 있으므로 키 재생성 값을 IPsec에 대해 낮은 수명 시간 값(10분 미만)을 구성하지 않는 것이 좋습니다. 낮은 수명 시간 값은 디버깅 목적으로만 사용됩니다.IKE SA 수명(분)(IKE SA Lifetime(min)) IKE(Internet Key Exchange) 재입력이 Edge에 대해 시작되는 시간입니다. 최소 IKE 수명 시간은 10분이고, 최대 IKE 수명 시간은 1440분입니다. 기본값은 1440분입니다. 참고: 키 재생성으로 인해 일부 배포에서 트래픽이 중단될 수 있으므로 낮은 수명 시간 값 IKE(30분 미만)을 구성하지 않는 것이 좋습니다. 낮은 수명 시간 값은 디버깅 목적으로만 사용됩니다.보안 기본 경로 재정의(Secure Default Route Override) 비즈니스 정책을 사용하여 파트너 게이트웨이의 보안 기본 경로(고정 경로 또는 BGP 경로)와 일치하는 트래픽의 대상을 재정의할 수 있도록 이 확인란을 선택합니다. Edge 네트워크 기능 가상화(Edge Network Function Virtualization): Edge에서 NFV를 활성화할 수 있으며 고객이 서비스 준비 Edge 플랫폼에 타사 VNF를 배포할 수 있습니다. 현재 서비스 준비 Edge 플랫폼 모델은 520v 및 840입니다. 운영자 사용자가 Edge NFV를 활성화하면 고객은 해당 네트워크 서비스에서 VNF 및 VNF 라이센스를 구성하고 배포할 수 있습니다. Edge NFV Edge에 VNF를 배포하는 기능을 활성화하려면 이 옵션을 선택합니다. Edge에 하나 이상의 VNF를 배포한 후에는 이 옵션을 비활성화할 수 없습니다. 보안 VNF(Security VNFs) 해당하는 보안 VNF를 Edge에 배포하려면 관련 확인란을 선택합니다. 자세한 내용은 "VMware SD-WAN 관리 가이드" 에서 "보안 VNF" 항목을 참조하십시오. SD-WAN 설정(SD-WAN Settings) OFC 비용 계산(OFC Cost Calculation) 필요한 확인란을 선택합니다. - 분산 비용 계산(Distributed Cost Calculation): 경로 비용 계산을 Edge/게이트웨이에 위임하려면 이 확인란을 선택합니다.
참고: 이 옵션은 버전 3.4.0 이상이 있는 Edge/게이트웨이에서만 사용할 수 있습니다. 분산 비용 계산(Distributed Cost Calculation)을 활성화한 후 엔터프라이즈 포털의 SD-WAN 서비스에서 구성(Configure) > 오버레이 흐름 제어(Overlay Flow Control)로 이동하여 경로를 새로 고치는 것이 좋습니다. 자세한 내용은 분산 비용 계산 구성 항목을 참조하십시오.
- NSD 정책 사용(Use NSD Policy): Edge/게이트웨이로의 경로 비용 계산에 NSD 정책을 사용하려면 이 확인란을 선택합니다.
참고: 이 옵션은 버전 4.2.0 이상이 있는 Edge/게이트웨이에서만 사용할 수 있습니다.
흐름 경로 계산별 다중 DSCP 태그(Multiple-DSCP tags per Flow Path Calculation) 이 기능은 원래 사용자 트래픽이 다른 터널(GRE/IPsec)에 캡슐화되는 경우 DSCP 레이블이 새 IP 머리글에 저장될 때 사용됩니다. 이 기능은 여러 DSCP 태그를 사용하여 단일 흐름(동일한 소스/대상)에 대한 경로 계산을 활성화하고 흐름의 DSCP 값을 기준으로 경로 차별화를 제공합니다. 흐름 조회 및 경로 계산의 일부로 DSCP 값을 포함하려면 흐름 조회의 일부로 DSCP 값 포함(Include DSCP value as part of flow lookup)을 선택합니다. 자세한 내용은 흐름당 여러 DSCP 레이블을 사용하여 경로 계산 구성 항목을 참조하십시오.
참고: 이 필드는 시스템 속성session.options.enableFlowParametersConfig
옵션이 True로 설정된 경우에만 사용할 수 있습니다.기능 액세스(Feature Access) 상태 저장 방화벽(Stateful Firewall) 엔터프라이즈 Edge에서 활성화된 상태 저장 방화벽 설정을 재정의하려면 상태 저장 방화벽(Stateful Firewall) 확인란을 선택합니다. 향상된 방화벽 서비스(Enhanced Firewall Services) 향상된 방화벽 서비스(Enhanced Firewall Services) 확인란을 선택하면 VMware SASE Orchestrator에서 방화벽 기능을 사용하여 향상된 방화벽 서비스를 활성화합니다. 참고: EFS(향상된 방화벽 서비스)가 작동하려면 Edge 버전이 5.2.0.0으로 업그레이드되어 있어야 합니다.참고: 이 옵션을 선택 취소하면 UI에서 EFS 기능만 비활성화합니다. 기존 고객에 대해 EFS 기능을 비활성화하려면 먼저 구성(Configure) > 프로필/Edge(Profiles/Edges) > 방화벽(Firewall) > 향상된 방화벽 서비스(Enhanced Firewall services)로 이동하고 [글로벌 설정(Global Settings)]에서 이 확인란을 선택 취소하여 엔터프라이즈 포털의 SD-WAN 서비스에서 EFS 기능을 비활성화해야 합니다.향상된 방화벽 서비스 정책 규칙 구성에 대한 자세한 내용은 "VMware SD-WAN 관리 가이드" 에서 "향상된 방화벽 서비스 구성" 항목을 참조하십시오. - 변경 내용 저장(Save Changes)을 클릭합니다.
참고: 보안 정책(Security Policy) 설정을 수정하면 변경 내용으로 인해 현재 서비스가 중단될 수 있습니다. 또한 이러한 설정을 사용하면 전체 처리량이 줄어들고, 분기 간 동적 터널 설정 시간과 클러스터에서 Edge 장애로부터의 복구에 영향을 줄 수 있는 VCMP 터널 설정에 필요한 시간이 늘어날 수 있습니다.