주니퍼 Mist 재택근무자를 구성하는 방법

주니퍼 Mist 재택근무자 개요

주니퍼 Mist™ 재택근무자 솔루션은 주니퍼 Mist Edge 아키텍처를 활용하여 기업 네트워크를 원격 근무자에게 확장합니다. 주니퍼 Mist는 원격 액세스 포인트(AP)에서 IPsec 보안 L2TPv3 터널을 사용하여 네트워크를 확장합니다. 또한 주니퍼 Mist Edge는 원격 AP의 인증된 요청을 안전하게 프록시하는 추가 RadSec 서비스를 제공합니다. 이 기능은 원격 근무자에게도 사무실 내부에 있는 다른 사람들과 동일한 사용자 경험을 촉진합니다.

Mist AI로 구동되는 주니퍼® 클라우드 서비스는 다음을 제공합니다.

전례 없는 사용자 경험 가시성을 제공하는 SLE(Service Level Expectations) 프레임워크.
문제 해결 및 근본 원인 분석을 위한 자연어 처리 기능을 갖춘 AI 기반 Marvis 엔진.
Marvis Actions: IT는 추가 리소스를 지출하지 않고도 사용자 문제를 원격으로 해결하는 데 활용할 수 있습니다.

다음 이미지는 주니퍼 Mist 재택근무자 솔루션을 보여줍니다.

주니퍼 Mist 재택근무자 솔루션의 구성 요소는 다음과 같습니다.

주니퍼 Mist 액세스 포인트(AP)
주니퍼 Mist Edge 어플라이언스
Juniper Mist Wireless Assurance 구독(AP당 1회). SUB-1S-<X>Y, 여기서 X는 1년, 3년 또는 5년 서비스 기간입니다.
주니퍼 Mist Edge 구독(AP당 1회). SUB-ME-1S-<X>Y, 여기서 X는 1년, 3년 또는 5년 서비스 기간입니다.
(선택 사항) 주니퍼 Mist Marvis 구독(AP당 1회). SUB-1S-<X>Y, 여기서 X는 1년, 3년 또는 5년 서비스 기간입니다.

Mist 재택근무자 솔루션의 이점

주니퍼 Mist 재택근무자 솔루션은 다음과 같은 이점을 제공합니다.

민첩성
- 제로터치 프로비저닝 - AP에 대한 사전 스테이징 요구 사항을 제거합니다.
- 최소한의 노력으로 네트워크 관리—Marvis® Virtual Network Assistant를 활용하고 주니퍼 Mist 서비스 수준 기대치(SLE) 메트릭에 대한 분석을 통해 네트워크 성능을 관리합니다.
- 펌웨어 독립성 - AP와 주니퍼 Mist Edge 간의 펌웨어 종속성을 제거합니다. 3초 이내에 주니퍼 Mist Edge 서비스를 독립적으로 업데이트할 수 있습니다.
보안
- 트래픽 격리 - 트래픽 제어 수준은 원래 무선 LAN 컨트롤러 아키텍처의 수준과 유사합니다. 사용자 트래픽을 하나의 중앙 위치로 투명하게 이동시켜 액세스 스위치와 격리할 수 있습니다.
- 자동화된 보안 - 자격 증명 노출 없이 머신 기반 사이트 구축이 가능합니다.
- 클라우드와 대화하기 위한 보안 WebSocket.
- 엔드포인트 보호 - PoE 출력을 통해 무선 및 유선 엔드포인트를 보호합니다.
유연성
- 하드웨어 재사용.
- 보안 메시 기능으로 유연한 모든 홈 커버리지를 지원합니다.
- 직원이 홈 SSID를 직접 관리할 수 있도록 합니다.

주니퍼 Mist Edge 설정 및 WLAN 템플릿 구성

초기 주니퍼 Mist™ 구성이 완료된 후에는 액세스 포인트(AP)를 미리 준비할 필요가 없습니다. AP를 직원의 집으로 직접 배송하고 20초 이내에 고객에게 서비스를 제공할 수 있습니다.

주니퍼 Mist Edge는 일반적으로 DMZ에 상주하며, 여기서 한 팔은 인터넷에 연결하고 다른 팔은 신뢰할 수 있는 기업 네트워크에 연결됩니다. 회사 SSID를 활성화하기 위해 WLAN 템플릿을 구성하기 전에 아래에 설명된 몇 가지 초기 설정 작업을 수행해야 합니다.

표 1: 초기 설정 작업
작업	참조
포트 연결 구성 및 주니퍼 Mist Edge 설정	시작하기
주니퍼 Mist Edge 클러스터 생성	Mist 클러스터 생성
Mist 터널 생성	Mist 터널 생성(조직 수준)
RADIUS 프록시 서비스 활성화	조직 수준에서 RADIUS 서버 구성

WLAN 템플릿을 구성하려면 다음을 수행합니다.

기업 SSID(서비스 집합 식별자)를 사용하도록 WLAN 템플릿을 구성합니다.
주니퍼 Mist 포털의 왼쪽 메뉴에서 조직 > WLAN 템플릿을 선택합니다.
WLAN 템플릿 창에서 템플릿 생성을 클릭합니다.
새 템플릿 창에서 또는 를 Site and Site groups입력 Name 하고 템플릿을 할당합니다.Entire Org
각 원격 홈 오피스 사이트는 라는 사이트 그룹 Remote Teleworker에 배치됩니다. 원하는 경우 전체 조직을 사이트 그룹에 배치하고 예외로 추가된 실제 사무실 사이트를 추가할 수 있습니다. 예를 들어 다음 템플릿은 사이트 "BranchA" 및 "BranchB"를 제외한 모든 사이트에 할당됩니다.
보안 설정을 지정합니다.

SSID 설정은 조직의 요구 사항에 따라 다릅니다. 다음 이미지는 802.1X 보안 WLAN의 구성을 보여줍니다.
Edge 장치를 통해 터널링될 VLAN 수를 지정합니다.

주니퍼 Mist 액세스 포인트(AP)는 태그가 지정되지 않은 VLAN으로 구성된 WLAN을 터널링하지 않습니다.
조직 수준 구축의 경우 사용자 지정 전달 Mist 을 지정하고 터널 드롭다운 메뉴에서 터널 프로필을 선택합니다. Mist 터널은 터널링하려는 것과 동일한 VLAN을 터널링해야 합니다.
사이트 수준 구축의 경우 사용자 지정 전달을 에 지정합니다. Site Edge 사이트 터널은 터널링하려는 것과 동일한 VLAN을 지정해야 합니다.

ETH1 또는 AP의 모듈 포트를 통한 유선 클라이언트 연결

기업 주니퍼 Mist 네트워크를 원격 사무실 근로자로 확장하는 것과 함께 유선 디바이스도 회사 네트워크에 연결해야 합니다. 예를 들어, 보안 카메라나 IP 전화와 같은 디바이스는 온보딩 후 방화벽에서 엄격한 보안 폴리싱이 필요합니다. 따라서 이러한 디바이스를 고유한 VLAN에 배치해야 합니다. AP 또는 AP 재정의를 통해 디바이스 액세스 포인트(AP)를 구성할 수 있습니다. 원하는 경우 디바이스 프로필을 생성하여 디바이스에 할당할 수 있습니다. 두 경우 모두 구성은 정확히 동일합니다.

Mist AP에서 유선 포트(Eth1+)를 구성하려면 Mist 포털 내에서 디바이스 프로필을 생성하고 이더넷 속성을 구성할 수 있습니다. PoE 패스스루와 같은 기능을 활성화하고 각 포트(Eth1, Eth2 등)에 대해 VLAN을 구성할 수 있습니다.

디바이스 프로필에서 이더넷 설정 구성
예: 터널링을 위한 AP12 유선 포트 구성
예: AP41의 두 번째 포트 구성

디바이스 프로필에서 이더넷 설정 구성

디바이스 프로필에 연결된 AP의 이더넷 포트 구성하기:

Mist 포털에서 조직 > 디바이스 프로필 을 클릭하고 이더넷 속성 섹션까지 아래로 스크롤합니다.

참고:
개별 AP에 대한 설정을 구성할 수도 있습니다. Mist 포털에서 액세스 포인트를 클릭하고 AP를 클릭한 다음 AP 구성 페이지의 이더넷 속성 섹션까지 아래로 스크롤합니다.
AP에서 활성화된 이더넷 포트로 전력을 확장하려면 PoE 패스스루 를 활성화합니다.
이더넷 포트를 구성합니다. 여기에 구성된 VLAN 설정은 디바이스 프로필과 개별 AP 수준 모두에서 VLAN ID의 IP 주소 섹션에서 설정한 설정보다 우선합니다.
- VLAN ID 목록(Eth0 포트) - AP가 스위치에 대한 Eth0 연결을 통해 연결할 수 있는 VLAN을 지정합니다. Eth0 트래픽은 AP 관리 패킷과 무선 클라이언트 데이터 패킷으로 구성됩니다. AP 스위치 포트에서 활성 VLAN을 명시적으로 제어하려는 경우 이 구성을 사용합니다. 예를 들어, WLAN VLAN에 포함되지 않은 AP12의 유선 포트에 대해 WLAN을 추가하는 경우입니다.
- Port VLAN IDs - 포트에서 태그가 지정되지 않은 VLAN입니다. IP 주소 섹션에서 관리 VLAN을 지정하지 않는 한 일반적으로 VLAN 1을 입력해야 합니다.
- VLAN ID 목록(Eth1, Eth2, Eth3 및 모듈 포트) - 가능한 경우 AP의 개별 이더넷 포트를 활성화 또는 비활성화합니다. 연결에 필요한 모든 VLAN ID를 지정할 수 있습니다.
  - VLAN 식별자가 Eth0 트렁크와 Eth1-Eth3 포트 모두에 구성되면 액세스 포인트(AP)는 Eth1-Eth3에서 Eth0으로 트래픽을 전달하여 로컬 포워딩을 지원합니다.
  - 포트 Eth1–Eth3의 VLAN ID가 Mist Edge 디바이스의 Mist 터널에 지정된 것과 일치하는 경우 Eth1–Eth3의 트래픽이 터널을 통과합니다. 이 시나리오에서는 이러한 VLAN을 Eth0에 구성해서는 안 됩니다.
- 802.1X 신청자 - AP가 연결하는 네트워크에서 기존 802.1X 인증을 지원하려면 이 옵션을 활성화합니다. 사용되는 인증 방법은 EAP-TLS입니다. 이 기능을 활용하려면 AP에 펌웨어 버전 0.14 이상이 있어야 합니다. 자세한 내용은 IEEE 802.1X 서플리컨트로 액세스 포인트 구성을 참조하십시오
화면 오른쪽 상단에 있는 저장 을 클릭합니다.

예: 터널링을 위한 AP12 유선 포트 구성

여러 원격 사용자 AP에 동일한 포트 구성이 필요한 경우 디바이스 프로필을 생성하고 디바이스 프로필을 AP에 매핑할 수 있습니다. 개별 AP를 구성할 수도 있습니다.

포트 구성은 다음과 같습니다.

포트 0 - AP 관리 트래픽은 태그 처리되지 않은 상태로 전송됩니다. 모든 로컬 WLAN 및 VLAN은 에서 자동 태그 지정됩니다. Eth0 따라서 Eth0 List of VLAN ID(s) 을 1로 구성하고 1로 설정할 Port VLAN ID 수 있습니다.

Other ports— 그림과 같이 다른 포트를 단일 VLAN 또는 여러 VLAN에 매핑합니다. 다른 포트를 단일 VLAN에 매핑하는 경우 유선 호스트는 해당 VLAN에서 IP 주소를 수신합니다. 다른 포트를 허용된 여러 VLAN이 있는 트렁크로 구성하고 그 중 하나를 네이티브 VLAN으로 구성하면 트렁크로 작동합니다.

추가 유선 포트를 사용하여 터널링된 VLAN을 유선 포트로 확장합니다.

Example: AP12 Wired Port Configuration for Tunneling

참고:

참고: 유선 포트는 분할 터널링을 지원하지 않습니다. 따라서 구성에서 VLAN 1726을 생략합니다. VLAN110가 터널링된 VLAN이고 터널링된 유선 이더넷 포트(Eth1/Eth2/Eth3)를 구성하려는 경우 필요한 이더넷 포트에서 로컬로 브리지된 VLAN과 함께 VLAN110 포함합니다. 그러나 Eth0은 로컬로 브리지된 VLAN만 포함하는 업링크이므로 VLAN110 포함하지 마십시오.

다음 이미지는 Eth0+PoE 포트 및 패스스루(Pass Thru) 포트를 보여줍니다.

그림 1: 전면 패널 Front Panel

그림 2: 후면 패널 Rear Panel

Eth0+PoE 포트를 PoE 스위치 또는 PoE 브리크에 연결하여 AP12의 전원을 켤 수 있습니다. 포트는 관리를 위해 DHCP IP 주소를 사용합니다. Pass Thru로 표시된 패스스루 포트는 뒷면에서 측면 포트로 패치 역할을 합니다. 호텔의 TV와 같이 벽걸이 뒤에 있는 장치를 연결해야 하는 경우 패스스루 포트를 사용할 수 있습니다.

포트 Eth1, Eth2, Eth3 은 주니퍼 Mist 포털의 AP 세부 정보 또는 디바이스 프로필 페이지에서 구성할 수 있습니다. 포트를 관리 VLAN 또는 터널링된 VLAN에 매핑할 수 있습니다.

예: AP41의 두 번째 포트 구성

다음 이미지는 AP41의 두 번째 포트 구성을 보여줍니다.

Example: Second Port Configuration for AP41

이 예에서 는 Port VLAN ID 또는 Untagged VLAN와 동일 Native VLAN ID 합니다. 모듈 포트만 IP 전화와 같은 저전력 디바이스에 전원을 공급하기 위한 PoE(Power over Ethernet) 출력을 제공할 수 있습니다. POE Passthrough 는 DC 전원 공급 장치가 아닌 PoE 인젝터가 AP에 전원을 공급하는 경우에만 지원됩니다.

참고:

AP12, AP41, AP43 및 AP45는 PoE 출력을 제공할 수 있습니다. 다음 포트는 다른 AP에서 PoE(Power over Ethernet)를 제공합니다.

AP41의 모듈 포트
AP41 및 AP43의 ETH1
AP12의 패스스루 포트

기업 SSID에 대한 분할 터널링

주니퍼 Mist Edge는 분할 터널 기능을 제공합니다. 이 기능을 사용하면 기업 클라이언트가 회사 네트워크에 연결되어 있는 동안 로컬 홈 장치(예: 프린터 및 미디어 시스템)에 연결할 수 있습니다. Mist 터널 설정에서 이 기능을 활성화할 수 있습니다.

참고:

분할 터널 기능은 사이트의 단일 원격 AP에 적용됩니다.

분할 터널링을 사용하도록 설정하면 대상 서브넷 필드에 나열된 IP 주소가 주니퍼 Mist Edge로 다시 터널링됩니다. 나머지 IP 주소는 로컬로 브리지됩니다. 또한 DNS 서버 필드가 구성된 경우 회사 DNS 서버를 사용하여 터널링된 트래픽과 로컬로 브리지된 트래픽 모두에 대해 URL/FQDN을 확인할 수 있는 방법을 제공합니다.

분할 터널링을 활성화하면 AP는 클라이언트를 위해 실행하는 프라이빗 서브넷에서 192.168.157.X/27 IP 주소를 제공합니다. 대상 서브넷에 정의된 본사로 향하는 트래픽은 회사 IP로 변환됩니다. 기업 IP는 AP가 기업 WLAN의 VLAN에서 수신하는 IP입니다. 나머지 무선 클라이언트 트래픽은 AP의 관리 VLAN IP 주소로 변환됩니다.

클라이언트 서브넷 게이트웨이를 사용하여 터널 게이트웨이 설정을 구성합니다. 이것은 WLAN에 매핑된 VLAN의 게이트웨이입니다. 여러 대상 서브넷을 구성할 수 있습니다. IP 주소를 추가하고 쉼표로 구분할 수도 있습니다.

회사 DNS 서버를 대상 서브넷의 일부로 만들거나 서버를 /32 항목으로 추가합니다.

원격 사무실 근로자를 위한 사이트 만들기

고객은 주니퍼 Mist를 사용하여 원격 근무자를 지원함으로써 직원이 원격 근무할 때마다 회사 WLAN을 직원의 집으로 확장할 수 있습니다.

주니퍼 Mist 포털의 조직>사이트 구성 메뉴에서 사이트를 만들 수 있습니다.

참고:

AP41 및 AP43의 경우 IPsec 및 분할 터널링을 지원하는 데 필요한 최소 AP 펌웨어 버전은 0.7.20289입니다.
AP32/33 및 AP12의 경우 분할 터널링으로 IPsec을 지원하는 데 필요한 최소 AP 펌웨어 버전은 0.8.21022입니다.

직원 위치로 AP 청구 및 배송

주니퍼 Mist™ AI 앱을 사용하여 직원의 원격 홈 오피스 위치로 AP를 배송하기 전에 AP를 클레임할 수 있습니다. 주니퍼 Mist AI 모바일 앱을 통한 디바이스 관리를 참조하십시오.

Mist AI 앱에서 사이트를 선택하고 AP 뒷면의 QR 코드를 사용하여 해당 사이트에 대한 AP를 클레임 합니다. 그런 다음 여전히 앱에서 AP를 직원의 위치로 배송합니다. 배송 전에 네트워크에 연결할 필요가 없습니다!

원격 재택근무자 솔루션의 경우 방화벽이 원격 AP에서 연결을 허용하도록 구성되어 있는지 확인합니다. 다음 지침을 고려하십시오.

원격 AP에서 IPsec에 포트 500/4500, RadSec에 포트 2083을 허용합니다
방화벽은 패킷의 대상 IP를 원격 AP에서 터널 IP로 변환해야 합니다
원격 AP가 연결되는 Mist Edge 터널 IP의 외부 IP(일반적으로 방화벽 IP)를 가져오고 해당 IP를 터널 종료 서비스 아래의 호스트 이름/IP에 추가합니다.

Mist Edge를 통해 프록시할 터널 유형을 IPsec 및 Radius로 선택하는 것 외에는 Mist Edge 또는 AP에 추가 구성이 필요하지 않습니다

AP를 받으면 직원은 이제 로컬 홈 라우터의 이더넷 포트 중 어느 곳에나 연결할 수 있습니다(PoE 인젝터 또는 DC 전원 사용). AP는 20초 이내에 새로운 원격 사무실에 서비스를 제공할 준비가 완료되었습니다.

이 페이지의 내용