Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Juniper Mist WAN Assurance 구성 계층

구성 계층 소개

Juniper Mist WAN Assurance 구성

네트워크 관리자는 퍼즐의 각 조각이 Juniper Mist WAN Assurance 클라우드 서비스에서 네트워크의 정책, 보안 및 연결을 구축한다는 것을 이해하는 것이 중요합니다. 전체 SD-WAN 구축에는 사이트 간 연결을 완료하기 위해 각 부분이 필요합니다. Mist는 Mist의 인텐트 기반 네트워킹 모델을 사용하여 트래픽 인텐트를 WAN 에지 디바이스 구성으로 자동 변환합니다. 각 파트가 함께 작동하여 복잡한 인터페이스 할당, 보안, 라우팅 정책 및 플랫폼에 따라 대상 영역을 구축합니다. 따라서 Juniper Mist WAN Assurance의 구성 계층을 자세히 살펴볼 때 Mist 인텐트 모델을 이해하는 것이 중요합니다.

인텐트 기반 라우팅

인텐트 기반 네트워킹은 몇 가지 문제를 해결합니다. 예를 들어 두 네트워크 간의 보안 통신이 필요하다고 가정해 보겠습니다. 인텐트 모델에 따르면 보안 통신에는 네트워크 A와 네트워크 B 사이에 보안 터널이 필요합니다. 이 시나리오에서 네트워크 관리자는 터널을 사용하는 트래픽을 식별하고 원하는 다른 일반 속성을 설명합니다. 그러나 운영자는 터널을 건설하는 방법을 지정하거나 심지어 알지도 못할 것입니다. 터널을 구현하려면 보호할 디바이스 수, BGP 광고를 만드는 방법, 켤 기능 및 파라미터를 알아야 합니다. 반면, 인텐트 기반 네트워킹 시스템은 서비스 설명에 기반하여 모든 디바이스의 전체 구성을 자동으로 생성합니다. 그런 다음 폐쇄 루프 검증을 사용하여 구성의 정확성을 지속적으로 검증함으로써 네트워크의 의도된 상태와 작동 상태 간에 지속적인 보증 검사를 제공합니다. 인텐트 기반 네트워킹은 선언적 네트워크 운영 모델입니다. 이는 네트워크 엔지니어가 개별 네트워크 요소에 필요한 일련의 조치를 지정해야 하고 상당한 오류 가능성을 생성하는 기존의 필수 네트워킹과 대조됩니다.

인텐트 기반 모델 주요 특징:

  • 기존 네트워크 모델만큼 명시적인 지시가 필요하지 않습니다.
  • 어떤 네트워크가 어떤 애플리케이션으로 연결되는지를 기반으로 정책을 수립합니다.
  • 조직 전체에서 Juniper Mist WAN Assurance 네트워크애플리케이션을 구성합니다.
  • 관련 구성만 푸시합니다.
  • 디바이스에서 사용하는 애플리케이션 만 구성합니다. 디바이스가 애플리케이션을 사용하지 않는 경우 인텐트 기반 네트워크는 해당 디바이스에서 애플리케이션을 구성하지 않습니다.

LAN에서 DHCP를 구성하는 예를 살펴보고 인터페이스가 이미 구성되어 영역에 할당되었다고 가정해 보겠습니다.

Junos CLI의 필수 단계:

  • Junos 시스템 서비스 수준으로 이동하여 인터페이스에 DHCP-local-server를 활성화합니다.
  • Junos 시스템 주소 할당으로 이동하여 대상 네트워크, 풀의 주소 범위, 기본 게이트웨이 및 기타 DHCP 속성을 지정하는 주소 풀을 만듭니다.
  • 보안 영역으로 이동하여 DHCP 시스템 서비스에 대한 호스트 인바운드 트래픽을 활성화하면 SRX 시리즈가 클라이언트의 DHCP 요청을 처리할 수 있습니다.

이를 위해서는 최소한 세 개의 구성 계층에 걸쳐 여러 구성 라인이 분산되어 있어야 합니다.

Mist에서도 동일한 워크플로우가 크게 간소화되었습니다.

  • 먼저 LAN 구성으로 이동하여 편집을 위해 엽니다.
  • 그런 다음 DHCP 서버 라디오 버튼을 활성화하여 컨피그레이션을 잠금 해제하고 필수 필드(IP 시작, IP 끝 및 게이트웨이)를 채웁니다.
  • LAN 구성을 저장한 다음 디바이스 구성을 저장합니다.

구성 계층 요소

조직 전체 구성 요소

Mist 구성의 상단을 Mist 조직이라고 합니다. 이러한 요소는 전체 SD-WAN(Software-Defined Wide Area Network) 구축에 영향을 미칩니다. 이 구성 수준의 다양한 구성 요소는 배포 전반에서 소스 및 대상의 빌딩 블록이 됩니다. 일단 식별되면 트래픽 요청은 발신자와 원하는 대상을 적절하게 연결합니다. 이러한 요소는 플랫폼에 따라 다양한 Juniper Mist WAN Assurance 구축 구성 요소를 구축하는 데 도움이 됩니다. 소스와 대상을 식별하면 주니퍼® SRX 시리즈 방화벽의 WAN 및 관련 보안 영역을 가로지르는 IPsec 터널이 구축됩니다. 주니퍼 네트웍®스 Session Smart™ 라우터의 이러한 구성 요소는 SVR(Secure Vector Routing) 메타데이터 교환을 구축하는 데 도움이 되는 해당 소스 및 대상이 됩니다. 두 플랫폼은 SD-WAN의 과제에 고유하게 접근하므로 Juniper Mist WAN Assurance 플랫폼을 아는 것이 중요합니다.

네트워크

Juniper Mist WAN Assurance Network 는 Mist 인텐트 기반 패러다임에서 "누구"입니다. 네트워크는 네트워크에서 요청의 소스입니다. 네트워크를 사용하여 "사용자" 그룹을 정의할 수 있습니다. Mist 설계에서 이 요소를 생성하면 네트워크는 전체 조직에서 사용할 수 있도록 정의됩니다.

주니퍼 네트웍®스 Session Smart™ 라우터의 네트워크 특성:

  • Mist Networks 는 SVR을 위해 백그라운드에 테넌트를 생성합니다.
  • Session Smart Router는 논리적 인터페이스(네트워크 인터페이스)에서 테넌트를 식별합니다.
  • LAN 및 WAN 인터페이스 구성은 테넌트(요청 소스)를 식별합니다.

주니퍼® SRX 시리즈 방화벽의 네트워크 특성:

  • 네트워크는 보안 정책 및 APBR(Advanced Policy Based Routing) 정책의 소스로 사용되는 주소록을 생성합니다.
  • 애플리케이션 정책이 구성된 경우 구성이 디바이스에 적용됩니다.
  • LAN의 경우 영역 이름은 지정된 네트워크의 이름에서 파생됩니다.
  • WAN의 경우 영역 이름은 WAN의 이름을 기반으로 합니다.

경로 광고(오버레이를 통해 광고)

WAN Assurance는 전송 네트워크를 SD-WAN으로 추상화하는 것입니다. 경로 보급으로 제어 및 도달 가능성을 위해 SD-WAN을 통해 네트워크를 보급할 수 있습니다. 이것이 LAN 세그먼트에 설정된 네트워크가 오버레이를 통해 광고되는 방법입니다. 이러한 네트워크를 설정하면 서비스 정책의 소스 주소가 생성됩니다. 소스 및 대상에 대한 NAT(Network Address Translation)는 필요한 경우 트래픽을 사용자에게 라우팅할 수 있습니다.

SD-WAN의 목적은 사이트 간 연결입니다. 따라서 오버레이를 통해 네트워크를 보급하여 SD-WAN 디바이스 간의 도달을 지원할 수 있습니다. 이 설정을 사용하면 네트워크에서 WAN을 통해 주소를 공유하므로 다른 장치에서 주소를 연결하는 방법을 알 수 있습니다.

Mist Cloud 액세스

Mist는 풀스택 솔루션입니다. 일부 디바이스만 WAN 에지 또는 SD-WAN 라우터입니다. 특정 디바이스는 Mist 클라우드에 액세스하여 무선 AP 및 스위치에 대한 Wireless 및 Wired Assurance와 같은 다른 솔루션을 활용하기를 원할 것입니다. Mist 클라우드에 액세스 하면 특정 방화벽/정책 규칙이 자동으로 생성되므로 명시적인 애플리케이션 정책 없이도 디바이스가 Mist로 전화를 걸 수 있습니다. SD-WAN 구축에서 WAN 에지 뒤에 있는 모든 디바이스에서 이 기능을 사용하는 것은 라우터에 정책 문제를 제기할 수 있으므로 원하지 않습니다. Mist 대시보드 에서 모니터링하고 문제를 해결할 수 있으므로 Mist AP 또는 스위치에 대한 액세스는 탁월합니다. Juniper Mist Wireless Assurance 및 Wired Assurance를 참조하십시오.

Mist 클라우드에 대한 액세스를 활성화하면 WAN 에지 뒤에 있는 모든 것이 연결 정책을 수동으로 표시할 필요 없이 Mist 클라우드에 연결할 수 있습니다. 이 설정의 포트 및 프로토콜은 다음과 같습니다.

  • TCP/443
  • DNS/53
  • SSH/2200
  • NTP/123
  • 시스템 로그/6514
  • Icmp

사용자

라벨에 속지 마십시오. 사용자는 네트워크의 단일 사용자를 나타내지 않습니다. 사용자는 서브넷 또는 간접적으로 연결된 서브넷의 하위 집합입니다. 네트워크는 "누가"이므로 사용자를 네트워크 ID의 하위 부문으로 생각하십시오. 네트워크를 동일하게 취급하는 보편적인 규칙이 있는 경우가 많습니다. 예를 들어, 트래픽의 99%에 대해 세션이 동일한 작업을 수행하기를 원합니다. 하지만 게스트 네트워크에서 회사 네트워크에 대한 액세스를 차단하고 있지만 프린터 액세스 권한을 갖기 위해 하나의 특정 IP가 필요한 경우에는 어떨까요? 사용자를 위한 사용 사례입니다. Session Smart 라우팅 플랫폼에 익숙한 경우, 상위 네트워크 "테넌트"의 하위 네트워크로 간주하십시오. 또는 사용자 에게는 네트워크에서 간접 접두사를 정의하는 두 번째 사용 사례가 있습니다.

  • 사용자는 세분화된 권한을 정의할 수 있습니다. 예를 들어 LAN 세그먼트에 인터넷 액세스가 필요할 수 있지만 특정 네트워크 디바이스로 제한해야 합니다. 따라서 여기서는 해당 데스크톱에 대한 액세스 정책을 만듭니다.
  • LAN 세그먼트의 라우터 뒤에 간접적으로 연결된 접두사에 도달해야 하는 경우가 있습니다. 예를 들어 여러 디바이스를 외부 애플리케이션에 연결하는 디바이스 뒤에 있는 라우터를 상상해 보십시오.

응용 프로그램

애플리케이션은 Mist 인텐트 기반 모델 패러다임에서 '무엇'을 구성합니다. 애플리케이션은 네트워크가 제공하는 것입니다. 애플리케이션은 트래픽 대상을 나타내며 "데이터베이스" 또는 "인터넷"과 같이 클라이언트가 액세스하는 대상의 이름을 따서 명명됩니다. Mist 설계에서 이 요소를 생성하면 전체 조직에서 사용할 수 있도록 애플리케이션이 정의됩니다.

주니퍼 네트웍®스 Session Smart™ 라우터의 애플리케이션 특성

  • Mist 애플리케이션은 SVR을 위한 서비스를 백그라운드에서 생성합니다.
  • 애플리케이션은 포트, 프로토콜, 접두사, 사용자 지정 도메인 또는 기본 제공 AppID 라이브러리의 앱 이름일 수 있습니다.

포트, 프로토콜 및 접두사는 모든 정책의 중심이 되는 곳입니다.

  • 맞춤형 App 은 포트, 프로토콜 또는 접두사의 집합입니다.
  • 앱은 인터넷 app-id에 매핑됩니다.
  • URL 카테고리 는 강제 적용 URL입니다.

주니퍼® SRX 시리즈 방화벽의 애플리케이션 특성

  • 애플리케이션은 보안 정책에 사용되는 대상을 결정합니다.
    • 프로토콜 "any"가 있는 접두사 0.0.0.0/0은 Juniper Mist WAN Assurance 정책 내에서 any 로 확인됩니다. 주소록이나 응용 프로그램이 필요하지 않습니다.
  • WAN 에지의 사용자 지정 앱은 SRX 시리즈 온박스 엔진 "유형"을 사용하며 주소록과 애플리케이션의 조합입니다.
  • 앱은 SRX 시리즈 레이어 7 AppID 엔진에 매핑됩니다.
  • URL 카테고리 는 강제 적용 URL입니다.

트래픽 스티어링

트래픽 스티어링 은 Mist 인텐트 기반 모델 패러다임의 "방법"입니다. 트래픽 스티어링 은 트래픽이 목적지에 도달하기 위해 취할 수 있는 다양한 경로를 정의하는 방법입니다. 애플리케이션에 대한 트래픽에 여러 경로가 있는 경우 경로를 경로의 하위 집합으로 제한하고 기본 설정 순서를 구성할 수 있습니다. 또한 사용 가능한 경로에서 수많은 스트림을 로드하고 밸런싱할 수 있습니다.

주니퍼 네트웍®스 Session Smart™ 라우터의 트래픽 스티어링 특성:

  • 주니퍼® Session Smart 라우터™에는 SVR을 활용하여 대상에 대한 다음 홉과 벡터를 결정하는 트래픽 스티어링(Traffic Steering )을 위한 독점 솔루션이 있습니다.
  • 차단 목록 항목은 SVR에 대한 다음 홉의 설정을 방해합니다.

Session Smart 라우터에서만 트래픽 스티어링 규칙이 필요합니다.

  • Ordered, Weighted, ECMP와 같은 기존 스티어링 전략은 Session Smart Router에 적용되지 않습니다.
  • 애플리케이션 정책에서 애플리케이션을 차단하는 것은 불필요하며 Session Smart 다음 홉 선택 프로세스를 저해합니다.

Session Smart Router는 독점적인 hello 메커니즘을 사용하여 다음 홉을 선택합니다. 피어 Session Smart 라우터 간의 이 BFD(Bidirectional Forwarding Detection) 메시지는 활성 상태와 경로 상태를 확인합니다.

주니퍼® SRX 시리즈 방화벽의 트래픽 스티어링 특성:

  • 주니퍼® SRX 시리즈 방화벽은 영역 기반이며, 대상 영역은 트래픽 스티어링 정책 내에 구성된 경로에 따라 결정됩니다.
  • Traffic Steering은 경로를 가져오기 위한 포워딩 유형 라우팅 인스턴스와 관련 라우팅 정책을 구성합니다. SRX 시리즈의 경우 이 라우팅 인스턴스는 APBR에서 사용됩니다.
  • SRX 시리즈에는 몇 가지 스티어링 전략이 있습니다.
    • Ordered: 기본값이며 목록 순서대로 이동합니다. 상위 항목이 우선적으로 적용되고 다음 단계로 장애 조치(failover)됩니다. 정렬된 목록을 만듭니다.
    • 가중치: "가중치"에 따라 경로를 선호합니다. 사용 가능한 각 링크에 대해 해당 경로를 사용해야 하는 트래픽의 백분율을 지정합니다. 각 경로의 가중치를 합하면 100이 됩니다.
    • ECMP: 동일 비용 다중 경로 알고리즘을 통해 트래픽을 완전히 로드 밸런싱합니다. 트래픽은 사용 가능한 모든 경로에서 균등하게 분할됩니다.

애플리케이션 정책

"누가", "무엇을", "어떻게"는 애플리케이션 정책과 함께 제공됩니다. Mist 인텐트 기반 모델은 수천 줄의 코드로 SRX 시리즈의 Junos OS를 통해 경로 및 보안 정책을 수동으로 생성하는 작업을 간소화합니다. 또한 컨덕터 기반 Session Smart 구축에서 WAN Assurance로 전환하는 사람들을 위해 Session Smart Router 구축을 간소화합니다. 시작하고 실행하기 위해 더 이상 명시적인 권한 및 인터페이스 할당이 필요하지 않습니다. WAN Assurance는 제로 트러스트입니다. 이는 암시적이면서 의도 기반 모델의 일부입니다. 애플리케이션에 액세스할 수 있는 권한을 네트워크에 명시적으로 부여해야 하며, 그렇지 않으면 라우팅되지 않습니다.

순서는 주니퍼 네트웍®스 Session Smart™ Router에서 로컬 네트워크를 송신할 때만 중요합니다. Session Smart 라우터는 가장 구체적인 일치 항목을 사용하는 라우터입니다. 즉, 로컬 트래픽에는 Mist Traffic Steering을 사용할 필요가 없습니다. 중요한 것은 트래픽 스티어링 에서 블록을 사용하면 독점 프로세스가 훼손되기 때문에 SVR에서 작동하지 않는다는 것입니다. 디바이스, 서브넷 또는 네트워크가 애플리케이션에 액세스할 수 없어야 하는 경우 해당 애플리케이션에 대한 트래픽 스티어링을 생성하지 마세요.

주니퍼® SRX 시리즈 방화벽의 애플리케이션 정책 특징:

스티어링 경로에 따라 SRX 시리즈의 대상 영역이 결정됩니다. SRX 시리즈로 작업할 때는 정책 순서가 중요하므로 정책에 트래픽 스티어링 이 할당되어 있는지 확인하십시오. 기존의 영역 기반 방화벽으로서 필터 및 정책을 생성하는 규칙 목록을 사용합니다. 가장 구체적인 규칙은 SRX 시리즈의 애플리케이션 정책 목록 맨 위에 있어야 합니다.

네트워크 확장: Mist의 자동화

WAN 에지 템플릿

SD-WAN의 기본 구성 요소가 준비되면 Mist는 WAN 에지 템플릿을 통해 새로운 WAN 에지 디바이스를 구축할 수 있도록 지원합니다. 이전의 모든 구성은 WAN 에지 템플릿을 사용하여 템플릿화할 수 있습니다. 이러한 템플릿은 독립형 에지 디바이스에서 수백 개의 사이트가 있는 전체 SD-WAN 구축에 적합합니다. 자동화 프로세스는 오류를 제거하고 여러 스포크 사이트 및 헤드엔드 구축을 간소화합니다.

템플릿은 일반적인 구성 작업을 줄이거나 없애고 여러 디바이스를 구성할 때 발생하는 인적 오류를 제거합니다. WAN 에지 템플릿:

  • 배포 전반에 걸쳐 표준을 적용합니다.
  • 모든 네트워크 디바이스가 동일한 DNS(8.8.8.8)를 가리키는지 확인합니다.
  • 동기화 및 로깅에 동일한 NTP(Network Time Protocol)를 사용하므로 예측 가능한 동작을 제공합니다. (이는 특정 인증서에도 영향을 줍니다.)
  • 문제 해결 및 관리를 단순화합니다.
    그림 1: WAN 에지 템플릿 WAN Edge Template

그러나 WAN 에지 템플릿은 작업을 자동화하는 것 이상의 기능을 수행하며, 자주 사용하지 않는 항목을 포함할 수 있으며 모든 사이트 또는 사이트 하위 집합에 적용할 수 있습니다. 예를 들어 모든 사이트에 게스트 네트워크가 있는 것은 아니지만 해당 인터페이스를 예약할 수 있습니다.

이러한 템플릿은 다음을 허용합니다.

  • 특정 모델을 통한 포트 및 사이트 그룹에 대한 하드웨어 대량 주문.
  • 구체적인 사용 사례 및 트래픽 플로우.
  • 서로 다른 기업 LAN 네트워크.
  • 게스트 네트워크.

WAN 에지 템플릿은 IP, 게이트웨이 또는 VLAN과 같은 반복적인 정보를 자동으로 구성합니다. 또한 WAN 에지 템플릿에는 트래픽 스티어링, 액세스 정책, 라우팅 기본 설정 및 표준화하려는 추가 구성이 포함될 수 있습니다. WAN 및 LAN 연결을 위해서는 접두사, NAT 또는 기타 로컬 정보가 필요합니다.

허브 프로필

허브 프로필은 WAN 에지 템플릿에서 작동합니다. 허브는 에지에 있지 않으며 네트워크 전체에서 보편적으로 고유합니다. 템플릿 내에서 배포를 완전히 정의하는 것은 불가능합니다. 허브는 Mist가 오버레이 네트워크를 구축하는 방식에 영향을 미칩니다. 각 지사 및 원격 사무소는 허브에 대한 SD-WAN 통신을 구축합니다. 토폴로지는 단일 오버레이를 구성하는 오버레이 엔드포인트에 의해 결정됩니다. 모든 허브 WAN 인터페이스는 스포크에 대한 오버레이 엔드포인트를 생성합니다. 스포크 WAN 인터페이스는 적절한 허브 WAN 인터페이스를 매핑하여 토폴로지를 정의합니다. 이것이 전송 네트워크의 추상화입니다. WAN Assurance를 위한 두 플랫폼은 추상화를 해결하는 방식이 다르기 때문에 오버레이 네트워크를 구축할 때 서로의 미묘한 차이를 이해하는 것이 중요합니다.

주니퍼® SRX 시리즈 방화벽

SRX 시리즈 오버레이 SD-WAN은 경로 분리를 위한 가상 라우터와 안전한 전송 트래픽을 위한 IPsec 터널을 결합합니다. WAN 구성에 따라 토폴로지가 결정되고 오버레이 네트워크가 구축됩니다. 한 가지 주의할 점은 조직당 하나의 오버레이만 구현할 수 있다는 것입니다. 그러나 이 오버레이 내에 여러 유형의 전송에 걸쳐 많은 경로를 가질 수 있으며 트래픽을 안전하게 격리 및 전달할 수 있습니다. SRX 시리즈 디바이스의 경우 오버레이는 보안 영역, 가상 라우터 및 IPsec 터널을 결합합니다.

주니퍼 네트웍스® Session Smart™ Router

Session Smart 오버레이 SD-WAN은 포트 1280에서 BFD를 통한 독점 통신을 통해 Session Smart 피어 간의 활성 및 지터, 지연 및 손실에 대한 독점적인 통신을 필요로 합니다. 허브 프로파일에 WAN 인터페이스를 구성하면 오버레이 허브 엔드포인트가 생성됩니다. Session Smart Router에서 엔드포인트는 SVR의 수신단입니다.

스포크 WAN 인터페이스를 오버레이 허브 엔드포인트에 매핑할 때 몇 가지 문제가 발생합니다. 스포크는 피어 연결을 설정하고 전송 네트워크의 Session Smart 추상화인 SVR에 대한 이웃과 벡터를 식별합니다.

오버레이에 대한 마지막 참고 사항: SRX 시리즈 및 Session Smart 라우터는 단일 오버레이에 존재할 수 없습니다. 허브에서 BGP를 통해 페어링할 수 있지만 사이트 간 연결을 생성하는 솔루션은 고유하며 함께 작동할 수 없습니다. 즉, 마이그레이션 계획이 있는 사용자는 보급이 필요한 경로를 식별하고 허브에 보급해야 합니다.

다음 허브 프로필 고려 사항을 염두에 두어야 합니다.

  • 허브 프로필을 먼저 구축해야 스포크 템플릿이 연결할 위치를 알 수 있습니다.
    • 허브에는 오버레이 엔드포인트에 대한 고정 IP가 있어야 합니다.
    • 오버레이 엔드포인트 구성은 WAN 에지 스포크 템플릿에 표시됩니다.
  • 이러한 지침 내에 통합할 수 있는 허브 수에는 제한이 없습니다.
    • 데이터 센터당 하나의 허브
    • 중복용 허브 2개(HA 클러스터)

스포크는 트래픽 스티어링과 애플리케이션 정책을 통해 기본 허브를 선택합니다. 제로터치 프로비저닝(ZTP)은 ZTP가 완료된 다음 대상 네트워크로 마이그레이션되지 않는 한 DHCP(물리적 구현용)를 필요로 합니다. 디바이스를 수동으로 사전 스테이징할 수도 있습니다.

그림 2: 허브 프로파일 Hub Profile

사이트 변수

사이트 변수는 사이트별로 구성됩니다. 네트워크를 전체적으로 계획할 때 특정 WAN 에지 및 WAN 에지 클러스터에 대한 표준 템플릿을 만들 수 있습니다. 사이트당 하나의 WAN 에지 디바이스(또는 디바이스가 클러스터된 경우 하나의 논리적 WAN 에지)만 있는 것이 가장 좋습니다. 변수는 사이트마다 다를 수 있으므로 관리자는 템플릿 또는 WAN 에지 구성 페이지에서 변수를 사용합니다. 변환은 구성이 렌더링되어 디바이스로 푸시될 때 발생합니다.

다음과 같은 사이트 변수 고려 사항을 염두에 두어야 합니다.

  • 변수 구문은 Jinja2와 일치하며 {{variableName}}과 같이 이중 중괄호 안에 포함됩니다.
  • UI는 선행 및 후행 중괄호를 이름의 일부로 적용합니다.
  • 사이트 변수 제한:
    • 변수에 공백이 없습니다.
    • 변수 필드 내에 특수 문자(밑줄 제외)가 없습니다.
    • 변수는 하나의 필드에서만 사용할 수 있으며 전체 접두사를 지정할 수 없습니다.

    예를 들어 10.88.88.88/24에는 IP 주소(10.88.88.88)와 접두사 길이(24)에 대한 변수가 두 개 이상 필요합니다.

    그림 3: 사이트 변수 Site Variables

    템플릿의 진정한 힘을 사용하는 가장 좋은 방법은 사이트 변수를 사용하는 것입니다. 하드웨어를 배포하려면 많은 구성 항목이 필요합니다. WAN 에지 템플릿과 사이트 변수를 결합하는 것이 좋습니다. 처음 세 옥텟의 전체 IP 서브넷을 정의하고 각 디바이스에서 최소한의 구성을 남길 수 있는 다음 상황을 고려하십시오.

    표준 템플릿을 생성하고 다음 방법 중 하나로 WAN과 같은 표준 인터페이스에 변수를 배치합니다.

    • WAN1PFX 변수를 사용하여 {{192.168.170}}이라고 가정하고 구성 페이지의 WAN 필드에서 로컬 IP의 경우 {{WAN1PFX}}.1, 게이트웨이의 경우 {{WAN1PFX}}.2가 됩니다.
    • {{WAN1IP}} 및 {{WAN1_GW}} 변수 쌍을 정의할 수 있습니다. 그러나 서브넷을 재사용할 수 있지만 특정 IP를 재사용할 수 없는 곳이 있습니다.
      그림 4: WAN 구성 Site Variables in WAN Configuration 의 사이트 변수

      또 다른 강력한 사용 사례는 세 번째 옥텟이 변수가 되고 해당 변수가 여러 필드에도 적용될 수 있는 매직 옥텟입니다. 예를 들어, {{SITEID}} 변수는 세 번째 옥텟과 VLAN 태그 모두에 사용될 수 있습니다. 이 경우, 네트워크 접두사는 192.168일 수 있다. {{SITEID}}.1/24를 {{SITE_ID}} VLAN ID로 바꿉니다. WAN 에지 템플릿은 WAN 에지에만 적용되지만 사이트 변수는 스위치 및 AP에도 적용됩니다. 자동화의 목적은 배포를 단순화하고 재사용성을 높이는 것입니다.

템플릿 적용 소개

사이트는 단일 위치에 있는 모든 자산의 모음입니다. 이는 단일 WAN 에지만만 존재한다는 것을 암시합니다. Juniper Mist AI를 통한 Mist 관리의 주요 기능은 구성 템플릿을 사용하여 WAN 에지를 그룹화하고 대량 업데이트할 수 있다는 것입니다. 템플릿은 균일성과 편의성을 제공하는 반면, 계층 구조는 규모와 세분성을 제공합니다.

템플릿 가져오기 및 내보내기Import and Export Templates

만병통치약은 없습니다. 템플릿을 여러 개 가질 수 있습니다. 시간을 절약하려면 템플릿을 복제하고 UI에서 수정하거나 나중에 가져올 수 있도록 오프라인/프로그래밍 방식으로 수정하기 위해 내보냅니다.

그림 5: 템플릿 Export or Clone Template 내보내기 또는 복제

템플릿 샘플 수정

템플릿 재정의

템플릿은 장치에 적용되는 사이트에 적용됩니다. 템플릿은 구성을 표준화하는 데 사용되지만 예외는 항상 존재합니다. 한 사이트에 대해 약간 다른 템플릿을 만드는 대신 디바이스에서 템플릿 구성을 재정의합니다.

그림 6: 템플릿 설정 Override Template Settings 재정의

템플릿을 재정의해야 하는 경우 디바이스별로 필요한 구성 블록에 대해 템플릿 설정 재정의 옵션을 활성화할 수 있습니다. 그림 7 은 DNS 및 응용 프로그램 정책을 재정의할 수 있지만 WAN, LAN 또는 NTP 서버와 같은 다른 설정은 재정의하지 않는 방법을 보여 줍니다.

그림 7: 응용 프로그램 정책 Application Policy

스크린샷은 전부 아니면 전무 작업을 보여 줍니다. 템플릿 설정 재정의를 사용하도록 설정하면 구성 블록이 더 이상 WAN 에지 템플릿의 구성을 상속하지 않습니다. 템플릿의 해당 구성 블록에 대한 변경 사항은 더 이상 이 디바이스에 적용되지 않습니다. 향후 변경은 두 위치 모두에서 수동으로 수행해야 합니다(구성 블록당, 혼합 및 일치 없음).

조직 수준 응용 프로그램 정책

그림 8: 조직 수준 애플리케이션 정책

그림 8 은 조직 수준의 응용 프로그램 정책 구성 옵션을 보여 줍니다.

Organizational-Level Application Policy

템플릿을 사용하면 여러 디바이스를 배포하는 데 소요되는 시간을 절약할 수 있지만, 디바이스 모델이나 구성이 약간 다를 수 있는 다양한 템플릿이 있을 수 있습니다. 각 템플릿에 대해 동일한 응용 프로그램 정책을 만들 수 있지만 조직 수준의 응용 프로그램 정책을 사용하는 바로 가기가 있습니다. 조직 수준의 애플리케이션 정책을 사용하면 가져올 수 있는 애플리케이션 규칙을 WAN 에지 템플릿 및 대규모 네트워크 토폴로지용 허브 프로파일로 만들 수 있습니다.

조직 수준 응용 프로그램 정책 사용에 대한 몇 가지 모범 사례 및 제한 사항을 살펴보겠습니다. 각 조직 수준의 애플리케이션 정책 에는 전역적으로 고유한 이름이 필요하며, 그렇지 않으면 구성을 저장할 때 오류가 발생합니다. 가져온 정책은 수정할 수 없으므로 모든 필드가 흐리게 표시됩니다. 트래픽 스티어링은 로컬 연결 및 인텐트에 적용되기 때문에 조직 차원의 트래픽 스티어링이 없습니다.

조직 수준의 애플리케이션 정책을 LAN 블록 또는 하나의 서브넷에 적용하는 것이 좋습니다. 10/8의 LAN "슈퍼넷"을 만들면 정책은 10/any에서 소싱된 모든 것이 인터넷에 도달할 수 있도록 허용하므로 모든 사이트에서 작동합니다. 이것이 계획이 중요한 이유입니다. 구축에 관계없이 유사한 트래픽 패턴으로 문제 해결을 간소화하도록 네트워크를 설계합니다. 예를 들어, 일부 사이트에는 LTE가 있으며 트래픽은 다른 사이트가 아닌 해당 사이트에서 송신되어야 합니다. 또한 독립 실행형인 사이트도 있고 SD-WAN인 사이트도 있습니다. 유니버설 정책은 독립형 사이트의 트래픽 스티어링에 WAN을 언더레이로 이동하도록 지시하는 반면, 사이트는 SD-WAN 스포크를 위한 오버레이로 이동하도록 지시함으로써 둘 다에 적용될 수 있습니다.

요약하자면, 조직 수준 정책의 사용 사례는 사이트에 관계없이 네트워크 전체의 트래픽 패턴을 설명하는 것입니다. 정책으로 허용되는 것과 허용되지 않는 것을 정의합니다. 그런 다음 사이트 또는 템플릿(장소에 적용됨)에 적용할 때 스티어링 부분을 추가하여 퍼즐의 마지막 조각을 제공합니다.

WAN 설계 고려 사항

그림 9는 WAN 에지 프로비저닝을 위한 워크플로를 보여 줍니다.
그림 9: WAN 에지 프로비저닝 워크플로 WAN Edge Provisioning Workflow

완료된 프로젝트를 구성하는 블록을 검토하는 것은 다음과 같이 SD-WAN을 구축하는 데 필수적입니다.

  1. 조직에서 요청의 소스를 구성하는 "누가"(네트워크)에 대해 생각해 보세요.
  2. 사용자가 액세스하는 "대상(애플리케이션)"을 고려합니다.
  3. 이러한 요소는 조직에서 어디로 이동합니까? 사이트 유형을 고려합니다.
  4. 마지막으로, 이러한 사용자가 트래픽 대상에 대한 "방법"(트래픽 스티어링)을 얻고 얻는 방법을 고려합니다.
  5. 이제 Mist AI, 템플릿, 변수의 강력한 기능을 확장에 활용할 수 있습니다.

SD-WAN 프로비저닝

작업 순서가 중요합니다. SD-WAN 프로비저닝 구현을 준비할 때는 다음과 같은 순서로 작업을 완료하십시오.

  1. 먼저, 템플릿을 사용하여 네트워크를 계획하고 구축을 전체적으로 고려합니다.
  2. 허브 프로필은 WAN 에지 스포크 템플릿보다 먼저 와야 합니다.
  3. 먼저 애플리케이션(트래픽 대상)을 사용하여 설계한 다음 네트워크(누가)를 사용하여 설계합니다.

앱을 분석하고 나중에 더 세분화할 수 있습니다.

  1. 네트워크(트래픽 소스)를 알고 있어야 합니다.

네트워크는 정책 및 트래픽 스티어링에 정보를 제공합니다.

  • 양쪽 끝(스포크 및 허브)에 적절한 애플리케이션 정책을 적용합니다.

오버레이 엔드포인트를 설정할 때 엔드 투 엔드 도달 가능성을 위해 노력하십시오. 격리된 MPLS 엔드포인트는 인터넷 엔드포인트에 연결할 수 없습니다.