Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

주니퍼 Mist Secure Edge 커넥터 개요

SSE(Secure Service Edge)를 통합하기 전에 주요 개념, 구축 옵션 및 개략적인 워크플로우를 숙지해야 합니다.

주니퍼 Mist는 WAN 에지 디바이스로 구축된 주니퍼 네트웍스® SRX 시리즈 방화벽 및 주니퍼® Session Smart™ 라우터를 위해 특별히 설계된 사전 구축된 WAN 커넥터를 제공합니다. 이러한 커넥터는 SSE(Secure Service Edge) 구축과의 원활한 통합을 용이하게 합니다. 최소한의 구성으로 SSE를 주니퍼 Mist 포털에 통합할 수 있습니다. 따라서 WAN 에지 디바이스는 IPsec 또는 GRE 프로토콜을 사용하여 SSE에 대한 연결을 설정합니다.

그림 1: 주니퍼 Secure Edge Traffic Inspection by Juniper Secure Edge 를 통한 트래픽 검사

이 솔루션에서는 WAN Edge 템플릿 내의 SEC(Secure Edge Connector)를 사용하여 WAN Edge 디바이스와 SSE 간에 IPsec 터널가 구성됩니다. 또한 Prisma 액세스 자동 프로비저닝 및 사용자 지정 SEC 유형의 경우 BGP over IPsec 연결을 구성하여 SSE 디바이스에서 라우팅 대상을 동적으로 학습할 수 있습니다.

주니퍼 Mist는 다음과 같은 SEC 유형을 지원합니다.

  • 주니퍼 Secure Edge(수동 설정 및 자동 프로비저닝)
  • Zscaler(수동 설정 및 자동 프로비저닝)
  • 사용자 지정

  • Palo Alto Prisma 액세스(자동 프로비저닝)

주니퍼 Secure Edge, 맞춤형 또는 Zscaler 구축으로 Secure Edge 커넥터를 설정하여 WAN 에지 디바이스(SSR 시리즈 라우터 또는 SRX 시리즈 방화벽)의 트래픽을 오프로드하기 위한 개략적인 워크플로우:

  1. 디바이스 연결을 위한 기본 브랜치 템플릿을 만들고 배포합니다.

  2. 선택적으로 SSE에서 원격 네트워크를 구성합니다. 이 단계에서는 터널을 통한 인바운드 연결에 대한 원격 소스를 정의합니다.

  3. 디바이스 템플릿에서 SEC 및 SSE 공급자를 구성합니다. 이 단계에서는 원격 위치에 대한 사용자 지정 IPsec 터널을 생성하고 암호화 매개 변수를 정의합니다.

  4. 선택적으로 경로를 동적으로 학습하도록 BGP 피어를 구성합니다.

  5. 트래픽을 IPsec 터널로 조정할 수 있는 애플리케이션을 구성합니다. 이 애플리케이션은 클라이언트 네트워크가 BGP 학습 경로에 액세스할 수 있도록 애플리케이션 정책에 사용됩니다.

  6. 스포크 또는 허브 디바이스의 LAN 측에서 SEC로 인터넷 바운드 트래픽을 조정하는 트래픽 스티어링 정책을 구성합니다.

SEC 애플리케이션 정책

애플리케이션 정책은 어떤 네트워크와 사용자(트래픽 소스)가 어떤 애플리케이션(트래픽 대상)에 액세스할 수 있는지를 정의합니다. 또한 트래픽 스티어링을 사용하여 사용할 경로를 정의할 수 있습니다.

이러한 정책을 설정하려면 네트워크, 애플리케이션 및 트래픽 스티어링 프로필을 생성해야 합니다.

  • 아웃바운드 트래픽의 경우 - 트래픽 스티어링 프로필에 SEC를 포함합니다.

  • SEC를 통한 인바운드 트래픽의 경우 - SEC에 원격 네트워크를 포함하고 인바운드 액세스를 허용하는 애플리케이션 정책을 정의합니다. 이 기능을 사용하면 사이트에 대한 인바운드 트래픽을 시작하는 클라우드 호스팅 서비스에 안전하게 연결할 수 있습니다.

Secure Edge Connector에 대한 트래픽 스티어링 프로파일

트래픽 스티어링은 주니퍼 Mist가 터널을 생성하기 전에 SRX 시리즈 방화벽과 Session Smart 라우터 모두에서 SEC에 필요합니다.

이 요구 사항은 다음과 같은 경우와 함께 유지됩니다.

  • 원격 네트워크가 SEC에 할당됨
  • BGP 피어가 SEC에 할당됩니다.

SEC를 위한 동적 라우팅

SEC를 통해 BGP 피어링을 구성할 수 있습니다. 이 구성은 동적 라우팅에 BGP를 활용하고 BGP 경로 선택을 사용하여 경로 테이블에 경로를 설치합니다. 개략적인 단계는 다음과 같습니다.

참고: BGP over IPsec 연결은 다음 SEC 유형에 대해서만 구성할 수 있습니다.

  • Palo Alto Prisma 액세스(자동 프로비저닝)

  • 사용자 지정

JSE 및 Zscaler는 동적 라우팅을 위해 IPsec을 통한 BGP를 지원 하지 않습니다.

  • 사용자 지정 Secure Edge 공급자를 사용하여 SEC가 설정되고 구성되었는지 확인합니다.

  • BGP 가져오기 및 내보내기 정책을 구성합니다.

  • BGP neighbor 옵션을 구성합니다.

  • 이 BGP neighbor에 대한 SEC를 선택합니다.

  • 가져오기 및 내보내기 정책을 할당합니다.

  • BGP 피어가 터널 인터페이스를 통해 경로를 교환하고 있는지 확인합니다.