Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRX 시리즈 방화벽을 위한 네트워크 구성

SRX 시리즈 방화벽을 위한 네트워크를 설정하려면 다음 단계를 따르십시오.

Juniper WAN Assurance 설계에서 네트워크는 요청 소스입니다. 주니퍼® SRX 시리즈 방화벽에서 네트워크는 보안 정책 및 고급 정책 기반 라우팅(APBR) 정책의 소스로 사용되는 주소록을 생성합니다.

네트워크를 사용하여 사용자 그룹을 정의할 수 있습니다. WAN 설계에서는 LAN 세그먼트를 통해 애플리케이션에 액세스하는 소스를 식별하고 사용자를 설정해야 합니다. 사용자는 나중에 응용 프로그램 정책에서 사용할 수 있는 소스 주소입니다.

Juniper Mist™ 클라우드 포털에서 네트워크를 만든 후에는 포털에서 전체 조직의 네트워크를 사용할 수 있습니다. WAN Assurance 설계는 네트워크를 애플리케이션 정책의 소스로 사용합니다.

네트워크 구성 방법:

  1. Juniper Mist 클라우드 포털에서 조직 > WAN > 네트워크를 클릭합니다.
    기존 네트워크 목록(있는 경우)이 나타납니다.
  2. 오른쪽 상단 모서리에 있는 네트워크 추가 를 클릭합니다.
    네트워크 추가 창이 나타납니다. 표 1 에는 네트워크에서 설정할 수 있는 옵션이 요약되어 있습니다.
    표 1: 네트워크 옵션
    필드 설명
    이름 네트워크의 고유한 이름을 입력합니다. 이름은 영숫자, 밑줄, 하이픈을 포함할 수 있으며 32자 미만이어야 합니다.
    서브넷 IP 주소 네트워크 IP 주소를 입력합니다. 절대 값(예: 192.0.2.0) 또는 변수(예:{{SPOKE_LAN1_PFX}}.0 )를 사용할 수 있습니다.
    접두사 길이 0에서 32 사이의 주소 접두사 길이를 입력합니다. 접두사 길이에 변수를 사용할 수도 있습니다. 예: {{PFX1}}
    VLAN ID

    (선택 사항) 네트워크와 연결된 VLAN ID를 입력합니다.

    디바이스에서 태그 처리되지 않은 인터페이스를 사용하는 경우 변수 대신 1을 VLAN ID로 사용해야 합니다.
    소스 네트워크 주소 변환(NAT) 풀 접두사

    (선택 사항) 소스 NAT에 대한 IPv4 접두사를 입력합니다. 소스 NAT는 트래픽의 소스 IP 주소(개인 IP 주소)를 공용 IP 주소로 변환합니다.
    Mist Cloud 액세스

    정의된 네트워크 내의 다른 디바이스가 SRX 시리즈 방화벽을 통해 관리를 위해 Mist 클라우드에 연결할 수 있도록 하려면 이 옵션을 선택합니다.

    WAN 에지 디바이스에는 WAN 인터페이스를 사용하여 Mist 클라우드 서비스에 연결하기 위한 기본 제공 정책이 있습니다. 이 옵션을 사용하여 Mist 클라우드에 대한 액세스 권한을 부여하면 네트워크에서 Mist 연결에 대한 기본 제공 정책을 사용할 수 있습니다.

    사용 사례 예: Mist 매니지드 디바이스를 위한 관리 LAN 네트워크.
    오버레이에 보급

    오버레이 터널을 통해 허브 디바이스에 네트워크를 보급하려면 옵션을 선택합니다. 이 옵션을 선택하면 다음과 같은 광고 추가 옵션이 표시됩니다.

    • Advertise to Other Spokes(다른 스포크에 광고) - 네트워크 접두사를 다른 스포크에 광고합니다(기본 옵션).

      네트워크가 허브(다른 스포크가 아님)에만 접두사를 알리도록 하려면 기본 옵션을 비활성화합니다.

    • Advertise to Hub LAN BGP neighbor(허브 LAN BGP 인접 디바이스에 보급) - 허브의 LAN BGP 인접 라우터에 네트워크 접두사를 광고하는 네트워크(기본 옵션). 광고하지 않으려면 기본 옵션을 비활성화합니다.
    • 허브 LAN OSPF 인접 라우터에 보급(SRX만 해당) - 허브의 LAN OSPF 인접 라우터에 네트워크 접두사를 광고하는 네트워크(기본 옵션). 광고하지 않으려면 기본 옵션을 비활성화합니다.
    • Override Prefix to Advertise(보급할 접두사 재정의) - Hubs에 보급할 접두사가 원래 네트워크가 아니라 다른 접두사인 경우 이 옵션을 활성화합니다. 이는 일반적으로 NAT 옵션을 활성화할 때 사용됩니다. 이 옵션을 선택하는 경우 IP 주소 및 접두사 길이를 입력합니다.

    포털에는 다음과 같은 경로 요약 옵션도 표시됩니다.

    • Hub Overlay Summarization(허브 오버레이 요약) - 네트워크에서 오버레이에 보급된 네트워크 접두사를 요약할 수 있도록 합니다. 예: 포털Juniper Mist 192.168.1.0/24를 192.168.0.0/16으로 요약할 수 있습니다. 이 기능은 허브가 각 스포크에서 수신하고 허브가 다른 모든 스포크로 다시 보내는 BGP 업데이트 수를 제한합니다.
    • 허브 LAN BGP 요약—LAN BGP 인접 라우터에 보급된 네트워크 접두사를 요약하도록 네트워크를 활성화합니다. 예: 포털Juniper Mist 192.168.1.0/24를 192.168.0.0/16으로 요약할 수 있습니다.
    • Hub LAN OSPF Summarization(허브 LAN OSPF 요약) - LAN OSPF 네이버에 보급된 네트워크 접두사를 요약하도록 네트워크를 활성화합니다. 예: 포털Juniper Mist 192.168.1.0/24를 192.168.0.0/16으로 요약할 수 있습니다.
    • Route Summarization(경로 요약) - 오버레이에 대한 로컬 경로를 요약합니다. 요약된 경로의 IP 주소 및 접두사 길이를 지정할 수 있습니다. Session Smart 라우터의 경우 네트워크가 스포크에만 연결된 경우에만 요약을 지원합니다.

    네트워크 직접 연결되지 않음(SSR만 해당)

    LAN에 할당된 이 네트워크에 도착하는 직접 연결되지 않은 네트워크를 선택합니다.
    사용자

    (선택 사항) 추가 네트워크 또는 사용자. 예: 원격 네트워크 또는 기본 네트워크에 연결된 사용자입니다.

    Add User(사용자 추가) 옵션을 클릭하고 추가 사용자의 Name(이름) 및 IP Prefix(IP 접두사)를 입력합니다.
    정적 NAT

    (선택 사항) 원래 개인 호스트 원본 주소와 공용 원본 주소의 일대일 정적 매핑을 수행합니다.

    Add Static NAT 옵션을 클릭하고 Name(이름), Internal IP(내부 IP), External IP(외부 IP)를 입력하고 Underlay 또는 Overlay(오버레이)의 발신 트래픽에 적용할 옵션을 선택합니다. SRX 시리즈 디바이스의 WAN 이름을 입력합니다.
    대상 NAT

    (선택 사항) 패킷의 대상 IP 주소를 변환합니다.

    Add Destination NAT 옵션을 클릭하고 Name(이름), Internal IP(내부 IP) Internal Port(내부 포트), External IP(외부 IP), External Port(외부 포트)를 입력하고 Underlay 또는 Overlay의 발신 트래픽에 적용할 옵션을 선택합니다. SRX 시리즈 디바이스의 WAN 이름을 입력합니다.
  3. 표 2에 나와 있는 세부 사항에 따라 구성을 완료합니다.
    이 작업에서는 서브넷 IP 주소 및 접두사 길이 필드 모두에 변수를 사용하여 SPOKE-LAN1, HUB1-LAN1 및 HUB2-LAN1의 세 가지 네트워크를 구성합니다.
    , ,
    표 2: 네트워크 구성 예
    필드: 네트워크 1네트워크 2네트워크 3
    이름 스포크 LAN1 HUB1-LAN1 시리즈 HUB2-LAN1 시리즈
    서브넷 IP 주소 {{SPOKE_LAN1_PFX}}.0 {{HUB1_LAN1_PFX}}.0 {{HUB2_LAN1_PFX}}.0
    접두사 길이 24 24 24
    VLAN ID {{SPOKE_LAN1_VLAN}} {{HUB1_LAN1_VLAN}} {{HUB2_LAN1_VLAN}}
    Mist Cloud 액세스 확인 확인 확인
    오버레이를 통해 보급됨 확인 확인 확인
    사용자
    • 이름=모두
    • IP 접두사=10.0.0.0/8
    		 - -
    메모:

    IP 접두사가 10.0.0.0/8인 사용자 "All"은 범위의 모든 향후 LAN 세그먼트에 대한 와일드카드 역할을 합니다. 허브의 SRX 시리즈 방화벽은 동일한 사용자 이름(모두)과 IP 접두사(10.0.0.8)를 사용하여 단일 규칙으로 모든 스포크 LAN 인터페이스를 식별할 수 있습니다.

    메모:

    변수를 사용할 때 시스템이 허브 사이트의 모든 LAN 세그먼트를 자동으로 가져온다고 가정하지 마십시오. 경우에 따라 시스템은 범위가 넓고 보안 문제를 일으킬 수 있는 모든 넷마스크를 적용할 수 있습니다.
  4. Add(추가)를 클릭합니다.

    그림 1 은 새로 생성된 네트워크 목록을 보여줍니다.

    그림 1: 네트워크 요약 Networks Summary

사이트 변수

사이트별로 사이트 변수를 구성할 수 있습니다. 사이트 변수를 사용하면 여러 네트워크를 정의하지 않고도 각 사이트에 대해 서로 다른 값을 가진 동일한 네트워크 정의를 사용할 수 있습니다. 변수의 형식은 {{variable_name}}입니다. 변수를 사용하여 네트워크를 정의하는 것은 WAN 에지 템플릿 구성에서 일반적인 관행입니다.

팁: 구성 화면에서 작업할 때 VAR 표시기를 찾으십시오. 이 표시기가 있는 필드는 사이트 변수를 허용합니다.

또한 이 레이블이 있는 필드에는 특정 변수를 입력하기 시작할 때 일치하는 변수(구성된 경우)가 표시됩니다. 이 필드에는 조직 내 모든 사이트의 변수가 나열됩니다.

조직 전체 변수 목록은 GET /api/v1/orgs/:org_id/vars/search?var=*를 사용하여 볼 수 있습니다. 이 목록은 사이트 설정 아래에 변수가 추가될 때 채워집니다.

그림 2는 절대값과 사이트 변수를 사용하여 네트워크를 구성하는 두 가지 샘플을 보여줍니다.

그림 2: 절대값과 변수를 Configuring Networks with Absolute Values and Variables 사용한 네트워크 구성

조직 > 관리자> 사이트 구성 창에서 사이트 변수를 정의할 수 있습니다.

그림 3: 사이트 변수 설정 창 Site Variables Settings Pane

이 작업은 VLAN ID 및 서브넷 IP 주소에 대한 변수를 사용합니다. 처음 3개의 옥텟을 포함하는 사이트 변수는 그림 4와 같이 서브넷 IP 주소 변수 값을 대체합니다.

그림 4: 사이트 구성 페이지에 Site Variables Displayed on the Site Configuration Page 표시되는 사이트 변수

관련 설명서