주니퍼 Secure Edge로 Secure Edge Connector 설정(수동 프로비저닝) | Mist

구성 개요

이 작업에서는 트래픽이 인터넷에 도달하기 전에 검사를 위해 스포크 또는 허브 디바이스의 LAN 측에서 Secure Edge로 인터넷 바운드 트래픽을 보냅니다.

Secure Edge에서 트래픽 검사를 수행하려면 다음을 수행합니다.

Juniper Security Director Cloud에서 Secure Edge에 대한 서비스 위치, IPsec 프로필, 사이트 및 정책을 생성하고 구성합니다. 이는 WAN 에지 디바이스에 보안 서비스 및 연결을 제공하는 클라우드 기반 리소스입니다.
Mist Cloud에서 LAN 네트워크에 연결하는 WAN 에지 디바이스(Session Smart 라우터 또는 SRX 시리즈 방화벽)를 생성하고 구성합니다. 브랜치 또는 캠퍼스에 라우팅, 스위칭 및 SD-WAN 기능을 제공하는 물리적 디바이스입니다.
Mist WAN-Edge에서 WAN 에지 디바이스를 서비스 위치에 연결하는 WAN Secure Edge 터널을 생성하고 구성합니다. Secure Edge에서 검사해야 하는 트래픽에 대해 안전하고 안정적인 전송을 제공하는 IPsec 터널입니다.
Mist Cloud에서 WAN 에지 디바이스에 해당하는 사이트 또는 디바이스 프로필에 Secure Edge 터널을 할당합니다. 이렇게 하면 정의된 데이터 정책 및 기타 일치 기준에 따라 LAN 네트워크에서 Secure Edge 클라우드로의 트래픽 스티어링이 가능합니다.

다음 표의 항목에서는 주니퍼 Mist™ 클라우드와 함께 Secure Edge의 클라우드 기반 보안을 사용하는 데 필요한 개요 정보를 제공합니다.

표 1: Secure Edge 커넥터 구성 워크플로우
단계	작업	설명
1	액세스 Juniper Security Director 클라우드 및 활성 구독 확인	액세스 Juniper Security Director 클라우드에서 조직 계정으로 이동하여 Secure Edge 구독을 확인합니다. 구독을 통해 구축을 위한 Secure Edge 서비스를 구성할 수 있습니다.
2	Juniper Security Director 클라우드에서 서비스 위치 구성	서비스 위치를 생성합니다. 여기서 vSRX 기반 VPN 게이트웨이는 서로 다른 네트워크 간에 보안 연결을 생성합니다.
3	Juniper Security Director 클라우드에서 디바이스 인증서 생성	주니퍼 Secure Edge에 대한 디지털 인증서를 생성하여 Secure Edge와 사용자 엔드포인트 간의 보안 통신을 구축합니다.
4	Juniper Security Director Cloud에서 IPsec 프로필 생성	IPsec 프로필을 생성하여 Secure Edge 인스턴스가 있는 주니퍼 Mist 클라우드 네트워크의 WAN 에지 디바이스 간의 통신을 위한 IPsec 터널을 설정합니다.
5	Juniper Security Director Cloud에서 사이트 생성	WAN 에지 디바이스(Session Smart 라우터 또는 SRX 시리즈 방화벽)를 호스팅하는 사이트를 생성합니다. 디바이스의 트래픽은 검사를 위해 보안 터널을 통해 Secure Edge 인스턴스로 전달됩니다.
6	Juniper Security Director Cloud에서 보안 에지 정책 구축	사이트에서 시작되거나 사이트로 향하는 트래픽에 대한 보안 규칙 및 작업을 정의하는 정책을 구성합니다.
7	Juniper Security Director Cloud에 적용할 IPsec 터널 구성 매개 변수 가져오기	서비스 위치 IP 또는 호스트 이름, IPsec 프로필 이름 및 사전 공유 키와 같은 세부 정보를 기록해 둡니다. 주니퍼 Mist 측에서 IPsec 터널을 설정하려면 이러한 세부 정보가 필요합니다.
8	Juniper Mist Cloud 포털에서 Secure Edge 커넥터 생성	주니퍼 Mist 클라우드 포털에서 Secure Edge 커넥터를 생성합니다. 이 작업은 터널의 Mist 클라우드 측에서 구성을 완료하여 Mist에서 관리하는 에지 디바이스와 보안 에지 인스턴스 간에 IPsec 터널WAN 설정합니다.
9	애플리케이션 정책 수정	중앙 집중식 액세스를 위해 허브를 거치는 대신 Juniper Security Director 클라우드를 통해 에지 디바이스WAN 인터넷으로 트래픽을 전송하도록 새 애플리케이션 정책을 만들거나 기존 애플리케이션 정책을 변경합니다.
10	구성 확인	다음에서 설정된 IPsec 터널을 확인하여 구성이 작동하는지 확인합니다. Mist 포털의 WAN 인사이트 Security Director Cloud 대시보드 WAN 에지 디바이스 CLI의 터널 트래픽 플로우.

시작하기 전에

주니퍼® Secure Edge 구독 요구 사항에 대해 읽어보십시오. 주니퍼 Secure Edge 구독 개요를 참조하십시오.
Juniper Security Director 클라우드 포털에 액세스하기 위한 사전 필수 구성 요소를 완료했는지 확인합니다. 사전 요구 사항을 참조하십시오.
Secure Edge 테넌트를 생성합니다. Secure Edge 테넌트 생성의 내용을 참조하십시오.
Juniper Mist Cloud에서 WAN 에지 디바이스로 구축된 Session Smart 라우터 또는 SRX 시리즈 방화벽을 채택하여 구성했다고 가정합니다.

액세스 Juniper Security Director 클라우드 및 활성 구독 확인

주니퍼 Secure Edge의 테넌트는 Juniper Security Director Cloud 포털에 액세스하고 Secure Edge 서비스를 관리하기 위해 생성하는 조직 계정입니다. 테넌트는 고유한 이메일 주소 및 구독 계획과 연결됩니다. 테넌트는 조직의 퍼블릭 클라우드에서 호스팅되는 vSRX 기반 VPN 게이트웨이인 여러 서비스 위치를 가질 수 있습니다.

테넌트에는 최종 사용자의 연결 지점인 하나 이상의 서비스 위치가 있을 수 있습니다. 테넌트를 생성하려면 Juniper Security Director Cloud에 계정이 있어야 합니다. 자세한 내용은 Secure Edge 테넌트 생성 을 참조하십시오.

Juniper Security Director Cloud 포털에서 Secure Edge 테넌트를 생성한 후 포털에 액세스하여 구독을 확인합니다.

Juniper Security Director Cloud에 액세스하여 활성 구독을 확인하려면:

Juniper Security Director Cloud의 URL을 엽니다. 이메일 주소와 비밀번호를 입력하여 로그인하고 Juniper Security Director Cloud 포털을 사용하십시오.
포털의 오른쪽 위 모서리에서 필요한 테넌트를 선택하여 계속합니다.
관리 > 구독을 선택하여 Juniper Security Director Cloud 구독 페이지에 액세스합니다.
Secure Edge 구독 섹션으로 스크롤하여 활성 구독이 있는지 확인합니다.

참고: 주니퍼 네트웍스® SRX 시리즈 방화벽을 사용하는 경우에도 SRX 관리 구독 탭을 클릭할 필요가 없습니다. 이 작업에서는 WAN 에지 디바이스를 관리하기 위해 Juniper Security Director 클라우드를 사용하지 않습니다.

자세한 내용은 구독 페이지 정보를 참조하십시오.

활성 구독이 있다고 가정하고 다음 단계를 계속합니다.

서비스 위치 구성

Juniper Security Director Cloud에 대한 활성 라이선스가 있는지 확인한 후 서비스 위치를 구성합니다. 이 단계는 Session Smart 라우터용 Secure Edge 커넥터를 설정하는 첫 번째 주요 작업입니다.

Juniper Security Director Cloud의 서비스 위치는 POP(접속 위치)라고도 하며 클라우드 위치의 주니퍼® Secure Edge 인스턴스를 나타냅니다. 서비스 위치는 온프레미스 사용자와 로밍 사용자 모두의 연결(액세스) 지점입니다.

서비스 위치는 vSRX가 퍼블릭 클라우드 서비스를 사용하여 서로 다른 네트워크 간에 보안 연결을 생성하는 장소입니다. 공용 IP 주소(테넌트 및 서비스 위치별로 고유)는 다음과 같은 용도로 사용됩니다.

브랜치 디바이스와 Juniper Security Director Cloud 간에 IPsec 터널을 설정합니다.
대상이 인터넷에 있을 때 트래픽을 중앙에서 분산합니다.

Juniper Security Director Cloud에서 서비스 위치를 구성하려면 다음을 수행합니다.

클라우드 메뉴에서 Secure Edge>서비스 관리>서비스 위치를 선택합니다.Juniper Security Director

서비스 위치 페이지가 나타납니다.

추가(+) 아이콘을 클릭하여 새 서비스 위치를 생성합니다.

다음 필드에 대한 세부 정보를 입력합니다.

리전 - Secure Edge 인스턴스를 생성할 지리적 리전을 선택합니다.
PoP - 영역에서 Secure Edge의 위치를 선택합니다.
사용자 수 - 이 서비스 위치가 서비스를 제공해야 할 수 있는 총 사용자 수를 입력합니다.

서비스

표 2: 서비스 위치 필드
현장	서비스 위치	위치
지역	북미	북미
PoP	오하이오	오리건
사용자 수	50 (출구를 균등하게 나눕니다)	50

확인을 클릭합니다.

Security Director Cloud는 서비스 위치를 생성하여 서비스 위치 페이지에 나열합니다.

Secure Edge 인스턴스가 완전히 배포될 때까지 서비스 위치의 상태가 진행 중 으로 표시됩니다.

서비스 위치를 생성하면 시스템은 테넌트 시스템의 VPN 게이트웨이로 두 개의 vSRX 인스턴스를 구축하기 시작합니다. 이 구축에서 vSRX 인스턴스는 다른 테넌트와 공유되지 않습니다.

Juniper Security Director 클라우드에서 디바이스 인증서 생성

이제 Juniper Security Director Cloud에서 서비스 위치를 구성했으므로 네트워크 트래픽을 보호하기 위한 디바이스 인증서를 생성합니다.

TLS/SSL(전송 레이어 보안/Secure Sockets Layer) 인증서를 사용하여 Secure Edge와 WAN 에지 디바이스 간에 보안 통신을 설정할 수 있습니다. 네트워크의 모든 클라이언트 브라우저가 SSL 프록시를 사용하려면 주니퍼 네트웍스 및 SRX 시리즈 방화벽에서 서명한 인증서를 신뢰해야 합니다.

Juniper Security Director Cloud에서는 인증서를 생성하기 위해 다음과 같은 옵션을 사용할 수 있습니다.

새 인증서 서명 요청(CSR)을 만들면 자체 인증 기관(CA)에서 CSR을 사용하여 새 인증서를 생성할 수 있습니다.
주니퍼 네트웍스에서 인증서를 생성하도록 하는 옵션을 선택합니다.

참고:

이 항목에서는 TLS/SSL 인증서를 생성하는 방법에 대해 설명합니다. 인증서를 가져오고 사용하는 방법은 회사의 클라이언트 관리 요구 사항에 따라 달라지며 이 항목의 범위를 벗어납니다.

Juniper Security Director 클라우드에서 디바이스 인증서를 생성하려면:

Secure Edge>서비스 관리>인증서 관리를 선택합니다.

인증서 관리 페이지가 나타납니다.

생성 목록에서 새 인증서 서명 요청(CSR) 또는 주니퍼에서 발급한 인증서를 생성할 수 있습니다.
관련 옵션을 선택합니다.
1. 회사에 자체 CA가 있고 CSR을 생성하려는 경우 인증서 서명 요청을 클릭합니다.
  
  주니퍼 Secure Edge가 CSR을 생성한 후 CSR을 다운로드하여 CA에 제출하여 새 인증서를 생성합니다. 생성되면 업로드를 클릭하여 인증서 관리 페이지에서 인증서를 업로드합니다.
2. 회사에 자체 CA가 없는 경우 주니퍼 발급 인증서를 클릭한 다음 생성을 클릭하여 인증서를 생성합니다. 주니퍼 네트웍스가 인증서를 생성하고 시스템에 보관합니다.
  이 작업에서 주니퍼 발급 인증서를 선택하고 다음 단계를 계속합니다.
인증서 세부 정보를 입력합니다. 일반 이름 필드에서 인증서의 FQDN(정규화된 도메인 이름)을 사용합니다.

인증서 관리 페이지가 열리고 인증서가 성공적으로 생성되었음을 알리는 메시지가 표시됩니다.

생성된 인증서를 다운로드합니다.

다음 샘플은 다운로드한 인증서를 보여줍니다.

시스템에 인증서를 다운로드한 후 클라이언트 브라우저에 인증서를 추가합니다.

Juniper Security Director Cloud에서 IPsec 프로필 생성

Secure Edge와 WAN 에지 디바이스 간에 보안 통신을 설정하기 위한 인증서를 생성한 후에는 IPsec 프로필을 만들 준비가 된 것입니다.

IPsec 프로필은 주니퍼 Mist™ 클라우드 네트워크의 WAN 에지 디바이스가 Secure Edge 인스턴스와 통신을 시작할 때 IPsec 터널가 설정되는 매개 변수를 정의합니다.

Juniper Security Director 클라우드에서 IPsec 프로필을 생성하려면

Juniper Security Director Cloud 포털에서 Secure Edge > Service Management > IPsec Profiles를 선택합니다.
추가(+) 아이콘을 클릭하여 IPsec 프로필을 생성합니다.
IPsec 프로필 생성 페이지가 나타납니다.
프로필 이름에는 를 사용합니다default-ipsec. IKE(Internet Key Exchange) 및 IPsec에 대한 모든 기본값을 유지합니다. 현재 주니퍼 Mist 클라우드 포털에서는 구성할 수 없습니다.

이 IPsec 프로필을 사용하여 다음 작업에서 사이트를 만듭니다. 사이트 생성 페이지의 트래픽 전달 탭에서 터널 유형으로 IPsec을 선택하면 IPsec 프로필을 연결합니다.

주니퍼 Secure Edge 클라우드에서 사이트 생성

이제 IPsec 프로필을 생성했습니다. 이러한 프로필은 주니퍼 Mist™ 클라우드 네트워크의 WAN 에지 디바이스와 Secure Edge 인스턴스 간의 IPsec 터널에 대한 매개 변수를 정의합니다.

이 시점에서 Juniper Security Director 클라우드에서 사이트를 만들어야 합니다. 사이트는 WAN 에지 디바이스를 호스트하는 위치를 나타냅니다. WAN 에지 디바이스의 트래픽은 보안 터널을 통해 Secure Edge 인스턴스로 전달된 다음 Secure Edge 클라우드 서비스에 의해 검사 및 적용됩니다.

사이트의 WAN 에지 디바이스에서 GRE(Generic Routing Encapsulation) 또는 IPsec 터널을 통해 고객 사이트에서 주니퍼 Secure Edge 클라우드로 인터넷 바운딩 트래픽의 일부 또는 전부를 전달하도록 구성할 수 있습니다.

참고:

브랜치 위치에서 스테이트풀 방화벽을 사용하는 경우 Secure Edge 내의 동일한 POP에 대해 겹치는 브랜치 주소가 지원되지 않습니다. 이러한 중첩 IP에 대한 역방향 경로 트래픽은 모든 연결에서 ECMP(equal-cost 다중 경로)를 사용하여 라우팅됩니다. 트래픽은 트래픽이 발생한 인터페이스에 세션별 라우팅이 아닌 ECMP를 사용하여 라우팅됩니다. 사이트에 대해 보호된 네트워크를 구성할 때 ECMP를 통한 역방향 경로 트래픽을 고려합니다.

Juniper Security Director Cloud에서 사이트를 만들려면:

Juniper Security Director Cloud 포털에서 Secure Edge >Service Management > Sites를 선택합니다.
더하기(+) 아이콘을 클릭하여 사이트를 만듭니다.

설정을 입력합니다.

고유한 사이트 이름과 설명을 입력합니다.
사이트가 있는 목록에서 해당 국가를 선택합니다.
(선택 사항) 고객 지점이 있는 우편번호를 입력합니다.
(선택 사항) 사이트의 위치(도로 주소)를 입력합니다.
사이트에서 네트워크를 사용할 수 있는 사용자 수를 선택합니다.
보호된 네트워크 필드에서 추가(+) 아이콘을 클릭하여 터널을 통과하는 트래픽 흐름에 사용할 인터페이스의 프라이빗 IP 주소 범위를 추가합니다.

이 예는 주니퍼 Secure Edge Cloud의 사이트를 보여줍니다.

이 표에서는 자세한 정보를 제공합니다.

표 3: 사이트 생성 세부 정보
필드	값
기본 서비스 위치	JSEC-오레곤
보조 서비스 위치	JSEC-오하이오
사용자 수	10
이름	스포크1-사이트
국가	독일
보호된 네트워크	10.99.99.0/24(LAN 네트워크)

다음을 클릭합니다.

트래픽 전달 페이지에서 설정을 입력합니다.

표 4: 트래픽 포워딩 정책에 대한 세부 정보
필드	값
터널 유형	IPsec
IP 주소 유형	동적 고정 IP 주소 유형의 경우 사이트 IP 주소 필드에 디바이스 IP 주소를 제공해야 합니다.
IPsec 프로파일	default-ipsec 사전 구성된 IPsec 프로파일이 없는 경우 IPsec 프로파일 생성을 클릭하여 IPsec 프로파일을 생성합니다.
사전 공유 키	각 사이트에 대해 고유한 PSK를 정의합니다. 예: 주니퍼!1
IKE(Internet Key Exchange) ID	site1@example.com(이메일 주소와 유사하며 각 사이트에 고유한 값이어야 함)

다음을 클릭합니다.
사이트 구성 페이지의 디바이스 유형에서 비 주니퍼 디바이스를 선택합니다.

주니퍼 Mist 클라우드 포털에서 관리하는 디바이스에는 Juniper Security Director 클라우드를 통해 구성이 푸시되지 않으므로 이 옵션을 선택해야 합니다.
다음을 클릭합니다.
요약 페이지에서 구성을 검토합니다.
뒤로를 클릭하여 필드를 편집하거나 마침을 클릭하여 새 사이트를 만듭니다.

동일한 절차를 사용하여 사이트를 두 개 더 추가합니다. 다음 단락에서는 각 사이트에 포함해야 할 세부 정보에 대해 설명합니다.

아래에 제공된 세부 정보를 사용하여 두 번째 사이트를 만듭니다.

표 5: 두 번째 사이트에 대한 사이트 만들기
필드	값
기본 서비스 위치	JSEC-오레곤
보조 서비스 위치	JSEC-오레곤
사용자 수	10
이름	스포크2-사이트
국가	독일
보호된 네트워크	10.88.88.0/24(LAN 네트워크)

표 6: 두 번째 사이트에 대한 트래픽 포워딩
필드	값
터널 유형	IPsec
IP 주소 유형	동적
IPsec 프로파일	default-ipsec
사전 공유 키	각 사이트에 대해 고유한 PSK를 정의합니다. 예: 주니퍼!1
IKE(Internet Key Exchange) ID	site2@example.com(이메일 주소와 유사하며 각 사이트에 고유한 값이어야 함)

디바이스 유형=비 주니퍼 디바이스를 선택합니다.

아래에 제공된 세부 정보를 사용하여 세 번째 사이트를 만듭니다.

표 7: 세 번째 사이트 만들기: 사이트 세부 정보
필드	값
기본 서비스 위치	JSEC-오레곤
보조 서비스 위치	JSEC-오하이오
사용자 수	10
이름	스포크3-site
국가	독일
보호된 네트워크	10.77.77.0/24(LAN 네트워크)

표 8: 세 번째 사이트 만들기: 트래픽 전달 세부 정보
필드	값
터널 유형	IPsec
IP 주소 유형	동적
IPsec 프로파일	default-ipsec
사전 공유 키	각 사이트에 대해 고유한 PSK를 정의합니다. 예: 주니퍼!1
IKE(Internet Key Exchange) ID	site3@example.com(이메일 주소와 유사하며 각 사이트에 고유한 값이어야 함)

디바이스 유형=비 주니퍼 디바이스를 선택합니다.

요약 페이지를 검토합니다. 잘못된 항목을 수정합니다.
그림 1에는 사용자가 만든 사이트 목록이 나와 있습니다.
그림 1: 생성된 사이트 요약

Juniper Security Director Cloud에서 보안 에지 정책 구축

이제 Juniper Security Director Cloud에서 사이트를 생성했으므로 이제 하나 이상의 주니퍼® Secure Edge 정책을 배포할 차례입니다.

Secure Edge 정책은 네트워크가 트래픽을 라우팅하는 방법을 지정합니다. 기본적으로 새 테넌트를 생성할 때 Security Director Cloud는 사전 정의된 규칙을 사용하여 Secure Edge 정책 규칙 세트를 생성합니다.

참고:

기본 규칙 세트를 변경하지 않더라도 배치 옵션을 사용하여 서비스 위치의 규칙을 로드해야 합니다.

Juniper Security Director Cloud에서 Secure Edge 정책을 구축하려면:

클라우드 포털Juniper Security Director Secure Edge > 보안 정책을 클릭합니다.

기본 규칙이 있는 Secure Edge Policy(보안 에지 정책) 페이지가 나타납니다. 더 나은 디버깅을 위해 기본 보안 정책 세트를 수정합니다. 기본 규칙 집합은 외부(인터넷)로의 ICMP ping을 허용하지 않으므로 클라우드를 통해 아무 것도 ping할 수 없습니다.
추가(+) 아이콘을 클릭하여 규칙을 만들거나, 기존 규칙을 선택하고 연필 아이콘을 클릭하여 규칙을 편집합니다.
새 규칙에 규칙 이름=Allow-ICMP를 부여합니다.
추가(+)를 클릭하여 소스를 추가합니다.
소스에서 다음 기본값을 사용합니다.
- 주소=모두
- 사용자 그룹=모두
추가(+)를 클릭하여 대상을 추가합니다.
대상(Destinations)의 주소(Addresses)에 기본값 =Any를 사용합니다.
애플리케이션/서비스에서 다음 값을 구성합니다.
- 응용 프로그램=모두
- Services=특정(검색을 통해)
- 특정 서비스=icmp-all
오른쪽 화살표(>)를 사용하여 특정 service=icmp-all 을 오른쪽 창으로 이동하여 활성화한 후 확인을 클릭합니다.
Action=Permit을 구성하고 나머지 필드에 대한 기본값을 유지합니다.

시스템은 새 규칙을 규칙 목록의 맨 아래에 배치하고 이 규칙을 규칙 세트의 마지막 규칙으로 처리합니다. 규칙이 전역 규칙(모든 트래픽을 거부함) 뒤에 배치되면, 전역 규칙이 모든 추가 트래픽을 중지하기 때문에 적용되지 않습니다. 따라서 이 예에서는 규칙을 선택하여 규칙의 위치를 변경합니다. 그런 다음 이동 > 이동 > 맨 위로 이동 옵션을 사용하여 선택한 규칙을 규칙 세트의 맨 위로 이동합니다. 규칙을 규칙 집합의 맨 위로 이동하면 시스템에서 이 규칙을 먼저 적용합니다.

참고:
규칙 세트를 수정할 때마다 배포 단추를 사용하여 작업을 완료해야 합니다. 그렇지 않으면 서비스 위치에서 오래된 규칙 세트를 계속 사용합니다.
구축을 클릭합니다.
배포 페이지에서 지금 실행 옵션을 선택하고 확인을 클릭합니다.

서비스 위치는 몇 분 후에 업데이트된 규칙 집합을 가져옵니다.
관리 > 작업을 선택하여 배포된 작업의 상태와 진행률을 확인합니다.

Juniper Security Director Cloud에 적용할 IPsec 터널 구성 매개 변수 가져오기

이전 작업에서는 주니퍼 Secure Edge에서 IPsec 터널을 설정하기 위한 몇 가지 작업을 완료하고 Juniper Security Director Cloud에서 Secure Edge 정책을 구축했습니다. Security Director Cloud의 마지막 단계는 각 사이트에 대한 구성 데이터를 수집하는 것입니다. IPsec 터널를 설정하기 위한 주니퍼 Mist™ 클라우드에서 Secure Edge 커넥터 구성(주니퍼 Mist 포털에서 Secure Edge 커넥터 만들기)을 완료하려면 이러한 세부 정보가 필요합니다. 이 단계에서는 생성한 사이트의 세부 정보를 기록해 둡니다.

참고:

Juniper Security Director 클라우드와 주니퍼 간의 동기화를 위한 자동화된 구성 푸시 Mist 클라우드 옵션을 사용할 수 없습니다.

Juniper Security Director Cloud에 적용할 IPsec 터널 구성 매개 변수를 가져오려면 다음을 수행합니다.

Juniper Security Director Cloud 포털에서 Secure Edge >Service Management > Sites를 선택합니다.
사이트 페이지가 열리고 배포된 사이트 세부 정보가 표시됩니다.

각 스포크 사이트에 대해 구축 상태(Deployed Status) 아래의 터널 구성 옵션을 클릭한 다음 MIST 매니지드 디바이스(MIST Managed Device) 탭에서 정보를 확인합니다.

주니퍼 Mist 포털에서 Secure Edge 커넥터 만들기에 사용할 다음 세부 정보를 기록해 둡니다.

사전 공유 키
로컬 ID
각 서비스 위치 터널의 IP 주소 및 원격 ID

다음 샘플은 주니퍼 Secure Edge Cloud에서 사이트 생성에서 생성한 세 사이트 모두에 대해 추출된 정보를 보여줍니다.

다음 샘플은 site2에 대해 추출된 정보입니다.

다음 샘플은 site3에 대해 추출된 정보입니다.

Mist 클라우드 포털에서 터널을 구성할 때 이러한 사이트 세부 정보가 필요합니다.

주니퍼 Mist 포털에서 Secure Edge 커넥터 생성

이제 주니퍼 Mist™에서 Session Smart 라우터 또는 SRX 시리즈 방화벽을 위한 Secure Edge 커넥터를 설정하려는 궁극적인 목표의 절반 정도 완료되었습니다.

Secure Edge 커넥터는 주니퍼 Mist 포털에서 생성합니다. 이 작업은 터널의 Mist 클라우드 측에서 구성을 완료하여 Mist와 Security Director Cloud에서 관리하는 WAN 에지 디바이스 간에 IPsec 터널 설정합니다. 커넥터를 만들기 전에 사이트에 배포된 WAN 에지 디바이스가 있는지 확인합니다.

주니퍼 Mist 포털에서 Secure Edge 커넥터를 생성하려면 다음을 수행합니다.

왼쪽 메뉴에서 WAN Edge를 클릭합니다.

WAN Edge( Edges) 페이지에 사이트 세부 정보가 표시됩니다.
디바이스를 클릭하고 Secure Edge Connectors(Secure Edge 커넥터)까지 아래로 스크롤합니다.
Secure Edge 커넥터 창에서 공급자 추가를 클릭합니다.

Secure Edge 커넥터 세부 정보를 입력합니다.

참고:

이는 Juniper Security Director 클라우드에 적용할 IPsec 터널 구성 매개 변수 가져오기에서 수집한 세부 정보와 동일합니다.

표 9: Secure Edge 커넥터 세부 정보
필드	값
이름	site1-SDcloud에
프로바이더	주니퍼 Secure Edge
로컬 ID	site1@example.com
사전 공유 키	주니퍼!1 (예)
기본
IP 또는 호스트 이름	<IP 주소>(클라우드 터널 구성Juniper Security Director)
프로브 IP	-
원격 ID	<UUID>.jsec-gen.juniper.net(Juniper Security Director 클라우드 터널 구성에서)
WAN 인터페이스	WAN0=INET WAN1=MPLS
중고등 학년
IP 또는 호스트 이름	<IP 주소> (Juniper Security Director 클라우드 터널 구성에서)
프로브 IP	-
원격 ID	<UUID>.jsec-gen.juniper.net(Juniper Security Director 클라우드 터널 구성에서)
WAN 인터페이스	WAN0=INET WAN1=MPLS
모드	액티브-스탠바이

참고:

프로브 IP 값을 입력할 필요가 없습니다. IPsec 터널은 GRE와 같은 추가 모니터링이 필요하지 않습니다.

참고:

Session Smart 라우터 기반 보안 에지 구성에 대해 ICMP 프로브 IP를 사용하도록 설정하지 않습니다. ICMP 프로브는 라우팅할 수 없는 IP 주소에서 보안 에지로 소싱되며 정책으로 인해 삭제됩니다. 또한 소스 주소가 모든 브랜치에서 겹치는 경우, 프로브 IP 주소를 사용하여 둘 이상의 브랜치로의 라우팅은 지원되지 않습니다.

참고:

텍스트, 애플리케이션 및 이메일 설명이 자동으로 생성됩니다.

Mist 클라우드 포털에 방금 구성한 Secure Edge 커넥터가 추가되었는지 확인합니다.

WAN 에지 템플릿 또는 WAN 에지 디바이스에 새 트래픽 스티어링 경로를 추가합니다WAN 에지 디바이스.

표 10: 트래픽 스티어링 경로 구성
필드	값
이름	클라우드
전략	주문됨
경로	유형 및 대상 선택
유형	Secure Edge 커넥터
프로바이더	주니퍼 Secure Edge
이름	site1-SDcloud에

애플리케이션 정책 수정

주니퍼 Mist™ 클라우드 포털에서 Secure Edge 커넥터를 생성한 후 다음 단계는 브랜치 디바이스에서 애플리케이션 정책을 수정하는 것입니다. 예를 들어, 스포크 디바이스에서 허브 디바이스로의 트래픽을 허용할 수 있습니다. 또한 스포크 디바이스에서 VPN 터널의 다른 스포크 디바이스로 트래픽을 허용할 수도 있습니다. 그런 다음 중앙 브레이크아웃을 위해 스포크에서 허브로 트래픽을 전송하는 대신 Juniper Security Director 클라우드를 통해 스포크에서 인터넷으로 트래픽을 전송할 수 있습니다.

다음 단계를 사용하여 구성이 작동하는지 확인합니다.

WAN 에지 템플릿 또는 WAN 에지 디바이스 페이지에서 애플리케이션 정책을 추가하거나 편집합니다.
수정할 정책을 선택하고 변경 내용을 적용합니다.

WAN 에지 디바이스 페이지에서 정책을 생성하는 경우 요구 사항에 따라 템플릿 설정 재정의 옵션을 선택하는 것이 좋습니다.
- 애플리케이션 정책에서 이전 단계에서 생성한 트래픽 스티어링을 포함할 수 있습니다. 이 예에서는 마지막 규칙(Internet-via-Cloud-CBO)에서 트래픽 스티어링 을 클라우드 로 변경합니다.
변경 사항을 저장합니다.
주니퍼 Mist 클라우드는 Juniper Security Director Cloud에 대한 새 터널을 구축합니다.

구성 확인

애플리케이션 정책을 수정한 후에는 이제 구성이 예상대로 작동하는지 확인할 차례입니다. 원하는 구성을 저장하면 주니퍼 Mist 클라우드이 중앙 브레이크아웃을 위해 허브로 라우팅하는 대신 스포크에서 Juniper Security Director 클라우드로 인터넷 바운드 트래픽을 라우팅하는지 확인할 수 있습니다.

구성을 확인하려면 다음을 수행합니다.

(선택 사항) 환경에 따라 CLI에서 Juniper Security Director 클라우드를 향한 IPsec 터널의 통신을 볼 수 있습니다.

Mist 클라우드 포털에서 디바이스의 인사이트WAN 설정된 터널 세부 정보를 확인합니다주니퍼.

또한 Juniper Security Director Cloud 대시보드와 서비스 위치에서 설정된 터널을 확인할 수 있습니다.

분기 디바이스에 연결된 VM 데스크톱을 사용하여 새 트래픽 흐름을 확인합니다. 인터넷에 대한 ping을 사용하여 트래픽 흐름을 확인할 수 있습니다.

참고:

WAN 에지 디바이스와 주니퍼 Secure Edge 서비스 위치 사이의 물리적 거리에 따라 지연이 발생할 수 있습니다.

VM 데스크톱에서 브라우저를 열고 https://whatismyipaddress.com/ 로 이동하여 주니퍼 Mist 네트워크 트래픽을 서비스 위치에서 인터넷으로 라우팅하는 데 사용되는 소스 IP 주소에 대한 세부 정보를 확인합니다.

이 예는 기본 서비스 위치의 트래픽을 보여줍니다.
이 예는 보조 서비스 위치의 트래픽을 보여줍니다.

서비스 위치의 두 IP 주소 중 하나는 공용 IP 주소이며 다음 두 가지 용도로 사용됩니다.
- IPsec 터널을 종료합니다.
- Juniper Security Director 클라우드를 통해 브랜치 디바이스에서 인터넷으로 트래픽 라우팅
Juniper Security Director Cloud를 사용하여 서비스 위치에 대한 설정된 터널을 보여주는 패킷 캡처에서 동일한 공용 IP 주소를 볼 수 있습니다. 구성 확인을 참조하십시오.

Juniper Security Director Cloud의 서비스 위치는 POP라고도 하며 클라우드 위치의 주니퍼® Secure Edge 인스턴스를 나타냅니다. 서비스 위치는 온프레미스 사용자와 로밍 사용자 모두의 연결(액세스) 지점입니다.

이 페이지의 내용

주니퍼 Secure Edge를 사용하여 Secure Edge Connector 설정(수동 프로비저닝)