SRX 시리즈 방화벽에 대한 WAN 에지 템플릿 구성
Juniper Mist™ WAN Assurance의 WAN 에지 템플릿을 사용하면 WAN 인터페이스, 트래픽 스티어링 규칙, 액세스 정책 등 공통 스포크 특성을 정의할 수 있습니다. 그런 다음 WAN 에지 디바이스로 구축된 주니퍼 네트웍스® SRX 시리즈 방화벽에 이러한 구성을 적용합니다. WAN 에지 디바이스를 사이트에 할당하면 디바이스는 연결된 템플릿의 구성을 자동으로 채택합니다. 이 자동 프로세스를 통해 네트워크 인프라 전반에 걸쳐 일관되고 표준화된 구성을 관리하고 적용하여 구성 프로세스를 간소화할 수 있습니다.
Mist 대시보드를 통해 WAN 에지 디바이스에서 수행된 구성은 디바이스 CLI를 통해 수행된 모든 구성보다 우선합니다.
스포크 디바이스에 대해 하나 이상의 템플릿을 가질 수 있습니다.
이 작업에서는 Juniper Mist™ 클라우드 포털에서 스포크 디바이스에 대한 WAN 에지 템플릿을 생성하고 구성합니다.
WAN 에지 템플릿 구성
WAN 에지 템플릿을 구성하려면 다음을 수행합니다.
템플릿에 WAN 인터페이스 추가
이 작업에서는 WAN 에지 템플릿에 두 개의 WAN 인터페이스를 추가합니다.
템플릿에 WAN 인터페이스를 추가하려면:
LTE 인터페이스 구성
주니퍼 Mist SD-WAN을 통해 조직은 LTE 연결을 원활하게 통합할 수 있습니다. LTE 연결은 다중 경로 라우팅을 위한 대체 경로를 제공합니다. 회로에 액세스할 수 없는 위치의 기본 경로 또는 기본 회로에 장애가 발생한 경우 최후의 수단의 경로로 사용할 수 있습니다.
예: 비즈니스 크리티컬 애플리케이션을 위한 기본 MPLS 연결이 있는 소매점에서. Juniper Mist SD-WAN은 LTE 링크를 백업으로 추가할 수 있습니다. MPLS 링크에 문제가 발생하면 Juniper Mist는 트래픽을 LTE 링크로 동적으로 전환합니다. 이를 통해 지속적인 연결을 보장하고 서비스 중단을 최소화할 수 있습니다.
SRX 시리즈 방화벽에서 LTE Mini-PIM(Mini-Physical Interface Module)은 SRX300 시리즈 및 SRX550 대용량 메모리 서비스 게이트웨이에서 무선 WAN 지원을 제공합니다. Mini-PIM에는 통합 모뎀이 포함되어 있으며 3G 및 4G 네트워크에서 작동합니다. Mini-PIM은 디바이스의 모든 Mini-PIM 슬롯에 설치할 수 있습니다. SRX 시리즈 방화벽에 LTE Mini-PIM을 설치하는 https://www.juniper.net/documentation/us/en/hardware/lte-mpim-install/topics/task/lte-mpim-hardware-intalling.html 참조하십시오.
Juniper Mist SD-WAN에 대한 LTE 링크를 사용하려면 Session Smart 라우터 및 SRX 시리즈 방화벽에 LTE 인터페이스를 설정하고 LTE 카드에 SIM(Subscriber Identity Module)을 삽입해야 합니다.
LTE 인터페이스를 WAN 링크로 추가하려면:
SRX 시리즈 방화벽에서 디바이스별 WAN 에지 템플릿 옵션을 사용하여 WAN 에지 템플릿을 생성하면 LTE 인터페이스 구성이 템플릿에 기본적으로 포함됩니다.
템플릿은 디바이스별 사전 구성된 WAN 인터페이스, LAN 인터페이스, 트래픽 스티어링 정책 및 애플리케이션 정책을 제공합니다. 템플릿의 이름을 지정하고 장치 유형을 선택하기만 하면 됩니다.
그림 4는 템플릿의 WAN 섹션에 기본 LTE 구성을 포함하는 SRX320 템플릿의 샘플을 보여줍니다.
WAN 에지 포트 사용 안 함
WAN 에지 포트를 사용하지 않도록 설정해야 하는 데는 여러 가지 이유가 있습니다. 예를 들어 디버깅 시나리오에서 포트를 사용하지 않도록 설정했다가 다시 사용하도록 설정하면 다시 설정하는 프로세스가 트리거되어 문제를 해결하는 데 도움이 될 수 있습니다.
연결을 준비할 때 포트를 사용하지 않도록 설정할 수도 있지만 연결을 서비스할 준비가 되지 않았거나 악의적이거나 문제가 있는 장치를 식별한 경우 포트를 사용하지 않도록 설정하여 장치를 제거하거나 복구할 수 있을 때까지 장치를 신속하게 사용하지 않도록 설정할 수 있습니다.
WAN 에지 포트를 사용하지 않도록 설정하려면:
LAN 인터페이스 추가
LAN 인터페이스 구성은 LAN 구성에서 지정한 네트워크 이름에서 요청 소스를 식별합니다.
LAN 인터페이스를 추가하려면:
중복 이더넷 인터페이스에서 LACP 구성(BETA)
LACP(Link Aggregation Control Protocol)는 인터페이스 그룹의 작동 방식을 정의하는 IEEE 표준 프로토콜입니다. LACP를 사용하면 디바이스가 LACP 데이터 유닛을 서로 전송하여 연결을 설정할 수 있습니다. 디바이스는 연결을 설정할 수 없는 경우 연결을 시도하지 않으며, 이는 잘못 구성된 LAG(Link Aggregation Group) 설정과 같은 링크 어그리게이션 설정 프로세스 중에 문제가 발생하는 것을 방지합니다. LACP는 SRX 시리즈 방화벽의 중복 이더넷(RETH) 인터페이스에서 구성할 수 있습니다.
중복 이더넷 인터페이스에서 LACP를 구성하려면:
트래픽 스티어링 정책 구성
허브 프로필과 마찬가지로 Juniper Mist 네트워크의 트래픽 스티어링에서는 애플리케이션 트래픽이 네트워크를 통과하기 위해 취할 수 있는 다양한 경로를 정의합니다. 트래픽 스티어링 내에서 구성하는 경로에 따라 대상 영역도 결정됩니다.
트래픽 스티어링 정책 구성 방법:
애플리케이션 정책 구성
Mist 네트워크에서 애플리케이션 정책은 어떤 네트워크와 사용자가 어떤 애플리케이션에 액세스할 수 있는지, 그리고 어떤 트래픽 스티어링 정책에 따라 액세스할 수 있는지를 정의하는 것입니다. 네트워크/사용자 설정에 따라 원본 영역이 결정됩니다. 응용 프로그램 + 트래픽 스티어링 설정에 따라 대상 영역이 결정됩니다. 또한 허용 또는 거부 작업을 할당할 수 있습니다. Mist는 나열된 순서대로 애플리케이션 정책을 평가하고 적용합니다.
그림 8의 트래픽 플로우 요구 사항을 고려하십시오. 이 이미지는 기업 VPN 설정을 위한 기본 초기 트래픽 모델을 보여줍니다(세 번째 스포크 디바이스 및 두 번째 허브 디바이스는 표시되지 않음).
위의 요구 사항을 충족하려면 다음 응용 프로그램 정책을 만들어야 합니다.
-
정책 1 - 스포크 사이트에서 허브로의 트래픽을 허용합니다. 이 경우 주소 그룹에 사용되는 대상 접두사는 두 허브의 LAN 인터페이스를 나타냅니다.
-
정책 2 - 오버레이를 통해 기업 LAN을 통해 스포크 투 스포크 트래픽을 허용합니다.
메모:이는 관리 IP를 사용하는 고가의 MPLS 네트워크를 제외하고는 현실 세계에서 실현 가능하지 않을 수 있습니다. 매니지드 IP는 트래픽을 다른 스포크로 직접 보냅니다. 이러한 유형의 트래픽은 일반적으로 허브 디바이스를 통해 흐릅니다
-
정책 3 - 허브와 허브에 연결된 DMZ 모두에서 스포크 디바이스로의 트래픽을 허용합니다.
-
정책 4 - 인터넷 바운드 트래픽이 스포크 디바이스에서 허브 디바이스로 흐르도록 허용합니다. 거기에서 트래픽이 인터넷으로 나뉩니다. 이 경우 허브는 소스 NAT를 트래픽에 적용하고 허브 프로필에 정의된 대로 트래픽을 WAN 인터페이스로 라우팅합니다. 이 규칙은 일반적이므로 특정 규칙 뒤에 배치해야 합니다. Mist는 정책 목록에 배치된 순서대로 애플리케이션 정책을 평가하기 때문입니다.
응용 프로그램 정책을 구성하려면 다음을 수행합니다.
디바이스별 WAN 에지 템플릿 구성
장치 온보딩 프로세스에 따른 WAN 에지 템플릿을 사용하여 장치 구성이 간소화됩니다. 이러한 WAN 에지 템플릿은 모든 에지 디바이스에서 고유한 배포에 맞게 사용자 지정할 수 있습니다. 주니퍼 네트웍스 Mist AI는 Mist AI WAN 에지 템플릿은 벤더에 관계없이 모든 모델에 적용할 수 있어 업계에서 독보적인 입지를 구축했습니다. 또한 WAN 에지 템플릿은 단일 템플릿에서 다양한 모델을 혼합하여 구성 및 구축 단계를 간소화할 수 있습니다.
SRX 시리즈 방화벽에 대한 WAN 에지 템플릿을 수동으로 구성하려면 WAN 에지 템플릿 구성을 참조하십시오.
디바이스별 WAN 에지 템플릿
엄선된 주니퍼 네트웍스 하드웨어를 Mist AI SD-WAN과 함께 활용하면 상당한 이점이 있습니다. 여러 주니퍼 네트웍스® SRX 시리즈 방화벽은 WAN 및 LAN 인터페이스를 자동으로 할당하고 연결을 위해 LAN 네트워크를 정의하는 디바이스별 템플릿을 갖추고 있어 구성이 간소화되었습니다.
이러한 템플릿은 각 장치 모델마다 고유합니다. 디바이스를 선택하고 WAN 에지 이름을 지정한 후 수동 입력이 필요 없으면 사용자의 지정된 WAN 에지 디바이스에 값이 미리 채워집니다. 그림 10 은 SRX 시리즈 WAN 에지 템플릿이 관련 DHCP 및 IP 값을 가진 LAN 및 WAN용 이더넷 인터페이스를 포함하여 여러 값을 생성하는 것을 보여줍니다.
또한 Juniper Mist 포털은 트래픽 스티어링 정책을 채웁니다. 이를 통해 Juniper Mist는 WAN 연결을 통해 쿼드 제로 catch-all 대상을 가진 모든 Mist 애플리케이션으로 트래픽을 전송할 수 있습니다.
WAN 에지 템플릿을 적용하면 애플리케이션 정책, 네트워크 및 애플리케이션이 자동 업데이트를 받는 것을 확인할 수 있습니다. 그림 11 은 응용 프로그램 정책의 샘플을 보여 줍니다.
Juniper Mist AI SD-WAN에는 SRX 시리즈 방화벽용으로 WAN 에지 템플릿이 사전 구성된 다음 디바이스 모델이 포함되어 있습니다.
- SRX300 시리즈
- SRX320-POE
- SRX320
- SRX340
- SRX345
- SRX380
- SRX550M
- SRX1500
- SRX1600*
- SRX4100
- SRX4200
- SRX4600
- SRX2300*
- SRX4300*
* 2024년 후반에 새로운 모델에 대한 주니퍼 Mist AI WAN 지원 계획이 있음을 나타냅니다.
WAN 에지 디바이스별 템플릿은 기본 네트워크 구성을 한 단계로 제공하며, 배포하는 각 Session Smart 라우터 및 SRX 시리즈 방화벽 디바이스에 대해 재사용 가능하고 일관된 구성을 가능하게 합니다. 템플릿은 디바이스별 사전 구성된 WAN 인터페이스, LAN 인터페이스, 트래픽 스티어링 정책 및 애플리케이션 정책을 제공합니다. 템플릿의 이름을 지정하고 장치 유형을 선택하기만 하면 됩니다.
디바이스별 WAN 에지 템플릿을 선택하려면 다음을 수행합니다.
- Juniper Mist 포털에서 조직(Organization) > WAN(WAN > WAN Edge Templates)을 선택합니다.
- 오른쪽 위 모서리에서 템플릿 만들기를 선택하여 새 템플릿 페이지를 엽니다.
- 템플릿의 이름을 입력합니다.
- 장치 모델에서 만들기 확인란을 클릭합니다.
- 드롭다운 상자에서 장치 모델을 선택합니다.
그림 12: 디바이스별 WAN 에지 템플릿 구성
- 만들기를 클릭합니다.
Juniper Mist UI에 완성된 디바이스 템플릿이 표시됩니다. 이제 조직 전체의 여러 사이트 및 디바이스에 적용할 수 있는 작동하는 WAN 에지 템플릿이 있습니다.
사이트에 할당
템플릿이 설정되면 템플릿을 저장하고 WAN 에지 디바이스를 배포할 사이트에 할당해야 합니다.
- 템플릿 페이지 맨 위에 있는 Assign to Site 버튼을 클릭합니다.
- 목록에서 서식 파일을 적용할 사이트를 선택합니다.
- 적용을 클릭합니다.
- 마지막으로, 디바이스를 사이트와 연결하는 일만 남았습니다. WAN 구성을 위한 온보드 SRX 시리즈 방화벽을 참조하십시오.