Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRX 시리즈 방화벽에 대한 WAN 에지 템플릿 구성

Juniper Mist™ WAN Assurance의 WAN 에지 템플릿을 사용하면 WAN 인터페이스, 트래픽 스티어링 규칙, 액세스 정책 등 공통 스포크 특성을 정의할 수 있습니다. 그런 다음 WAN 에지 디바이스로 구축된 주니퍼 네트웍스® SRX 시리즈 방화벽에 이러한 구성을 적용합니다. WAN 에지 디바이스를 사이트에 할당하면 디바이스는 연결된 템플릿의 구성을 자동으로 채택합니다. 이 자동 프로세스를 통해 네트워크 인프라 전반에 걸쳐 일관되고 표준화된 구성을 관리하고 적용하여 구성 프로세스를 간소화할 수 있습니다.

메모:

Mist 대시보드를 통해 WAN 에지 디바이스에서 수행된 구성은 디바이스 CLI를 통해 수행된 모든 구성보다 우선합니다.

스포크 디바이스에 대해 하나 이상의 템플릿을 가질 수 있습니다.

이 작업에서는 Juniper Mist™ 클라우드 포털에서 스포크 디바이스에 대한 WAN 에지 템플릿을 생성하고 구성합니다.

WAN 에지 템플릿 구성

WAN 에지 템플릿을 구성하려면 다음을 수행합니다.

  1. Juniper Mist™ 포털에서 조직(Organization) > WAN(WAN > Edge Templates)을 클릭합니다. 기존 템플릿 목록(있는 경우)이 나타납니다.
  2. 오른쪽 상단 모서리에 있는 템플릿 만들기 버튼을 클릭합니다.
    메모:

    프로파일 가져오기 옵션을 사용하여 JSON(JavaScript Object Notation) 파일을 가져와서 WAN 에지 템플릿을 생성할 수도 있습니다.

  3. 표시되는 상자에 템플릿의 이름을 입력하고 [Type]을 클릭하고 [Spoke]를 선택한 다음 [Create]를 클릭합니다.
    그림 1: 템플릿 유형 Select the Template Type 선택

    다음은 WAN 에지 템플릿 구성 페이지의 GUI 요소를 보여 주는 그림입니다.

    그림 2: WAN 에지 템플릿 구성 옵션 WAN Edge Template Configuration Options
  4. 표 1에 제공된 세부 사항에 따라 구성을 완료합니다.
    표 1: WAN 에지 프로파일 옵션
    필드 설명
    이름 프로필 이름입니다. 최대 64자의 고유한 프로필 이름을 입력합니다.
    WAN 에지 프로파일 유형입니다. 다음 옵션 중 하나를 선택합니다.
    • 독립 실행형: 사이트의 독립 실행형 기기를 관리합니다.

    • 스포크 - 구성에서 허브 디바이스에 연결 중인 스포크 디바이스를 관리합니다.

    증권 시세 표시기 NTP(Network Time Protocol) 서버의 IP 주소 또는 호스트 이름입니다. NTP는 인터넷상의 스위치 및 기타 하드웨어 디바이스의 클럭을 동기화하는 데 사용됩니다.
    장치에 적용 WAN 에지 템플릿을 연결할 사이트입니다. 드롭다운 메뉴에는 현재 사이트의 인벤토리에 추가된 WAN 에지 디바이스 목록이 표시됩니다.
    DNS 설정 DNS(Domain Name System) 서버의 IP 주소 또는 호스트 이름입니다. 네트워크 디바이스는 DNS 이름 서버를 사용하여 호스트 이름을 IP 주소로 확인합니다.
    보안 에지 커넥터 Secure Edge 커넥터 세부 정보. 주니퍼 Secure Edge는 Juniper Mist Cloud 포털에서 관리하는 WAN 에지 디바이스에 대한 트래픽 검사를 수행합니다.
    WAN WAN 인터페이스 세부 정보. 이 WAN 인터페이스는 허브의 WAN 인터페이스에 해당합니다. 즉, Mist는 허브의 WAN 인터페이스와 스포크의 WAN 인터페이스 간에 IPsec VPN 터널을 생성합니다. 각 WAN 링크에 대해 물리적 인터페이스, WAN 유형(이더넷 또는 DSL), IP 구성 및 인터페이스에 대한 오버레이 허브 엔드포인트를 정의할 수 있습니다. 템플릿에 WAN 인터페이스 추가의 내용을 참조하십시오.
    LAN 인터페이스. LAN 세그먼트를 연결하는 LAN 인터페이스입니다. 네트워크를 할당하고, VLAN을 생성하고, IP 주소 및 DHCP 옵션(없음, 릴레이 또는 서버)을 설정합니다. LAN 인터페이스 추가의 내용을 참조하십시오.
    트래픽 스티어링 스티어링 경로. 트래픽이 목적지에 도달하기 위해 취할 수 있는 다양한 경로를 정의합니다. 모든 트래픽 스티어링 정책의 경우 트래픽이 통과하는 경로와 해당 경로를 활용하기 위한 전략을 포함할 수 있습니다. 트래픽 스티어링 정책 구성의 내용을 참조하십시오.
    애플리케이션 정책 트래픽에 대한 규칙을 적용하는 정책. 네트워크(소스), 애플리케이션(대상), 트래픽 스티어링 정책 및 정책 작업을 정의합니다. 응용 프로그램 정책 구성의 내용을 참조하십시오.
    라우팅 허브와 스포크 간의 트래픽을 라우팅하기 위한 라우팅 옵션. 경로를 동적으로 학습하는 BGP(Border Gateway Protocol) 언더레이 라우팅을 활성화하거나 정적 라우팅을 사용하여 경로를 수동으로 정의할 수 있습니다.
    CLI 구성 CLI 옵션. 템플릿의 GUI에서 사용할 수 없는 추가 설정의 경우에도 CLI set 명령을 사용하여 구성할 수 있습니다.
  5. 저장을 클릭합니다.

템플릿에 WAN 인터페이스 추가

스포크의 WAN 인터페이스는 허브의 WAN 인터페이스에 해당합니다. 즉, Mist는 허브의 WAN 인터페이스와 스포크의 WAN 인터페이스 간에 IPsec VPN 터널을 생성합니다.

이 작업에서는 WAN 에지 템플릿에 두 개의 WAN 인터페이스를 추가합니다.

템플릿에 WAN 인터페이스를 추가하려면:

  1. WAN 섹션까지 아래로 스크롤하고 WAN 추가를 클릭하여 WAN 구성 추가 창을 엽니다.
  2. 팁: 구성 화면에서 작업할 때 VAR 표시기를 찾습니다. 이 표시기가 있는 필드를 사용하면 사이트 변수를 사용할 수 있습니다.

    이 레이블이 있는 필드에는 특정 변수를 입력하기 시작할 때 일치하는 변수(구성된 경우)도 표시됩니다. 이 필드에는 조직 내 모든 사이트의 변수가 나열됩니다.

    조직 전체의 변수 목록은 GET /api/v1/orgs/:org_id/vars/search?var=*를 사용하여 볼 수 있습니다. 이 목록은 사이트 설정 아래에 변수가 추가될 때 채워집니다.

    표 2에 제공된 세부 사항에 따라 구성을 완료합니다.
    표 2: WAN 인터페이스 구성 옵션
    필드 WAN 인터페이스 1 WAN 인터페이스 2
    이름 (기술이 아닌 레이블) 아이넷 증권 시세 표시기
    WAN 유형 이더넷 이더넷
    인터페이스 ge-0/0/0 ge-0/0/3
    VLAN ID - -
    IP 구성 DHCP (대상) 정적인
      • IP 주소={{WAN1_PFX}}.2

      • 접두사 길이=24

      • 게이트웨이={{WAN1_PFX}}.1

    소스 NAT 인터페이스 인터페이스
    오버레이 허브 엔드포인트 (자동으로 생성됨). hub1-INET, hub2-INET(BFD 프로파일 광대역) hub1-MPLS 및 hub2-MPLS

    최대 전송 단위(MTU)

    256 -9192 사이의 최대 전송 단위(MTU) 값을 입력합니다. 기본값은 1500입니다.

    256 -9192 사이의 최대 전송 단위(MTU) 값을 입력합니다. 기본값은 1500입니다.

    그림 3 은 사용자가 만든 WAN 인터페이스 목록을 보여 줍니다.

    그림 3: WAN 인터페이스 요약 WAN Interfaces Summary

LTE 인터페이스 구성

주니퍼 Mist SD-WAN을 통해 조직은 LTE 연결을 원활하게 통합할 수 있습니다. LTE 연결은 다중 경로 라우팅을 위한 대체 경로를 제공합니다. 회로에 액세스할 수 없는 위치의 기본 경로 또는 기본 회로에 장애가 발생한 경우 최후의 수단의 경로로 사용할 수 있습니다.

예: 비즈니스 크리티컬 애플리케이션을 위한 기본 MPLS 연결이 있는 소매점에서. Juniper Mist SD-WAN은 LTE 링크를 백업으로 추가할 수 있습니다. MPLS 링크에 문제가 발생하면 Juniper Mist는 트래픽을 LTE 링크로 동적으로 전환합니다. 이를 통해 지속적인 연결을 보장하고 서비스 중단을 최소화할 수 있습니다.

SRX 시리즈 방화벽에서 LTE Mini-PIM(Mini-Physical Interface Module)은 SRX300 시리즈 및 SRX550 대용량 메모리 서비스 게이트웨이에서 무선 WAN 지원을 제공합니다. Mini-PIM에는 통합 모뎀이 포함되어 있으며 3G 및 4G 네트워크에서 작동합니다. Mini-PIM은 디바이스의 모든 Mini-PIM 슬롯에 설치할 수 있습니다. SRX 시리즈 방화벽에 LTE Mini-PIM을 설치하는 https://www.juniper.net/documentation/us/en/hardware/lte-mpim-install/topics/task/lte-mpim-hardware-intalling.html 참조하십시오.

Juniper Mist SD-WAN에 대한 LTE 링크를 사용하려면 Session Smart 라우터 및 SRX 시리즈 방화벽에 LTE 인터페이스를 설정하고 LTE 카드에 SIM(Subscriber Identity Module)을 삽입해야 합니다.

LTE 인터페이스를 WAN 링크로 추가하려면:

  1. WAN 섹션까지 아래로 스크롤하고 WAN 추가를 클릭하여 WAN 구성 추가 창을 엽니다.
  2. 인터페이스 구성에 대한 세부 정보를 입력합니다
    표 3: LTE 인터페이스 구성

    필드

    이름

    LTE 인터페이스의 이름

    묘사

    인터페이스에 대한 설명입니다.

    WAN 유형 LTE (LTE)
    인터페이스 cl-1/0/0입니다. LTE Mini-PIM 모듈이 슬롯 1에 삽입될 때 인터페이스를 cl-1/0/0 사용합니다.

    LTE APN

    게이트웨이 라우터의 액세스 포인트 이름(APN)을 입력합니다. 이름에는 영숫자와 특수 문자가 포함될 수 있습니다. (SRX 시리즈 방화벽의 경우 옵션, Session Smart 라우터의 경우 필수)

    LTE 인증

    APN 구성에 대한 인증 방법을 선택합니다.

    • PAP - PAP(Password Authentication Protocol)를 인증 방법으로 사용하려면 이 옵션을 선택합니다. 사용자 이름 및 암호를 제공합니다.

    • CHAP - CHAP(Challenge Handshake Authentication Protocol) 인증을 인증 방법으로 사용하려면 이 옵션을 선택합니다. 사용자 이름 및 암호를 제공합니다.

    • 없음(기본값) - 인증 방법을 사용하지 않으려면 이 옵션을 선택합니다.

    소스 NAT

    소스 NAT 옵션을 선택합니다.

    • Interface(인터페이스) - 소스 인터페이스를 사용하는 NAT.
    • Pool—정의된 IP 주소 풀을 사용하는 NAT입니다.
    • Disabled(비활성화) - 소스 NAT(소스 NAT) 비활성화
    트래픽 셰이핑

    Enabled(활성화) 또는 Disabled(비활성화)를 선택합니다.

    (Session Smart 라우터에만 필요)

    자동 협상

    Enabled(활성화) 또는 Disabled(비활성화)를 선택합니다.

    최대 전송 단위(MTU) 256 -9192 사이의 최대 전송 단위(MTU) 값을 입력합니다. 기본값은 1500입니다.
  3. 저장을 클릭합니다.
메모:

SRX 시리즈 방화벽에서 디바이스별 WAN 에지 템플릿 옵션을 사용하여 WAN 에지 템플릿을 생성하면 LTE 인터페이스 구성이 템플릿에 기본적으로 포함됩니다.

템플릿은 디바이스별 사전 구성된 WAN 인터페이스, LAN 인터페이스, 트래픽 스티어링 정책 및 애플리케이션 정책을 제공합니다. 템플릿의 이름을 지정하고 장치 유형을 선택하기만 하면 됩니다.

그림 4는 템플릿의 WAN 섹션에 기본 LTE 구성을 포함하는 SRX320 템플릿의 샘플을 보여줍니다.

그림 4: WAN 에지 템플릿 샘플 WAN Edge Template Sample

WAN 에지 포트 사용 안 함

WAN 에지 포트를 사용하지 않도록 설정해야 하는 데는 여러 가지 이유가 있습니다. 예를 들어 디버깅 시나리오에서 포트를 사용하지 않도록 설정했다가 다시 사용하도록 설정하면 다시 설정하는 프로세스가 트리거되어 문제를 해결하는 데 도움이 될 수 있습니다.

연결을 준비할 때 포트를 사용하지 않도록 설정할 수도 있지만 연결을 서비스할 준비가 되지 않았거나 악의적이거나 문제가 있는 장치를 식별한 경우 포트를 사용하지 않도록 설정하여 장치를 제거하거나 복구할 수 있을 때까지 장치를 신속하게 사용하지 않도록 설정할 수 있습니다.

WAN 에지 포트를 사용하지 않도록 설정하려면:

  1. 조직(Organization) > WAN 에지 템플릿(WAN Edge Templates)으로 이동합니다.
  2. 적절한 WAN Edge 템플릿을 클릭합니다.
  3. WAN 또는 LAN 섹션까지 아래로 스크롤하고 적절한 WAN Edge를 클릭합니다.
  4. 창의 Interface(인터페이스) 섹션에서 Disabled(사용 안 함) 확인란을 선택합니다. 이렇게 하면 지정된 인터페이스에 대한 WAN 에지 디바이스 포트가 관리상 비활성화됩니다.

  5. 창 하단에 있는 Save(저장)를 클릭하여 변경 사항을 저장합니다.
  6. 템플릿 페이지의 오른쪽 상단 모서리에 있는 Save(저장)를 클릭합니다.

    이 옵션은 인터페이스 구성의 일부입니다. 이 옵션을 사용하여 어그리게이션 이더넷(AE) 인터페이스 또는 중복 이더넷(RETH) 인터페이스를 비활성화하면 모든 멤버 링크가 비활성화됩니다

LAN 인터페이스 추가

LAN 인터페이스 구성은 LAN 구성에서 지정한 네트워크 이름에서 요청 소스를 식별합니다.

LAN 인터페이스를 추가하려면:

  1. LAN 창까지 아래로 스크롤하고 LAN 추가를 클릭하여 LAN 구성 추가 패널을 엽니다.
    그림 5: 템플릿 Add LAN Interfaces to the Template 에 LAN 인터페이스 추가
  2. LAN 인터페이스를 구성합니다.

    LAN 구성 섹션에는 IP 구성, DHCP 구성 및 사용자 지정 VR에 대한 구성 요소가 포함되어 있습니다. LAN 구성 섹션은 다른 구성 요소를 건드리지 않고 각 구성 요소(예: IP 구성)를 개별적으로 재정의할 수 있도록 하여 더 많은 유연성을 제공합니다.

    LAN 구성 섹션에서는 포트 또는 네트워크별 구성을 쉽게 검색할 수 있는 필터도 제공합니다.

    • IP 구성

      • Network(네트워크) - 드롭다운에서 사용 가능한 네트워크를 선택합니다.
      • IP Address(IP 주소) - 인터페이스의 IPv4 주소 및 접두사 길이입니다.
      • 접두사 길이 - 인터페이스의 접두사 길이입니다.
      • Redirect Gateway(리디렉션 게이트웨이) - Session Smart Router 전용 리디렉션 게이트웨이의 IP 주소입니다.
    • DHCP 구성 - LAN 인터페이스에 IP 주소를 할당하기 위해 DHCP 서비스를 사용하려면 Enabled 옵션을 선택합니다.

      • Network(네트워크) - 사용 가능한 네트워크 목록에서 네트워크를 선택합니다.
      • DHCP 유형 - DHCP 서버 또는 DHCP 릴레이를 선택합니다. DHCP 서버를 선택한 경우 다음 옵션을 입력합니다.
        • IP Start(IP 시작) - 원하는 IP 주소 범위의 시작 IP 주소를 입력합니다.
        • IP End - 끝 IP 주소를 입력합니다.
        • 게이트웨이 - 네트워크 게이트웨이의 IP 주소를 입력합니다.
        • DNS Servers(DNS 서버) - DNS(Domain Name System) 서버의 IP 주소를 입력합니다.
        • 서버 옵션(Server Options) - 다음 옵션을 추가합니다.
          • 코드 - 서버를 구성하려는 DHCP 옵션 코드를 입력합니다. 유형 필드는 연관된 값으로 채워집니다. 예를 들면 다음과 같습니다. 옵션 15(도메인 이름)를 선택하면 유형 필드에 FQDN이 표시됩니다. 유형에 연결된 값을 입력해야 합니다.
    • 커스텀 VR 구성.

      • Network(네트워크) - 드롭다운에서 사용 가능한 네트워크를 선택합니다.
      • Name(이름) - 라우팅 인스턴스의 이름을 입력합니다.
  3. 표 4에 제공된 세부 사항에 따라 구성을 완료합니다.
    팁: 구성 화면에서 작업할 때 VAR 표시기를 찾습니다. 이 표시기가 있는 필드를 사용하면 사이트 변수를 사용할 수 있습니다.

    이 레이블이 있는 필드에는 특정 변수를 입력하기 시작할 때 일치하는 변수(구성된 경우)도 표시됩니다. 이 필드에는 조직 내 모든 사이트의 변수가 나열됩니다.

    조직 전체의 변수 목록은 GET /api/v1/orgs/:org_id/vars/search?var=*를 사용하여 볼 수 있습니다. 이 목록은 사이트 설정 아래에 변수가 추가될 때 채워집니다.

    표 4: LAN 인터페이스 구성 샘플
    필드 LAN 인터페이스
    네트워크 SPOKE-LAN1(표시되는 네트워크 목록에서 선택합니다. 이렇게 하면 나머지 구성이 자동으로 채워집니다.)
    인터페이스 ge-0/0/3
    IP 주소 {{SPOKE_LAN1_PFX}}.1
    접두사 길이 24
    태그가 지정되지 않은 VLAN 아니요
    DHCP (대상) 아니요

    그림 6 은 사용자가 만든 LAN 인터페이스 목록을 보여줍니다.

    그림 6: LAN 인터페이스 Summary of LAN Interface 요약

중복 이더넷 인터페이스에서 LACP 구성(BETA)

LACP(Link Aggregation Control Protocol)는 인터페이스 그룹의 작동 방식을 정의하는 IEEE 표준 프로토콜입니다. LACP를 사용하면 디바이스가 LACP 데이터 유닛을 서로 전송하여 연결을 설정할 수 있습니다. 디바이스는 연결을 설정할 수 없는 경우 연결을 시도하지 않으며, 이는 잘못 구성된 LAG(Link Aggregation Group) 설정과 같은 링크 어그리게이션 설정 프로세스 중에 문제가 발생하는 것을 방지합니다. LACP는 SRX 시리즈 방화벽의 중복 이더넷(RETH) 인터페이스에서 구성할 수 있습니다.

중복 이더넷 인터페이스에서 LACP를 구성하려면:

  1. Juniper Mist 포털의 왼쪽 메뉴에서 조직(Organization) > WAN 에지 템플릿(WAN Edge Templates)을 선택합니다.
  2. LACP를 구성할 중복 이더넷 인터페이스가 포함된 WAN 에지 템플릿을 선택합니다.
  3. LAN 분할창까지 아래로 스크롤하고 LAN 추가를 클릭하여 LAN 구성 추가 패널을 열거나, 기존 LAN을 클릭하여 LAN 구성 편집 패널을 여십시오.
  4. 다음 필드를 구성합니다.
    표 5: 중복 이더넷 인터페이스 구성의 LACP 샘플
    필드 LAN 인터페이스 구성
    인터페이스 중복 인터페이스를 쉼표로 구분하여 나열합니다.
    포트 어그리게이션 Reth 인터페이스에서 LACP를 활성화하려면 이 확인란을 선택합니다.
    Force Up 활성화 이 확인란을 선택하면 피어의 LACP 용량이 제한되어 있을 때 인터페이스 상태가 "up"으로 설정됩니다.

    사용 사례: 이 애그리게이트 이더넷(AE) 인터페이스 포트에 연결된 디바이스가 처음으로 제로터치 프로비저닝(ZTP)을 사용하는 경우 다른 쪽 끝에는 LACP가 구성되지 않습니다.

    메모:

    이 옵션을 선택하면 번들의 인터페이스 중 하나에서만 Force Up이 활성화됩니다.

    중복(베타) 이 확인란을 선택하면 중복성을 사용할 수 있습니다. LAN 구성에 언급된 물리적 인터페이스는 중복 그룹으로 구성되며 reth 인터페이스(중복 상위) 아래에 구성됩니다.
    중복 인덱스(SRX) 전용 이것은 reth 인터페이스의 인덱스입니다. 예를 들어, 인덱스 4는 중복 인터페이스 reth4를 구성합니다.
    기본 노드 이는 중복 그룹에서 어떤 노드가 기본 노드인지를 나타내며, 인터페이스 페일오버 시 노드가 다른 노드를 대신할 수 있도록 노드 중 하나는 기본 노드이고 다른 하나는 보조 노드입니다.

    "Up/Down Port" 경고 유형 활성화

    이 경고 유형을 활성화하면 포트가 업에서 다운으로 또는 그 반대로 전환될 때 사용자가 경고를 수신할 수 있습니다.

    또한 사용자가 Monitor > Alerts(경고 모니터링) > Alerts Configuration(경고 구성)에서 Critical WAN Edge Port Up/Down(위험 WAN 에지 포트 작동/중단)을 사용하도록 설정해야 합니다.

  5. 패널 하단에서 Add(추가) 또는 Save(저장)를 클릭하여 구성을 저장합니다.

트래픽 스티어링 정책 구성

허브 프로필과 마찬가지로 Juniper Mist 네트워크의 트래픽 스티어링에서는 애플리케이션 트래픽이 네트워크를 통과하기 위해 취할 수 있는 다양한 경로를 정의합니다. 트래픽 스티어링 내에서 구성하는 경로에 따라 대상 영역도 결정됩니다.

트래픽 스티어링 정책 구성 방법:

  1. Juniper Mist 포털에서 트래픽 스티어링(Traffic Steering) 섹션까지 아래로 스크롤하고 트래픽 스티어링 추가(Add Traffic Steering)를 클릭하여 트래픽 스티어링(Traffic Steering) 구성 창을 표시합니다.
  2. 표 6에 제공된 세부 사항에 따라 구성을 완료합니다.
    표 6: 트래픽 스티어링 정책 구성
    필드 트래픽 스티어링 정책 1 트래픽 스티어링 정책 2
    이름 스포크 LAN 오버레이
    전략 주문 증권 시세 표시기
    경로 (경로 유형의 경우 이전에 생성한 LAN 및 WAN 네트워크를 엔드포인트로 선택할 수 있습니다.)
    • 유형—LAN

    • 네트워크—SPOKE-LAN1

    • 유형 - WAN

    • 네트워크
      • 허브1-INET

      • 허브2-INET

      • 허브1-MPLS

      • 허브2-MPLS

    그림 7 은 사용자가 만든 트래픽 스티어링 정책 목록을 보여 줍니다.

    그림 7: 트래픽 스티어링 정책 요약 Traffic-Steering Policies Summary

애플리케이션 정책 구성

Mist 네트워크에서 애플리케이션 정책은 어떤 네트워크와 사용자가 어떤 애플리케이션에 액세스할 수 있는지, 그리고 어떤 트래픽 스티어링 정책에 따라 액세스할 수 있는지를 정의하는 것입니다. 네트워크/사용자 설정에 따라 원본 영역이 결정됩니다. 응용 프로그램 + 트래픽 스티어링 설정에 따라 대상 영역이 결정됩니다. 또한 허용 또는 거부 작업을 할당할 수 있습니다. Mist는 나열된 순서대로 애플리케이션 정책을 평가하고 적용합니다.

그림 8의 트래픽 플로우 요구 사항을 고려하십시오. 이 이미지는 기업 VPN 설정을 위한 기본 초기 트래픽 모델을 보여줍니다(세 번째 스포크 디바이스 및 두 번째 허브 디바이스는 표시되지 않음).

그림 8: 트래픽 흐름 및 배포 Traffic Flow and Distribution

위의 요구 사항을 충족하려면 다음 응용 프로그램 정책을 만들어야 합니다.

  • 정책 1 - 스포크 사이트에서 허브로의 트래픽을 허용합니다. 이 경우 주소 그룹에 사용되는 대상 접두사는 두 허브의 LAN 인터페이스를 나타냅니다.

  • 정책 2 - 오버레이를 통해 기업 LAN을 통해 스포크 투 스포크 트래픽을 허용합니다.

    메모:

    이는 관리 IP를 사용하는 고가의 MPLS 네트워크를 제외하고는 현실 세계에서 실현 가능하지 않을 수 있습니다. 매니지드 IP는 트래픽을 다른 스포크로 직접 보냅니다. 이러한 유형의 트래픽은 일반적으로 허브 디바이스를 통해 흐릅니다

  • 정책 3 - 허브와 허브에 연결된 DMZ 모두에서 스포크 디바이스로의 트래픽을 허용합니다.

  • 정책 4 - 인터넷 바운드 트래픽이 스포크 디바이스에서 허브 디바이스로 흐르도록 허용합니다. 거기에서 트래픽이 인터넷으로 나뉩니다. 이 경우 허브는 소스 NAT를 트래픽에 적용하고 허브 프로필에 정의된 대로 트래픽을 WAN 인터페이스로 라우팅합니다. 이 규칙은 일반적이므로 특정 규칙 뒤에 배치해야 합니다. Mist는 정책 목록에 배치된 순서대로 애플리케이션 정책을 평가하기 때문입니다.

응용 프로그램 정책을 구성하려면 다음을 수행합니다.

  1. Juniper Mist 포털에서 Application Policy(애플리케이션 정책) 섹션까지 아래로 스크롤하고 Add Policy(정책 추가)를 클릭하여 정책 목록에 새 정책을 추가합니다.
  2. 표 7에 제공된 세부 사항에 따라 구성을 완료합니다.
    표 7: 애플리케이션 정책 구성
    S.No. Rule Name(규칙 이름) 네트워크 작업 대상 스티어링(Destination Steering)
    1 스포크 투 허브 DMZ 스포크 LAN1 합격 허브1-LAN1 + 허브2-LAN1 오버레이
    2 스포크 투 스포크 비아 허브 스포크 LAN1 합격 스포크 LAN1 오버레이
    3 허브-DMZ-스포크 허브1-LAN1 + 허브2-LAN1 합격 스포크 LAN1 스포크 LAN
    4 허브를 통한 인터넷-CBO 스포크 LAN1 합격 어떤 오버레이
    메모:
    • Juniper Mist 클라우드는 정책이 나열된 순서대로 애플리케이션 정책을 평가하고 적용합니다. 줄임표(...) 단추를 클릭하여 지정된 정책을 순서대로 위 또는 아래로 이동할 수 있습니다.

    • SRX 시리즈 방화벽과 함께 사용할 조정 정책을 생성해야 합니다.

    그림 9는 사용자가 만든 응용 프로그램 정책 목록을 보여 줍니다.
    그림 9: 응용 프로그램 정책 요약 Application Policy Summary
  3. 디버깅 및 장치 연결 확인을 위해 ICMP(Internet Control Message Protocol) ping을 허용합니다.

    SRX 시리즈 방화벽의 기본 보안 구성은 LAN 디바이스에서 WAN 에지 라우터의 로컬 인터페이스로의 ICMP 핑 요청을 허용하지 않습니다. 디바이스가 외부 네트워크에 연결을 시도하기 전에 연결을 테스트하는 것이 좋습니다. 또한 디버깅 및 장치 연결 확인을 위해 ICMP ping 요청을 허용하는 것이 좋습니다.

    SRX 시리즈 방화벽에서 다음 CLI 구성 문을 사용하여 디버깅을 위해 로컬 LAN 인터페이스에 대한 ping 요청을 허용합니다.

디바이스별 WAN 에지 템플릿 구성

장치 온보딩 프로세스에 따른 WAN 에지 템플릿을 사용하여 장치 구성이 간소화됩니다. 이러한 WAN 에지 템플릿은 모든 에지 디바이스에서 고유한 배포에 맞게 사용자 지정할 수 있습니다. 주니퍼 네트웍스 Mist AI는 Mist AI WAN 에지 템플릿은 벤더에 관계없이 모든 모델에 적용할 수 있어 업계에서 독보적인 입지를 구축했습니다. 또한 WAN 에지 템플릿은 단일 템플릿에서 다양한 모델을 혼합하여 구성 및 구축 단계를 간소화할 수 있습니다.

SRX 시리즈 방화벽에 대한 WAN 에지 템플릿을 수동으로 구성하려면 WAN 에지 템플릿 구성을 참조하십시오.

디바이스별 WAN 에지 템플릿

엄선된 주니퍼 네트웍스 하드웨어를 Mist AI SD-WAN과 함께 활용하면 상당한 이점이 있습니다. 여러 주니퍼 네트웍스® SRX 시리즈 방화벽은 WAN 및 LAN 인터페이스를 자동으로 할당하고 연결을 위해 LAN 네트워크를 정의하는 디바이스별 템플릿을 갖추고 있어 구성이 간소화되었습니다.

이러한 템플릿은 각 장치 모델마다 고유합니다. 디바이스를 선택하고 WAN 에지 이름을 지정한 후 수동 입력이 필요 없으면 사용자의 지정된 WAN 에지 디바이스에 값이 미리 채워집니다. 그림 10 은 SRX 시리즈 WAN 에지 템플릿이 관련 DHCPIP 값을 가진 LANWAN용 이더넷 인터페이스를 포함하여 여러 값을 생성하는 것을 보여줍니다.

그림 10: SRX 시리즈 WAN 에지 템플릿 Sample of SRX Series WAN Edge Template 샘플

또한 Juniper Mist 포털은 트래픽 스티어링 정책을 채웁니다. 이를 통해 Juniper Mist는 WAN 연결을 통해 쿼드 제로 catch-all 대상을 가진 모든 Mist 애플리케이션으로 트래픽을 전송할 수 있습니다.

WAN 에지 템플릿을 적용하면 애플리케이션 정책, 네트워크 및 애플리케이션이 자동 업데이트를 받는 것을 확인할 수 있습니다. 그림 11 은 응용 프로그램 정책의 샘플을 보여 줍니다.

그림 11: WAN 에지 템플릿 Application Policies After Applying WAN Edge Template 적용 후의 애플리케이션 정책

Juniper Mist AI SD-WAN에는 SRX 시리즈 방화벽용으로 WAN 에지 템플릿이 사전 구성된 다음 디바이스 모델이 포함되어 있습니다.

  • SRX300 시리즈
  • SRX320-POE
  • SRX320
  • SRX340
  • SRX345
  • SRX380
  • SRX550M
  • SRX1500
  • SRX1600*
  • SRX4100
  • SRX4200
  • SRX4600
  • SRX2300*
  • SRX4300*

* 2024년 후반에 새로운 모델에 대한 주니퍼 Mist AI WAN 지원 계획이 있음을 나타냅니다.

WAN 에지 디바이스별 템플릿은 기본 네트워크 구성을 한 단계로 제공하며, 배포하는 각 Session Smart 라우터 및 SRX 시리즈 방화벽 디바이스에 대해 재사용 가능하고 일관된 구성을 가능하게 합니다. 템플릿은 디바이스별 사전 구성된 WAN 인터페이스, LAN 인터페이스, 트래픽 스티어링 정책 및 애플리케이션 정책을 제공합니다. 템플릿의 이름을 지정하고 장치 유형을 선택하기만 하면 됩니다.

디바이스별 WAN 에지 템플릿을 선택하려면 다음을 수행합니다.

  1. Juniper Mist 포털에서 조직(Organization) > WAN(WAN > WAN Edge Templates)을 선택합니다.
  2. 오른쪽 위 모서리에서 템플릿 만들기를 선택하여 새 템플릿 페이지를 엽니다.
  3. 템플릿의 이름을 입력합니다.
  4. 장치 모델에서 만들기 확인란을 클릭합니다.
  5. 드롭다운 상자에서 장치 모델을 선택합니다.
    그림 12: 디바이스별 WAN 에지 템플릿 Configure Device-Specific WAN Edge Template 구성
  6. 만들기를 클릭합니다.

Juniper Mist UI에 완성된 디바이스 템플릿이 표시됩니다. 이제 조직 전체의 여러 사이트 및 디바이스에 적용할 수 있는 작동하는 WAN 에지 템플릿이 있습니다.

사이트에 할당

템플릿이 설정되면 템플릿을 저장하고 WAN 에지 디바이스를 배포할 사이트에 할당해야 합니다.

  1. 템플릿 페이지 맨 위에 있는 Assign to Site 버튼을 클릭합니다.
  2. 목록에서 서식 파일을 적용할 사이트를 선택합니다.
  3. 적용을 클릭합니다.
  4. 마지막으로, 디바이스를 사이트와 연결하는 일만 남았습니다. WAN 구성을 위한 온보드 SRX 시리즈 방화벽을 참조하십시오.