빠른 시작 설명서 - Catalyst SD-WAN 간소화된 구성 및 정책
목차
소개
이 문서는 Catalyst SD-WAN의 간소화된 구성 및 정책에 대한 빠른 시작 가이드입니다.
요약
Cisco Catalyst SD-WAN Software Release 20.12/17.12에서는 장치 및 기능 템플릿을 기반으로 하는 기존 컨피그레이션에서 컨피그레이션 그룹 및 정책 그룹을 기반으로 하는 새로운 컨피그레이션 접근 방식으로 마이그레이션하는 것이 좋습니다. 이 문서에서는 새로운 컨피그레이션 접근 방식에 대한 중요한 세부 사항을 설명합니다.
이 문서의 주된 목표는 20.12 골든 릴리스와 함께 구성, 정책 및 온보딩에 대한 새 구성 사용을 시작하는 데 지침이 되는 것입니다. 이 문서에서는 개별 기능에 대한 설명은 다루지 않습니다.
신규 구축
새로운 컨피그레이션 접근 방식을 성공적으로 활용하려면 다음 단계를 실행해야 합니다.
- 네트워크: 네트워크 계층 구조 및 시스템 구조 정의
- 구성: 워크플로를 사용하여 구성 그룹으로 구성 만들기
- 애플리케이션: 필요한 경우 애플리케이션 카탈로그를 사용하여 맞춤형 애플리케이션을 정의합니다.
- 정책: 정책 그룹을 사용하여 정책 생성
- 토폴로지: 토폴로지 정의
- 온보드: 온보드 및 태그 장치
- 구축: 컨피그레이션 그룹 및 정책 그룹을 연결하고 구축합니다. 토폴로지 활성화
신규 구축 순서도
기존 구축
사용자 환경 개선 및 운영 간소화
Cisco Catalyst SD-WAN은 향상된 사용자 경험을 제공하고 운영을 간소화합니다.
- 공통 UI: Catalyst SD-WAN Manager 및 기타 Cisco 제품에는 User eXperience의 일관성과 제품 전체에 공통된 모양과 느낌을 제공하는 새로운 UX 프레임워크가 도입되었습니다.
- 컨피그레이션: 직관적인 인텐트 기반 워크플로 및 Cisco 권장 스마트 기본값 사용을 통해 컨피그레이션 및 정책 생성/구축을 간소화합니다.
- 모니터링: 새로운 위젯과 맞춤형 및 향상된 대시보드를 통해 네트워크 및 애플리케이션 성능과 상태에 대한 풍부한 통찰력을 제공합니다.
- 문제 해결: 동적 사이트 및 네트워크 토폴로지 보기, 상황 기반 문제 해결 도구 액세스, 네트워크 및 애플리케이션 성능에 대한 보고서를 일정에 따라 제공합니다.
혜택
| 사용 편의성 |
직관적인 안내식 워크플로 |
| 무질서한 구성 |
스프롤 감소(모델에 구애받지 않음, 재사용, 구조) |
| 컨피그레이션 생성 |
스마트 기본값을 사용하여 더 빠르고 쉽게 |
| 구성 수정 |
지금 수정, 나중에 선택적으로 배포 |
| 가시성 |
새로운 대시보드, 앱/사이트 성능 모니터링 |
| 문제 해결 지침 |
사이트 토폴로지, 문제 해결 툴 지침 |
네트워크 계층 구조 및 시스템 구조 정의
네트워크 계층
네트워크에 대한 '계층', 즉 사이트, 지역 및 영역 개념을 제공합니다. 네트워크를 기반으로 이 항목을 생성할 수 있습니다.
예:
NHM(Network Hierarchy Manager)
이를 통해 사용자 친화적인 사이트 이름을 정의하여 운영 간소화를 실현할 수 있습니다.
시스템 구성
이러한 풀은 디바이스 컨피그레이션을 구축하는 동안 System-IP 및 Site-ID 할당을 자동화합니다.
System-IP 자동 할당을 위한 IP 풀을 정의할 수 있습니다. 사이트 ID는 Global_Site 풀에서 할당됩니다.
풀 매개변수 추가
풀 보기 및 관리
워크플로
워크플로는 특정 작업을 쉽게 수행할 수 있도록 안내하는 단계의 모음입니다.
- 워크플로의 목표는 초보 사용자가 구성을 쉽게 생성하고 장치에 배포할 수 있도록 지원하는 것입니다.
- 대부분의 컨피그레이션 노브/설정은 Cisco 권장 스마트 기본값으로 설정됩니다.
- 사용자는 몇 가지 컨피그레이션만 지정해야 합니다.
- 고급 컨피그레이션 노브는 워크플로 외부에서 사용 가능하며, 여기서 컨피그레이션 그룹을 수동으로 편집할 수 있습니다.
워크플로 라이브러리에는 사용 가능한 모든 워크플로가 나열됩니다.
워크플로 라이브러리
컨피그레이션 그룹
Configuration Group은 간소화, 재사용 가능성 및 구조의 원칙을 기반으로 하는 새로운 패브릭 컨피그레이션 방식입니다.
컨피그레이션 그룹 구조
컨피그레이션 그룹
- WAN 내에서 공통의 목적을 공유하는 디바이스의 논리적 그룹입니다.
- 사용자는 비즈니스 요구 사항에 따라 이 그룹을 정의하고 사용자 지정할 수 있습니다.
예: 동부/서부, 미주/APJC/EMEAR, 소매점/유통 센터
기능 프로파일
- 구성 그룹 간에 공유할 수 있는 유연한 구성의 "버킷"
- 필요한 기능에 따라 기능 프로파일 생성
- 프로파일을 함께 구성하여 구성 요소와 같은 장치 구성 완료
- 빌드, 저장 및 재사용
예: 기본 프로파일, WAN 프로파일, LAN 프로파일
컨피그레이션 그룹 구축 예
참고:
- 컨피그레이션 그룹은 디바이스 모델에 구애받지 않음
- 구성 그룹 간에 기능 프로필 공유 가능
활용 사례 1: 정부 고객
예 활용 사례 1 - 컨피그레이션 그룹
컨피그레이션 그룹 허브
Create Configuration Group(컨피그레이션 그룹 생성) 워크플로를 실행합니다.
구성 그룹 만들기 워크플로 옵션
WAN 프로파일
사용 사례 1 - WAN 프로파일 1
이 워크플로를 사용하여 이 활용 사례에 대한 전체 WAN 프로필 컨피그레이션을 생성할 수 있습니다.
실제 고정 IP, 고정 기본 경로 IP/서브넷/Next-Hop 등의 엔터티는 전역 또는 디바이스별로 지정할 수 있습니다.
디바이스에 컨피그레이션 그룹을 구축하는 동안 디바이스별 옵션을 실제 값으로 지정할 수 있습니다.
LAN 프로필
사용 사례 1 - LAN 프로필 1
이 워크플로를 사용하여 이 활용 사례에 대한 대부분의 LAN 프로필 컨피그레이션을 생성할 수 있습니다.
- VPN 2개
- 각 VPN의 BGP 라우팅(AS 번호, 네트워크 접두사, 인접 디바이스)
실제 Dot1Q 하위 인터페이스 및 디바이스별로 표시된 다른 엔티티와 같은 엔티티는 디바이스에 컨피그레이션 그룹을 구축하는 동안 실제 값으로 지정할 수 있습니다.
| 참고: 경로 재배포 및 기본 경로 광고와 같은 고급 컨피그레이션은 컨피그레이션 그룹을 수동으로 편집하여 워크플로 이후에 구성해야 하며, 구축 중에 하위 인터페이스도 사용해야 합니다. |
시스템 프로파일
사용 사례 1 - 시스템 프로파일 1
이 워크플로를 사용하면 이 활용 사례에 대한 대부분의 시스템 프로필 컨피그레이션(OMP, AAA, NTP, Logging 등)을 생성할 수 있습니다.
| 참고: OMP-BGP 재배포와 같은 고급 컨피그레이션 및 OMP, AAA, NTP 등과 같은 시스템 기능에 대한 기타 변경 사항은 수동으로 컨피그레이션 그룹을 편집하여 워크플로 이후에 구성해야 합니다. |
구성 그룹 SiteType1
Create Configuration Group(컨피그레이션 그룹 생성) 워크플로를 실행합니다.
WAN 프로파일
사용 사례 1 - WAN 프로파일 2
이 워크플로를 사용하여 이 활용 사례에 대한 대부분의 WAN 프로필 컨피그레이션을 생성할 수 있습니다. 인터넷 및 Starlink용 이더넷 인터페이스. DHCP.
| 참고: Static 경로를 비롯한 Cellular Interface for LTE 링크는 수동으로 컨피그레이션 그룹을 편집하여 워크플로 이후에 구성해야 합니다. |
LAN 프로필
사용 사례 1 - LAN 프로필 2
이 워크플로를 사용하여 이 활용 사례에 대한 일부 LAN 프로필 컨피그레이션을 생성할 수 있습니다. VPN 2개, DIA 고정 경로.
실제 Dot1Q 하위 인터페이스 및 디바이스별로 표시된 다른 엔티티와 같은 엔티티는 디바이스에 컨피그레이션 그룹을 구축하는 동안 실제 값으로 지정할 수 있습니다.
| 참고: SVI, 무선 SSID, 액세스 스위치 포트 등은 구성 그룹을 수동으로 편집하여 워크플로 이후에 구성해야 합니다. |
시스템 프로파일
사용 사례 1 - 시스템 프로파일 2
이 워크플로를 사용하면 이 활용 사례에 대한 대부분의 시스템 프로필 컨피그레이션(OMP, AAA, NTP, Logging 등)을 생성할 수 있습니다.
| 참고: Application Performance Monitoring(애플리케이션 성능 모니터링)과 같은 고급 컨피그레이션은 수동으로 컨피그레이션 그룹을 편집하여 워크플로 이후에 구성해야 합니다. |
CLI 프로파일
사용 사례 1 - CLI 프로파일 2
NBAR(App/Flow Visibility) 활성화와 같이 GUI에서 지원되지 않는 기능은 CLI 프로필을 사용하여 구성할 수 있습니다.
앱/플로우 가시성
앱 가시성 및 흐름 가시성을 활성화하려면 CLI 프로필/택배를 사용합니다.
(20.13 이상에서는 정책 그룹의 고급 설정에서 사용 가능)
그러나 20.12에서는 AAR 정책이 구성된 경우 App/Flow Visibility(앱/플로우 가시성)가 활성화됩니다. 그리고 CLI 프로필/소포를 사용하여 이를 구성할 필요는 없습니다.
구성 그룹 SiteType2
Create Configuration Group(컨피그레이션 그룹 생성) 워크플로를 실행합니다.
WAN 프로파일
사용 사례 1 - WAN 프로파일 3
이 워크플로를 사용하여 이 활용 사례에 대한 대부분의 WAN 프로필 컨피그레이션을 생성할 수 있습니다. 인터넷용 이더넷 인터페이스. DHCP.
| 참고: Static 경로를 비롯한 Cellular Interface for LTE 링크는 수동으로 컨피그레이션 그룹을 편집하여 워크플로 이후에 구성해야 합니다. |
LAN 프로필
사용 사례 1 - LAN 프로필 3
이 워크플로를 사용하여 이 활용 사례에 대한 일부 LAN 프로필 컨피그레이션을 생성할 수 있습니다. 1 VPN, DIA 고정 경로.
실제 Dot1Q 하위 인터페이스 및 디바이스별로 표시된 다른 엔티티와 같은 엔티티는 디바이스에 컨피그레이션 그룹을 구축하는 동안 실제 값으로 지정할 수 있습니다.
| 참고: SVI, 액세스 스위치 포트 등은 구성 그룹을 수동으로 편집하여 워크플로 이후에 구성해야 합니다. |
시스템 프로파일
구성 그룹 SiteType1과 동일
CLI 프로파일
구성 그룹 SiteType1과 동일
구성 그룹 SiteType3
Create Configuration Group(컨피그레이션 그룹 생성) 워크플로를 실행합니다.
WAN 프로파일
구성 그룹 SiteType2와 동일
LAN 프로파일
사용 사례 1 - LAN 프로필 4
이 워크플로를 사용하여 이 활용 사례에 대한 일부 LAN 프로필 컨피그레이션을 생성할 수 있습니다. 1 VPN, DIA 고정 경로.
실제 Dot1Q 하위 인터페이스 및 디바이스별로 표시된 다른 엔티티와 같은 엔티티는 디바이스에 컨피그레이션 그룹을 구축하는 동안 실제 값으로 지정할 수 있습니다.
| 참고: SVI, 무선 SSID, 액세스 스위치 포트 등은 구성 그룹을 수동으로 편집하여 워크플로 이후에 구성해야 합니다. |
시스템 프로파일
구성 그룹 SiteType1과 동일
CLI 프로파일
구성 그룹 SiteType1과 동일
활용 사례 2: 소매 고객
예 활용 사례 2 - 컨피그레이션 그룹
컨피그레이션 그룹 HQ 및 창고
Create Configuration Group(컨피그레이션 그룹 생성) 워크플로를 실행합니다.
WAN 프로파일
이 워크플로를 사용하여 이 활용 사례에 대한 모든 WAN 프로필 컨피그레이션을 생성할 수 있습니다.
LAN 프로파일
이 워크플로를 사용하여 이 활용 사례에 대한 모든 LAN 프로필 컨피그레이션을 생성할 수 있습니다.
실제 Dot1Q 하위 인터페이스 및 디바이스별로 표시된 다른 엔티티와 같은 엔티티는 디바이스에 컨피그레이션 그룹을 구축하는 동안 실제 값으로 지정할 수 있습니다.
시스템 프로파일
이 워크플로를 사용하여 이 활용 사례에 대한 모든 시스템 프로필 컨피그레이션을 생성할 수 있습니다.
| 참고: 변경이 필요하거나 Application Performance Monitoring(애플리케이션 성능 모니터링)과 같은 고급 컨피그레이션이 필요한 경우, 수동으로 컨피그레이션 그룹을 편집하여 워크플로 이후에 구성해야 합니다. |
컨피그레이션 그룹 저장소
Create Configuration Group(컨피그레이션 그룹 생성) 워크플로를 실행합니다.
WAN 프로파일
이 워크플로를 사용하여 이 활용 사례에 대한 대부분의 WAN 프로필 컨피그레이션을 생성할 수 있습니다.
| 참고: 라우팅을 포함한 LTE 링크용 셀룰러 인터페이스는 구성 그룹을 수동으로 편집하여 워크플로를 게시하도록 구성해야 합니다. |
LAN 프로파일
이 워크플로를 사용하여 이 활용 사례에 대한 모든 LAN 프로필 컨피그레이션을 생성할 수 있습니다.
실제 Dot1Q 하위 인터페이스 및 디바이스별로 표시된 다른 엔티티와 같은 엔티티는 디바이스에 컨피그레이션 그룹을 구축하는 동안 실제 값으로 지정할 수 있습니다.
시스템 프로파일
컨피그레이션 그룹 HQ 및 웨어하우스와 동일합니다.
연결
Configuration Group edit(컨피그레이션 그룹 수정) 페이지(Configuration(컨피그레이션) -> Configuration Groups(컨피그레이션 그룹))에서 디바이스를 컨피그레이션 그룹과 연결할 수 있습니다.
Associate Devices(디바이스 연결)를 클릭하고 워크플로의 단계를 진행합니다.
디바이스 연결 - 컨피그레이션 그룹
구축
컨피그레이션 그룹 구축 워크플로를 실행합니다.
구성 그룹 배포 워크플로
| 참고:
|
재사용 가능성
- 컨피그레이션 그룹은 디바이스 모델에 구애받지 않습니다.
컨피그레이션 그룹 - 디바이스 모델 무관
| 참고: 특정 컨피그레이션이 디바이스 모델에서 지원되지 않으면 해당 기능 패키지 푸시가 발생하지 않으며 배포 작업의 일부로 적절한 메시지가 표시됩니다. 예: 디바이스에서 Wi-Fi를 지원하지 않지만 컨피그레이션 그룹에 Wi-Fi 소포가 포함되어 있습니다. 구축 시 Wi-Fi 택배 컨피그레이션을 건너뛰고 구축 작업 메시지에 Wi-Fi 컨피그레이션 푸시를 건너뛰었음을 알립니다. |
- 컨피그레이션 변수 사용 - 디바이스별 값
컨피그레이션 그룹 - 디바이스별 변수
기능 프로필은 템플릿 변수와 유사하게 디바이스별로 정의된 일부 컨피그레이션을 가질 수 있습니다.
예: 인터페이스 IP 주소, 포트 번호, 인터페이스 이름 등
이러한 디바이스별 값은 구축 시점에 제공할 수 있습니다. 장치마다 다를 수 있습니다.
컨피그레이션 그룹 - 디바이스별 변수 예 1
컨피그레이션 그룹 - 디바이스별 변수 예 2
컨피그레이션 그룹 - 디바이스별 변수 예 3
- 기능 프로파일 다시 사용
기능 프로필은 컨피그레이션 그룹 전체에서 재사용할 수 있습니다.
그림:
여러 디바이스의 경우 WAN 및 시스템 컨피그레이션이 동일하고 LAN 컨피그레이션에서만 다른 경우(예: 컨피그레이션 그룹 전체에서 WAN 및 시스템 프로파일을 재사용하면서 각각 다른 LAN 프로파일을 가질 수 있습니다.
기능 프로파일 재사용 - 1
LAN 프로필 1
기능 프로파일 다시 사용 - 2
LAN 프로필 2
기능 프로파일 재사용 - 3
LAN 프로필 3
애플리케이션 카탈로그
기존 디바이스는 소스 및/또는 목적지 IP 주소, 소스/목적지 포트, 프로토콜의 조건부 일치를 통해 트래픽 흐름을 조작할 수 있었습니다. 점점 더 많은 애플리케이션이 DNS에 의존하거나 HTTP에 포함되므로 애플리케이션 레벨에서 네트워크 트래픽을 정확하게 식별하기가 어렵습니다.
Cisco의 NBAR(Network Based Application Recognition) 엔진은 1,500개 이상의 애플리케이션을 분류할 수 있는 기능을 갖추고 있어 네트워크 엔지니어가 트래픽 흐름을 보다 세분화하여 분류하고 조작할 수 있습니다. Cisco의 Catalyst SD-WAN Manager에는 애플리케이션의 시그니처를 신속하게 업데이트할 수 있는 Cisco 애플리케이션 리포지토리에 연결할 수 있는 기능이 포함되어 있습니다. 이는 클라우드 공급자가 호스팅 위치 또는 트래픽 패턴을 변경하는 경우에 중요한 의미를 갖습니다.
애플리케이션 카탈로그는 서버 이름, IP 주소, 포트 또는 프로토콜의 일치를 기반으로 사용자 지정 애플리케이션을 생성하는 기능을 제공합니다. 그런 다음 애플리케이션은 특정 애플리케이션 제품군, 애플리케이션 그룹, 트래픽 클래스 및 비즈니스 연관성으로 정의됩니다.
애플리케이션 카탈로그
애플리케이션을 적절한 비즈니스 연관성 및/또는 트래픽 분류로 끌어다 놓을 수 있습니다. 변경 사항을 저장하면 데이터베이스에서 정의가 업데이트됩니다.
| 참고: 애플리케이션 분류는 전역이며, 애플리케이션 카탈로그의 변경은 모든 디바이스 분류에 영향을 미칩니다. |
정책 그룹
컨피그레이션 그룹과 마찬가지로, 정책 그룹은 정책 그룹과 연결된 디바이스에 구축되는 정책의 그룹입니다.
정책 그룹은 목적에 따라 정책 생성 및 구축에 접근합니다. 간소화된 UI 및 워크플로를 통해 정책을 생성하고 정책을 그룹화하며 디바이스에 배포하는 것이 쉬운 작업입니다.
| 사전 요구 사항: 디바이스에 대한 컨피그레이션 그룹 연결 및 구축은 해당 디바이스에 대한 정책 그룹 구축의 전제 조건입니다. |
정책 그룹
애플리케이션 우선 순위 및 SLA
이 정책 의도로 다음을 지정할 수 있습니다.
- 애플리케이션 인식 라우팅 및 SLA 정책
- QoS 정책
- 트래픽 데이터 정책
- DIA 정책
- SIG 정책
두 가지 모드가 제공됩니다.
단순 모드
이것이 기본 모드입니다.
단순 모드
이를 통해 네트워크에 대한 애플리케이션 우선 순위 및 SLA를 빠르고 쉽게 정의할 수 있습니다.
| 참고: 1. 기본 정책 작업은 DROP입니다 2. 대응 기준은 애플리케이션만이 될 수 있습니다. 접두사가 필요한 경우 고급 모드를 사용합니다 |
고급 모드
이 모드는 전체 및 유연한 모드입니다.
고급 모드
| 참고: 1. 기본 정책 작업은 DROP입니다 2. 애플리케이션 목록 및 트래픽 클래스는 기본적으로 애플리케이션 목록입니다. 둘 중 하나를 애플리케이션 목록과 일치시키는 데 사용할 수 있습니다. 애플리케이션을 트래픽 클래스에 매핑하는 작업은 애플리케이션 카탈로그에서 수행할 수 있습니다. 단순 모드에서는 이 중 하나 또는 둘 모두를 사용하여 규칙을 생성하는 반면, 고급 모드에서는 애플리케이션 목록만 제공합니다. |
QoS(Quality of Service)
QoS Queue(QoS 큐) 옵션에서 QoS 정책을 추가할 수 있습니다.
QoS 정책 추가
대기 모델
다음으로 트래픽 데이터 정책을 정의할 수 있습니다(트래픽 정책 추가).
원하는 트래픽과 일치하는 규칙을 추가하고 적절한 포워딩 클래스로 리디렉션합니다.
QoS 정책 2
애플리케이션 인식 라우팅
SLA 클래스를 정의하고 트래픽 정책에서 이를 사용하여 AAR 정책의 목적을 실현할 수 있습니다.
AAR 정책
앱/플로우 가시성
앱 가시성 및 흐름 가시성을 활성화하려면 Configuration Group(컨피그레이션 그룹)에서 CLI 프로필/Parcel을 사용합니다.
(20.13 이상에서는 정책 그룹의 고급 설정에서 사용 가능)
그러나 20.12에서는 AAR 정책이 구성된 경우 App/Flow Visibility(앱/플로우 가시성)가 활성화됩니다. 그리고 CLI 프로필/소포를 사용하여 이를 구성할 필요는 없습니다.
트래픽 정책
트래픽 정책은 DIA 정책, SIG 리디렉션 등을 생성하는 데에도 사용할 수 있습니다. 필요에 따라 규칙을 추가합니다.
트래픽 정책
| 참고: 애플리케이션 우선순위 및 SLA 정책이 단순 모드에서 생성된 다음 고급 모드로 전환되는 경우 일부 일치 옵션을 선택할 수 없습니다. 예: 대상 데이터 접두사가 회색으로 표시됩니다. |
내장된 보안
온박스(on-box) NGFW, IPS, 악성코드, 콘텐츠 필터링을 위한 보안 정책 정의
보안 인터넷 게이트웨이/보안 서비스 에지
Cisco Secure Access와 같은 클라우드 기반 콘텐츠 및 보안 엔터티에 터널을 설정하는 데 필요한 설정을 정의합니다.
| 참고: 기존 컨피그레이션 방식에서는 이 기능을 기능 템플릿으로 사용할 수 있었습니다. |
DNS 보안
콘텐츠 필터링을 위해 클라우드 기반 DNS 보안 서비스를 사용할 수 있도록 설정을 정의합니다.
관심 그룹
정책에서 사용할 객체 목록을 정의합니다. 예: 애플리케이션 목록, VPN 목록, 사이트 목록, 접두사 목록 등
또한 보안 정책의 경우 고급 검사 프로파일, SSL 암호 해독 정책 등과 같은 프로파일을 정의합니다.
정책 그룹 - 관심 그룹
연결 및 구축
컨피그레이션 그룹과 마찬가지로, 디바이스를 정책 그룹에 연결하고 구축합니다.
현지화된 정책
ACL, 경로 정책, 디바이스 액세스 정책 등과 같은 현지화된 정책은 컨피그레이션 그룹에서 정의됩니다.
토폴로지
네트워크 토폴로지 정의
풀 메시 또는 Hub-n-Spoke로 시작하고 필요한 경우 사용자 지정합니다.
Topology 메뉴
토폴로지 및 VPN
토폴로지를 생성하고 VPN을 지정하는 동안 이러한 설계 변경을 염두에 두십시오.
새로운 설계에서는 1:1 매핑 대신 VPN 이름을 VPN ID에 동적으로 매핑할 수 있습니다.
여러 VPN ID에 대한 VPN 이름 매핑
그림:
두 개의 컨피그레이션 그룹에 Corporate라는 이름의 VPN이 있다고 가정해 보겠습니다.
하나는 VPN ID 10이고 다른 하나는 VPN ID 20입니다.
토폴로지 워크플로 VPN 목록에는 기업 VPN 인스턴스 하나가 표시됩니다.
기업 VPN을 선택하면 SD-WAN Manager가 토폴로지를 기반으로 VPN ID를 결정합니다.
2개의 사이트에 2개의 디바이스가 있다고 가정해 보겠습니다.
1. 사이트 100의 장치1(기업을 VPN으로 사용) 10
2. 사이트 200의 장치2(기업을 VPN으로 사용) 20
사이트 100과 사이트 200 모두 토폴로지의 일부인 경우 SD-WAN Manager는 두 VPN ID(10 및 20)를 모두 갖는 VPN 목록을 생성합니다.
사이트 100만 토폴로지의 일부인 경우 SD-WAN Manager는 VPN ID 10만 포함할 VPN 목록을 생성합니다.
사이트 200만 토폴로지의 일부인 경우 SD-WAN Manager는 VPN ID 20만 포함할 VPN 목록을 생성합니다.
동일한 VPN ID에 여러 VPN 이름 매핑
여러 사이트의 서로 다른 VPN ID에 매핑되는 동일한 VPN 이름으로 여러 토폴로지 정책을 구성할 수 있습니다.
SD-WAN Manager는 어떤 토폴로지가 어떤 사이트에 연결되는지에 따라 실제 매핑을 결정합니다.
그림:
두 명의 사용자가 서로 다른 두 개의 컨피그레이션 그룹을 생성할 수 있습니다.
하나는 VPN ID 100을 Finance VPN으로 지정하고 다른 하나는 Engineering VPN으로 지정합니다.
그런 다음 해당 VPN 이름을 사용하여 토폴로지를 생성할 수 있습니다.
온보드
물리적 라우터를 온보딩하려면 Quick Connect Workflow를 사용합니다.
이 워크플로를 사용하여 온보딩할 디바이스의 호스트 이름, System-IP 및 Site-name/ID를 미리 정의합니다. Manager에서 이러한 파일을 자동으로 생성하지만 원하는 경우 수정할 수 있습니다. 디바이스를 컨피그레이션 그룹에 자동 연결하는 데 사용할 수 있는 디바이스에 태그를 지정할 수도 있습니다.
PnP ZTP 온보딩 프로세스 중에 디바이스는 SD-WAN Manager에 대한 컨트롤 플레인 터널 연결을 설정합니다. 이제 SD-WAN Manager는 디바이스에 사전 정의된 패브릭 컨피그레이션을 푸시하고 디바이스는 SD-WAN 패브릭에 조인합니다.
빠른 연결 워크플로
빠른 연결 워크플로 설명
태깅
디바이스는 사용자 정의 태그와 연결될 수 있습니다.
태그는 장치를 그룹화, 설명, 찾기 또는 관리하는 데 사용할 수 있습니다.
태그는 다른 기능에서 사용할 수 있는 장치를 그룹화할 수 있게 합니다.
태깅 예
예: 디바이스에 컨피그레이션 그룹 연결
특정 태그가 있는 장치를 해당 컨피그레이션 그룹에 자동으로 연결하도록 컨피그레이션 그룹 규칙을 설정할 수 있습니다.
태그 추가
Configuration(컨피그레이션)->Devices(디바이스)에서 태그를 생성/디바이스에 추가/제거할 수 있습니다.
구성 그룹의 태그 규칙
Configuration Group(컨피그레이션 그룹) -> Associated Devices(연결된 디바이스) 페이지에서 태그 규칙을 추가/편집할 수 있습니다.
그림
태깅 그림
기존 구축
SD-WAN 네트워크에서는 레거시 컨피그레이션 및 정책을 사용하는 디바이스가 간소화된 컨피그레이션 및 정책을 사용하는 디바이스와 공존할 수 있습니다.
이 섹션에서는 간소화된 컨피그레이션 및 정책을 활용하려는 고객을 위한 몇 가지 권장 사항을 제공하며, 이 섹션에서는 몇 가지 권장 사항을 제공합니다.
첫 번째 단계는 디바이스를 디바이스 템플릿에서 컨피그레이션 그룹으로 마이그레이션해야 한다는 것입니다. 그런 다음 정책 그룹 및/또는 토폴로지를 구축할 수 있습니다.
컨피그레이션 그룹
디바이스 템플릿 및 컨피그레이션 그룹은 에지 디바이스 컨피그레이션을 제공합니다. 그래서 공존이 일어나기 쉽습니다. 디바이스 템플릿에서 컨피그레이션 그룹으로 마이그레이션하는 단계는 다음과 같습니다.
| 1단계 |
디바이스 템플릿에서 디바이스 값의 복사본을 추출합니다. 이는 Configuration à Templates에서 디바이스 그룹의 오른쪽에 있는 Ellipses(...)를 클릭하고 'Export CSV(CSV 내보내기)'를 선택합니다. |
| 2단계 |
컨피그레이션 그룹을 생성합니다(수동으로 또는 변환 툴을 사용하여). |
| 3단계 |
디바이스에서 디바이스 템플릿을 분리합니다. 이 때 디바이스는 첨부 지점에서 컨피그레이션을 유지 관리하지만, 디바이스 템플릿(또는 구성 요소 기능 템플릿)에 대한 향후 변경 사항을 수신하지 않습니다. |
| 4단계 |
디바이스를 새 컨피그레이션 그룹에 연결합니다. |
| 5단계 |
컨피그레이션 그룹에 연결된 디바이스를 구축합니다. 이 프로세스를 더 쉽게 수행하려면 내보낸 CSV 파일을 열고 컨피그레이션 그룹의 새 변수와 일치하도록 CSV 열 헤더를 변경합니다. |
| 6단계 |
디바이스 변수 입력 화면 후 디바이스 컨피그레이션을 미리 볼 수 있습니다. 그러면 컨피그레이션 그룹의 어떤 부분이 이전 인스턴스와 일치하지 않는지 또는 디바이스 템플릿에서 어떤 변수가 변경되었는지 미리 볼 수 있습니다. |
변수에 대한 일관된 이름 지정 체계를 유지하면 디바이스별 설정이 간소화됩니다. 모든 디바이스 값이 단일 CSV에 있는 경우 열 헤더의 이름을 한 번만 변경하면 됩니다.
| 참고: 디바이스 템플릿 또는 컨피그레이션 그룹의 CSV 파일과 함께 작동하여 열 헤더를 통합하고 알파벳화하는 파이썬 스크립트가 있습니다. 스크립트는 다음 위치에서 확인할 수 있습니다. |
정책 그룹
컨피그레이션 그룹을 통해 구성된 디바이스는 중앙 집중식 정책을 사용하거나 정책 그룹으로 마이그레이션할 수 있지만, 동일한 애플리케이션에 대해 두 정책을 동시에 사용할 수는 없습니다. 기본적으로 에지 디바이스에 대한 동일한 기본 정책을 유지하는 것이 목적입니다. 정책 그룹은 원래 AAR 및 데이터 정책을 단일 애플리케이션 우선순위 및 SLA PG 구성 요소로 결합합니다. 기본적으로 정책에 대한 컨피그레이션이 구축되는 방식만 변경할 뿐 SD-WAN Manager로 전송되지 않습니다.
데이터 정책 또는 AAR 정책은 둘 다 동일한 설정을 구성하므로 애플리케이션 우선 순위 및 SLA 구성 요소가 있는 사이트가 있는 사이트 목록을 참조할 수 없습니다.
제어 정책만 있는 중앙 집중식 정책이 중앙 집중식 정책의 다른 구성 요소를 구성하므로 SLA(Application Priority)가 있는 정책 그룹을 사용하는 사이트를 참조하도록 할 수 있습니다.
중앙 집중식 정책에서 정책 그룹으로 디바이스를 마이그레이션하는 단계에는 다음 단계가 포함됩니다.
| 1단계 |
필요한 정책 그룹 구성 요소(Application Priority & SLA, Embedded Security, Secure Internet Gateway/Secure Service Edge, DNS Security)를 생성합니다. |
| 2단계 |
정책 그룹을 생성하고 필요한 구성 요소를 연결합니다. |
| 3단계 |
AAR 또는 데이터 정책에서 참조하는 사이트 목록에서 사이트 ID의 연결을 해제합니다. |
| 4단계 |
디바이스를 정책 그룹에 연결하고 정책 그룹을 저장합니다. |
| 5단계 |
선택한 디바이스에 정책 그룹을 구축합니다. 이때 SD-WAN Manager는 업데이트된 컨피그레이션을 에지 디바이스(QoS/SIG용) 및 컨트롤러에 전송합니다. 그러면 컨트롤러는 업데이트된 데이터 정책을 에지 디바이스에 전송할 수 있습니다. |
| 참고: 정책 그룹은 중앙 집중식 정책과 공존할 수 있지만, 에지 디바이스를 컨피그레이션 그룹으로 변환하는 동안 중앙 집중식 정책(AAR 및 데이터 정책용)을 유지하는 것이 좋습니다. 그런 다음 애플리케이션 우선순위 및 SLA 구성 요소 내의 기능을 위해 중앙 집중식 정책에서 정책 그룹으로의 마이그레이션을 시작합니다. 이는 순전히 단순하면서도 운영 인력의 혼란을 줄이기 위한 것입니다. |
| 참고: |
토폴로지
컨피그레이션 그룹을 통해 구성된 디바이스는 중앙 집중식 정책을 사용하거나 토폴로지로 마이그레이션할 수 있습니다. 기본적으로 SD-WAN 컨트롤러에 대한 동일한 기본 제어 정책을 유지하는 것이 목적입니다. 토폴로지는 제어 정책의 최신 반복입니다.
둘 다 동일한 설정을 구성하므로, 제어 정책 정책은 토폴로지가 연결된 사이트가 있는 사이트 목록을 참조할 수 없습니다.
데이터 정책 및/또는 AAR 정책만 포함된 중앙 집중식 정책 및 서로 다른 구성 요소를 구성하므로 토폴로지 정책을 가질 수 있습니다.
디바이스를 중앙 집중식 정책에서 정책 그룹으로 마이그레이션하는 단계:
| 1단계 |
필요한 토폴로지 구성 요소 생성 |
| 2단계 |
중앙 집중식 정책의 이전 토폴로지 목록에서 사이드의 연결을 해제합니다. |
| 3단계 |
AAR 또는 데이터 정책에서 참조되는 사이트 목록에서 사이트 ID의 연결을 해제합니다. |
| 4단계 |
토폴로지를 활성화합니다. 이때 SD-WAN Manager는 업데이트된 컨피그레이션을 컨트롤러에 전송하고 에지 디바이스로 전송되는 모든 경로를 수정합니다. |
| 참고: 토폴로지는 중앙 집중식 정책과 함께 사용할 수 있지만 에지 디바이스를 컨피그레이션 그룹으로 변환하는 동안 중앙 집중식 정책(토폴로지 및 경로 조작용)을 사용하는 것이 좋습니다. 그런 다음 토폴로지 수정 및 라우팅 조작 기능을 위해 중앙 집중식 정책에서 토폴로지로 마이그레이션을 시작합니다. 이는 순전히 단순하면서도 운영 인력의 혼란을 줄이기 위한 것입니다. |
변환 도구
범위
변환 툴은 템플릿을 컨피그레이션 그룹으로 1:1 변환을 수행합니다. 이 도구는 SD-WAN Manager 인스턴스에서 템플릿을 수집하고 이를 컨피그레이션 그룹(기능 프로필 및 기능 패키지 포함)으로 변환한 다음 새로 변환된 구조를 SD-WAN Manager에 업로드합니다.
* 정책 그룹으로의 정책 변환은 2024년 10월 변환 툴에서 잠정 제공될 예정입니다.
액세스 세부 정보
이 툴의 베타 버전을 사용할 수 있습니다. 자세한 내용은 sdwan-ux-conversion-tool@cisco.com을 참조하십시오.
사용 방법
사전 요구 사항
도구를 사용하기 전에 SD-WAN Manager에서 20.12.x가 실행 중인지 확인하십시오. 그렇지 않은 경우 계속 진행하기 전에 20.12로 업그레이드하십시오.
변환 도구 워크플로
| 1단계 |
Cisco에서 제공한 자격 증명을 사용하여 툴에 로그인합니다. (참고: 이는 CCO 자격 증명이 아닙니다. 자세한 내용은 sdwan-ux-conversion-tool@cisco.com에 문의하십시오.) |
| 2단계 |
홈 페이지에서 'Conversion Tool' 워크플로를 선택합니다. · 이전에 이 워크플로를 수행했으며 변환된 컨피그레이션의 JSON 파일이 있는 경우 'Upload from a file' 워크플로를 선택해야 합니다. |
| 3단계 |
로그인: 사용자 자격 증명과 함께 SD-WAN 관리자 IP 또는 URL을 제공합니다. · 사용자에게 읽기/쓰기 액세스 권한이 있어야 합니다. · 포트 및 하위 도메인 필드는 선택 사항입니다. |
| 4단계. |
가져오기: SD-WAN Manager에서 모든 레거시 구문(장치 템플릿, 기능 템플릿, 정책 및 관련 구문)을 검색하려면 'Collect' 버튼을 클릭합니다. · 수집되면 모든 컨피그레이션이 포함된 JSON 파일을 다운로드해야 합니다. 이 파일은 SD-WAN Manager에서 다시 수집하는 대신 나중에 이 단계에서 사용해야 합니다. |
| 5단계. |
다음을 선택합니다. 새 템플릿과 해당 템플릿으로 변환할 템플릿 및 정책을 선택합니다. 'Migrate'(마이그레이션)를 클릭하여 선택한 구문을 변환합니다. |
| 6단계. |
혁신: 이 페이지에는 새로 변환된 구문이 모두 표시됩니다. 준비가 되면 'Upload(업로드)'를 클릭하여 이러한 컨피그레이션을 SD-WAN Manager로 푸시합니다. · 아직 SD-WAN Manager로 푸시할 준비가 되지 않은 경우, 이러한 변환된 컨피그레이션을 JSON 파일로 다운로드하고 나중에 '파일에서 업로드' 워크플로를 사용할 수 있습니다. |
| 7단계. |
요약: 현재 컨피그레이션이 SD-WAN Manager에서 푸시되고 생성됩니다. 컨피그레이션이 푸시될 때 진행률 표시줄을 볼 수 있습니다. 업로드가 완료되면 업로드된 컨피그레이션의 요약을 확인할 수 있습니다. · 'Configuration Groups', 'Feature Profiles' 및 'Policy Groups' 빠른 링크를 사용하여 SD-WAN Manager의 새 구성을 볼 수 있습니다. · 오류 또는 실수의 경우 이 단계에서 롤백을 사용할 수 있습니다. 롤백을 수행하면 이 워크플로/세션 중에 SD-WAN Manager로 푸시된 모든 구조가 제거됩니다. |
변환 후
이제 새 구문을 사용할 준비가 되었습니다. 디바이스를 새로 변환된 컨피그레이션 그룹으로 마이그레이션하려면 'Existing Deployments' 섹션의 단계를 실행합니다.
고려 사항
- 이 도구에서 제공하는 변환은 지침으로 사용됩니다. 프로덕션 환경에 구축하기 전에 분석하고 테스트하십시오.
- 이 툴에서는 컨피그레이션 그룹의 디바이스에 구애받지 않는 기능을 고려하지 않습니다. 사용자는 변환된 컨피그레이션 그룹을 변환 또는 분석할 템플릿을 선택하기 전에 해당 템플릿을 분석하고 그에 따라 디바이스를 연결하여 디바이스에 구애받지 않는 기능을 활용할 수 있습니다.
- 레거시 구문의 변수 이름 및 전역 값은 새로 변환된 구문에 복사됩니다.
- 이 툴은 디바이스에 컨피그레이션을 푸시하지 않습니다. 변환을 수행한 후 사용자는 템플릿에서 디바이스를 분리하고 새 컨피그레이션 그룹에 연결할 책임이 있습니다.
20.12 고려 사항
| 아니요. |
항목 설명 |
| 1 |
17.12 이전 버전을 실행하는 Edge에서 컨피그레이션 그룹을 구축할 때 CLI 애드온 프로필을 통해 DNS 컨피그레이션을 푸시해야 합니다. |
| 2 |
토폴로지를 생성하려면 NHM에 정의된 영역을 선택하는 대신 사이트를 선택해야 합니다. |
| 3 |
Create Configuration Group 워크플로는 WAN 프로필에서 이 VPN에 VPN512 및 인터페이스를 만들지 않습니다. 필요한 경우 구성 그룹을 편집하여 수동으로 생성할 수 있습니다. |
| 4 |
기능 프로파일을 복사/복제할 수 있습니다. 정책이 지원되지 않습니다. 이 작업을 수행할 수 있는 Python 스크립트 집합은 다음과 같습니다. |
| 5 |
정책 컨피그레이션(현지화된 정책)과 관련된 기능 패키지를 생성하기 전에 정책 개체 프로필을 컨피그레이션 그룹과 연결해야 합니다. 예: ACL |
| 6 |
인터페이스 변수에 대한 CSV 가져오기는 세미콜론을 문자열에 삽입하고 실패합니다 |
| 7 |
AppQoE 최적화(TCP Opt and DRE) 및 손실 수정(FEC 및 Pkt Dup) 컨피그레이션에서는 레거시 템플릿/정책을 계속 사용합니다. 컨피그레이션/정책 그룹에서도 CLI 프로필을 통해 구성 가능 (20.14 UI Parcel(UI 소포) |
| 8 |
SaaS용 Cloud OnRamp는 레거시 템플릿/정책을 계속 사용합니다. |
| 9 |
TrustSec/SGT는 CLI 프로필에서만 지원됩니다. |
| 10 |
CLI 프로파일에서만 UC 음성/DSP 팜/SRST 지원(UI 소포에서 20.13 이상) |
관련 정보
- Cisco SD-WAN 및 클라우드 네트워킹 YouTube 채널: https://www.youtube.com/@CiscoSDWANandCloudNetworking
- UX2.0 - 운영 간소화: 1. 단일 라우터 사이트 구성: https://www.youtube.com/watch?v=98z-d3knd
- Cisco 기술 지원 및 다운로드
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
16-Aug-2024 |
최초 릴리스 |
피드백