이 부분의 실습은 대화형 시뮬레이션 Hands-on Lab으로 제공됩니다. 실제로 수행하기에는 시간이 너무 많이 걸리거나 많은 리소스를 필요로 하는 단계를 실습 환경을 통해 경험해 볼 수 있습니다. 이 시뮬레이션에서는 마치 실제 환경에서 상호 작용하는 것처럼 소프트웨어 인터페이스를 사용할 수 있습니다.

주황색 상자를 통해 클릭 위치를 알 수 있으며 시뮬레이션 내에서 이동하려면 왼쪽과 오른쪽 화살표 키를 사용하면 됩니다.

이 데모에서는 VMware NSX SD-WAN 솔루션의 다양한 기능에 대해 알아봅니다.

이 데모에서는 엔터프라이즈 관리자가 배포를 구성하고 모니터링할 수 있는 솔루션의 필수 구성 요소인 VMware NSX SD-WAN Orchestrator를 사용합니다.

사용자가 Orchestrator의 Enterprise 포털에 로그인하면 모든 지사 위치에 대한 글로벌 개요가 제공되고 이 보기에서 기기 상태가 연결된 전송 링크의 수로 표시됩니다. 이를 통해 관리자는 네트워크 상태를 한눈에 확인할 수 있습니다.

지도에서 지역을 확대하여 모든 엣지의 위치를 자세히 알아볼 수 있습니다.

• 지도를 클릭하여 미국을 확대
• 지도를 다시 클릭하여 캘리포니아 주를 확대
• 지도를 다시 클릭하여 산호세를 확대
• 지도를 다시 클릭하여 더욱 확대

이제 개별 위치를 확인하고 SD-WAN 솔루션이 제공하는 세부 사항에 대해 알아보겠습니다.

• 클릭하여 'Chennai BO' 엣지를 선택

엣지의 세부 사항을 살펴볼 때 돋보이는 항목 중 하나가 전송 링크의 인벤토리입니다. Link Status(링크 상태) 섹션에 나타나는 모든 정보는 엣지가 활성화되면 자동으로 입력됩니다. 시스템은 서비스 공급업체와 이 용량이 엣지 기기에서 연결된 물리적 포트를 포함한 링크의 대역폭을 발견합니다.

또한 실시간 측정을 통해 링크의 지연 시간, 지터, 패킷 손실 동작을 구분할 수 있습니다.

• Link Status(링크 상태) 세부 사항 아이콘을 클릭하여 실시간 링크 통계 확인

이는 링크에서 전송 가능한 요소를 파악하고 이러한 조건이 애플리케이션에 미치는 영향을 이해하는 데 중요한 요소입니다.

Edge Overview(Edge 개요) 페이지에서 엣지는 Orchestrator에 실시간 처리량 수치를 스트리밍하여 관리자가 Edge 활용률을 더 정확하게 파악할 수 있습니다.

링크 품질을 확인하는 다른 방법은 QoE(환경 품질) 등급을 확인하는 것입니다. 

• QoE 탭을 클릭

화면에는 각 링크의 VQS(VeloCloud 품질 점수)가 표시되고 링크가 특정 유형의 트래픽(기본적으로 음성)을 전송하는 역량이 0에서 10 사이의 값으로 평가됩니다.

여기에는 SD-WAN 서비스를 적용하기 전의 점수가 표시되고 상단의 표시줄에는 SD-WAN 서비스를 적용한 후 최종 사용자가 관찰한 품질이 표시됩니다.

적어도 솔루션을 통해 개별 링크의 연결 불안정 상태를 해결할 수 있습니다. 또한 솔루션은 패킷 복제를 지원하여 사용 가능한 모든 링크에서 패킷 손실의 영향을 완화할 수 있습니다. 또한 디지터 버퍼링을 통해 지터가 VOIP 호출에 미치는 영향을 정상화할 수 있습니다. 모든 조정 및 완화 기술은 애플리케이션별로 동적으로 활성화할 수 있습니다. 흐름 조정은 패킷별로 수행되며, 이를 통해 최종 사용자에게 제공하는 세션의 품질을 보호하면서 세션을 유지할 수 있습니다.

타임라인 섹션을 마우스로 가리키면 시스템이 감지한 사항과 애플리케이션 트래픽을 보호하기 위해 사용된 기술을 확인할 수 있습니다.

다른 Traffic Type(트래픽 유형)의 차이를 살펴보고 네트워크 장애에 민감한 애플리케이션의 품질 등급의 변경을 살펴보겠습니다.

• Traffic Type(트래픽 유형)을 클릭
• 클릭하여 Video(비디오)를 선택

Transport(전송) 가시성에 대해 알아보겠습니다. 여기에서 관리자는 개별 링크의 활용률을 더 정확하게 살펴볼 수 있습니다.

• Transport(전송) 탭을 클릭

관리자는 Edge를 실시간 모드로 설정하여 Orchestrator에 실시간 업데이트를 스트리밍할 수 있습니다. 이는 문제를 해결하고 네트워크 활용률 패턴 브레이크아웃을 확인하는 데 중요한 툴입니다.

• 'Start Live Monitoring'(실시간 모니터링 시작) 버튼을 클릭하여 링크 활용률에 대한 실시간(초당) 업데이트 확인
• 'Show TCP/UDP Details'(TCP/UDP 세부 정보 표시)를 클릭 및 선택하여 개별 링크 및 프로토콜의 활용률 살펴보기
• 측정지표 드롭다운 메뉴를 클릭
• 'Average Throughput'(평균 처리량)을 클릭하여 선택
• 'Stop Live Monitoring'(실시간 모니터링 중단)을 클릭하여 실시간 트래픽 업데이트 중단

Edge는 또한 사용 중인 애플리케이션을 감지하고 각 애플리케이션의 네트워크 요구 사항을 파악합니다. 내장된 DAR(심층 애플리케이션 인식) 엔진은 약 3,000개의 애플리케이션을 감지할 수 있습니다.

• Applications(애플리케이션) 탭을 클릭
• 스크롤 바를 클릭하여 페이지 하단으로 이동
• 아래 화살표를 클릭하여 10개의 애플리케이션을 추가로 표시
• 스크롤 바를 클릭하여 페이지 상단으로 다시 이동
  
  

지사 네트워크에 상당한 양의 유튜브 트래픽이 발생하여 대역폭이 손상되는 이유를 살펴보겠습니다.

• 유튜브 트래픽을 클릭하여 선택

Top Applications(상위 애플리케이션) 인포그래픽은 유튜브를 사용하는 기기와 흐름이 전송되는 도메인을 표시합니다.

• Close(닫기)를 클릭

이제 복잡성을 추상화하고 결과에 중점을 두도록 설계된 SD-WAN 솔루션의 구성을 살펴보겠습니다.

• Configure | Profiles(구성 | 프로필)을 클릭

솔루션은 대형 엔터프라이즈 네트워크 배포에서 위치의 정상적인 작동 방식에 대한 Blueprint를 제공하는 프로필 개념으로 작동됩니다.

• 'Branch Profile'(지사 프로필)을 클릭

프로필에는 기기, 비즈니스 정책, 방화벽 규칙에 대한 일반적인 설정이 포함되어 있습니다. 우선 기기 설정에서 제어할 수 있는 요소를 살펴보겠습니다.

• 'Device'(기기) 탭을 클릭

여기에서 관리자는 DNS, VPN, 라우팅, 주소 지정 등 다양한 네트워크 설정을 제어할 수 있습니다.

우선 이러한 설정 중 일부는 세그먼트에서 운영됩니다. 세그먼트는 엄격하게 구획화된 네트워크 섹션으로, 독립적인 정책 및 토폴로지로 운영되어 최종 목적지로 트래픽을 전송할 수 있습니다. 이 방법은 일반적으로 PCI DSS와 같이 POS(Point of Sales) 터미널을 네트워크의 나머지 부분으로부터 분리해야 하는 규제 프레임워크를 준수하는 데 사용됩니다.

• 'Configure Segments'(세그먼트 구성)를 클릭
• 'Guest Segment'(게스트 세그먼트)를 클릭하여 선택
• 'Global Segment'(글로벌 세그먼트)를 클릭하여 선택

글로벌 세그먼트는 기본 세그먼트로, 모든 구성과 리소스가 설정되어 있습니다.

SD-WAN 솔루션의 중요한 기능은 오버레이 VPN을 통해 다양한 지사 위치를 연결하고 원격 위치의 리소스에 원활한 연결을 제공할 수 있다는 점입니다. NSX SD-WAN 솔루션은 다음 세 가지 주요 VPN 제어를 제공합니다.

관리자는 지사 간의 연결 방법을 제어할 수 있습니다. 기본적으로 NSX SD-WAN Gateway가 지사가 트래픽을 교환하는 지점으로 활용됩니다. Gateway를 사용하지 않고 지사 간의 터널을 직접 구축하도록 설정할 수도 있습니다. 이는 지연 시간에 민감한 애플리케이션에 유용합니다.

또한 지사 간 연결은 허브 사이트로 지정된 기존 지사 사이트를 통해 활성화할 수 있습니다. 허브 사이트는 이러한 상호 연결을 활성화하고 인터넷에 대한 중앙 집중식 브레이크아웃의 역할을 수행할 수 있습니다. 이 방법은 주로 서비스 체인을 통해 추가 보안 조치를 트래픽 흐름에 통합하여 기업 데이터 센터에 호스팅하고 허브 사이트를 호스팅하는 데 사용됩니다. 사이트를 허브로 지정하면 프로필 내의 모든 엣지가 허브 사이트에 오버레이 터널을 직접 구축하여 허브 사이트 다운스트림의 리소스에 신뢰할 수 있는 방법으로 액세스할 수 있습니다.

마지막으로 Gateway는 SD-WAN이 활성화되지 않고 기존의 VPN 라우터가 설치된 사이트에 대한 표준 기반 IPSec 터널의 구축을 지원합니다. 일반적으로 이러한 사이트는 기업 데이터 센터 또는 Amazon Web Services, Azure, SoftLayer 등의 가상 프라이빗 클라우드 공급업체입니다.

• NVS(비 VeloCloud 사이트) 사이트를 클릭하여 선택
• 새로운 비 VeloCloud 사이트 생성을 클릭하여 선택
• 클릭하여 "DataCenter"(데이터 센터)를 입력
• 클릭하여 Cisco ISR을 SD-WAN이 활성화되지 않은 데이터 센터 VPN 라우터로 선택
• 클릭하여 데이터 센터 VPN 라우터의 기본 IP 주소를 입력
• IP 주소에 25.48.5.9를 입력
• "Next"(다음) 버튼을 클릭하여 계속
• 'Next'(다음) 버튼을 클릭하여 NVS 사이트 생성을 완료

이 방법으로 데이터 센터의 인프라를 변경하지 않고 기존 데이터 센터 내의 리소스를 SD-WAN이 활성화된 모든 지사에서 사용할 수 있습니다. 데이터 센터 내에 새 터널을 구성하기만 하면 됩니다.

NVS(비 VeloCloud 사이트) 터널을 통해 다른 SD-WAN 지사에 도달 가능한 데이터 센터 LAN에 연결된 서브넷을 입력합니다.

• 서브넷 상자를 클릭하고 IP 주소에 "172.27.1.0/24"를 입력
• 설명 상자를 클릭하고 "server farm"(서버 팜)을 입력
• 'View IKE/IPSec Template'(IKE/IPSec 템플릿 보기)를 클릭
• 'OK to show template'(템플릿 표시 확인)을 클릭
• 클릭하여 템플릿의 아래로 스크롤
• 클릭하여 구성 템플릿 대화 상자 닫기
• 'Save Changes'(변경 내용 저장) 버튼을 클릭
• 'Close'(닫기) 버튼을 클릭하여 대화 상자 종료

다음으로, 지사의 라우팅 기능을 간단히 살펴보겠습니다. 솔루션을 사용하면 각 지사에서 OSPF와 BGP를 구성하여 MPLS 링크가 연결될 때 Edge를 CE 라우터로 사용하거나 L3 스위치와 같은 기존의 다운스트림 레이어 3 기기에서 경로를 처리할 수 있습니다. 이를 통해 기존 환경 구축에 엣지를 유연하게 삽입할 수 있습니다.

• 클릭하여 OSPF 활성화
• 클릭하여 OSPF 비활성화
• 클릭하여 BGP 활성화
• 클릭하여 BGP 비활성화

SD-WAN 솔루션의 또 하나의 중요한 구성 요소는 관리자가 네트워크에서 애플리케이션의 처리 방법을 직관적으로 정의할 수 있는 비즈니스 정책 프레임워크입니다. 기본적으로 관리자가 어떤 애플리케이션이 비즈니스에 중요한지 표시하기만 하면, 솔루션이 리소스 및 문제 해결 메커니즘의 우선 순위를 지정하여 최고의 최종 사용자 환경을 제공합니다.

비즈니스 정책은 복잡성을 추상화하고 결과에 중점을 둡니다. 관리자는 애플리케이션이 활성화된 IP 주소와 포트를 숙지할 필요가 없으며, 대기열 지정 메커니즘과 CoS 설정에 대해 염려하지 않아도 됩니다. 이 모든 것은 솔루션에서 자동으로 설정합니다.

우선 순위가 낮은 비즈니스 정책을 추가해 보겠습니다. Box 스토리지가 기업에서 사용하는 애플리케이션이 아니며, 따라서 네트워크에서 우선 순위를 낮게 지정해야 한다고 가정하겠습니다.

• 'Business Policy'(비즈니스 정책) 탭을 클릭
• 'New Rule'(새 규칙)을 클릭하여 우선 순위가 낮은 규칙을 만들고 이름을 box.net으로 설정
• box.net 입력
• 애플리케이션 'Define'(정의) 버튼을 클릭하고 애플리케이션 검색
• box 입력
• 카탈로그에서 애플리케이션을 클릭하여 선택
• 우선 순위에서 'Low'(낮음)를 클릭하여 경합 발생 시 애플리케이션 제공 우선 순위를 낮게 설정
• Network Service(네트워크 서비스)에서 'Direct'(직접)를 클릭하여 문제 해결 및 조정 기술을 사용하지 않도록 설정합니다. 애플리케이션 트래픽은 연결된 링크 중 하나를 통해 인터넷으로 직접 전송됩니다.
• Link Steering(링크 조정)에서 'Transport Group'(전송 그룹)을 클릭하여 인터넷에 트래픽을 전송하는 링크 유형을 제어
• 클릭하여 옵션을 표시하고 이 트래픽을 링크가 Edge에 처음 연결되는 시기와 연관된 분류인 "퍼블릭 유선" 링크로만 전송하는지 확인
• "public wired"(퍼블릭 유선) 링크를 클릭
• 스크롤 바를 클릭
• 'OK'(확인)를 클릭하여 규칙 적용
• 'Save Changes'(변경 사항 저장)를 클릭하여 Edge에 변경 사항을 적용합니다. Edge는 30초 내에 업데이트를 수신합니다.

VeloCloud Edge에는 상태 저장 애플리케이션 인식 방화벽이 내장되어 있으며, 이 방화벽을 비활성화하고 기존 외부 하드웨어 방화벽 또는 엣지 하드웨어에 호스팅된 VNF 기반 방화벽을 사용할 수 있습니다.

• Firewall(방화벽) 탭을 클릭합니다. 모든 규칙이 다시 세그먼트 컨텍스트 내에 포함됩니다.
• 'New Rule'(새 규칙) 버튼을 클릭하여 새 규칙을 추가합니다. 기본적으로 모든 아웃바운드 트래픽이 허용되어 있고 모든 인바운드 트래픽은 차단되어 있습니다. 아웃바운드 흐름은 인바운드 핀홀을 생성하여 반대 방향의 흐름을 허용합니다.
• 규칙 이름에 "facebook" 입력
• 'Define'(정의) 버튼을 클릭
• "facebook" 입력
• 'Facebook Mail'을 클릭하여 선택하여 데이터 유출 보안 리스크를 유발할 수 있는 승인되지 않은 Facebook 하위 애플리케이션을 차단합니다. Facebook의 다른 부분은 계속 작동합니다.
• Firewall Action(방화벽 동작)에서 'Deny'(거부)를 클릭하여 네트워크에서 애플리케이션을 차단
• 'OK'(확인)를 클릭하여 규칙 적용
• 'Save Changes'(변경 내용 저장) 버튼을 클릭

OFC(오버레이 흐름 제어)는 중앙 집중식 라우팅 테이블로, 기업 전반에 Edge 위치에 연결된 세그먼트별 서브넷에 대한 통찰력을 제공하며 또한 SD-WAN 솔루션을 통한 경로 학습 방법에 대한 통찰력을 제공하여 감사 측면은 물론 계획 측면에서도 유용하게 활용할 수 있습니다.

• Configure | Overlay Flow Control(구성 | 오버레이 흐름 제어) 클릭
• 스크롤 바를 클릭하여 라우팅 표를 탐색
• Monitor(모니터링) 섹션을 클릭하여 이 데모 종료

실습으로 돌아가려면 오른쪽 상단의 링크를 클릭하거나 이 브라우저 탭을 닫으십시오.