Cisco Catalyst SD-WAN에서 Service Chaining을 구성하는 방법입니다.

Overview

Service Chaining이란 SD-WAN 패브릭 내에서 원격 트래픽을 방화벽, IDS/IPS 으로 자동으로 Redirection 하는 기능입니다.

Redirection 시 많은 프로세스를 거치지 않고 방화벽을 Next-Hop으로 설정하여 Policy로 적용만 시키면 완료됩니다.

원격지의 트래픽을 방화벽으로 Redirection 하여 패킷의 필터링이 필요할 때 매우 간편하게 적용할 수 있습니다.

Version

- vManage : 20.9.4.1

- vBond, vSmart : 20.9.4

- IOS-XE : 17.9.4a

Configuration

먼저 Feature Template > Service VPN > Service 에서 방화벽의 IP를 설정합니다.

(템플릿 대신 CLI 커맨드로도 입력을 할 수 있습니다.)

추가가 완료되면, OMP 경로를 사용하여 vSmart에 광고하게 됩니다.

중요한 점은 vSmart는 이 방화벽에 대한 경로를 광고하지는 않습니다.

(show sdwan omp services)

엣지는 방화벽 IP로 Health Check를 시도합니다.

- 1분 당 1개

(show endpoint-tracker or show ip sla summary)

Control Policy 를 통해 Next Hop을 Firewall 로 변경합니다.

Verification

서버와 통신을 시도할 때 적용 전/후를 비교하면 중간에 방화벽을 거치는 것을 확인할 수 있습니다.

감사합니다 !