목차/07. Security Group 구성

07Security Group 구성Configuring Security Groups in Maestro

Maestro에서 트래픽을 검사하는 실제 단위는 Security Group 입니다. 여러 대의 Security Appliance(보안 어플라이언스) 를 하나로 묶어 마치 한 대의 게이트웨이처럼 동작하게 만든 것이 Security Group이고, 이 장은 그 Security Group을 처음부터 끝까지 만들고 운영하는 모든 절차 를 다룹니다. Quantum Maestro Orchestrator에서 Security Group을 만들고, 어플라이언스와 포트를 붙이고, Gaia 설정을 잡고, SmartConsole에서 게이트웨이 객체를 만들고, 라이선스를 설치하고, Bond·VLAN·공유 Uplink 같은 특수 구성까지 — 원문이 표·명령·파라미터로 나열한 내용을 하나도 빼지 않고 풀어서 정리합니다.

설정은 Gaia Portal(웹 화면)Gaia Clish(명령줄) 두 가지 방법으로 할 수 있습니다. 이 장은 두 방법을 모두 싣되, 어느 쪽으로 하든 Gaia Clish에서 바꾼 뒤에는 반드시 "검증(verify)" 후 "적용(apply)" 해야 한다는 원칙을 기억하세요. 더 자세한 명령줄 기본기는 Gaia 가이드를 참고하면 좋습니다.

전체 작업 흐름

Security Group을 운영하기까지의 큰 그림은 다음 여섯 단계입니다.

  1. Orchestrator에서 Security Group을 구성합니다. > 참고 — 설치된 Orchestrator 중 하나에서만 설정 하세요. Orchestrator끼리 구성을 자동으로 서로 동기화합니다.

각 Security Group에는 다음이 반드시 들어가야 합니다. - Security Appliance 하나 이상. > 참고 — Orchestrator가 대응하는 Downlink 포트를 자동으로 할당합니다. - Orchestrator의 적절한 포트들 — Security Group을 관리 서버에 연결하는 전용 Management 포트(예: eth1-Mgmt1)와, 외부·내부 트래픽 네트워크를 연결한 Uplink 포트.

세부 절차는 다음과 같습니다.

단계할 일
a새 Security Group을 만듭니다.
bSecurity Group에 Network Configuration(네트워크 설정)을 추가합니다.
cSecurity Group에서 First Time Wizard 설정을 구성합니다.
d사용 가능한 Security Appliance를 Security Group에 할당합니다.
eOrchestrator의 적절한 포트(Uplink 포트와 Management 인터페이스)를 Security Group에 할당합니다.
  1. 새 Security Group에서 Gaia 운영체제 설정을 구성합니다(아래 2단계). > Best Practice — Security Group에서도 Gaia Backup을 만들어 구성을 저장하세요.
  1. SmartConsole에서 설정합니다(아래 3단계).
    • Gateway 모드 Security Group이면 — Security Gateway 객체 하나를 만들고, Security Policy를 구성한 뒤, 그 객체에 정책을 설치합니다.
    • VSX 모드 Security Group이면 — VSX Gateway 객체를 만들고, Virtual System 객체들을 만들고, 각 Virtual System의 정책을 구성한 뒤 설치합니다.
  1. 라이선스를 설치합니다(아래 4단계).
  1. 트래픽이 정상적으로 통과하는지 확인합니다 — 이 Security Group을 거쳐야 하는 연결을 실제로 시도해 봅니다.
  1. 필요하면 특수 설정을 합니다(아래 5단계). 그 밖에 High Availability, Security Group 관리, 시스템 최적화, Monitor Mode·Bridge Mode 배포 등이 이어집니다.

1단계 — Orchestrator에서 Security Group 구성

이 단계는 Orchestrator에서 Gaia Portal 또는 Gaia Clish 로 수행합니다. 작업 흐름을 표로 정리하면 다음과 같습니다.

단계할 일
1새 Security Group을 만듭니다. (Orchestrator는 하나에서만 설정하면 서로 자동 동기화됩니다. First Time Wizard 설정까지 같이 해 두는 것을 권장합니다.)
2적절한 Security Appliance를 Security Group에 할당합니다.
3적절한 Orchestrator 포트(Uplink 포트, Management 인터페이스)를 할당합니다.
4구성을 검증하고 적용합니다.
5Security Group을 만들 때 First Time Wizard 설정을 하지 않았다면, Security Group에서 Gaia First Time Configuration Wizard를 실행합니다.

5단계에서 마법사를 직접 실행할 때는 웹 브라우저로 Security Group의 Gaia Portal에 접속합니다.

https://<IP Address of Security Group>

구성 옵션 요약 (Gaia Portal vs Gaia Clish)

어떤 작업을 어느 쪽에서 할 수 있는지 한눈에 보여 주는 표입니다. N/A는 그 방법으로는 지원되지 않는다는 뜻입니다.

구성 작업Gaia PortalGaia Clish
Maestro 사이트 수(Single/Dual) 설정N/A지원
설정된 사이트 수 보기Orchestrator 페이지에서 보기지원
Dual Site의 Site ID 설정/보기N/A지원
사이트당 Orchestrator 수 설정/보기N/A지원
새 Security Group 만들기지원지원
Security Group 삭제지원지원
Network Configuration 추가/제거지원지원
First Time Wizard 설정 추가/제거지원지원
어플라이언스 할당지원지원(한 번에 하나)
어플라이언스 하나 제거지원지원
어플라이언스 전체 제거지원N/A
어플라이언스를 다른 Security Group으로 이동지원N/A
인터페이스 할당/하나 제거지원지원
인터페이스 전체 제거지원N/A
인터페이스를 다른 Security Group으로 이동지원N/A
Uplink 포트에 VLAN 인터페이스 추가N/A지원
Uplink 포트의 VLAN 인터페이스 보기지원(툴팁)지원
구성 변경 검증자동지원
구성 변경 적용좌하단 Apply지원
적용 안 한 변경 삭제좌하단 Refresh지원
포트 설정 구성/보기N/A지원
Security Group 설정 보기지원지원

Gaia Portal로 구성하기

먼저 Orchestrator의 Gaia Portal에 들어갑니다.

  1. 웹 브라우저로 Orchestrator의 Gaia Portal에 접속합니다.
   https://<IP Address of Orchestrator's MGMT Port>
   
  1. 기본 자격 증명으로 로그인합니다 — 사용자 이름 admin, 암호 admin. > Best Practice — 기본 암호는 가능한 한 빨리 바꾸세요(R82 Gaia Administration Guide의 User Management > Change My Password).
  2. 왼쪽 트리의 Orchestrator Management 에서 Security Groups 페이지를 클릭합니다.

이 페이지의 Topology 영역은 왼쪽부터 다음 세 부분으로 나뉩니다.

항목설명
Unassigned Gateways아직 어떤 Security Group에도 속하지 않은, 감지된 모든 Security Appliance. Orchestrator가 포트를 청취하다가 연결된 어플라이언스를 자동으로 찾아냅니다.
Topology구성된 Security Group들과, 각 그룹에 할당된 어플라이언스·포트.
Unassigned Interfaces아직 어떤 Security Group에도 속하지 않은 Orchestrator의 모든 인터페이스.

화면을 다룰 때 알아 둘 점들입니다.

  • Apply 버튼을 눌러야 Security Group 변경이 저장됩니다.
  • Refresh 버튼은 최신 구성을 다시 불러옵니다(예: 이중화로 두 대의 Orchestrator를 쓰는데 다른 Orchestrator에서 구성이 바뀐 경우).
  • 어플라이언스·포트 객체는 드래그 앤 드롭 으로 옮깁니다.
  • 어플라이언스 객체에 마우스를 올리면 툴팁에 그 그룹 내 Appliance ID, Serial Number, 대응 Downlink 포트가 표시됩니다.

새 Security Group 만들기

단계할 일
1Topology 열에서 Security Groups 왼쪽의 [+] 를 클릭합니다.
2Security Groups 를 우클릭하고 New Security Group 을 선택합니다.
3필요한 Management 인터페이스 설정을 입력합니다. (First Time Wizard 설정도 함께 하기를 권장합니다.)
4OK 를 클릭합니다.
5Security Groups 와 새 Security Group 왼쪽의 [+] 를 클릭합니다.
6Unassigned Gateways 열에서 적절한 어플라이언스를 선택합니다. (최소 하나는 반드시 할당 해야 합니다.)
7선택한 어플라이언스를 새 그룹의 Gateways 영역으로 드래그 앤 드롭합니다.
8Unassigned Interfaces 열에서 데이터·관리 인터페이스를 선택합니다.
9선택한 인터페이스를 새 그룹의 Interfaces 영역으로 드래그 앤 드롭합니다.
10좌하단 Apply 를 클릭합니다.

새 Security Group은 자동으로 Security Group N 이라는 이름을 받습니다. N은 1부터 시작해 비어 있는 가장 작은 번호 가 붙습니다(예: 1·3이 있으면 새 그룹은 2). 모든 Security Group은 Gateways(할당한 게이트웨이)와 Interfaces(할당한 Orchestrator 인터페이스) 두 영역으로 이루어지며, 올바른 인터페이스를 할당했는지 반드시 확인 해야 합니다.

Security Group 삭제

단계할 일
1Topology 열에서 Security Groups[+] 를 클릭합니다.
2대상 Security Group을 우클릭합니다.
3메뉴에서 Delete Security Group 을 클릭합니다.
4좌하단 Apply 를 클릭합니다.

네트워크 설정과 First Time Wizard 설정 추가

Security Group을 우클릭하고 Set Security Group configuration 을 선택한 뒤, 두 영역을 채웁니다.

Network settings 영역 — 이 그룹의 모든 어플라이언스가 공유할 관리 IP 정보입니다. SmartConsole에서 대응하는 게이트웨이 객체를 만들 때도 같은 값을 씁니다.

  1. IPv4 address — Security Group의 IPv4 주소.
  2. Subnet mask — 해당 서브넷 마스크.
  3. Default Gateway — 기본 게이트웨이 IPv4 주소.

First Time Wizard settings 영역 — 이 그룹에 할당된 어플라이언스의 초기 설정입니다.

  1. Set FTW configuration 을 선택합니다.
  2. Host Name — 호스트 이름.
  3. Configure Admin Password 를 선택하고 Admin Password(Expert mode 암호)와 확인 암호를 입력합니다.
  4. SIC Password4~127자 의 일회용 활성화 키. SmartConsole에서 게이트웨이 객체를 만들 때 이 키를 씁니다.
  5. Confirm SIC Password — 같은 키를 다시 입력합니다.
  6. Install as VSX — 이 그룹의 모든 어플라이언스를 VSX Gateway로 동작시켜야 할 때만 선택합니다.

마지막으로 OK → 좌하단 Apply 입니다.

네트워크·First Time Wizard 설정 제거

Security Group을 우클릭하고 Clear network configuration 을 클릭한 뒤 Apply 합니다. 확인 창은 없습니다.

사용 가능한 어플라이언스 할당

단계할 일
1Topology 열에서 Security Groups[+] 를 클릭합니다.
2대상 Security Group의 [+] 를 클릭합니다.
3Unassigned Gateways 열에서 어플라이언스를 선택합니다.
4Gateways 영역으로 드래그 앤 드롭합니다.
5좌하단 Apply 를 클릭합니다.

앞의 중요·Best Practice for Dual Site 주의(지원 모델만, 다른 모델 추가 전 SMO Image Cloning 끄기, 적용 후 자동 재부팅, 사이트별 균등 할당)는 여기에도 그대로 적용됩니다.

어플라이언스 하나 제거

단계할 일
1~3Security Groups → 대상 그룹 → Gateways 영역 순으로 [+] 를 펼칩니다.
4제거할 어플라이언스를 선택합니다.
5우클릭합니다.
6메뉴에서 Detach Gateway 를 클릭합니다(확인 창 없음).
7좌하단 Apply 를 클릭합니다.

어플라이언스 전체 제거

대상 그룹의 Gateways 영역을 선택해 우클릭하고 Detach all Gateways 를 클릭한 뒤 Apply 합니다. 제거된 어플라이언스들은 마찬가지로 공장 초기화 후 재부팅합니다.

어플라이언스를 다른 Security Group으로 이동

(이동 전에도 위와 같은 SMO Image Cloning Best Practice가 적용됩니다.) 원본 그룹과 대상 그룹을 모두 [+] 로 펼친 뒤, 원본 그룹의 Gateways 영역에서 어플라이언스를 선택해 대상 그룹의 Gateways 영역으로 드래그 앤 드롭하고 Apply 합니다. 옮겨진 어플라이언스는 공장 초기화 후 재부팅합니다. 이 옵션도 Gaia Portal 전용입니다.

인터페이스 할당·제거·이동

  • 인터페이스 할당 — 대상 그룹을 펼치고, Unassigned Interfaces 열에서 인터페이스를 선택해 그룹의 Interfaces 영역으로 드래그 앤 드롭한 뒤 Apply.
  • 인터페이스 하나 제거 — 그룹의 Interfaces 영역을 펼치고, 인터페이스를 우클릭해 Detach InterfaceApply(확인 창 없음).
  • 인터페이스 전체 제거Interfaces 영역을 우클릭해 Detach Security Group InterfacesApply(확인 창 없음, Gaia Portal 전용).
  • 인터페이스를 다른 그룹으로 이동 — 원본·대상 그룹을 펼치고, 원본의 Interfaces 영역에서 인터페이스를 선택해 대상의 Interfaces 영역으로 드래그 앤 드롭한 뒤 Apply(Gaia Portal 전용).

Uplink 포트의 VLAN 인터페이스 보기

Orchestrator 페이지에서 Security Groups → 내 그룹 → Interfaces 를 펼친 뒤, 인터페이스에 마우스를 올리면 툴팁에 VLAN 정보가 나타납니다.

Gaia Clish로 구성하기

Orchestrator의 명령줄에 SSH나 콘솔로 붙어 admin/admin으로 로그인한 뒤(기본 암호는 곧 바꾸세요), maestro 명령군을 씁니다.

작업명령
설정 보기show maestro
설정 추가add maestro
설정 변경set maestro
설정 삭제delete maestro

각 명령 뒤에서 Esc 키를 두 번 누르면 사용 가능한 하위 명령을 모두 볼 수 있습니다.

Maestro 사이트 수 설정·보기

Single Site는 값 1, Dual Site는 값 2 입니다.

set maestro configuration orchestrator-site-amount {1 | 2}
show maestro configuration orchestrator-site-amount
MHO> show maestro configuration orchestrator-site-amount
Number of configured Orchestrators Sites in this Maestro
deployment is 2.

사이트당 Orchestrator 수 설정·보기

set maestro configuration orchestrator-amount {1 | 2}
show maestro configuration orchestrator-amount

Dual Site의 Site ID 설정·보기

먼저 설치된 사이트의 Orchestrator는 ID 1, 나중에 설치된 사이트는 ID 2 를 받아야 합니다.

set maestro configuration orchestrator-site-id {1 | 2}
show maestro configuration orchestrator-site-id

Dual Site의 Base Site Sync VLAN ID 설정·보기

같은 사이트의 Orchestrator들은 이 Base Site Sync VLAN ID 를 이용해 내부 동기화에 쓸 VLAN ID를 계산합니다.

계산 공식은 다음과 같습니다.

# 같은 사이트의 첫 번째 Orchestrator (ID 1_1, 2_1)
<Site Sync VLAN ID> = <Base Site Sync VLAN ID> + 0

# 같은 사이트의 두 번째 Orchestrator (ID 1_2, 2_2)
<Site Sync VLAN ID> = <Base Site Sync VLAN ID> + 1

기본값 3600을 기준으로 한 계산 예:

Site IDOrchestrator 1_1 / 2_1의 Sync VLAN IDOrchestrator 1_2 / 2_2의 Sync VLAN ID
Site #136003601
Site #236003601
set maestro configuration orchestrator-site-vlan <Number>
show maestro configuration orchestrator-site-vlan

새 Security Group 만들기 (Clish)

지정한 ID로 Security Group을 추가합니다.

add maestro security-group id <Security Group ID>
파라미터설명
id <Security Group ID>Security Group ID. Tab 키를 누르면 기존 ID와 사용 가능한 ID 가 보입니다. 표시된 가장 큰 번호가 다음에 쓸 수 있는 ID입니다.
MHO> add maestro security-group id
1 2 3
MHO> add maestro security-group id 3
Successfully added security group 3

Security Group 삭제 (Clish)

delete maestro security-group id <Security Group ID>

확인 창은 없습니다. Tab 키로 기존 ID를 볼 수 있습니다.

MHO> delete maestro security-group id 3
Successfully deleted security group 3

네트워크 설정 추가·제거 (Clish)

set maestro security-group id <Security Group ID> management-connectivity ipv4-address <Security Group IPv4 Address> mask-length <1-32> [default-gw <Default Gateway IPv4 Address>]
파라미터설명
id <Security Group ID>Security Group ID(Tab으로 기존 ID 보기).
<Security Group IPv4 Address>Security Group의 IPv4 주소.
mask-length <1-32>서브넷 마스크 길이.
<Default Gateway IPv4 Address>(선택) 기본 게이트웨이 IPv4 주소.
MHO> set maestro security-group id 3 management-connectivity ipv4-address 192.168.30.40 mask-length 24 default-gw 192.168.30.1
Successfully set management connectivity configuration for security group 3

제거는 다음과 같습니다(확인 창 없음).

delete maestro security-group id <Security Group ID> management-connectivity

First Time Wizard 설정 추가·제거 (Clish)

이 설정은 그룹에 할당된 어플라이언스의 초기 구성에 쓰입니다.

set maestro security-group id <Security Group ID> ftw-configuration hostname <Hostname> sic <SIC Password> admin-password <Admin Password> is-vsx {yes | no}
파라미터설명
id <Security Group ID>Security Group ID.
ftw-configuration어플라이언스의 First Time Wizard 설정을 지정합니다.
hostname <Hostname>어플라이언스의 호스트 이름.
sic <SIC Password>4~127자 의 일회용 활성화 키. SmartConsole에서 게이트웨이 객체 생성 시 사용.
admin-password <Admin Password>Security Group의 Expert mode 암호.
`is-vsx {yes \no}`어플라이언스를 VSX 모드로 구성할지 여부.
MHO> set maestro security-group id 3 ftw-configuration hostname MyGwAppliance sic 123456 admin-password P@sswo4d is-vsx no
Successfully set FTW configuration to security group 3

제거(확인 창 없음):

delete maestro security-group id <Security Group ID> ftw-configuration

어플라이언스 하나 할당 (Clish)

(앞에서 설명한 SMO Image Cloning Best Practice가 동일하게 적용됩니다.) 지정한 Serial Number의 어플라이언스를 지정한 ID의 그룹에 할당합니다.

add maestro security-group id <Security Group ID> serial <Serial Number>
파라미터설명
id <Security Group ID>Security Group ID(Tab으로 보기).
serial <Serial Number>할당할 어플라이언스의 Serial Number(Tab으로 사용 가능한 번호 보기).
MHO> add maestro security-group id 3 serial 1234567890
Successfully added gw 1234567890 to security group 7

어플라이언스 하나 제거 (Clish)

Member ID 또는 Serial Number로 제거합니다. 제거된 어플라이언스는 공장 초기화 후 재부팅 하며, 확인 창은 없습니다.

delete maestro security-group id <Security Group ID> member <Member ID>
delete maestro security-group id <Security Group ID> serial <Serial Number>
파라미터설명
id <Security Group ID>Security Group ID.
member <Member ID>그룹 내 Member ID로 지정(Tab으로 보기).
serial <Serial Number>Serial Number로 지정(Tab으로 보기).
MHO> delete maestro security-group id 3 member 4
Successfully deleted member 4 from security group 3

인터페이스 하나 할당·제거 (Clish)

add maestro security-group id <Security Group ID> interface <Interface Name>
delete maestro security-group id <Security Group ID> interface <Interface Name>
파라미터설명
id <Security Group ID>Security Group ID.
interface <Interface Name>인터페이스 이름. Tab을 누르면 eth1-Mgmt2, eth1-10, eth2-05 처럼 사용 가능한 인터페이스가 나열됩니다.
MHO> add maestro security-group id 3 interface eth1-17
Successfully added interface eth1-17 to security group 3

Uplink 포트의 VLAN 인터페이스 보기 (Clish)

show maestro security-group id <Security Group ID>

이 명령은 Uplink 포트에 구성된 VLAN 인터페이스를 포함해 Security Group 구성을 보여 줍니다.

구성 변경 검증

아직 적용하지 않은 모든 변경을 보여 주고 유효성을 검사합니다.

show maestro security-group verify-new-config

변경이 없으면 "Temporary topology file not exists"가, 변경이 있으면 그룹별로 어떤 변경이 일어날지가 표시됩니다.

MHO> show maestro security-group verify-new-config
The following changes will take place:
Security Group 1
   - No changes
Security Group 2
   - Removed Gateway 1_2 serial 1234567890. GW is rebooting.
Security Group 3
   - Security group created
   - Added Gateway 1_1 serial 1234567890
   - Added interface eth1-Mgmt4

구성 변경 적용

아직 적용하지 않은 변경을 모두 적용합니다.

set maestro security-group apply-new-config

이 명령은 변경 요약을 보여 준 뒤 확인을 묻고, 감사(auditing)를 위해 전체 이름과 사유 를 입력하게 합니다.

MHO> set maestro security-group apply-new-config
You are about to perform "set maestro security-group apply-new-config"
...
Are you sure? (Y - yes, any other key - no) y
"set maestro security-group apply-new-config" requires auditing
Enter your full name: johndoe
Enter reason for "set maestro security-group apply-new-config" [Configuration]: test
CRITICAL: "set maestro security-group apply-new-config", User: johndoe, Reason: test
Are you sure? (Y - yes, any other key - no) y

적용 안 한 변경 삭제

delete maestro security-group new-config

확인 창은 없습니다.

MHO> delete maestro security-group new-config
Successfully deleted new topology configuration

Orchestrator 포트 설정

Orchestrator의 포트는 관리 상태, MTU, QSFP 모드, 포트 유형을 명령으로 조정할 수 있습니다.

set maestro port <Port ID>
      admin-state {up | down}
      mtu 68-10236
      qsfp-mode {1G | 10G | 4x10G | 4x25G | 25G | 40G | 100G}
      type {downlink | uplink | management | site_sync | ssm_sync} [no-confirmation]

Port ID 형식 — 슬래시로 구분한 세 숫자 <Orchestrator ID>/<Port Label>/<Port Split ID> 입니다(예: 1/3/1, 2/20/1).

  • <Orchestrator ID> — Orchestrator 한 대면 1, 이중화로 두 대면 첫 번째가 1, 두 번째가 2.
  • <Port Label> — 전면 패널의 물리 포트 번호. MHO-140은 51·53·55·56 포트에 예외가 있습니다.
  • <Port Split ID> — 브레이크아웃 케이블로 포트를 분할하지 않았으면 기본값 1.

사용 가능한 Port ID는 set maestro port 입력 후 Tab으로 볼 수 있고, Port ID와 Gaia OS가 붙인 이름의 대응은 Gaia Portal의 Orchestrator 페이지에서 확인합니다(기본 매핑은 Quantum Maestro Getting Started Guide의 Orchestrator Ports and Gaia OS Interfaces 절 참고).

각 파라미터의 뜻은 다음과 같습니다.

파라미터설명
`admin-state {up \down}`포트 관리 상태. up(활성)·down(비활성).
mtu포트 MTU. 유효 범위 68~10236바이트, 기본 10236바이트.
qsfp-modeQSFP 모드(아래 표 참고).
type포트 유형(아래 표 참고).
no-confirmation(선택) 지정하면 확인·감사 정보를 묻지 않습니다.

QSFP 모드(qsfp-mode) 값:

의미
1G1 GbE 속도(10 GbE 포트만 지원).
10G10 GbE 속도.
4x10G40 GbE 포트를 각 10 GbE인 4개로 분할.
4x25G100 GbE 포트를 각 25 GbE인 4개로 분할.
25G / 40G / 100G각각 25 / 40 / 100 GbE 속도.

포트 유형(type) 값:

연결 대상
downlinkCheck Point Security Appliance.
uplink외부·내부 운영 네트워크.
management해당 Security Group을 관리하는 Management Server.
site_syncDual Site의 외부 동기화 — 서로 다른 사이트의 피어 Orchestrator 사이.
ssm_syncDual Site의 내부 동기화 — 같은 사이트의 피어 Orchestrator 사이.

type 변경은 감사를 요구하므로 전체 이름과 사유를 입력해야 합니다. no-confirmation 을 붙이면 확인 질문은 생략되지만 감사 정보는 여전히 입력해야 합니다.

MHO> set maestro port 1/20/1 admin-state down
...
Successfully set port 20 admin-state to down

MHO> set maestro port 1/20/1 mtu 10236
MHO> set maestro port 1/20/1 qsfp-mode 10G
MHO> set maestro port 1/20/1 type uplink

Orchestrator 포트 설정 보기

show maestro port <Port ID>
      admin-state
      mtu
      optic-info
      qsfp-mode
      type
      vlans
파라미터설명
admin-state포트 관리 상태(up/down).
mtu포트 MTU.
optic-infoQSFP 트랜시버 정보.
qsfp-modeQSFP 모드(위 표와 동일).
type포트 유형(위 표와 동일).
vlans이 포트에 구성된 VLAN ID들.
MHO> show maestro port 1/27/1 admin-state
Port 1/27/1 admin-state is up
MHO> show maestro port 1/27/1 mtu
Port 27 mtu is 10236
MHO> show maestro port 1/27/1 optic-info
Port:27
Vendor Name:Gigalight
...
Check Point SKU:CPAC-DAC-10G-1M-B
Product Type:10GBASE-CU-1M
Speed:10G
MHO> show maestro port 1/27/1 type
Port 1/27/1 type is downlink
MHO> show maestro port 1/20/1 vlans
Port 1/20/1 vlans are: 100 200

Security Group 설정 보기

show maestro security-group id <Security Group ID>
MHO> show maestro security-group id 1
name: 1
 - uplinks:
  - eth1-05:
   - physical: Port 1/5/1
  - eth1-Mgmt1:
   - physical: Port 1/1/1
 - mgmt_ip: 192.168.19.52
 - sic_pass: 12345
 - hostname: MyGW1
 - default_gw: 192.168.19.1
 - is_vsx: false
 - gateways:
  - 1:
   - serial: 2222222222
   - model: Check Point16000
  ...
 - mgmt_netmask: 24

2단계 — Security Group의 Gaia 설정 구성

이제 Security Group 자체의 Gaia 운영체제 설정을 잡습니다. 역시 Gaia Portal 또는 Gaia gClish로 합니다.

Gaia Portal에서

단계할 일
1웹 브라우저로 Security Group의 Gaia Portal(https://<IP Address of Security Group>)에 접속합니다.
2기본 자격 증명 admin/admin으로 로그인합니다.
3기본 Gaia 암호를 바꿉니다 — 왼쪽 트리 User Management > Users 에서 admin 사용자를 선택하고 Reset Password.
4Network Management > Network Interfaces 로 이동합니다.
5Uplink 포트에 필요한 설정(예: Bond·VLAN 인터페이스)과 IP 주소를 구성합니다.
6Time Zone, DNS 서버, Proxy 서버, Static Route 등 다른 Gaia 설정을 구성합니다.

Gaia gClish에서

단계할 일
1SSH로 Security Group의 IP에 접속합니다. 로그인하면 기본적으로 Gaia gClish가 열립니다.
2admin/admin으로 로그인합니다.
3기본 암호를 바꿉니다 — set user admin password
4Uplink 포트의 설정(Bond·VLAN 등)과 IP 주소를 구성합니다.
5Time Zone, DNS, Proxy, Static Route 등 다른 Gaia 설정을 구성합니다.

특정 멤버에만 접속하려면 Security Group 관리의 멤버 접속 절차를 참고하세요. 1번 접속은 Orchestrator의 Management 인터페이스를 거치며, VSX 모드에서는 IP를 SmartConsole에서만 구성합니다.

3단계 — SmartConsole에서 Security Group 구성

여기서는 Security Group을 관리 서버 쪽 객체로 만들고 정책을 설치합니다. Gateway 모드면 Security Gateway 객체를, VSX 모드면 VSX Gateway 객체를 만듭니다.

Security Gateway 객체와 정책 (Gateway 모드)

객체 만들기 — Wizard Mode

단계할 일
1이 Security Group을 관리할 관리 서버에 SmartConsole로 접속합니다.
2왼쪽 패널에서 Gateways & Servers 를 클릭합니다.
3새 Security Gateway 객체를 만듭니다(상단 New > Gateway 등).
4Check Point Security Gateway Creation 창에서 Wizard Mode 를 클릭합니다.
5General Properties 에서 이름을 입력하고, Gateway platformMaestro, Gateway IP address 에 Orchestrator에서 Security Group에 설정한 것과 같은 IPv4 주소 를 입력합니다.
6Trusted Communication 에서 Initiate trusted communication now 를 선택하고, First Time Wizard에 넣은 것과 같은 Activation Key 를 입력합니다.
7End 페이지에서 요약을 확인하고 Edit Gateway properties 를 선택한 뒤 Finish.
8Network Security 탭에서 원하는 Software Blade를 켭니다.
9OK.
10SmartConsole 세션을 Publish 합니다.

객체 만들기 — Classic Mode

단계할 일
1~3관리 서버에 접속해 Gateways & Servers 에서 새 게이트웨이를 만듭니다.
4생성 창에서 Classic Mode 를 클릭합니다.
5Name 에 이름을 입력합니다.
6IPv4 address(필요 시 IPv6)에 Orchestrator에서 설정한 것과 같은 주소를 입력합니다.
7SIC 를 설정합니다 — Communication 클릭 → PlatformOpen server / ApplianceActivation Key 에 First Time Wizard와 같은 키 → InitializeOK.
8Platform 에서 HardwareMaestro, VersionR80.20SP, OSGaia 로 선택합니다.
9Network Security 탭에서 원하는 Software Blade를 켭니다(Management 탭은 손대지 않음).
10~11OK 후 세션을 Publish 합니다.

Security Policy 구성·설치

  1. 관리 서버에 SmartConsole로 접속해 Security Policies 로 이동합니다.
  2. 새 정책을 만들고 적절한 Layer를 구성합니다(상단 + 탭 또는 CTRL TManage policies and layers).
  3. 적절한 Access Control PolicyThreat Prevention Policy 를 만들고 세션을 Publish 합니다.
  4. 정책을 설치합니다 — Install Policy → 정책 선택 → Access Control Policy 만 골라 Install, 이어서 같은 방식으로 Threat Prevention Policy 만 골라 Install.

VSX Gateway 객체와 정책 (VSX 모드)

VSX Gateway 객체 만들기

단계할 일
1~3관리 서버(또는 Main Domain Management Server)에 접속해 Gateways & Servers 에서 New > VSX > Gateway 로 마법사를 엽니다.
4General Properties — VSX Gateway 이름과, First Time Configuration Wizard의 Management Connection에서 설정한 것과 같은 IPv4·IPv6 주소를 입력하고, 버전은 R80.20SP 를 선택합니다.
5Virtual Systems Creation Templates — 적절한 템플릿을 선택합니다.
6Secure Internal Communication — First Time Wizard와 같은 Activation Key 를 입력하고 확인란에 다시 입력한 뒤 Initialize.
7Physical Interfaces Usage — 이 그룹에 할당한 모든 Uplink 포트가 보이는지 확인합니다. 한 Uplink 포트에 둘 이상의 Virtual System을 직접 연결할 계획이면 그 포트에 VLAN Trunk 를 선택합니다.
8Virtual Network Device Configuration — 첫 Virtual System을 지금 만들 수도 있으나, 나중에 만드는 것을 권장 합니다.
9VSX Gateway Management — 기본 접근 규칙을 확인·선택하고, 필요하면 source 객체를 구성합니다.
10Creation FinalizationFinish 후 작업 완료를 기다리고 Close.

이어서 객체를 열어 Network Security 탭에서 VS0용 Software Blade를 켜고(sk79700·sk106496 참고), OK 로 VSX 구성을 푸시한 뒤 정책을 설치합니다. 기본 정책 이름은 <VSX Gateway 객체 이름>_VSX 입니다. 각 단계 사이사이에 Security Group 명령줄의 Expert mode에서 다음으로 구성을 확인합니다.

vsx stat -v

Virtual System과 정책 구성

단계할 일
1관리 서버 또는 각 Virtual System을 관리할 Target Domain Management Server에 접속합니다.
2이 Security Group에 원하는 Virtual System들을 구성합니다.
3~4각 Virtual System용 Access Control / Threat Prevention Policy를 만듭니다.
5세션을 Publish 합니다.
6~8각 Virtual System에 정책을 설치합니다(Access Control만, Threat Prevention만 따로).
9Expert mode에서 vsx stat -v 로 구성을 확인합니다.

자세한 내용은 VSX 가이드와 R82 Security Management Administration Guide를 참고하세요.

4단계 — 라이선스 설치

Orchestrator 자체는 라이선스가 필요 없습니다. 대신 Orchestrator에 연결한 각 Security Appliance마다 Security Gateway 라이선스 를 생성해야 합니다.

라이선스 생성 정보 모으기

모든 어플라이언스에 대해 다음 요약 표를 준비합니다.

항목설명
Sync 인터페이스의 IPv4 주소라이선스 IP 주소로 사용
Mgmt 인터페이스의 MAC 주소라이선스 CK로 사용

각 어플라이언스에서 Expert mode로 접속해 값을 얻습니다.

ifconfig Sync | head -n 2      # "inet addr" 값 = 라이선스를 생성할 IPv4 주소
ifconfig Mgmt | grep Mgmt      # "HWaddr" 값 = 라이선스 CK

라이선스 생성은 sk163323을 따릅니다. 적절한 라이선스가 관리 서버의 License Repository에 있으면 자동으로 설치되며, 관리 서버가 인터넷에 연결돼 있으면 User Center에서 라이선스를 끌어옵니다. 인터넷이 없으면 아래 수동 절차를 따릅니다.

Part 1 — SMO로 동작하는 멤버에 설치

여기서 SMO(Single Management Object) 는 Security Group을 대표하는 멤버입니다.

단계할 일
A~BSecurity Group 명령줄에 접속해 Expert mode로 로그인합니다.
CSMO의 Sync 인터페이스 IP를 얻습니다 — asg_blade_config get_smo_ip
DSMO의 IPv4 주소(192.0.2.X)에 라이선스를 설치합니다 — cplic put <applicable string>
E설치 확인 — g_cplic print

Part 2 — SMO가 아닌 특정 멤버에 설치

단계할 일
A~BSecurity Group 또는 Orchestrator의 Gaia에 접속해 Expert mode로 로그인합니다.
C특정 어플라이언스에 접속합니다 — member <Security Group ID> <Member ID>
DSync 인터페이스 IPv4 주소를 얻습니다 — `ifconfig Synchead -n 2`
E이 어플라이언스의 Sync IP(192.0.2.X)에 라이선스를 설치합니다 — cplic put <applicable string>
F라이선스 파일을 복사합니다 — cp -v $CPDIR/conf/cp.license /var/log/cp.license.copy
G복사본이 원본과 같은지 확인합니다 — md5sum $CPDIR/conf/cp.license /var/log/cp.license.copy
H복사본을 SMO로 전송합니다 — asg_cp2blades -b 1_01 /var/log/cp.license.copy
I이 멤버의 현재 라이선스 파일 내용을 비웁니다 — echo > $CPDIR/conf/cp.license
JSMO로 동작하는 멤버에 접속합니다 — member <Security Group ID> <SMO Member ID>
K앞서 복사한 라이선스 내용을 SMO의 라이선스 파일에 덧붙입니다 — cat /var/log/cp.license.copy >> $CPDIR/conf/cp.license
L최소 6분 기다립니다.
M설치 확인 — g_cplic print

5단계 — 특수 구성 시나리오

여기서는 자주 만나는 특수 상황을 다룹니다 — 서로 다른 어플라이언스 모델의 가중치, Management/Uplink 포트의 Bond 인터페이스, Bond 위 VLAN 인터페이스, Uplink 포트의 VLAN 인터페이스, 공유 Uplink 포트입니다.

Security Group 멤버 가중치 구성

R81.10부터 서로 다른 모델의 어플라이언스를 같은 Security Group에 섞어 할당할 수 있습니다(sk162373). 멤버마다 처리 능력이 다르므로, 모두가 가능한 한 고르게 부하를 받도록 상대 가중치(weight) 를 줄 수 있고, 트래픽은 이 가중치에 따라 분배됩니다.

가중치 계산 — 기본 가중치와 사용자 지정 가중치 공식은 다음과 같습니다.

# 기본 가중치
이 멤버의 CPU 코어 수
------------------------------ x 100%
모든 멤버의 CPU 코어 수 합

# 사용자 지정 가중치
이 멤버의 Local Weight
------------------------------ x 100%
모든 멤버의 Weight 합

멤버 M1·M2·M3 세 대일 때, 원하는 분배 비율을 만드는 예입니다.

원하는 분배설정 방법
M3 15% / M2 15% / M1 70%M3에 0~512 중 한 값, M2에 M3와 같은 값, M1에 그 값의 7배
M3 10% / M2 10% / M1 80%M3·M2에 같은 값, M1에 그 값의 8배
M3 10% / M2 20% / M1 70%M3에 한 값, M2에 그 2배, M1에 그 7배

가중치 설정 — Security Group 명령줄에서 (기본 셸이 Expert mode면 gclish 로 진입) 다음을 실행합니다.

set smo security-group sgm-weight id <SGM IDs> weight {default | 0-512}
set smo security-group sgm-weight apply
파라미터설명
sgm-weight id <SGM IDs>대상 멤버. 지정 안 함 또는 all(모든 멤버·사이트), 한 멤버(1_1), 쉼표 목록(1_1,1_4), 범위(1_1-1_4), 한 사이트(chassis1/chassis2), Active 사이트(chassis_active).
`weight {default \0-512}`가중치 값.

가중치 모니터링show smo security-group sgm-weight <SGM IDs> 로 봅니다(SGM IDs 표기는 위와 동일).

[Global] HostName-ch01-01> show smo security-group sgm-weight all
SGM weights are:
1_01: 8 (33.33%)
1_02: 16 (66.67%)

Management 포트에 Bond 인터페이스 구성

새 Security Group을 처음부터 만드는 경우

단계할 일
1~2Orchestrator 한 대에 접속해 새 Security Group을 만들되, Network settings에는 더미(dummy) IP 를 넣고 First Time Wizard 설정은 하지 않습니다.
3사용 가능한 관리 인터페이스 두 개(ethM-MgmtX, ethN-MgmtY)를 그룹에 할당합니다.
4~5어플라이언스와 Uplink 포트를 할당합니다.
6~8Member ID 1 어플라이언스에 콘솔로 접속해 Expert mode로 로그인한 뒤 gclish 로 들어갑니다.
9어느 eth#-Mgmt# 인터페이스가 그룹 IP를 가졌는지 확인합니다(예에서는 ethM-MgmtX).
10Bonding 그룹을 만듭니다 — add bonding group <Bond ID> mgmt
11IP 없는 ethN-MgmtY 를 Bonding 그룹에 추가 — add bonding group <Bond ID> mgmt interface ethN-MgmtY
12실제 IP를 Bonding 그룹에 부여 — set interface magg<Bond ID> ipv4-address <Real IPv4 Address> mask-length <Mask Length>
13Bonding 그룹을 새 관리 인터페이스로 지정 — set management interface magg<Bond ID>
14ethM-MgmtX 의 더미 IP 삭제 — delete interface ethM-MgmtX ipv4-address
15IP 없는 ethM-MgmtX 를 Bonding 그룹에 추가 — add bonding group <Bond ID> mgmt interface ethM-MgmtX
16~18Orchestrator에 접속해 설정이 맞는지 확인하고, 그룹의 관리 IP로 접속해 First Time Configuration Wizard를 수동으로 완료합니다.

기존 Security Group을 수정하는 경우

이미 ethM-MgmtX 가 할당돼 있다고 가정합니다.

단계할 일
1~2Orchestrator에서 두 번째 관리 인터페이스 ethN-MgmtY 를 그룹에 할당합니다(Gaia Portal 또는 Clish).
3~5Member ID 1 어플라이언스에 콘솔 접속 → Expert mode → gclish.
6ethM-MgmtX 의 IP를 더미 IP로 바꿉니다 — set interface ethM-MgmtX ipv4-address <Dummy IPv4 Address> mask-length <Mask Length>
7Bonding 그룹 생성 — add bonding group <Bond ID> mgmt
8ethN-MgmtY 추가 — add bonding group <Bond ID> mgmt interface ethN-MgmtY
9실제 IP 부여 — set interface magg<Bond ID> ipv4-address <Real IPv4 Address> mask-length <Mask Length>
10관리 인터페이스로 지정 — set management interface magg<Bond ID>
11더미 IP 삭제 — delete interface ethM-MgmtX ipv4-address
12ethM-MgmtX 추가 — add bonding group <Bond ID> mgmt interface ethM-MgmtX
13~14Orchestrator에 접속해 설정을 확인합니다.
15SmartConsole에서 게이트웨이 객체를 열어 Network Management > Get Interfaces > Get Interfaces With Topology 로 토폴로지를 가져와 적용하고, Access Control Policy를 설치합니다.

Uplink 포트에 Bond 인터페이스 구성

크게 세 단계입니다 — Orchestrator에서 Uplink 포트 할당, Security Group에서 Bond 구성, SmartConsole에서 객체 갱신.

  1. Uplink 포트 할당 — Orchestrator의 Gaia Portal에서 인터페이스 할당 절차로 할당하고 Apply 하거나, Gaia Clish에서 add maestro security-group ... interface 로 할당한 뒤 검증·적용합니다.
  2. Bond 구성 — Security Group의 Gaia Portal 또는 (Expert mode → gclish) gClish에서 Uplink 포트 위에 Bond 인터페이스를 만듭니다. Gateway 모드에서만 이 Bond에 IP를 부여 합니다. > 중요 — VSX 모드에서는 IP를 SmartConsole의 VSX Gateway 또는 Virtual System 객체에서 부여해야 합니다.
  3. SmartConsole 객체 갱신
    • 이미 Security Gateway 객체 가 있으면 — 객체를 열고 Network Management > Get Interfaces > Get Interfaces Without TopologyOK → Access Control Policy 설치.
    • 이미 VSX Gateway 객체 가 있으면 — 객체를 열고 Physical Interfaces > Add 로 새 인터페이스를 추가합니다(Gaia 설정과 같은 이름, 대소문자까지 동일하게). 이후 정책을 설치하고, 해당 Virtual System에 Bond 인터페이스를 구성한 뒤 정책을 설치합니다.

Bond 위에 VLAN 인터페이스 구성 (Uplink)

Uplink 포트 위 Bond 인터페이스 위에 다시 VLAN 인터페이스를 얹는 구성입니다. 흐름은 위와 비슷하되, Orchestrator에서 VLAN 태그를 먼저 추가하는 점이 다릅니다.

  1. VLAN 태그 추가 + Uplink 포트 할당 — Orchestrator의 Gaia Portal 또는 Gaia Clish에서 해당 Uplink 포트에 VLAN 태그를 추가하고, 그 포트를 Security Group에 할당한 뒤 검증·적용합니다.
  2. Bond + VLAN 구성 — Security Group의 Gaia Portal 또는 gClish에서 Uplink 포트 위에 Bond를 만들고, Orchestrator에서 추가한 것과 같은 VLAN 인터페이스를 Bond 위에 추가합니다. Gateway 모드에서만 이 VLAN 인터페이스에 IP를 부여합니다(VSX 모드는 SmartConsole에서).
  3. SmartConsole 객체 갱신 — Security Gateway 객체면 Get Interfaces Without Topology 로 가져옵니다. VSX Gateway 객체면 Physical Interfaces > Add 로 새 Bond를 추가하고(같은 이름), VLAN Trunk 열을 체크한 뒤 정책을 설치하고, Virtual System에 VLAN 인터페이스를 구성합니다.

예시 (MHO-170 기본 구성 기준)

MHO-170 기반 Bond 위 VLAN 구성 예
MHO-170 기반 Bond 위 VLAN 구성 예

MHO-170 기본 구성에서 두 네트워크를 각각 다른 Security Group으로 보내는 Bond + VLAN 예시

항목설명
1VLAN 10의 Network 1, 네트워킹 장비(3)의 포트에 연결.
2VLAN 20의 Network 2, 네트워킹 장비(3)의 포트에 연결.
3Network 1·2를 Bond 인터페이스(Link Aggregation)로 Orchestrator(10·12)에 연결하는 라우터/스위치.
4Network 1을 Orchestrator(10·12)에 연결하는 Bond. 어플라이언스(26·24)가 속한 Security Group(25)에 이중화된 Uplink 를 제공.
5Network 2를 연결하는 Bond. 어플라이언스(23·21)가 속한 Security Group(22)에 이중화된 Uplink 제공.
6첫 Bond(4)의 첫 슬레이브를 첫 Orchestrator(10)의 Uplink 포트 3(eth1-05, VLAN 태그 10)에 연결하는 케이블.
7첫 Bond(4)의 둘째 슬레이브를 Orchestrator(12)의 포트 3(eth2-05, VLAN 태그 10)에 연결.
8둘째 Bond(5)의 첫 슬레이브를 Orchestrator(10)의 포트 9(eth1-17, VLAN 태그 20)에 연결.
9둘째 Bond(5)의 둘째 슬레이브를 Orchestrator(12)의 포트 9(eth2-17, VLAN 태그 20)에 연결.
10·12첫 번째·두 번째 Orchestrator.
11두 Orchestrator의 전용 동기화 포트 32를 잇는 DAC. Security Group 구성 동기화 전용 입니다.
13~20Orchestrator의 Downlink 포트와 어플라이언스를 잇는 케이블.
21~23Security Group 2에 할당된 어플라이언스.
24~26Security Group 1에 할당된 어플라이언스.

예시 절차를 요약하면, ① Orchestrator에서 eth1-05·eth2-05(포트 1/3/1·2/3/1)에 VLAN 10을, eth1-17·eth2-17(포트 1/9/1·2/9/1)에 VLAN 20을 추가하고 각각을 Security Group 1·2에 할당한 뒤 적용합니다. ② Security Group 1에서 eth1-05·eth2-05 위에 Bond1 을 만들고 그 위에 VLAN 10(bond1.10)을 얹습니다. ③ Security Group 2에서 eth1-17·eth2-17 위에 Bond1 을 만들고 VLAN 20(bond1.20)을 얹습니다. ④ SmartConsole에서 새 인터페이스(bond1.XX)를 게이트웨이 객체에 추가합니다.

Uplink 포트의 VLAN 인터페이스 구성

R81.10부터 Orchestrator의 Uplink 포트 VLAN 인터페이스 구성이 크게 개선되었습니다.

  • 지원 VLAN 수 증가 — 각 Uplink 포트에는 제한이 없고, Orchestrator당 총 지원 수는 9000개 입니다.
  • Uplink 포트에서 모든 distribution 모드 가 지원됩니다(이전에는 General + Layer 4만, sk165172).
  • Uplink 포트가 특정 VLAN만 허용하더라도 각 VLAN 인터페이스에서 모든 distribution 모드를 쓸 수 있습니다.
  • 더 이상 Orchestrator에 VLAN 인터페이스를 구성하지 않아도 됩니다.

작업 흐름은 다음과 같습니다.

  1. 물리 인터페이스(예: eth1-05)를 Security Group에 할당합니다.
  2. Security Group에서 그 물리 인터페이스 또는 VLAN 인터페이스(예: eth1-05.100)에 IP를 구성합니다.
  3. SmartConsole에서 게이트웨이 객체를 열어 Network Management > Get Interfaces > Get Interfaces Without Topology > Accept 한 뒤, 각 인터페이스의 토폴로지를 구성하고 Access Control Policy를 설치합니다.

Security Group 인터페이스 구성(VLAN·distribution 모드 등)이 바뀌면, 정책 설치나 gClish 수동 변경 후 Security Group이 그 변경을 Orchestrator로 자동 전송 합니다.

Gaia Portal·Clish에서 VLAN 인터페이스 보기

Gaia Portal에서는 Orchestrator 페이지 → Security Groups → 그룹 → Interfaces 를 펼치고 인터페이스에 마우스를 올리면 툴팁에 VLAN 정보가 나옵니다.

  • 예 1 — 포트 1/3/1(eth1-05)의 툴팁이 Port VLANs: Untagged, All 이면, Orchestrator가 그 포트에 도착하는 모든 untagged·tagged 패킷 을 Security Group 1로 보냅니다(모든 VLAN을 허용하는 VLAN Trunk와 같음).
  • 예 2 — 포트 1/20/1(eth1-20)의 툴팁이 Port VLANs: 3-4, 6, 34 이면, VLAN 태그 3-4·6·34 패킷만 Security Group 4로 보냅니다.

Gaia Clish에서는 다음으로 봅니다.

show maestro security-group id <Security Group ID>

VLAN 4000개 초과 구성

약 4000개를 넘는 VLAN 인터페이스가 필요하면, 물리 인터페이스를 "모든 untagged·tagged 패킷을 전달하는 VLAN Trunk"로 구성 하기를 권장합니다. 그러면 내부 자동 최적화가 일어나 그 인터페이스가 9000개 한도 중 단 1개 로만 계산되므로, 한도에 구애받지 않고 전체 VLAN 범위를 쓸 수 있습니다.

이 최적화가 일어나려면 두 조건이 필요합니다.

  • VLAN Trunk 모드가 켜져 있어야 합니다.
  • 특정 물리 인터페이스 위 모든 VLAN 인터페이스의 distribution 모드가 같아야 합니다(최적화는 Orchestrator 포트마다 일어나기 때문).

예를 들어 eth1-20 위에 eth1-20.33·.44·.55·.66 이 있을 때 넷 모두 같은 distribution 모드여야 합니다. 만약 eth1-20.55 만 다르면 자동 최적화가 꺼지고, Orchestrator는 태그 33·44·66 패킷만 전달합니다.

VLAN Trunk 모드를 켜는 절차입니다.

단계할 일
1~2Orchestrator 한 대의 명령줄에 접속해 Gaia Clish로 로그인합니다.
3VLAN Trunk 모드 켜기 — set maestro configuration uplink-trunk-mode state enabled
4상태 확인 — show maestro configuration uplink-trunk-mode state
5모든 Orchestrator에서 Expert mode로 들어가 orchd 를 재시작 — orchd restart

공유 Uplink 포트

각 Uplink 인터페이스를 여러 Security Group에 공유 하면서, 그룹마다 다른 VLAN을 그 인터페이스에 할당할 수 있습니다. 예를 들어 eth1-05 를 Security Group 3·4에 공유하고, 그룹 3에는 eth1-05.30, 그룹 4에는 eth1-05.40 을 구성할 수 있습니다.

공유 인터페이스를 가진 LACP Bond의 요건

공유 Uplink 인터페이스가 어느 그룹에서 LACP Bond의 일부라면, 할당된 모든 그룹에서 동일한 LACP Bond의 일부 여야 합니다. 또한 그 LACP Bond는 각 그룹에서 똑같은 슬레이브 인터페이스를, 똑같은 순서로 가져야 합니다. 예를 들어 그룹 3의 bond1.30 슬레이브 순서가 "eth1-05, eth2-05"이면 그룹 4의 bond1.40 도 같은 순서여야 합니다.

다음은 잘못된 예입니다.

bond1.30 is an LACP bond in Security Group 3, and it contains eth1-05
bond1.40 is a non-LACP bond in Security Group 4, and it contains eth1-05

가장 작은 ID를 가진 Security Group(공유 슬레이브를 할당받은)이 그 인터페이스들의 LACP 협상을 담당합니다.

공유 Uplink가 있는 LACP Bond 구성

eth1-05·eth2-05 를 Security Group 3·4가 공유하는 예입니다.

  1. Orchestrator에서 공유 기능을 켜고 적용합니다.
   MHO_1_1> set maestro security-group id 3 shared-uplinks state enabled
   MHO_1_1> set maestro security-group id 4 shared-uplinks state enabled
   MHO_1_1> set maestro security-group apply-new-config
   
  1. Orchestrator에서(Gaia Portal 또는 Clish) eth1-05·eth2-05 를 Security Group 3과 4에 모두 할당합니다.
  2. 두 그룹 모두에서 명령줄에 접속해(Expert mode면 gclish), Bond를 만들고 VLAN을 얹습니다. Bonding 그룹 ID는 그룹마다 같지 않아도 됩니다.

Security Group 3:

   [Global] sg3-ch01-01 > add bonding group 1 interface eth1-05
   [Global] sg3-ch01-01 > add bonding group 1 interface eth2-05
   [Global] sg3-ch01-01 > set bonding group 1 mode 8023AD
   [Global] sg3-ch01-01 > add interface bond1 vlan 30
   

Security Group 4:

   [Global] sg4-ch01-01 > add bonding group 1 interface eth1-05
   [Global] sg4-ch01-01 > add bonding group 1 interface eth2-05
   [Global] sg4-ch01-01 > set bonding group 1 mode 8023AD
   [Global] sg4-ch01-01 > add interface bond1 vlan 40
   

이어서 각 Bond VLAN 인터페이스에 IP를 구성합니다. 4. SmartConsole에서 각 그룹의 Security Gateway 객체를 열어 Network Management > Topology > Get Interfaces > Get Interfaces with topology 로 새 토폴로지(예: bond1.30)를 가져와 승인하고 OK 합니다. 5. Access Control Policy를 설치 합니다 — 이때 Orchestrator 구성도 함께 갱신됩니다. 6. 이후 Orchestrator는 태그 트래픽을 전달합니다 — eth1-05.30·eth2-05.30 패킷은 그룹 3으로, eth1-05.40·eth2-05.40 패킷은 그룹 4로.

LACP Bond 검증

공유 인터페이스가 있는 LACP Bond가 올바른지는 Orchestrator의 Expert mode에서 다음으로 확인합니다.

lacp_verify

LACP Bond에서 슬레이브 제거

슬레이브가 LACP Bond에 추가되면 Port Number 라는 인덱스가 붙습니다(첫 슬레이브는 1, 둘째는 2 …). 슬레이브를 제거해도 남은 슬레이브는 원래 받은 Port Number를 그대로 유지 한 채 LACP PDU를 보냅니다. 이 때문에 두 그룹이 같은 공유 슬레이브를 쓰는데 추가 순서가 다르면 Port Number가 어긋나 트래픽 손실 이 생길 수 있습니다.

예를 들어 그룹 1에서 bond1eth1-05, eth1-06, eth1-07, eth1-08 순으로 넣은 뒤 eth1-05·eth1-06 을 빼면 eth1-07 은 여전히 Port Number 3, eth1-08 은 4로 PDU를 보냅니다. 그런데 그룹 2에서는 eth1-07, eth1-08 만 넣어 각각 1·2 입니다. 따라서 공유 슬레이브를 쓰는 모든 Bond는 완전히 같은 방식으로 만들어야 하며, 위 경우라면 그룹 1의 bond1 도 처음부터 다시 만들어 eth1-07·eth1-08 만 같은 순서로 넣어 그룹 2와 맞춰야 합니다.

공유 Uplink LACP Bond를 그룹에서 제거

공유 슬레이브를 가진 Bond를 제거할 때는 먼저 Security Group에서 제거한 뒤, 그다음에 Orchestrator에서 제거합니다. 그룹 4에서 bond1(슬레이브 eth1-05·eth2-05, VLAN bond1.30)을 제거하는 예입니다.

  1. Security Group 4에서 명령줄에 접속해(Expert mode면 gclish) 차례로 실행합니다.
   [Global] sg4-ch01-01 > delete interface bond1 vlan 40
   [Global] sg4-ch01-01 > delete bonding group 1 interface eth1-05
   [Global] sg4-ch01-01 > delete bonding group 1 interface eth2-05
   [Global] sg4-ch01-01 > delete bonding group 1
   
  1. Orchestrator에서(Gaia Portal 또는 Clish) eth1-05·eth2-05 를 Security Group 4에서 제거합니다.

---

이로써 Security Group을 만들고, 어플라이언스·포트를 붙이고, Gaia·SmartConsole 설정을 잡고, 라이선스를 깔고, Bond·VLAN·공유 Uplink 같은 특수 구성까지 마치는 전체 과정을 살펴봤습니다. 만들어 둔 Security Group의 일상 운영은 Security Group 관리에서, 성능을 끌어올리는 방법은 시스템 최적화에서 이어집니다.