07Security Group 구성Configuring Security Groups in Maestro
Maestro에서 트래픽을 검사하는 실제 단위는 Security Group 입니다. 여러 대의 Security Appliance(보안 어플라이언스) 를 하나로 묶어 마치 한 대의 게이트웨이처럼 동작하게 만든 것이 Security Group이고, 이 장은 그 Security Group을 처음부터 끝까지 만들고 운영하는 모든 절차 를 다룹니다. Quantum Maestro Orchestrator에서 Security Group을 만들고, 어플라이언스와 포트를 붙이고, Gaia 설정을 잡고, SmartConsole에서 게이트웨이 객체를 만들고, 라이선스를 설치하고, Bond·VLAN·공유 Uplink 같은 특수 구성까지 — 원문이 표·명령·파라미터로 나열한 내용을 하나도 빼지 않고 풀어서 정리합니다.
설정은 Gaia Portal(웹 화면) 과 Gaia Clish(명령줄) 두 가지 방법으로 할 수 있습니다. 이 장은 두 방법을 모두 싣되, 어느 쪽으로 하든 Gaia Clish에서 바꾼 뒤에는 반드시 "검증(verify)" 후 "적용(apply)" 해야 한다는 원칙을 기억하세요. 더 자세한 명령줄 기본기는 Gaia 가이드를 참고하면 좋습니다.
전체 작업 흐름
Security Group을 운영하기까지의 큰 그림은 다음 여섯 단계입니다.
- Orchestrator에서 Security Group을 구성합니다. > 참고 — 설치된 Orchestrator 중 하나에서만 설정 하세요. Orchestrator끼리 구성을 자동으로 서로 동기화합니다.
각 Security Group에는 다음이 반드시 들어가야 합니다.
- Security Appliance 하나 이상.
> 참고 — Orchestrator가 대응하는 Downlink 포트를 자동으로 할당합니다.
- Orchestrator의 적절한 포트들 — Security Group을 관리 서버에 연결하는 전용 Management 포트(예: eth1-Mgmt1)와, 외부·내부 트래픽 네트워크를 연결한 Uplink 포트.
세부 절차는 다음과 같습니다.
| 단계 | 할 일 |
|---|---|
| a | 새 Security Group을 만듭니다. |
| b | Security Group에 Network Configuration(네트워크 설정)을 추가합니다. |
| c | Security Group에서 First Time Wizard 설정을 구성합니다. |
| d | 사용 가능한 Security Appliance를 Security Group에 할당합니다. |
| e | Orchestrator의 적절한 포트(Uplink 포트와 Management 인터페이스)를 Security Group에 할당합니다. |
- 새 Security Group에서 Gaia 운영체제 설정을 구성합니다(아래 2단계). > Best Practice — Security Group에서도 Gaia Backup을 만들어 구성을 저장하세요.
- SmartConsole에서 설정합니다(아래 3단계).
- Gateway 모드 Security Group이면 — Security Gateway 객체 하나를 만들고, Security Policy를 구성한 뒤, 그 객체에 정책을 설치합니다.
- VSX 모드 Security Group이면 — VSX Gateway 객체를 만들고, Virtual System 객체들을 만들고, 각 Virtual System의 정책을 구성한 뒤 설치합니다.
- 라이선스를 설치합니다(아래 4단계).
- 트래픽이 정상적으로 통과하는지 확인합니다 — 이 Security Group을 거쳐야 하는 연결을 실제로 시도해 봅니다.
- 필요하면 특수 설정을 합니다(아래 5단계). 그 밖에 High Availability, Security Group 관리, 시스템 최적화, Monitor Mode·Bridge Mode 배포 등이 이어집니다.
1단계 — Orchestrator에서 Security Group 구성
이 단계는 Orchestrator에서 Gaia Portal 또는 Gaia Clish 로 수행합니다. 작업 흐름을 표로 정리하면 다음과 같습니다.
| 단계 | 할 일 |
|---|---|
| 1 | 새 Security Group을 만듭니다. (Orchestrator는 하나에서만 설정하면 서로 자동 동기화됩니다. First Time Wizard 설정까지 같이 해 두는 것을 권장합니다.) |
| 2 | 적절한 Security Appliance를 Security Group에 할당합니다. |
| 3 | 적절한 Orchestrator 포트(Uplink 포트, Management 인터페이스)를 할당합니다. |
| 4 | 구성을 검증하고 적용합니다. |
| 5 | Security Group을 만들 때 First Time Wizard 설정을 하지 않았다면, Security Group에서 Gaia First Time Configuration Wizard를 실행합니다. |
5단계에서 마법사를 직접 실행할 때는 웹 브라우저로 Security Group의 Gaia Portal에 접속합니다.
https://<IP Address of Security Group>구성 옵션 요약 (Gaia Portal vs Gaia Clish)
어떤 작업을 어느 쪽에서 할 수 있는지 한눈에 보여 주는 표입니다. N/A는 그 방법으로는 지원되지 않는다는 뜻입니다.
| 구성 작업 | Gaia Portal | Gaia Clish |
|---|---|---|
| Maestro 사이트 수(Single/Dual) 설정 | N/A | 지원 |
| 설정된 사이트 수 보기 | Orchestrator 페이지에서 보기 | 지원 |
| Dual Site의 Site ID 설정/보기 | N/A | 지원 |
| 사이트당 Orchestrator 수 설정/보기 | N/A | 지원 |
| 새 Security Group 만들기 | 지원 | 지원 |
| Security Group 삭제 | 지원 | 지원 |
| Network Configuration 추가/제거 | 지원 | 지원 |
| First Time Wizard 설정 추가/제거 | 지원 | 지원 |
| 어플라이언스 할당 | 지원 | 지원(한 번에 하나) |
| 어플라이언스 하나 제거 | 지원 | 지원 |
| 어플라이언스 전체 제거 | 지원 | N/A |
| 어플라이언스를 다른 Security Group으로 이동 | 지원 | N/A |
| 인터페이스 할당/하나 제거 | 지원 | 지원 |
| 인터페이스 전체 제거 | 지원 | N/A |
| 인터페이스를 다른 Security Group으로 이동 | 지원 | N/A |
| Uplink 포트에 VLAN 인터페이스 추가 | N/A | 지원 |
| Uplink 포트의 VLAN 인터페이스 보기 | 지원(툴팁) | 지원 |
| 구성 변경 검증 | 자동 | 지원 |
| 구성 변경 적용 | 좌하단 Apply | 지원 |
| 적용 안 한 변경 삭제 | 좌하단 Refresh | 지원 |
| 포트 설정 구성/보기 | N/A | 지원 |
| Security Group 설정 보기 | 지원 | 지원 |
Gaia Portal로 구성하기
먼저 Orchestrator의 Gaia Portal에 들어갑니다.
- 웹 브라우저로 Orchestrator의 Gaia Portal에 접속합니다.
https://<IP Address of Orchestrator's MGMT Port>
- 기본 자격 증명으로 로그인합니다 — 사용자 이름
admin, 암호admin. > Best Practice — 기본 암호는 가능한 한 빨리 바꾸세요(R82 Gaia Administration Guide의 User Management > Change My Password). - 왼쪽 트리의 Orchestrator Management 에서 Security Groups 페이지를 클릭합니다.
이 페이지의 Topology 영역은 왼쪽부터 다음 세 부분으로 나뉩니다.
| 항목 | 설명 |
|---|---|
| Unassigned Gateways | 아직 어떤 Security Group에도 속하지 않은, 감지된 모든 Security Appliance. Orchestrator가 포트를 청취하다가 연결된 어플라이언스를 자동으로 찾아냅니다. |
| Topology | 구성된 Security Group들과, 각 그룹에 할당된 어플라이언스·포트. |
| Unassigned Interfaces | 아직 어떤 Security Group에도 속하지 않은 Orchestrator의 모든 인터페이스. |
화면을 다룰 때 알아 둘 점들입니다.
- Apply 버튼을 눌러야 Security Group 변경이 저장됩니다.
- Refresh 버튼은 최신 구성을 다시 불러옵니다(예: 이중화로 두 대의 Orchestrator를 쓰는데 다른 Orchestrator에서 구성이 바뀐 경우).
- 어플라이언스·포트 객체는 드래그 앤 드롭 으로 옮깁니다.
- 어플라이언스 객체에 마우스를 올리면 툴팁에 그 그룹 내 Appliance ID, Serial Number, 대응 Downlink 포트가 표시됩니다.
새 Security Group 만들기
| 단계 | 할 일 |
|---|---|
| 1 | Topology 열에서 Security Groups 왼쪽의 [+] 를 클릭합니다. |
| 2 | Security Groups 를 우클릭하고 New Security Group 을 선택합니다. |
| 3 | 필요한 Management 인터페이스 설정을 입력합니다. (First Time Wizard 설정도 함께 하기를 권장합니다.) |
| 4 | OK 를 클릭합니다. |
| 5 | Security Groups 와 새 Security Group 왼쪽의 [+] 를 클릭합니다. |
| 6 | Unassigned Gateways 열에서 적절한 어플라이언스를 선택합니다. (최소 하나는 반드시 할당 해야 합니다.) |
| 7 | 선택한 어플라이언스를 새 그룹의 Gateways 영역으로 드래그 앤 드롭합니다. |
| 8 | Unassigned Interfaces 열에서 데이터·관리 인터페이스를 선택합니다. |
| 9 | 선택한 인터페이스를 새 그룹의 Interfaces 영역으로 드래그 앤 드롭합니다. |
| 10 | 좌하단 Apply 를 클릭합니다. |
새 Security Group은 자동으로 Security Group N 이라는 이름을 받습니다. N은 1부터 시작해 비어 있는 가장 작은 번호 가 붙습니다(예: 1·3이 있으면 새 그룹은 2). 모든 Security Group은 Gateways(할당한 게이트웨이)와 Interfaces(할당한 Orchestrator 인터페이스) 두 영역으로 이루어지며, 올바른 인터페이스를 할당했는지 반드시 확인 해야 합니다.
Security Group 삭제
| 단계 | 할 일 |
|---|---|
| 1 | Topology 열에서 Security Groups 의 [+] 를 클릭합니다. |
| 2 | 대상 Security Group을 우클릭합니다. |
| 3 | 메뉴에서 Delete Security Group 을 클릭합니다. |
| 4 | 좌하단 Apply 를 클릭합니다. |
네트워크 설정과 First Time Wizard 설정 추가
Security Group을 우클릭하고 Set Security Group configuration 을 선택한 뒤, 두 영역을 채웁니다.
Network settings 영역 — 이 그룹의 모든 어플라이언스가 공유할 관리 IP 정보입니다. SmartConsole에서 대응하는 게이트웨이 객체를 만들 때도 같은 값을 씁니다.
- IPv4 address — Security Group의 IPv4 주소.
- Subnet mask — 해당 서브넷 마스크.
- Default Gateway — 기본 게이트웨이 IPv4 주소.
First Time Wizard settings 영역 — 이 그룹에 할당된 어플라이언스의 초기 설정입니다.
- Set FTW configuration 을 선택합니다.
- Host Name — 호스트 이름.
- Configure Admin Password 를 선택하고 Admin Password(Expert mode 암호)와 확인 암호를 입력합니다.
- SIC Password — 4~127자 의 일회용 활성화 키. SmartConsole에서 게이트웨이 객체를 만들 때 이 키를 씁니다.
- Confirm SIC Password — 같은 키를 다시 입력합니다.
- Install as VSX — 이 그룹의 모든 어플라이언스를 VSX Gateway로 동작시켜야 할 때만 선택합니다.
마지막으로 OK → 좌하단 Apply 입니다.
네트워크·First Time Wizard 설정 제거
Security Group을 우클릭하고 Clear network configuration 을 클릭한 뒤 Apply 합니다. 확인 창은 없습니다.
사용 가능한 어플라이언스 할당
| 단계 | 할 일 |
|---|---|
| 1 | Topology 열에서 Security Groups 의 [+] 를 클릭합니다. |
| 2 | 대상 Security Group의 [+] 를 클릭합니다. |
| 3 | Unassigned Gateways 열에서 어플라이언스를 선택합니다. |
| 4 | Gateways 영역으로 드래그 앤 드롭합니다. |
| 5 | 좌하단 Apply 를 클릭합니다. |
앞의 중요·Best Practice for Dual Site 주의(지원 모델만, 다른 모델 추가 전 SMO Image Cloning 끄기, 적용 후 자동 재부팅, 사이트별 균등 할당)는 여기에도 그대로 적용됩니다.
어플라이언스 하나 제거
| 단계 | 할 일 |
|---|---|
| 1~3 | Security Groups → 대상 그룹 → Gateways 영역 순으로 [+] 를 펼칩니다. |
| 4 | 제거할 어플라이언스를 선택합니다. |
| 5 | 우클릭합니다. |
| 6 | 메뉴에서 Detach Gateway 를 클릭합니다(확인 창 없음). |
| 7 | 좌하단 Apply 를 클릭합니다. |
어플라이언스 전체 제거
대상 그룹의 Gateways 영역을 선택해 우클릭하고 Detach all Gateways 를 클릭한 뒤 Apply 합니다. 제거된 어플라이언스들은 마찬가지로 공장 초기화 후 재부팅합니다.
어플라이언스를 다른 Security Group으로 이동
(이동 전에도 위와 같은 SMO Image Cloning Best Practice가 적용됩니다.) 원본 그룹과 대상 그룹을 모두 [+] 로 펼친 뒤, 원본 그룹의 Gateways 영역에서 어플라이언스를 선택해 대상 그룹의 Gateways 영역으로 드래그 앤 드롭하고 Apply 합니다. 옮겨진 어플라이언스는 공장 초기화 후 재부팅합니다. 이 옵션도 Gaia Portal 전용입니다.
인터페이스 할당·제거·이동
- 인터페이스 할당 — 대상 그룹을 펼치고, Unassigned Interfaces 열에서 인터페이스를 선택해 그룹의 Interfaces 영역으로 드래그 앤 드롭한 뒤 Apply.
- 인터페이스 하나 제거 — 그룹의 Interfaces 영역을 펼치고, 인터페이스를 우클릭해 Detach Interface → Apply(확인 창 없음).
- 인터페이스 전체 제거 — Interfaces 영역을 우클릭해 Detach Security Group Interfaces → Apply(확인 창 없음, Gaia Portal 전용).
- 인터페이스를 다른 그룹으로 이동 — 원본·대상 그룹을 펼치고, 원본의 Interfaces 영역에서 인터페이스를 선택해 대상의 Interfaces 영역으로 드래그 앤 드롭한 뒤 Apply(Gaia Portal 전용).
Uplink 포트의 VLAN 인터페이스 보기
Orchestrator 페이지에서 Security Groups → 내 그룹 → Interfaces 를 펼친 뒤, 인터페이스에 마우스를 올리면 툴팁에 VLAN 정보가 나타납니다.
Gaia Clish로 구성하기
Orchestrator의 명령줄에 SSH나 콘솔로 붙어 admin/admin으로 로그인한 뒤(기본 암호는 곧 바꾸세요), maestro 명령군을 씁니다.
| 작업 | 명령 |
|---|---|
| 설정 보기 | show maestro |
| 설정 추가 | add maestro |
| 설정 변경 | set maestro |
| 설정 삭제 | delete maestro |
각 명령 뒤에서 Esc 키를 두 번 누르면 사용 가능한 하위 명령을 모두 볼 수 있습니다.
Maestro 사이트 수 설정·보기
Single Site는 값 1, Dual Site는 값 2 입니다.
set maestro configuration orchestrator-site-amount {1 | 2}
show maestro configuration orchestrator-site-amountMHO> show maestro configuration orchestrator-site-amount
Number of configured Orchestrators Sites in this Maestro
deployment is 2.사이트당 Orchestrator 수 설정·보기
set maestro configuration orchestrator-amount {1 | 2}
show maestro configuration orchestrator-amountDual Site의 Site ID 설정·보기
먼저 설치된 사이트의 Orchestrator는 ID 1, 나중에 설치된 사이트는 ID 2 를 받아야 합니다.
set maestro configuration orchestrator-site-id {1 | 2}
show maestro configuration orchestrator-site-idDual Site의 Base Site Sync VLAN ID 설정·보기
같은 사이트의 Orchestrator들은 이 Base Site Sync VLAN ID 를 이용해 내부 동기화에 쓸 VLAN ID를 계산합니다.
계산 공식은 다음과 같습니다.
# 같은 사이트의 첫 번째 Orchestrator (ID 1_1, 2_1)
<Site Sync VLAN ID> = <Base Site Sync VLAN ID> + 0
# 같은 사이트의 두 번째 Orchestrator (ID 1_2, 2_2)
<Site Sync VLAN ID> = <Base Site Sync VLAN ID> + 1기본값 3600을 기준으로 한 계산 예:
| Site ID | Orchestrator 1_1 / 2_1의 Sync VLAN ID | Orchestrator 1_2 / 2_2의 Sync VLAN ID |
|---|---|---|
| Site #1 | 3600 | 3601 |
| Site #2 | 3600 | 3601 |
set maestro configuration orchestrator-site-vlan <Number>
show maestro configuration orchestrator-site-vlan새 Security Group 만들기 (Clish)
지정한 ID로 Security Group을 추가합니다.
add maestro security-group id <Security Group ID>| 파라미터 | 설명 |
|---|---|
id <Security Group ID> | Security Group ID. Tab 키를 누르면 기존 ID와 사용 가능한 ID 가 보입니다. 표시된 가장 큰 번호가 다음에 쓸 수 있는 ID입니다. |
MHO> add maestro security-group id
1 2 3
MHO> add maestro security-group id 3
Successfully added security group 3Security Group 삭제 (Clish)
delete maestro security-group id <Security Group ID>확인 창은 없습니다. Tab 키로 기존 ID를 볼 수 있습니다.
MHO> delete maestro security-group id 3
Successfully deleted security group 3네트워크 설정 추가·제거 (Clish)
set maestro security-group id <Security Group ID> management-connectivity ipv4-address <Security Group IPv4 Address> mask-length <1-32> [default-gw <Default Gateway IPv4 Address>]| 파라미터 | 설명 |
|---|---|
id <Security Group ID> | Security Group ID(Tab으로 기존 ID 보기). |
<Security Group IPv4 Address> | Security Group의 IPv4 주소. |
mask-length <1-32> | 서브넷 마스크 길이. |
<Default Gateway IPv4 Address> | (선택) 기본 게이트웨이 IPv4 주소. |
MHO> set maestro security-group id 3 management-connectivity ipv4-address 192.168.30.40 mask-length 24 default-gw 192.168.30.1
Successfully set management connectivity configuration for security group 3제거는 다음과 같습니다(확인 창 없음).
delete maestro security-group id <Security Group ID> management-connectivityFirst Time Wizard 설정 추가·제거 (Clish)
이 설정은 그룹에 할당된 어플라이언스의 초기 구성에 쓰입니다.
set maestro security-group id <Security Group ID> ftw-configuration hostname <Hostname> sic <SIC Password> admin-password <Admin Password> is-vsx {yes | no}| 파라미터 | 설명 | |
|---|---|---|
id <Security Group ID> | Security Group ID. | |
ftw-configuration | 어플라이언스의 First Time Wizard 설정을 지정합니다. | |
hostname <Hostname> | 어플라이언스의 호스트 이름. | |
sic <SIC Password> | 4~127자 의 일회용 활성화 키. SmartConsole에서 게이트웨이 객체 생성 시 사용. | |
admin-password <Admin Password> | Security Group의 Expert mode 암호. | |
| `is-vsx {yes \ | no}` | 어플라이언스를 VSX 모드로 구성할지 여부. |
MHO> set maestro security-group id 3 ftw-configuration hostname MyGwAppliance sic 123456 admin-password P@sswo4d is-vsx no
Successfully set FTW configuration to security group 3제거(확인 창 없음):
delete maestro security-group id <Security Group ID> ftw-configuration어플라이언스 하나 할당 (Clish)
(앞에서 설명한 SMO Image Cloning Best Practice가 동일하게 적용됩니다.) 지정한 Serial Number의 어플라이언스를 지정한 ID의 그룹에 할당합니다.
add maestro security-group id <Security Group ID> serial <Serial Number>| 파라미터 | 설명 |
|---|---|
id <Security Group ID> | Security Group ID(Tab으로 보기). |
serial <Serial Number> | 할당할 어플라이언스의 Serial Number(Tab으로 사용 가능한 번호 보기). |
MHO> add maestro security-group id 3 serial 1234567890
Successfully added gw 1234567890 to security group 7어플라이언스 하나 제거 (Clish)
Member ID 또는 Serial Number로 제거합니다. 제거된 어플라이언스는 공장 초기화 후 재부팅 하며, 확인 창은 없습니다.
delete maestro security-group id <Security Group ID> member <Member ID>
delete maestro security-group id <Security Group ID> serial <Serial Number>| 파라미터 | 설명 |
|---|---|
id <Security Group ID> | Security Group ID. |
member <Member ID> | 그룹 내 Member ID로 지정(Tab으로 보기). |
serial <Serial Number> | Serial Number로 지정(Tab으로 보기). |
MHO> delete maestro security-group id 3 member 4
Successfully deleted member 4 from security group 3인터페이스 하나 할당·제거 (Clish)
add maestro security-group id <Security Group ID> interface <Interface Name>
delete maestro security-group id <Security Group ID> interface <Interface Name>| 파라미터 | 설명 |
|---|---|
id <Security Group ID> | Security Group ID. |
interface <Interface Name> | 인터페이스 이름. Tab을 누르면 eth1-Mgmt2, eth1-10, eth2-05 처럼 사용 가능한 인터페이스가 나열됩니다. |
MHO> add maestro security-group id 3 interface eth1-17
Successfully added interface eth1-17 to security group 3Uplink 포트의 VLAN 인터페이스 보기 (Clish)
show maestro security-group id <Security Group ID>이 명령은 Uplink 포트에 구성된 VLAN 인터페이스를 포함해 Security Group 구성을 보여 줍니다.
구성 변경 검증
아직 적용하지 않은 모든 변경을 보여 주고 유효성을 검사합니다.
show maestro security-group verify-new-config변경이 없으면 "Temporary topology file not exists"가, 변경이 있으면 그룹별로 어떤 변경이 일어날지가 표시됩니다.
MHO> show maestro security-group verify-new-config
The following changes will take place:
Security Group 1
- No changes
Security Group 2
- Removed Gateway 1_2 serial 1234567890. GW is rebooting.
Security Group 3
- Security group created
- Added Gateway 1_1 serial 1234567890
- Added interface eth1-Mgmt4구성 변경 적용
아직 적용하지 않은 변경을 모두 적용합니다.
set maestro security-group apply-new-config이 명령은 변경 요약을 보여 준 뒤 확인을 묻고, 감사(auditing)를 위해 전체 이름과 사유 를 입력하게 합니다.
MHO> set maestro security-group apply-new-config
You are about to perform "set maestro security-group apply-new-config"
...
Are you sure? (Y - yes, any other key - no) y
"set maestro security-group apply-new-config" requires auditing
Enter your full name: johndoe
Enter reason for "set maestro security-group apply-new-config" [Configuration]: test
CRITICAL: "set maestro security-group apply-new-config", User: johndoe, Reason: test
Are you sure? (Y - yes, any other key - no) y적용 안 한 변경 삭제
delete maestro security-group new-config확인 창은 없습니다.
MHO> delete maestro security-group new-config
Successfully deleted new topology configurationOrchestrator 포트 설정
Orchestrator의 포트는 관리 상태, MTU, QSFP 모드, 포트 유형을 명령으로 조정할 수 있습니다.
set maestro port <Port ID>
admin-state {up | down}
mtu 68-10236
qsfp-mode {1G | 10G | 4x10G | 4x25G | 25G | 40G | 100G}
type {downlink | uplink | management | site_sync | ssm_sync} [no-confirmation]Port ID 형식 — 슬래시로 구분한 세 숫자 <Orchestrator ID>/<Port Label>/<Port Split ID> 입니다(예: 1/3/1, 2/20/1).
<Orchestrator ID>— Orchestrator 한 대면 1, 이중화로 두 대면 첫 번째가 1, 두 번째가 2.<Port Label>— 전면 패널의 물리 포트 번호. MHO-140은 51·53·55·56 포트에 예외가 있습니다.<Port Split ID>— 브레이크아웃 케이블로 포트를 분할하지 않았으면 기본값 1.
사용 가능한 Port ID는 set maestro port 입력 후 Tab으로 볼 수 있고, Port ID와 Gaia OS가 붙인 이름의 대응은 Gaia Portal의 Orchestrator 페이지에서 확인합니다(기본 매핑은 Quantum Maestro Getting Started Guide의 Orchestrator Ports and Gaia OS Interfaces 절 참고).
각 파라미터의 뜻은 다음과 같습니다.
| 파라미터 | 설명 | |
|---|---|---|
| `admin-state {up \ | down}` | 포트 관리 상태. up(활성)·down(비활성). |
mtu | 포트 MTU. 유효 범위 68~10236바이트, 기본 10236바이트. | |
qsfp-mode | QSFP 모드(아래 표 참고). | |
type | 포트 유형(아래 표 참고). | |
no-confirmation | (선택) 지정하면 확인·감사 정보를 묻지 않습니다. |
QSFP 모드(qsfp-mode) 값:
| 값 | 의미 |
|---|---|
1G | 1 GbE 속도(10 GbE 포트만 지원). |
10G | 10 GbE 속도. |
4x10G | 40 GbE 포트를 각 10 GbE인 4개로 분할. |
4x25G | 100 GbE 포트를 각 25 GbE인 4개로 분할. |
25G / 40G / 100G | 각각 25 / 40 / 100 GbE 속도. |
포트 유형(type) 값:
| 값 | 연결 대상 |
|---|---|
downlink | Check Point Security Appliance. |
uplink | 외부·내부 운영 네트워크. |
management | 해당 Security Group을 관리하는 Management Server. |
site_sync | Dual Site의 외부 동기화 — 서로 다른 사이트의 피어 Orchestrator 사이. |
ssm_sync | Dual Site의 내부 동기화 — 같은 사이트의 피어 Orchestrator 사이. |
type 변경은 감사를 요구하므로 전체 이름과 사유를 입력해야 합니다. no-confirmation 을 붙이면 확인 질문은 생략되지만 감사 정보는 여전히 입력해야 합니다.
MHO> set maestro port 1/20/1 admin-state down
...
Successfully set port 20 admin-state to down
MHO> set maestro port 1/20/1 mtu 10236
MHO> set maestro port 1/20/1 qsfp-mode 10G
MHO> set maestro port 1/20/1 type uplinkOrchestrator 포트 설정 보기
show maestro port <Port ID>
admin-state
mtu
optic-info
qsfp-mode
type
vlans| 파라미터 | 설명 |
|---|---|
admin-state | 포트 관리 상태(up/down). |
mtu | 포트 MTU. |
optic-info | QSFP 트랜시버 정보. |
qsfp-mode | QSFP 모드(위 표와 동일). |
type | 포트 유형(위 표와 동일). |
vlans | 이 포트에 구성된 VLAN ID들. |
MHO> show maestro port 1/27/1 admin-state
Port 1/27/1 admin-state is up
MHO> show maestro port 1/27/1 mtu
Port 27 mtu is 10236
MHO> show maestro port 1/27/1 optic-info
Port:27
Vendor Name:Gigalight
...
Check Point SKU:CPAC-DAC-10G-1M-B
Product Type:10GBASE-CU-1M
Speed:10G
MHO> show maestro port 1/27/1 type
Port 1/27/1 type is downlink
MHO> show maestro port 1/20/1 vlans
Port 1/20/1 vlans are: 100 200Security Group 설정 보기
show maestro security-group id <Security Group ID>MHO> show maestro security-group id 1
name: 1
- uplinks:
- eth1-05:
- physical: Port 1/5/1
- eth1-Mgmt1:
- physical: Port 1/1/1
- mgmt_ip: 192.168.19.52
- sic_pass: 12345
- hostname: MyGW1
- default_gw: 192.168.19.1
- is_vsx: false
- gateways:
- 1:
- serial: 2222222222
- model: Check Point16000
...
- mgmt_netmask: 242단계 — Security Group의 Gaia 설정 구성
이제 Security Group 자체의 Gaia 운영체제 설정을 잡습니다. 역시 Gaia Portal 또는 Gaia gClish로 합니다.
Gaia Portal에서
| 단계 | 할 일 |
|---|---|
| 1 | 웹 브라우저로 Security Group의 Gaia Portal(https://<IP Address of Security Group>)에 접속합니다. |
| 2 | 기본 자격 증명 admin/admin으로 로그인합니다. |
| 3 | 기본 Gaia 암호를 바꿉니다 — 왼쪽 트리 User Management > Users 에서 admin 사용자를 선택하고 Reset Password. |
| 4 | Network Management > Network Interfaces 로 이동합니다. |
| 5 | Uplink 포트에 필요한 설정(예: Bond·VLAN 인터페이스)과 IP 주소를 구성합니다. |
| 6 | Time Zone, DNS 서버, Proxy 서버, Static Route 등 다른 Gaia 설정을 구성합니다. |
Gaia gClish에서
| 단계 | 할 일 |
|---|---|
| 1 | SSH로 Security Group의 IP에 접속합니다. 로그인하면 기본적으로 Gaia gClish가 열립니다. |
| 2 | admin/admin으로 로그인합니다. |
| 3 | 기본 암호를 바꿉니다 — set user admin password |
| 4 | Uplink 포트의 설정(Bond·VLAN 등)과 IP 주소를 구성합니다. |
| 5 | Time Zone, DNS, Proxy, Static Route 등 다른 Gaia 설정을 구성합니다. |
특정 멤버에만 접속하려면 Security Group 관리의 멤버 접속 절차를 참고하세요. 1번 접속은 Orchestrator의 Management 인터페이스를 거치며, VSX 모드에서는 IP를 SmartConsole에서만 구성합니다.
3단계 — SmartConsole에서 Security Group 구성
여기서는 Security Group을 관리 서버 쪽 객체로 만들고 정책을 설치합니다. Gateway 모드면 Security Gateway 객체를, VSX 모드면 VSX Gateway 객체를 만듭니다.
Security Gateway 객체와 정책 (Gateway 모드)
객체 만들기 — Wizard Mode
| 단계 | 할 일 |
|---|---|
| 1 | 이 Security Group을 관리할 관리 서버에 SmartConsole로 접속합니다. |
| 2 | 왼쪽 패널에서 Gateways & Servers 를 클릭합니다. |
| 3 | 새 Security Gateway 객체를 만듭니다(상단 New > Gateway 등). |
| 4 | Check Point Security Gateway Creation 창에서 Wizard Mode 를 클릭합니다. |
| 5 | General Properties 에서 이름을 입력하고, Gateway platform 에 Maestro, Gateway IP address 에 Orchestrator에서 Security Group에 설정한 것과 같은 IPv4 주소 를 입력합니다. |
| 6 | Trusted Communication 에서 Initiate trusted communication now 를 선택하고, First Time Wizard에 넣은 것과 같은 Activation Key 를 입력합니다. |
| 7 | End 페이지에서 요약을 확인하고 Edit Gateway properties 를 선택한 뒤 Finish. |
| 8 | Network Security 탭에서 원하는 Software Blade를 켭니다. |
| 9 | OK. |
| 10 | SmartConsole 세션을 Publish 합니다. |
객체 만들기 — Classic Mode
| 단계 | 할 일 |
|---|---|
| 1~3 | 관리 서버에 접속해 Gateways & Servers 에서 새 게이트웨이를 만듭니다. |
| 4 | 생성 창에서 Classic Mode 를 클릭합니다. |
| 5 | Name 에 이름을 입력합니다. |
| 6 | IPv4 address(필요 시 IPv6)에 Orchestrator에서 설정한 것과 같은 주소를 입력합니다. |
| 7 | SIC 를 설정합니다 — Communication 클릭 → Platform 에 Open server / Appliance → Activation Key 에 First Time Wizard와 같은 키 → Initialize → OK. |
| 8 | Platform 에서 Hardware 를 Maestro, Version 을 R80.20SP, OS 를 Gaia 로 선택합니다. |
| 9 | Network Security 탭에서 원하는 Software Blade를 켭니다(Management 탭은 손대지 않음). |
| 10~11 | OK 후 세션을 Publish 합니다. |
Security Policy 구성·설치
- 관리 서버에 SmartConsole로 접속해 Security Policies 로 이동합니다.
- 새 정책을 만들고 적절한 Layer를 구성합니다(상단
+탭 또는CTRL T→ Manage policies and layers). - 적절한 Access Control Policy 와 Threat Prevention Policy 를 만들고 세션을 Publish 합니다.
- 정책을 설치합니다 — Install Policy → 정책 선택 → Access Control Policy 만 골라 Install, 이어서 같은 방식으로 Threat Prevention Policy 만 골라 Install.
VSX Gateway 객체와 정책 (VSX 모드)
VSX Gateway 객체 만들기
| 단계 | 할 일 |
|---|---|
| 1~3 | 관리 서버(또는 Main Domain Management Server)에 접속해 Gateways & Servers 에서 New > VSX > Gateway 로 마법사를 엽니다. |
| 4 | General Properties — VSX Gateway 이름과, First Time Configuration Wizard의 Management Connection에서 설정한 것과 같은 IPv4·IPv6 주소를 입력하고, 버전은 R80.20SP 를 선택합니다. |
| 5 | Virtual Systems Creation Templates — 적절한 템플릿을 선택합니다. |
| 6 | Secure Internal Communication — First Time Wizard와 같은 Activation Key 를 입력하고 확인란에 다시 입력한 뒤 Initialize. |
| 7 | Physical Interfaces Usage — 이 그룹에 할당한 모든 Uplink 포트가 보이는지 확인합니다. 한 Uplink 포트에 둘 이상의 Virtual System을 직접 연결할 계획이면 그 포트에 VLAN Trunk 를 선택합니다. |
| 8 | Virtual Network Device Configuration — 첫 Virtual System을 지금 만들 수도 있으나, 나중에 만드는 것을 권장 합니다. |
| 9 | VSX Gateway Management — 기본 접근 규칙을 확인·선택하고, 필요하면 source 객체를 구성합니다. |
| 10 | Creation Finalization — Finish 후 작업 완료를 기다리고 Close. |
이어서 객체를 열어 Network Security 탭에서 VS0용 Software Blade를 켜고(sk79700·sk106496 참고), OK 로 VSX 구성을 푸시한 뒤 정책을 설치합니다. 기본 정책 이름은 <VSX Gateway 객체 이름>_VSX 입니다. 각 단계 사이사이에 Security Group 명령줄의 Expert mode에서 다음으로 구성을 확인합니다.
vsx stat -vVirtual System과 정책 구성
| 단계 | 할 일 |
|---|---|
| 1 | 관리 서버 또는 각 Virtual System을 관리할 Target Domain Management Server에 접속합니다. |
| 2 | 이 Security Group에 원하는 Virtual System들을 구성합니다. |
| 3~4 | 각 Virtual System용 Access Control / Threat Prevention Policy를 만듭니다. |
| 5 | 세션을 Publish 합니다. |
| 6~8 | 각 Virtual System에 정책을 설치합니다(Access Control만, Threat Prevention만 따로). |
| 9 | Expert mode에서 vsx stat -v 로 구성을 확인합니다. |
자세한 내용은 VSX 가이드와 R82 Security Management Administration Guide를 참고하세요.
4단계 — 라이선스 설치
Orchestrator 자체는 라이선스가 필요 없습니다. 대신 Orchestrator에 연결한 각 Security Appliance마다 Security Gateway 라이선스 를 생성해야 합니다.
라이선스 생성 정보 모으기
모든 어플라이언스에 대해 다음 요약 표를 준비합니다.
| 항목 | 설명 |
|---|---|
| Sync 인터페이스의 IPv4 주소 | 라이선스 IP 주소로 사용 |
| Mgmt 인터페이스의 MAC 주소 | 라이선스 CK로 사용 |
각 어플라이언스에서 Expert mode로 접속해 값을 얻습니다.
ifconfig Sync | head -n 2 # "inet addr" 값 = 라이선스를 생성할 IPv4 주소
ifconfig Mgmt | grep Mgmt # "HWaddr" 값 = 라이선스 CK라이선스 생성은 sk163323을 따릅니다. 적절한 라이선스가 관리 서버의 License Repository에 있으면 자동으로 설치되며, 관리 서버가 인터넷에 연결돼 있으면 User Center에서 라이선스를 끌어옵니다. 인터넷이 없으면 아래 수동 절차를 따릅니다.
Part 1 — SMO로 동작하는 멤버에 설치
여기서 SMO(Single Management Object) 는 Security Group을 대표하는 멤버입니다.
| 단계 | 할 일 |
|---|---|
| A~B | Security Group 명령줄에 접속해 Expert mode로 로그인합니다. |
| C | SMO의 Sync 인터페이스 IP를 얻습니다 — asg_blade_config get_smo_ip |
| D | SMO의 IPv4 주소(192.0.2.X)에 라이선스를 설치합니다 — cplic put <applicable string> |
| E | 설치 확인 — g_cplic print |
Part 2 — SMO가 아닌 특정 멤버에 설치
| 단계 | 할 일 | |
|---|---|---|
| A~B | Security Group 또는 Orchestrator의 Gaia에 접속해 Expert mode로 로그인합니다. | |
| C | 특정 어플라이언스에 접속합니다 — member <Security Group ID> <Member ID> | |
| D | Sync 인터페이스 IPv4 주소를 얻습니다 — `ifconfig Sync | head -n 2` |
| E | 이 어플라이언스의 Sync IP(192.0.2.X)에 라이선스를 설치합니다 — cplic put <applicable string> | |
| F | 라이선스 파일을 복사합니다 — cp -v $CPDIR/conf/cp.license /var/log/cp.license.copy | |
| G | 복사본이 원본과 같은지 확인합니다 — md5sum $CPDIR/conf/cp.license /var/log/cp.license.copy | |
| H | 복사본을 SMO로 전송합니다 — asg_cp2blades -b 1_01 /var/log/cp.license.copy | |
| I | 이 멤버의 현재 라이선스 파일 내용을 비웁니다 — echo > $CPDIR/conf/cp.license | |
| J | SMO로 동작하는 멤버에 접속합니다 — member <Security Group ID> <SMO Member ID> | |
| K | 앞서 복사한 라이선스 내용을 SMO의 라이선스 파일에 덧붙입니다 — cat /var/log/cp.license.copy >> $CPDIR/conf/cp.license | |
| L | 최소 6분 기다립니다. | |
| M | 설치 확인 — g_cplic print |
5단계 — 특수 구성 시나리오
여기서는 자주 만나는 특수 상황을 다룹니다 — 서로 다른 어플라이언스 모델의 가중치, Management/Uplink 포트의 Bond 인터페이스, Bond 위 VLAN 인터페이스, Uplink 포트의 VLAN 인터페이스, 공유 Uplink 포트입니다.
Security Group 멤버 가중치 구성
R81.10부터 서로 다른 모델의 어플라이언스를 같은 Security Group에 섞어 할당할 수 있습니다(sk162373). 멤버마다 처리 능력이 다르므로, 모두가 가능한 한 고르게 부하를 받도록 상대 가중치(weight) 를 줄 수 있고, 트래픽은 이 가중치에 따라 분배됩니다.
가중치 계산 — 기본 가중치와 사용자 지정 가중치 공식은 다음과 같습니다.
# 기본 가중치
이 멤버의 CPU 코어 수
------------------------------ x 100%
모든 멤버의 CPU 코어 수 합
# 사용자 지정 가중치
이 멤버의 Local Weight
------------------------------ x 100%
모든 멤버의 Weight 합멤버 M1·M2·M3 세 대일 때, 원하는 분배 비율을 만드는 예입니다.
| 원하는 분배 | 설정 방법 |
|---|---|
| M3 15% / M2 15% / M1 70% | M3에 0~512 중 한 값, M2에 M3와 같은 값, M1에 그 값의 7배 |
| M3 10% / M2 10% / M1 80% | M3·M2에 같은 값, M1에 그 값의 8배 |
| M3 10% / M2 20% / M1 70% | M3에 한 값, M2에 그 2배, M1에 그 7배 |
가중치 설정 — Security Group 명령줄에서 (기본 셸이 Expert mode면 gclish 로 진입) 다음을 실행합니다.
set smo security-group sgm-weight id <SGM IDs> weight {default | 0-512}
set smo security-group sgm-weight apply| 파라미터 | 설명 | |
|---|---|---|
sgm-weight id <SGM IDs> | 대상 멤버. 지정 안 함 또는 all(모든 멤버·사이트), 한 멤버(1_1), 쉼표 목록(1_1,1_4), 범위(1_1-1_4), 한 사이트(chassis1/chassis2), Active 사이트(chassis_active). | |
| `weight {default \ | 0-512}` | 가중치 값. |
가중치 모니터링 — show smo security-group sgm-weight <SGM IDs> 로 봅니다(SGM IDs 표기는 위와 동일).
[Global] HostName-ch01-01> show smo security-group sgm-weight all
SGM weights are:
1_01: 8 (33.33%)
1_02: 16 (66.67%)Management 포트에 Bond 인터페이스 구성
새 Security Group을 처음부터 만드는 경우
| 단계 | 할 일 |
|---|---|
| 1~2 | Orchestrator 한 대에 접속해 새 Security Group을 만들되, Network settings에는 더미(dummy) IP 를 넣고 First Time Wizard 설정은 하지 않습니다. |
| 3 | 사용 가능한 관리 인터페이스 두 개(ethM-MgmtX, ethN-MgmtY)를 그룹에 할당합니다. |
| 4~5 | 어플라이언스와 Uplink 포트를 할당합니다. |
| 6~8 | Member ID 1 어플라이언스에 콘솔로 접속해 Expert mode로 로그인한 뒤 gclish 로 들어갑니다. |
| 9 | 어느 eth#-Mgmt# 인터페이스가 그룹 IP를 가졌는지 확인합니다(예에서는 ethM-MgmtX). |
| 10 | Bonding 그룹을 만듭니다 — add bonding group <Bond ID> mgmt |
| 11 | IP 없는 ethN-MgmtY 를 Bonding 그룹에 추가 — add bonding group <Bond ID> mgmt interface ethN-MgmtY |
| 12 | 실제 IP를 Bonding 그룹에 부여 — set interface magg<Bond ID> ipv4-address <Real IPv4 Address> mask-length <Mask Length> |
| 13 | Bonding 그룹을 새 관리 인터페이스로 지정 — set management interface magg<Bond ID> |
| 14 | ethM-MgmtX 의 더미 IP 삭제 — delete interface ethM-MgmtX ipv4-address |
| 15 | IP 없는 ethM-MgmtX 를 Bonding 그룹에 추가 — add bonding group <Bond ID> mgmt interface ethM-MgmtX |
| 16~18 | Orchestrator에 접속해 설정이 맞는지 확인하고, 그룹의 관리 IP로 접속해 First Time Configuration Wizard를 수동으로 완료합니다. |
기존 Security Group을 수정하는 경우
이미 ethM-MgmtX 가 할당돼 있다고 가정합니다.
| 단계 | 할 일 |
|---|---|
| 1~2 | Orchestrator에서 두 번째 관리 인터페이스 ethN-MgmtY 를 그룹에 할당합니다(Gaia Portal 또는 Clish). |
| 3~5 | Member ID 1 어플라이언스에 콘솔 접속 → Expert mode → gclish. |
| 6 | ethM-MgmtX 의 IP를 더미 IP로 바꿉니다 — set interface ethM-MgmtX ipv4-address <Dummy IPv4 Address> mask-length <Mask Length> |
| 7 | Bonding 그룹 생성 — add bonding group <Bond ID> mgmt |
| 8 | ethN-MgmtY 추가 — add bonding group <Bond ID> mgmt interface ethN-MgmtY |
| 9 | 실제 IP 부여 — set interface magg<Bond ID> ipv4-address <Real IPv4 Address> mask-length <Mask Length> |
| 10 | 관리 인터페이스로 지정 — set management interface magg<Bond ID> |
| 11 | 더미 IP 삭제 — delete interface ethM-MgmtX ipv4-address |
| 12 | ethM-MgmtX 추가 — add bonding group <Bond ID> mgmt interface ethM-MgmtX |
| 13~14 | Orchestrator에 접속해 설정을 확인합니다. |
| 15 | SmartConsole에서 게이트웨이 객체를 열어 Network Management > Get Interfaces > Get Interfaces With Topology 로 토폴로지를 가져와 적용하고, Access Control Policy를 설치합니다. |
Uplink 포트에 Bond 인터페이스 구성
크게 세 단계입니다 — Orchestrator에서 Uplink 포트 할당, Security Group에서 Bond 구성, SmartConsole에서 객체 갱신.
- Uplink 포트 할당 — Orchestrator의 Gaia Portal에서 인터페이스 할당 절차로 할당하고 Apply 하거나, Gaia Clish에서
add maestro security-group ... interface로 할당한 뒤 검증·적용합니다. - Bond 구성 — Security Group의 Gaia Portal 또는 (Expert mode →
gclish) gClish에서 Uplink 포트 위에 Bond 인터페이스를 만듭니다. Gateway 모드에서만 이 Bond에 IP를 부여 합니다. > 중요 — VSX 모드에서는 IP를 SmartConsole의 VSX Gateway 또는 Virtual System 객체에서 부여해야 합니다. - SmartConsole 객체 갱신
- 이미 Security Gateway 객체 가 있으면 — 객체를 열고 Network Management > Get Interfaces > Get Interfaces Without Topology → OK → Access Control Policy 설치.
- 이미 VSX Gateway 객체 가 있으면 — 객체를 열고 Physical Interfaces > Add 로 새 인터페이스를 추가합니다(Gaia 설정과 같은 이름, 대소문자까지 동일하게). 이후 정책을 설치하고, 해당 Virtual System에 Bond 인터페이스를 구성한 뒤 정책을 설치합니다.
Bond 위에 VLAN 인터페이스 구성 (Uplink)
Uplink 포트 위 Bond 인터페이스 위에 다시 VLAN 인터페이스를 얹는 구성입니다. 흐름은 위와 비슷하되, Orchestrator에서 VLAN 태그를 먼저 추가하는 점이 다릅니다.
- VLAN 태그 추가 + Uplink 포트 할당 — Orchestrator의 Gaia Portal 또는 Gaia Clish에서 해당 Uplink 포트에 VLAN 태그를 추가하고, 그 포트를 Security Group에 할당한 뒤 검증·적용합니다.
- Bond + VLAN 구성 — Security Group의 Gaia Portal 또는 gClish에서 Uplink 포트 위에 Bond를 만들고, Orchestrator에서 추가한 것과 같은 VLAN 인터페이스를 Bond 위에 추가합니다. Gateway 모드에서만 이 VLAN 인터페이스에 IP를 부여합니다(VSX 모드는 SmartConsole에서).
- SmartConsole 객체 갱신 — Security Gateway 객체면 Get Interfaces Without Topology 로 가져옵니다. VSX Gateway 객체면 Physical Interfaces > Add 로 새 Bond를 추가하고(같은 이름), VLAN Trunk 열을 체크한 뒤 정책을 설치하고, Virtual System에 VLAN 인터페이스를 구성합니다.
예시 (MHO-170 기본 구성 기준)

MHO-170 기본 구성에서 두 네트워크를 각각 다른 Security Group으로 보내는 Bond + VLAN 예시
| 항목 | 설명 |
|---|---|
| 1 | VLAN 10의 Network 1, 네트워킹 장비(3)의 포트에 연결. |
| 2 | VLAN 20의 Network 2, 네트워킹 장비(3)의 포트에 연결. |
| 3 | Network 1·2를 Bond 인터페이스(Link Aggregation)로 Orchestrator(10·12)에 연결하는 라우터/스위치. |
| 4 | Network 1을 Orchestrator(10·12)에 연결하는 Bond. 어플라이언스(26·24)가 속한 Security Group(25)에 이중화된 Uplink 를 제공. |
| 5 | Network 2를 연결하는 Bond. 어플라이언스(23·21)가 속한 Security Group(22)에 이중화된 Uplink 제공. |
| 6 | 첫 Bond(4)의 첫 슬레이브를 첫 Orchestrator(10)의 Uplink 포트 3(eth1-05, VLAN 태그 10)에 연결하는 케이블. |
| 7 | 첫 Bond(4)의 둘째 슬레이브를 Orchestrator(12)의 포트 3(eth2-05, VLAN 태그 10)에 연결. |
| 8 | 둘째 Bond(5)의 첫 슬레이브를 Orchestrator(10)의 포트 9(eth1-17, VLAN 태그 20)에 연결. |
| 9 | 둘째 Bond(5)의 둘째 슬레이브를 Orchestrator(12)의 포트 9(eth2-17, VLAN 태그 20)에 연결. |
| 10·12 | 첫 번째·두 번째 Orchestrator. |
| 11 | 두 Orchestrator의 전용 동기화 포트 32를 잇는 DAC. Security Group 구성 동기화 전용 입니다. |
| 13~20 | Orchestrator의 Downlink 포트와 어플라이언스를 잇는 케이블. |
| 21~23 | Security Group 2에 할당된 어플라이언스. |
| 24~26 | Security Group 1에 할당된 어플라이언스. |
예시 절차를 요약하면, ① Orchestrator에서 eth1-05·eth2-05(포트 1/3/1·2/3/1)에 VLAN 10을, eth1-17·eth2-17(포트 1/9/1·2/9/1)에 VLAN 20을 추가하고 각각을 Security Group 1·2에 할당한 뒤 적용합니다. ② Security Group 1에서 eth1-05·eth2-05 위에 Bond1 을 만들고 그 위에 VLAN 10(bond1.10)을 얹습니다. ③ Security Group 2에서 eth1-17·eth2-17 위에 Bond1 을 만들고 VLAN 20(bond1.20)을 얹습니다. ④ SmartConsole에서 새 인터페이스(bond1.XX)를 게이트웨이 객체에 추가합니다.
Uplink 포트의 VLAN 인터페이스 구성
R81.10부터 Orchestrator의 Uplink 포트 VLAN 인터페이스 구성이 크게 개선되었습니다.
- 지원 VLAN 수 증가 — 각 Uplink 포트에는 제한이 없고, Orchestrator당 총 지원 수는 9000개 입니다.
- Uplink 포트에서 모든 distribution 모드 가 지원됩니다(이전에는 General + Layer 4만, sk165172).
- Uplink 포트가 특정 VLAN만 허용하더라도 각 VLAN 인터페이스에서 모든 distribution 모드를 쓸 수 있습니다.
- 더 이상 Orchestrator에 VLAN 인터페이스를 구성하지 않아도 됩니다.
작업 흐름은 다음과 같습니다.
- 물리 인터페이스(예:
eth1-05)를 Security Group에 할당합니다. - Security Group에서 그 물리 인터페이스 또는 VLAN 인터페이스(예:
eth1-05.100)에 IP를 구성합니다. - SmartConsole에서 게이트웨이 객체를 열어 Network Management > Get Interfaces > Get Interfaces Without Topology > Accept 한 뒤, 각 인터페이스의 토폴로지를 구성하고 Access Control Policy를 설치합니다.
Security Group 인터페이스 구성(VLAN·distribution 모드 등)이 바뀌면, 정책 설치나 gClish 수동 변경 후 Security Group이 그 변경을 Orchestrator로 자동 전송 합니다.
Gaia Portal·Clish에서 VLAN 인터페이스 보기
Gaia Portal에서는 Orchestrator 페이지 → Security Groups → 그룹 → Interfaces 를 펼치고 인터페이스에 마우스를 올리면 툴팁에 VLAN 정보가 나옵니다.
- 예 1 — 포트 1/3/1(
eth1-05)의 툴팁이Port VLANs: Untagged, All이면, Orchestrator가 그 포트에 도착하는 모든 untagged·tagged 패킷 을 Security Group 1로 보냅니다(모든 VLAN을 허용하는 VLAN Trunk와 같음). - 예 2 — 포트 1/20/1(
eth1-20)의 툴팁이Port VLANs: 3-4, 6, 34이면, VLAN 태그 3-4·6·34 패킷만 Security Group 4로 보냅니다.
Gaia Clish에서는 다음으로 봅니다.
show maestro security-group id <Security Group ID>VLAN 4000개 초과 구성
약 4000개를 넘는 VLAN 인터페이스가 필요하면, 물리 인터페이스를 "모든 untagged·tagged 패킷을 전달하는 VLAN Trunk"로 구성 하기를 권장합니다. 그러면 내부 자동 최적화가 일어나 그 인터페이스가 9000개 한도 중 단 1개 로만 계산되므로, 한도에 구애받지 않고 전체 VLAN 범위를 쓸 수 있습니다.
이 최적화가 일어나려면 두 조건이 필요합니다.
- VLAN Trunk 모드가 켜져 있어야 합니다.
- 특정 물리 인터페이스 위 모든 VLAN 인터페이스의 distribution 모드가 같아야 합니다(최적화는 Orchestrator 포트마다 일어나기 때문).
예를 들어 eth1-20 위에 eth1-20.33·.44·.55·.66 이 있을 때 넷 모두 같은 distribution 모드여야 합니다. 만약 eth1-20.55 만 다르면 자동 최적화가 꺼지고, Orchestrator는 태그 33·44·66 패킷만 전달합니다.
VLAN Trunk 모드를 켜는 절차입니다.
| 단계 | 할 일 |
|---|---|
| 1~2 | Orchestrator 한 대의 명령줄에 접속해 Gaia Clish로 로그인합니다. |
| 3 | VLAN Trunk 모드 켜기 — set maestro configuration uplink-trunk-mode state enabled |
| 4 | 상태 확인 — show maestro configuration uplink-trunk-mode state |
| 5 | 모든 Orchestrator에서 Expert mode로 들어가 orchd 를 재시작 — orchd restart |
공유 Uplink 포트
각 Uplink 인터페이스를 여러 Security Group에 공유 하면서, 그룹마다 다른 VLAN을 그 인터페이스에 할당할 수 있습니다. 예를 들어 eth1-05 를 Security Group 3·4에 공유하고, 그룹 3에는 eth1-05.30, 그룹 4에는 eth1-05.40 을 구성할 수 있습니다.
공유 인터페이스를 가진 LACP Bond의 요건
공유 Uplink 인터페이스가 어느 그룹에서 LACP Bond의 일부라면, 할당된 모든 그룹에서 동일한 LACP Bond의 일부 여야 합니다. 또한 그 LACP Bond는 각 그룹에서 똑같은 슬레이브 인터페이스를, 똑같은 순서로 가져야 합니다. 예를 들어 그룹 3의 bond1.30 슬레이브 순서가 "eth1-05, eth2-05"이면 그룹 4의 bond1.40 도 같은 순서여야 합니다.
다음은 잘못된 예입니다.
bond1.30 is an LACP bond in Security Group 3, and it contains eth1-05
bond1.40 is a non-LACP bond in Security Group 4, and it contains eth1-05가장 작은 ID를 가진 Security Group(공유 슬레이브를 할당받은)이 그 인터페이스들의 LACP 협상을 담당합니다.
공유 Uplink가 있는 LACP Bond 구성
eth1-05·eth2-05 를 Security Group 3·4가 공유하는 예입니다.
- Orchestrator에서 공유 기능을 켜고 적용합니다.
MHO_1_1> set maestro security-group id 3 shared-uplinks state enabled
MHO_1_1> set maestro security-group id 4 shared-uplinks state enabled
MHO_1_1> set maestro security-group apply-new-config
- Orchestrator에서(Gaia Portal 또는 Clish)
eth1-05·eth2-05를 Security Group 3과 4에 모두 할당합니다. - 두 그룹 모두에서 명령줄에 접속해(Expert mode면
gclish), Bond를 만들고 VLAN을 얹습니다. Bonding 그룹 ID는 그룹마다 같지 않아도 됩니다.
Security Group 3:
[Global] sg3-ch01-01 > add bonding group 1 interface eth1-05
[Global] sg3-ch01-01 > add bonding group 1 interface eth2-05
[Global] sg3-ch01-01 > set bonding group 1 mode 8023AD
[Global] sg3-ch01-01 > add interface bond1 vlan 30
Security Group 4:
[Global] sg4-ch01-01 > add bonding group 1 interface eth1-05
[Global] sg4-ch01-01 > add bonding group 1 interface eth2-05
[Global] sg4-ch01-01 > set bonding group 1 mode 8023AD
[Global] sg4-ch01-01 > add interface bond1 vlan 40
이어서 각 Bond VLAN 인터페이스에 IP를 구성합니다.
4. SmartConsole에서 각 그룹의 Security Gateway 객체를 열어 Network Management > Topology > Get Interfaces > Get Interfaces with topology 로 새 토폴로지(예: bond1.30)를 가져와 승인하고 OK 합니다.
5. Access Control Policy를 설치 합니다 — 이때 Orchestrator 구성도 함께 갱신됩니다.
6. 이후 Orchestrator는 태그 트래픽을 전달합니다 — eth1-05.30·eth2-05.30 패킷은 그룹 3으로, eth1-05.40·eth2-05.40 패킷은 그룹 4로.
LACP Bond 검증
공유 인터페이스가 있는 LACP Bond가 올바른지는 Orchestrator의 Expert mode에서 다음으로 확인합니다.
lacp_verifyLACP Bond에서 슬레이브 제거
슬레이브가 LACP Bond에 추가되면 Port Number 라는 인덱스가 붙습니다(첫 슬레이브는 1, 둘째는 2 …). 슬레이브를 제거해도 남은 슬레이브는 원래 받은 Port Number를 그대로 유지 한 채 LACP PDU를 보냅니다. 이 때문에 두 그룹이 같은 공유 슬레이브를 쓰는데 추가 순서가 다르면 Port Number가 어긋나 트래픽 손실 이 생길 수 있습니다.
예를 들어 그룹 1에서 bond1 에 eth1-05, eth1-06, eth1-07, eth1-08 순으로 넣은 뒤 eth1-05·eth1-06 을 빼면 eth1-07 은 여전히 Port Number 3, eth1-08 은 4로 PDU를 보냅니다. 그런데 그룹 2에서는 eth1-07, eth1-08 만 넣어 각각 1·2 입니다. 따라서 공유 슬레이브를 쓰는 모든 Bond는 완전히 같은 방식으로 만들어야 하며, 위 경우라면 그룹 1의 bond1 도 처음부터 다시 만들어 eth1-07·eth1-08 만 같은 순서로 넣어 그룹 2와 맞춰야 합니다.
공유 Uplink LACP Bond를 그룹에서 제거
공유 슬레이브를 가진 Bond를 제거할 때는 먼저 Security Group에서 제거한 뒤, 그다음에 Orchestrator에서 제거합니다. 그룹 4에서 bond1(슬레이브 eth1-05·eth2-05, VLAN bond1.30)을 제거하는 예입니다.
- Security Group 4에서 명령줄에 접속해(Expert mode면
gclish) 차례로 실행합니다.
[Global] sg4-ch01-01 > delete interface bond1 vlan 40
[Global] sg4-ch01-01 > delete bonding group 1 interface eth1-05
[Global] sg4-ch01-01 > delete bonding group 1 interface eth2-05
[Global] sg4-ch01-01 > delete bonding group 1
- Orchestrator에서(Gaia Portal 또는 Clish)
eth1-05·eth2-05를 Security Group 4에서 제거합니다.
---
이로써 Security Group을 만들고, 어플라이언스·포트를 붙이고, Gaia·SmartConsole 설정을 잡고, 라이선스를 깔고, Bond·VLAN·공유 Uplink 같은 특수 구성까지 마치는 전체 과정을 살펴봤습니다. 만들어 둔 Security Group의 일상 운영은 Security Group 관리에서, 성능을 끌어올리는 방법은 시스템 최적화에서 이어집니다.