1.5 KT Cloud LINK DC_Ent_Security 서비스 이용 방법

1.5.1 KT Cloud LINK DC_Ent_Security 구조 

ㅁ 서비스 구조



M2 Ent. Security 네트워크는 고객별로 IPS 및 방화벽을 물리 장비로 제공하며 보안에 강한 장점이 있습니다.

Enterprise Security (Seoul-M2)와 IDC(목동IDC 1센터, 목동IDC 2센터, 분당IDC) 간 네트워크 연동이 가능합니다.

기존 Hybrid-CIP 와는 별도의 연동 서비스로, 서비스를 자동화하여 신청 즉시 양단 VTEP구성이 자동 설정됩니다.

IDC내 LINK DC집선 스위치(VTEP)와 고객사 네트워크 스위치의 구성은 IDC상품인 Cross-Connect 신청을 통해 구성이 가능합니다.

연동 작업 후 방화벽에 Static Route 구성 및 양방향 통신을 위한 방화벽 정책 설정 필요합니다.



1.5.2 KT Cloud LINK DC 특징

ㅇ LINK DC는 Cloud서버의 Private 경로(기본인터페이스를 통한 인터넷 경로가 아닌)에서 사용하는 L2 네트워크(EX: 192.168.0.0/22)를 IDC의 스위치까지 연동하여 제공합니다.

 

ㅇ DC에 할당된 IP범위(EX: 192.168.3.X)에서 고객사 L3 스위치에 GW(VRRP/HSRP)를 설정하여 기존에 IDC에 구성된 서버와 연동하거나, 신규로 구성하는 IDC물리 서버팜에 해당 IP를 설정하여 L2연동도 가능합니다.


ㅇ LINK DC의 장비(VTEP-DC)는 물리 스위치로 이중화 되어 있으며, 인터링크는 LINK에서 제공된 L2네트워크(VLAN)의 통신이 허용되어 있습니다. 또한 기본 STP(PVST)를 통한 이중화 설정도 가능합니다. 

 

1.5.3 서비스 신청 방법

ㅁ KT Cloud LINK 생성(KT Cloud LINK 연동 가이드와 동일)
ㅁ KT Cloud LINK DC 네트워크 생성

※ KT Cloud LINK 네트워크(Enterprise Security) 및 KT Cloud LINK DC 네트워크를 생성 후, 연결할 수 있습니다.

 

LINK DC의 기본 설정은 KT Cloud LINK 연동 가이드와 동일하며, LINK DC 네트워크 생성 옵션으로 IDC와 연동할 준비를 할 수 있습니다.



KT Cloud LINK 목록에서 원하는 KT Cloud LINK DC를 선택하고 [Action] – [KT Cloud LINK DC 네트워크 생성] 을 클릭합니다.



KT Cloud LINK DC 네트워크 생성 시, 필요한 정보들을 입력합니다.

- 대역폭 : 사용할 대역폭을 선택합니다.(100M, 500M, 1G)

- Cross-Connect 정보 : Cross-Connect 회선 정보를 입력합니다.

- KT Cloud LINK 네트워크 : 생성한 KT Cloud LINK 네트워크를 선택합니다.

- Colocation : Colocation 정보를 입력합니다(상면 위치/ 연동 장비 모델 / 이중화 구성 방법)

이중화 구성 방법은 IDC고객사 스위치의 대수(1 또는 2)와 고객 측 gateway ip를 기입해 주시면 됩니다.(예: 스위치 2대 / gateway = 192.168.3.243)

- IP 설정 : IDC에서 사용할 IP Range를 선택해 줍니다.


ㅁ Enterprise Security 장비 라우팅 설정

Enterprise Security 장비에서 IDC 고객사 스위치의 GW로 Routing 설정이 필요합니다.

 

KT Cloud server – 네트워크 – (하단) Static Route 선택합니다.




Static Route를 선택해서 직접 방화벽에 설정해 줍니다.




 

■ Tier : KT Cloud LINK 네트워크 생성 시, 만들어진 Tier 네트워크를 선택합니다.

# 위 그림에서 ①에 해당 합니다.

 

■ gateway : 고객 측 장비(L3) uplink를 gateway로 입력합니다.

# LINK DC로 할당 받은 IP 대역이 192.168.3.0/24 라면, 192.168.1.1, 192.168.1.2, 192.168.3.243 등 고객이 원하는 IP로 gateway 설정이 가능 합니다.(x.x.x.6 ~ x.x.x.180 은 DHCP로 부여 받는 VM IP 대역으로, 해당 IP 대역을 제외하고 선택 가능)

# 위 그림에서 ②에 해당 합니다.

 

■ destination CIDR : 고객 측 IDC 네트워크를 입력해 줍니다.(xxx.xxx.xxx.xxx/xx 형태)

모두 입력 후, 추가하기를 통해 Static Route를 생성해 줍니다.

# 고객 측 IDC 서버 네트워크 대역을 입력 해 줍니다.(예: 10.10.200.0/24)

# 위 그림에서 ③에 해당 합니다.



ㅁ 고객사 스위치 설정

VTEP-DC 장비의 설정은 KT Cloud에서 이루어집니다. VTEP-DC스위치는 물리 장비로 이중화 되어 있으며 인터링크는 고객 VLAN(LINK /22 네트워크) 통신이 허용되도록 설정되어 있습니다. LINK DC에서 할당된 IP(ex : 192.168.3.X)을 이용하시어 IDC스위치의 시리얼IP와 GW(HSRP/VRRP)를 고객이 직접 설정 하면 됩니다.

 

고객사 장비 2대로 STP(PVST)를 이용한 이중화 구성 예시입니다.


IDC #1

IDC #2

vlan 1001

interface Ethernet1/1

   switchport

   switchport access vlan 1001

   no shutdown

interface Vlan1001

   no shutdown

   ip address 192.168.3.241/22

   hsrp 6

   priority 105

   ip 192.168.3.243

vlan 1001

interface Ethernet1/1

   switchport

   switchport access vlan 1001

   no shutdown

interface Vlan1001

   no shutdown

   ip address 192.168.3.242/22

   hsrp 6

   ip 192.168.3.243

# Cisco Nexus기준, VLAN ID는 임의이며 고객사 스위치 환경에 맞게 설정

# 192.168.3.243으로 설정한 ip가 고객사 스위치의 gateway가 됩니다.(위 값은 예시 일뿐, 고객이 직접 지정)


ㅁ 고객사 스위치 라우팅 설정

고객사 IDC 서버와 Cloud VM간 연동을 위해 고객사 L3 스위치에서 Routing 설정이 필요합니다.

gateway KT Cloud LINK 네트워크 생성 시 만들어진 Tiergateway(ex:192.168.0.1)로 설정 하시면 됩니다.

# kt gateway는 해당 Tier IP대역의 .1로 자동 할당 됩니다.




ㅁ Enterprise Security 장비 방화벽 Rule 설정

관리포탈에서 방화벽 설정을 양방향으로 설정 해주어야 합니다.

KT Cloud server – 네트워크 – 네트워크리스트 – (하단) "방화벽" 선택합니다.

방화벽 추가를 통해 단방향이 아닌, “양방향”으로 방화벽을 설정해야 합니다.

 

양방향 방화벽 설정(예시)은 아래와 같으며, 추가 설정을 통해서 최종적으로 KT Cloud LINK 연동을 할 수 있습니다

#양방향 방화벽 Rule 설정 예시

Priority No

Action

Source Network

Source CIDR

Protocol

Destination Network

Destination CIDR

1

allow

고객-LINK

10.10.200.0/24

ALL

Kt Cloud VM Tier

172.16.0.0/24

2

allow

Kt Cloud VM Tier

172.16.0.0/24

ALL

고객-LINK

10.10.200.0/24