Cisco Catalyst SD-WAN zero to Hero

Cisco Catalyst SD-WAN · Zero to Hero · Deep Dive

Catalyst
SD-WAN 완전 정복

구 Viptela/Meraki SD-WAN 통합 → Cisco Catalyst SD-WAN (IOS XE SD-WAN)
Control Plane · Data Plane · Management Plane · Security 전체 아키텍처 Deep Dive

⏱ 총 80H 커리큘럼 🧠 vManage · vSmart · vBond 🔐 OMP · TLOC · BFD 📊 App-Aware Routing 🏅 CCNP ENSDWI · CCIE ENT 🔧 IOS XE SD-WAN / CatalystC

📑 Table of Contents

1. Phase 0 — 기초 & SD-WAN 등장 배경
2. Phase 1 — SD-WAN 아키텍처 4대 플레인
   • vManage · vSmart · vBond · WAN Edge (vEdge/cEdge)
   • Management / Control / Data / Orchestration Plane
3. Phase 2 — Control Plane Deep Dive
   • OMP (Overlay Management Protocol) 완전 분석
   • TLOC · vRoute · Service Route · Policy Route
4. Phase 3 — Data Plane Deep Dive
   • IPSec Tunnel · BFD · ECMP · DPI · App-Aware Routing
5. Phase 4 — 정책 엔진 (Policy Framework)
   • Centralized Policy · Localized Policy · Data Policy
   • App-Route Policy · cflowd · SLA Class
6. Phase 5 — 보안 아키텍처
   • Zero Trust · Umbrella · SASE · Secure Access
7. Phase 6 — 구축 & 온보딩 프로세스
   • ZTP · PnP · Certificate · 템플릿 기반 배포
8. Phase 7 — 프리세일즈 실전 설계
   • MPLS+Internet Hybrid · Direct Internet · SaaS 최적화
9. 트러블슈팅 완전 가이드

🌐 Phase 0 — SD-WAN 등장 배경 & 기초 5H

0-1. 전통 WAN의 한계 vs SD-WAN의 해결

⛔ 전통 WAN (Legacy)

• MPLS 전용 회선 — 고비용, 긴 프로비저닝 (수주)
• 모든 트래픽 본사 Backhaul → 지사 SaaS 접근 비효율
• 링크 장애 시 수동 개입 필요 (BGP 수렴 분 단위)
• 라우터별 CLI 관리 → 변경 시 전체 장비 순회
• Application visibility 없음 — IP/포트만 식별
• 클라우드(AWS/Azure/SaaS) 연결 구조적 비효율

✅ Cisco Catalyst SD-WAN

• MPLS + 인터넷 + LTE/5G 혼용 — 비용 최적화
• 직접 인터넷 접속 (DIA) — SaaS 지연 90% 감소
• BFD 1초 미만 장애 감지 + 자동 페일오버
• vManage 중앙 집중 관리 — 정책 배포 수초
• DPI로 7000+ 앱 식별 → App-Aware Routing
• Cloud OnRamp로 AWS/Azure/GCP 최적 연결

0-2. Cisco SD-WAN 제품 히스토리

시기	제품명	내용
2012	Viptela 창업	SD-WAN 선구자. OMP, TLOC 개념 최초 도입
2017	Cisco Viptela 인수	$610M 인수. Cisco SD-WAN (Viptela) 브랜드화
2019	IOS XE SD-WAN	기존 ISR/ASR에 SD-WAN 기능 탑재 (cEdge)
2020	Meraki SD-WAN	클라우드 관리형 SD-WAN. Auto VPN 중심
2023	Cisco Catalyst SD-WAN	Viptela + IOS XE SD-WAN 통합 브랜드. 현재 명칭
현재	Catalyst SD-WAN Manager	구 vManage. 20.x/17.x 펌웨어 기반

0-3. 핵심 용어 사전

용어	설명
Overlay Network	IPSec 터널로 구성한 가상 WAN. 물리 Underlay 위에 논리적으로 구성
Underlay Network	실제 물리 전송망 — MPLS, 인터넷, LTE/5G
TLOC (Transport Location)	WAN Edge의 물리 인터페이스를 식별하는 3-tuple: (System-IP, Color, Encapsulation)
Color	WAN 전송 타입 레이블 — mpls / public-internet / lte / biz-internet 등
OMP (Overlay Mgmt Protocol)	vSmart ↔ WAN Edge 간 제어 플레인 프로토콜 (TCP 12346)
vRoute	OMP가 전달하는 Overlay 경로 정보
BFD	WAN Edge 간 터널 상태 및 링크 품질(손실/지연/지터) 실시간 측정
System-IP	WAN Edge의 논리적 식별자 (Router ID 역할, 라우팅 불필요)
Site-ID	물리적 사이트 식별자. 같은 사이트의 장비는 동일 Site-ID
VPN (SD-WAN)	세그멘테이션 단위. 기존 VRF와 동일 개념. VPN 0=Transport, VPN 512=Management
Template	vManage의 장비 설정 자동화 단위 — Feature Template + Device Template
DIA (Direct Internet Access)	지사에서 인터넷 트래픽을 직접 인터넷으로 로컬 Break-out

🏗 Phase 1 — SD-WAN 아키텍처 4대 플레인 12H

Cisco Catalyst SD-WAN — 전체 아키텍처 다이어그램

1-1. 4대 플레인 역할

Management Plane

vManage (SD-WAN Manager)

중앙 관리 콘솔. GUI/REST API로 전체 SD-WAN 패브릭을 관리·모니터링·배포.

• 템플릿 기반 설정 배포 (Feature / Device Template)
• 정책(Centralized / Localized) 생성 및 배포
• 실시간 대시보드 — BFD 상태, 앱 트래픽, 터널 통계
• Certificate Authority — WAN Edge 인증서 발급
• REST API / Streaming Telemetry (gRPC)
• 포트: HTTPS 443 (GUI), DTLS/TLS 12346 (컨트롤러 간)

Control Plane

vSmart (SD-WAN Controller)

OMP를 통해 WAN Edge와 제어 플레인 정보를 교환. 중앙 두뇌 역할.

• OMP로 vRoute · TLOC · Service Route 배포
• Centralized Policy 적용 — 트래픽 엔지니어링
• Security Policy 배포 — ACL, App-Route
• Key Exchange — WAN Edge 간 IPSec 키 배포
• 포트: OMP TCP 12346, DTLS 12346

Orchestration Plane

vBond (SD-WAN Validator)

WAN Edge 최초 인증 및 컨트롤러 위치 안내 역할. 오케스트레이터.

• WAN Edge 온보딩 시 최초 인증 (Certificate 검증)
• vManage / vSmart 위치 정보 배포 (NAT 환경에서도 동작)
• NAT Traversal 지원 — 사설 IP 뒤 WAN Edge 연결 가능
• 반드시 공인 IP 필요 (WAN Edge에서 직접 접근)
• 포트: DTLS/TLS 12346

Data Plane

WAN Edge (vEdge / cEdge)

실제 트래픽을 처리하는 현장 장비. 사이트에 설치.

• IPSec 터널 생성 및 유지 (DTLS/TLS 옵션)
• BFD로 터널 품질 실시간 측정 (손실/지연/지터)
• DPI 7000+ 앱 인식, App-Aware Routing 실행
• VPN 세그멘테이션 (VPN=VRF) — 멀티 테넌트
• vEdge: Viptela OS / cEdge: IOS XE SD-WAN
• 모델: C8300/C8200/C1100/ISR4K/ASR1K/C8500

1-2. WAN Edge 커넥션 순서 (온보딩 플로우)

1

ZTP / PnP — vBond IP 획득

DNS 조회(sdwan.cisco.com) 또는 DHCP Option 43으로 vBond IP 획득. 최초 부팅 시 자동 실행.

2

vBond 인증 (Certificate Exchange)

WAN Edge가 vBond에 DTLS/TLS 연결. 인증서 기반 상호 인증. vBond는 vManage/vSmart 주소 배포.

3

vManage NETCONF 세션 수립

vManage가 WAN Edge에 NETCONF로 연결. 초기 설정 푸시, 디바이스 모델·버전 확인.

4

vSmart OMP 세션 수립

WAN Edge ↔ vSmart 간 OMP TCP 12346 세션. TLOC 정보 및 vRoute 교환 시작.

5

BFD 세션 수립 (WAN Edge 간)

각 WAN Edge가 다른 WAN Edge와 IPSec 터널 수립. BFD로 터널 품질 측정 시작.

6

Data Plane 트래픽 포워딩 시작

vSmart에서 받은 TLOC 정보로 IPSec 터널 완성. App-Aware Routing 정책 적용 시작.

🔑

중요: vBond는 인증 후 데이터 경로에서 제외

vBond는 초기 인증·위치 안내 역할만 합니다. 이후 WAN Edge ↔ vSmart/vManage 직접 통신. 실제 데이터 트래픽은 WAN Edge 간 IPSec 터널로 직접 흐릅니다 (컨트롤러 경유 없음).

🧠 Phase 2 — Control Plane Deep Dive (OMP) 14H

OMP (Overlay Management Protocol)는 SD-WAN의 BGP입니다. vSmart와 WAN Edge 간에 경로·TLOC·서비스 정보를 교환하며, BGP와 달리 Centralized(vSmart에서 경로 계산) 방식으로 동작합니다.

2-1. OMP vs BGP 비교

항목	OMP	BGP
역할	SD-WAN Overlay 경로 교환	AS 간 / 내부 경로 교환
Transport	TCP 12346 (DTLS/TLS 암호화)	TCP 179
경로 계산	vSmart 중앙 집중 (Controller 기반)	분산 (각 라우터가 직접 계산)
전달 정보	vRoute + TLOC + Service + Policy	NLRI + 속성
피어 관계	WAN Edge ↔ vSmart (Star topology)	풀메시 또는 RR
정책 적용	vSmart에서 중앙 적용 후 배포	각 라우터 Route-map 적용
암호화	항상 암호화 (DTLS/TLS)	평문 (MD5 옵션)

2-2. OMP Route Types (4종)

Route Type	역할	주요 속성
vRoute (OMP Route)	Overlay 내 IP 프리픽스 경로. 어느 TLOC을 통해 해당 프리픽스에 도달할 수 있는지 정보	Prefix, TLOC list, Originator, VPN, Preference, Tag, Origin(Connected/OSPF/BGP 등)
TLOC Route	WAN Edge의 물리 인터페이스 위치. IPSec 터널의 Endpoint 정보	(System-IP, Color, Encap), Public/Private IP, Weight, Preference, Tag
Service Route	서비스(FW, IDS, LB 등)를 광고. 트래픽을 특정 서비스로 체이닝할 때 사용	Service Type (FW/IDP/netsvc), TLOC, VPN
Summary Route	집약 경로. vSmart 또는 WAN Edge에서 생성	Prefix (집약된), TLOC

2-3. TLOC — SD-WAN의 핵심 식별자

TLOC (Transport Location)은 WAN Edge의 물리 인터페이스를 고유하게 식별하는 3-tuple입니다. BGP의 Next-Hop에 해당하는 개념.

TLOC 구성요소	설명	예시
System-IP	WAN Edge 식별 IP. 라우팅 불필요 (논리적 ID)	10.255.1.1
Color	전송 링크 타입 레이블. 정책에서 특정 링크 선택 시 사용	mpls / public-internet / biz-internet / lte / gold / silver
Encapsulation	데이터 플레인 캡슐화 방식	IPSec (대부분) / GRE (일부)

TLOC — Dual Transport WAN Edge (HQ 이중화 예시)

2-4. OMP Best Path Selection

vSmart가 동일 프리픽스에 대해 여러 경로를 받았을 때 Best Path를 선택하는 기준입니다 (BGP Best Path와 유사).

우선순위	속성	선호 값	설명
1	Validity	Valid	유효한 경로 (TLOC 도달 가능) 우선
2	Origin	Connected > Redistributed > BGP > OSPF	경로 출처. Connected가 최우선
3	Preference	높을수록 유리	수동 설정 가능 (BGP LOCAL_PREF 유사)
4	OSPF Metric	낮을수록 유리	OSPF 재분배 경로인 경우
5	External Preference	높을수록 유리	외부 재분배 경로의 선호도
6	Originator System-IP	낮을수록 유리	최후 수단 — System-IP 비교

2-5. OMP 기본 설정

WAN Edge — OMP 및 TLOC 설정 (IOS XE SD-WAN)

! ─── System 설정 ─────────────────────────────────
system
  system-ip     10.255.1.1        ! 고유 식별 IP (라우팅 불필요)
  site-id       100              ! 사이트 식별자
  organization-name "CUSTOMER-A"  ! org-name (vManage와 일치 필수)
  vbond 203.0.113.100            ! vBond 주소

! ─── Transport VPN (VPN 0) 설정 ──────────────────
vpn 0
  interface GigabitEthernet1           ! MPLS 링크
    ip address 100.1.1.2/30
    tunnel-interface
      encapsulation ipsec
      color mpls restrict          ! mpls color — MPLS 전용 터널만
      allow-service all
    no shutdown
  !
  interface GigabitEthernet2           ! 인터넷 링크
    ip address dhcp                    ! 또는 고정 IP
    tunnel-interface
      encapsulation ipsec
      color public-internet
      allow-service all
    no shutdown
  ip route 0.0.0.0/0 100.1.1.1     ! Transport용 Default Route

! ─── OMP 설정 ─────────────────────────────────
omp
  graceful-restart
  advertise connected               ! Connected 경로를 OMP에 광고
  advertise static
  advertise ospf                    ! IGP 경로도 광고 시

! ─── 검증 명령어 ───────────────────────────────
show sdwan omp summary
show sdwan omp peers               ! vSmart OMP 피어 상태
show sdwan omp routes             ! OMP vRoute 테이블
show sdwan omp tlocs              ! 수신된 TLOC 정보
show sdwan bfd sessions           ! BFD 터널 상태

🚀 Phase 3 — Data Plane Deep Dive 12H

3-1. BFD (Bidirectional Forwarding Detection) — 핵심 메커니즘

BFD는 SD-WAN에서 두 가지 역할을 동시에 합니다 — ① 터널 생사 감지 + ② 링크 품질(SLA) 측정. App-Aware Routing의 판단 근거가 됩니다.

BFD 측정 항목	측정 방법	App-Aware Routing 활용
Packet Loss (%)	BFD 헬로 패킷 손실률 계산 (기본 1초마다)	SLA Class의 loss 임계값 초과 시 경로 전환
Latency (ms)	BFD RTT 측정 (왕복 시간 / 2)	VoIP: 150ms 초과 시 대체 경로로 전환
Jitter (ms)	연속 BFD 패킷 간 지연 변동	화상회의: Jitter 30ms 초과 시 전환
Tunnel Up/Down	BFD 헬로 3회 미수신 시 Down 판정	Down된 TLOC는 경로에서 즉시 제외

App-Aware Routing — MPLS + Internet 이중 경로 자동 선택

3-2. IPSec 터널 구조

항목	상세
암호화	AES-256-GCM (기본) / AES-128-GCM. 하드웨어 가속 지원
키 교환	vSmart가 WAN Edge 간 IPSec 키 배포 (ECDH). 직접 IKE 협상 없음
인증	HMAC-SHA-256. Certificate 기반 상호 인증
터널 타입	기본 IPSec UDP (NAT 친화적). 옵션: GRE over IPSec
Full Mesh	모든 WAN Edge 간 TLOC pair별 터널 (Hub-Spoke도 가능)
MTU 처리	SD-WAN Overhead 고려. Path MTU Discovery 또는 수동 설정
키 갱신	기본 1시간마다 자동 재협상. vSmart를 통해 배포

3-3. DPI & Application Identification

인식 방법	설명	예시
NBAR2 (DPI)	7계층 페이로드 분석. 7000+ 앱 시그니처	Webex, Zoom, Office365, SAP, Salesforce
IP/Port + Protocol	전통적 5-tuple 매칭	TCP 443, UDP 5004 등
DNS 기반	DNS 쿼리에서 FQDN 추출	*.microsoft.com → Office365
HTTP Host Header	HTTP/HTTPS SNI 분석	SNI = teams.microsoft.com
SSL/TLS 핑거프린트	Certificate 및 TLS 헤더 분석	암호화 트래픽도 인식

✅

App-Aware Routing 동작 원리

① DPI로 앱 식별 (ex: Webex) → ② 해당 앱에 적용된 App-Route Policy 확인 → ③ 정책의 SLA Class 기준(손실/지연/지터)에 맞는 TLOC 선택 → ④ 기준 미달 시 대체 TLOC로 즉시 전환. 전환은 Sub-second!

⚖️ Phase 4 — 정책 엔진 (Policy Framework) 14H

SD-WAN 정책은 vManage에서 정의하고 vSmart를 통해 WAN Edge에 배포됩니다. 정책의 종류를 명확히 이해하는 것이 핵심입니다.

4-1. 정책 분류 체계

정책 유형	배포 위치	적용 시점	주요 사용 사례
Centralized Policy	vSmart → 모든 WAN Edge에 배포	Control Plane (경로 선택)	특정 사이트 간 트래픽 경로 강제, TLOC 선호도, Hub-Spoke 강제
Localized Policy	vManage → 특정 WAN Edge에만 배포	Data Plane (로컬 장비에서 처리)	QoS, ACL, Route Policy (특정 장비에만 적용)
App-Route Policy	vSmart → 배포 (Data Policy의 일부)	Data Plane (BFD 기반 실시간)	앱별 SLA 기준으로 최적 링크 자동 선택
Data Policy	vSmart → 배포	Data Plane (패킷 포워딩)	특정 트래픽을 특정 VPN/서비스로 리다이렉트, ACL
Security Policy	vManage → WAN Edge	Data Plane (인라인 보안)	Zone-based Firewall, IPS, URL Filtering, DNS Security

4-2. Centralized Policy — Control Policy 구조

vManage — Centralized Policy 예시 (Hub-Spoke + TLOC 선호)

! ─── Policy 구조: Match → Action ────────────────────────

! 1. Site List 정의
site-list HQ_SITE
  site-id 100
site-list BRANCH_SITES
  site-id 200-299

! 2. TLOC List (MPLS 우선)
tloc-list PREFER_MPLS
  tloc 10.255.1.1 color mpls         encap ipsec preference 100
  tloc 10.255.1.1 color public-internet encap ipsec preference 50

! 3. Control Policy (Branch → HQ 경유 강제)
policy
  control-policy BRANCH_TO_HQ
    sequence 10
      match tloc
        site-list BRANCH_SITES
      action accept
        set
          tloc-list PREFER_MPLS    ! MPLS 링크 우선 사용
    default-action accept

  apply-policy
    site-list HQ_SITE
      control-policy BRANCH_TO_HQ inbound  ! HQ에서 inbound 적용

4-3. App-Route Policy — SLA 기반 자동 경로 전환

App-Route Policy — VoIP / Video / 일반 데이터 분리

! ─── SLA Class 정의 ──────────────────────────────────
sla-class VOIP_SLA
  latency  150          ! ms — 초과 시 경로 전환
  loss     1            ! % — 초과 시 전환
  jitter   30           ! ms

sla-class VIDEO_SLA
  latency  200
  loss     2
  jitter   50

! ─── App-Route Policy ────────────────────────────────
policy
  app-route-policy APP_AWARE_POLICY
    vpn-list VPN_10

    ! Webex / Zoom → MPLS 우선, SLA 불충족 시 Internet
    sequence 10
      match
        app-list COLLABORATION_APPS  ! Webex, Zoom, Teams
      action sla-class
        VOIP_SLA
        preferred-color mpls
        fallback-to-best-path         ! SLA 실패 시 best BFD 경로로

    ! SAP / ERP → MPLS 전용 (SLA 불충족 시 드롭 아님, BW 보장)
    sequence 20
      match
        app-list BUSINESS_CRITICAL
      action sla-class
        VIDEO_SLA
        strict                        ! SLA 미충족 TLOC 제외
        preferred-color mpls

    ! 인터넷 트래픽 → Internet 직접 (DIA)
    sequence 100
      match
        destination-data-prefix-list INTERNET_PREFIXES
      action sla-class
        preferred-color public-internet

    ! 기본: Best BFD 경로
    default-action accept

4-4. Localized Policy — QoS 설정

Localized QoS Policy — WAN Edge 출구 큐잉

! ─── QoS Map 정의 ────────────────────────────────────
policy
  qos-scheduler VOICE_QUEUE
    bandwidth-percent 20
    scheduling llq               ! Low Latency Queue — 절대 우선
    drops        tail-drop

  qos-scheduler VIDEO_QUEUE
    bandwidth-percent 20
    scheduling wrr
    drops        red              ! WRED

  qos-scheduler BUSINESS_QUEUE
    bandwidth-percent 30
    scheduling wrr

  qos-scheduler DEFAULT_QUEUE
    bandwidth-percent 30
    scheduling wrr

  qos-map ENTERPRISE_QOS
    queue 0 qos-scheduler VOICE_QUEUE
    queue 1 qos-scheduler VIDEO_QUEUE
    queue 2 qos-scheduler BUSINESS_QUEUE
    queue 3 qos-scheduler DEFAULT_QUEUE

! ─── DSCP Rewrite / Marking ──────────────────────────
  rewrite-rule DSCP_MARKING
    dscp ef  class 0             ! EF → Voice Queue
    dscp af41 class 1            ! AF41 → Video Queue
    dscp af31 class 2            ! AF31 → Business

💡

Policy 적용 범위 주의

Centralized Policy는 vSmart에서 Control Plane 경로에 적용됩니다. 실제 패킷 처리는 WAN Edge가 수행하므로, 패킷 레벨 제어는 Data Policy 또는 Localized Policy를 사용해야 합니다. 이 구분이 가장 많이 혼동됩니다.

🔐 Phase 5 — 보안 아키텍처 10H

5-1. SD-WAN 기본 보안 구조

보안 레이어	기술	설명
전송 암호화	IPSec AES-256-GCM	모든 WAN Edge 간 트래픽 자동 암호화 (기본값)
Control Plane 보안	DTLS/TLS + PKI	vBond/vSmart/vManage ↔ WAN Edge 간 인증서 기반 인증
Zone-Based Firewall	IOS XE ZBF	WAN Edge 인라인 방화벽. VPN 간 트래픽 제어
IPS (Intrusion Prevention)	Snort 3 엔진	WAN Edge에서 인라인 IPS. 시그니처 자동 업데이트
DNS Security	Cisco Umbrella 연동	DNS 쿼리 → Umbrella로 리다이렉트. 악성 도메인 차단
URL Filtering	URL DB 기반	카테고리별 URL 차단 (성인, 악성, P2P 등)
AMP (Advanced Malware)	Cisco AMP 연동	파일 해시 기반 악성코드 탐지

5-2. SASE (Secure Access Service Edge) 통합

🏛

Cisco SASE 아키텍처

Catalyst SD-WAN + Cisco Umbrella(SSE) + Cisco Secure Connect의 통합이 Cisco SASE입니다. 지사에서 인터넷/SaaS 트래픽을 Umbrella로 직접 라우팅(DIA + SIG Tunnel)하여 온프레미스 보안 장비 없이도 엔터프라이즈 보안을 제공합니다.

구성요소	역할
Catalyst SD-WAN	WAN 연결 및 트래픽 조향 (SD-WAN Fabric)
Cisco Umbrella (SSE)	클라우드 기반 보안 게이트웨이. DNS/Web/CASB/ZTNA
IPSec Tunnel to Umbrella	WAN Edge에서 Umbrella SIG로 IPSec 자동 터널 설정
Cisco Secure Client (AnyConnect)	재택/원격 사용자 VPN → SD-WAN Fabric 통합
Cisco Identity Services Engine (ISE)	Zero Trust 기반 사용자/디바이스 인증

5-3. VPN 세그멘테이션 (SD-WAN VPN = VRF)

VPN 번호	용도	트래픽 유형
VPN 0	Transport VPN (예약)	SD-WAN 컨트롤 플레인 트래픽 (OMP, BFD, DTLS)
VPN 512	Management VPN (예약)	Out-of-band 관리 트래픽 (SSH, SNMP)
VPN 1	기업 내부 트래픽	사용자 데이터, 업무 앱 (ERP, 파일서버)
VPN 2	Guest/IoT 세그멘트	방문자 WiFi, IoT 디바이스
VPN 3	보안 분리 영역	PCI-DSS, 금융거래 전용
VPN 10~N	멀티 테넌트 확장	고객별 완전 격리 (MSP 서비스)

🚀 Phase 6 — 구축 & 온보딩 프로세스 10H

6-1. ZTP (Zero Touch Provisioning) 온보딩 흐름

1

사전 준비 — vManage에 디바이스 등록

vManage에 WAN Edge의 Chassis Number + Token 입력. PnP Portal(devicehelper.cisco.com)에서 조직 바인딩. 또는 Bootstrap Config USB로 현장 없이 배포 가능.

2

현장 설치 — 전원 ON + 인터넷 연결

WAN Edge가 DHCP로 IP 획득. DNS 조회로 vBond IP 확인 (cisco-sdwan.com 또는 vBond FQDN). 인터넷 연결만 있으면 자동 진행.

3

vBond 인증 + 컨트롤러 위치 수신

WAN Edge ↔ vBond DTLS/TLS 연결. Certificate 기반 상호 인증. 성공 시 vManage/vSmart IP 목록 수신.

4

vManage NETCONF 연결 + 템플릿 배포

vManage가 해당 디바이스에 연결된 Device Template 자동 배포. 인터페이스, VPN, 라우팅, 보안 정책 일괄 적용.

5

OMP + BFD 수립 → 트래픽 포워딩

vSmart OMP 세션 완료. 다른 WAN Edge와 BFD 수립. 5~15분 내 전체 온보딩 완료. 현장 엔지니어 불필요!

6-2. 템플릿 기반 설정 관리

템플릿 유형	역할	예시
Feature Template	기능별 설정 모듈. 재사용 가능한 빌딩 블록	BGP Template, OSPF Template, VPN Interface Template, BFD Template
Device Template	Feature Template 조합. 특정 장비 모델에 적용	C8200-Branch-Template = System+VPN0+VPN1+BFD+QoS 조합
CLI Template	IOS XE CLI 직접 입력. 고급 설정용	커스텀 라우팅, 특수 기능 설정
Configuration Group	신규 방식. Feature Profile 기반 그룹화	20.12+ 권장. Parcel 단위 모듈화

6-3. WAN Edge 주요 모델 선택 가이드

모델	적합 사이트	주요 스펙	특징
C1111 / C1161	소형 Branch (1~30명)	250Mbps~1G, 4G LTE 내장 옵션	ISR 계열, 낮은 전력소비
C8200 / C8200L	중소형 Branch (30~100명)	1G~2.5G, 8G RAM	IOS XE SD-WAN, 모듈 확장
C8300	중대형 Branch / 리저널 허브	2.5G~10G, NIM 슬롯 다수	고성능 암호화 가속
C8500 / C8500L	HQ / DC / 대형 허브	10G~100G, 하드웨어 IPSec 가속	고밀도 포트, HA 지원
Catalyst 8000V (CSP)	클라우드 / NFV / 데이터센터	가상 어플라이언스 (AWS/Azure/KVM)	Cloud OnRamp, 멀티클라우드
IR1101 / IR8340	산업용 IoT / 원격지	강화 하우징, -40~75°C	LTE/5G 내장, 철도·제조용

💼 Phase 7 — 프리세일즈 실전 설계 8H

엔터프라이즈 Catalyst SD-WAN — HQ · DC · Branch 풀 설계

7-1. 프리세일즈 주요 제안 시나리오

💼

Scenario 1 — "MPLS 비용을 줄이고 싶다"

MPLS + Internet Hybrid 아키텍처 제안. 현재 MPLS 100% → 미션 크리티컬(ERP/SAP/VoIP)만 MPLS 유지, 나머지는 인터넷으로 전환. App-Route Policy로 앱별 자동 링크 선택. 예상 절감: MPLS 대역폭 50~70% 축소. SLA는 BFD 기반 자동 보호로 유지.

💼

Scenario 2 — "지사에서 Office365/Zoom이 느리다"

DIA (Direct Internet Access) + Cloud OnRamp 제안. 현재: 지사 → MPLS → HQ → 인터넷 → Office365 (3홉 지연). 개선: 지사 → 직접 인터넷 → Office365 (1홉). Cisco ThousandEyes로 SaaS 경로 모니터링. Umbrella로 DIA 보안 강화. 예상 효과: 지연 70ms 이상 개선.

💼

Scenario 3 — "전국 100개 지사를 빠르게 오픈해야 한다"

ZTP 기반 대규모 배포 제안. 사전: vManage에 Device Template + 자동화 시리얼 등록. 현장: 박스 개봉 → 전원 ON → 인터넷 연결 → 자동 완료 (엔지니어 불필요). 목표: 하루 10개 사이트 동시 배포. 기존 MPLS 프로비저닝(수주) 대비 혁신적 단축.

💼

Scenario 4 — "클라우드(AWS/Azure)로 이전 중인데 WAN이 문제다"

Cloud OnRamp for IaaS/SaaS 제안. Cloud OnRamp for IaaS: AWS/Azure VPC에 C8000V 배포 → SD-WAN Fabric 확장. 지사에서 클라우드까지 App-Aware Routing 적용. Cloud OnRamp for SaaS: 지사별로 최적의 인터넷 출구를 자동 선택 (ThousandEyes 연동).

💼

Scenario 5 — "보안팀이 SD-WAN의 보안을 걱정한다"

Cisco SASE 통합 제안 (SD-WAN + Umbrella + ISE). 전송 암호화: IPSec AES-256 자동 적용. 위협 방어: WAN Edge 인라인 IPS (Snort3). 클라우드 보안: Umbrella SIG로 DIA 트래픽 보호. Zero Trust: ISE 기반 사용자/디바이스 인증. 재택근무자: Cisco Secure Client(AnyConnect) + SD-WAN Fabric 통합.

7-2. 설계 의사결정 가이드

고객 요구사항	권장 기능	핵심 설계 포인트
MPLS 비용 절감	Hybrid WAN (MPLS+Internet)	App-Route Policy — 앱별 링크 선택 자동화
SaaS/클라우드 성능	DIA + Cloud OnRamp	지사 로컬 Break-out + Umbrella 보안
빠른 지사 배포	ZTP / PnP	Device Template 표준화 + 자동화 파이프라인
VoIP/화상회의 품질	App-Route + SLA Class + QoS	BFD 기반 실시간 경로 전환 + LLQ
보안 강화	ZBF + IPS + Umbrella SASE	VPN 세그멘테이션 + ISE Zero Trust
AWS/Azure 연결	Cloud OnRamp IaaS	C8000V on Cloud + Transit Gateway 연동
운영 자동화	vManage API + 템플릿	REST API → Ansible/Terraform 통합
가시성/분석	vManage Analytics + ThousandEyes	cflowd + SaaS 모니터링 통합

🔧 트러블슈팅 완전 가이드

컨트롤 플레인 트러블슈팅

증상	원인	확인 명령어	해결
WAN Edge가 vBond 미연결	DNS 미동작 / vBond IP 오류	show sdwan control local-properties	DNS 확인, vBond IP/FQDN 재설정
Certificate 인증 실패	조직명(org-name) 불일치	show sdwan certificate installed	vManage org-name과 WAN Edge org-name 일치 확인
OMP 피어 미수립	VPN 0 라우팅 미설정	show sdwan omp peers	VPN 0에 vSmart 방향 Static Route 확인
OMP 피어 미수립	Firewall에서 TCP 12346 차단	debug sdwan omp	SP 또는 방화벽에서 TCP/UDP 12346 허용
vRoute 미수신	OMP advertise 미설정	show sdwan omp routes	omp advertise connected/static 확인

데이터 플레인 트러블슈팅

증상	원인	확인 명령어	해결
BFD 터널 미수립	TLOC Color 불일치 / restrict 설정	show sdwan bfd sessions	양단 Color 및 restrict 설정 확인
BFD 터널 미수립	NAT/방화벽 UDP 차단	show sdwan tunnel statistics	UDP 12346 / 500 / 4500 허용
특정 앱 트래픽 비정상	App-Route Policy SLA 불충족	show sdwan app-route stats	BFD 품질 확인, SLA 임계값 조정
지사 간 통신 불가	Centralized Policy Hub-Spoke 강제	show sdwan policy from-vsmart	Policy에서 Direct 통신 허용 여부 확인
VPN 간 통신 불가	서비스 사이드 VPN 정책 미설정	show sdwan service chain	Service Route 및 VPN 리스트 확인
DIA 동작 안 함	Default Route 우선순위 오류	show ip route vrf 1	인터넷 방향 Default Route가 VPN 1에 존재하는지 확인

트러블슈팅 핵심 명령어 Quick Reference

WAN Edge — 필수 진단 명령어 (IOS XE SD-WAN)

═══ 컨트롤 플레인 ═══════════════════════════════════════
show sdwan control connections          ! vBond/vSmart/vManage 연결 상태
show sdwan control local-properties     ! 로컬 TLOC, org-name, System-IP 확인
show sdwan omp peers                    ! OMP 피어 상태 (vSmart 연결)
show sdwan omp routes                   ! OMP vRoute 테이블 — 수신 경로 확인
show sdwan omp tlocs                    ! 수신된 TLOC 목록
show sdwan certificate installed        ! 인증서 상태 및 만료일

═══ 데이터 플레인 ═══════════════════════════════════════
show sdwan bfd sessions                 ! BFD 터널 상태 + 품질(손실/지연/지터)
show sdwan bfd summary                  ! 전체 BFD 요약
show sdwan tunnel statistics            ! IPSec 터널 패킷 통계
show sdwan ipsec inbound-connections    ! 인바운드 IPSec SA
show sdwan ipsec outbound-connections   ! 아웃바운드 IPSec SA

═══ 정책 & 라우팅 ═══════════════════════════════════════
show sdwan policy from-vsmart           ! vSmart에서 수신한 정책 확인
show sdwan policy service-path          ! 서비스 체이닝 경로
show sdwan app-route stats              ! App-Route 통계 및 SLA 결과
show sdwan app-route sla-class          ! SLA Class 현재 상태
show ip route vrf 1                     ! 서비스 VPN 라우팅 테이블
show ip route vrf 0                     ! Transport VPN 라우팅 테이블

═══ 시스템 & 하드웨어 ════════════════════════════════
show sdwan system status                ! 시스템 전반 상태
show sdwan hardware                     ! 하드웨어 IPSec 가속 상태
show platform hardware throughput       ! 실시간 처리량
show sdwan statistics interface         ! 인터페이스별 트래픽 통계

═══ 디버그 (주의: 프로덕션에서 신중하게) ══════════
debug sdwan omp all                     ! OMP 디버그 (매우 상세)
debug sdwan bfd all                     ! BFD 디버그
debug sdwan vdaemon                     ! SD-WAN 데몬 디버그

트러블슈팅 순서 (Top-Down)

1

물리 레이어 확인

인터페이스 Up/Up, IP 주소 정상, 인터넷 연결 가능 여부. ping [vBond IP]로 기본 연결 확인.

2

vBond 인증 확인

show sdwan control connections에서 vBond 상태 확인. Certificate 만료/불일치 여부.

3

vSmart OMP 세션 확인

show sdwan omp peers에서 Up 상태 확인. vRoute와 TLOC 수신 여부.

4

BFD 터널 확인

show sdwan bfd sessions에서 Up 상태 및 품질(손실/지연) 확인. Color 및 방화벽 정책 검토.

5

정책 확인

show sdwan policy from-vsmart로 적용된 정책 확인. Hub-Spoke 강제 등 의도치 않은 차단 여부.

6

라우팅 테이블 확인

show ip route vrf 1로 목적지 경로 확인. ping vrf 1 [dst]로 엔드투엔드 연결 테스트.

🏅 자격증 로드맵 & 학습 자료

자격증	시험 코드	SD-WAN 범위	준비 기간
CCNP Enterprise	ENCOR 350-401	SD-WAN 아키텍처 개념 (Phase 0~1)	6~9개월
CCNP ENSDWI	300-415	SD-WAN 전체 (Phase 0~7) 전문 시험	+3개월
CCIE Enterprise	Lab 400-101	SD-WAN 고급 설계·구현·트러블슈팅	1.5~2년+

추천 학습 자료

유형	자료	링크/비고
공식 문서	Cisco SD-WAN Configuration Guide	developer.cisco.com/docs/sdwan
Cisco dCloud	SD-WAN Lab 무료 실습 환경	dcloud.cisco.com (Cisco 계정 필요)
DevNet Learning	SD-WAN Programmability 과정	developer.cisco.com/learning
Cisco Live	BRKSDN-2600 시리즈	ciscolive.com 아카이브
REST API	SD-WAN REST API 레퍼런스	Swagger UI: vManage/dataservice
GitHub	cisco-en-programmability/sdwan	Ansible/Python 자동화 예제

Cisco Catalyst SD-WAN Zero to Hero

Deep Dive · HQ · DC · Branch · Control/Data/Management Plane

vManage vSmart vBond WAN Edge CCNP ENSDWI CCIE ENT

저작자표시 비영리 변경금지 (새창열림)