[CISCO 보안 아카데미 1기 Part.2] 15일차 정리(대회 보강)
현업 네트워크 구성
L2 기본
- 여러 시설이 동시에 한 네트워크 내에서 다양한 기능을 수행해야 하는 경우, Core 구역과 Distribute 구역을 L3로 동작하게 만듦
- 사용자와 Distribute 사이는 L2로 동작
- 과거에는 Core와 Distribute 사이를 Trunk로 설정하는 회사가 많지 않았으나 최근에는 늘어나는 추세
- Core-Distribute의 NativeVLAN Matching은 중요
- Matching이 되지 않으면, Error Log 발생
- 요즘은 STP를 지원하는 곳은 잘 없음
- RSTP를 많이 사용
- RSTP가 특정 인터페이스를 Edge 지점이라고 판단하는 방법
- 6초 동안 BPDU를 전송했을 때, 그 시간 안에 BPDU 응답이 오지 않으면 특정 인터페이스를 Edge(스위치와 연결되어 있지 않은 인터페이스)로 판단
- 일부 회사는 Edge 기능이 없는 스위치를 사용하는 경우도 있음
- RSTP를 돌리면서 STP의 특징으로 인해 Looping이 돌 수도 있음
- 위의 상황을 예방하기 위해 Loop Guard라는 기능이 있음
- BPDU를 지속적으로 전송하면서 응답이 없으면 Block하는 기능
- Loop Detection이라는 기능도 있으나, 현재 기업에서는 해당 기능을 사용하는 스위치가 배치된 경우는 잘 없음
- 자신의 정보를 담은 BPDU를 전송했으나 다시 본인에게 돌아오는 경우, 해당 인터페이스를 Block
L3 기본
- Default GW
- 흔히 이중화를 통해 통신 연결의 안정성 보장
- Active GW와 Standby GW를 설정하여 주로 이용하는 장비와 백업 용도로 사용하는 장비 구분
- 잘못 설정하면 굉장히 비효율적인 데이터 전송이 이루어질 수 있음
- 비효율적 라우팅
- Main 장비로 이동한 데이터가 ISP로 이동하는 과정에서 Main-ISP보다 Standby-ISP 구간의 경로가 더욱 효율적이라고 판단하는 경우 Main-ISP가 아니라 Main-Standby-ISP 순서로 경로 이동이 이루어질 수 있음
- 해당 상황은 Core 장비 사이에 L2 Ether-Channel만 구성된 것이 아니라 L3 경로까지 구성된 상황에서 발생하는데, Core 사이에서 IP를 이용하여 통신한다는 점뿐만 아니라 L3 포트를 열기 위한 설정들로 장비의 리소스가 더욱 낭비된다는 문제점이 있어 비효율적 라우팅으로 간주
- Spine-Leaf
- OSPF Area
- Core 영역에서 Area 분리
- 본사 내에서 Area를 세세하게 나누지는 않음
- 인터넷 영역으로 가는 인터페이스에 라우팅 프로토콜을 경우는 잘 없음
- Area를 세세하게 나누는 구간은 Core에서 뻗어 나오는 WAN 구간의 인터페이스에서 Area 구분
- WAN 구간에서 MPLS는 필수
- MPLS에서 BGP 사용
- 외부 네트워크와 연결되는 구간에서 BGP는 필수적
- 요즘에는 다른 기업과 연결하는 구간에 전용선을 사용하여 통신하는 경우는 없음
- 대부분 MPLS 사용
- SDWAN
- 우리나라에서 잘 사용하지 않는 기술
- 인터넷 회선이 불안정한 경우 사용
- HSRP
- HSRP 과정에서 라우터 사이에 IBGP를 구성하여 HSRP를 구현하는 경우도 있으나 자주 쓰이지 않음
- 보안
- VPN은 in line에 배치되는 경우는 잘 없음
- VPN 기능을 담당하는 장비는 회사 네트워크 외부 영역에 배치
- VPN을 통해 들어오는 장비는 암호화 해제 등의 과정을 거쳐 내부의 방화벽과 여러 스위치 정책을 통과하여 회사 내부로 통신
- IPS(침입 차단 시스템, 비정상적인 트래픽을 감지하고 차단하는 보안 기술)와 방화벽 기능을 동시에 하는 UTM이라는 개념이 있음
