Network security study

부하분산 방식에는 크게 '정적 부하분산'과 '동적 부하분산'이 있다. 사용하는 서버 성능이나 제공하는 서비스 특성, 운영 관리의 효율성 등 다양한 요소를 고려하여 어떤 방식을 사용할지 결정한다. 사용 가능한 부하분산 방식은 사용하는 부하분산 장치에 따라 다르다.

일반적으로 사용되는 정적 부하방식 세가지와 동적 부하방식 세 가지를 알아보자.

정적 부하분산    :    정적 부하분산 방식은 클라이언트로부터 리퀘스트를 받으면, 서버 상태와 상관없이 서버가 가지고 있는 설정을 기준으로 할당하는 방식이다. 그중에는 라운드 로빈(Round Robin), 가중치(Ratio), 액티브-스탠바이(Priority Group Activation)에 대해 알아보겠다.

라운드 로빈(Round Robin)    :    클라이언트로 받은 리퀘스트를 부하분산 대상 서버에 순서대로 할당하는 방식이다. 부하분산 대상 서버의 성능이 동일하고 처리 시간이 짧은 어플리케이션의 경우, 균등하게 분산이 이루어지기 때문에 이 방식을 사용한다. 하지만 부하분산 대상 서버의 성능이 다른 경우에 FTP(File Transfer Protocol), 퍼시스턴스(Persistence, 세션 유지 기능)가 필요한 어플리케이션의 경우 등은 서버 처리와 관계없는 세션(session)이 할당되는 라운드 로빈 방식은 적합하지 않다.   

다음으로 알아볼 것은 가중치 이다.

가중치(Ratio)     :    서버별로 비율을 설정해두고, 그 가중치에 따라 리퀘스트를 서버에 할당하는 방식이다. 부하분산 대상 서버의 성능이 동일하지 않으면, 동일한 처리를 한다고 해도 처리 시간에 차이가 발생한다. 이방식은 분산 대상 서버의 성능에 차이가 잇을 때 사용할 수 있다.

액티브 - 스탠바이(Priority Group Activation) : 액티브 - 스탠바이 방식은 서버를 액티브와 스탠바이 상태로 나누어 평상시에는 액티브 장치만 사용하지만 액티브 장치에 장애가 발생했을 때 스탠바이 장지로 할당한다. 부하분산이라기보다는 서버 이중화를 위한 기능이라고 본다. 평상시에는 액티브 장치에만 할당하기 때문에 매우 알기 쉽고 관리도 쉽다.

동적 부하분산은 다음시간에 다시 포스팅하겠습니다.

HSRP는 redundant protocol입니다. 

그런데, 문제가 한가지 있읍니다. 

이게 한 라우터가 Active가 돼고 다른 라우터는 standby mode가 돼어 있읍니다. 

이 소리가 뭔가 하니... 한 라우터로만 통해서 데이타가 전송이 됀다는것이지요.

(그래서, 요세는 GLBP를 쓰는걸로 알고 있읍니다. )

그런게, 두개의 라우터를 같이 사용하는 방법이 있읍니다. 

그게 Vlan을 통한것인 데요.

밑에 분에 그림을 보세요! 

만약에 HSRP가 SW3와 SW4에 설정이 돼어 있고 

Vlan 10하고 20가 있다면.

SW3를 Vlan10에 Active router로 만들고 Vlan20에 Standby로 

SW4를 Vlan20에 Active router로 만들고 Vlan10에 STandby로 만드는것이지요.

(이건 간단하게 두 쎄트에 standby컨피그로 설정 가능합니다.)

이렇게 설정을 했을때 Vlan10에 유저들은 보통 SW3를 통해서 데이타를 전송하다가 

SW3에 인터넷에 연결돼는 인터페이스 즉 (tracking interface)가 문제가 생겨서 Down돼면 

Vlan10에 Standby 인 SW4가 Vlan10에 Active가 돼면서 모든 Vlan10에 트래픽은 

SW4로 통해서 전송이 돼는것이지요. 

마찬가지로 Vlan20도 그렇게 돌아 갑니다. 

자 이럴때 필요한 중간 링크에 트렁킹 이유는 아무래도 redundancy가 아닐까 봅니다. 

두개의 Layer3 switch가 vlan과 HSRP status를 항상 알아야 하기 때문에.

그리고, active/standby role을 통해서 만약에 한 layer3 스위치가 Down이 돼면

다른쪽 스위치로 데이타를 전송해야 하기 때문에 설정이 돼어있다고 봅니다. 

일반적으로 DHCP 메시지는 브로드캐스팅되기 때문에 단말과 DHCP 서버는 반드시 동일 서브넷 상에 위치해야만 합니다. 그 이유는 라우터가 브로드캐스트 패킷(Destination MAC 주소가 FF:FF:FF:FF:FF:FF이고 Destination IP 주소가 255.255.255.255)을 다른 인터페이스로 전달(IP 포워딩)하지 않기 때문에 단말이 송신한 DHCP 메시지(브로드캐스트 패킷)가 라우터를 통해 다른 서브넷에 위치한 DHCP 서버로 전달될 수 없습니다(위 그림의 (a)). 이러한 제약 사항으로 DHCP 서버가 각 서브넷(랜)마다 위치해야만 하는데 실제 통신 사업자망 혹은 기업망 환경에서 이와 같은 구성은 실용적이지 못합니다(DHCP 서버가 너무 많이 필요하겠죠).

그래서 이와 같은 문제를 해결하기 위해 DHCP Relay Agent라는 개념이 생겨났으며, 위 그림의 (b)와 같이 라우터에 DHCP Relay Agent 기능을 설정하면  서로 다른 서브넷에 위치하는 단말과 DHCP 서버간에도 DHCP 메시지 통신이 가능하게 됩니다. DHCP Relay Agent의 가장 핵심적인 기능은 단말이 송신하는 DHCP 브로드캐스트 패킷을 유니캐스트로 변환하여 DHCP 서버에 전달하는 것입니다.

DHCP Relay Agent가 있는 환경에서 메시지 흐름을 요약하면 다음과 같습니다.

1. [단말 -> DHCP 서버] DHCP Discover Message

단말이 브로드캐스트 메시지를 보내면 이를 DHCP Relay Agent가 수신하여 유니캐스트로 변환(SIP=DHCP Relay Agent, DIP=DHCP Server)하여 DHCP 서버로 전달 (SIP=Source IP address, DIP=Destination IP address in IP header)

2. [단말 <- DHCP 서버] DHCP Offer Message

DHCP 서버가 DHCP Relay Agent로 유니캐스트(SIP=DHCP 서버, DIP=DHCP Relay Agent)로 보내면 이를 수신한 DHCP Relay Agent는 단말로 브로드캐스트로 변환하여 전송(반드시 브로드캐스팅은 아닙니다. 이는 넷매니아즈 기술문서 "DHCP 상세 동작 원리" 참조)

3. [단말 -> DHCP 서버] DHCP Request Message

단말이 브로드캐스트 메시지를 보내면 이를 DHCP Relay Agent가 수신하여 유니캐스트로 변환(SIP=DHCP Relay Agent, DIP=DHCP Server)하여 DHCP 서버로 전달

4. [단말 <- DHCP 서버] DHCP Ack Message

DHCP 서버가 DHCP Relay Agent로 유니캐스트(SIP=DHCP 서버, DIP=DHCP Relay Agent)로 보내면 이를 수신한 DHCP Relay Agent는 단말로 브로드캐스트로 변환하여 전송

출처 : http://www.netmanias.com/ko/post/blog/5366/dhcp-ip-allocation-dhcp-relay/what-is-a-dhcp-relay-agent

CentOS

ssh -R 172.16.10.10:4444:172.16.20.80:80 -l netsec 172.16.10.10

172.16.10.10에 4444포트로 들어오는 걸 172.16.20.80에 80번 포트로 보낸다. 172.16.10.10 ssh ID를 이용 

*이 명령어는 백트렉(ssh client)에서 사용되고 172.16.10.10은 windows ssh server역활을 하고있어야하며172.16.20.80은 웹서버를 뜻한다 netsec은 windows ssh server의 user이름이다.

cisco장비에서 tftp Winserver로 파일을 전송할때

GW\copy running-config flash:ex.txt  *running-config파일을 flash메모리에 ex.txt로 저장한다.   

Destination filename [ex.txt]?

Erase Flash: before copying? [confrim]n *flash메모리를 지우고 복사하겠습니까?

Verifying checksum... OK(0x1C48)

2989 bytes copied in 7.020 secs(426 bytes/sec)

*파일 복사가 완료후

GW\show flash: *flash메모리에 파일 복사가 되었는지 확인

GW\copy flash: tftp: *flash메모리 파일을 tftpserver로 복사하겠습니다.

Source filename []? ex.txt

Address or name of remote host []? *tftpserver에 주소를 입력

Destination filename[ex.txt]? *Destination filename이 ex.txt가 맞는지 확인

-----------------------------------------------------------------------------

cisco 장비 대 장비 전송방법

TFTP_Server

copy running-config flash:aa.bin *running-config file을 flash memory 공간에 aa.bin으로 저장

Destination filename[aa.bin]? 

Erase flash: before copying? [confirm]n

*tftp 서버에서는 running-config를 flash memory에 aa.bin으로 저장.

TFTP_Client

copy tftp: flahs:

Address or name of remote host[]? *tftp_server주소를 묻는다.

Source filename[]? *가져올 파일명을 묻는다 (aa.bin)

Destination filename[aa.bin]?

sys log 서버 만들기

sys log 서버로 만들 디바이스에 kiwi sys log 설치

라우터에서 

logging sys

loggin 172.16.8.10 (IP주소는 sys log 서버 주소를 입력해준다)

loggin trap level 어떤 로그까지 볼 것인지

logging on 하면 끗

Facility : 서비스 별 Log 정보

 - cisco 는 기본으로 Local7

NTP 서버 설정할 Cisco 장비에서

ip name-server 168.126.63.1

ip domain-lookup

ntp server time.ewha.net

show ntp associations

clock timezone KOR +9

show ntp status

ntp 서버 클라이언트 동기화

서버에서 ntp peer 10.10.10.1(클라이언트 ip)

클라이언트에서 ntp server 10.10.10.2(서버 ip)

broadcast는 인터페이스에서 ntp broadcast하면 

broadcast란 뿌려주기만 하는 포트에서 설정해주면 된다.

TCP Socket

Socket 프로그래밍 : Port + IP Address를 결합하는 프로그래밍을 Socket 프로그래밍

Port와 IP를 매핑시키는 것을 Socket이라 한다.

TCP Session

PC01( Port + IP address )===============PC02( Port + IP address )

연결되면 Session이 연결되다

UDP에서는 Session이라는 표현을 쓰지않고 Connect라는 표현을 사용

TCP는 쓰리핸드 쉐이크를 통해 연결을하기에 Session이라는 표현을 사용하지만

UDP는 데이터를 그냥 던지는 방식이기 때문에 Connect라는 표현을 사용

Port address

well-known port(잘 알려진 포트) : 0 ~ 1023

Registered port(등록된 포트) : 1024 ~ 49151

Dynamic port(동적 포트) : 49152 ~ 65535

유닉스/리눅스 well-known port 열려면 루트 권한이 필요하다.

스패닝트리(Spanning Tree)

네트워크의 안정성을 위하여 스위치를 이중화 시킨 경우에, 스위치는 물리적으로 루프 구조를 가지는데

물리적인 루프 구조에서 특정 포트를 차단하여, 루프를 방지합니다.

모든 스위치(브리지)는 스패닝 트리를 지원합니다(설정을 하지 않아도 자동으로 동작합니다).

스패닝트리에는 STP, RSTP, PVST+(Cisco default), PVRST+, MSTP등 여러 가지 종류가 있습니다.

STP는

네트워크를 논리적 트리로 취급하고, 

스위치(브리지)간에 BPDU (Bridge Protocol Data Unit) 패킷을 상호 교환 하고 브리지와 포트 정보를 비교함으로서, 

각 포트의 프레임 전송 여부를 결정합니다.

구체적으로 다음과 같은 순서에 따라 이루어집니다.

1．루트 브리지 선택

   브리지 사이의 BPDU 패킷 교환을 통해 가장 작은 브리지 ID 값을 갖는 브리지가 루트 브리지로 선출됩니다.

   이후에는 루트 브리지에서만 원래 BPDU 패킷을 전송하고 다른 브리지가 루트 브리지에서 수신한 BPDU 패킷을 전송합니다.

   (BPDU 패킷 안에 브릿지 ID는 총 8byte의 패킷이며 상위 2byte는 브리지 priority 하위 6byte는 mac주소로 구성이 됩니다.

    그래서 먼저 priority를 비교하고 만약 priority값이 같다면 낮은 mac주소를 우선순위로 생각합니다.)

※ 브리지 priority는 2byte(16bit)로 만들어지기 때문에 0부터 2의 16제곱-1까지가 됩니다. 따라서 브리지 priority에 올 수 있는 수는

   0부터 65535까지가 됩니다. 그런데 브리지 priority의 Default값은 그중간에 해달하는 값인 32768을 사용합니다.

   (즉 아무 설정을 하지 않으면 스위치나 브리지의 브리지 priority는 32768이 됩니다.)

이렇게 루트 브리지가 선택되면 각 포트는 역할을 결정합니다.

2. 포트 역할 결정

   각 포트의 루트 브리지까지의 장비와 장비가 연결되있는 링크의 비용(Path cost)을 바탕으로, 포트 역할을 결정합니다.

- 루트 포트(Root port)

  스위치(브리지)에서 루트 스위치(브리지)까지의 비용이 가장 작은 포트 해당포트에서 루트 스위치(브리지)로부터 BPDU패킷을 수신합니다.

- 지정 포트(Designated port)

  각 링크의 루트 스위치(브리지)까지의 비용이 작은 쪽의 포트 루트 스위치(브리지)로부터 받은 BPDU패킷을 전송하는 포트입니다.

  루트 스위치(브리지)의 포트는 모두 지정된 포트입니다.

- 비지정 포트(Non designated port)

  루트 포트 지정 포트 이외의 포트 프레임 전송을 억제하는 포트입니다.

※ Path Cost

   Bandwidth(대역폭) STP cost(Path Cost)

   10Mbps                           100

   100Mbps                            19

   1Gbps                             4

   10Gbps                             2

이렇게 루트 브리지와 포트 역할을 정해주기위해서 움직이는 BPDU를 설정(Config) BPDU라 하고

네트워크상에 변화(이중화 된 곳중 한곳의 연결이 끊어졌거나 인터페이스가 꺼지는 경우 또는 새로운 Line이 연결되는 경우)가 

생기면 알려주는 TCN BPDU가 하나 더 있습니다.(만약 네트워크상에 변화가 있지않다면 생성되지 않습니다.)

TCN BPDU는 네트워크상에 변화를 알리는 프레임이라 프레임의 구조는 매우 간단합니다.

필드             크기(바이트)        내용

프로토콜 ID            2                항상 0

버전                    1                BPDU의 버전 표시 STP : 0 , RSTP : 2 , MSTP : 3

타입                    1                BPDU 종류 표시. 0x00 : 설정 BPDU

Spanning tree port state (스위치가 전원이 켜지면서 포트의 상태를 순서 대로 나열)

  1) diable (사용안함) : 링크와 연결이 안된 상태 

  2) blocking (모든 송수신을 막은 상태, 단 BPDU는 수신 가능) : 다른 스위치로 부터 BPDU를 받기위해 대기(20초)

      - Max age --> 다른 스위치로 부터 BPDU를 받기 위해서 20초동안 대기 한다. 

                            (만약 2초 후에 BPDU를 받았어도 20초 동안 기다린다.)

  3) Listening (모든 송수신을 막은 상태, 단 BPDU는 수신 가능) : 포워딩 단계까지 가기위한 지연시간(15초)

       - Forward delay --> 모든 BPDU를 참조하며, 네트워크 루프 발생 여부 확인

  4) Learnig(모든 송수신을 막은 상태, 단 BPDU는 송수신 가능) : MAC 주소를 학습하기 위한 지연시간 (15초)

       - Forward delay  --> MAC 주소 학습

  5) Forwarding (모든 송수신 가능 : 프레임송수신, BPDU 송수신)  : 포트가 정해지며 정상 가동 중.

RSTP는 

STP와 기본적으로는 같은 동작을하지만 STP보다 스위치를 동작시키고 포워딩상태로 되기 까지 작은 시간이 소모됩니다.

그 이유는 RSTP의 포트 상태는 Discarding, Learning, Forwarding의 3단계로 이루어져있기 때문입니다.

RSTP의 Discarding 상태는 STP의 Disable, Blocking,Listening의 병합입니다.

그리고 RSTP는 STP와 다르게

Proposal(제안) BPDU와 Agreement(동의) BPUD를 사용합니다.

ProposalBPDU는 루프가 일어 날수 있는 구조에서, 상대편 스위치에게 (내가 대장스위치를 한다라는)P.B를 보냅니다.

만약 상대편 스위치가 P.B속에 있는 브릿지 ID를 보고, 상대편이 자신보다 낮은 브릿지 ID를 가지고 있다면 A.B를 보내고

그렇지 않다면 P.B(자신이 더 낮은 브릿지 ID를 가지고 있다)를 보냅니다.

포트 타입으로는

Root Port(STP의 Root Port와 동일)

Designated Port(STP의 Designated Port와 동일)

Alternate Port(STP의 Non designated port와 동일)

이 있습니다.

RSTP도 STP와 같이 토폴리지상에 변화가 생기면 TCN BPDU로 네트워크 상에 변화를 알려줍니다.

 ## Port Security ##

- 특정 포트에 지정된 MAC 주소를 가진 장비만 접속을 허용하는 기술. 

- 만약 지정된 MAC 주소가 아닌 다른 MAC을 가진 장비가 접속될 경우 자동으로 해당 포트를 down(err-disable)시킨다. (다운된 포트 확인은 [sh int status err-disabled] 명령어로 가능하다.) 이렇게 다운된 포트는 문제를 해결한 후 관리자가 'shutdown'을 입력한 다음 다시 'no shutdown'을 입력해야 다시 활성화 된다.

- 특정 포트에 접속이 허용된 MAC 주소는 다른 포트에 접속할 수 없다.

- 포트 보안의 경우 static하게 설정된 access, trunk, tunnel 포트에서만 설정이 가능하다. (즉, 반드시 switchport의 모드를 수동으로 입력해야 한다.) L3포트(Routed 포트, SVI), Etherchannel 등에서는 설정이 불가능하다.

- 포트 보안에는 동적 포트 보안, 정적 포트 보안, 포트 sticky, 이렇게 3가지방식이 있다.

-----------------------------------------------------------------------------

 1) 동적 포트 보안 

 - 해당 포트에 [switchport port-security] 명령어 사용.

 - 설정시 MAC 주소 테이블에 해당 포트와 매핑된 MAC 주소가 있거나 혹은 설정 후 이 포트를 통해 수신되는 frame의 출발지 MAC 주소가 포트 보안용 MAC 주소로 지정된다.

 - 기본적으로 포트 보안이 설정된 포트는 하나의 MAC 주소만 접속을 허용한다.