네트워크 구성도 예시 및 각종 기술 정의
의정부 을지대학교 병원 및 을지 대학교 캠퍼스 네트워크 제안요청서
라우터를 두개 두는 이유 : 장애 대응(장비 이중화)
DR(Disaster Recovery) 장애복구 솔루션
1. 이중화
- Active/Standby(A.S) : 장애에 대비해 한 대는 예비로만 둠
- Active/Active(A.A)
- 두 장비 모두 사용하면서, 장애 발생 시 다른 장비가 이어 받아서 가능
- 두 장비를 동시에 사용하기 때문에 로드 밸런싱(Load Balancing)이 가능
- Fault Tolerance(FT) : 장애가 발생했을 때 결함을 허용해야 함, 장애극복(FO) 대비책이 있기 때문에 ‘무조건 결함 자체가 용납 못해’는 안됨
- Fault Over(FO) : 장애가 발생했을 때 극복할 수 있는 대비책이 있어야 함
- => A.S는 장애극복(FO:Fault Over)까지만 가능, A.A는 장애극복(FO)에 더불어 로드밸런싱(LB:Load Balancing)까지 가능
1) 클러스터링
- 이중화가 적용된 장비 구성에는 ‘특정 경우에 어떤 장비로 나갈 것인지’에 대한 해결책이 필요함
해결 방안으로 클러스터링 기술이 있음(ex. 물리적으로는 2개지만, 논리적으로는 1개인 것처럼)
- HSRP, VRRP의 기술을 이용해 이중화 게이트웨이 구성 가능
- HSRP(Hot-Standby Router Protocol) : 핫-스탠바이(A.S) 방식으로 하나의 장비만 운영(시스코 장비에만 가능)
- Priority(우선순위)를 기준으로 우선순위가 높으면 Active 라우터, 더 낮으면 Standby 라우터로 운영(우선순위 변경 가능)
- 각 라우터끼리 3초마다 hello 메시지를 멀티캐스트(1:N)로 주고 받으며, 서로의 우선순위 확인(Speaking, Listening)
주로 VLAN에 설정
- VRRP(Virtual Router Redundancy Protocol) : 가상화 기술로 두 장비를 모두 운영(모든 장비)
- HSRP의 Active-Standby 대신 Master-Backup으로 표현
- 개념은 HSRP와 동일
- 벤더 사마다 VLAN이 달라서 주로 물리 인터페이스에 설정
* DOS 공격 : 서비스 거부 공격
* D-DOS 공격(분산된 서비스 거부 공격) : 대량의 좀비PC를 만들어 그 좀비PC를 이용해 다방면으로 서비스 거부 공격을 진행(DOS 공격에 비해 비교적 공격의 원천지를 찾기 힘듦)
DDos 방어 장비
- 서비스 거부 공격의 대응책으로 DDos 방어 장비를 두어 1차적으로 DDos 공격에 대응함
- 이후 방화벽에서 2차적으로 필터링해 패킷을 통과시키지 못하게 함
VPN
- 재택근무와 같은 환경에서 접속할 수 있도록 VPN 장비를 두었는데, 방화벽 밖에 두어 VPN으로 내부망으로 들어올 때 방화벽에서 필터링 거칠 수 있도록 함
IPS(Intrusion Prevention System) : 침해 방지 시스템
IDS(Intrusion Detection System) : 침해 탐지 시스템(탐지만)
=> 보통 두 장비를 같이 사용해야 하거나, UTM 장비(IPS+IDS)를 사용함
침해 탐지 시스템, 침해 방지 시스템을 통과해야 내부망에 접속이 가능
DMZ
- 웹 서버, 메일 서버를 DMZ에 두어 외부에서 접근할 수 있도록 함(DMZ를 통해 들어오는 외부 웹 패킷들을 웹 방화벽(WAF)에서 필터링)
- 서버팜 스위치로 보아 외부에서 접속 가능한 서버인 웹 서버, 메일 서버 전용의 서버팜을 둔 것으로 보임
스토리지
- IPS(+IDS)를 거쳐 인터넷망 VDI에서 스토리지에 데이터 저장(데이터센터 개념)
- 가상으로 만든 환경인 VDI를 백본 스위치 밑에 둘 수도 있지만, 그 상세한 이유는 요청서를 확인해봐야 함(현 토폴로지에서는 백본 스위치 밑과 위 둘 다 가능, 꼭 백본 스위치 위의 IPS(+IDS)에 붙여야 하는 이유는 x)
백본 스위치
- 장애에 대비해 이중화 구성
- 코어 스위치(코어 계층), 분배 스위치(분배 계층), 액세스 스위치(액세스 계층) 중 코어 스위치에 해당
- 아래 A구역~H구역, 데크주차장이 있는 옥외AP(AccessPoint)에 있는 스위치가 분배 계층, 액세스 계층에 해당하는 것으로 보임
서버 팜(Server Farm)
- 외부망에서 접속이 필요한 웹 서버, 메일 서버를 제외한 내부망 전용 서버들을 백본 스위치 밑에 둠
- 일반적으로 생각하는 서버 팜(Server Farm)
인증서버, 무선랜
- 다양한 인증들에 사용되는 인증서버
- 무선랜 사용을 위한 무선랜 컨트롤러
옥외 AP(Access Point)
- 병원의 일반 의사, 간호사 등 병원 구성원들이 사용하는 환경(Office 망으로 생각)
원래 인터넷망과 연결은 라우터를 이용하지만, 메트로 스위치를 사용한 것으로 보아 인터넷망과 내부망의 거리가 가깝다라는 것을 추측 가능
PoE 스위치
- 전원공급이 가능한 스위치(군대에서 사용한 PoE 허브와 같은 개념)
- UTP 케이블 구리선에서 데이터와 전기를 같이 공급받는 것
QoS(Quality of Service)
- 서비스의 품질(모바일 데이터 일정량 사용 후 저하된 속도로 이용하도록 하는 요금제가 해당)
SSL-VPN
- 보안이 적용된 VPN
AP
- Access Point
스토리지 : 저장소
SAN 스위치
- 케이블 중 전기가 아닌 빛으로 데이터를 전송하는 방법 -> 광케이블
- 광케이블을 이용한 스위치(HBA : 광(빛) 신호를 주고 받는 NIC, 일반적인 전기 신호를 주고 받는 NIC에 대응)
DAS : 직접 다이렉트로 연결한 하드디스크
NAS : 네트워크(구리선)에 연결시킨 스토리지 박스
SAN : 네트워크(광)에 연결시킨 스토리지 박스
=> DAS의 형태를 이용하지 않고 NAS나 SAN의 스토리지 박스를 이용(관리에 더 용이함)
Broadcast Strom
- 동일 네트워크 내에서 ARP 통신에 브로드캐스트 방식으로 패킷이 전송되는데, 동일 네트워크 내에서 루핑에 해당하는 결함이 있으면 루핑으로 인해 해당 브로드캐스트 패킷이 돌고 도는 현상(STP로 대응 가능)
Uplink 포트
- 상위계층과 연결되는 포트(스위치에 하위 연결되는 포트가 아닌 상위 장비와 연결되는 포트)
VLAN Access Mode/Trunk Mode
- 스위치별로 VLAN을 만들고 인터페이스를 지정해 줌, 해당 인터페이스를 통해 다른 VLAN과 통신함
- Access Mode : 하나의 VLAN만 통신 가능
- Trunk Mode : 다수의 VLAN 통신 가능, 이동하는 트래픽의 식별이 필요(Vlan Tag(=801.1q=dot1q))
Link Aggregation
- 여러 링크를 하나로 합쳐 대량의 속도를 냄(ex. 100M 링크 4개 결합->400M 속도 가능)
LLDP(시스코 이외 장비)/CDP(시스코 장비)
- 링크 확인하는 프로토콜, 링크에 연결된 장비들의 정보를 알아 옴
Hot Swapping
- 전원 on/off 없이 장비 교체 가능(무중단 서비스) -> 서버와 같이 장비 중단이 되지 않아야 하는 장비에 사용
- (위 네트워크 구성도에서는 백본 스위치를 해당 기능이 있는 장비 선정)
==» 네트워크 디자인하고 요청서 제출할 때, 내가 필요한 기능이 있는 장비를 확인하고 선정, 구매해야 함
Server Farm, DC, DMZ 영역을 나눌 때, VLAN과 같은 망 자체 분리 방법이 아닌 라우팅 방법으로 나눔
-> 분배 스위치가 수행(라우팅의 방법을 사용해야 하기 때문에 L3 스위치를 사용해야 함)
국립의료원 노후 정보보안 및 네트워크 장비 교체사업 제안요청서
Dual-Homed
- 2개의 인터넷망을 두어 장비처럼 인터넷도 이중화 시킴(비용 부담이 큼, 국립의료원 세금운영이라 아몰랑 한건가)
★ 이러한 네트워크 디자인 구성도는 대부분 대동소이하고 보안 요소들의 차이만 있음
프로세스
기획 -> 설계 -> 문서화(Doc) -> 구현 -> 검증 -> 테스트 -> 배포