'게이트웨이'에 해당되는 글 3건

  1. 2011.09.16 Apache서버 서비스 거부 취약점 보안업데이트 권고
  2. 2009.01.30 네트워크 장비의 기본 개념 및 기능
  3. 2009.01.14 게이트웨이(Gateway)의 이중화 VRRP/HSRP (3)
2011. 9. 16. 19:06

Apache서버 서비스 거부 취약점 보안업데이트 권고

728x90

□ 개요
   o Apache웹서버에 원격 서비스거부(Denial of Service) 공격 가능한 신규 취약점이 발견됨 [1]
   o 공격자는 mod_proxy_ajp와 ‘mod_proxy_balancer모듈이 같이 사용되는 아파치 서버 환경에서 
      특수하게 조작된 HTTP패킷을 전송할 경우, 서비스 거부를 발생시킬 수 있음

□ 해당 시스템
   o 영향 받는 소프트웨어 [1]
     - Apache 2.2.20 및 이전 버전
      ※ 자세한 버전은 참고사이트 참조

□ 해결방안
   o 취약한 버전을 운용하고있는 웹서버 관리자는 Apache 2.2.21버전으로 업데이트[3]
     ※ Apache 1.3버전의 경우 업데이트 지원이 중단되었으므로, 해당 버전 운용자는2.2.21버전으로
         업그레이드 권고

□ 용어 정리
   o Apache : WWW(World Wide Web)서버 소프트웨어
   o mod_proxy : Apache 프록시/게이트웨이 기능을 구현하는 모듈
   o mod_proxy_ajp : mod_proxy에서 AJP(Apache JServ Protocol)를 지원하는 모듈
   o mod_proxy_balancer : 부하분산을 위한 mod_proxy확장 모듈

□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://secunia.com/advisories/46013/
[2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3348
[3] http://httpd.apache.org/download.cgi


Trackback 0 Comment 0
2009. 1. 30. 10:12

네트워크 장비의 기본 개념 및 기능

728x90

I. 허브(Hub) 
 
허브는 한 사무실이나 가까운 거리의 컴퓨터들을 UTP케이블을 사용하여 연결하기 위해 사용하는 네트워크 장비이다.
 
 1) 허브의 기능 
 
   ① 컴퓨터 끼리의 네트워크 연결
   ② 근거리의 다른 네트워크(즉,다른 허브)와의 연결
   ③ 라우터(Router)등의 네트워크 장비와 연결
   ④ 네트워크 상태 점검(모니터링 기능)
   ⑤ 신호 증폭 기능(리피터의 역할) 
 
2) 허브 사용의 장점
 
   ① 네트워크 관리가 용이해진다.
   ② 네트워크 에러를 검출해 내기 쉽다.
   ③ 병목 현상을 어느 정도 줄여 준다.
   ④ 확장이 용이하다.
   ⑤ 다른 네트워크와 네트워크 장비에 연결할 수 있다.
   ⑥ 신호를 증폭해 준다. 
 
3) 허브의 종류
 
   ① 포트 수에 따른 분류
       -. 4포트, 8포트, 12포트, 16포트, 24포트, 32포트
       -. 허브의 포트는 RJ-45 커넥터를 연결할 수 있는 포트를 말함
       -. 이 포트 외에 BNC포트를 하나씩 가지고 있다.
       -. 일반적으로 BNC포트에 8개의 컴퓨터와 직렬로 연결할 수 있다. 
 
   ② 기능에 따른 분류
       * 더미 허브(Dummy Hub)
         -. 단순히 중계기의 역할만을 수행
         -. 10Mbps의 속도를 모든 포트가 공유하여 사용
         -. 포트 수 증가시 트래픽이 문제가 된다.
       * 스위칭 허브(Swtching Hub)
         -. 각각의 포트마다 10Mbps의 속도를 할당
         -. 사용자가 증가하더라도 빠른 속도로 데이터를 전송
         -. 화상통신이나 DB를 빈번하게 억세스하는 등의 경우에 사용
         -. 인터넷 서버에 연결하는 허브로 사용  


II. 리피트(Repeater) 
 
   ① 네트워크 선로를 통해 전달되는 신호를 증폭하여 연결된 네트워크로 전송하는 장치
   ② OSI7 계층 참조모델의 물리 계층(Physical Layer)을 연결하는 장치
   ③ 신호를 재생하여 전달되는 거리를 증가시킨다.
   ④ 케이블 길이가 길 경우 약해진 신호를 증폭시킬 때 사용


[리피트를 사용하면 안되는 경우]
 
-. 네트워크 트래픽이 많을 때
-. 세그먼트에서 사용되는 억세스 방법들이 다를 때
-. 어떤 종류이건 데이터 필터링이 필요할 때
 
 
III. 브리지(Bridge) 
  
   ① 동일한 프로토콜을 사용하거나 다른 프로토콜을 사용하는 LAN을 연결하는 장치
   ② 물리 계층 및 데이터 링크층(MAC계층)의 연결기능을 제공
   ③ 네트워크를 분리하는 기능을 담당
   ④ 공간의 부서,팀,건물의 구조에 따라 서로 분리
   ⑤ 서로 다른 종류의 네트워크를 연결
   ⑥ 연결된 네트워크의 구성(OS, 프로토콜)을 알고 있는 경우 연결하는 장비
   ⑦ 네트워크를 일정한 규칙에 따라 분리하여 검사 대상을 줄인다
   ⑧ 백본(Backbone)망이 구축된 상태에서 주로 사용
   ⑨ 리피트보다 지능적이며 리피트의 기능을 모두 갖고 있다.


[장점]
 
  -. 설치가 용이
  -. 환경설정이 불필요
  -. 상위 계층 프로토콜과 무관
  -. 물리적인 제한(최대 길이, 최대 연결 컴퓨터 수)을 극복 가능
  -. 다양한 속도를 사용할 수 있다
  -. 네트워크 관리가 용이하며, 구조가 단순하여 값이 싸다.
  -. 다른 타입의 LAN 연결이 가능


[단점]
 
  -. 다양한 경로의 선택이 어렵다.
  -. 적절치 않은 경로 선택이 될 수 있다 : 지연 유발
  -. 장애시 대처가 어렵고 응용에 제한이 있다. 


IV. 라우터(Router)와 브라우터(Brouter)
 
1. 라우터 (Router)
   ① 다른 기종간의 네트워크를 연결하는 역할을 하는 네트워크 장비
   ② 알 수 없는 임의의 네트워크와 내부 네트워크를 연결
   ③ LAN을 WAN과 연결하는데 많이 사용
   ④ OSI7 계층 참조모델의 물리 계층, 데이터 링크 계층, 네트워크 계층 간을 연결
   ⑤ 여러 가지 프로토콜에서 전송되는 패킷을 받아 드릴 수 있어야
   ⑥ 네트워크의 가장 트래픽이 적은 경로를 찾아 목적지로 데이터를 전송하는 기능 즉, 브리지 + 경로 배정
   ⑦ 전용선을 통해 인터넷을 사용할 때 반드시 필요
   ⑧ 네트워크의 보안을 위한 Firewall 기능을 하는 기종도 있음
* Static 라우터
   네트워크 관리자가 패킷에 대한 전송 경로를 어떻게 선택할 것인가를 결정해 주는 라우터 관리가 어렵다.
* Dynamic 라우터
  Static 라우터에 비해 지능적이며, 모든 인터페이스를 검사하여 최적경로를 찾을 수 있는 테이블을 만든다
 

 [장점]
 
  -. 환경 설정이 가능
  -. 유지, 보수가 용이
  -. 알고리즘에 따라 자동으로 경로가 결정됨
  -. 확장이 용이
  -. 토폴로지에 구애 받지 않으므로 대규모 네트워크 구성에 용이
  -. 다양한 경로가 존재하므로 트래픽이 분산
 

 [단점]
 
  -. 초기 환경 설정이 어렵다.
  -. 특정 프로토콜에 의존, 다영한 프로토콜 지원이 어렵다.
  -. 하위 프로토콜 지원이 불가능하다.
  -. 복잡하여 가격이 비싸다.


2. 브라우터 (Brouter)
   ① 네트워크를 연결하고 분리하는 장비
   ② 브리지와 라우터의 기능을 겸함
   ③ Bridging Router 또는 Routing Bridge라고도 함
   ④ 규모가 큰 네트워크에서 네트워크와 네트워크를 분리하거나 인터넷에 연결할 필요가 있는 경우 많이 사용
 
       학교, 회사 등과 같이 몇 개의 건물들을 네트워크로 연결하는 경우
       백본을 사용하게 되는데, 내부 네트워크와 인터넷을 동시에 사용하고자 할 때

       서브 네트워크에서는 중앙의 서버와 인터넷을 동시에 사용하기 위하여 브라우터를 사용한다. 


스크리닝라우터(Screening Router)

네트워크에서 사용하는 통신프로토콜의 형태, 근원지 주소와 목적지 주소, 통신프로토콜의 제어필드 그리고 통신시 사용하는 포트번호를 분석하여 내부네트워크롸 외부 네트워크로 나가는 페킷트레픽을 허가및 거절하거나 혹은 외부 네트워크에서 내부네트워크로 진입하는 페킷트래틱의 진입허가및 거절을 행하는 라우터를 말한다.
일반 페킷과 특수한 프로토콜에 입각한 포트로 전송되는 패킷을 구별하는 능력 때문에 패킷필터라우터하고한다.

스크리닝 라우터는 OSI 참조모델의 계층 3과 계층 4에서 동작되기 때문에 계층 3과 계층4에서동작하는 프로토콜인 IP(internet protocol), TCP(Transmission control protocol) 혹은 UDP(user datagram protocol)의 해더에 포함된 내용을 분석해서 동작한다.

○ 장점
 ① 필터링 속도가 빠르고 비용이 적게든다.
 ② 네트워크계층에서 동작하기 때문에 클라이언트와 서버에 변화가 없어도 된다.
 ③ 사용자에 대해 투명성을 가진다.
 ④ 하나의 스크리닝라우터로 보호하고자 하는 네트워크 전체를 동일하게 보호할 수 있다.

○ 단점
 ① 네트워크계층과 트랜스포트계층에 입각한 트래픽만 방어할 수 있다.
 ② 패킷 필터링규칙을 구성하여 검증하기 어렵다.
 ③ 패킷내의 데이터에 대한 공격을 차단하지 못한다.
 ④ 스크리닝 라우터를 동과 혹은 거절당한 패킷에 대한 기록(log)을 관리하기 힘들다.
 

V. 게이트웨이(Gateway)

     ① OSI 참조 모델의 모든 계층을 포함하여 동작하는 네트워크 장비

     ② 두개의 완전히 다른 네트워크 사이의 데이터 형식을 변환하는 장치

     ③ 프로토콜 구조가 다른 네트워크 환경들을 연결할 수 있는 기능을 제공

     ④ 여러 계층의 프로토콜 변환기능을 수행하므로서 네트워크내의 병목 현상을 일으키는 지점이 될 수 있다.


[장점]
 
  -. 완전히 다른 시스템을 연결한다.
  -. 게이트웨이의 고유한 기능만을 실행한다.
 
[단점]
 
  -. 다른 장치보다 가격이 비싸다.
  -. 설치와 사용환경 설정이 어렵다.
  -. 데이터 변환의 기능을 갖기 때문에 전송 속도가 매우 느릴 수 있다. 

---------------------------------------------------------------------------------------- 

라우터는 3단계 NetWork Layer(네트워크 계층)입니다.

라우터는 IP통신을 하는 장비죠, 중요한기능은 데이터를 목적지까지 가장 안전하고 빠르게 전달하는 것이며 이런기능을 라우팅이라고 하고요, 따라서 경로를 선택하고 주소를 정하고 결로에 따라 패킷을 전달해주는역할을 하는 것이 라우터라고 할수있습니다.

브릿지는 2단계 Data Link Layer(데이터링크 계층)입니다.

브릿지는 스위치의 원조격으로써 브릿지가 가지고있는 특성을 스위치가 모두 갖고있다고 보면 됩니다.
브릿지는 콜리전 도메인(충돌도메인)을 나눠주는 역할을 합니다.
우리가사용하는 이더넷(Ethernet)방식 에서는 CSMA/CD라는 통신방식을 사용하는데 이 방식은 같은 네트워크상에서의 컴퓨터 통신시에 누군가가데이터를 보내고 있으면 나머지 컴퓨터들은 데이터를 보낼수없는 방식입니다. 예를 들어 어떤 컴퓨터가 데이터를 네트워크 상에 실어 보내고 있는데 내 컴퓨터도 데이터를 네트워크상에 실어보내게 되면 멀티엑세스(다중접근)에 의해 데이터가 서로 충돌이 나게 됩니다. 이럴경우 충돌이난 컴퓨터들은 잠시 대기하고 있다가 네트워크상에 데이터가 있는지 없는지를 감시하다가 다시 데이터를 보내게 됩니다. 이때 잠시동안의 시간은 우리가 느끼기 어려운시간으로 매우 순식간에 이뤄집니다.

이런 콜리전 도메인은 소큐모 네트워크상에서는 큰 문제가 되지 않지만 대규모 네트워크에서는 자칫
네트워크가 마비되는 현상이 발생할수있습니다. 하나의 네트워크를 수백, 수천대가 서로 번갈아가면서 사용한다면 충돌이 지속적으로 발생할 수 있습니다. 이런 대규모의 네트워크를 나눠서 콜리전 도메인을 줄여보자는게 브릿지가 하는 일입니다. 즉 하나의 네트워크에 1000대가량의 컴퓨터가 존재한다면 네트워크를 각각 500식 2개로 나누고 그사이에 브릿지라는 장비를 놓게됨으로써 콜리전 도메인이 1000 에서 500으로 줄어드는 효과를 나타낼수 있는것입니다.

리피터는 1단계 Physical Layer(물리 계층)입니다.

네트워크 세그먼트 사이에서 전기 신호를 재생성하고 전달하는 장치입니다.
즉 선로상에서 갈수록 약해지는 데이터신호를 증폭시켜주는 역할을 하는 장치로서 예를들면 최대전송거리가 100미터인 10 Base T 선으로 150미터를 사용해야 한다면 100미터지점에 리피터를 달아 신호를 증폭시키고 50미터선을 연결해서 150미터를 사용할수있게 되는것입니다.
데이터를 인식하는 능력은 없으며 컴퓨터 통신상에서도 리피터의 존재는 보이지 않습니다.
단지 기계적으로 데이터신호를 증폭시켜주는 역할에 불과합니다.

★ 리피터
리피터는 LAN케이블상을 흐르는 신호를 재생, 중계하는 장치로 OSL모델의 물리계층에 해당되는 기능을 수행한다. 최대25m까지 접속 가능한 로컬 리피터와 광파이버 결합이나 마이크로웨이브 결합에 의한 리모트 리퍼터가 있다.

★ 브리지
브리지는 OSL모델의 데이터링크층 중 MAC층에 해당되는 일을 수행하며, 패킷이나 프레임을 중계/파기하는 LAN간 접속장치이다. 로컬 브리지와 리모트 브리지가 있다.

★ 허브
허브는 LAN시스템의 다양화를 지원하기 위해 통합 회선관리를 목적으로 탄생한 장비로서, 직접 또는 NIU를 거쳐pc들을 다양한 전송매체(UDT,동축,광케이블)을 통해 네트워크에 접속할 수 있도록 해줌으로써 케이블  링의 간소화와 이동의 편리함을 제공하는 장비이다. 또, 허브는 스타형 네트워크의 중앙제어국과 같은 장치로 멀티포트 리피터라고 정의하며, Concentrator로 불린다.
허브에는 Dummy 허브와 SNMP기능을 보유한 Intelligent 허브가 있다.

★ 라우터
라우터란 OSI 모델의 네트워크층 레벨의 프로토콜 처리기능을 가진 LAN간
접속장치로, 부분망 내에서 주고받는 데이터는 부분망 내에서만 한정적으로 움직이도록 제한시켜 네트워크에 발생할수 있는 불필요한 데이터의 흐름을 제거한다.

★ 브라우터
브리지나 라우터처럼 네트워크상의 세그먼트 분리를 유지하면서 물리적으로 떨어진 네트워크를 연결하는데, 네트워크층 이상의 데이터를 갖는 프레임에 대해서는 라우터로서 동작하고, 그 이외에 대해서는 브리지로서 동작한다.
브리지나 라우터에 비해 비용 및 효과면에서 유리하며, 일반적으로 라우터라
하면 대부분 이 브라우터를 지칭한다.

★ 게이트웨이
같은 망 내에서도 프로토콜 패밀리가 전혀 다른 경우나, 서로 다른 프로토콜의 LAN이나 네트워크 시스템을 상호 접속하는 장치로OSL모델의 애플리케이션층까지 인식하여 동작하며, 사용하는 미디어나 각종 프로토콜들에 정합성이 없는 경우라도 그 기능에 따라 변환하여 통신을 가능하게 한다. 현재 자주사용되고 있는 예로 대형 법용기와 네트워크를 접속하는 경우에 이용된다.


허브로 연결한 경우

콜리젼 도메인이 같으므로 한번에 하나의 통신만 가능(CSMA/CD이기 때문에)
*콜리젼 도메인 : segment의 개념. 브리지나 스위치는 network segment를 나눠줌

브리지로 연결한 경우
브리지를 기준으로 콜리젼 도메인이 나뉘므로 콜리젼 도메인의 수 만큼 동시 통신이 가능

브리지의 다섯가지 기능
learning : 연결된 port에서 발생하는 packet의 출발지 MAC address를 table에 저장
flooding : packet의 목적지 MAC address가 table에 없는 경우 들어온 port를 제외한 모든 port로 flooding
forwarding : 브리지가 목적지 MAC address를 아는 경우(어떤 port에 붙어있는지 아는 경우) 해당 port로만 내보냅니다.
*flooding은 들어온 곳을 제외한 모든 port로 뿌리는 것이고 forwarding은 해당 port로만 내보내는 것입니다.
filtering : 출발지의 MAC address와 목적지의 MAC address가 같은 port에 연결된 경우
(같은 콜리젼 도메인, 같은 segment, 같은 LAN... 모두 같은말입니다.) 브리지를 넘어가지 못하도록 막아줍니다.(가장 중요한 기능)
aging : table에 MAC address를 언제까지나 저장해 놓을 수 없기 때문에 일정 시간이 지나면 table에서 지웁니다.(기본 300초)
*aging에 설정된 시간동안 해당 MAC address의 통신이 없으면 table에서 삭제

workflow
packet발생 -> learning or refresh(aging timer 재설정...table에 이미 출발지 MAC address가 있는 경우) ->
목적지가 broadcast or multicast or unknown(table에 없는 경우)인가? -> flooding
   else 목적지가 출발지와 같은 port(collision domain, segment, LAN...모두 같은 말)인가? -> filtering
   else 해당 port(목적지 MAC address가 존재하는 port)로 forwarding

브리지와 스위치의 차이점


브리지

스위치

결과(스위치 입장)

처리방식

S/W H/W 빠름

port별 속도

같음 다른 속도도 지원 flexible

port 수

2~3개 수십~수백개 scalability

forward 방식

store-and-forward only

store-and-forward
cut-through
fragment-free

빠른 forward

브리지와 스위치의 동작 플로우


결론

브리지와 스위치의 기본 function은 같음
스위치의 경우 더 빠른 처리가 가능하고 다양한 속도의 network(예:10Mbps와 100Mbps를 연결)를 연결할 수 있음
hub는 무조건 브리지의 flooding mode로 작동함(collision domain을 나눠주지 못함)

참고
collision domain : 서로 동시에 전송하면 충돌이 발생하는 영역, 한번에 하나의 traffic만 가능, 브리지나 스위치로 분리됨
broadcast domain : broadcast packet이 발생했을 때 이것이 전달되는 영역(범위), 라우터에 의해서만 분리됨


참조 : 후니의 쉽게 쓴 시스코 네트워킹


Trackback 0 Comment 0
2009. 1. 14. 14:49

게이트웨이(Gateway)의 이중화 VRRP/HSRP

728x90


HSRP(Hot Standby Routing Protocol)과 VRRP( Virtual Router Redundancy Protocol)

이름만 다를 뿐 하는 일이나 동작원리는 거의 같습니다.

물론 비슷한 것으로 익스트림의 ESRP가 있지만...배제하겠습니다.

 

이정도 강의를 읽으실 회원님들이시면..클라이언트가 같은 네트워크에선 상관이 없지만 다른 네트워크로 갈 때는 반드시 게이트웨이를 거쳐야 한다는 것을 아실 겁니다.

모르시면 강좌 "스위칭 라우팅" 참조하시길...

 

자, 위의 구성을 보죠..백본 2대..여기에 VLAN 2개올리고 IP라우팅을 합니다. 그리고 하단에 L2스위치가 보이구요, 하단에 PC 클라들이 보이죠

백본 2와 L2스위치로 가는 라인은 아마 Block이 걸릴 것입니다.  통신이 안되겠죠..

아직 Spaning tree를 이해못하셨다면 이전에 STP에 대한 강좌에 설명이 되어있습니다.

 

자, 10.10.10.X/24 네트워크에 대한 게이트웨이를 1이라 가정하면..백본 1이 죽으면 어떻게 될까요?

PC들은 10.10.10.X 네트워크의 리소스만 접근이 가능합니다.  다른 인터네트워크로는 접근을 할수가 없죠...왜냐하면 백본 1이 게이트웨이인데..게이트웨이가 없졌으니 라우팅을 할 수 없는 것이죠.

이래서 게이트웨이를 이중화 한것이 HSRP와 VRRP입니다.

HSRP는 시스코가 개발을 한것이고, 시스코 장비에만 올라갑니다.

VRRP는 IBM이 개발했고, 시스코를 포함한 모든 밴더에 올라가죠....표준안은 VRRP입니다.

 

만약, 경쟁입찰에서 다른 밴더 제품 못들어오게 하고 싶으시면 스펙에 "HSRP지원!!!!" 써 놓으시면

시스코 외엔 아무도 들어올 수 없습니다. ^^* (요러한 사항은 추후 RFP제작 이란 강좌를 다시 하겠습니다.)

 

HSRP나 VRRP를 설정하면 공통적인 것이 있습니다.  바로 Virtual IP를 생성 한다는 것이죠.

그리고 한넘은 Active, 한넘은 Standby가 됩니다.

 

다시 설명드리죠...백본 1의 IP는 10.10.10.1/24 백본 2의 IP는 10.10.10.2/24 그리고 VRRP설정시

Virtual IP는 10.10.10.254라고 가정하면, 두장비다 이 VIP로 동작을 합니다.

물론, 클라이언트에서 게이트웨이는 이 VIP인 10.10.10.254로 설정하죠..

 

백본 1은 10.10.10.254라는 IP를 가지고(자신의 아이피죠) 백본 2에 계속 hello를 보냅니다.

"나 살아있으니 알아서 죽어있어라~"  왜 일까요? 만약 백본 2도 10.10.10.254 VIP를 가동시키면

IP충돌이 나기 때문입니다.   백본 1이 죽을 경우...hello를 못받은 백본 2가 살아나서 다시 10.10.10.254로 라우팅을 계속해서 수행하게 됩니다.

 

이것이 게이트웨이의 이중화 입니다.



자, 이제 VRRP/HSRP가 어케 동작을 하는지 알아보죠...

실제 VRRP와 HSRP는 동작원리가 90%이상 같습니다.

HSRP는 시스코에서 나온 표준안이고 VRRP는 IBM에서 나왔습니다. RFP에는 VRRP가 먼저 등제되었습니다.

자, 위의 그림과 같이 세팅되었다고 치죠...각 백본에 VLAN을 두개 만들고 VRRP/HSRP그룹을 각각 1개씩 만들었습니다.

이 VRRP/HSRP에선 어떤 옵션을 선택할 수 있을까요?

 

1. VIP 당연하겠죠?  게이트웨이 서비스할 IP가 있어야 겠죠?

2. Priority  0~255설정입니다. 0은 VRRP에서만 적용됩니다. 

   두대중 어느놈이 ACtive인지 Standby인지 정합니다.  높은넘이 Active입니다.

3. Preempt  이건...장애 후에 다시 Priority가 높은 넘이 Active가져갈지 말지 정하는 것이죠..

   이건 다시 설명드리겠습니다.

 

각 장비는 멀티케스트로 자기의 정보를 날립니다.  이걸 Hello 패킷이라 부릅니다.

1번은 이렇게 말하겠죠..

"내 Priority는 200이구..내 VRRP ID는 0이다..."

이걸들은 2번 백본은 "내 priority는 100이구 내 VRRP ID는 0 이다"

2번스위치는 1번이 priority가 더 높다는 것을 알죠..그래서 standby상태로 있습니다.

옵션에서 정할 수 있지만 보통 hello는 3초마다 뿌립니다. 만약 백본 #1이 죽었다면...백본 #2는 그걸 어떻게 알까요?  3초후에 백본 #1로부터 hello가 안날라오겠죠?  그럼 백본 #2가 바로 active로 바뀔까요?  아닙니다.   백본#1이 뿌린 hello를 못받았을 수도 있다는 생각을 합니다.  그래서 hello의 3배를 기다립니다.(RIP과 같죠?)   이걸 hold time이라 합니다.

10초간 기둘려도 hello가 안날라오면..."아..확실히 뒤졌구나" 라고 백본#2는 생각하고 바로 Active로 전환하는 것입니다.

 

자..장애 복구 후 백본 #1이 살았습니다.  그럼 어케될까요?  만약 preempt가 enable되어있다면

백본 #1이 priority가 더 높기 때문에 백본 #1이 active로 다시 바뀝니다.

preempt가 disable이라면 priority가 더 높은 백본#1이 살더라도 계속 백본#2가 active가 됩니다.

 

이제 VIP이야기를 해볼까요?

백본 #1,#2는 각각 VIP를 가지고 있습니다.  두넘의 MAC은 어떨까요?  각자 만들었으니 비록 IP는 같아도 MAC도 같을까요?   같다면 서로 어떻게 맞춘것일까요?

 

먼저, MAC은 같아야 합니다.!!! 왜냐구요?  이해를 못하셨다면 기존 스위치강좌,스위치&허브 강좌 다시 읽으십시요...

예를 들어 백본#1의 VIP MAC이 111111:111111 이고 백본#2의 VIP MAC이 222222:222222라면

클라이언트의 ARP테이블엔 192.168.10.254 111111:111111라고 기억이 될겁니다.

백본#1이 장애가 났습니다. 그럼 백본#2가 active가 됩니다.

그래도 클라이언트는 통신이 안됩니다.  IP는 그대로가 되었지만 MAC이 다릅니다.

그래서 통신이 안되는 것이죠..백본에서 클라이언트에게 일일이 ping을 쏴주거나 클라이언트의 ARP테이블이 지워질때까지 통신은 안됩니다.  그래서 MAC도 같아야 합니다.

 

HSRP는 00:00:0C:07:AC:00 을 사용합니다.

VRRP는 00:00:5E:00:01:00을 사용합니다.

맨 앞의 00의미는 아시죠? 앞이 0이면..멀티케스트란 이야기입니다. ^^*

이것은 룰입니다.  따라서 VRRP/HSRP표준을 따르면 각 VIP를 생성할때마다 반드시 저 MAC으로 자동생성됩니다.  그래서 두 장비간에 MAC이 같아지는 것이죠..

한 VLAN안에 네트워크가 여러개일 경우는 어케할까요? 흔히 멀티넷이라 하죠..시스코에서는 세컨드리 아이피라 합니다.

VIP 1 00:00:5E:00:01:00

VIP 2 00:00:5E:00:01:01

VIP 3 00:00:5E:00:01:02  이런식으로 MAC을 생성합니다.

 

위의 그림을 다시 보죠..

VIP1 192.168.10.254 00:00:5E:00:01:00

VIP 2 192.168.20.254 00:00:5E:00:01:00   자, 각각 VLAN의 0번 id를 썼기에 MAC이 같습니다!!!

 

네떡에 문제가 생기겠죠?

아닙니다...안생깁니다.  왜냐구여? VLAN이 다르잖아요...

따라서 클라이언트는 다른 네트워크에 같은 MAC이 있다는 것을 모릅니다.

전에 말씀드렸듯이 ARP는 라우팅이 되질 않거등요...자신의 네트워크에서만 MAC을 스케닝 합니다.


Trackback 0 Comment 3
  1. 네떡초보 2015.10.22 13:30 address edit & del reply

    자세한 설명 감사합니다! 이해가 바로 되네요 ㅎㅎ

  2. rcreer 2016.10.30 02:43 address edit & del reply

    백본이 stanby 포함해서 ip를 3개나 갖는 것이 너무 의문이였는데 감사합니다!

  3. rcreer 2016.10.30 03:01 address edit & del reply

    궁금한 점이 생겨 질문 남깁니다~ 만약 vlan 1 이 192.168.25.x/24이고 vlan 2 가 192.168.26.x/24 이라 한다면 두 vlan 이 모두 백본에 접속이 가능하게 하려면 192.168.25.x/25 의 영역으로 ip 를 할당해 주면 되나요? 아니면 각 vlan 별로 각각 다른 여러개의 ip 를 갖게 되나요? 그것도 아니라면 switch 에서 디폴트 게이트웨이를 이용하여 백본까지 연결을 시키는 건가요?