세이박스

L4 Switch Server Load Balancing방법

서버,보안

L4 Switch Server Load Balancing방법

1. Server Load Balancing 의 필요성
2. Server Load Balancing 의 이해
3. Server Load Balancing 기본구성
4. Terminology
5. Load Balancing Algorithm
6. Server Load Balancing Processing
7. Server Load Balancing Configuration
8. Information / Statistics View
9. 점검사항
10. Redundancy SLB 구현사례

1. Server load Balancing의 필요성
Internet Server Traffic 의 급증
- Internet 응답속도 지연
- Server 효율성 저하
- Service 신뢰성 상실

Internet Traffic 극복
- Server Load Balancing 필요성 제기

2. Server load Balancing의 이해
기존 Server Load Balancing 방법
- DNS Round-Robin을 이용한 Server Load Balancing

L4를 통한 Server Load Balancing
- TCP session관리가 Layer 4 장비를 통하여 가능하게 됨에 따라 다양하고 확실한 Load Balancing 구현
- Client가 웹 브라우저 상에서 URL을 입력하여 DNS로 하여금 얻어지는 Ip address값 (L4에서는 Virtual IP :VIP 이라고 말한다.) 을 통하여 L4의 Virtual Server로 접속.
- Virtual Serve의r로 접속하게된 http request는 Vip로 mapping되어있는 실제서버(real server) Group matching.
- Server group으로 Matching 시키는 기법은 L4가 가지고 있는 여러 가지 분산 알고리즘에 의해 작동하게 되는데 사이트의 성격에 따라 알맞게 선택.

3. Server Load Balancing의 기본구성

4. Terminology

Client ports
- Client processing을 적용할 수 있는 switch port
- 각각의 session을 server로 할당 / VIP를 RIP로 변환

Server ports
- Server processing을 적용할 수 있는 switch port / RIP를 VIP로 변환
Health Check
- Server의 이상유무를 수시로 점검하는 기능 ( http, tcp, ftp, icmp ...)

5. Load Balancing Algorithm

Round Robin
- Real server로 session을 순차적을 맺어주는 방식

Least Connection
- real server의 open 세션 수를 고려한 다음, 가장 적은 수의 open
session을 가진 real server로 session을 맺어 주는 방식.

- 각 real server들이 서로 상이한 resource와 connection에 부수되는 시간과 데이터 양이 서로 다른 환경에서 활용할 수 있다.

Hash
- Clients와 Server 간에 한번 성립된 session을 계속해서 유지해 주는 방식으로 특정 client는 특정 server로만 접속하게 된다.
- 이 방식은 clients source IP address (32 bit) 값을 real server의 대수로 나눈 나머지 값으로 connection할 server 결정

Minimum Missies
- Hash Algorithm과 거의 유사

- 역시 clients source IP address (32 bit) 값을 real server의 대수로 나눈 나머지 값으로 connection할 server 결정

- 그러나, 이 Algorithm은 Cache Redirection에 주로 사용하도록 권장

6. Server Load Balancing processing
Client Processing

- VIP (Virtual IP address)를 RIP (Real IP address)로 변환하는 작업

Server Processing

- RIP (Real IP address)를 VIP (Virtual IP address)로 변환하는 작업

7. Server Load Balancing Configuration

Alteon L4 command
[Main Menu] ; L4 booting시 최초 menu
info - Information Menu
stats - Statistics Menu
cfg - Configuration Menu
oper - Operations Command Menu
boot - Boot Options Menu
maint - Maintenance Menu
diff - Show pending config changes [global command]
apply - Apply pending config changes [global command]
save - Save updated config to FLASH [global command]
revert - Revert pending or applied changes [global command]
exit - Exit [global command, always available]
>> Main#

interface IP address / mask / broad

>> Main# /cfg/ip/if 1
------------------------------------------------------------
[IP Interface 1 Menu]
addr - Set IP address
mask - Set subnet mask
broad - Set broadcast address
ena - Enable IP interface
cur - Display current interface configuration

>> IP Interface 1# ma 255.255.255.128/addr 210.219.67.120/broad 210.219.67.127/ena

>> IP Interface 1# cur
Current interface 1:
210.219.67.120, 255.255.255.128, 210.219.67.127, vlan 1, enabled

default gateway

>> IP Interface 1# /cfg/ip/gw 1
------------------------------------------------------------
[Default gateway 1 Menu]
addr - Set IP address
ena - Enable default gateway
cur - Display current default gateway configuration

>> Default gateway 1# addr 210.219.67.128/ena

>> Default gateway 1# cur
Current default gateway 1:
addr 210.219.67.126, intr 2, retry 8, arp disabled, enabled

• Real Ip address

>> Default gateway 1# /cfg/slb/re 1
[Real server 1 Menu]
rip - Set IP addr of real server
ena - Enable real server
cur - Display current real server configuration

>> Real server 1 # rip 210.219.67.121/ena
>> Real server 1 # ../re 2
>> Real server 2 # rip 210.219.67.122/ena
>> Real server 2 # ../re 3
>> Real server 3 # rip 210.219.67.123/ena

Group / Metric / Health Check

>> Real server 3 # /cfg/slb/gr 1
------------------------------------------------------------
[Real server group 1 Menu]
metric - Set metric used to select next server in group
health - Set health check type
add - Add real server
cur - Display current group configuration

>> Real server group 1# add 1/add 2/add 3/metric leastconn/health tcp

>> Real server group 1# cur
Current real server group 1:
name , metric leastconns, backup none, realthr 0
health tcp, content
real servers:

1: 210.219.67.121, enabled, name , weight 1, timeout 10, maxcon 200000
backup none, inter 2, retry 4, restr 8

2: 210.219.67.122, enabled, name , weight 1, timeout 10, maxcon 200000
backup none, inter 2, retry 4, restr 8

3: 210.219.67.123, enabled, name , weight 1, timeout 10, maxcon 200000
backup none, Inter 2, retry 4, restr 8
remote disabled, proxy enabled, submac disabled

Vitual Ip address / Virtual port / group

>> Default gateway 1# /cfg/slb/vi 1
------------------------------------------------------------
[Virtual Server 1 Menu]
service - Virtual Service Menu
vip - Set IP addr of virtual server
ena - Enable virtual server
cur - Display current virtual configuration

>> Virtual Server 1# vip 210.219.67.124/ena
>> Virtual Server 1# service
Enter virtual port: 80
------------------------------------------------------------
[Virtual Server 1 http Service Menu]
group - Set real server group number
cur - Display current virtual service configuration
>> Virtual Server 1 http Service# gr 1
Current real server group: 1
New pending real server group: 1

>> Virtual Server 1# ../cur
Current virtual server 1:
0.0.0.0, disabled, ftpp disabled
virtual ports:
http: rport http, group 1, frags
real servers:
1: 210.219.67.121, weight 1, enabled, backup none
2: 210.219.67.122, weight 1, enabled, backup none
3: 210.219.67.123, weight 1, enabled, backup none

Client processing, server processing

>> Layer 4# po 1
------------------------------------------------------------
[SLB port 1 Menu]
client - Enable/disable client processing
server - Enable/disable server processing
cur - Display current port configuration

>> SLB port 1# client enable
>> SLB port 1# ../po 2
>> SLB port 2# server enable
>> SLB port 2# ../po 3
>> SLB port 3# server enable
>> SLB port 3# ../po 4
>> SLB port 4# server enable

SLB on/off

>> SLB port 4# /cfg/slb/
>> Layer 4# .
------------------------------------------------------------
[Layer 4 Menu]
real - Real Server Menu
group - Real Server Group Menu
virt - Virtual Server Menu
filt - Filtering Menu
port - Layer 4 Port Menu
gslb - Global SLB Menu
url - URL Resource Definition Menu
sync - Config Synch Menu
adv - Layer 4 Advanced Menu
on - Globally turn Layer 4 processing ON
off - Globally turn Layer 4 processing OFF
cur - Display current Layer 4 configuration

>> Layer 4# on

Information / statistics View - Telnet or Console

; Server Load Balancing을 위한 Setting이 끝난 후에 Telnet / Console /
Web Browser를 통하여 다양한 정보를 확인할 수 있다.

Link Information
; 각 port의 link상태를 확인할 수 있다.
>> Information# li
------------------------------------------------------------------
Port Speed Duplex Flow Ctrl Link
---- ----- -------- --TX-----RX-- ------
1 100* full* yes yes up
2 100 full yes yes up
3 100 full yes yes up
4 100 full yes yes up
5 100 full yes yes up
6 10/100 any yes yes down
7 10/100 any yes yes down
8 10/100 any yes yes down
* = value set by configuration; not autonegotiated.

ARP Information
; port에 물려있는 장비들의 Mac address값을 확인 할 수 있다.

>> Information / Address Resolution Protocol# d
IP address Flags MAC address VLAN Port Referenced ports
--------------- ----- ----------------- ---- ---- ----------------
210.219. 67.121 P 00:50:8b:69:82:57 1 2 1-8
210.219. 67.122 00:50:8b:69:82:56 1 4 empty
210.219. 67.123 00:50:8b:69:82:d9 1 3 empty
210.219. 67.124 P 4 00:60:cf:42:70:ee 1-8
210.219. 67.126 00:e0:2b:df:99:00 1 1 empty

IP Information
; L4의 Interface상태 / gateway 상태를 확인할 수 있다.

>> Information# ip
Interface information:
1: 210.219.67.120, 255.255.255.128, 211.196.157.127, vlan 1, up

Default gateway information: metric strict
1: 210.219.67.126, up

Server Load Balancing Information

; Virtual server, real server의 구성 및 상태를 확인 할 수 있다.

>> main# /information/slb/dump

Real server state:
2: 210.219. 67.121, 00:50:8b:69:82:d9, vlan 1, port 2, health 4, up
2: 210.219. 67.122, 00:50:8b:69:82:d8, vlan 1, port 3, health 4, up
2: 210.219. 67.123, 00:50:8b:69:82:d7, vlan 1, port 4, health 4, up

Virtual server state:
2: 210.219. 67.124, 00:60:cf:44:1a:ae
virtual ports:
http: rport http, group 1, backup none
real servers:
1: 210.219. 67.121, backup none, up
2: 210.219. 67.122, backup none, up
3: 210.219. 67.123, backup none, up

Port Statistics
; port에서의 frame error 또는 collision등을 확인할 수 있다.

>> Port Statistics# bridg
------------------------------------------------------------------
Bridging statistics for port 1:
dot1PortInFrames: 0
dot1PortOutFrames: 0
dot1PortInDiscards: 0
dot1TpLearnedEntryDiscards: 0
dot1BasePortDelayExceededDiscards: 0
dot1BasePortMtuExceededDiscards: 0
dot1StpPortForwardTransitions: 0

>> Port Statistics# ethernet
------------------------------------------------------------------
Ethernet statistics for port 1:
dot3StatsAlignmentErrors: 0
dot3StatsFCSErrors: 0
dot3StatsSingleCollisionFrames: 0
dot3StatsMultipleCollisionFrames: 0
dot3StatsSQETestErrors: 0
dot3StatsDeferredTransmissions: 0
dot3StatsLateCollisions: 0
dot3StatsExcessiveCollisions: 0
dot3StatsInternalMacTransmitErrors: 0

Group Session Statistics
; Group으로 load balancing 되어지는 session수를 확인할 수 있다.

>> Statistics # slb

>> Server Load Balancing Statistics# gr 1
------------------------------------------------------------------
Real server group 1 stats:
Current Total Highest
Real IP address Sessions Sessions Sessions Octets
---- --------------- -------- ---------- -------- ---------------
1 210.219. 67.121 1456 3455624 55675 62316
2 210.219. 67.122 2345 12344476 67896 165356559
3 210.219. 67.123 2565 24564476 67896 165356559
---- --------------- -------- ---------- -------- ---------------
5891 35676700 123411 165418875


출처: cafe.naver.com/netstuff

시스코 라우터 초기설정

서버,보안
초기 설치 방법
앞에서 라우터에 관해서 간략히 알아 보았는데 라우터를 가지고 최적의 네트워크를 구성하기 위해서는 자사 네트워크의 규모나 특성등을 정확히 파악하여 구축하는 것이 바람직 할 것 같다.  전용회선 구성이 완료되면 라우터를 종단장치와 연결을 하여 초기 셋팅을 한다. 국내에 가장많이 보급된 CISCO 라우터는 초기 셋팅의 편의를 위해 "SETUP"이라는 Command를 제공한다.다음은 라우터로 Access하는 방법과 SETUP명령을 통해 실제로 셋팅하는 방법이다.처음 라우터를 구입하게 되면 각종 라우터 비품과 MANNUAL이 있는데 자세한 내용은 이를 참조한다.
1. CISCO ACCESS 방법

* CONSOLE

CONSOLE 케이블과 단말기(PC,NOTE-BOOK)를 사용하여 직접 연결 장비와 함께 제공되는 CONSOLE 케이블을 이용한다.
통신 포트 셋팅: 9600-NONE-8-1
속도: 9600
흐름제어: XON/OFF
패리티 비트: 8BIT
STOP BIT: 1BTT
* TELNET
TELNET을 이용하여 원격으로 ACCESS 하는 방법 LAN에 연결되어 있는 환경에서는 TELNTE 에뮬레이터를 이용하여 접근
* AUX
AUX PORT를 이용하여 원거리에서 ACCESS하는 방법 많이 사용하지는 않지만, aux port에 모뎀을 연결하여 원거리 지역에서 전화를 걸어서 접속하는 방법이 있다.

2. SETUP 방법
setup command를 이용한 설정(대화형식의 라우터 설정)
예) Router#setup
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Continue with configuration dialog? [yes]:        대화형식의 환경설정
First, would you like to see the current interface summary? [yes]:
Interface IP-Address OK? Method Status Protocol
Ethernet0 203.255.112.228 YES NVRAM up up
Serial0 203.231.85.138 YES manual down down
Configuring global parameters:
Enter host name [Router]: router       라우터의 명칭
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret [ ]: router - enable password      암호화된 형태로 enable password 보다 우선
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password [router]: router                enable passwordEnter virtual terminal password [router]: router       외부에서 telnet 접속할 때 필요한 passwordConfigure SNMP Network Management? [yes]:      NMS를 정의Community string [public]:                                SNMP community 설정Configure IP? [yes]:                                          ip address 설정Configure IGRP routing? [no]:                             IGRP 프로토콜 사용 안함Configure RIP routing? [yes]:                              RIP 프로토콜 사용Configuring interface parameters:
Configuring interface Ethernet0:
Is this interface in use? [yes]:        
                    ethnet 인터페이스 사용Configure IP on this interface? [yes]:                        ip address 설정함
IP address for this interface [203.255.112.228]:           사용할 ip address 기입
Number of bits in subnet field [0]:                        subnet 비트 수(0:디폴트)
Class C network is 203.255.112.0, 0 subnet bits; mask is /24
Configuring interface Serial0:
Is this interface in use? [yes]:                             serial 인터페이스 사용
Configure IP on this interface? [yes]:                    ip address 설정함
Configure IP unnumbered on this interface? [no]:       ip address 설정함
IP address for this interface [203.231.85.138]:             사용할 ip address 기입
Number of bits in subnet field [6]:                        6비트로 subnet
Class C network is 203.231.85.0, 6 subnet bits; mask is /30
The following configuration command script-x was created:

hostname router
enable secret 5 $1$msJM$TvuEk.ljvlRD98LBHb5ya/
enable password router

line vty 0 4
password router!
ip routing
!
interface Ethernet0
ip address 203.255.112.228 255.255.255.0
!
interface Serial0
ip address 203.231.85.138 255.255.255.252
!
router rip
network 203.255.112.0
network 203.231.85.0
!
end
Use this configuration? [yes/no]: y           환경 설정 사용함
The enable secret you have chosen is the same as your enable password.
This is not recommended. Re-enter the enable secret.
The enable password you have chosen is the same as your enable secret.
This is not recommended. Re-enter the enable password.
Building configuration...
[OK]
Use the enabled mode 'configure' command to modify this configuration.
router#
 
 Password 설정
1. Console Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password cisco
2. Virtual terminalRouter(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password cisco
3. EnableRouter(config)#enable password cisco
4. SecretRouter(config)#enable secret sanfran
5. 라우터에 Telnet - 특정 ip만 허용
Router(config)#access-list 1 permit 203.255.112.72   <= 특정 ip 만 하나 허용
Router(config)#access-list 1 permit 203.255.113.0 0.0.0.255 
                                                                                  <= c class 통째 허용
Router(config)#access-list 1 permit 203.235.123.0 0.0.0.63 
                                                                                  <= 특정 뒷자리만 허용
- 적용
Router(config-line)#access-class 1 in
 
Enable Password 복구
1. Console 붙인 후, 전원을 껐다 켠다.
System Bootstrap, Version 5.3.2(9) [vatran9], RELEASE SOFTWARE (fc1)
Copyright(c) 1994 by cisco Systems, Inc.
C1000 processor with 8192 Kbytes of main memory
2. Rommon 상태로 들어간다.
하이퍼터미널의 경우 :  Control + Break Key 6회 이상
넷텀의 경우  : Edit 메뉴의 Send Short/Long Break
User break detected at location 0xcfa5c
monitor: command "boot" aborted due to user interrupt
  • Cisco 1005/1600
    rommon 1 > confreg 0x42
    You must reset or power cycle for newconfig to take effect
    rommon 2 > reset
  • Cisco 2500 이상
    >o/r  0x42
    > I
3. 초기 config 모드를 n(No) 한다. (만약 y 했다면 ^C로 취소한다.)
Would you like to enter the initial configuration dialog? [yes/no]:n
Press RETURN to get started!
4. 예전 Config 복구 및 저장한다.
Router# copy startup-config  running-config
Destination filename [running-config]?
505 bytes copied in 2.536 secs (252 bytes/sec)
Router# wr
5. Passwd  변경과 register 값을 원래대로 복구한다.
Router# config t
Router(config)# enable secret router
Router(config)# config-register 0x2102
Router(config)# exit
Router# wr
Router# reload
Proceed with reload? [confirm]
6. Passwd 가 복구되었는지 확인한다.Router> en
Password :
Router#
7. 정상적으로 register 값이 복구되었는지 확인한다.
Router# sh ver
Configuration register is 0x2102
 
  Local에서 IOS 업그레이드
1. 업그레이드시 필요한 것을 준비한다.
콘솔 케이블 , Cross 케이블, CISCO IOS , TFTP Server , Netterm
2. 노트북이나 PC에 TFTP 프로그램 다운 받아서 설치한다.
TFTP Server (TFTPServer-1-980730.exe)를 설치한 뒤에,  
 IOS 파일 (c10-112.bin(Cisco1005-11.2 version, c20-111.bin(Cisco2500-11.1 version)를 C:IOS 디렉토리에 받는다.
3. TFTP Server에서 프로그램 업다운 디렉토리를 선택한다.
Cisco TFTP Server 실행하고 메뉴에서 View => Options => TFTP Server Root 의 Browser 클릭하여 C: IOS 를 선택하여 OK한다.
4. 라우터에 콘솔케이블을 연결한다.
PC는 Com1 Port 에 연결.하이퍼 터미널이나 넷텀으로 콘솔 붙이기
(원격으로 작업할 때는 telnet 으로 연결한다)

하이퍼터미널 설치
Windows CD를 넣고 시작-제어판-프로그램추가/제거- Windows 설치- 통신- 하이퍼터미널부분을 체크- 확인해서 설치한다. (시작-프로그램-보조프로그램-통신 부분에서 하이퍼터미날 실행)

하이퍼터미날 연결 옵션 설정
이름: Consol  
Com1에 직접연결을 선택
초당 바이트수 :9600
데이터비트: 8 ,
패리티 없음,
정지비트 1 ,
흐름제어 : 없음.
바탕화면에 Consol 단축 아이콘을 만들고 실행시킴
에뮬레이션 : vt100  
넷텀, 테라텀 사용시
메뉴 File=>Phone Direceory => Modem Test=> Modem Settings => Port(Com1), Baud Raue(9600), Data Bit(8),Parity(None), Stop Bits:1 , Control :XON/XOFF 만  체크. Dialing Ton 체크안함 => OK , Emulation:VT100 => Connect

5. 고객사 라우터의 IOS 버전을 확인한다.
router# sh ver
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-JS-L), Version 11.2(15), RELEASE SOFTWARE (fc1) Copyright (c) 1986-1998 by cisco Systems, Inc.
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read ONLY)
Configuration register is 0x2102
6. Enable mode 로 옮긴다.
Router>en
Password:
Router#

7. TFTP 로부터 FLASH Memory 로 Cisco IOS를 Upload 한다.
Cross Cable을 PC와 라우터 Ethernet Port 에 연결한다.
(혹은, 1대1케이블을 허브에 연결해서) PC 와 라우터는 같은 네트웍이어야 한다.
8. TFTP를 이용하여 IOS 파일을 FLASH Memory로 업로드 한다.
# copy tftp flash

Address or name of remote host [203.255.113.37]?
(TFTP Server가 Install 되어 있는 PC의 IP를 입력한다.)
Source filename [c10-112.bin] ?       업그레이드 버젼 파일 입력
Destination filename [c10-112.bin] ?  
Accessing tftp://203.255.113.37/c10-112.bin...
Erase flash: before copying? [confirm]
Erasing the flash filesystem will remove all files! Continue? [confirm]
Erasing device... eeeeeeeeeeeeeeee ...erased
Erase of flash: complete
Loading c10-112.bin from 203.255.113.37 (via Ethernet0): !!!!!!!!!!!!!!
9. 저장 및 재부팅한다.
IOS를 Flash Memory로  업그레이드가 끝나면
CISCO 1005 경우
# wr 
# reload

CISCO 2500 경우 라우터가 자동으로 리부팅 한다.
부팅후 # wr
 
  IP ACCOUNTING 
1. 내부 트래픽 확인 (IP Accounting은 output-packets만 적용)
Serial Interface 적용시 - 유출양 확인
Ethernet Interface 적용시 - 유입양 확인
2. 설정법
ROUTER#
ROUTER# config t
ROUTER(conf)# int s0  (또는 int e0)
ROUTER(conf-if)# ip accounting output-packets
ROUTER(conf-if)# ^z

ROUTER# sh ip accounting output-packets
Source                Destination                Packets            Bytes 
203.200.39.50      203.239.36.121                   6                  328
202.109.117.194   203.239.36.122                   1                    40
203.235.205.231   203.239.36.123                195               12849
202.109.117.194   203.239.36.124                   1                    40
203.235.205.231   203.239.36.125                832               51043

접속하는 IP들의 경로와 Packets양을 보여줍니다.

Accounting data age is 0 ----- 분 단위 (30이 넘어가지 않도록 주의한다)  
3. 해지법
ROUTER#
ROUTER# config t
ROUTER(conf)# int s0 (또는 int e0) --- 설정했던 인터페이스
ROUTER(conf-if)# no ip accounting output-packets (앞에 no를 붙여준다)
ROUTER(conf-if)# ^z

ROUTER# sh ip accounting output-packets
더 이상 나타나지 않는다. 
4. clear 방법
ROUTER# clear ip accounting
5. 주의사항
Encapsulation이 Frame-relay로 sub-interface로 설정이 되어 있을 경우

ROUTER(config)# int s0.1
ROUTER(config-subif)# ip accounting output-packets (해지시 앞에 no)
ROUTER(config-subif)# ^z
 
Helper-address  



1. Broadcast => Unicast
Interface e 0
ip address
10.10.10.1 255.255.255.0
ip help-address
10.10.20.2
  e0에 도착하는 Subnet Broadcast를 144.253.2.2로 Unicast 한다.

2. 제한된 Unicast
Interface e 0
ip address
10.10.10.1
255.255.255.0
ip help-address
10.10.20.2ip forward-protocol udp 3000
no ip forward-protocol udp 69  
e0에 도착하는 Broadcast를 10.10.20.2로 Unicast 하는데 있어, UDP Destination Port 3000번을 쓰는 Packet은 넘기고, 69번을 쓰는 Packet은 Filtering 한다. 즉 69번을 쓰는 Packet만 Filtering된다.

3. Broadcast => Broadcast
Interface e 0
ip address
10.10.10.1
255.255.255.0
ip help-address
10.10.20.255
  e0에 도착하는 Broadcast를 10.10.20.255로 Broadcast한다.
 
Log & 시간 설정
1. 라우터에 로그 남기도록 설정하기
Router# config t
Router(config)# service timestamps debug datetime localtime msec
Router(config)# service timestamps log datetime localtime msec
Router(config)# logging buffered
Router(config)# ^Z
  Cisco 1005 는 IOS 11.3 버전 이상부터 default 로 지원된다.

2. 리부팅 후에도 시간 설정 지워지지 않게 설정하기
Router# config t 
Router(config)# clock timezone KST 9
Router(config)# ntp server 203.255.112.34
Router(config)# ntp server 203.255.112.4
Router(config)# ^Z
Router#clock set 18:11:00 10 octo 2000
Router# wr
 
Routing 이란
1. Routing Protocol
  • 라우팅프로토콜은 라우팅을 수행하는 프로토콜이다.
  • 라우팅테이블 구성, 라우팅테이블 Update등의 기능도 있다.
  • Inter-Network 환경에서, 가장 효율적인 경로를 찾아 Routed Protocol 을 라우트한다.
2. Routed Protocol  
  • 실제 라우팅 되는 Protocol로 TCP/IP, IPX/SPX, Appltalk, Decnet Protocol등이 있다.
3. Static Routing & Dynamic Routing
   1) Dynamic Routing  
  • 라우터간에 라우팅 테이블 정보를 교환하여 최적의 경로 테이블 구성 및 업데이트를 담당한다.
  • IGP(Interior Gateway Protocol)와 EGP(Exterior Gateway Protocol)로 구분된다.
  • AS(Autonomous System) 번호는 통상 ISP들이 Internic에서 부여 받는 네트워크 영역 번호로 AS안에는 ISP에서 회선을 공급 받는 고객사 네트워크를 포함하게 된다.
  • 현재 AS 들간의 통신은 EGP인 BGP4를 사용하고, AS 내부에서는 RIP, IGRP, EIGRP ,OSPF를 사용한다.
   2) Static Routing
  • Routing Table을 수동으로 구성한다.
  • 관리자가 직접 라우팅 테이블을 수동적인 입력 방법에 의해 구성한다.
  • Stub Network을 연결하는 라우터 간에는 Static Routing을 구성하여, Dynamic Routing의 OverHead를 줄일 수 있다.
Default Routing

  
1. 할당된 IP 주소
Hansol iGlobe(ISP_Router)
고객사 (Router_A)
인터페이스
IP주소
인터페이스
IP주소
S2/2
10.10.10.1
S0
10.10.10.2
 
E0
203.254.254.254
2. Default Routing 설정 방법

Router_A(config)# ip route 0.0.0.0 0.0.0.0 {ip-address|interface} [distance]
 
   설 명
 ip-address
 상대편 라우터의 시리얼 IP 주소  
 interface
 해당 라우터의 시리얼 인터페이스
 distance
 Administrative distance.  값이 없으면 1 이 디폴트


3. 설정하기 Router_A(config)# ip route 0.0.0.0 0.0.0.0 Serial0 또는 Router_A(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.1


4. 확인 하기Router_A> sh ip route 0.0.0.0 S* 0.0.0.0/0 is directly connected, Serial0
 
Static Routing


  

1. 할당된 IP 주소
Hansol iGlobe(ISP_Router)
고객사 (Router_A)
인터페이스
IP주소
인터페이스
IP주소
S2/2
10.10.10.1
S0
10.10.10.2
 
E0
203.254.254.254
 
2. Static Routing 설정 방법

ISP_Router(config)# ip route network-address subnet-mask {address|interface} [distance]
 
   설 명 
 network-address  목적지 네트워크 주소 (상대편 라우터)
 subnet-mask  목적지의 서브넷 마스크
 ip-address
 다음 hop 라우터의 IP 주소 (상대편 시리얼 IP주소)
 interface
 해당 라우터의 시리얼 인터페이스
 distance
 Administrative distance.  값이 없으면 1 이 디폴트

3. 설정하기
ISP_Router(config)# ip route 203.254.254.0 255.255.255.0 10.10.10.2
 
PPP와 Frame Relay

1. 고객사 라우터 PPP 설정 방법


Router_A# config t
Router_A(config)# int e0
Router_A(config-if)# ip address 203.239.36.70 255.255.255.248
(게이트웨이, Subnet-mask)
Router_A(config-if)# no shutdown
Router_A(config-if)# exit
Router_A(config)# int s0
Router_A(config-if)# descript-xion ### HaHaHa Company ###
Router_A(config-if)# ip address 10.124.100.34 255.255.255.252  
 (시리얼 IP주소, Subnet-mask)
Router_A(config-if)# no shutdown
Router_A(config-if)# encapsulation ppp       
(그 외 type -> frame relay, hdlc)
Router_A(config-if)# bandwidth 56             
 (T1 = 1544, E1 = 2048 등)
Router_A(config-if)# exit
Router_A(config)# ip route 0.0.0.0 0.0.0.0 10.124.100.33  
(디폴트 라우터 설정, ISP쪽 시리얼주소)
Router_A(config)# default-value exec-character-bit 8
Router_A(config)# ip routing
Router_A(config)# ^z    (Ctrl + z)
Router_A# wr
2. 고객사 라우터 Frame Relay 설정 방법
version 11.3
no service password-encryption
!
Hostname Router
!
ip subnet-zero
!
interface Ethernet0
  ip address 203.239.36.70 255.255.255.248
!
interface Serial0
  descript-xion  ### HaHaHa Company ###
  no ip address
  encapsulation frame-relay       (그 외 type -> ppp, hdlc)
  frame-relay lmi-type ansi        (그 외 lmi-type -> cisco, q933a)
!
interface Serial0.1 point-to-point
  descript-xion  ### HaHaHa Company ###
  ip address 10.248.2.254 255.255.255.252   (시리얼 IP주소, Subnet-mask)
  frame-relay interfae-dlci 100    (dlci 설정값 = 100)
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.248.2.253   (디폴트 라우터 설정, ISP쪽 시리얼주소)
default-value exec-character-bit 8
!
line con 0
line vty 0 4
  login
 
Dynamic Routing
1. 설정 방법

Router(config)# router protocol [keyword]
Router(config-router)# network network-number
Router(config-router)# network network-number
 
   설 명 
 protocl
 RIP, IGRP, EIGRP, OSPF 
 keyword
 Autonomous System (AS#)
 network-number
 직접적으로 연결되어 있는 네트워크  주소
 
2. 그 외 설정 명령어

ip subnet-zero
Interface Address에 Subnet 0의 사용을 가능하게 한다.
Routing Table Update의 경우에도 Subnet 0의 사용을 가능하게 한다.
no ip subnet-zero가 Default 값이다.
ip classes
Default Route가 설정되지 않은 상태에서 라우터가 경로가 나오지 않는 Subnet의 Address를 받은 경우, Supernetting 하여 Packet을 해당 루트로 보내라는 명령이다.
default-value exec-character-bits 8
exec 모드에서 사용하는 Character Set을 8bit ASCII로 사용한다는 명령이다.
 
Firewall Router 개요
1. 네트워크 구성도

2. 보안정책
보안문제는 사용자가 점점 더 많은 인터넷 접속을 시도 하고, 자체 네트워크의 규모가 커짐에 따라 더욱 필요하게 되어 가고 있다. 외부 사용자가 내부 네트워크에 대해 접근을 차단하거나 내부사용자에 대해 불건전한 사이트에 대한 접속을 제한하는 등 여러 보안정책을 사용할 수 있다. 보안이 강조될수록 사용자가 이용 할 수 있는 인터넷 서비스는 축소 또는 불편을 겪을 수 있으므로 네트워크 관리자는 네트워크 환경을 면밀하게 분석하여 보안정책을 수립하는 것이 필요하다.
 
Access List 개요
1. Access List
  • IP 트래픽에 대한 필터링 기능을 수행한다.
  • Standard IP Access List와 Extended IP Access List가 있다.
2. Standard IP Access List
  • Source IP 주소만으로 Access를 통제한다. 
  • Access List 번호 1-99번을 사용한다.
  • Access List 가 특정 IP 주소를 Reject 하는 경우, 라우터는 패킷을 버리고
    “Host Unreachable” ICMP Message를 돌려준다.
  • Deny 하려는 Traffic의 목적지에 가장 가까운 인터페이스에 적용한다.
3. Extended IP Access List
  • 송신지의 IP 주소, Port 번호, 도착지의 IP 주소, Port 번호를 사용하여
    Access를 통제한다.
  • Access List 번호 100-199번을 사용한다.
  • Deny하려는 Traffic의 송신지에 가장 가까운 인퍼페이스에 적용한다.
4. Helper Addressing
  • 라우터는 기본적으로 브로드 캐스트를 차단한다.
  • Helper Service는 브로드 캐스트를 목적 서버에 Direct로 Forwarding할 수 있게 한다.
Extended IP Access-list
1. 문법
  • 일반적인 형태
    Router(config)#access-list access-list-number {permit | deny} {protcol | protocol-keyword} {source-wildcard | any}
    {destination-wildcard | any} {protocol-options}
  • ICMP Protocol에 대한 Extended Access List
    Router(config)#access-list access-list-number {permit | deny} icmp {source wildcard | any} {destination wildcard | any}
    {destination wildcard | any} [icmp-type[icmp-code] | icmp-message]
  • TCP Protocol에 대한 Extended Access List
    Router(config)#access-list access-list-number {permit | deny} tcp {source wildcard | any } [operator source-port |source-port]
    {destination woldcard | any} [poerator destination-port | destination-port] [established]
    - tcp port number 혹은 keyword로 제어가능
    - “established”가 지원되는 것이 특징
  • UDP Protocol에 대한 Extended Access List
    Router(config)#access-list access-list-number {permit | deny} udp {source wildcard | any} [ operator source-port | source-port]
    {destination wildcard | any} [operator destination-port | destination-port]
    - udp port 혹은 keyword로 제어가능
    - ‘edtablished’가 지원되지 않음
2. 예제
192.168.1.0 네트워크에 있는 서버A (192.168.1.11)에 Telnet 만을 제외하고 모든 TCP Access를 막는다. 192.168.3.0 에서는 192.168.5.0 에 Access할 수 없다. 192.168.1.0과 192.168.5.0 네트워크는 상호 통신 가능해야 한다.
RouterA# config t
RouterA(config)# access-list 100 deny tcp any host 192.168.1.11 eq telent
RouterA(config)# access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255
RouterA(config)# access-list 100 permit ip any any

RouterA(config)# interface serial 0
RouterA(config-if)# ip access-group 100 in

RouterC# config t
RouterC(config)# interface serial 0
RouterC(config-if)# ip access-group 100 in
3. FAQ
3-1) 외부에서 내부네트웍에 대해 Telnet 안되도록 설정하는 방법
Router#config t
Router(config)#access-list 100 permit tcp any any established
Router(config)#access-list 100 permit tcp 203.255.113.0 0.0.0.255 any eq telnet
Router(config)#access-list 100 deny tcp any any eq telnet
Router(config)#access-list 100 permit ip any any
Router(config)#^Z
Router#config t
Router(config)#int s0
Router(config-if)#ip access-group 100 in
Router(config-if)#^Z

3-2) 외부에서 내부로 들어오는 백오리피스 포트 막는 방법
Interface Serial0
Ip access-group 119 in
Access-list 119 permit tcp any any established
Access-list 119 deny tcp any any eq 31337
Access-list 119 deny udp any any eq 31337
Access-list 119 permit ip any any

3-3) 외부에서 내부로 공유폴더 access 안되게 하는 방법
Interface Serial0
ip access-group 119 in
Access-list 119 permit tcp any any established
Access-list 119 deny udp any any eq netbios-ns
Access-list 119 deny udp any any eq netbios-dgm
Access-list 119 deny tcp any any eq 139
Access-list 119 permit ip any any

3-4) 외부에서 라우터 Telnet, Ping 등 제한하는 방법
interface Serial0
ip address 203.231.89.34 255.255.255.252
ip access-group 102 in
encapsulation ppp
!
access-list 101 deny tcp any any eq telnet
access-list 101 deny tcp any any eq discard
access-list 102 deny icmp any host 203.227.80.180
access-list 102 deny icmp any host 203.231.89.34
access-list 102 deny udp any host 203.231.89.34 eq time
access-list 102 deny udp any host 203.227.80.180 eq time
access-list 102 deny udp any host 203.231.89.34 eq tftp
access-list 102 deny udp any host 203.227.80.180 eq tftp
access-list 102 deny udp any host 203.227.80.180 eq snmp
access-list 102 deny udp any host 203.231.89.34 eq snmp
access-list 102 deny icmp any host 203.227.80.181
access-list 102 permit ip any any
line vty 0 4
access-class 101 in
password wooju
login

3-5) 가변포트에 대한 필터링 하는 방법(소리바다 : 9000~9999)
Router(config)#access-list 100 permit tcp any any established
Router(config)#access-list 100 deny tcp any any range 9000 9999
Router(config)#access-list 100 deny udp any any range 9000 9999
Router(config)#access-list 100 permit ip any any
Router(config)#int s0
Router(config-if)#ip access-group 100 in
 
SNMP 보안문제와 필터링법
1. 영향

SNMP는 UDP를 이용하기 때문에 공격 주소를 속여서 DoS (Denial of Service) 공격을 할 수 있다. 이것은 곧 라우터의 성능 저하, 크래쉬(crash) 및 리로드(reload) 결과를 초래하게 된다. 게다가 read-only community string을  획득하게 되면 SNMP access control를 속이는 것도 문제라 하겠다.

2. 공격 가능한 경우
1) 취약한(Vulnerable) IOS Version을 설치한 상태에서 아래 장비를 사용중일 때  (Catalyst 는 CatOS를 사용 중 일 때 해당이 안됨)
  • Cisco 800, 1000, 1400, 1600, 1700, 2000, 2500, 2600, 3011, 3200, 3600, MC3810, 4000, 4500, 4700, 6400-NRP, 6400-NSP series routers
  • Cisco 6000 series IP DSL switches
  • uBR900 series cable access routers
  • CVA120 series cable voice adapters
  • IAD2400 series Integrated Access Devices
  • Catalyst 2900XL, 2950, 3500XL, 3550, 4000, 4840G, 4908G-L3 series switches
  • Cisco AS5000 series access servers
  • Catalyst 6000 MSM, 6000 MSFC & MSFC2, 6000 Hybrid Mode, 6000 Native Mode, 6000 Supervisor modules
  • Cisco RSM, RSFC, 7000, 7010, 7100, 7200, uBR7200, 7300, 7400, 7500, 7600, uBR10000, 10700, 10000 ESR, and 12000 series routers
  • Lightstream 1010 ATM switches
  • DistributedDirector 2500 and 4700 series
  • Catalyst 8510CSR, 8510MSR, 8540CSR, 8540MSR series switches
  • Cisco ONS 15540 Optical Transport Platform
  • Cisco ONS 15303/15304
  • Cisco ISR 3303
  • Cisco OSR 7609
  • Cisco SOHO-70 Small Office/Home Office router
  • Cisco AGS, AGS+, CGS, IGS, MGS series routers
  • Cisco 1000 series LAN Extender
  • Cisco AccessPro PC card router
  • Cisco 200, ASM-CS, and 500-CS series access servers
  • Cisco 2500 FRAD series router
  • 3011 WAN module for the Catalyst 3200 switch
  • Cisco AccessPath TS-3 system shelf

3. 해결안
   1) 불필요한 snmp 서비스 off 시키기
  • Router(config)#no snmp-server
  • 확인방법
    Router#show snmp
    %SNMP agent not enabled
  • 주의사항
    Router(config)#no snmp-server community public ro
    이 명령어로 snmp 서비스가 죽지 않는다.
   2) access-list 를 이용하여 특정 호스트만 열어주기 (port : 161,162)
  • Router(config)#access-list 100 permit ip host 203.254.254.254 any  
    Router(config)#access-list 100 deny udp any any eq snmp
    Router(config)#access-list 100 deny udp any any eq snmptrap
    Router(config)#
    access-list 100 permit ip any any
  • 해당 interface에 설정한다.
    Router(config)#interface serial 0
    Router(config-if)#
    ip access-group 100 in
  • Catalyst Switch 장비인 경우에는 vlan 에 설정한다.
    Router(config)#interface vlan 1
    Router(config-if)#ip access-group 100 in
   3) Cisco SNMP 서비스 취약성 권고안
본사 - 지사 구성

1. 본사 라우터 설정하기
interface Ethernet0
ip address 210.109.165.241 255.255.255.240
!
interface Serial0
ip address 10.207.1.6 255.255.255.252
!
interface Serial1
ip address 10.10.10.1 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.207.1.5
ip route 203.239.36.64 255.255.255.248 10.10.10.2

2. 지사 라우터 설정하기
interface Ethernet0
ip address 203.239.36.65 255.255.255.248
!
interface Serial0
ip address 10.10.10.2 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.1
양쪽의 라우터가 CISCO Router를 사용해 본사와 지사를 연결하는 데이터 전용회선일 경우. 각 라우터의 controller를 참고하여 DTE, DCE를 구별한다. DCE로 설정된 라우터에 clock rate를 설정해 준다.
Router#sh controllers s 0 (DCE 확인)

Router#conf t
Router(conf)#clock rate 40000 (최대로 준다)

Alteon L4 스위치 최초 비밀번호

서버,보안
- Alteon L4 switch 최초 비밀번호 : admin

MRTG 사용 시 실행파일 값 사용방법

서버,보안
 
● MRTG 사용 시 실행파일 값 사용방법
  ※ 즉 SNMP 값을 가져오는 것이 아니라 실행파일을 이용하여 생성하는 값을 가져오는 방법
 
  - Target문에 snmp OID 대신  `실행문` 을 추가한다.
    ※ ' ` ' 문자에 주의 (windows 및 unix계열 모두 적용됨)
 
  - 아래는 사용 예제
Target[1.2.3.4_download]: `D:\python24\python.exe count.py`
MaxBytes[1.2.3.4_download]: 1000
#  AbsMax[1.2.3.4_download]: 10000
#kMG[1.2.3.4_download]: ,M,G,T,P
Options[1.2.3.4_download]: gauge, nopercent, growright
#  WithPeak[1.2.3.4_download]: my
YLegend[1.2.3.4_download]: Total downloaded
ShortLegend[1.2.3.4_download]: 건
LegendI[1.2.3.4_download]: download
LegendO[1.2.3.4_download]:
Legend1[1.2.3.4_download]: 5분간 평균
Legend2[1.2.3.4_download]: 15분간 평균
Legend3[1.2.3.4_download]: 5분간 최대
Legend4[1.2.3.4_download]: 15분간 최대
#YTicsFactor[1.2.3.4_download]: 1
Title[1.2.3.4_download]: download 현황 -- 1.2.3.4
PageTop[1.2.3.4_download]: <H1>download 완료 현황 -- 1.2.3.4</H1>
 <TABLE>
   <TR><TD>System:</TD>     <TD> 다운로드 서버 </TD></TR>
 </TABLE>

Cisco L2, L3 스위치 VLAN 설정 방법

서버,보안
 
Cisco L2, L3 스위치 VLAN 설정 방법
  ex) C2950, C3550, C4506,...
 
※ 신규 IP대역이 추가되어, 해당 IP대역을 신규 VLAN에 할당하여 관리할 경우 사용
 
1. 우선 새로운 VLAN을 추가
>interface Vlan 101
> ip address 1.2.3.4 255.255.255.128
> no ip redirects
> standby 101 ip 1.2.3.1                    ; 게이트웨이 IP주소 설정
> standby 101 timers 1 3
> standby 101 priority 100                  ; 우선순위는 상황에 따라서...
> standby 101 preempt
 
2. 사용하고자 하는 포트에 새로 추가한 VLAN을 할당
>interface FastEthernet 0/20
> switchport access vlan 101
> switchport mode access
> no ip address
 
3. 필요 시 span tree 설정 작업
> spanning-tree vlan 100-101 priority 4000         ; C4506의 경우
  또는
 > spanning-tree vlan 100 priority 4000              ; C3550 이나
 > spanning-tree vlan 101 priority 4000              ; C2950의 경우
 
※ C2950의 경우 L2 스위치 이므로 VLAN간 통신이 불가능함
    -> 실제로 설정해 본 결과, 동시에 하나의 VLAN만 활성화됨
    -> 즉 사용하고자 하는 VLAN을 활성화하면 나머지 VLAN은 shutdown됨
    -> 이로 인해 C2950의 VLAN설정은 콘솔로만 가능, 원격에서는 설정불가

L4 ~ L7 스위치의 차이점

서버,보안
L2스위치 : Mac Address
L3스위치 : IP Address 128.25.31.xxx

L2, L3스위치 => Address를 인식하여 해당장비로 Packet 전송

L4스위치 : TCP Port 80
L5~L7스위치 : Packet 내용 => "GET/image/xxx.jpg HTTP/1.1"
L4~L7스위치 : Port Number 또는 Packet내용을 인식/판단하여 Packet의 경로 설정, 변환,
                     필터링동작을 수행 => 다계층 스위치

L2/3스위치 : Address 정보(MAC Address, IP Address)를 통해 Packet을 처리


L4스위치와 L7스위치의 차이점

1. 구조적 차이점 - Intellingence
L4스위치 : TCP/UDP 포트 정보를 분석해 해당 패킷이 현재 사용하는 서비스 종류(HTTP, FTP, 텔넷, SMTP, POP3, SSL등)별로 PACKET을 처리

L7스위치 : 트래픽의 내용(e-mail제목/내용의 문자열, HTTP컨텐츠URL, FTP파일 제목, SSL ID, Cookie 정보, 특정 바이러스(e.g. CodeRed, Nimda)패턴등을 분석해 Packet을 처리

공통점 : 스위치로 들어온 Packet을 적절한 목적지(주로 네트워크 장비나 클라이언트, 때로는 불필요한 Packet을 Drop시키기도 함)로 전송해줌. 기본적인 기능과 역할은 동일하나 Packet을 분석해 성격과 중요도를 분류하는 Intelligence가 달라서 "적절한 목적지"를 찾아내 해당 Packet을 처리해 주는 능력에 차이가 발생함.

2. 기능적 차이점
* 보다 높은 수준의 Intelligence를 갖춘 스위치일수록 더 정교한 패킷의 부하분산(Load Ballancing)및 Qos기능 구현이 가능함.
* L7스위치는 다음과 같은 기능을 통해 네트워크 시스템의 보안성 강화가 가능함.
1) Dos/SYN Attack에 대한 방어
2) CodeRed/Nimda등 바이러스 감염 패킷의 필터링
3) 네트워크 자원의 독점 방지를 통한 네트워크 시스템의 보안성 강화가 가능함.

Alteon L4 설정 방법

서버,보안
 
Alteon L4 스위치 기본 설정방법

  - Real 서버가 2대이고 1개의 그룹으로 설정, vitural 서버는 1개 사용
  - metric(분산알고리즘) 미설정 시 default는 leastconnection
  - health 체크 미설정 시 default는 tcp, inter=2(매 2초마다 체크), retry=4(4번 실패 체크 시 down으로 정의)
  - DAM(Direct Access Mode)가 default로 disable (Real IP를 통한 직접 서비스 안됨)
    ※ 즉, 여기서는 Real IP를 이용한 http(80번 포트) 접속 안됨
       (하지만 Load Balance와 무관한 서비스는 각각 가능: ssh, 터미널 접속,... 등)
Main#
Main# /cfg/l3     ; 스위치 IP 설정...
(또는 Main# /cfg/ip)
Layer 3# if 1     ; 스위치 자체 IP 설정...
IP Interface 1# addr 1.2.3.4  ; IP address 할당
IP Interface 1# mask 255.255.255.0  ; subnet mask 할당 (필요시)
IP Interface 1# ena    ; IP address 활성화
IP Interface 1# /cfg/l3/gw   ; default gateway 설정...
Enter default gateway number: (1-255) 1 [Enter] ; gateway 번호 입력 (필요시)
Default gateway 1# addr 1.2.3.1  ; default gateway 할당
Default gateway 1# ena    ; gateway 활성화
Default gateway 1# /cfg/slb/real 1  ; 첫번째 real 서버 설정...
Real server 1# rip 1.2.3.5   ; real 서버 IP address 할당
Real server 1# ena    ; 첫번째 real 서버 활성화
Real server 1# /cfg/slb/real 2   ; 두번째 real 서버 설정...
Real server 2# rip 1.2.3.6   ; real 서버 IP address 할당
Real server 2# ena    ; 두번째 real 서버 활성화
Real server 2# /cfg/slb/group 1   ; real 서버 그룹 설정...
Real server group1# add 1   ; 등록된 real 서버 1번을 그룹에 추가
Real server group1# add 2   ; 등록된 real 서버 2번을 그룹에 추가
Real server group1# /cfg/slb/virt 1  ; virtual 서버 설정...
Virtual server 1# vip 1.2.3.2  ; virtual 서버 IP address 할당
Virtual server 1# ena    ; virtual 서버 활성화
Virtual server 1# service http   ; http 서비스 설정...
Virtual server 1 http Service# group 1  ; http 서비스를 real 서버 그룹에 할당
(필요시 Virtual server 1 http Service# rport 8080 ; http 서비스를 real 서버의 8080 포트에 매핑)
Virtual server 1# /cfg/slb/port 1  ; L4의 물리적인 포트 1번 설정...
SLB port 1# server ena    ; 포트 1번을 서버 포트로 할당
SLB port 1# /cfg/slb/port 2   ; L4의 물리적인 포트 2번 설정...
SLB port 2# server ena    ; 포트 2번을 서버 포트로 할당
SLB port 8# /cfg/slb/port 8   ; L4의 물리적인 포트 8번 설정...
SLB port 8# client ena    ; 포트 8번을 클라이언트 포트로 할당
SLB port 8# /cfg/slb    ; SLB 설정...
Layer 4# on     ; Server Load Balancing 모드 On
Layer 4# apply     ; 변경된 설정값 적용
Layer 4# cur     ; 현재 설정값 확인
Layer 4# save     ; FLASH 메모리에 현재 설정내용 저장
Layer 4# /info/slb/dump    ; SLB 정보 확인

    ------------------------------------------------------
   | ㅁ1 ㅁ2 ㅁ3 ㅁ4   ㅁ3 ㅁ4 ㅁ5 ㅁ6   ㅁ5 ㅁ6 ㅁ7 ㅁ8  |  --> Alteon L4 스위치
    --+---+--------------------------------------+--------
      |   |                                                           |
      |   |                                                           |--> 클라이언트 포트 (외부 연결)
      |   |
      |   |--> 서버 포트 (서버 연결)
      |
      |
      |--> 서버 포트 (서버 연결)
     
※ 설정 시  port 9번은 미사용

Traceroute (Tracert) 동작원리와 옵션들

서버,보안
1. 동작원리

목적지까지 찾아가는 경로를 파악할 수 있음. 그러나 귀환경로를 알려주는 것은 아님. 즉, 목적지에서 출발지로 traceroute 하면 경로가 다를 수 있다.

Win95/98/NT/2K/XP에서는 tracert를 이용. Unix/Linux에서는 traceroute를 이용. (traceroute는 UDP, tracert는 ICMP를 사용) Sam Spade, VisualRoute를 이용하면 보다 시각적으로 결과를 알 수 있음.

Traceroute의 동작원리는 다음과 같음
1.1.1.1에서 목적지 10.10.10.10에 대해 TTL=1인 ICMP echo request를 생성/전달 (기본적으로 3개의 UDP 패킷을 보냄)
첫번째 IP네트웍장비가 TTL을 1을 감소시키고 TTL=0이 되므로 TTL이 모자라 더 이상 packet을 전달할 수 없다는 ICMP time exceeded를 1.1.1.1에게 전달
1.1.1.1에서는 이 ICMP time exceeded를 보고 목적지까지 가는 경로상의 첫번째 장비 ip address와 delay를 알아냄.
1.1.1.1에서 TTL=2인 ICMP echo request를 던짐. 목적지까지 가는 경로상의 두번째 장비가 ICMP time exceeded를 발생시키고 1.1.1.1에서는 이것으로 두번째 장비까지의 delay를 알아냄.
이것이 목적지까지 계속됨

2. * timeout

종종 목적지 중간경로에 있는 장비에서 timeout 현상(별표 *가 나타나는 현상)이 발생하는데 이것이 source와 destination간의 네트웍상태를 정확히 알려주는 것은 아님.

몇몇 IP네트웍장비에서는 ICMP packet이 아닌 다른 일반적인 packet에 보다 많은 시간을 할애하도록 설계된 경우가 있는데 해당 IP네트웍장비가 매우 바쁠경우에는 TTL=0인 packet에 대해서 ICMP time exceed등을 생성/전달하지 않는 경우가 많음. 또는 ICMP 메시지의 우선순위가 매우 낮아서 적절한 시간내에 돌아오지 않는 경우도 있음.

다른 경우는 중간경로에 있는 IP네트웍장비가 아예 ICMP echo reply 혹은 ICMP time exceeded를 발생하지 않는(막는) 경우인데 주로 이러한 장비들은 Firewall 인 경우가 많음. 그러나 Firewall이라고 해서 ICMP echo reply, ICMP time exceed를 생성하지 않는 것은 아니며, 관리자의 설정에 따라 좌우됨. 또한 몇몇 오래된 라우터는 TTL 값이 0 임에도 불구하고 패킷을 계속 전달하는 경우도 있음.

이러한 이유로 traceroute 수행시 중간경로상의 timeout 현상에 대해서는 무시해도 좋으며, 최종목적지와 ping의 상태가 좋은지를 파악하는 것이 보다 중요함.


3. no resolve

traceroute 의 수행상태가 매우 늦게 보여질 때 그 이유는?
source에서 기본적으로 reverse domain name을 점검하기 때문
따라서 noresolve 를 지정하면 결과가 보다 빠르게 보여짐

예)
traceroute &#8211;n 164.124.116.4 // UNIX
tracert &#8211;d 164.124.116.4 // Windows
[ unix : /usr/sbin ] traceroute 211.169.248.190
traceroute to 211.169.248.190 (211.169.248.190), 30 hops max, 40 byte packets
1 ysnacb81-e4-0.rt.dacom.net (164.124.102.3) 3 ms 1 ms 1 ms
2 211.60.241.2 (211.60.241.2) 1 ms 1 ms 1 ms
3 ysng12bb2-pos7-0.rt.bora.net (210.120.255.117) 1 ms 1 ms 2 ms
4 kidcg5-pos9-0.rt.bora.net (210.120.192.198) 2 ms 3 ms 1 ms
5 kidcg6-ge8-0.rt.bora.net (210.92.194.238) 1 ms 1 ms 1 ms
6 211.169.248.254 (211.169.248.254) 1 ms 1 ms 1 ms
7 211.169.248.216 (211.169.248.216) 2 ms 2 ms 2 ms
8 211.169.248.190 (211.169.248.190) 2 ms 2 ms 1 ms

[ win: /usr/sbin ] traceroute -n 211.169.248.190
traceroute to 211.169.248.190 (211.169.248.190), 30 hops max, 40 byte packets
1 164.124.102.3 3 ms 1 ms 1 ms
2 211.60.241.2 1 ms 1 ms 1 ms
3 210.120.255.117 1 ms 1 ms 1 ms
4 210.120.192.198 1 ms 1 ms 1 ms
5 210.92.194.238 1 ms 1 ms 1 ms
6 211.169.248.254 1 ms 1 ms 1 ms
7 211.169.248.216 2 ms 2 ms 2 ms
8 211.169.248.190 1 ms 1 ms 1 ms

4. !
몇 가지 라우팅 문제가 있을 수 있다.
어떤 경우 traceroute는 행의 끝에 느낌표와 한 개의 문자 형식으로 된 추가 메시지를 덧붙인다.

!H, !N, !P 는 각각 호스트, 네트웍, 프로토콜에 도달하지 못했음을 나타냄.
!F 는 패킷 분할이 필요함. !S 는 소스 라우팅 실패를 나타냄.

sol:/hosting/elca% traceroute 210.116.117.100
traceroute 210.116.117.100
traceroute to 210.116.117.100 (210.116.117.100), 30 hops max, 40 byte packets
1 210.116.105.126 (210.116.105.126) 1 ms 1 ms 1 ms
2 203.231.224.246 (203.231.224.246) 1 ms 1 ms 1 ms
3 203.231.224.190 (203.231.224.190) 1 ms !H * 1 ms !H

5. Traceroute Options

-m : Set maximum TTL (default 30)
TTL 필드는 8비트 숫자로 되어 있어 255개 까지 홉을 지정할 수 있다.
대부분의 traceroute 구현은 30개 까지의 홉을 시도하고 중단한다.

-n : Report IP addresses only (not hostnames)

-q : Set the number of queries at each TTL (default 3)
보통 traceroute는 각 TTL 값에 3개의 검사용 패킷을 보내는 데 -q 옵션으로 한 집합 당 패킷의 개수를 변경할 수 있다.

-v : Verbose. 더 많은 정보(Source 주소 및 패킷 크기)를 보여준다.

-w : Set timeout for replies (default 5 sec)

-A : Report AS# at each hop

* 위의 옵션은 Unix (Solaris)를 기준으로 한 것임. Linux나 Windows의 경우 다른 옵션을 가지고 있음.

네트워크 라우트 속도 체크

서버,보안

간혹 특정 사이트 접속시 굉장히 느린경우 네트워크 상태를 의심한다면 확인 하는 방법은
간단하게 tracert 명령을 사용하는것이다.
윈도우에서 "시작 > 실행 > cmd 엔터" 커멘드 창을 실행 한 후
접속하고자 하는 사이트의 URL이나 IP주로를 입력하면된다.
tracert www.naver.com
tracert 123.123.123.123

C:\Documents and Settings\사용자>tracert yahoo.co.kr
Tracing route to yahoo.co.kr [203.212.171.217]
over a maximum of 30 hops:
  1    <1 ms    <1 ms    <1 ms  192.168.100.1
  2     1 ms     1 ms     1 ms  118.38.154.1
  3     2 ms     2 ms     2 ms  115.22.41.53
  4    <1 ms     1 ms     1 ms  118.38.154.252
  5     1 ms    <1 ms     1 ms  121.144.124.129
  6     3 ms     1 ms     1 ms  220.73.148.206
  7     9 ms     8 ms     7 ms  59.18.34.21
  8     7 ms     7 ms     8 ms  59.18.34.22
  9     8 ms     7 ms     8 ms  211.115.199.241
 10     7 ms     8 ms     8 ms  211.115.197.158
 11     8 ms     7 ms    15 ms  61.250.82.10
 12     8 ms     8 ms     8 ms  te-9-1.bas-a1.kr1.yahoo.com [203.212.161.34]
 13     8 ms     8 ms    20 ms  rc.vip.kr1.yahoo.com [203.212.171.217]
Trace complete.

1ms 는 상태가 아주 좋은 상태이다. 간혹 100 ms 로 수치가 높게 나오거나 평소보다 높게 나온다면 해당 라우터에 이상있어 느린것으로 생각하면 될듯 하다.
위 테스트 사이트는 야후로써 아무래도 큰 기업이다 보니 네트워크 상태가 좋다.
따라서, 페이지 뜨는 속도 또한 동일한 컨텐츠를 담을 경우 보다 빠르게 뜨게 되는 것이다.

간혹 다음과 같이 표시 될 경우가 있는데 이런경우는 라우터 자체에서 tracert 에 대해 응답을 안해주는 경우가 대부분이다.
 18     *        *        *     Request timed out.

tracert 명령어에 대해 잘 나와 있으나 나름 작성 해봤습니다. ^^ ~세이박스!

메일 발송을 위한 화이트 도메인 등록

서버,보안
포탈 사이트에 메일 발송을 하니 왠만한 사이트 모두 아예 수신이 되지 않았다 즉, 스팸처리도 아닌 아예 수신이 안되었다. 그래서 인터넷을 검색해보니 화이트도메인이라는걸 알게 되었다.
다름 아닌 기관을 통해서 도메인에 대한 신뢰성을 인증 받고 발송하게 되는것이다.
등록과정이 다소 까다로울수도 있다. DNS 설정은 물론 접수 후 처리되기 까지 다소 시간이 걸린다.
뿐만아니라 화이트 도메인 등록후에도 포탈마다의 정책에 맞게 메일을 발송해야하며 수신안될경우 화이트 도메인이고 회원에게 발송하는 메일이니 수신해달라고 수차례 독촉을 해야 허용해준다는 결론을 가지게 되었습니다.
아울러, 아래 정보를 통해 많은 도움 되길 바라며 저처럼 해매이지 않으시길 바랍니다.
 
* White Domain 등록
Kisa RBl 실시간 스팸차단 관리
http://www.kisarbl.or.kr
홈 > KISA-RBL소개 > FAQ > SPF Record
게시판 10번 내용 - 절차안내
화이트리스트 내용 참조해서 접수!
(온라인접수)
화이트 도메인에 등록하기 위해서는 SPF RECORD 출판이 선행되어야 합니다.
Step1) [사 용 자] 귀사의 메일발송 DNS서버에 SPF레코드 출판 [윈도우][유닉스•리눅스]
Step2) [사 용 자] KISARBL홈페이지의 화이트 도메인 등록신청
Step3) [KISA-RBL] 정상 등록시 ‘통합 화이트 도메인’ 등록 안내메일 발송
Step4) [KISA-RBL] 자체 검증을 통한 뒤 1~2일 뒤에 화이트도메인을 사용하고 있는 사이트에 전달
 
 
* 화이트도메인 관리
도메인 신뢰도가 “0”이상이 되면 자동으로 화이트 도메인에 재등록이 되지만, 메일발송서버 관리소홀로 인한 문제 발생 시 즉각 화이트 도메인에서 제외되어 보호를 받으실 수 없습니다.
화이트도메인점수가 하락한 경우, 하락한 원인을 홈페이지 로그인을 통해서 면밀히 파악을 하는것이 중요합니다.
https://www.kisarbl.or.kr
홈 > White Domain 등록 > 등록확인및수정

도메인신뢰도 | 0.3 [이력] <- 이력 클릭
이력에 스팸 메일 발송시 감점이 기록되어 0 이하가 될 경우 블랙 도메인이 됨.
따라서, 가끔씩 관리 필요!
 
 
* 다음에 메일 발송시 주의 사항
광고 수신에 동의를 받은 이메일 전송자의 경우, 동법 시행령에 의거 하여 "(광고)" 및 "@"표시를 하지 않거나 "(동의)"문구로
대신할 수 있는데, 전혀 표시를 않는 경우 광고 표기 의무를 준수하지 않는 스팸과 구별되지 않아 불이익을 보는 사례가 많기
때문에 "(동의)"표기 하는 것을 권장함.

다음 메일 운영 정책으로 메일 수신 안될 때 확인하세요

서버,보안
다음 개정을 가진 사용자에게 DM발송을 할 경우 하이트 도메인으로 등록이 되어 있어도 수신이 안되는 경우가 있습니다. 이는 자체 운영 정책 기준을 두고 있기 때문입니다. 이에 맞게 메일 제목 내용을 갖추어 발송 하셔야 합니다.
 
ㅇ 다음은 정책에 따라 스팸 처리 함 따라서 회원 동의 메일인 경우 (동의)라고 표시후 발송처리해야함.
 
ㅇ 다음 차단 시스템 구조는 다음과 같다
http://hmm.daum.net/policy/index.html?goIndex=6

당연히 하이트 도메인 등록은 기본이겠죠!
하이트 도메인 관련 내용도 올리겠습니다.

무료 DNS 네임서버 서비스 사이트

서버,보안
무료 DNS 네임서버 서비스 사이트

http://dnsever.com

호스트를 무제한 등록 할 수 있으며 포워딩 등도 편리하게 이용할 수 있습니다.
네임서버 5개의 IP를 접속자마다 다르게 제공하여 보다 안정적으로 서비스를 제공받습니다.
사실 무료로 제공해주길래 의문을 갖고 서비스를 이용하고 있지만 벌써 1년동안 안정적으로 서비스를 받고 있습니다.

[아이네임즈] 네임서버를 신규로 등록(호스트 등록)을 하려면 어떻게 하나요?

서버,보안

자체적으로 DNS서버(네임서버)를 운영하실 경우에만 호스트 등록을 합니다.

네임서버 등록(호스트 등록) 방법 : 정보변경 > 네임서버 변경 서비스 선택의 호스트 등록 클릭

네임서버로 등록할 도메인을 선택하신 후 호스트 관리 버튼을 클릭한 후 신청하세요.
호스트 관리에서는 네임서버의 등록 뿐만 아니라 수정과 삭제도 가능합니다.


호스트 등록 후 루트 도메인의 네임서버에 한번 갱신이 이뤄져야만 타 도메인에서 등록된 호스트명을 네임서버 주소로 등록할 수 있습니다.

예를 들어 a.com 이라는 도메인에 네임서버 주소 ns.a.com 호스팅 등록 후 다시 네임서버 변경 메뉴상에 가서 새로 신규 등록한 ns.a.com 호스트명을 추가로 변경해야 합니다. .

기존에 네임서버 주소가 있다면 3차 또는 4차에 이어서 등록 하시면 됩니다. Kr 도메인 하루 3번, gTLD 도메인 5분마다 갱신이 이뤄진 후 지우셔도 무방합니다.

[닷네임코리아] 자체 네임서버 호스트를 등록

서버,보안

자체 네임서버 호스트를 생성하고 적용하는 방법은 두가지 과정을 거치게 됩니다.

① 신규 네임서버 호스트 등록

닷네임 코리아 상단 메뉴 [정보 변경] -> [네임서버 생성]
http://www.dotname.co.kr/manage/host/
페이지에서 [신규 호스트 등록] 메뉴로

ns.mydomain.com / xxx.xx.xxx.x

와 같은 네임서버 호스트를 등록합니다.

② 네임 서버 변경

신규 등록된 네임서버 호스트로 도메인의 네임서버를 변경합니다.

닷네임 코리아 상단 메뉴 [내 도메인 관리] -> [네임서버 변경]
http://www.dotname.co.kr/manage/total/total_manage.html
페이지에서 도메인의 네임서버를 변경합니다.

네임서버 호스트가 등록된 것은 어디서 확인할 수 있나요?

서버,보안
도메인 관리 루트기관의 도메인 등록정보 검색으로 확인하실 수 있습니다. 다만 네임 서버 호스트 등록에 관한 검색이므로, [NameServer] 로 검색 선택을 하시고 검색하셔야 합니다.

국내 kr 도메인은 http://whois.nic.or.kr/ 에서

국제도메인 com, net 은 http://www.internic.net/whois.html
에서 등록여부를 확인하실 수 있습니다.
(단, 국제도메인 com, net 신규 정보업데이트에 하루가 걸립니다.)

국제 도메인 org 는 http://www.pir.org/whois_search/ 에서

국제 도메인 info 는 http://www.afilias.info/whois_search/ 에서

국제 도메인 biz 는 http://www.whois.biz/ 에서

미국 국가 도메인 us 는 http://www.whois.us/ 에서

영국 국가 도메인 uk 는 http://www.nic.uk/whois/ 에서

일본 국가 도메인 jp 는 http://whois.nic.ad.jp/cgi-bin/whois_gw 에서

중국 국가 도메인 cn 는 http://ewhois.cnnic.net.cn/index.jsp 에서 확인할 수 있습니다.

아파치 데몬 감시 스크립트

서버,보안
Apache 데몬 모니터링을 위한 스크립트
 
아파치 서비스를 운영하다 보면 접속자가 너무 많거나 이상 증상으로 데몬이 죽어 버리는 경우 상시 모니터링 하지 않는 이상 관리자가 확인 하기 전까지 서버는 웹 서비스를 멈추어 버린체 방치하게 된다. 그래서 적어도 한시간 이내에 한번은 데몬이 죽은는지 체크해서 다시 살리는 시스템을 생각하게 된다.
 
# 적당한 위치에 스크립트 파일 만들기
cd /usr/local/apache/bin
vi httpd_check.sh
#/bin/sh
DAEMON="httpd"
COUNT=$(ps acx | grep -c $DAEMON)
if [ "$COUNT" -gt "0" ]; then
   /usr/local/apache/bin/apachectl restart
else
   /usr/local/apache/bin/apachectl start
fi
 
# 스크립트 파일 실행 권환 주기
chmod +x httpd_check.sh
 
# 매 시간마다 위 스크립트 실행되도록 crontab 적용
crontab -e
00 * * * * /user/local/apache/bin/httpd_check.sh 
 

부팅시 마운트 설정 변경 하려면

서버,보안
/etc/fstab
 
에는 부팅시 마운트 하는 설정 값이 들어 있습니다.
 
만약 
/home 10G
/home2 20G
 
였는데 10G 를 /home2 로 20G를 /home2 로 변경하고자 할때
보통 mv /home /home_bak -> mv /home2 /home -> mv /home_bak /home2
이런 과정을 생각하실 겁니다. 하지만 아마도
장치가 사용중입니다. 라는 메시지가 나타나는경우 마운트 된 폴더라 변경이 안된다는 겁니다.
 
그럴경우 /etc/fstab 에서 이름을 변경해주고 재부팅하시면 이름이 서로 변경되어 마우트 될겁니다.