안녕하세요.
네트워크 전반적인 통신 방법에 대해서 배우고 있는 중 입니다.
구성도를 이런식으로 구성하였을 때
PC#1이 FW로부터 DHCP를 할당받아서 DNS Server로부터 DN의 IP를 받아 Web-Server로 통신을 하는 과정을 만들려고 했는데 이 구조로도 통신에는 문제가 없는 것인지
만약 failover 테스트를 진행 할 때 FW 마스터 장비의 하단링크(P1) 단절 시 어떤식으로 작동되는지?
등이 명확하지 않아서 질문합니다...
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
7개의 답변이 있습니다.
우선 상단 라우터는 한개이니까 제외하고, 구성도 기준으로 답변을 드리면
1. FW#M과 FW#B 연결된 상태
여기는 Active-Active / Active-Stand by인 지 설정에 따라서 반응하는 게 다르다고 보시면
될 것 같아요 !
2. 그 다음 방화벽 설정이 중요한데, 현재 구성 상 FW#B와 L2 Switch간의 p1-p3가 단절되면
L2 Switch p2-p2로 스위치간 link연결이 되어 있어서 FW#M의 정책을 받게 됩니다.
FW#M과 FW#B 각각 ip를 할당 받는 상태라 gateway가 2개로 판단 되는데,
1개의 fw 즉, FW#M gateway를 지정하여 운영되고 있으면 약간의 단절 후 네트워크는 원복될 거에요
Active-Active로 동일하게 구성된 방화벽이라면 구성 상 통신하는데 문제는 없습니다
ha구성이 어떤 형태인지는 몰라서 예상되는 구조로 답변 드렸습니다 !
구성상 통신하는데는 이상이 없고
다만 최상단 라우터를 1개만 두고 사용한다면 반쪽짜리 이중화구성이 될 것 같습니다.
윗분 말씀처럼
라우터도 이중화하고 각각 static이나 vrrp 로 업링크 회선을 받아서 사용하는게 좋을것같습니다.
HA 구성시 보통 방화벽 설정에 상단,하단 포트를 모니터링포트로 설정합니다 그럼 해당 포트에 문제가
생길시 알아서 failover되겠죠.
그럼 의도하신대로 FW#B 가 마스터장비로 동작하고 아래 스위치타고 통신이 가능하지겠죠
다만 HA 구성시 Active-Standby 로 구성하면 failover시 짧은 시간 단절이 있고
다시 FW#M 장비가 정상화되어 autofailback 이 될때 한번더 원치않는 단절이 생길수있기 때문에
이부분도 생각해보시면 좋을것 같습니다.
네트워크초보 | 약 일 년 전
설명 정말 감사합니다!!!
궁금했던 부분에 대해서 해결되었습니다.
인터넷 통신과정에 있어서 발표를 하게 되어 최대한 설명을 방어적으로 구성하기 위해서 일부로 한개만 뒀는데 그 부분은 고려해보겠습니다.
구성이 좀 이상하네요
회선 1G 받으면 L3인건 맞을것 같은데
방화벽 밑에 L3이 없이 방화벽에서 L2 그리고
PC로 가네요
네트워크초보 | 약 일 년 전
이 구성을 가지고 STP, VRRP, DHCP, NAT, DNS, ARP, Failover test 등의 과정을 예시로 들면서 설명을 하려고 하는데 방화벽 하단에 L3가 없는게 혹시 문제가 될까요?
Genghis Khan | 약 일 년 전
문제는 없는데 일반적으로 방화벽 밑에 L3를 두고 구간별 스위치 할당을 하죠 방화벽에선 차단 허용을 하는데 하단에서까지 한다는게 무리가 아닐까 해서요
감사합니다 해당 내용을 바탕으로 다시 공부하도록 하겠습니다 !!
L2와 방화벽 마스터/슬레이브는 크로스 연결 되어야 밑단 PC 연결 계속 됩니다.
라우터도 이중화 하려면 2대오 바와벽 크로스 연결하면 됩니다. X 자로...
네트워크초보 | 약 일 년 전
사진상의 구성에서 크로스연결을 하지 않았을 때
마스터 방화벽 하단링크만 단절 시
Backup장비가 Master장비를 대체하는 것이 아닌 연결자체 불가능하게 되나요?
네트워크초보 | 약 일 년 전
사진상 구조에서 X표시되어 있는 부분은
STP프로토콜에 의해서 Alternated Port를 나타낸것입니다.
마스터 장비가 죽었을 땐 백업 장비가 마스터를 대신하면서 STP 구조가 변경되는 것 까진 이해가 되었는데 마스터 장비의 하단링크가 죽었을 때도 마스터 백업 교체가 일어나는지에 대한 의문이였습니다.
wansoo | 약 일 년 전
방화벽을 비롯한 네트워크 장비의 이중화는 해당 장비가 이중화를 지원해야 가능합니다.
첨부 이미지에서 FW#B와 L2 스위치 사이에 단절이 생겼다면...
이중화를 지원하는 스위치라면 오른쪽 L2 스위치로 전달되는 트래픽들은 왼쪽에 있는 L2 스위치로 전달되어 마스터 방화벽을 통해서 인터넷이 가능하게 됩니다.
방화벽, 이중화로 인한 페일 오버 등의 문제는 별개의 문제로 공부하시는게 좋습니다.
이중화의 페일 오버가 일어 나는 동안에는 서버에 접속하지 못하게 됩니다.
이중화 시스템에서는 가상 IP를 사용하게 되어 접속하려는 컴퓨터들이 가상 IP를 통해서 서버를 찾아 가게 됩니다.
1번 컴퓨터가 Active로 작동하면서 가상 IP를 가지고 있다가 서버 오류로 인해 페일 오버가 발생하면 가상 IP를 2번 컴퓨터에게 넘겨 주어 2번 컴퓨터가 서비스를 하게 되는 방식으로 작동하게 됩니다.
인터넷에서 중요한 장비는 라우터입니다.
인터넷 상에 흩어져 있는 라우터들이 서로 정보를 주고 받으면서 찾아 가려는 목적지까지 패킷을 전송하고, 응답에 대한 패킷을 다시 받아서 요청한 컴퓨터로 돌려 줌으로 인터넷 상의 컴퓨터들이 서로 통신을 하게 됩니다.
첨부한 그림상에는 웹서버와 DNS에 라우터가 표기되어 있지 않았지만 웹서버 쪽과 DNS 서버 쪽에도 라우터가 있게 되고요.
일반적으로 내부에 있는 라우터가 외부와 통신하는 통로 역할을 하는 게이트웨이 역할을 하게되고... 방화벽도 게이트웨이 역할을 하면서 들어오고 가나가 패킷들을 체크하면서 통제하는 기능을 수행하고 있는게 일반적이고요.
게이트웨이 역할을 하는 라우터의 설정이 제대로 되어 있고, 접속하려는 PC가 라우터 환경에 맞게 제대로 설정되어 있으면 인터넷 접속하는데 문제가 없다고 할 수 있습니다.
PC에서 인터넷 상에 있는 웹서버에 접속하는 과정은
PC에서 임의의 컴퓨터와 통신하려고 접속 시도할때...
도메인명을 이용해서 통신을 시도한다면 도메인 명을 IP 주소로 전환해야 하기 때문에 DNS 서버에 도메인 명을 전송해서 IP 주소를 얻어오는 과정을 거치게 됩니다.
도메인 명이 아니고 IP 주소라면 DNS 서버에 쿼리를 보낼 필요없이 바로 대상 컴퓨터에 연결하려고 시도하게 될 것이고요.
IP 주소를 가지고 상대편 컴퓨터와 통신하려고 시도할때...
자신의 IP 주소와 서브넷 마스크, 그리고 상대편의 IP 주소를 and 연산을 해서 상대편 컴퓨터가 자신과 같은 네트워크에 있는지, 다른 네트워크 ( 인터넷 )에 있는지를 판단하게 되어,
같은 네트워크에 있다면 상대편과 직접 통신을 시도하게 되고...
다른 네트워크에 있다면 직접 통신을 할 수 없기 때문에 게이트웨이에게 통신 요청을 하게 됩니다.
그러면 게이트웨이가 패킷을 받아서 상대편의 컴퓨터가 있는 곳을 어떤 경로를 통해서 접속하면 되는지를 라우팅 테이블을 참조해서 목적지를 찾아 갈 수 있게 해 줄 수 있는 다른 라우터에게 패킷을 전달하게 되고요.
패킷을 전달 받은 라우터도 라우팅 테이블을 참조해서 목적지까지 찾아 갈수 있는 다른 라우터에게 다시 패킷을 전달하는 과정을 반복하게 되고...
목적지 컴퓨터가 있는 곳의 라우터에게까지 패킷이 전달되게 되면 목적지 네트워크에 있는 라우터가 목적지 컴퓨터에게 패킷을 전달하고, 목적지 컴퓨터가 응답해 주는 결과를 다시 원래 전송했던 곳으로 돌려 보냄으로 해서 PC와 웹 서버간의 통신이 이뤄지게 됩니다.