네트워크 망분리 프로젝트

배찌 (배찌)·2023년 2월 20일
networkproject
0

network

목록 보기
1/1
이 내용은 클라우드 전환 플랫폼 보안 구축 엔지니어 수업을 들은지 2개월만에 시작했던 첫 팀 프로젝트이다.
이때는 프로젝트 과정 정리의 중요성을 느끼지 못하여 자세한 셋팅값은 패스한다.

배경

망분리 사업 제안 요청서가 인터넷에 제공 되어있는 문서 중 한국방송광고진흥공사가 2015년 6월에 제안한 업무망/인터넷망 분리 사업 제안 요청서를 기반으로 프로젝트를 진행하였다.

기존망 디자인

네트워크의 망 구조라는것은 상당히 중요한 기업 기밀 사항이기 때문에 그 어떤 제안서를 봐도 기존망에 대한 내용은 없다. 대다수 회사에 방문하여 네트워크 구조를 봐야한다.
그렇기 때문에 문서에서 제공되어 있는 응용 시스템 현황을 토대로 기존망을 예상하고 업무망과 인터넷망 분리를 진행하였다.

기존망 해석

상당히 복잡하게 되어 있지만 간략하게 이해한것은 다음과 같다.
1. 내부 사용자, 협력 직원, 대국민 서비스가 한 네트워크에 접속하는 형태로 진행이 되어 있다.
2. 접근을 하기전 항상 EIP를 통한 다음 서비스가 진행된다.

업무망 분리

업무망 분리라는게 사실 말이 망분리이지 프로젝트를 진행하는 5명의 입장에서는 기업의 새로운 네트워크 망을 구성해야 했다.
그렇기에 우리는 제안서에서 적혀있는 요구사항들을 모두 참고하여 최대한 그에 맞게 진행 하였다.

  1. 1인 2PC로 진행되어야 하고, KVM스위치가 도입되어야 한다.
  2. 인터넷망과 업무망이 분리가 되었을때 업무의 연속성을 위하여 SAN 네트워크가 필요하다.
  3. 요구사항에 맞는 장비의 스펙과 가격대를 조사한다.
  4. 예산이내에 최대한의 성능을 만들어 내기위해 노력한다

간단하지만 어려운 이야기이다.

업무 분담

이때 우리는 몇가지의 업무 분담을 진행하였다.

  • 서버팜
  • 지사 네트워크
  • 백본
  • 사용자 망
  • 발표 자료 작성 및 기록

이때 발표 자료가 따로 있었던 이유는 서버팜은 그때 당시 전혀 배우지않은 서비스를 공부하고 필요한 서버를 넣고 또 다시 인터넷망와 업무망을 분리하는 가장 중요한 파트였다.
그래서 발표 자료하는 사람이 서버팜을 같이 하면서 시간을 절약을 했다.

나는 이때 백본 파트를 담당했다.

백본 설계 목적

나는 이때 백본 설계를 맡아야한다고 해서 상당히 많은 조사를 진행 하였다.
이때 다양한 사람에게 질문을 했고 IT업계에 대해서 제대로 몰라서 무례한 질문을 할때도 있었다.
조사를 내용으로 필요한 내용은 다음과 같았다.

  • 네트워크 연결에 필요한 기술을 최소한으로 적용하여 진행한다.
  • 망 연계 라인은 비상 라인으로써 평소에는 절대로 넘어가서는 안된다.

나는 이때 생각을 정리하면서 백본 라인부터 잡았고, 여러가지 네트워크 형태를 생각해보았다. 메쉬형, 스타형, 링형 등
처음에는 North South로 트래픽을 진행시켜서 서비스가 가장 많이 일어나는 부분을 가장 상단에 배치하여 외부 접속자는 서비스 구간 밑으로는 들어오지 못하도록 하고자 했다.

시행착오

North South구조를 만들어낸다고 하고 서비스의 대략적인 구조를 만들어 냈을때는 상당히 좋은 평가를 받았다.
그런데 이때 나는 잘못된 생각을 하여 망분리 중간에 L자로 가로 지르는 어처구니 없는 설계를 한적이 있엇다.

이때 생각해보면 나는 풀메쉬를 꼭 해야한다는 생각이 있었던것 같다.

하지만 그게 꼭 필요한것이 아니라는것을 듣고 수정하였다.

최종 결과물

  • 젤 하단 부분은 지사 VPN을 패킷트레이서에서 구현한것이다.
  • 왼쪽 오른쪽으로 빠져있는 네트워크는 본사 네트워크이다.
  • 패킷 트레이서의 한계로 인해 L3스위치에서 vlan nat가 진행이 되지않아 라우터를 하나 더 추가하여 진행하였다.
  • 패킷 트레이서에서는 L4기능을 구현할 수 없기 때문에 ACL을 이용해서 비슷한 효과를 나타냈다.
  • 백본은 EIGRP를 구현하고 망연계라인은 hsrp를 사용하여 패킷 이동을 제한하였다.

한가지 놀랐던 점은 나는 스타형식이나 링형을 전혀 생각하지 않고 서비스에 맞게 셋팅했는데 결과물은 스타형과 링형이 합쳐진 듯한? 결과물이 나오게 되었다.

최종 결과물에서는 만약 서비스를 중점적으로 하지않고 관리가 편리한것이 목적인 기업이라면 우리의 제안안이 뽑힐 가능성이 높다고 하더라.. 그것도 재밌는 경험이였다.

아쉬운 점

이때는 상당히 초창기에 진행하여 아쉬운 점이 가장 많은 프로젝트이다. 지금 생각해보면 굳이 EIGRP가 아닌 static route로 구현할수도 있지 않을까? 하는 아쉬움이 남는다.

L4 한 대가 처리할수 있는 트래픽양을 몰르기도 하고 제안서에서 L4 한 대만을 넣으라고 했기때문에 인터넷망에 L4 한대만을 넣었지만 실질적으로 생각하면 트래픽을 한대만으로 감당할수 없기 때문에 백본을 하나 더 놓아서 트래픽을 분산 한다던지 혹은 L4 네트워크를 구성하여 트래픽을 처리했으면 어땟을까 싶은 생각이 든다.

profile
배찌 (배찌)
Never give up Impossible is nothing

0개의 댓글