MTU(maximum transmission unit)최대 전송 단위로써 전송할 수 있는 최대 프로토콜 단위(byte)의 크기로 망에서 전송되는 한 패킷당 최대 크기라고 생각하면 편하다. 이더넷 프레임 헤더를 보면서 헷갈릴수도 있는데 MTU는 데이터 필드(데이터 패킷, 페이로드)만 포함되는 지표이다. CCNP 공부를 하면서 필요해서 다시 복습하는겸 정리해본다. MTU 종류인터페이스 MTUEthernet MTU : 2계층의 MTU프로토콜 MTUIP MTU : 3계층의 MTUMPLS MTU 그 외PATH MTU : 대상 경로에서 가장 작은 값의 MTU를 가진 구간의 MTUSYSTEM MTU : MTU설정 시에 IP MTU와 INTERFACE MTU를 한번에 설정하게 하기 위한 방법이더넷 헤더위의 내용을 더 ..
Transit gateway VPC Peering과 마찬가지로 서로 다른 VPC간에 통신이 가능하게 하는 서비스로 Peering은 1ㄷ1 VPC연결만 지원하지만 Transit gateway는 중앙 허브 즉 단일게이트웨이를 통해 여러 VPC를 중앙집중적으로 관리할 수 있습니다. 특징 peering 처럼 vpn을 통해 온 프레미스와 연결할 수 있음 복잡한 피어링 관계를 정리해 네트워크 간소화 클라우드 라우터 역할로써 새로운 연결을 한번만 추가하면 됨 다른 리전간의 transit gateway와 피어링 연결이 가능 VPC PEERING VS Transit Gateway VPC PEERING TRANSIT GATEWAY 리전과의 VPC 연결 O O 다른 계정과의 VPC 연결 O O 대역폭 제한 없음 50Gbps..
CoPP(Control Plane Policing) 서버가 아닌 네트워크 장비를 대상으로 DoS공격이 진행되는 경우 이를 방어하기 위한 기법으로 네트워크 장비는 자신이 목적지가 아닌 트래픽은 Data Plane으로 처리하여 CPU에 문제가 발생하지 않지만 자신을 대상으로 한 트래픽은 Control Plane에서 처리하기 때문에 CPU에 부하가 발생된다. 이에 대한 공격을 방어하고 서비스가 안전하게 지속될 수 있도록 하는 기술이다. 네트워크 장비는 데이터의 흐름을 처리하는 데이터 플레인, 보안 정책, 라우팅 경로 등을 처리하는 컨트롤 플레인으로 나눠진다. 따라서 서버에 대한 공격일 때는 데이터 플레인을 이용하여 라우터에 부하가 없는 것이다. CBAC같은 stateful inspection 기반의 방화벽이 ..
정의 VLAN같은 3계층의 가상화 기술로써 하나의 라우터에 여려 개의 라우터가 작동하고 있는 것(가상 라우팅 도메인으로 나누어)처럼 구성하는 방법이다 따라서 VRF에 동일한 주소가 있더라도 서로 다른 VRF이므로 다르게 작동하고 오류도 없다. 별도의 VPN 또는 포워딩 기술을 사용할 수 있고 보안 향상에도 도움이 된다. 라우팅 테이블이 여러개이므로 FIB에 ID를 부여하여 구분하고 리눅스 커널에서는 위와 비슷한 내용으로 namespace, NET namespace를 통해 NIC 별로 원하는 네트워크로 통신할 수 있다. VRF-lite? VRF는 MPLS VPN이나 MP-BGP를 구성할때 사용하게 되는데 이때 MPLS를 사용하지 않고 VRF만 단독으로 구성할 시 VRF-lite라고 한다. 예상했다 싶이 소..
오늘은 들어가기전에 이전에 못 풀었던, 사실 몰랐던 내용을 조금 더 정리해보면서 내부 ELB 구축 방법에 관해서 서술해보겠습니다. 가용 영역 및 로드 밸런서 노드 로드 밸런서를 설정해줄땐 복수개의 가용영역을 연결해주어야 합니다. 그리고 이때 가용영역이 비활성화되면 그 대상에 대한 정보는 등록된 상태로 남아있지만, 트래픽을 비활성화된 가용영역으로 라우팅하진 않습니다. 따라서 AWS는 활성화된 가용영역에 존재하는 하나 이상의 리소스를 검사할때 로드밸런서가 효과적이라고 합니다. 로드 밸런서도 따지고 보면 하나의 인스턴스 즉 노드들로 이루어지는데 로드밸런서의 노드가 클라이언트의 요청을 받고 종합적인 상태를 확인해서 인스턴스들에게 트래픽을 분산하는 것입니다. 여기서 교차영역 로드밸런싱이라는 것을 알아갈 수 있는데..
AUTO SCALING 쉽게 설명하자면 다양한 네트워크 자원(메트릭)을 모니터링하고 모니터링 결과에 대응하여 서버 사이즈를 자동(scale out, scale in)으로 조절해주는 기술입니다. ex) 인스턴스에 대한 트래픽이 증가했다고 했을때 자동으로 같은 configuration의 인스턴스를 만들어 부하분산을 할 수 습니다. 장점 1. 규모 조정을 신속하게 설정 2. 좋은 규모 조정 의사 결정 3. 자동으로 성능 유지 : 예측 불가능한 변화에도 최적의 애플리케이션 성능과 가용성을 유지할 수 있음 4. 필요한 만큼만 지불 : 사용되는 리소스, 모니터링에 필요한 CloudWatch에 한해서만 비용 지불 설정값 속성 설명 LAUNCH TEMPLATE 오토스케일링 그룹에 대한 서버 사양/설정 정의 DESIRE..
라우팅 보안 STATIC 또는 라우팅 인증 설정 RIP 인증 key chain [word] // 아무거나 지정 이건 라우터들끼리도 동일하지 않아도 됨 key [num] // 키 번호 지정 이건 같아야지 서로 인증이 됨 key-string [word] // 이것도 같아야 할거임 --> 적용할 인터페이스로 이동 ip rip authentication key-chan [key-chain] ip rip authentication mode [text/md5] //md5 권장 사용 EIGRP key chain [word] // 아무거나 지정 이건 라우터들끼리도 동일하지 않아도 됨 key [num] // 키 번호 지정 이건 같아야지 서로 인증이 됨 key-string [word] // 이것도 같아야 할거임 ip au..
802.1AE 무연결 데이터 기밀성과 매체 접근 독립 프토로콜을 위한 무결성을 정의하는 보안 표준으로 MACsec을 정의한다. 이 표준은 mac 클라이언트에게 투명하게 작동하는 미디어 액세스 도립 프로토콜 및 entity에 의한 연결 없는 사용자 데이터 기밀성, 데이터 무결성 및 데이터 출처 인증을 규정한다. IEEE Std 802.1X에 지정된 MACsec 키 계약 프로토콜(MKA)은 상호 인증된 MACsec 피어를 검색하고 프레임 보호를 위해 MACsec에서 사용하는 대칭 보안 연결 키(SAK)를 배포하는 키 서버로 하나를 선택한다. 802.1AE: MAC Security (MACsec) 802.1AE: MAC Security (MACsec) | Full title: IEEE Standard for ..
NTP 네트워크 장비별 시간을 동기화 시키기 위한 시간 동기화 프로토콜 특징 시간 기준 및 정확도 UTC를 이용하여 시간 계산 , UTC에 비교하여 수 밀리초 이하의 정확도 유지함으로 stratum 1~15 까지의 시간 서버들의 시간 오류 편차가 거의 없다 사용 포트 UDP 기반의 서비스로 NTP 서버 간에는 123 포트, 일반 클라이언트(장치) 상대로는 1023 이상의 포트를 사용한다 동작법 최초 클럭 동기화에서 5~10분 동안 모두 6번의 시간 교환을 통해 이루어짐 매 10분 마다 메세지 교환을 통해 클럭을 수정함 NTP 메세지 LI (LEAP WARNING INDICATOR): 2비트로 윤초를 알려줌 VN (VERSION NUMBER) : 3비트 현재 표준 버젼은 4인거 같음 MODE 0 RESER..
자동화가 필요한 이유 만약 구축되어 있던 인프라스트럭쳐에 문제가 생겨 다시 구축해야할 일이 생겼을때 자동화가 없다면 관리자는 구축에 관련된 내용을 하나부터 열까지 모두 숙지한 후에 빠른 시간 내에 다시 구축해야한다. 이건 말도 안되고 실현 불가능해 보인다(어떻게든 굴리면 해내는게 인간이지만). 이때 자동화는 이러한 복구 과정에서 모든 것을 큰 노력을 들이지 않아도 자동으로 복구할 수 있는 그런 솔루션을 제공해준다 자동화 도구에는 앤서블, 클라우드포메이션,셰프, 퍼펫, 솔트스택, 젠킨스 등등이 있고 구축되어 있는 환경에 적합한 자동화 도구를 선택하여 이용해야한다. CloudFormation 리소스를 프로비저닝 하고 관리할 수 있도록 해주는 서비스로 빌드하고 싶은 서비스와 애플리케이션을 위한 템플릿을 생성할..
