[구독자 요청] L3 스위치(OSPF)에 사설IP 라우팅 추가하기

[구독자 요청] L3 스위치(OSPF)에 사설IP 라우팅 추가하기

필자의 블로그 구독자님께서 필자의 블로그에 도움을 요청하셨다. 

할일없어 님께서 올려주신 글이다 (캡쳐)

Cisco L3를 사용중이시고 VLAN을 분리해서 사용중인데 프린터를 사설망으로 사용하고 싶다고 하셨다. 솔직히 이 글을 봤을때 필자는 그래도 할일없어 님께서는 보안에 대한 경각심을 가지고 있다는 생각이 들었다. 필자가 근무하는 기관에서도 처음에 네트워크 프린터라든지 복합기가 도입되면서 필자도 사설IP에 대한 생각을 가지고 있지 않았다. 그래서, 공인 IP로 할당하다 보니까 크게 2가지 문제가 발생하기 시작했다.

1. 공인 IP 부족현상: 뭐...이건 솔직히 답이 없다. 지금 IPv4가 고갈되어서 IP를 망사업자(ISP KT,LG U+)에 요청해도 IP 할당이 안되고 있다. 솔직히 ISP에서도 없어서 못주는게 맞다고 보시면 된다.

2. 네트워크 공격문제: 공인 IP를 할당하다 보니 얘내들도 외부로 통신이 되는 구조다. 그래서, 외부 공격을 받았다. 아침에 와서 확인해보면 이상한 중국 글자 같은게 막 출력이 되어 있다. 진짜 용지가 다 될때까지 출력이 된거다. 한때는 전원을 꺼놓고 퇴근을 했지만 업무시간 중에 출력을 하지도 않은 문서가 출력이 되어 있다고 각 부서에서 연락을 많이 받았었다.

그래서, 이 고민을 한꺼번에 해결한 것이 사설IP 정책이라고 보시면 된다.

사설IP는 기존에 라우팅 테이블에 사설로 추가할 IP만 더 넣어주면 끝이다. 그래서 필자의 경우에는 172.30.15.1/24로 정했다. 실제 이건 없는 IP 대역이고 172.30.15.0 ~ 172.30.15.255까지 사용이 가능하며 기본 gateway는 172.16.15.1로 지정하며 서브넷 마스크는 255.255.255.0으로 지정했다는 뜻이된다. 그럼, 필자가 실제 설치한 Cisco 3750G의 config를 보면..

OSPF로 구성된 라우팅 테이블은 이러하다

각 포트들이 모두 vlan 94로 지정되어 있다.

그럼, 현재 이 라우팅 테이블들이 정상적으로 동작하는지 살펴보자.

우선, 아무 라우팅 테이블 (172.16.102.1/24)로 ping을 날려보자.

이렇게 ping이 된다.

ping이 된다는 것은 정상적으로 라우팅 테이블이 만들어졌고 이 IP 대역을 통해서 통신이 된다는 뜻이다.

그림, 지금 만들어야 라우팅 테이블(172.30.15.1/24)로 ping을 날려보자. 

ping이 안된다. 당연하다

ping이 당연히 안된다. 왜냐면 이런 IP 대역은 없기 때문이다.

그럼 IP 대역을 만들어서 넣어 보도록 하자. config는 다음과 같다. 

Switch>enable

Switch#conf terminal (전역설정모드로 진입)

Switch(config)#int vlan 94  (vlan 94로 진입)

Switch(config-if)#ip address 172.30.15.1 255.255.255.0 secondary  (172.30.15.1/24를 secondary로 추가했다)

Switch(config-if)#exit

Switch(config)#router ospf 10 (OSPF의 ID 값은 설정마다 다름. 기존 값을 그대로 따라가며 됨)

Switch(config-router)#router-id 1.1.1.102  (라우터 id 값은 설정마다 다름. 기존 값을 그대로 따라가며 됨)

Switch(config-router)#network 172.30.15.0 0.0.0.255 area 0 (area 값은 설정마다 다름. 기존 값을 그대로 따라가면 됨)

Switch(config-router)#^Z  

Switch(config)#exit

Switch#copy run start  (저장)

이렇게 설정만 하면 끝이다.

처음에 ping이 안되던 것이 이제 새로운 대역으로 ping이 된다.

필자가 이 방법을 알려 드린것은 공인IP 대역이라도 동일하다. 해당 L3 스위치에 추가로 공인IP가 추가되었다고 해도 이 방법을 그대로 사용하면 된다. 공인IP는 단지 외부로 나갈 수 있다는 뜻이고 사설IP는 자기 마음대로 만든 IP라서 내부에서 동작한다고 이해하시면 된다.

https://www.youtube.com/watch?v=ZQmUToYlldk

필자가 제작한 유튜브 영상이다

그럼, 새롭게 생성된 사설IP 대역(172.30.15.1/24) 에서 대해서 면밀히 따져보자.

쓰임새가 크게 2가지로 나뉘어 진다. 

1. 프린터(사내망안에서만 출력이 가능하며 외부에서 공격이 불가능하다)

2. CCTV (사내망안에서만 접속이 가능하며 외부에서 접속할 필요가 없을시 강력추천)

1개의 IP 대역(0/24)를 만들어서 1/2로 분리해서 쓰는 방법도 괜찮고 아니면 1개의 IP 대역을 하나 더 추가해서 처음부터 다른 대역으로 하나 더 만드는 것도 이상없다. 필자가 사설IP 대역으로 기존 공인  IP 대역을 포함해서 1개의 L3 스위치에 최대 라우팅테이블을 7개를 만들어서 운영중인데 그럼 IP 수량이 256 * 7 = 1,792개나 된다. 여기에서 실제로는 약 1,300개 정도 arp가 올라오니까 사설IP를 잘 만들어서 운영이 되고 있다는 반증이 된다.

오늘은 필자가 구독자님의 요청에 따라서 L3 스위치에 추가 라우팅 테이블에 대해서 설명을 해드렸다. 아무쪼록 도움이 되기를 하는 바램이며 잘 해결되기를 진심으로 기도한다.

오늘의 포스팅을 마친다.