L2 managed HUB에서 이런 것이 가능한가요? :: 2cpu, 지름이 시작되는 곳!

hardware more

쓰기

L2 managed HUB에서 이런 것이 가능한가요?

회원K

2013-04

2013-04-19 10:05:08

조회 5958 추천 0

L2 managed HUB를 구매해서 서버들간의 local ip 연결에 사용하는 스위치를 대체하려 합니다.

L2 managed HUB에 ip를 부여하고

VPN을 이용해서 HUB에 연결한 후에

HUB에 연결된 local ip로 설정된 서버에 ssh로 접속하는 것이 가능할까요?

이런 것이 가능하면 서버관리자의 접속 point를 바꿔보려고 합니다.

- to be continue -

짧은글 일수록 신중하게.



LovelyJubbly 2013-04 허브에서 ssh 프로그램을 실행해 다른 서버에 접속하기 위해선 L7 어플리케이션 레이어까지 지원 되어야 하니 가능한 허브는 없지 않나 생각합니다. 허브에서 ssh 프로그램을 실행해 다른 서버에 접속하기 위해선 L7 어플리케이션 레이어까지 지원 되어야 하니 가능한 허브는 없지 않나 생각합니다.



회원K 2013-04 그런가요? 서버관리자의 접속 point를 웹서버의 공식 ip에서 다른거로 바꾸려고 하는데 쉽지 않네요. 그런가요? 서버관리자의 접속 point를 웹서버의 공식 ip에서 다른거로 바꾸려고 하는데 쉽지 않네요.



이은호 2013-04 제가 의도를 잘 이해를 못했는지 몰라도, 별도로 원격접근통제시스템이 필요해 보입니다. PROXY 시스템 같은거죠. 관리자가 메인이 되는 접속관제시스템에 접속하여 접속권한인증처리등을 수행하고, 접속관제시스템에서 일회성 동적 포트를 생성(listening)하여 접속대상서버의 특정 소켓에 연결(port forward / bouncing)시켜주는 구조를 가지고 있죠. 솔루션을 알아보셔야할 듯 합니다. 보안 때문에 관리를 위한 접속 경로를 별도로 구축하실 의도라면, 제가 관리하는 시스템의 경우에는 1. 서버 및 각종 인프라를 모두 사설IP로 설정해놓고, 2. 메인 라우터에 공인IP 대역을 모두 할당해놓습니다. 3. 라우터에서 공인IP-사설IP 1:1 NAT 설정을 통하여 외부로 서비스 합니다. 4. 시스템 관리를 위해서는 VPN으로 내부 사설 대역으로 접근합니다. 서버에는 공인IP정보가 포함되지 않고, 공인IP는 모두 라우터에서 제어하는 구조라 필요시에 특정 서버를 공인 네트워크로 연결시킬 수 있고, 해제할 수 있는 특징을 갖습니다. 보안에도 적절히 도움이 되더군요.(대신 라우터가 조금 힘들어하는 것도 같습니다) 제가 의도를 잘 이해를 못했는지 몰라도, 별도로 원격접근통제시스템이 필요해 보입니다. PROXY 시스템 같은거죠. 관리자가 메인이 되는 접속관제시스템에 접속하여 접속권한인증처리등을 수행하고, 접속관제시스템에서 일회성 동적 포트를 생성(listening)하여 접속대상서버의 특정 소켓에 연결(port forward / bouncing)시켜주는 구조를 가지고 있죠. 솔루션을 알아보셔야할 듯 합니다. 보안 때문에 관리를 위한 접속 경로를 별도로 구축하실 의도라면, 제가 관리하는 시스템의 경우에는 1. 서버 및 각종 인프라를 모두 사설IP로 설정해놓고, 2. 메인 라우터에 공인IP 대역을 모두 할당해놓습니다. 3. 라우터에서 공인IP-사설IP 1:1 NAT 설정을 통하여 외부로 서비스 합니다. 4. 시스템 관리를 위해서는 VPN으로 내부 사설 대역으로 접근합니다. 서버에는 공인IP정보가 포함되지 않고, 공인IP는 모두 라우터에서 제어하는 구조라 필요시에 특정 서버를 공인 네트워크로 연결시킬 수 있고, 해제할 수 있는 특징을 갖습니다. 보안에도 적절히 도움이 되더군요.(대신 라우터가 조금 힘들어하는 것도 같습니다)



회원K 2013-04 맞습니다. 관리자가 개발코드 업그레이드 등을 공인 ip에 연결된 네트웍으로 하면 장기적으로 문제가 될 것 같아서 망을 분리하려고 합니다. 2개의 스위치를 가지고 서버를 각각 외부망 스위치와 내부망 스위치에 연결해 두었는데, 외부망 스위치 앞에는 IPS/Firewall을 걸어서 모든 트래픽을 관제하고 내부망은VPN을 통해 개발자들만 접근가능하게 하려고 합니다. 비싼 라우터를 못 가지고 있기 때문에, 4번만. 해보려고 하는 것 입니다. L2 Managed Switch. 델 5524로 가능할까요? 이때 사무실과 IDC를 VPN 연결하려면, 델 5524를 2개 사야 하나요? 맞습니다. 관리자가 개발코드 업그레이드 등을 공인 ip에 연결된 네트웍으로 하면 장기적으로 문제가 될 것 같아서 망을 분리하려고 합니다. 2개의 스위치를 가지고 서버를 각각 외부망 스위치와 내부망 스위치에 연결해 두었는데, 외부망 스위치 앞에는 IPS/Firewall을 걸어서 모든 트래픽을 관제하고 내부망은VPN을 통해 개발자들만 접근가능하게 하려고 합니다. 비싼 라우터를 못 가지고 있기 때문에, 4번만. 해보려고 하는 것 입니다. L2 Managed Switch. 델 5524로 가능할까요? 이때 사무실과 IDC를 VPN 연결하려면, 델 5524를 2개 사야 하나요?



milyman 2013-04 포티넷 장비 사시면 SSL VPN이 올라갑니다. 가장 기본라이센스로요 개발자 PC에 SSL VPN 깔아주고 VPN으로 접속하게 정책을 해줄수 있습니다. KT 리스라고 하면 그쪽에서 기술지원이 가능하지 않을까 추측해봅니다. 포티넷 장비 사시면 SSL VPN이 올라갑니다. 가장 기본라이센스로요 개발자 PC에 SSL VPN 깔아주고 VPN으로 접속하게 정책을 해줄수 있습니다. KT 리스라고 하면 그쪽에서 기술지원이 가능하지 않을까 추측해봅니다.



회원K 2013-04 포티넷으로도 가능하지만, 아예 다른쪽을 열어버릴려고 생각했습니다. 포티넷으로도 가능하지만, 아예 다른쪽을 열어버릴려고 생각했습니다.



디오 2013-04 일단 cisco에는 ssh 명령어가 있습니다. 한번도 써본적은 없지만요. 일단 cisco에는 ssh 명령어가 있습니다. 한번도 써본적은 없지만요.



김서방 2013-04 말씀하신 vpn연결을 위한 네트워크는 아래의 형태로 만드시면 되실듯 합니다. 리눅스나 윈도우를 이용해서 vpn서버를 하나 두시고 그 서버 하단에 사설 네트워크를 구성하시면 될 듯 싶습니다. ---internet---firewall-vpn server--switch(vlan)---server(private ip) ---internet---firewall-swith(vlan)---server(public ip) 상단 방화벽에서는 서비스와 관련된 포트를 제외하고 다 막으시면 될것 같고 보안을 위해서 사무실 네트워크 대역대에서 vpn 서버를 향하는 패킷만 허용하면 기본적인 보안은 될듯 싶지 않을까 싶습니다. 이은호 님의 구성은 저희 회사와 비슷한 설정이네요.^^ 보안상 안전하게 설계된 네트워크 형태중에 하나로 판단합니다. 다만 저는 서비스 하는 서버들은 별도로 DMZ망에 둡니다. 서버가 해킹당했을 경우 내부망을 보호해야 하기 때문입니다. 상단 L3 스위치가 성능이 떨어지면 살짝 문제가 되긴 합니다. 저희 회사도 저가 방화벽(L3)썼다가 네트워크가 불안해져서 얼마전에 남는 리눅스머신에 랜포트 추가해서 리눅스로 NAT 방화벽 형태로 사용 중 입니다. wan쪽 트래픽이 거의 없는 회사라서 리눅스 머신으로 구성한 방화벽이 훨씬 안정적으로 동작하더군요. 말씀하신 vpn연결을 위한 네트워크는 아래의 형태로 만드시면 되실듯 합니다. 리눅스나 윈도우를 이용해서 vpn서버를 하나 두시고 그 서버 하단에 사설 네트워크를 구성하시면 될 듯 싶습니다. ---internet---firewall-vpn server--switch(vlan)---server(private ip) ---internet---firewall-swith(vlan)---server(public ip) 상단 방화벽에서는 서비스와 관련된 포트를 제외하고 다 막으시면 될것 같고 보안을 위해서 사무실 네트워크 대역대에서 vpn 서버를 향하는 패킷만 허용하면 기본적인 보안은 될듯 싶지 않을까 싶습니다. 이은호 님의 구성은 저희 회사와 비슷한 설정이네요.^^ 보안상 안전하게 설계된 네트워크 형태중에 하나로 판단합니다. 다만 저는 서비스 하는 서버들은 별도로 DMZ망에 둡니다. 서버가 해킹당했을 경우 내부망을 보호해야 하기 때문입니다. 상단 L3 스위치가 성능이 떨어지면 살짝 문제가 되긴 합니다. 저희 회사도 저가 방화벽(L3)썼다가 네트워크가 불안해져서 얼마전에 남는 리눅스머신에 랜포트 추가해서 리눅스로 NAT 방화벽 형태로 사용 중 입니다. wan쪽 트래픽이 거의 없는 회사라서 리눅스 머신으로 구성한 방화벽이 훨씬 안정적으로 동작하더군요.



회원K 2013-04 ---internet---firewall-vpn server--switch(vlan)---server(private ip) vpn 서버를 넣을 공간이 없습니다. 라즈베리파이 같은 것이 아니면 어려워요. vpn 서버의 기능을 switch에서 하게 할 수는 없을까요? ---internet---firewall-vpn server--switch(vlan)---server(private ip) vpn 서버를 넣을 공간이 없습니다. 라즈베리파이 같은 것이 아니면 어려워요. vpn 서버의 기능을 switch에서 하게 할 수는 없을까요?



김서방 2013-04 일반적으로 L2스위치는 osi 7계층중에서 layer 2에서만 동작하기 때문에 vpn접속 같은 기능을 구현할 수가 없습니다. 따라서 필요하신 기능을 구현하실려면 layer 3(L3) 스위치가 필요합니다. 보통의 경우 네트워크 구조상 상단 firewall의 경우 L3 역할을 하므로 firewall에 vpn 기능이 있다면 firewall에서 vpn설정해서 사용하면 되실겁니다. 라즈베리파이 같은 경우에는 랜포트가 1개여서 vpn을 구성하기에는 다소 어려움이 있지않을까 싶습니다. 물로 1nic으로도 구성은 가능한것으로 알고 있습니다.(대부분 ip alias를 이용하는듯 합니다.) 꼭 vpn이 필요하시다면 저가의 iptime공유기에 탑재된 vpn 기능을 사용하셔도 됩니다. 보안에 민감한 상황이 아니시라면 ssh나 sftp등을 이용해서 데이터 주고 받으시면 그나마 어느정도는 안전한 데이터 전송이 되므로 반드시 vpn을 사용하지 않으셔도 되지 않을까 생각해 봅니다. 현재 상단에 방화벽이 있다면 상단 방화벽에서 방화벽 룰만 잘 잡아서 쓰셔도 괜찮을듯 보이구요. 방화벽이 없는 상태라면 델 L2 스위치에도 접속관련한 ACL 를 사용 가능하실겁니다. 스위치 자체에 대한 접속을 컨트롤 하시면 스위치에 할당된 공인ip 에 대한 보안도 어느정도 되실 겁니다. 일반적으로 L2스위치는 osi 7계층중에서 layer 2에서만 동작하기 때문에 vpn접속 같은 기능을 구현할 수가 없습니다. 따라서 필요하신 기능을 구현하실려면 layer 3(L3) 스위치가 필요합니다. 보통의 경우 네트워크 구조상 상단 firewall의 경우 L3 역할을 하므로 firewall에 vpn 기능이 있다면 firewall에서 vpn설정해서 사용하면 되실겁니다. 라즈베리파이 같은 경우에는 랜포트가 1개여서 vpn을 구성하기에는 다소 어려움이 있지않을까 싶습니다. 물로 1nic으로도 구성은 가능한것으로 알고 있습니다.(대부분 ip alias를 이용하는듯 합니다.) 꼭 vpn이 필요하시다면 저가의 iptime공유기에 탑재된 vpn 기능을 사용하셔도 됩니다. 보안에 민감한 상황이 아니시라면 ssh나 sftp등을 이용해서 데이터 주고 받으시면 그나마 어느정도는 안전한 데이터 전송이 되므로 반드시 vpn을 사용하지 않으셔도 되지 않을까 생각해 봅니다. 현재 상단에 방화벽이 있다면 상단 방화벽에서 방화벽 룰만 잘 잡아서 쓰셔도 괜찮을듯 보이구요. 방화벽이 없는 상태라면 델 L2 스위치에도 접속관련한 ACL 를 사용 가능하실겁니다. 스위치 자체에 대한 접속을 컨트롤 하시면 스위치에 할당된 공인ip 에 대한 보안도 어느정도 되실 겁니다.



회원K 2013-04 그렇군요. 네트웍에 손을 놓은지 꽤 되어서 ip 대역대 관리나 포트관리를 이용해도 어느정도 가능할 것 같은데, 가끔 모바일 환경에서 접속해야 할 때...조금 난감함이 있더라구요. 사무실에 PC 1대를 따로 빼서 그것을 통해서만 들어가게 하는 방법도 찾아봐야 하겠네요. 정부에서 어느정도 이상 사이트는 망분리를 하라고 해서... 고민중인거에요. 그렇군요. 네트웍에 손을 놓은지 꽤 되어서 ip 대역대 관리나 포트관리를 이용해도 어느정도 가능할 것 같은데, 가끔 모바일 환경에서 접속해야 할 때...조금 난감함이 있더라구요. 사무실에 PC 1대를 따로 빼서 그것을 통해서만 들어가게 하는 방법도 찾아봐야 하겠네요. 정부에서 어느정도 이상 사이트는 망분리를 하라고 해서... 고민중인거에요.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

3625/5708

번호	제목Page 3625/5708	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (735)	정은준1	2014-05	5141354	0
[필독] 처음 오시는 분을 위한 안내 (735) 2014-05 5141354 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234)	백메가	2015-12	1675975	25
(광고) 단통법 시대의 인터넷가입 가이드(… (234) 2015-12 1675975 1 백메가
41667	가까운 거리면 cat5,6까지 안써도 될까요? (11)	장동건2014	2013-10	5965	0
가까운 거리면 cat5,6까지 안써도 될까요? (11) 2013-10 5965 1 장동건2014
41666	Intel SSD 최고 용량은 얼마까지 출시됬는지� (6)	왕용필	2011-11	5966	0
Intel SSD 최고 용량은 얼마까지 출시됬뇟� (6) 2011-11 5966 1 왕용필
41665	ep31-ds3l 1.0보드 하퍼타운 개조 성공 사례가 있나요?? (12)	YUBH	2016-02	5966	0
ep31-ds3l 1.0보드 하퍼타운 개조 성공 사… (12) 2016-02 5966 1 YUBH
41664	노트북 속도가 절반 이하로 측정됩니다. 원인을 모르겠어요. (3)	딸기대장	2009-02	5966	0
노트북 속도가 절반 이하로 측정됩니다. … (3) 2009-02 5966 1 딸기대장
41663	그래픽 카드 성능 비교좀 부탁드립니다. (3)	방o효o문	2011-11	5966	0
그래픽 카드 성능 비교좀 부탁드립니다. (3) 2011-11 5966 1 방o효o문
41662	[급질] HP ML150 G2 SERVER 완제품에 CPU 추가관련 (3)	전은호	2005-04	5966	13
[급질] HP ML150 G2 SERVER 완제품에 CPU … (3) 2005-04 5966 1 전은호
41661	일옥 구매 대행 괜찮은 곳 좀 알려주세요 (1)	박성만	2013-05	5966	0
일옥 구매 대행 괜찮은 곳 좀 알려주세요 (1) 2013-05 5966 1 박성만
41660	윈도우 설치시 Error 문제로 질문드립니다.	정민현	2005-05	5966	33
윈도우 설치시 Error 문제로 질문드립니다. 2005-05 5966 1 정민현
41659	용산에 중고 그래픽카드 사러 가보려합니다. (3)	찌지로	2017-09	5966	0
용산에 중고 그래픽카드 사러 가보려합니… (3) 2017-09 5966 1 찌지로
41658	write policy가 어떤 기능인지요?? 속도가 확 빨라졌네요 ^^ (2)	블루영상	2011-10	5966	0
write policy가 어떤 기능인지요?? 속도가… (2) 2011-10 5966 1 블루영상
41657	Dell T5500 에 X5670 듀얼 시스템 사용중인데.. USB 부팅 메뉴를 도저히 못찾겠어요. (5)	범범이	2018-02	5966	0
Dell T5500 에 X5670 듀얼 시스템 사용중… (5) 2018-02 5966 1 범범이
41656	용산에서 AMD듀얼보드 구할수 있을까요? (4)	양국형	2005-04	5966	3
용산에서 AMD듀얼보드 구할수 있을까요? (4) 2005-04 5966 1 양국형
41655	서버 추천 부탁드려요 (10)	나파이강승훈	2015-12	5966	0
서버 추천 부탁드려요 (10) 2015-12 5966 1 나파이강승훈
41654	특정 웹사이트 접속시 바이러스 경보 (1)	이윤주	2011-11	5966	0
특정 웹사이트 접속시 바이러스 경보 (1) 2011-11 5966 1 이윤주
41653	윈도우11설치시 TPM 모듈이 없어도 설치가 가능한건가요? (5)	퍼싱글	2021-10	5966	0
윈도우11설치시 TPM 모듈이 없어도 설치… (5) 2021-10 5966 1 퍼싱글
41652	인텔 x25-e 보증기간이 어떻게 되나요? (1)	미수맨	2011-08	5966	0
인텔 x25-e 보증기간이 어떻게 되나요? (1) 2011-08 5966 1 미수맨
41651	랙을 어디서 구입하는지 알고 싶습니다... (2)	정재훈	2005-04	5966	31
랙을 어디서 구입하는지 알고 싶습니다... (2) 2005-04 5966 1 정재훈
41650	그래픽카드 변경후 부팅불가 문의 (29)	민지파파	2022-07	5966	0
그래픽카드 변경후 부팅불가 문의 (29) 2022-07 5966 1 민지파파
41649	LG U+ 인터넷 방화벽 질문드립니다. (1)	iddqd	2018-12	5966	0
LG U+ 인터넷 방화벽 질문드립니다. (1) 2018-12 5966 1 iddqd
41648	오버잘되는 ddr2 메모리 추천부탁드려요. (9)	박진국	2008-03	5966	14
오버잘되는 ddr2 메모리 추천부탁드려요. (9) 2008-03 5966 1 박진국