서브넷 관련 문의

   조회 2033   추천 0    

 

안녕하세요~!

방화벽 zone을 분리해야하는 상황이어서 어떻게할지 고민하고 있습니다.

10.1.2.0/24를 따로 분리하고,

10.1.9.0/24 ~ 10.1.52.0/24는 묶어야하는데, 혹시 이렇게 묶는게 가능한가요?

10.1.2.0/24를 따로 만들기 때문에, 10.1.0.0/16 이런식으로는 당연히 안되고요.. 대역이 겹쳐서..


혹시 방법이 없을까요? 안된다면 어떤 방법으로 할 수 있을까요? 


상세 설명을 좀 드리면

방화벽 lan 인터페이스 대역이 10.1.0.1/16으로 되어있습니다.
그리고 여기에 세컨더리 IP로 10.1.2.x, 10.1.11.x 등이 붙어있습니다
(1.사실 이것도 궁금한 부분입니다, 어차피 b클래스로 되어있는데, 이건 의미가 없지 않나요?)


이번에 스위치 스택 구성을 해야해서, 방화벽에 802.3ad Aggregate interface를 하나 만들었습니다.
스위치 스택을 lan 인터페이스에 연결할 수는 없기 때문에 (페일 오버 동작 안함 / 통신불가)
스위치 스택을 802.3ad (lacp) interface 밑에 붙여야하기 때문에..


그래서 스위치 스택 밑에다가 lan zone에 있던 10.1.2.x 서버를 붙여야합니다.
그러기위해서는 802.3ad (lacp) interface가 10.1.2.x로 되어있어야 통신이 되잖아요?

근데 lan 인터페이스 대역이 10.1.0.0/16이기 때문에, 대역이 겹칩니다.
그래서 대역을 나누려고 하는 상황입니다.

짧은글 일수록 신중하게.
거의 모든 L3 급 장비들은
Secondary IP 대역 할당이 가능합니다.

지금 사용중이신 Fortigate는
Interface에 IP대역을 할당하고
해당 Interface를 묶은 Zone 생성이 가능합니다.

때문에...
지금 생성중이신 LACP 인터페이스 및 기존  LAN 인터페이스에
추가 대역대인 10.1.2.0/24를 Secondary IP로 할당하여,
Zone으로 묶어서 사용하시면 됩니다.
     
*비밀글입니다
          
L2스위치 2022-01
용민님 답변 감사합니다. 쪽지 드렸습니다만
다시 한번 여기에 작성하겠습니다.


상세 설명을 좀 드리면

방화벽 lan 인터페이스 대역이 10.1.0.1/16으로 되어있습니다.
그리고 여기에 세컨더리 IP로 10.1.2.x, 10.1.11.x 등이 붙어있습니다
(1.사실 이것도 궁금한 부분입니다, 어차피 b클래스로 되어있는데, 이건 의미가 없지 않나요?)


이번에 스위치 스택 구성을 해야해서, 방화벽에 802.3ad Aggregate interface를 하나 만들었습니다.
스위치 스택을 lan 인터페이스에 연결할 수는 없기 때문에 (페일 오버 동작 안함 / 통신불가)
스위치 스택을 802.3ad (lacp) interface 밑에 붙여야하기 때문에..


그래서 스위치 스택 밑에다가 lan zone에 있던 10.1.2.x 서버를 붙여야합니다.
그러기위해서는 802.3ad (lacp) interface가 10.1.2.x로 되어있어야 통신이 되잖아요?

근데 lan 인터페이스 대역이 10.1.0.0/16이기 때문에, 대역이 겹칩니다.
그래서 대역을 나누려고 하는 상황입니다.
               
아마..
세컨더리 대역 설정한 대역으로
IP 대역 사용하고 있는
클라이언트가 있을 것으로 추측됩니다.
          
L2스위치 2022-01
하나만 더 추가 질문 드립니다

방화벽 lan 인터페이스 대역이 10.1.0.1/16으로 되어있고,
여기에 세컨더리 IP로 10.1.9.x, 10.1.11.x, 10.1.12.x 등이 붙어있는데요

말씀드렸다시피 인터페이스르 나눠야하는 상황이라
lan을 쪼개서 인터페이스를 만들어야하는데,

말씀대로라면 예를 들어 10.1.9.0/24로 lan 인터페이스 생성하고,
여기에 세컨더리 IP로 10.1.11.x, 10.1.12.x 등 이렇게 추가하면,
10.1.9.x, 10.1.11.x, 10.1.12.x 다 lan zone으로 사용 가능하다는 말씀인가요?
               
fortigate에 현재 Sunnet 구성 자체가 잘못 구성되어 있는것 같습니다.

보통 네트워크 대역에 대해서
/24 대역으로 쪼개서 각 대역대 역활을 구분하는데...

현재 lan 인터페이스에 지정되어 있는
10.1.0.1/16 CIRD Gateway 설정 내역을 풀어서 설명드리면 하기와 같습니다.

IP Subnet : 10.1.0.0/16
IP Network : 10.1.0.0
IP Gateway : 10.1.0.1
IP Broadcast : 10.1.255.255
IP Range : 10.1.0.1 ~ 10.1.255.254
IP Subnet Mask : 255.255.0.0
IP WildCard Mask : 0.0.255.255

클라이언트측 서브넷마스크값 확인 부탁드리며, 255.255.255.0  설정 중이시면...
현재 클라이언트 측 사용 IP 및 Netmask 확인하여
전체 네트워크 설계를 다시 하셔야 될 것 같습니다;

왜냐하면...
서버측 IP 대역과 일반사용자 및 WIFI 사용자 통신 대역을 분리하여
내부 사설간 기본적인 접근통제 정책 설정도 진행하기 위해서 입니다.

그리고 너무 큰 Subnet 으로 구성 및 사용시 Broadcast 통신량이 많아지고,
Broadcast 통신을 통한 장애 및 취약점 발생시
전체 통신 대역에 문제가 생기기 때문에 비권고 드리죠.
https://serverfault.com/questions/849712/pros-and-cons-of-larger-network-subnets


QnA
제목Page 5225/5692
2015-12   1554319   백메가
2014-05   5018986   정은준1
03-26   2041   이창준
2021-08   2040   신관악산
2021-01   2040   pibang
2023-01   2040   김준유
06-04   2040   제온프로
2021-07   2040   코쿠
2021-07   2039   봉삼
2023-12   2039   무아
2022-11   2039   L2스위치
2023-01   2039   올닉스
2022-04   2039   김영기
2022-09   2039   겨울나무
2022-12   2039   ParkB7
2021-03   2038   기본충실
2021-11   2038   엄마쟤흙먹어
2023-07   2038   유호준
2023-11   2038   박문형
2022-11   2038   머라카는데
2023-09   2037   미수맨
2022-10   2037   lenux8