Mikrotik 라우터 세팅.. (or 견적?)

홀릭0o0   
   조회 11663  

안녕하세요.

먼저 좀 두서 없을것 같아 미리 사죄드립니다 ㅜㅜ
(서식으로 넣었는데 작성완료하니 다 없어져서 수정은 했는데 좀 보기 어렵네요.. ) 

우선 제 뇌피셜에 의한 견적요청이긴합니다.
견적게시판 하드웨어 견적인것 같아 여기에 남기네요..
아래 필요한것을 정리한걸 한번 적어보았습니다.

회사 사정이.. 뉴스에 나오는 티메 사태와 비슷하지만 다른..  난감한 케이스로 돈이 묶여버려서
지금 좀 일시적으로 타격이 심했는데 이게 반년이나 장기화되서.. 인력도 다 줄이고 예산도 다 줄이는데


서버실은 또 IDC로 간다더니 지식산업센터 하나 구해다가 거기다 이전했다가 네트워크 처리를 못하네요..
(냉방비 전기비 다 IDC랑 비용 자체만 보면 비슷한데... 트래픽 비용 아끼고 출입 자유롭게 하려고 .. 이런 결정을.. ㅜㅜ)
당장 업무는 돌아가다보니 좀 여기에 돈 쓰는걸 미온적인데.. 


아래 적어둔것중에 40G니 100G니 뭐 이런게 있어서
쓸데없이 규모 커보일 텐데 전혀 그렇지 않습니다.

다만 소기업 이다보니 좋은 서비스를 해야하고 작은 장애에도 고객이 떠나버리니
이렇게 했음 좋겠다싶어 아래 사항으로 견적 받아 품의받아보려 합니다.

많은 도움좀 부탁드립니다. 굽신굽신..


제가 전화나 문자 받으면 네트워크 잘 몰라 뭐라 말씀드려야할지 모를것 같아
생각할 시간을 좀 벌기 위해.. 쪽지 주시면 감사하겠습니다. ^^;;


1. 현재 환경 설명  터널링 필요이유. 

  a.현재는 CCR1036 8g 2s+ 보유중이고 A사무실의 서버실에서 운용중 입니다.

  b. A사무실 서버실의 서버로 재택근무자들이 원격 RDP 작업을 합니다. 

  c. 원격으로 작업하는데 보안이 없습니다.

  d. VPN으로 1 보안 후에 RDP 하도록 하여 트래픽을 모니터링 하고 싶습니다.

  e. 로컬 데이터서버에 현재 10G 8개로 80G 멀티채널로 SMB사용중 (이게 아래 100G 대역폭 필요한 이유중 하나 입니다)

  f. 고객 CRM 가동되는 서버가 IDC 있는데 장애발생시 영향 받는 사업장의 갯수를 떠나 사업장의 피해를 최소화 위해 DR / HA       서버로 가동하고 싶습니다. (장애대응  데이터백업)

  g. 즉 IDC 서버가 메인이지만 장비 노후  장애에 대응하기 어려워서 사내에 서비스장애 대응을 위한 서버  모든 데이터를 촘촘히 백업하기 위한 서버로 활용희망.

  h. 서비스장애 대응  데이터백업 그리고 실무자 재택근무시 로컬데이터  미디어서버 접속이 한곳에서 이뤄지는데 외부망 10G, 내부망 최대 100G 고대역폭이 동시에 필요.(아직까지는 내부망 인원별 10G  사용해도 무방하나 나중에 확장을 쉽게 하고 싶음)

2. 설정 희망사항 

2-1. 10G WAN in ( CCR2216 사용시 25G SFP+  10G WAN IN 다수)

  - 10G 라인이  3 인입하여 사용중인데 현재 1개 라인만 DHCP 로컬망 사용하고 나머지 2개는 서버에 각각 공인IP로 연결 사용중 (앞단 방화벽 같은게 없으니 서버에서 방화벽 설정해야해서 불편)   

(중요) 라우터에서 3 공인망(통신사 섞어서) 라인 넣어서 통합 사용 가능한지?   

  - 접속되는 도메인에 따라 사설망 유도만 하고 싶고 망은 대역폭 분산해서 사용하고 싶습니다

  - 고정 IP 1개에 유동IP 2 + @(1G or LTE) 상태인데 도메인 접속시 IP 무작위 결정 하도록 (로드밸런싱하고 싶습니다.  (KT가 죽으면 SK로 알아서 지연율 낮은 망으로.. )

  - 아래 추가 설명하겠지만 LTE망은 정전외 라인 장애시 접속하기 위한 백업라인 수단이어서 특정 도메인에만 반응하고 싶고 보안의 방법도 궁금.

  - Wan 라인중 LTE 4G 무선망이 있습니다(아직 제대로 쓰고 있지도 않음.. 휴.. )이것도 백업망으로 통합 사용 가능할까요? (단순 장애시 CCTV , 무선제어(iot)  내부 접속을 위한 용도로 쓰고 싶습니다, 10G 속도에 영향 없어야합니다데이터쉐어링 유심으로 데이터는 무제한이지만 속도는 느립니다.) 

2-2 . 10G LAN out (CCR2216 인경우 40G/100G out)

- DHCP NAT 직원PC+모바일+OA+전화+미디어 기기 포함  80 예상.

- 기존에 사설망        192.168.0.100~200 으로 아직 문제없이  사용하였습니다. (향후 아마 전화만 분리할것 같습니다같은망에 있을 필요 없을듯하여  자체를 따로 분리할듯해서 사설 대역 하나로 충분하지 않을까 해요)

- 참고로 아직 VLAN 사용할 정도 아니고 VLAN으로 운용경험 없어서 내부에서 다루지 못하는것에 대해 거부감 있음

3. 무선 AP (타기종 리피터)

3-1 Mesh 구성은 동기종만 된다 하여서타기종 AP들로 mesh 구성하려고 하는것이 목적.

3-2 무선AP        2.4G, 5G, 6G + Guest 

3-3 보유AP 미크로틱 hAP  iptime        ring A8  다양..


4.Wireguard 구성

4-1 피어 계속 붙일  있도록. (아래 vpn설명 참조)

5. (옵션) Site to Site 터널링 OR 폐. (미크로틱 동기종간

5-1 우선 CCR1036 32코어와 CCR2216 16코어의 코어수 차이가 성능에 얼마나 영향이 있는지 몰라 필요한것만 먼저 적어두었습니다.

- CCR1036 8S 2S+ (현재보유장비)

터널링 또는VPN 대상 구매예상 장비 후보 모델군 아래 후보중에서 미결정.

- (추후 <-강조) 100G/40G(호환) 2포트가 필요하여(지금 이미 10G x 8개 멀티채널 SMB 이용중) CCR2216 2XQ모델이 필요하긴 하지만 스위치로 필요한 것이라서 라우터 모델로 하지 않아도 되지 않는가 하는 생각

- 코어수 차이에 대한 성능 차이 몰라.. 괜히 코어수 작은것에 대한 문제없는지 쓸데없는 염려있음.

- 현재 VPN으로 충분할지 site to site 터널링이 필요한지 여부 모르지만 만약 vpn으로 퍼포먼스 안나와서 라우터간 site to site 해야한다면.. 재택근무자별로 라우터를 할당해줘야하는지? (넘 비싸서 절대 허가 안해줄듯해서 그냥 질문만입니다ㅜㅜ)

- CCR1036 8G 2s+ 장비에 있는 1G 포트가 wan in로 추가 할당이 되나요? 라우터 변경없이 기존 라우터포트로 로드밸런싱 등을 해결   있는지? 현재 SFP+ 2개만 In 포트라고 이해하고 있습니다.    

- 아래, 필요시 구매예정 대상 장비군 (제 뇌피셜, 설득해야해요ㅜㅜ)

  • CCR2216-1G-12XS-2XQ (추가 후보모델)
                
    - 25G 10G in으로 쓰고 (추후 10G 라인 10 까지 예상)
                - 40G QSFP28 
    포트 이용해서 하위 스위치 대역폭 확보 위함.
                - 
    현재 10G  쓰고있지만 추후 NVME IOPS 서버도입시 100G 필요 예상
  • CCR2116-12G-4S+      (추가 후보모델)
                SFP+ 
    라인 3 WAN 입력 + 스위치 출력 1 가능하지 않을까 싶어서..
                
     

5-3 VPN터널링 설정시 중요한 부분

- 라우터간 site to site  필수 사항이 아님 VPN이 목적.

- VPN터널링시 만이라도 로컬망 처럼 (타지 사용자도 192.168.0.xx 로 사설망+서버IP로 클라이언트PC의 공인IP 변경필요) 이용하되 SMB 대역폭을 최대한 활용했으면 합니다재택근무자  라인이 10G 인경우 사내 로컬사설망 사용할 처럼 빠른 망사용이 가능한것이 핵심. ( 현재 개인망 -> RDP접속후 로컬이용중 , VPN으로 망에 붙은뒤 RDP이용하도록 변경희망, 현재는 VPN L2TP 나 PPTP 같은걸로 이용하는데 속도가 느려요..)

- Wireguard 뭐든 상관없으나모바일 기기에서 안드로이드13 이후? PPTP등이 사라지면서 모바일VPN 지원이  안되서 wireguard 그나마 QR코드  파일등으로 쉽게 추가할  있어서 사용중이지만 아직까진 퍼포먼스 나오지 않음.

- VPN 으로 트래픽 모니터링 목적도 있는데.. 서버에서 대용량 파일을 로컬망이 아닌, 개인PC로 가져가는 경우 체크하기 위함도 있습니다. (VPN으로 붙으면 로컬망인데.. 로컬망에서 RDP 하면 로컬<->로컬 끼리 통신이고 VPN서버 <-> 클라이언트 간이 통신도 로컬망인데.. 이게 따로 모니터링이 가능이나 할까요? 보안 DLP가 로컬망 내에서 통신은 허용되어있어서 아직 테스트해보지 않아 이부분이 염려됩니다.)


6. 기타 포트포워딩

- 이건 직접   있어서 직접 해도됨 현재 원격 RDP 및 CCTV 문에 약 50개정도 포워딩중.

- 포트포워딩 대부분 RDP 이용위함인데 RDP 노출 문제로 RDP 2차인증 또는 VPN이나 SSH터널링  RDP이용등의 RDP보안 방법이 있는지 궁금합니다. (VPN접속시 인증이어도 됩니다 SSH터널링 이건 뭐 찾다가 봐서 적은거지 쥐뿔도 몰라요) 

- 가능하면  vpn인증 접속 또는 vpn 접속시에 파라미터 정보를 담아 특정 url 실행하도록 해서 기록 로그로 남길  있는지도 궁금합니다. (재택근무자 접속 시간 및 종료시간 로깅)

- RADIUS 이용하면 된다고 하던데 어떤 방식이 있는지 .. (개념 몰라요)

7. 옵션리버스 프록시

- 특정 도메인으로 접속시 80,443 포트를 단일 회선으로 여러 서버 운영 가능하도록.

- Aaa.com       bbb.com 접속시 동일한 211.111.111.100 이란 회선을 통해 인입 된다면 도메인에 따라서 80포트를 
              aaa.com -> 192.168.0.120:80 or 443(ssl) or 3306(mysql)
              bbb.com -> 192.168.0.121:80 or 443(ssl) or 3306(mysql)
              
접속되도록 하게
              
192.168.0.120 등의 ip 임의로 지정할  있게가령 외부 공인망을 지정한다면
              공인망
 -> 라우터 -> 리버스프록시 -> 공인망 -> 서버 (하나의 네임서버처럼.. 트래픽 통제 위함)

8. 기타 질문 

  1. 로그가 많이 쌓여있을땐 열람 하는것 조차도 힘들던데 로그를 외부에 따로 쌓도록   있는건 syslog 뿐일까요?
  2. 접속 장애나 DDOS공격 같은 중대 장애 발생시 백업라인(LTE망)을 통한 URL실행? 
짧은글 일수록 신중하게.
민호양 2024-08
제가 아는 영역만 같이 고민을 해보자면,
> "접속되는 도메인에 따라 사설망 유도만 하고 싶고 망은 대역폭 분산해서 사용하고"
> "메인 접속시 IP는 무작위 결정 하도록 (로드밸런싱) 하고 싶습니다.  (KT가 죽으면 SK로 알아서 지연율 낮은 망으로.. )"
> "7. 옵션) 리버스 프록시"
의 고민들은 아래의 디자인으로 일부 커버할 수 있을 것 같습니다.

- 아시는대로, 리버스 프록시를 담당할 서버가 있긴 해야합니다.
- 모든 WAN에 특정 포트(80,443)를 모두 해당 서버로 포트포워딩을 하면 될 것 같습니다.
- DNS에 A 레코드를 추가할 때, 같은 Domain으로 4개를 등록하시면 될 것 같습니다.
- 이럴경우, round-robin으로 무작위 결정은 맞으나, 알아서 지연율 낮은 망으로 가는건 OS나 application구현에 따라 다릅니다. 그걸 구조적으로 담당하는 건 여기선 없습니다.
- 알아서 지연율이 낮은 망으로 가는건, 외부에도 별도의 서버나 서비스를 구축해야할 것 같습니다.

나머지 고민들은 대부분 HW 캐파나 설정에 관한부분이라 다른 전문가분이 커버하실 수 있을 것 같습니다.
민호양 2024-08
외부에서 사용자들이 접속할 서버/서비스가 트래픽 패턴이 어떻게 될지가 궁금합니다.
유동 WAN IP가 바뀔경우, 잠깐 접속이 안되는 것 처럼 보일 수 있습니다. if-up 스크립트를 잘 설정하셔야합니다.
mysql을 외부에 노출하는건 좋은 생각은 아닌 것 같습니다.
     
홀릭0o0 2024-08
안녕하세요~ 댓글 감사합니다.
혹시 조언만 주신것인지요 혹은 작업견적을 주실 수 있으실까요?

1. 네 mysql 은 공개하지 않아도 됩니다.
2. 리버스프록시를 라우터가 웹프록시 라고 있던데 이거말고 로드밸런싱 처리할 서버가 혹시 따로 있어야할까요?
IDC에 있는 서버가 로드밸런싱을 담당하긴 합니다만 IDC로 보내고 다시 리턴으로 해야할까요?
3. 알아서 지연율 낮은망으로.. 이게 로드밸런싱 에서의 기능의 한부분인줄 알았습니다. 다른 서비스라 함은 어떤 서비스인지 알수 있을지요?
          
민호양 2024-08
저는 개발자라서 작업을 하진 않습니다. 리버스프록시는 haproxy같은걸 쓰면 됩니다. 지연이 낮은망을 고르는건 제공자(서버)가 판단할게 아니라, 접속자/사용자(클라이언트)쪽에서 판단해야할 문제로 보입니다. (저도 정확히 이쪽 계통은 아닌지라 전문가들의 의견과 조언을 얻기위해 댓글을 남겨둔 것입니다). 클라이언트가 판단을 못한다면, CDN쪽에서나 edge cache쪽에서 판단하는거 말고는 저는 딱히 모르겠습니다. 이런 서비스들도 실제 서버가 어떤 서비스를 제공하냐 트래픽이 어떻냐에 따라서 도입이 가능할수도, 아니면 비용타당성이 맞지않아 포기해야할 수도 있습니다.


Job