Mikrotik ¶ó¿ìÅÍ ¼¼ÆÃ.. (or °ßÀû?)

   Á¶È¸ 6385  

안녕하세요.

먼저 좀 두서 없을것 같아 미리 사죄드립니다 ㅜㅜ
(서식으로 넣었는데 작성완료하니 다 없어져서 수정은 했는데 좀 보기 어렵네요.. ) 

우선 제 뇌피셜에 의한 견적요청이긴합니다.
견적게시판 하드웨어 견적인것 같아 여기에 남기네요..
아래 필요한것을 정리한걸 한번 적어보았습니다.

회사 사정이.. 뉴스에 나오는 티메 사태와 비슷하지만 다른..  난감한 케이스로 돈이 묶여버려서
지금 좀 일시적으로 타격이 심했는데 이게 반년이나 장기화되서.. 인력도 다 줄이고 예산도 다 줄이는데


서버실은 또 IDC로 간다더니 지식산업센터 하나 구해다가 거기다 이전했다가 네트워크 처리를 못하네요..
(냉방비 전기비 다 IDC랑 비용 자체만 보면 비슷한데... 트래픽 비용 아끼고 출입 자유롭게 하려고 .. 이런 결정을.. ㅜㅜ)
당장 업무는 돌아가다보니 좀 여기에 돈 쓰는걸 미온적인데.. 


아래 적어둔것중에 40G니 100G니 뭐 이런게 있어서
쓸데없이 규모 커보일 텐데 전혀 그렇지 않습니다.

다만 소기업 이다보니 좋은 서비스를 해야하고 작은 장애에도 고객이 떠나버리니
이렇게 했음 좋겠다싶어 아래 사항으로 견적 받아 품의받아보려 합니다.

많은 도움좀 부탁드립니다. 굽신굽신..


제가 전화나 문자 받으면 네트워크 잘 몰라 뭐라 말씀드려야할지 모를것 같아
생각할 시간을 좀 벌기 위해.. 쪽지 주시면 감사하겠습니다. ^^;;


1. 현재 환경 설명  터널링 필요이유. 

  a.현재는 CCR1036 8g 2s+ 보유중이고 A사무실의 서버실에서 운용중 입니다.

  b. A사무실 서버실의 서버로 재택근무자들이 원격 RDP 작업을 합니다. 

  c. 원격으로 작업하는데 보안이 없습니다.

  d. VPN으로 1 보안 후에 RDP 하도록 하여 트래픽을 모니터링 하고 싶습니다.

  e. 로컬 데이터서버에 현재 10G 8개로 80G 멀티채널로 SMB사용중 (이게 아래 100G 대역폭 필요한 이유중 하나 입니다)

  f. 고객 CRM 가동되는 서버가 IDC 있는데 장애발생시 영향 받는 사업장의 갯수를 떠나 사업장의 피해를 최소화 위해 DR / HA       서버로 가동하고 싶습니다. (장애대응  데이터백업)

  g. 즉 IDC 서버가 메인이지만 장비 노후  장애에 대응하기 어려워서 사내에 서비스장애 대응을 위한 서버  모든 데이터를 촘촘히 백업하기 위한 서버로 활용희망.

  h. 서비스장애 대응  데이터백업 그리고 실무자 재택근무시 로컬데이터  미디어서버 접속이 한곳에서 이뤄지는데 외부망 10G, 내부망 최대 100G 고대역폭이 동시에 필요.(아직까지는 내부망 인원별 10G  사용해도 무방하나 나중에 확장을 쉽게 하고 싶음)

2. 설정 희망사항 

2-1. 10G WAN in ( CCR2216 사용시 25G SFP+  10G WAN IN 다수)

  - 10G 라인이  3 인입하여 사용중인데 현재 1개 라인만 DHCP 로컬망 사용하고 나머지 2개는 서버에 각각 공인IP로 연결 사용중 (앞단 방화벽 같은게 없으니 서버에서 방화벽 설정해야해서 불편)   

(중요) 라우터에서 3 공인망(통신사 섞어서) 라인 넣어서 통합 사용 가능한지?   

  - 접속되는 도메인에 따라 사설망 유도만 하고 싶고 망은 대역폭 분산해서 사용하고 싶습니다

  - 고정 IP 1개에 유동IP 2 + @(1G or LTE) 상태인데 도메인 접속시 IP 무작위 결정 하도록 (로드밸런싱하고 싶습니다.  (KT가 죽으면 SK로 알아서 지연율 낮은 망으로.. )

  - 아래 추가 설명하겠지만 LTE망은 정전외 라인 장애시 접속하기 위한 백업라인 수단이어서 특정 도메인에만 반응하고 싶고 보안의 방법도 궁금.

  - Wan 라인중 LTE 4G 무선망이 있습니다(아직 제대로 쓰고 있지도 않음.. 휴.. )이것도 백업망으로 통합 사용 가능할까요? (단순 장애시 CCTV , 무선제어(iot)  내부 접속을 위한 용도로 쓰고 싶습니다, 10G 속도에 영향 없어야합니다데이터쉐어링 유심으로 데이터는 무제한이지만 속도는 느립니다.) 

2-2 . 10G LAN out (CCR2216 인경우 40G/100G out)

- DHCP NAT 직원PC+모바일+OA+전화+미디어 기기 포함  80 예상.

- 기존에 사설망        192.168.0.100~200 으로 아직 문제없이  사용하였습니다. (향후 아마 전화만 분리할것 같습니다같은망에 있을 필요 없을듯하여  자체를 따로 분리할듯해서 사설 대역 하나로 충분하지 않을까 해요)

- 참고로 아직 VLAN 사용할 정도 아니고 VLAN으로 운용경험 없어서 내부에서 다루지 못하는것에 대해 거부감 있음

3. 무선 AP (타기종 리피터)

3-1 Mesh 구성은 동기종만 된다 하여서타기종 AP들로 mesh 구성하려고 하는것이 목적.

3-2 무선AP        2.4G, 5G, 6G + Guest 

3-3 보유AP 미크로틱 hAP  iptime        ring A8  다양..


4.Wireguard 구성

4-1 피어 계속 붙일  있도록. (아래 vpn설명 참조)

5. (옵션) Site to Site 터널링 OR 폐. (미크로틱 동기종간

5-1 우선 CCR1036 32코어와 CCR2216 16코어의 코어수 차이가 성능에 얼마나 영향이 있는지 몰라 필요한것만 먼저 적어두었습니다.

- CCR1036 8S 2S+ (현재보유장비)

터널링 또는VPN 대상 구매예상 장비 후보 모델군 아래 후보중에서 미결정.

- (추후 <-강조) 100G/40G(호환) 2포트가 필요하여(지금 이미 10G x 8개 멀티채널 SMB 이용중) CCR2216 2XQ모델이 필요하긴 하지만 스위치로 필요한 것이라서 라우터 모델로 하지 않아도 되지 않는가 하는 생각

- 코어수 차이에 대한 성능 차이 몰라.. 괜히 코어수 작은것에 대한 문제없는지 쓸데없는 염려있음.

- 현재 VPN으로 충분할지 site to site 터널링이 필요한지 여부 모르지만 만약 vpn으로 퍼포먼스 안나와서 라우터간 site to site 해야한다면.. 재택근무자별로 라우터를 할당해줘야하는지? (넘 비싸서 절대 허가 안해줄듯해서 그냥 질문만입니다ㅜㅜ)

- CCR1036 8G 2s+ 장비에 있는 1G 포트가 wan in로 추가 할당이 되나요? 라우터 변경없이 기존 라우터포트로 로드밸런싱 등을 해결   있는지? 현재 SFP+ 2개만 In 포트라고 이해하고 있습니다.    

- 아래, 필요시 구매예정 대상 장비군 (제 뇌피셜, 설득해야해요ㅜㅜ)

  • CCR2216-1G-12XS-2XQ (추가 후보모델)
                
    - 25G 10G in으로 쓰고 (추후 10G 라인 10 까지 예상)
                - 40G QSFP28 
    포트 이용해서 하위 스위치 대역폭 확보 위함.
                - 
    현재 10G  쓰고있지만 추후 NVME IOPS 서버도입시 100G 필요 예상
  • CCR2116-12G-4S+      (추가 후보모델)
                SFP+ 
    라인 3 WAN 입력 + 스위치 출력 1 가능하지 않을까 싶어서..
                
     

5-3 VPN터널링 설정시 중요한 부분

- 라우터간 site to site  필수 사항이 아님 VPN이 목적.

- VPN터널링시 만이라도 로컬망 처럼 (타지 사용자도 192.168.0.xx 로 사설망+서버IP로 클라이언트PC의 공인IP 변경필요) 이용하되 SMB 대역폭을 최대한 활용했으면 합니다재택근무자  라인이 10G 인경우 사내 로컬사설망 사용할 처럼 빠른 망사용이 가능한것이 핵심. ( 현재 개인망 -> RDP접속후 로컬이용중 , VPN으로 망에 붙은뒤 RDP이용하도록 변경희망, 현재는 VPN L2TP 나 PPTP 같은걸로 이용하는데 속도가 느려요..)

- Wireguard 뭐든 상관없으나모바일 기기에서 안드로이드13 이후? PPTP등이 사라지면서 모바일VPN 지원이  안되서 wireguard 그나마 QR코드  파일등으로 쉽게 추가할  있어서 사용중이지만 아직까진 퍼포먼스 나오지 않음.

- VPN 으로 트래픽 모니터링 목적도 있는데.. 서버에서 대용량 파일을 로컬망이 아닌, 개인PC로 가져가는 경우 체크하기 위함도 있습니다. (VPN으로 붙으면 로컬망인데.. 로컬망에서 RDP 하면 로컬<->로컬 끼리 통신이고 VPN서버 <-> 클라이언트 간이 통신도 로컬망인데.. 이게 따로 모니터링이 가능이나 할까요? 보안 DLP가 로컬망 내에서 통신은 허용되어있어서 아직 테스트해보지 않아 이부분이 염려됩니다.)


6. 기타 포트포워딩

- 이건 직접   있어서 직접 해도됨 현재 원격 RDP 및 CCTV 문에 약 50개정도 포워딩중.

- 포트포워딩 대부분 RDP 이용위함인데 RDP 노출 문제로 RDP 2차인증 또는 VPN이나 SSH터널링  RDP이용등의 RDP보안 방법이 있는지 궁금합니다. (VPN접속시 인증이어도 됩니다 SSH터널링 이건 뭐 찾다가 봐서 적은거지 쥐뿔도 몰라요) 

- 가능하면  vpn인증 접속 또는 vpn 접속시에 파라미터 정보를 담아 특정 url 실행하도록 해서 기록 로그로 남길  있는지도 궁금합니다. (재택근무자 접속 시간 및 종료시간 로깅)

- RADIUS 이용하면 된다고 하던데 어떤 방식이 있는지 .. (개념 몰라요)

7. 옵션리버스 프록시

- 특정 도메인으로 접속시 80,443 포트를 단일 회선으로 여러 서버 운영 가능하도록.

- Aaa.com       bbb.com 접속시 동일한 211.111.111.100 이란 회선을 통해 인입 된다면 도메인에 따라서 80포트를 
              aaa.com -> 192.168.0.120:80 or 443(ssl) or 3306(mysql)
              bbb.com -> 192.168.0.121:80 or 443(ssl) or 3306(mysql)
              
접속되도록 하게
              
192.168.0.120 등의 ip 임의로 지정할  있게가령 외부 공인망을 지정한다면
              공인망
 -> 라우터 -> 리버스프록시 -> 공인망 -> 서버 (하나의 네임서버처럼.. 트래픽 통제 위함)

8. 기타 질문 

  1. 로그가 많이 쌓여있을땐 열람 하는것 조차도 힘들던데 로그를 외부에 따로 쌓도록   있는건 syslog 뿐일까요?
  2. 접속 장애나 DDOS공격 같은 중대 장애 발생시 백업라인(LTE망)을 통한 URL실행? 
ªÀº±Û Àϼö·Ï ½ÅÁßÇÏ°Ô.
¹ÎÈ£¾ç 08-27
Á¦°¡ ¾Æ´Â ¿µ¿ª¸¸ °°ÀÌ °í¹ÎÀ» Çغ¸ÀÚ¸é,
> "Á¢¼ÓµÇ´Â µµ¸ÞÀο¡ µû¶ó »ç¼³¸Á À¯µµ¸¸ ÇÏ°í ½Í°í ¸ÁÀº ´ë¿ªÆø ºÐ»êÇؼ­ »ç¿ëÇÏ°í"
> "¸ÞÀÎ Á¢¼Ó½Ã IP´Â ¹«ÀÛÀ§ °áÁ¤ Çϵµ·Ï (·Îµå¹ë·±½Ì) ÇÏ°í ½Í½À´Ï´Ù.  (KT°¡ Á×À¸¸é SK·Î ¾Ë¾Æ¼­ Áö¿¬À² ³·Àº ¸ÁÀ¸·Î.. )"
> "7. ¿É¼Ç) ¸®¹ö½º ÇÁ·Ï½Ã"
ÀÇ °í¹ÎµéÀº ¾Æ·¡ÀÇ µðÀÚÀÎÀ¸·Î ÀϺΠĿ¹öÇÒ ¼ö ÀÖÀ» °Í °°½À´Ï´Ù.

- ¾Æ½Ã´Â´ë·Î, ¸®¹ö½º ÇÁ·Ï½Ã¸¦ ´ã´çÇÒ ¼­¹ö°¡ ÀÖ±ä ÇؾßÇÕ´Ï´Ù.
- ¸ðµç WAN¿¡ ƯÁ¤ Æ÷Æ®(80,443)¸¦ ¸ðµÎ ÇØ´ç ¼­¹ö·Î Æ÷Æ®Æ÷¿öµùÀ» ÇÏ¸é µÉ °Í °°½À´Ï´Ù.
- DNS¿¡ A ·¹Äڵ带 Ãß°¡ÇÒ ¶§, °°Àº DomainÀ¸·Î 4°³¸¦ µî·ÏÇÏ½Ã¸é µÉ °Í °°½À´Ï´Ù.
- ÀÌ·²°æ¿ì, round-robinÀ¸·Î ¹«ÀÛÀ§ °áÁ¤Àº ¸ÂÀ¸³ª, ¾Ë¾Æ¼­ Áö¿¬À² ³·Àº ¸ÁÀ¸·Î °¡´Â°Ç OS³ª application±¸Çö¿¡ µû¶ó ´Ù¸¨´Ï´Ù. ±×°É ±¸Á¶ÀûÀ¸·Î ´ã´çÇÏ´Â °Ç ¿©±â¼± ¾ø½À´Ï´Ù.
- ¾Ë¾Æ¼­ Áö¿¬À²ÀÌ ³·Àº ¸ÁÀ¸·Î °¡´Â°Ç, ¿ÜºÎ¿¡µµ º°µµÀÇ ¼­¹ö³ª ¼­ºñ½º¸¦ ±¸ÃàÇؾßÇÒ °Í °°½À´Ï´Ù.

³ª¸ÓÁö °í¹ÎµéÀº ´ëºÎºÐ HW ijÆijª ¼³Á¤¿¡ °üÇѺκÐÀ̶ó ´Ù¸¥ Àü¹®°¡ºÐÀÌ Ä¿¹öÇÏ½Ç ¼ö ÀÖÀ» °Í °°½À´Ï´Ù.
¹ÎÈ£¾ç 08-27
¿ÜºÎ¿¡¼­ »ç¿ëÀÚµéÀÌ Á¢¼ÓÇÒ ¼­¹ö/¼­ºñ½º°¡ Æ®·¡ÇÈ ÆÐÅÏÀÌ ¾î¶»°Ô µÉÁö°¡ ±Ã±ÝÇÕ´Ï´Ù.
À¯µ¿ WAN IP°¡ ¹Ù²ð°æ¿ì, Àá±ñ Á¢¼ÓÀÌ ¾ÈµÇ´Â °Í ó·³ º¸ÀÏ ¼ö ÀÖ½À´Ï´Ù. if-up ½ºÅ©¸³Æ®¸¦ Àß ¼³Á¤ÇϼžßÇÕ´Ï´Ù.
mysqlÀ» ¿ÜºÎ¿¡ ³ëÃâÇÏ´Â°Ç ÁÁÀº »ý°¢Àº ¾Æ´Ñ °Í °°½À´Ï´Ù.
     
Ȧ¸¯0o0 08-27
¾È³çÇϼ¼¿ä~ ´ñ±Û °¨»çÇÕ´Ï´Ù.
Ȥ½Ã Á¶¾ð¸¸ ÁֽŰÍÀÎÁö¿ä ȤÀº ÀÛ¾÷°ßÀûÀ» ÁÖ½Ç ¼ö ÀÖÀ¸½Ç±î¿ä?

1. ³× mysql Àº °ø°³ÇÏÁö ¾Ê¾Æµµ µË´Ï´Ù.
2. ¸®¹ö½ºÇÁ·Ï½Ã¸¦ ¶ó¿ìÅÍ°¡ À¥ÇÁ·Ï½Ã ¶ó°í ÀÖ´øµ¥ À̰Ÿ»°í ·Îµå¹ë·±½Ì ó¸®ÇÒ ¼­¹ö°¡ Ȥ½Ã µû·Î ÀÖ¾î¾ßÇÒ±î¿ä?
IDC¿¡ ÀÖ´Â ¼­¹ö°¡ ·Îµå¹ë·±½ÌÀ» ´ã´çÇϱä ÇÕ´Ï´Ù¸¸ IDC·Î º¸³»°í ´Ù½Ã ¸®ÅÏÀ¸·Î ÇؾßÇÒ±î¿ä?
3. ¾Ë¾Æ¼­ Áö¿¬À² ³·Àº¸ÁÀ¸·Î.. ÀÌ°Ô ·Îµå¹ë·±½Ì ¿¡¼­ÀÇ ±â´ÉÀÇ ÇѺκÐÀÎÁÙ ¾Ë¾Ò½À´Ï´Ù. ´Ù¸¥ ¼­ºñ½º¶ó ÇÔÀº ¾î¶² ¼­ºñ½ºÀÎÁö ¾Ë¼ö ÀÖÀ»Áö¿ä?
          
¹ÎÈ£¾ç 08-28
Àú´Â °³¹ßÀÚ¶ó¼­ ÀÛ¾÷À» ÇÏÁø ¾Ê½À´Ï´Ù. ¸®¹ö½ºÇÁ·Ï½Ã´Â haproxy°°Àº°É ¾²¸é µË´Ï´Ù. Áö¿¬ÀÌ ³·Àº¸ÁÀ» °í¸£´Â°Ç Á¦°øÀÚ(¼­¹ö)°¡ ÆÇ´ÜÇÒ°Ô ¾Æ´Ï¶ó, Á¢¼ÓÀÚ/»ç¿ëÀÚ(Ŭ¶óÀ̾ðÆ®)ÂÊ¿¡¼­ ÆÇ´ÜÇؾßÇÒ ¹®Á¦·Î º¸ÀÔ´Ï´Ù. (Àúµµ Á¤È®È÷ ÀÌÂÊ °èÅëÀº ¾Æ´ÑÁö¶ó Àü¹®°¡µéÀÇ ÀÇ°ß°ú Á¶¾ðÀ» ¾ò±âÀ§ÇØ ´ñ±ÛÀ» ³²°ÜµÐ °ÍÀÔ´Ï´Ù). Ŭ¶óÀ̾ðÆ®°¡ ÆÇ´ÜÀ» ¸øÇÑ´Ù¸é, CDNÂÊ¿¡¼­³ª edge cacheÂÊ¿¡¼­ ÆÇ´ÜÇϴ°Š¸»°í´Â Àú´Â µüÈ÷ ¸ð¸£°Ú½À´Ï´Ù. ÀÌ·± ¼­ºñ½ºµéµµ ½ÇÁ¦ ¼­¹ö°¡ ¾î¶² ¼­ºñ½º¸¦ Á¦°øÇÏ³Ä Æ®·¡ÇÈÀÌ ¾î¶»³Ä¿¡ µû¶ó¼­ µµÀÔÀÌ °¡´ÉÇÒ¼öµµ, ¾Æ´Ï¸é ºñ¿ëŸ´ç¼ºÀÌ ¸ÂÁö¾Ê¾Æ Æ÷±âÇؾßÇÒ ¼öµµ ÀÖ½À´Ï´Ù.


Job