Transcript 615177

제 1 장. 개요
개 요
목차
소개……………………………………………………………………1p
Contivity VPN Switch……………………………………………….1p
Extranet access……………………………………………………..1p
Routing………………………………………………………………..6p
통합된 방화벽 솔루션………………………………………………..7p
사설과 공인 interface………………………………………………..8p
IP addressing…………………………………………………………8p
Tunnels………………………………………………………………..10p
지사 연결 ……………………………………………………………..12p
Network Address Translation (NAT)………………………………13p
인증…………………………………………………………………….13p
접속 통제를 위한 Filter………………………………………………15p
관리…………………………………………………………………….15p
품질 서비스 (QoS – Quality of Service)…………………………..16p
Accounting…………………………………………………………….18p
로컬 설정과 LDAP file 구조………………………………………….19p
Command line interface…………………………………………….20p
Serial point-to-point protocol (PPP)……………………………..20p
FIPS……………………………………………………………………..21p
-1-
제 1 장. 개요
소개
이 장은 노텔 네트웍사의 Contivity VPN Switch 를 소개한다. 이 장비는 확장성, 보안, 그리고 인터넷을 사용
하는 원격 접속의 관리 기능 등을 제공한다.
이 장비는 원격 접속 프로토콜, 보안, 인증, 그리고 암호와 기술들을 하나의 솔루션으로 통합하며, 모델의
종류에 따라서 최대 5000개의 암호화된 터널을 동시에 구성할 수 있다. 개인 사용자나 그룹의 사용자들은
통합된 그룹의 속성을 제공할 수 있다.
즉, 사용자나 그룹의 구체적인 요구를 바탕으로 그룹의 속성을 적용하여 extranet을 만들 수 있다.
Contivity VPN Switch
이 장비는 가장 인정을 받고 있는 tunneling protocol인 IPSec(IP Security), PPTP(Point-to-Point Tunneling
Protocol), L2TP(Layer 2 Forwarding Tunneling Protocol), 그리고 L2F(Layer 2 Forwarding)들을 모두
지원한다. IPSec은 디지털 인증서, 비밀 키 그리고 인증 토큰을 사용할 수 있다.; PPTP, L2TP, 그리고 L2F는
CHAP(challenge Handshake Authentication Protocol)이나 PAP(Password Authentication Protocol)를
사용한다. 이 장비에서 PPTP는 56-bit에서 128-bit 암호화 키와 함께 MS-CHAP인증을 지원한다.
스위치는 각 사용자들의 권한 부여, 인증, 사설화, 접속 통제 등의 기능을 통합하여 사용함으로써 기존의
원격 접속 개념보다 더욱 강력한 보안기능을 제공한다. 게다가 ISAKMP(Internet Security Association and
Key Management Protocol)와 Oakley Key Establishment Protocol이 연관된 IPSec Protocol의 지원은 보안
기능을 더욱 개선시킨다.
인증과 접속 통제를 위해서, 스위치는 내부 혹은 외부의 LDAP 서버와 외부의 RADIUS 서버를 지원한다.
접근을 제한하기 위해서, 스위치는 프로토콜 ID, direction, 출발점과 목적지의 IP 주소, 출발지와 목적지의
포트, 그리고 TCP 연결을 기반으로 하는 패킷 filtering을 사용한다. 더욱이 Nortel Networks는 직접적으로
또는 고객의 네트웍의 요구에 따라 적용할 수 있는 필터 기능이 미리 정의 되어 제공되기도 한다.
접속 승인(call admission)과 패킷 전송의 우선순위, 그리고 RSVP(Resource ReSerVation Protocol)를 위한
지원은 고유한 질적인 서비스 방법들을 제공한다.
HTML 과 Java Web 관리 interface는 환경설정, 상태, 그리고 모니터링을 포함한 서로 다른 권한을 서로 다른
스위치에 적용시킬 수 있다. 스위치는 RADIUS 계정 지원과 확장된 events, system, configuration, 그리고
security log 기능을 제공한다.
Contivity VPN Switch의 4000시리즈는 완벽하게 이중 기능을 하는 dual 404-watt fault tolerant power
supplies, dual-mirrored hard drives, 그리고 automatic backup server를 탑재하고있다. 다른 모델들은
하나의 전원과 하드 드라이브를 가지고 있다.
Extranet access
이러한 보안, 관리, 확장성의 특징과 더불어 스위치는 중요한 원격 접속 저장 기능을 제공한다. 원격
사용자의 접속의 어려움에 대한 문제점을 개선하기 위해 더욱 잘 관리할 수 있는 영역으로 정보 기술
자원을 이동시킬 수 있다. 그리고 고객의 조직에서 모뎀 관리 할당 문제들을 줄일 수 있고 위의 문제들을
ISP에게 전환 시킬 수 있다.
Extranet 접속은 원격 사용자가 어디에 있는 ISP로 접속을 하게 하고, ISP를 통하여 본사와 지사에
접근하게 한다. Extranet은 원격 사용자에게 기업의 데이터베이스, 메일 서버, 그리고 파일 서버로의
접속을 제공한다. 그림 1은 전형적인 extranet의 환경을 보여준다.
-2-
제 1 장. 개요
LAN
IPS POP
E-Mail
Server
IPS POP
NT
Server
Nortel
Extranet
Switch
Firewall
인증
Server
Remote
Employee
Cable or
DSL
IPS POP
Partner
IPS POP
Router
56K
Modem
ISDN
Reseller
Internet
Intranet
Figure 1. The Internet and an intranet form an extranet
원격 접속 대 extranet 접속
전형적인 본사의 원격 접속 환경은 서비스 요청을 다루기 위해 모뎀 bank를 사용한다. 스위치는 ISP가
모뎀 접근을 위한 POP(point-of-presence) 제공자로서의 역할을 수행해준다. 이것은 본사에 접속하기
위해 사전에 준비해야 하는 작업에 대한 부담에서 본사의 직원을 자유롭게 해준다. 스위치는 오버헤드를
낮추어 성능을 향상시킨다. 그림 2는 원격 접속 환경을 보여준다.
LAN
Traditional
Remote Access
Server
Figure 2. 전형적인 원격 접속 환경
또한 T1 line이 필요로 하는 Telco 회사의 수를 줄임으로서 비용을 절약할 수 있다. 전형적인 channelized
T1 line은 24명의 접속을 지원하지만 switch에 연결된 T1 line은 통계적인 multiplexing을 통하여 많은
session들을 통합할 수 있고, 사용자들의 용도에 따라서 100명에서 200 명의 extranet 사용자들에게
서비스를 제공할 수 있다.
게다가 원격 office에 연결하는 개인적인 비용을 절약할 수 있을 뿐만 아니라 사용자의 집에서 corporate
modem pool access points로 원격호출하기 위한 Telco의 비용을 줄일 수 있다. Extranet 사용자들은
일반적으로 free call인 지역 POP으로 접속시도를 함으로써 비용을 절약할 수 있다.
-3-
제 1 장. 개요
Network 환경 설정
스위치는 네트웍 토폴로지와 인터넷 접속방식에 대한 설정에 따라서 다로 다른 종류의 네트웍으로
통합될 수 있으며, 이에 대한 네 가지 일반 토폴로지들은 다음과 같은 항목으로 분류된다.
• 방화벽과 병렬로 위치한 라우터 뒤의 스위치
• PDN(Public Data Network)에 직접 연결된 스위치
• 방화벽과 라우터 뒤의 스위치
• 지사의 환경 설정
방화벽과 병렬로 위치한 라우터 뒤의 Switch
이 설정은 방화벽과는 나란히 연결되어있고 라우터 뒤에 연결된 스위치를 보여준다. 이 설정은 스위치를
통한 보안적인 extranet으로의 접근을 가능하게 해주면서 기존의 설정을 유지할 수 있다. 이 설정의 주요한
이점 중에 하나는 현재의 연결을 PDN에서 공유한다는 것이다. 그림 3은 방화벽과 라우터와 연결된
스위치를 보여준다
LAN
Public LAN
Firewall
Router
Nortel Extranet
Switch
PDN
Public WAN
Private LAN
Figure 3. 라우터에 직접 연결
PDN에 직접 연결된 Switch
이 설정에서는 방화벽과 라우터가 스위치에서 완전히 독립적으로 존재한다. 연결과 환경 설정은 같은
상태로 존재한다. 스위치는 전화접속 네트웍보다는 WAN접속을 제외한 전형적인 원격 서버로의 접근처럼
설치된다. 이것은 다른 인터넷 트래픽과의 충돌 없기 때문에 extranet의 대역폭 증가시켜 줄 수 있다.
그림 4는 WAN에 독립적으로 직접 연결된 스위치를 보여준다.
LAN
Public LAN
Firewall
Router
PDN
Nortel Extranet
Switch
Private LAN
Public WAN
Figure 4. 독립적인 WAN 연결
-4-
제 1 장. 개요
Switch와 라우터 뒤의 Firewall
이 설정은 방화벽과 라우터 뒤에 연결된 스위치를 보여준다. 이 설정에 있어서 라우터와 방화벽은 스위치를
통해서 터널통과가 가능하도록 설정을 해야 한다. 이것은 방화벽에서 스위치를 사용할 수 있는 환경에
적합하게 설정을 변경해야 한다. 그림 5는 방화벽과 라우터 뒤의 스위치를 보여준다.
LAN
Nortel Extranet
Switch
Firewall
Private LAN
Router
PDN
Public WAN
Figure 5. 방화벽 뒤에 위치한 switch
설정에 앞서 PPTP,L2F 그리고 스위치를 통한 다른 터널 트래픽을 통과하는 방화벽의 필터를 수정해야
한다. 이를 위한 세부 정보는 Table 1에 언급하였다.
Service
Protocol number
Source port
PPTP 접속 통제
6 (TCP)
> 1023
< 1723
PPTP Tunnel 암호화
47 (GRE)
N/A
N/A
ISAKMP/IPSec Key
Management
17 (UDP)
500
500
IPSec Tunnel 암호화
50 (ESP)
51 (AH)
N/A
N/A
L2TP/L2F
17 (UDP)
Reservation Control
46 (RSVP)
> 1023
N/A
Destination port
< 1701
N/A
Table 1. Firewal filter pass-through ports
지사 환경설정
지사에 대한 기능은 두 사설 네트웍사이의 IPSec 터널 연결을 설정하게 한다. 보통 다른 사설 네트워크는
원격 스위치 뒤에 존재하는 반면, 하나의 사설 네트웍은 같은 지역에 설정된 스위치의 뒤에 위치한다.
지사의 환경 설정은 각 스위치 뒤에서 접속할 수 있는 서브네트웍을 설정할 수 있게 한다. 또한, 그러한
설정은 스위치의 IP 주소, 암호화 형태와 인증방법과 같은 연결을 설정하는데 필요한 정보를 포함한다.
접근 시간, 필터 set, 그리고 권한 승인을 호출하는 등의 로컬 정책에 대한 제한은 로컬 서브네트웍으로
연결을 제한하도록 적용될 수 있다. 그림 6은 전형적인 지사의 환경을 보여준다.
-5-
제 1 장. 개요
172.17.20.X
255.255.255.0
192.149.20.X
255.255.255.0
Triple DES
Pre-Shared Key :
bostoncleveland
172.17.21.X
255.255.255.0
192.149.21.X
255.255.255.0
Cleveland
Switch
Boston
Switch
PDN
172.19.2.30
Access Hour : 9 –5
permit only http/dns
192.168.2.3
Access Hour : 12 –3
permit all
Figure 6. 전형적인 지사의 환경 설정
Routing
스위치의 라우팅 능력은 인증된 터널 트래픽이 보안적으로 본사의 사설 네트웍으로부터 내부, 외부로의
흐름을 가능하게 해준다. 게다가 스위치는 두 개의 private interfaces에서 그리고 public과 private
interfaces 사이에서 트래픽을 라우트할 수 있게 한다. 스위치는 또한 public interfaces에서 인터넷의
목적지까지 트래픽을 라우트할 수 있다. 결과적으로 스위치의 라우팅 기능은 인터넷에 연결된 본사와
지사를 연결하는데 사용될 수 있다.
일단 네트웍의 public과 private 사이에서 트래픽을 허용하면, public측에서 권한을 가지고 있지 않은
사용자로부터 private network으로의 접속을 막고자 할 것이다. 이 경우 스위치는 세 가지의 가능한
솔루션인 Contivity Stateful Firewall, Contivity Tunnel Filter, 그리고 Check Point FireWall-1중에 하나를
선택하여 사용할 수 있다.
통합된 방화벽 외에 스위치의 라우팅 성능을 어떻게 설정했느냐에 따라 스위치는 다양한 보안 라우팅
기능들을 수행한다. 예를 들어, 스위치를 private interface에서 firewall을 거쳐 밖으로 나가는 터널화 되지
않은 트래픽을 보안성 있게 route하도록 설정할 수 있다. 이런 설정은 스위치의 사설 네트웍쪽의
사용자들이 별도로 할당된 라우터 없이도 인터넷에 접근할 수 있게 한다.
통합된 Contivity Tunnel Filter와 Check Point FireWall-1 둘 다 패킷 필터링과 Anti-spoofing 같은 것을
이용해서 보안 방어를 할 수 있다.
Contivity Tunnel Filter는 다음과 같은 기능들을 제공한다.
• VPN routing은 트래픽을 보안 터널의 내,외부를 통해서 route한다.
• 좀 더 발전된 routing은 물리적 interface사이에서 traffic을 route하는 것이다. 이것은 public 과 private
interface사이의 traffic을 포함한다. 진보된 routing은 tunnel과 public interface사이에서 흐르기 위한
traffic을 허용한다.
• Services routing은 스위치가 제공하는 서비스를 허용하여 traffic을 라우트한다. 이런 형태의 라우팅은
IPSec, PPTP, L2TP and L2F과 같은 tunnel protocol을 지원한다. 또한 스위치를 관리하기 위해 사용되는
HTTP나 FTP를 지원한다.
RPS(Routing policy service)
IP router는 routing table을 통해서 routing data가 이동하는 것을 제어할 수 있게 한다. 라우팅 정책
서비스는 IP를 받아들이고 알리는 정책들을 제공함으로써 제어한다.
모든 IP router는 현재의 라우팅 정보 테이블을 보유한다. 라우팅 테이블 관리자는 라우터에서 동작하는
IP(Internet protocols)를 통해서 네트웍으로부터 routing을 갱신한다. 주기적으로 라우팅 테이블 관리자는
프로토콜들을 통해서 routing을 갱신한다.
-6-
제 1 장. 개요
Routing table
라우터처럼 스위치도 스위치로 들어온 트래픽이 어떻게 목적지로 가려고 하는지를 정하는 라우팅 테이블을
가지고 있다. 라우팅 테이블은 정적과 동적 경로들을 포함할 수 있다. 정적 라우트는 수동으로 설정되고
변경되지 않는다. 그러나, 동적 라우트는 private interface나 지사의 tunnel에서 RIP이나 OSPF를 통하여
변경사항을 알게 되고 이에 맞게 변경된다.(스위치는 public interface에서는 RIP나 OSPF는 지원하지
않는다.)
RIP 이란
RIP은 라우터들이 주기적인 RIP 갱신을 통해 라우팅 정보를 교환하게끔 하는 distance-vector 라우팅
프로토콜이다. 라우터들은 그들 자신의 RIP 갱신을 인접한 subnet으로 보내고, 그 인접한 subnet의
라우터들로부터 새로운 사항을 듣는다. 라우터들은 RIP 정보를 갱신하는데 현재 내부의 라우터를 유지하기
위해 정보를 사용한다.
OSPF 란
OSPF는 최소의 routing protocol traffic을 사용하여 가장 짧은 거리로 형성한 routing table에서
database를 유지하는 link-state routing protocol이다. 이것은 TCP/IP protocol family를 사용하여 다중의
네트웍 회사들이 통신할 수 있는 고 성능 open protocol을 제공한다.
OSPF의 다음과 같은 장점들이 있다.
• 빠른 융합
• VLSM(Variable Length Subnet Masks)
• 계층적 segmentation
• 부가적인 routing 방지와 routing protocol traffic 감소를 제공하는 area routing
• 인증
VRRP 란
VRRP(Virtual Router Redundancy Protocol)은 높은 유용성의 상태로 스위치를 유지하기 위해 사용하는
하나의 방법이다. VRRP은 private interface의 오류들을 다루는 표준 protocol이다. VRRP은 정적인 다음
홉의 routing address 혹은 기본 게이트웨이를 설정하는 호스트를 목적으로 한다. 이것은 system/
interface 오류의 경우에 traffic을 다시 routing하는 방법을 제공한다
통합된 firewall solution
스위치는 다양한 소비자들의 요구를 만족하도록 설계되어있는 통합된 firewall solution을 포함한다.
스위치는 세 가지의 가능한 firewall solution들 중 하나를 선택할 수 있게 해준다.: Contivity Stateful
Firewall, Contivity Tunnel Filter, 그리고 Check Point FireWall-1이 있다.
Contivity Stateful Firewall 외에도 스위치는 routing 성능을 어떻게 설정해 주느냐에 따라 다양한 보안
routing 기능을 수행할 수 있다. 예를 들어 private interface, firewall을 거쳐 public interface로 나가는
터널화 되지 않은 traffic을 보안적으로 route하는 스위치를 설정할 수 있다. 이런 설정은 스위치의 private
network 사용자들이 별도로 할당된 router없이도 인터넷에 접근 가능하게 해준다.
Stateful inspection을 사용함으로써 Contivity Stateful Firewall은 높은 수준의 보안과 가장 빠른 실행시간
그리고 당신의 환경에 적용하는 규칙들을 정의하는데 유연성을 제공한다. firewall은 고도의 네트웍 보안을
보증하는 full firewall 성능을 제공한다. 이러기 위해서 firewall은 일반적인 보안정책에 위배되는 내,외부로
통과하는 패킷들을 검사한다. 모든 서비스들은 packet이 아닌 IP 통신 상에서 해석된다. 보안 정책은
직접적으로 패킷들을 걸러내지는 않지만 firewall 서비스는 그것들이 정해진 보안 정책에 근거하여
진행되는 방법을 결정한다.
Firewall은 당신의 네트웍에 적당한 규칙을 결정할 수 있게끔 user interface를 제공한다. Contivity stateful
firewall은 최적화된 패킷 검사와 진보된 메모리 관리 기술의 결과로 최적의 성능을 얻을 수 있다. Contivity
stateful firewall에 대해서 좀더 많은 정보를 얻기 위해서는 Contivity Stateful Firewall 관리 매뉴얼을
참조하면 된다.
-7-
제 1 장. 개요
많은 고객들에게 Contivity Tunnel Filter는 가격대비 최고의 성능을 제공한다. Check Point
Technologies의 Check Point FireWall-1을 가지고 있는 고객들에게 스위치는 별도의 적절한 licensed
integrated firewall을 제공한다. Contivity VPN 스위치 firewall에서처럼 통합된 FireWall-1은 스위치에
접속하려는 사용자와 application 모두에게 투명하다.
통합된 firewall과 스위치 사이의 관계는 순차적으로 정렬된 두 가지의 물건들을 포함하는 하나의 박스로
생각할 수 있다. 스위치로 나가는 모든 IP 패킷은 management 패킷과 public Network으로 나가지 않는
터널화 된 패킷들을 제외하고는 통합된 firewall을 지나간다.
Private과 Public interface
스위치는 당신의 LAN과 인터넷과 같은 PDN사이에 안전한 연결을 제공한다. Private은 본사의 내부 LAN을
말하고 public은 public data network을 말한다. Public interface는 단지 tunneled protocols만을
받아들이고 반면에 Private interface는 nontunneled, tunneled protocol 둘 다 받아들인다. 적절한 네트웍
보안을 위해 스위치의 각각의 interface를 적절하게 설정하는데 주의해야 한다.
시스템상의 LAN interface는 기본적으로 Private으로 설정되어 있다. 노텔 Networks는 private interface를
본사의 LAN으로 설정할 것을 권장한다. Private interface는 또한 스위치에 접근을 제어하는데 쓰이는
tunneled protocols (such as IPSec, PPTP, L2TP, and L2F)를 수용한다. 그림 7은 private, public
interface를 보여준다.
Private
Public
Firewall
Router
PDN
Nortel Extranet
Switch
Figure 7. Private과 Public interface
확장 슬롯에 삽입하는 추가적인 interface의 기본적으로 Public이다. Public은 인터넷과 같은 PDN쪽의
interface를 나타낸다. 스위치는 nontunneled protocols는 거부하고 단지 IPSec, PPTP, L2TP, and L2F와
같은 tunneled protocols만을 받아들인다.
Public interface IP address에 ping을 사용하는 것은 진단상의 목적으로 사용한다. 보안적인 측면 때문에
연결을 설정함에 있어서 public network host는 60패킷이 할당된다. 연결하는데 이런 할당이 성공적으로
수행되지 않았다면, public network host는 tunnel연결을 재시도하는데 약 60초의 시간을 기다려야 한다.
일반적으로 이런 할당은 연결을 설정하는데 적합하다. 연결을 설정하기위해 계속해서 ping하는 것은
성능을 저해한다는 것을 알아야 한다.
IP addressing
다음의 그림들은 스위치를 사용해서 네트웍에 IP주소를 할당하는 예를 보여준다. 그림 8은 IP주소들의 집
단을 보여준다.
-8-
제 1 장. 개요
Public
Private
Existing Public Defualt
Gateway Router
10.2.3.4
10.10.0.1
10.10.0.5
192.19.2.30
192.19.2.33
10.2.3.3
10.2.3.2
Nortel Extranet Switch
192.19.2.31
10.2.3.6
Existing
Firewall
PDN
Web Server
192.168.43.6
Remote User
172.19.2.30
And 10.2.1.23
– or –
10.8.4.6
10.2.4.56
Existing Public Defualt
Gateway Router
Class C
Subnetworks
255.255.255.0
10.2.3.8
Class A
Subnetworks
255.0.0.0
DHCP Server
10.2.1.1
– To –
10.2.1.254
Figure 8. IP addressing 설계의 예
IP address
기 술 (CES에 적용할 경우와 설정되어야 할 위치)
192.168.43.6
Internet에 접속을 가능하게 해주는 ISP로의 접화 접속 networking
192.19.2.30
Public 기본 Internet gateway router
192.19.2.33
원격 사용자가 목적지 주소로 하는 Public LAN port IP 주소
192.19.2.32
Firewall public network 주소
10.2.3.2
Switch 관리 IP 주소 : System  Identity
10.2.3.3
Switch의 private LAN interface IP 주소 : System  LAN Edit IP 주소
10.2.3.4
사설 network 기본 gateway router : System  Routing Add/Edit Default Route
10.2.3.6
재고와 가격 목록을 위한 partner FTP server의 예
10.2.3.7
Firewall private network 주소
10.2.3.8
DHCP server IP 주소
10.2.1.1 to
10.2.1.254
원격 터널 세션을 위한 Private Network 주소 할당 :
DHCP pool : Servers  User IP 주소
172.19.2.30
ISP가 할당한 IP 주소
10.2.1.23
원격 사용자를 위한 DHCP 할당 IP 주소
10.8.4.6
원격 사용자에게 IP 주소를 정적으로 할당하는 예 : Profiles  Users Edit
10.2.4.56
Client-specified 주소의 예 : Profiles  Groups Edit IPSec/PPTP/L2TP/L2F
Table 2. IP addressing asociation의 예
스위치는 IPX프로토콜을 지원한다. 이것은 IPSec을 제외한 PPTP, L2TP, and L2F 터널 상의 IPX 패킷을
전송하고 받게 해준다. 다음의 그림은 일반적인 스위치 환경에서 IPX address가 어떻게 private interface
와 public interfce와 연관시키는가를 보여준다. 그림 9와 table 3에서 IPX 주소 협약에 대해 보여 준다.
-9-
제 1 장. 개요
LAN
Nortel Extranet Switch
0000A100
00000B16
00000B16
802.3
NetWare
Server
10.2.3.2
802.3
PDN
Public Wan
SNAP 00000C22
SNAP 00000C22
Router
NetWare
Default Nearest
Server
802.2 00000D35
802.2 00000D35
Netware
Serfer
Figure 8. IP addressing 설계의 예
IPX address
기술
0000A100
Public WAN IPX 주소
00000B16
802.3 Private LAN, NetWare Server로의 경로
00000C22
SNAP Private LAN, 가장 가까운 Server, 근접한 라우터, 그리고 다른 NetWare
Server로의 경로
00000D35
802.2 Private LAN, Netware Server
Table 2. IP addressing association의 예
스위치는 PPTP, L2TP, and L2F을 통한 IP tunnel내부에 IPX traffic을 암호화함으로써 IPX를 지원한다.
Private interfaces와 public interface는 IP와 IPX traffic이 동시에 수행할 수 있게 한다. IP address는
이전의 그림에서는 보여지지 않는다.
Tunnels
스위치는 보안적인 extranet을 생성하기 위해 인터넷과 원격접속을 사용한다. PDN을 통한 원격접속은
PDN의 원격 유저의 PC에서 안전한 전송과 연결을 위해 프로토콜을 요구한다. 원격사용자에게 tunnel을 생
성하기 위해서 스위치는 IPSec, PPTP, L2TP, and L2F 과 같은 가장 인정 받는 tunneling protocol을 사
용한다.
• 일반적으로 ISP를 통해서 PDN의 POP의 연결을 설치한다.
• 인터넷에 접속된 후, 원격 사용자는 두 번째로 전화접속을 시도하고 스위치와의 연결을 구체화 한다.
연결을 설정하기 위한 전화번호대신에 2차 접속은 IP address(또는 IP가 DNS에 등록되어 있다면 그 이름)
를 사용한다.
이런 두 번째 접속 시도는 PPTP또는 IPSec tunneling protocol중에 하나를 사용할 수 있다. L2TP 혹은
L2F의 사용함으로써 형성된 tunnel은 약간씩 다르다. Tunnel은 원격 유저의 PC대신에 ISP에 위치한
네트웍 장비 중에 하나(network access server 혹은 NAS)에서 시작된다. 사용자는 특정 본사에 직접
연결을 위해 L2TP 혹은 L2F tunnel을 생성하는 ISP의 전화번호로 전화를 한다. 이것은 전형적인
회사에서가 아니라 ISP에서 관리하는 모뎀을 사용하는 것을 제외하고는 원격 전화 서비스와 비슷하다.
그림 10은 원격 사용자와 PDN에서의 ISP와 switch(CES) 사이의 연결을 보여준다.
-10-
제 1 장. 개요
LAN
POP
Firewall
Router
POP
PDN
POP
Nortel Extranet
Switch
Private LAN
Public WAN
PDN에서의
원격 사용자
Figure 10. PDN 터널과 switch에서의 원격 사용자
IPSec
IPSec tunneling protocol은 노텔 Networks와 다른 제3의 vendor를 통해 지원된다. IPSec은 강력한 수준
의 암호화(DES and Triple DES), 완벽한 방어(MD5 and SHA), SecurID and AXENT로부터 token code를
제공하는 표준을 만든다. IPSec은 다음과 같은 기능을 제공한다.
• ISP의 특정 서비스의 제공 없이도 Client support는 노텔 Networks와 다른 회사들을 통해서 가능하다.
• 암호화와 packet당 인증을 통해 IP address의 해석을 지원한다.
• 강력한 암호화와 토큰 코드를 지원한다.
노텔 Networks는 스위치와 동봉되어 있는 CD상의 IPSec remote access user client software를 제공한다.
원격 사용자를 위해 네트웍 서버상의 client software를 다운로드 받을 수 있게 할 수 있다. Client software
는 최근에 출시된 Windows 95, Windows 98, Windows 2000, Windows NT ® workstation, and Windows
NT server를 사용할 수 있는 Windows ® application이다. 이 software는 완벽한 online help를 제공한다.
노텔 Networks는 수출의 제한을 두기 위해 두 가지 버전의 IPSec client을 제공한다. 표준 version 은
DES(56-bit key) 암호화를 지원하고 진보된 version 은 Triple DES (3DES, 168-bit key)를 지원한다. DES
and Triple DES에 대한 자동 압축 해제 설치가 CD에 포함되어 있다. 설치는 간단하다. 자동 압축 해제
설치는 스위치에 IPSec tunnels을 생성하기위해 필요한 모든 것이 들어있다. 좀더 자세한 정보를 원하면
client 설치의 부분으로 포함된 readme 지침을 참조한다.
PPTP
PPTP 는 Nortel Networks, Microsoft ® , 그리고 다른 vendor들을 통해서 제공된다. Microsoft PPTP
client는 Windows 95, Windows NT Workstation (Version 4.0), and Windows NT Server ( Version 3.51
은 제외)에서 사용할 수 있다. The Microsoft PPTP client는 Windows 98 software에 포함되어 있다.
Network TeleSystems(www.nts.com)은 Windows 3.1과 Macintosh operating systems을 지원하는
tunneling product를 제공한다. Microsoft로부터 직접 Windows 95의 PPTP client 업그레이드를 할 수
있다. 설치 설명서도 www.microsoft.com 사이트에서 얻을 수 있다.
PPTP client는 Contivity VPN Switch CD에 있고 Windows NT 운영 시스템에서 사용된다. PPTP는 다음과
같은 특징을 제공한다.
• 특별한 ISP 서비스의 요구 없이도 client를 연결할 수 있다.
• PPTP client는 가장 일반적인 운영 체제에 사용된다.
• PPTP는 암호화를 사용한 IP 주소 이동, IPX tunneling의 지원과 RC4암호화(미국 법 규정내의 의한56,
128비트)를 지원한다.
-11-
제 1 장. 개요
L2TP
Layer 2 Tunneling Protocol은 Nortel Networks, Cisco Systems, Microsoft, and other vendors에서 제공
한다. L2TP는 L2F와 PPTP tunneling protocols에 가장 적합하다. L2TP tunneling은 public Internet을
통해 네트웍에 보안상의 원격접속을 가능하게 한다. L2TP tunnel들은 보통 스위치와 ISP의 NAS사이에서
형성된다. L2TP는 MS-CHAP, CHAP를 특정하고 PAP 인증과 압축 그리고 tunnel을 통하여 DNS and
WINS servers를 할당해준다.
L2TP traffic에 보안을 제공하는 IPSec transport mode를 지원할 수 있다. 원격 접속 traffic과 지사의
tunnel traffic 모두를 위한 IPSec transport-protected L2TP tunneling을 사용할 수 있다. Windows
2000은 L2TP/IPSec이나 IPSec tunnel mode를 사용한 지사로서의 연결처럼 작동할 수 있다. 또한
Windows 2000은 L2TP/IPSec을 사용하는 client 처럼 동작할 수도 있다. L2TP/IPSEC tunnels에 대한
인증은 shared secret과 디지털 인증일 수 있다. L2TP/IPSec 원격 접속 연결을 자발적이고 강제적인 설정
지원을 제공한다.
IPSec 상의 L2TP의 지사 지원
Client 대 gateway 그리고 gateway 대 gateway대해서 Microsoft Windows 2000 L2TP/IPSec 연결 해제를
지원하려면, version 3.01은 IPSec transport mode를 지원해야 하고 이것을 사용하기 위해서는 L2TP
traffic에 대한 보안을 제공하여야 한다 .
L2F
L2F (Layer 2 Forwarding) tunneling protocol은 Nortel Networks, Cisco, Shiva, 그리고 다른 회사들에
의해서 지원된다. L2F tunneling은 public internet을 통하여 본사의 네트웍에 원격 접속을 가능하게 해준다.
L2F tunnels은 보통 ISP의 네트웍 억세스 서버와 스위치사이에서 설치된다.
Windows 95와 Windows 98에서 제공하는 전화접속 네트워킹과 같은 PPP dialer software를 제외하고
L2F는 직접적인 client software를 요구하지는 않는다. L2F tunnel은 실제적으로는 ISP에서 사용자측의
본사 스위치에 만들어진다. 이런 연결은 전화접속 사용자이름과 연관된 도메인에 의존한다. 그러므로 ISP
들은 L2F에 기반의 서비스를 제공하여야 한다. 현재 L2F는 제한된 기반에서만 사용 가능하다. L2F는 암호
화를 사용한 IP 주소 translation과 암호화를 수행하지는 않는 IPX tunneling 지원을 제공한다. L2F는 다음
의 특징을 가지고 있다.
• L2F는 특정된 ISP 서비스를 요구한다.
• Client측에서는 특별한 software를 요구하지는 않는다.
• 데이터 암호화는 하지 않는다.
지사 연결
지사의 특징은 두개의 사설 네트웍사이에 보안 tunnel의 연결을 설정한다는 것이다. 일반적으로 다른
하나의 사설 네트워크가 원격 스위치의 뒤에 있는 반면에 지역적으로 설정된 스위치의 뒤에 하나의 사설
네트웍이 존재한다. 지사의 설정은 각각의 스위치 뒤에서 접근 가능한 서브네트웍을 설정할 수 있게 해준다.
그 설정은 또한 연결을 설정하는데 필요한 스위치의 IP 주소, 암호화 방식, 그리고 인증방법과 같은 정보를
포함하고 있다. 지역 정책의 제한 예를 들면 접속 시간, filter sites, 우선순위의 호출등과 같은 것들은 지역
서브네트웍에 연결을 제한하는데 적용될 수 있다.
-12-
제 1 장. 개요
172.17.20.X
255.255.255.0
192.149.20.X
255.255.255.0
Triple DES
Pre-Shared Key :
bostoncleveland
172.17.21.X
255.255.255.0
192.149.21.X
255.255.255.0
Cleveland
Switch
Boston
Switch
PDN
172.19.2.30
Access Hour : 9 –5
permit only http/dns
192.168.2.3
Access Hour : 12 –3
permit all
Figure 11. 전형적인 지사의 환경 설정
NAT
NAT는 외부 네트웍에 알려진 것과 다른 IP 주소를 사용하는 내부 네트웍에서, IP 주소를 변환하는 것이다.
일반적으로, 한 회사는 자신의 내부 네트웍 주소를 하나 또는 그 이상의 공인 IP 주소로 사상한다. 그리고
들어오는 패킷들 상의 공인 IP 주소를 다시 사설 IP 주소로 변환한다. 이렇게 함으로써 나가거나 들어오는
각 요구들은 주소 변환과정을 반드시 거쳐야 하기 때문에, 보안문제를 확실하게 하는데 도움이 되며, 또한
요구를 제한하거나 인증하고, 또 이전의 요구와 일치시키는 기회를 제공한다. NAT은 또한 회사에서 필요한
공인 IP 주소의 수를 보존하며, 회사가 외부 네트웍과의 통신에서 단 하나의 공인 IP 주소를 사용할 수 있게
한다.
NAT는 지사 연결에서 양쪽의 중복되는 주소를 가지는 문제들을 제거하고 LAN 주소들을 숨길 수 있게
해준다. Figure 12는 NAT 환경의 예이다.
NAT
10.2.3.2
NAT
192.168.34.65
Internet
137.118.1.57
10.1.1.1
NAT Table
10.2.3.3
Client
Destination
Physical Address
NAT
10.2.3.2
192.168.34.65
137.118.1.57
10.2.3.3
192.168.34.65
137.118.1.57
Figure 12. Switch의 NAT 환경 설정의 예
인증
스위치로 접속을 시도하는 원격 사용자는 네트웍에 접속하기 전에 인증을 받아야만 한다. 사용자를
확인하고 여러 가지 사용자 중심 기능을 제어하기 때문에 인증은 스위치가 제공하는 가장 중요한 기능 중
하나이다.
-13-
제 1 장. 개요
Extranet 접속은 초반에는 존재하는 원격 접속 시스템을 사용하려는 경향이 있기 때문에 스위치는
전형적인 원격 접속에 사용되는 같은 인증 조직을 이용하기 위해 고안되었다. 외부의 데이터베이스는
사용자의 이름과 비밀번호를 중앙 저장을 사용할 수 있으므로 운영이 쉽다. 이런 데이터베이스는 LDAP
혹은 RADIUS와 같은 중계 프로토콜을 통해서 접근할 수 있다.
스위치는 여러 가지 인증 서비스를 지원하고 그룹 프로파일 구조과 함께 인증 서비스들을 증대시킬 수 있다.
사용자가 네트웍으로 접속하려고 할 때 스위치는 프로파일을 암호 길이, 필터링, 품질 서비스의 속성,
그리고 사용자 측의 더 많은 것들을 결정하기 위해 특정 그룹의 속성에 대한 기준을 제시한다.
사용자와 그룹의 특정 프로파일은 개인 사용자들을 제외하도록 하는 유연성을 유지하면서 사용자들에게
일반적인 속성을 함께 포함하도록 한다. 사용자에게 적용되는 이런 특징과 네트웍 접근은 소스 IP 주소
또는 다른 메커니즘외에도 사용자 확인을 제어할 수 있다. 이런 작업은 이동 사용자들과 다른 조직의
사용자들을 지원하는데 필요하고 개인적인 extranet을 만들기 위해서 필요하다.
다음은 스위치 또는 LDAP, RADIUS에 의해서 현재 지원되는 인증서비스의 세부 사항이다.
LDAP
LDAP(Lightweight Directory Access Protocol)는 X.500 디렉터리 서비스로부터 나온다. LDAP는 인터넷의
디렉터리 모델로서 빠르게 수용한다. Microsoft, Netscape, 그리고 Novell은 모두 디렉터리 서비스 전략의
LDAP를 지원한다. LDAP는 디렉터리 등록을 기반으로 표준 속성을 정의하고 다른 속성들도 포함하도록
확장할 수 있는 Internet person schema를 가지고 있다. 디렉터리 서비스는 사용자의 정보를 중앙 저장소
이다. 예를 들어 스위치는 LDAP를 사용하는 다음의 요소들을 지원한다.
• Groups
• Users
• Filters
•Services
RADIUS
RADIUS(Remote Authentication Dial-In User Service)는 전화접속 연결속성을 입증하는 인증서버를
확인하고 연결을 인증하는 분산 보안 시스템이다. RADIUS는 주로 원격 접속 인증에 사용된다. 많은 보안
시스템들은 원격 접근 인증을 이용하기 위해서 전,후방에 RADIUS로 설정될 수 있다. RADIUS는 또한
ISP에 의해서 사용되는 가장 일반적인 인증 메커니즘이다. Novell NDS, Microsoft Windows NT Domains,
Security Dynamics ACE Server, 그리고 AXENT OmniGuard Defender들 모두는 RADIUS 인증을 지원한다.
Windows NT Domain 인증은 NT 파일 서버들과 NT 네트웍상의 자원들을 제어하는데 사용된다. 이것은
사용자들이 항상 그들의 파일 서버의 패스워드를 기억함으로써 사용자 패스워드를 저장하는데 편리한
장소이다. 곧 많은 조직들이 인증 메커니즘으로써 X.509 디지털 인증을 사용할 것이다.
SSL과 digital 인증서
SSL(Secure Socket Layer Protocol)은 보안을 확립하고 SSL client들과 서버들 사이에 인증된 연결을 할
때 디지털 인증서를 사용할 수 있다.
스위치는 SSL이 가능한 LDAP서버에서 그 서버를 인증하기 위해 디지털 인증을 보내는데 사용한다. 디지털
인증이 성공하기 위해서는 LDAP서버를 인증하는 권한을 부여할 수 있는 곳으로부터의 허가가 스위치의
인증 장소로 들어가야만 한다. 이런 형태의 인증에 있어서 종종 CA(Certification Authority) Root
certificate이 언급된다.
하나의 CA Root certificate는 당신 주변의 인증 구조의 조직에 따라 다중의 LDAP 서버들의 인증을
증명하는 데 사용될 수 있다.
-14-
제 1 장. 개요
Tunnel 인증서
X.509를 IPSec을 기반으로 하는 tunnel 연결을 인증하기 위해 사용한다. 스위치는 IPSec ISAKMP key관리
프로토콜에서 RSA 디지털 서명 인증을 지원한다. 원격 사용자는 공개 key 쌍과 신뢰성 있는 인증서를
사용하면서 그들 스스로 스위치에게 인증할 수 있다. 이와 더불어, 스위치는 그 자신의 key pair와
사용자들에게 스위치를 인증하기 위해 인증서를 사용한다.
스위치는 현재 Entrust 제품군(Server: Entrust PKI 4.0 -Web Connector, VPN Connector, 그리고 Entrust
Authority; Client: EntrustEntelligence 4.0)을 지원한다. 다른 참고들은 일반적으로 인증을 인증서로
증명하는데 관련이 있다.
Tunnel 연결에서 인증서의 사용은 원격 사용자들과 스위치 서버들에게 인증서를 발행하고 관리하기 위한
PKI(Public Key Infrastructure)의 생성을 요구한다. 스위치 소프트웨어는 Entrust PKI, Web Connector,
VPN Connector, and Entrust client software PKI components를 지원한다. Entrust software는
사용자들과 스위치들의 보증을 중요시한다.
암호화
일단 tunnel을 형성하고 인증을 권한을 부여 받은 사용자들을 가지고 있다면, 암호화를 사용하여 데이터를
보호하고 싶을 것이다. 암호화는 인터넷과 같은 public 매체를 지나는 동안 사설화 된 상태로 데이터의
전송 상태를 보존하고 싶을 것이다. 암호화의 길이는 암호화 방법과 사용되는 암호와 키들의 비트 길이에
따라 다양하다.
대부분의 경우, 암호화의 방법과 tunneling 기술은 서로 연관이 있다. 예를 들어, PPTP안의 PPP는 RC4암
호화(56-bit 또는 128-bit, 미국의 법률의 제한 내에서)를 포함하고 있다. IPSec은 DES와 Triple DES, 그
리고 SecurID과 AXENT에서 토큰 코드들과 같은 다양한 길이의 암호화의 다중적인 형태를 지원한다.
Nortel Networks IPSec tunneling protocol은 주기적으로 업데이트 되고 초기화되는 세션들에 대한
key들을 정의하는 ISAKMP/Oakley protocol을 지원한다.
접근 통제를 위한 Filter
진보적으로 스위치와 같은 구성품을 위치시킴에 따라 access control은 중요한 보안 메커니즘이 되었다.
특정 서버들이나 서비스들에 접근한 사용자들에 대한 완벽한 제어가 가능하길 원한다.
필터링은 특정 호스트나 서비스를 세세하게 제어하는 기술이다. 각 사용자는 그들이 접근할 수 있는
네트웍의 자원들을 기술한 그룹의 프로파일에 근거하여 특정 필터 프로파일을 가지고 있다. 필터는 다음과
같은 항목에 의해서 정의된다.
• Protocol ID
• Direction 방향
• Source, 목적지 IP 주소
• 원격지와 목적지 포트
• TCP 연결 설정
필터 프로파일은 원하는 동작을 정확히 수행하기위해 만든 규칙 목록으로 구성되어 있다. 이런 규칙들은
처음 매치가 발견될 때까지 순차적으로 테스트된다. 그러므로 규칙들의 순서는 매우 중요하다. 필터링
기술은 아무런 규칙도 적용되지 않고 패킷이 버려진 경우에 동작한다. 이것은 특별히 승인되지 않았다면
어떤 traffic도 전송되거나 받아지지 않는다는 것을 의미한다.
관리
관리는 초기와 계속 진행되는 설정, 상태와 모니터링, 그리고 문제를 나타내는 시스템 이벤트의 사전 예고
등으로 구성되어 있다. 스위치는 표준 HTML Web browsers, Java scripts, 그리고 Java applets를
사용한다.
-15-
제 1 장. 개요
설정과 모니터링 작업이 다른 개개인에 의해서 실행되기 적합하게 되어 있기 때문에 관찰만 하거나 관찰과
접근권한 설정을 하는 별도의 관리자를 둘 수도 있다.
스위치는 짧은 시간에 하나의 관리 창에서 기본 설정을 가능하게 해주는 Quick Start 설정을 가지고 있다.
이것은 몇 개의 tunnel들을 만들고 그들의 동작을 확인할 수 있게 한다. 설정의 다음 단계는 “Guided
Configuration” 이다. 이 옵션은 섹션 소개와 온라인 도움말과 함께 스위치의 전반적인 설정으로 통하게
하는 항목이다. 일단 탐색 메뉴와 서브메뉴에 익숙해지면 바로 Manage Extranet option으로 갈 수 있고
모든 관리 창을 볼 수 있다. 의미있는 온라인 도움말의 문장들은 도움말 버튼을 클릭함으로써 언제나
사용할 수 있다.
시스템 모니터링은 활성화된 섹션과 사용되고 있는 시스템 자원과 같은 시스템 상태에 대한 피드백을
제공한다.
SNMP traps
스위치는 Gets(상태 보고)를 사용하는 SNMP MIB II를 지원한다. SNMP traps은 주의가 필요하거나 문제를
일으킬 수 있는 경우에 반응하게 한다. Community 이름을 통해서 SNMP traps를 받는 management
stations을 정할 수 있다. 스위치는 HP Open View, IBM NetView 6000, Cabletron Spectrum, 그리고 Sun
Net Manager를 포함하는 SNMP management stations들을 모두 지원한다.
스위치는 SNMP trap을 알릴 수 있는 다양한 시스템의 조합을 위해서 SNMP 경고 스크립팅을 가능하게
한다. 트랩이 발생하였을 경우 표준 운용 스테이션의 노텔 네트웍 아이콘이 일반적으로는 그 문제가 있는
곳을 가리키며 빨간색으로 변한다. 운영자가 아이콘을 더블 클릭하면 Nortel Networks management
interface를 보여준다.
품질 서비스(Quality of Service)
많은 client들이 스위치로 접속하고 그 스위치가 완전히 설정되어 있을 경우 성능과 풀질 서비스는 중요해
진다. 스위치는 두 가지 내부의 QoS 기술을 지원하고 또한 발전된 성능을 나타내는 외부 네트웍에 가담할
수도 있다. 전송 우선순위는 우선화된 traffic에 대해서 가능하고 호출 승인 우선순위는 높은 순위의
사용자들에 대한 연결을 유지할 수 있게 한다. 게다가 RSVP(Resource ReSerVation Protocol)를 사용하는
외부 QoS는 특정 연결을 위한 네트웍 대역폭의 할당을 예약하기 위하여 public 네트웍에 신호를 보낸다.
차별화된 서비스(Differentiated Services)
DiffServ 설정은 경로에 따라 각각의 노드에서 특정된 홉당 전송 동작을 받아들이는 패킷들을 표시하고
분류한다. 현명한 구분화, 표시, 정책과 동작을 만드는 것은 네트웍의 경계나 호스트에서 이루어진다.
네트웍 자원들은 traffic이 어떻게 표시되고 차별화된 서비스가 가능한 네트웍의 상태에 의해서 traffic
흐름에 할당된다.
인식되지 못한 DSCP들은 BE(Best Effort)같은 기본 반응으로 표시되어 전송된다.
대역폭 관리
대역폭 관리 능력들은 예상 가능한 적절한 수준의 서비스를 가지는 터널화된 세션을 보장하기 위해 스위치
CPU와 interface 대역폭을 관리할 수 있게 한다. 대역폭 관리는 사용자, 지사, 그리고 interface-routed
traffic에 대한 스위치의 자원들을 설정하도록 해준다. 대역폭의 구성 요소들은 통로를 유지하고 물리적
인터페이스들과 터널들에 사용되고 있는 대역폭의 수준을 통제한다.
대역폭 관리는 터널들의 속도를 따르도록 터널에 초점을 두며 “rate”(commit과 excess)와 “excess action”
(mark 혹은 drop)의 두 가지 기능이 있다. 패킷들은 낮은 탈락 우선권을 가지고 있는 “committed rate”,
높은 탈락 우선권을 가지고 있는 “committed rate”와 “excess rate”, 그리고 높은 탈락 우선권을 가지고
있는 “excess rate”에 따라서 서로 다른 탈락 우선권이 주어진다. 스위치에서 혼잡이 발생할 때, 탈락 우선
순위에 따라서 패킷들이 탈락한다. “excess action”이 “drop”으로 설정되어 있을 경우, “excess action”
상의 모든 패킷들은 탈락된다.
-16-
제 1 장. 개요
전송 우선권
전송 우선권에 대한 품질 서비스는 네 개의 우선 클래스들 중 하나를 각 사용자들에게 할당하도록 한다.
각각의 클래스는 스위치의 인터페이스 사이에서 서로 다른 최대 전송 시간을 보장 받는다. 예를 들면
회사의 CEO가 발생한 우선순위가 높은 traffic은 우선순위가 낮은 사용자가 발생한 high-bandwidth traffic
으로부터 보호를 받는다. 또는 특히 분기 말에 폭주하는 주문을 무리 없이 할 수 있도록 그 기간에만
영업팀에게 우선순위를 1로 할당 할 수 있다.
전송 우선순위를 지원하는 기술은 RED(weighted fair queuing with random early detection)라고 부른다.
이런 대기 기술은 1-high 부터 4-low 까지의 4가지 사용자 클래스들 각각에 패킷 전송 프로세스에서 받은
서비스 시간의 양에 있어서 다른 비중을 준다. 그러나 각 클래스는 스위치를 통해서 트래픽이 완전히
발생하지 않을 정도의 서비스 수준이 보장된다. 특히 혼잡한 시간에 시용자들에게 적합한 서비스와 성능을
확실하게 해주는 네 가지의 다른 클래스 레벨을 할당하는 것은 중요하다. QoS는 단지 모든 연결 라인들이
요구하는 스피드로 전송 요청을 서비스 할 수 있을 때 효과적이다.
그룹의 프로파일이 전송 우선순위 1이라면 가능한 가장 높은 bandwidth와 가장 낮은 수준의 대기시간을
가진다. 이런 그룹에서 보내진 패킷들은 설령 스위치의 트래픽이 혼잡하다 하더라도 즉시 전송된다. 반대로
그룹의 프로파일이 전송 우선순위 4라면 최소한의 bandwidth가 할당되고 가능한 가장 높은 수준의
대기시간을 갖는다. 그러므로 이런 그룹이 보내는 패킷들은 스위치의 traffic이 혼잡할 경우에는 높은 우선
순위의 패킷들이 있기 때문에 거의 보내지지 않는다.
전송 우선순위가 어떻게 동작하는가를 이해하기 위해서 표4에서의 예는 혼잡한 트래픽과 패킷들의 대기를
가정한다. 그러므로 패킷들은 표에 나타나 있는 “pass”당 대략적인 비율에 따라 전송된다.
Priority 1
Priority 2
Priority 3
Priority 4
≈60% pass
a
a
a
25% pass
10% pass
5% pass
Table 4. 우선권 수준 당 대역폭 할당
가상적인 pass에서 전송된 전체 패킷들 중에 60퍼센트는 우선순위 1대기에서 나온 것이고 25퍼센트는 우
선순위 2 대기에서 그리고 10퍼센트는 우선순위 3 대기에서 그리고 5퍼센트는 우선순위 4 대기로
통과된다.
Call 승인 우선권
Call 승인 우선권 품질 서비스는 각 사용자 그룹 프로파일이 승인요청에 대해서 1-high부터 4-low까지의
4개의 우선순위 클래스 중에 하나를 할당할 수 있게 한다. 스위치는 많은 수의 낮은 권한의 사용자가 높은
권한의 사용자를 막을 수 없도록 보장을 하도록 각 클래스의 사용자에게 접속에 대한 예약을 할 수 있다.
스위치가 낮은 권한의 세션의 최대치를 서비스하고 있다면, 더 이상 낮은 권한의 연결은 수용되지 않을
것이다. 일단 연결이 받아들여지면 결코 탈락되지 않는다.
스위치에서 지원하는 최대치의 세션이 있기 때문에 적당한 Call 승인 우선권 클래스를 사용자에게
할당하는 것이 중요하다. 이것은 이용이 많을 경우 적절한 사용자들에게의 연결을 확실하게 한다. 다른
호출자들이 스위치로의 접근이 허용된다 하더라도 이 접근은 그들의 그룹의 수준에 부여된 권한에
비례한다.
임의적으로 어떠한 call이라도 할당된 Call 승인 우선권에 관계없이 처음 50퍼센트에 대한 접속이 허용된다.
다음 25%의 호출은 단지 우선순위 1,2,3호출자에게만 접근이 보장된다. 다음 15%의 호출은 우선순위 1,2
호출자들에게만 접근이 보장된다. 마지막 10%의 호출은 우선순위 1의 호출자들에게만 접근이 보장된다.
예를 들어 가상적으로 2000세션이 있다면 table 5는 전체 용량의 백분율을 기반으로 각 우선순위에
허용되는 연결을 보여준다. 그리고 Table 6은 각 우선권에 대해 연결 가능한 최대 수를 보여준다.
-17-
제 1 장. 개요
Capacity
Priority
가능한 연결
Priority
가능한 연결
0 to 50%
All
1000
1
2000
51 to 75%
1, 2, 3
500
2
1800
76 to 90%
1, 2
300
3
1500
91 to 100%
1
200
4
1000
Table 5. Call 승인 우선권
Table 6. 우선권 당 최대 연결
RSVP
스위치는 인터넷에서 RSVP(Resource ReSerVation Protocol) 품질 서비스를 제공한다. 성공적인 extranet
네트웍 수준의 품질 서비스는 사용자와 사설 네트웍이나 궁극적인 목적지 호스트의 접근 포인트 사이의
네트웍에서 모든 장치들의 상호 협력을 요구한다. 현재 RSVP는 자원 예약을 위해 가장 잘 정의된 기술이다.
그러나 몇몇 서비스 제공자들만 RSVP 서비스를 제공한다.
스위치는 어떤 네트웍 백본에서 사용되거나 향후 증대될 RSVP signaling에 참여할 준비가 되어있다.
스위치는 Public 네트웍상의 다른 장치들에게 신호를 보내고 적절한 성능을 보장하기 위해서 필요한
대역폭의 수준을 나타낸다. 이러한 대역폭의 양은 사용자가 인터넷에 대해 가지고 있는 “data rate”와
인터넷과 스위치 사이의 링크의 “data rate”에 의해서 결정된다. 이런 RSVP의 시작지점은 기술의 발달에
힘입어 시간이 확장될 것이다. 한편 스위치가 이런 환경에서 얻은 경험을 사용하여 RSVP 네트웍을 만들 수
있다.
RSVP의 두 가지 중요 구성요소는 다음과 같다.
• 호스트 시스템이나 사용되어야만 하는 대역폭의 특정 양을 가지는 스위치에 의해 지속적인 발표를 하는
PATH messages가 있다.
• 요구되는 대역폭을 예약하길 원하는 고객으로부터의 응답을 하는 RESV messages가 있다.
만약 client가 RESV messages를 가지고 있는 PATH messages에 응답하면 RSVP가 준비된 라우터들은
자원에 대한 예약을 시도할 것이다. 이런 라우터들은 RSVP와 호환성이 높다면 실제적으로는 요구된
자원을 예약한다.
Accounting
Accounting은 스위치의 마지막 구성요소이다. 상세한 로그는 아래의 항목들을 포함해서 스위치에 의해
수행되는 다양한 활동을 기록한다.
• 각 사용자 세션에 전송된 시간과 데이터 전송량
• 보안 위반과 인증 실패
• 누가 장비의 설정을 변경했고 언제 했는지의 추적
• System events
이런 log는 관리 인터페이스에서 직접적으로 이용하고 그런 것들은 추가적인 processing을 위한 다른
응용프로그램으로 전송할 수 있다.
스위치는 내부 저장과 외부에 저장 백업을 지원한다. 자동 백업과 logs의 기록은 그 logs가 사용할 수
있는지 확인해 준다.
예방적인 유지 보수 프로그램중에 하나로서 비정상적인 사건에 대한 다양한 log 파일을 주기적으로
검토할 수 있다. 비정상적인 사건을 조사하고 필요하다면 정책을 세우거나 설정을 변경할 수 있다.
-18-
제 1 장. 개요
로컬 설정과 LDAP file 구조
스위치에 대해서 가능한 설정들은 두 가지 장소에 저장된다.
• LDAP database
•지역 설정 파일
로컬 설정 파일 데이터는 특정 스위치에만 적용되는 반면에, LDAP database 정보는 다중의 스위치
사이에서 공유될 수 있다 . 더 상세한 것은 이 문서의 관련 섹션을 참조하라.
LDAP
LDAP database는 여러 대의 스위치가 지원하도록 설계되었다. LDAP database 는 다음을 포함한다.
• Profiles
• Groups
•Users
• Remote user access
• Filters
• Hours
• Tunnel authentication configuration for IPSec, PPTP, L2TP, L2F 터널 인증설정
• RADIUS authentication server
• RADIUS accounting
• DHCP나 내부 address pool의 원격 사용자 IP 획득
Configuration file
노텔 네트웍스 환경 설정 파일에 저장되어 있는 로컬 정보는 다음을 포함하는 하나의 스위치에 독점적이다.
• System identity
• Management IP address
• DNS host name
• DNS domain name
• Primary, secondary, and tertiary DNS servers
• Administrator ID and password
• LAN interfaces
• IP address
• Subnet mask
• Default gateway
• Type
• Description
• WAN interfaces
• Description
• Remote IP address handling, either negotiated or specified
• Internal, including backup and restoration directory
-19-
제 1 장. 개요
• External, including the base domain name, host name or address, port, bind domain name, and
bind password for ther servers
• User IP address pool
• Administrator tools
• Automatic backup server configurations
• Recovery data
• FTP upgrade access information
• Saved configuration files
• Complete file system
• SNMP traps, including the enabled and disabled traps, host name, community string, trap interval
• System shutdown parameters
• Other
• Alarms
Accounting과 logging
각 스위치는 자신의 accounting과 system logging을 저장한다. 이벤트 로그는 가장 최근의 2000개의
이벤트를 포함한다. 시스템 로그 파일은 보안 로그와 설정 로그로 분석된다.
로깅과 상태 정보는 다음에 저장된다.
• Event log
• System log
• Security log
• Configuration log
Command line interface
command line interface는 텔넷을 통해 스위치의 설정을 변경할 수 있다. 스위치가 운용하는 IP 주소로
텔넷 세션을 초기화함으로써 command line interface에 접근할 수 있다. 예를 들어 :
“telnet 10.0.16.247”
라고 하면, 관리자 권한의 사용자 계정을 사용해서 로그해야 한다. 예를 들어 :
Login: admin
Password: ********
%%
성공적으로 로그인하면, %%프롬프트가 나타나고 지원하는 어떠한 명령어라도 입력할 수 있다.
PPP(Serial point-to-point protocol)
PPP(Serial point-to-point protocol)의 기능은 PPP를 사용하는 원격지와 시리얼 interface로부터
스위치를 관리하는 것을 허용한다. 만약 인터넷을 통해 스위치에 접근할 수 없다면, 시리얼 interface
메뉴를 통해서 조작 가능하다.
이런 기능들로 시리얼 interface는 상당히 사설 WAN interface처럼 되어있고 이를 통해서 관리를 하거나
터널을 만들 수 있다. Serial PPP를 설정할 때, 스위치가 자동감지로 감지하거나, 시리얼 포트를 통해
사용 가능한 옵션이 있는 PPP나 Serial menu를 구체화 할 수도 있다.
-20-
제 1 장. 개요
FIPS
버전 2.60부터 Contivity VPN Switch 소프트웨어는 FIPS(Federal Information Processing Standard)
140-1 level2에 맞게 고안되었다. 이번 섹션에서는 다른 언급이 없으면 FIPS라는 용어는 FIPS 140-1
level 2를 언급한다. 이 릴리즈 노트는 Contivity VPN Switch의 hardware와 software 버젼의 인증 상태와
관련된 조금 더 구체적인 정보를 가지고 있다.
FIPS 140-1 level 2는 하드웨어나 소프트웨어에 적용할 때, 상당한 정보의 암호화를 수행하는 미국
연방정부의 표준이다. FIPS는 암호화하는 제품을 설계하고 구현하는데 요구사항들을 구체화한다. FIPS에
동의하는 것은 FIPS 140-1에 호환성에 대한 인증을 받으려 하는 회사에게 광범위한 인증법과 공식적인 인
증을 포함한다.
FIPS 140-1 certification
FIPS 140-1이 유효하다는 것은 다음을 의미한다.
• 노텔 네트웍사는 관련 설계 문서, 소스 코드, 그리고 NVLAP(National Voluntary Laboratory Accreditation
Program)에서 실행할 수 있는 제품을 제출했다.
• 연구소는 DTR(Derived Test Requirements)에 기술된 시험을 수행했다.
• 연구소는 FIPS 140-1이 요구사항에 맞는 PASS 혹은 N/A를 가리키는 NIST(National Institute of
Standards and Technology)에 시험보고서를 제출했다.
• NIST는 그런 요구사항에 맞는 장비의 호환성에 대한 공식적인 인증서를 Nortel Networks에 발포했다
FIPS kit
별도로 사용할 수 있는 FIPS kit은 설정, 운영, 그리고 FIPS를 수용하는 Contivity VPN Switch 4500를 설정
하는데 관련된 자세한 문서를 가지고 있다. FIPS compliant를 구매하기 위해서는 FIPS kit를 구매해서
설치해야 한다. FIPS kit은 또한 그 문서에서 가리키는 하드웨어에 장착할 tamper-resistant labels을
포함한다. 사용 가능한 kit의 정보는 릴리즈 노트를 참고하면 된다.
FIPS certification mode
활성화된 FIPS mode는 Contivity VPN Switch FIPS 140-1 level 2에 맞출 수 있게 도와줄 것이다. 이
매뉴얼에서 FIPS 정보는 단지 하드웨어 플랫폼과 소프트웨어 버전을 구체화하는 데만 적용한다. 현재
hardware와 software의 최신 FIPS 인증관련 문서를 보기위해서는 릴리즈 노트를 참조하면 된다.
-21-