RSTP(Rapid Spanning Tree Protocol) IEEE 802.1w

RSTP는 네트워크 토폴로지가 변화할 때, STP가 30초 또는 50초정도 걸리는 스패닝 트리의 컨버전스 타입(수렴 시간)을 빠르게 하기 위해 설계되었다. RSTP는 대체(Aternative) 포트와 백업(Backup) 포트의 역할을 추가하고 폐기(discarding), 학습(Learning), 전송(Forwarding)으로 포트 상태를 정의한다.

RSTP가 루트 브리치를 선택하고, 루트 포트와 지정 포트를 결정하는 방식은 STP와 동일하다. 즉 BID가 낮은 스위치가 루트 브리치가 되고, 포트 역할을 결정할 때 BPDU내의 루트 브리지 BID, 경로 비용(path cost), 브리지의 BID, 포트 ID를 차례로 비교하여 가장 낮은 값을 갖는 포트가 루트(root) 포트와 지정(designated) 포트로 선택된다.

RSTP 링크의 종류

• 에지 방식(Edge)
• 점대점 방식(Point-to-point)
• 링크 공유 방식(Shared Link)

그림1. RSTP 포트의 종류

① 에지 링크(edge link)는 PC나 서버 등 BPDU를 발생시키지 않는 종단 장치(end system)가 접속된 포트를 말한다. 카탈리스크 스위치에서는 포트 패스트(portfast)를 설정해야만 에지 링크로 동작한다. 해당 포트에 포트 패스트를 설정하지 않을 경우 종단 장치의 동작 상태에 따라 공유(shared)나 점대점(point-to-point)로 동작한다.

② 포트 패스트가 설정되지 않은 포트에 연결된 PC는 공유 링크로 동작한다.

② 점대점 링크(point-to-point link)는 전이중 방식(full duplex)으로 동작하는 링크이다.

③ STP로 동작하면서 전이중 링크는 점대점 피어(point-to-point peer)로 동작한다.

④ RSTP로 동작하는 스위치는 점대점 링크로 동작한다.

⑤ 공유 링크(shared link)는 반이중 방식(half duplex)로 동작하는 링크이다. 만약 RSTP가 동작하는 스위치가 반이중 방식으로 설정되어 있다면 공유 링크라도 spanning-tree link-type 명령을 사용하여 점대점 링크로 바꿀 수 있다. 이는 RSTP가 에지 링크나 점대점 링크에서만 수렴시간을 줄이기 때문에 스위치와 스위치 사이에 허브가 연결되어 있을 경우 유용하게 사용할 수 있다. 하지만 최근의 네트워크에서는 허브를 사용하지 않기 때문에 실제로 문제가 되지 않는다.

Switch3# configure terminal
Switch3(config)# spanning-tree mode papid-pvst

Switch2# cofigure terminal
Switch2(config)# spanning-tree mode rapid-pvst
Switch2(config)# interface fastethernet 0/1
Switch2(config-if)# spanning-tree portpast
Switch2(config-if)# ^Z
Switch2# show spanning-tree vlan 1

Switch#show spanning-tree interface fastEthernet 0/1 portfast
VLAN0001 enabled
Switch2#show spanning-tree vlan 1
VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority 32769
             Address 0004.9ADA.34D9
             This bridge is the root
             Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

  Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
             Address 0004.9ADA.34D9
             Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
             Aging Time 20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- ----------------------------
Fa0/1            Desg FWD 19        128.1    Edge Shr
Fa0/2            Desg FWD 19        128.2    Shr
Fa0/3            Desg FWD 19        128.3    P2p Peer(STP)
Fa0/4            Desg FWD 19        128.4    Shr
Fa0/5            Desg FWD 19        128.5    P2p

Switch2#

그림2. RSTP 포트 종류 실습

※ Cisco Packet Tracer 5.1로 테스트해본 결과 위의 결과와는 다른 출력을 보여주는데, 포트 타입은 STP 형식으로 출력되며 포트 패스트가 지정된 포트도 P2p로 표시됩니다. 시뮬의 한계인가 봅니다.^^; 기회가 되는대로 dynamips에서도 테스트해서 올리도록 하겠습니다.

Switch#show spanning-tree interface fastEthernet 0/1 portfast
VLAN0001 enabled
Switch2#show spanning-tree vlan 1
VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority 32769
             Address 0004.9ADA.34D9
             This bridge is the root
             Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

  Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
             Address 0004.9ADA.34D9
             Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
             Aging Time 20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- ----------------------------
Fa0/1            Desg FWD 19        128.1    P2p
Fa0/2            Desg FWD 19        128.2    P2p
Fa0/3            Desg FWD 19        128.3    P2p
Fa0/4            Desg FWD 19        128.4    Shr
Fa0/5            Desg FWD 19        128.5    P2p

Switch2#

RSTP의 포트 상태

RSTP는 포트의 상태를 차단(discarding), 학습(learning), 전송(forwarding) 상태로 구분한다. 데이터 프레임의 스위칭은 전송 상태에서 가능해진다.

(*) STP는 청취 상태부터 BPDU 송신 가능.

RSTP의 포트 역할

RSTP의 포트 역할은 루트 포트(RP; Root Port), 지정 포트(DP; Designated Port), 대체 포트(AP; Alternate Port), 백업 포트(BP; Backup Port), 비활성 포트(Disabled Port)로 구분한다.

RSTP 컨버전스(수렴)

그림3. RSTP 포트 역할

그림4. RSTP 포트 역할 실습

참고자료

Easy & Complete LAN 스위칭

Cisco Networking Academy Program CCNA 3 and 4 Companion Guide

CCNA ICND2 Official Exam Ceritification Guide

STP(Spanning Tree Protocol) IEEE 802.1d

토폴로지 이중화

대체 토폴로지

스위치간 이중 경로를 구성하여 네트워크 장애가 발생하였을 경우 대체 경로를 이용하여 네트워크 장애를 대비하는 것이다.

대체 스위치드 토폴로지

여분의 스위치로 이중 경로를 구성하여 스위치 고장에 의한 네트워크 장애를 대비하는 것이다.

브로트캐스트 폭풍(Broadcast Storm)

브로드캐스트와 멀티캐스트에 의해 루프를 따라 트래픽을 복사하여 스위치의 장애를 유발시켜서 네트워크가 다운되거나 극단적으로 느려지는 현상이다.

다중 프레임 전송

유니캐스트 전송시 복수의 경로를 통해 프레임의 사본이 수신되는 현상이다.

불안정한 MAC 데이터베이스

스위치가 복수의 경로로 인해 잘못된 포트에 일치하지 않는 MAC 주소를 학습하는 현상이다.

스패닝 트리

스패닝 트리 알고리즘

1. STP는 루트 브리지를 선출한다. 루트 브리지는 가장 낮은 BID를 갖는 브리지가 된다. STP는 루트 브리지에서 사용 중인 모든 인터페이스를 지정 포트(DP; Designated Port)가 되고 전달(forward) 상태로 둔다.
2. 비 루트 브리지를 대상으로 루트 포트(RP; Root Port)가 된다. 루트 포트는 각 브리지와 루트 브리지 사이에 최소 관리 비용이 부여된 인터페이스이며 전달 상태로 둔다.
3. 이더넷 세그먼트 당 하나의 지정 포트가 되며, 지정 포트는 가장 작은 루트 도달 비용을 갖는 인터페이스로 브리지 사이에 전달되는 BPDU의 필드 값 중 루트 도달 비용을 보고 결정한다.
4. 루트 포트도 아니고 지정 포트도 아닌 포트는 차단(block)된다.

STP Bridge ID와 Hello BPDU

스패닝 트리 알고리즘은 가장 먼저 루트 브리지를 선출한다. 루트 브리지를 선출하기 위해 각 브리지는 8byte 길이의 브리지ID(BID; Bridge ID)를 가지며 BID는 2byte 길이의 우선 순위 필드(priority)와 6byte 길이의 시스템 ID 필드로 구성되어 있다. 우선 순위는 0 ~ 65535사이에서 4096의 배수 값을 가질 수 있으며, 기본값은 32768이다. 시스템 ID는 각 브리지의 MAC 주소를 기반으로 한다.

STP는 BPDU(Bridge Protocol Data Unit)이라는 메시지를 정의하며, 브리지는 서로 BPDU를 사용하여 정보를 교환한다. 그중 Hello BPDU는 송신 브리지의 BID와 현재 루트 브리지의 BID 등 정보를 보여준다.

경로 비용

포트의 속도별로 지정된 값을 말한다.

포트 ID

BPDU를 전송하는 스위치의 포트 우선순위와 포트 번호로 구성되어 있다. 포트 우선 순위의 기본값은 128이고 포트 번호가 붙어서 128.25와 같은 형식으로 표시된다.

스패닝 트리 만들기

루트 브리지 선출

브리지는 BPDU의 BID를 기반으로 루트 브리지를 선출한다. BID의 값이 가장 낮은 브리지가 루트 브리지가 된다. 대개 우선 순위 필드는 32768로 동일하며 브리지의 MAC 주소로 결정되는데 필요에 의해 우선 순위 값을 변경함으로써 루트 브리지의 선출에 영향을 줄 수 있다. 보통 스패닝 트리의 루트 브리지에 대부분의 트래픽이 전달되므로 좀 더 고성능의 스위치가 루트 브리지로 선출되록 하기 위함이다.

루트 브리치의 선출은 모든 스위치가 Hello BPDU를 보내어 가장 낮은 BID를 갖는 스위치를 루트 브리치로 선출하고 비 루트 브리치들은 루트 브리치의 BID와 루트 경로 비용, 자신의 BID를 알린다.

각 스위치의 루트 포트(RP; Root Port) 선택

각 스위치는 포트 별로 루트 스위치에 도달하기 위한 경로 비용을 계산하여 가자 낮은 비용의 포트를 루트 포트로 선택한다. 경로 비용의 계산을 위해 수신한 Hello BPDU의 Path cost에 수신한 포트의 경로 비용을 더한다.

각 LAN 세그먼트에서 지정 포트 선택(DP; Designated Port) 선택

LAN 세그먼트에서 가장 낮는 경로 비용을 Hello BPDU에 담아 광고하는 포트가 지정 포트로 선택된다. Hello BPDU에는 송신한 스위치의 경로 비용이 담겨 있으며 세그먼트 내의 스위치 포트들은 경로 비용을 서로 비교한다.

차단 포트 선택

루트 포트나 지정 포트로 선택받지 못한 나머지 포트들은 차단(Blocking) 상태가 된다.

STP 포트의 상태 변화

비활성(Disabled)

스위치가 꺼져 있거나, 관리자가 shutdown 시킨 상태.

차단 상태(Blocking)

데이터 프레임 송수신 없음. BPDU 수신. 상대측 스위치로부터 Max Age동안 BPDU를 수신하지 못하거나 상대측 스위치로부터 열등 BPDU(기존 루트 브리지의 BID보다의 BID보다 높은 루트 브리지의 BID를 포함한 BPDU)를 수신할 경우 청취 상태로 변경된다.

청취 상태(Listening)

루프 발생을 방지하기 위해 BPDU 전송. 데이터 프레임 송수신 없음. 상대측 포트로부터 전송 지연 시간(기본 15초)동안 BPDU를 수신하지 못하거나 열등 BPDU를 수신하면 학습 상태로 변경된다.

학습 상태(Learning)

데이터 프레임 송수신 없음. MAC 주소 학습 개시. 전송 지연 시간내에 상대 포트로부터 BPDU 수신 받지 못하거나 열등 BPDU를 수신하는 경우 전송 상태가 된다.

전송 상태(Forwarding)

데이터 프레임 송수신. MAC 주소 학습.

BPDU와 토폴로지 변화

BPDU는 설정(configuration) BPDU와 TCN(Topology Change Notification) BPDU 두 종류가 있다. 스위치는 설정 BPDU를 이용하여 루트 브리치를 선출하고, 스위치 포트의 역할을 지정한다. 설정 BPDU는 항상 루트 브리치가 만들며, 다른 스위치들은 이 설정 BPDU를 다음 스위치에게 중계한다. 설정 BPDU는 Hello BPDU라고도 한다. 랜 토플로지에 변화가 발생하면 이것을 감지한 스위치는 TCN BPDU를 루트 포트를 통해 인접 스위치에게 전송하고 TCN BPDU를 수신한 스위치는 Flag 필드의 값을 TCA(Topology Change Acknowledgement)로 변경하여 TCN BPDU를 송신한 스위치에게 설정 BPDU를 전송하여 TCN BPDU 수신 확인을 알린다. 그리고 역시 루트 포트로 인접 스위치에게 TCN BPDU를 전송한다. 이렇게 전송된 TCN BPDU는 최종적으로 루트 브리치에게 전송되고, 루트 브리지는 설정 BPDU의 Flag 필드를 TC(Topology Change)로 변경하여 지정 포트를 통하여 변화를 알린다. 설정 BPDU를 수신한 스위치는 자신의 MAC 주소 테이블에 있는 MAC 주소를 삭제하고 다시 지정 포트를 통하여 TC가 설정된 설정 BPDU를 전송한다. 결과적으로 변경된 토폴로지에 따라 MAC 주소 테이블이 다시 만들어지게 된다.

컨버전스(수렴) 시간 조정

일반적으로 스위치를 켜면 포트가 전송 상태가 되기까지 청취 상태와 학습 상태를 거치므로 30초가량의 수렴시간이 요구된다. 또한 복수의 경로 존재시 한 경로가 다운되면 STP에 의해 복구되기까지 차단 상태, 청취 상태, 학습 상태를 거치쳐서 전송 상태가 되므로 50초 가량의 수렴시간이 필요하게 된다. 이렇게 비교적 장시간이 요구되는 수렴 시간을 줄이기 위해 시스코에서는 포트 패스트(portfast), 업링크 패스트(uplinkfast), 백본 패스트(backbonefast)라는 기술을 제공한다. 그리고 컨버전스 시간에 영향을 미치는 Hello time, Max Age, 전송 지영 시간을 직접 조정하는 방법이 있다. IEEE 표준은 RSTP(Rapid STP)와 MSTP(Multiple STP)를 제공하여 컨버젼스 시간을 획기적으로 단축할 수 있다.

포트 패스트

PC 등과 같이 스위칭을 하지 않는 종단 장비와 연결된 포트는 스위치 부팅시 바로 전송 모드로 지정하는 방법이다. 글로벌 설정 모드에서 spanning-tree portfast default 명령을 사용하거나 인터페이스 설정 모드에서 개별 인터페이스 별로 spanning-tree portfast 명령을 사용한다.

업링크 패스트

직접 연결된 링크의 장애 발생시 차단 상태에 있는 포트를 바로 전송 상태로 변경시키는 방법이다. 글로벌 설정 모드에서 spanning-tree uplinkfast 명령을 사용한다.

백본 패스트

직전 연결되지 않는 간접 링크의 다운시 차단 상태를 Max Age(기본 20초)를 생략하고 바로 청취 상태로 변경시킨다. 모든 스위치에 대해 글로벌 설정 모드에서 spanning-tree backbonefast 명령을 사용한다.

1. 루트 브리치는 BID가 가장 낮은 Switch A이다.

2. 각 스위치의 루트 포트는 Switch B의 경우 E2  포트가 가장 낮은 경로 비용인 8(0 + 4 + 4)이므로 루트 포트가 된다. Switch C는 E0 포트가 경로 비용 4(0+4)를 가지므로 루트포트가 된다. Switch D는 E1 포트의 경로 비용이 12(0 + 4 + 4 + 4)이므로 루트 포트가 된다.

3. 다음으로 지정 포트를 구해보자. 지정 포트틑 비용이 가장 낮은 Hello BPDU를 세그먼트로 전달하는 인터페이스이다. Switch A의 모든 포트는 경로 비용이 0인 BPDU를 전송하므로 모든 포트가 지정 포트이다. Switch C와 Switch B간의 전달하는 BPDU에서 Switch C의 BDDU에 포함된 최소 비용은 4이고 Switch B의 BPDU에 포함된 최소 비용은 8이므로 Switch C의 E2가 지정포트가 된다. Switch B와 Switch D 사이에서는 Switch B의 BPDU에 최소 경로가 8(0 + 4 + 4)이고 Switch D의 최소 경로는 12(0 + 4 + 4 +4)이므로 Switch B의 E1 포트가 지정포트이다. 마지막으로 Switch C의 최소 경로가 4(0+4)이고, Switch D의 최소 경로 비용은 12(0 + 4 + 4 + 4)이므로 Switch C의 E1포트가 지정 포트이다.

4. 대체 포트는 Switch B의 E1 포트이며, Switch D의 E0 포트입니다.

시스코 IOS 명령 기초 사용법 (1)

시스코사의 대부분의 장비는 CLI(Command Line Interface)를 지원하고 있습니다. CLI는 텍스트 기반으로 명령어를 입력하여 실행하도록 하는 방식이며 장비의 동작 상태를 점검하고 여러가지 설정을 입력할 수 있도록 해줍니다. 이번 시간에는 시스코 CLI에 연결하는 방법을 알아보도록 하겠습니다.

1. 시스코 IOS CLI를 이용하기

CLI를 이용하기 위해서는 콘솔(Console), 텔넷(telnet), SSH(Secure Shell), 보조 포트을 이용한 원격접속(AUX) 방법이 있습니다.

(1) 콘솔을 이용한 연결

일반적으로 시스코 라우터나 스위치의 초기 설정시 사용하는 방법입니다. 노트북이나 컴퓨터의 시리얼 포트와 라우터나 스위치 뒷 면의 콘솔 포트를 콘솔 케이블로 연결하여 통신 프로그램을 이용한 접속을 합니다.

그림1. 콘솔 케이블

그림2. 라우터 뒷면 콘솔 포트

그림3. PC 뒷면 직렬(Serial) 포트

최근 출시된 노트북의 경우 시리얼 포트가 없는 경우가 많습니다. 이런 경우 USB to Serial 케이블을 이용하여 USB를 시리얼 포트처럼 사용할 수 있습니다.

그림4. USB to Serial 케이블

콘솔을 이용한 접속시에는 기본적인 콘솔 포트 설정 값을 지정해 주어야 합니다.

• 9600 bps
• 하드웨어 흐름제어 없음
• 8bit ASCII
• 패리티 비트 없음
• 정지 비트 1

(2) 텔넷과 SSH를 사용한 접근

스위치와 라우터에 대한 초기 설정이 끝나고 배치가 완료된 이후에는 보통 네트워크를 통하여 원격 접속을 하여 모니터링 및 추가 설정 작업을 하게 됩니다. 예전에는 일반적으로 telnet을 이용하였으나 요즘은 보안상의 이유로 SSH를 이용한 접근을 더 권장하고 있습니다.

(3) 보조포트를 사용한 접근

라우터의 경우 네트워크의 다운 등으로 인한 장애발생시 보조포트에 연결된 모뎀을 이용한 원격 접속이 가능합니다. 스위치는 AUX 포트가 존재하지 않는데, LAN 외부로부터의 접근은 라우터를 이용하여 접속하고 라우터를 경유하여 내부 LAN의 스위치로 접근하는 것이 일반적입니다. 보안상의 이유로 내부 네트워크로의 접근 창구는 단일화하도록 구성하는 것이 좋습니다.

그림5. 시스코 스위치 C2960 뒷면

그림6. 스위치와 노트북 연결

네트워크 전문가의 국제 운전면허증

네트워크 현업에서 가장 공인된 자격증은 뭐니뭐니해도 시스코 인증 시험일 것입니다. 시스코 인증 시험은 1998년 시스코의 첫 번째 기초 자격증인 CCNA(Cisco Certified Network Associate) 640-407 (CCNA 1.0)이 선보인 이래로 640-507 (CCNA 2.0 2000년), 640-607 (CCNA 3.0 2002년) 등 3차례의 개정까지는 1개의 인증 시험으로 CCNA 자격을 취득할 수 있었습니다. 하지만 나날이 발전하는 네트워크의 분야에 발맞추어 CCNA 640-801시험(CCNA 4.0 2003년)부터는 1개로 CCNA 자격을 취득하는 인증 시험과 INTRO 640-821와 ICND 640-811, 이렇게 2개의 인증 시험을 통해 CCNA 자격을 취득하는 인증 시험으로 나뉘게 됩니다. ICND는 (Interconnecting Cisco Networking Devices의 약자입니다. 그리고 다시 2007년 6월 개정안이 발표되어 CCNA 640-802와 ICND1 640-822, ICND2 640-816으로 구분되어 현재까지 시행되고 있습니다.

대부분 CCNA 취득을 위해 비용상 유리한 CCNA 640-802를 응시하고 있으며, 기출문제인 덤프(dump)를 별도로 구해서 준비를 하고 있습니다. 덤프를 이용한 합격률은 상당히 높은 편인데 기출 문제와 답이 거의 실제 시험에 맞추어 일치되기 때문인데 언뜻 이해하기 어렵지만 CCNA 시험이 통상 영어로 출제되는 것을 고려해볼 때 비영어권 응시자들을 배려하여 시스코사에서 눈을 감아주고 있는 게 아닌가 합니다. 현실적으로 40만원 가까이 하는 (2009년 현재) 응시료를 지불해야 하는 고액의 시험인 것을 생각해보면 1번에 안전하게 붙을 수 있는 덤프의 이용은 필요악이라고 생각되지만 덤프를 외워서 통과한 CCNA 자격이 실무에서 어느정도 인정을 해줄지는 의문입니다. 그렇기 때문에 역시 제대로 준비를 해서 자격을 취득해야 덤프 자격이라는 오명을 벗도록 스스로 노력을 해야겠죠. 준비만 제대로 되어 있다면 영어가 모자라 덤프라는 차선을 선택한 것이 그다지 부끄럽지는 않을 것입니다.

CCNA는 초두에 얘기한 것처럼 기초 자격증이며 CCNA 자격을 취득하므로써 시스코 인증 프로그램에 의해 전문가 수준의 상위 자격 시험을 취득할 자격이 주어집니다.

시스코의 인증 시험은 총 4단계, Entry-Level, Associate, Professional, Expert로 나누어집니다. 인증 분야는 다시 총 7개의 분야로 구분되는데, Routing & Switching, Design, Network Security, Service Provider, Strorage Networking, Voice, Wireless로 나누어 집니다.

• CCENT 인증 취득은 ICND1 640-822를 패스해야 합니다.
• CCNA 인증 취득은 ICND1 640-822 패스한 후, ICND2 640-816을 패스하는 2개 자격을 취득하는 방법과 CCNA 640-802 1개를 패스하는 2가지 방법이 있습니다.
• CCNA Security 인증 취득은 640-553 IINS(Implementing Cisco IOS Network Security)를 패스해야 합니다.
• CCNA Voice 인증 취득은 640-460 IIUC(Implementing Cisco IOS Unified Communications)에 패스해야 합니다.
• CCNA Wireless 인증 취득은 640-721 IUWNE(Implementing Cisco Unified Wireless Networking Essentials)에 패스해야 합니다.
• CCNA Security, Voice, Wireless 인증 시험을 보려면 CCNA 인증을 보유하고 있어야 합니다.

가상랜 VLAN (Vertual LAN)

VLAN의 개념

스위치의 모든 인터페이스는 동일 브로드캐스트 도메인에 포함되어 있으나 VLAN을 적용할 경우 스위치의 일부 인터페이스를 하나의 브로드캐스트 도메인으로 구성하고, 다른 인터페이스를 또다른 브로드캐스트 도메인으로 구성하여 여러 개의 브로드캐스트 도메인을 만들 수 있다. 이렇게 스위치에 의해 만들어진 브로드캐스트 도메인을 VLAN이라고 한다.

VLAN을 사용하는 일반적 이유

• 사용자를 물리적인 위치 대신 작업 그룹별로 묶는 유연한 설계를 제공한다.
• 더 작은 LAN(브로드캐스트 도메인)으로 분리해 VLAN의 각 호스트에서 일어나는 오버헤드를 줄인다.
• VLAN을 하나의 액세스 스위치로 제한함으로써 STP에 대한 작업 부담을 줄인다.
• 별도의 VLAN으로 나누어 중요한 데이터를 처리하는 호스트를 분리하여 보안을 강화한다.
• IP 전화기의 트래픽과 PC의 트래픽을 분리한다.

트렁킹

여러 대의 스위치가 서로 연결되어 있는 네트워크에서 VLAN을 사용할 때 스위치는 서로 VLAN 정보를 주고 받아야 하며, 스위치간 연결된 포트간 세크먼트를 VLAN 트렁킹(VLAN trunking)을 사용하여 해결한다. VLAN 트렁킹이 만들어지면 스위치는 VLAN 태깅(VLAN tagging)이라는 과정을 이용한다. VLAN 태깅 과정에서 스위치는 VLAN ID 필드를 이용하여 VLAN 정보를 교환한다.

ISL(Inter-Switch Link)

시스코 전용 트렁킹 프로토콜이다. 원래의 이더넷 프레임을 캡슐화하기 때문에 원래의 이더넷 프레임은 변경하지 않은 채로 그대로 남는다.

IEEE 802.1Q

IEEE에서 만든 트렁킹 프로토콜로 원래의 프레임 이더넷 헤더에 4byte의 VLAN 헤더를 추가한다. 캡슐화되는 ISL과 달리 프레임에는 원래의 출발지 및 목적지 MAC 주소가 그대로 들어있다.

Windows Server 2003 R2 설치하기

지금부터 Windows Server 2003을 설치하도록 하겠습니다. 여기서는 Windows Server 2003 R2 Enterprise Edision을 이용하여 설치를 진행하겠습니다.

윈도우 서버 2003 설치 시작

컴퓨터를 켠 후 <F2>키(메인보드마다 다름. 보통 <DEL>키를 누름)를 눌러서 BIOS Setup 화면으로 들어갑니다. 부팅순서를 첫 번째 CD-ROM 드라이브로 설정하고, 두 번째를 하드디스크로 설정합니다.

그림1. CMOS Setup

그림2. CMOS Setup

그림3. 부팅 순서 설정

그림4. 저장하고 부팅하기

Windows Server 2003 R2 Enterprise Edition은 CD 2장으로 구성되어 있습니다. 1번 CD를 넣고 부팅합니다. 하드디스크에 기존 운영체제가 설치되어 있는 경우 자동으로 하드디스크로 부팅되도록 되어 있으므로 "CD로 부팅하려면 아무키나 누르세요..." 이런 내용의 영문 메시지가 잠시 표시되면 아무키나 눌러서 CD로 부팅을 합니다. 윈도우 서버 2003 설치 화면이 나타납니다.

그림5. 윈도우 서버 2003 설치화면

윈도우 서버 2003의 설치와 복구 메뉴 표시

설치 프로그램이 시작되고 설치를 시작할지 복구를 진행할지를 물어옵니다. <Enter>키를 눌러서 설치를 진행합니다.

그림6. 설치 정보 표시

윈도우 서버 2003 라이센스 표시

Windows Server 2003과 Windows Server 2003 R2의 라이센스는 다음과 같이 약간의 차이가 있습니다. 라이센스를 읽은 뒤 <F8>키를 눌러서 동의하고 다음 단계로 진행합니다.

그림7. Windows Server 2003 라이센스

그림8. Windows Server 2003 R2 라이센스

사용 키보드 선택

현재 설치된 키보드의 종류를 선택한다. 데스크 탑 PC의 경우 대부분 103/106 키를 사용하므로 103/106키를 선택하면 됩니다. 노트북에서 설치할 경우 노트북은 자체 규격의 키보드를 사용하고 있으므로 기본값인 종류1을 선택하여 설치를 진행합니다.

그림9. 키보드 선택

윈도우 서버 2003 설치할 파티션 선택 및 포맷

처음 선택할 경우 파티션이 나눠지지 않았기 때문에 분할되지 않는 공간을 선택하여 설치를 진행하면 됩니다. 만일 이미 운영체제가 설치되어 다시 설치하는 경우에는 해당 파티션을 삭제한 뒤 설치를 진행합니다. 파티션에 대한 내용은 다음 장에서 별도로 다룹니다.

그림10. 설치할 파티션 선택

Windows Server 2003의 보안 설정을 이용하기 위해서는 반드시 선택한 파티션을 NTFS로 포맷합니다. 오래 사용한 하드디스크의 경우 일반 포맷을 하여야 하며, 새로 구입한 하드디스크의 경우 빠른 포맷을 이용하여 포맷을 진행해도 무방합니다.

그림11. NTFS 포맷

그림12. 포맷

CD로부터 설치 프로그램이 하드디스크로 복사된 후 재부팅 됩니다. 그리고 윈도우 모드에서 설치가 진행됩니다.

그림13. 설치 파일 복사

그림14. 재부팅

그림15. 재부팅

그림16. 윈도우 모드에서 설치 진행

국가 및 언어 선택

Windows Server 2003은 다국어를 지원하는 시스템이므로 사용 국가 및 언어를 선택하여야 합니다. 현재 대한민국이 선택되어 있으므로 설치를 계속 진행합니다.

그림17. 국가 및 언어 옵션

사용자 정보 입력

사용자 이름과 소속기관명을 입력합니다.

그림18. 사용자 정보 입력

서버 라이센스 키 입력

윈도우 설치 CD에 동봉된 서버 라이센스 키를 입력합니다.

그림19. Windows Server 2003 제품 키 입력

클라이언트 라이센스 모드 선택

Window Server 2003은 서버 라이센스와 클라이언트 라이센스가 필요합니다. 서버 라이센스는 서버 운영체제 Copy당 1개씩 필요하며, 클라이언트 라이센스는 서버에 접속할 클라이언트의 대수만큼 필요합니다. 클라이언트 라이센스 모드의 자세한 설명은 다음 장에서 설명합니다. 구매한 라이센스 개수를 선택하고 다음 단계로 진행합니다.

그림20. 클라이언트 라이센트 모드 선택

컴퓨터 이름과 관리자 계정 암호 설정

네트워크 상에서 사용될 컴퓨터의 이름과 Administrator 계정의 암호를 지정합니다.

그림21. 컴퓨터 이름과 Administrator 암호 설정

날짜 및 시간 설정

날짜와 시간을 설정합니다.

그림22. 날짜와 시간 설정

네트워킹 설정

TCP/IP 네트워크 환경을 설정합니다. 일반 설정을 선택하여 진행한 후에 윈도우 설치가 완료된 후에 각자 환경에 맞추어 설정합니다. 네트워크 환경 설정도 다음 장에서 별도로 다룹니다.

그림23. 네트워킹 설정

작업 그룹 또는 도메인 설정

컴퓨터 작업 그룹과 도메인도 별도로 다룹니다. 기본값을 선택하고 진행합니다.

그림24. 작업 그룹 또는 도메인 설정

설치 및 최초 로그인

나머지 설치 과정이 진행되고 재부팅후 최초 로그인 화면이 뜹니다. 설치시 입력한 Administrator 암호를 입력하여 로그인 합니다.

그림25. 재부팅

그림26. 최초 로그인

그림27. 최초 로그인

Window Server 2003의 설치는 여기에서 완료됩니다. Windows Server 2003 R2의 경우 최초 로그인후 추가 작업이 진행됩니다.

Windows Server 2003 R2 설치 추가 작업(Windows Server 2003에서는 진행 안됨)

Window Server 2003 R2 설치 마법사가 실행됩니다.

그림28. Windows Server 2003 R2 설치 마법사

그림29. Windows Server 2003 R2 설치 마법사

그림30. Windows Server 2003 R2 설치 마법사

그림31. Windows Server 2003 R2 설치 마법사

설치 완료

Windows Server 2003 R2의 설치 종료 후 화면입니다. 서비스 팩1이 기본적으로 적용되어 있기 때문에 자동 업데이트 설정과 보안 업데이트 진행에 관련한 창이 표시됩니다. 설치후 최초 1번만 표시됩니다. 자동 업데이트 구성을 선택하여 자동 업데이트를 켜 주세요.

그림32. 보안 업데이트

그림33. 자동 업데이트

Windows Server 2003의 경우 별도의 설치 마법사 진행 없이 사용자 서버 관리도구가 표시됩니다.

그림34. 사용자 서버 관리

축하합니다. Windows Server 2003의 설치가 끝났습니다. ^o^

Windows Server 2003 제품군 소개

Windows Server 2003은 다양한 현업의 요구를 만족시키기 위해 크게 다음과 같은 제품군을 제공하고 있습니다.

Windows Server 2003 제품은 닷넷 서버로 알려져 있을만큼 .NET 지원이 가장 큰 이슈였습니다. 그리고 Windows Server 2003 서비스 팩 1(SP1)을 기반으로 Windows Server 2003 Release 2(R2)를 출시하였습니다. 현재 Windows Server 2003 R2 제품군은 다음과 같습니다.

• Windows Server 2003 R2 Standard Edition
• Windows Server 2003 R2 Enterprise Edition
• Windows Server 2003 R2 Datacenter Edition
• Windows Server 2003 x64 Editions

이상 Windows Server 2003 제품군에 대한 간단한 소개를 마쳤습니다. 다음 장에서는 Windows Server 2003 R2 Enterprise Edition을 이용한 설치 과정을 진행하도록 하겠습니다.

Active Directory가 제공하는 것들

※ 본 내용은 Mastering Windows Server 2003에서 발췌하여 요약한 내용입니다.

보안: 네트워크 자원들의 사용 권한에 대한 기록 유지

네트워크의 첫번째 역할은 파일과 같은 자원들부터 데이터베이스, 공유 프린터, 팩스 서비스 등과 같은 복잡한 자원들을 저장하기 위한 중앙 저장소에 대한 서비스를 제공하는 것입니다.. 두번째 역할은 보안으로 첫번째 역할인 중앙 저장소 서비스를 보다 안전하게 사용할 수 있도록 보장합니다. 사용자가 중앙 저장소의 안전한 사용을 위해 AD는 다음 2가지를 제공합니다.

인증(Authentication)

AD는 사용자 로그온 정보를 사용하여 액세스 가능한 사용자인지를 증명하도록 요구합니다.

권한부여(Authorization)

사용자 증명이 확인되면 ACL(Access Control List)를 통해 자원에 접근 권한을 확인하여 자원에 대한 적법한 작업이 진행되도록 합니다.

사용자와 기타 네트워크 개체들의 디렉터리 유지

Windows NT 4.0과 Windows 2000, Windows XP 그리고 AD가 설치되지 않은 Windows Server 2003은 SAM(Security Accounts Manager)이라는 이름의 단일 파일을 이용하여 사용자들의 로그온 이름, 전체 이름, 암호, 로그온 시간, 계정 만기 일자, 설명, 주 그룹, 프로필 정보 등을 관리합니다. 하지만 AD가 설치된 Windows Server 2003은 도메인 컨트롤러(DC; Domain Controller)라고 부르며 SAM 대신 Active Directory라고 하는 데이터베이스에 사용자 정보를 저장합니다. NTDS.DIT라는 파일에 대부분의 사용자 정보를 저장하는데 NTDS.DIT는 Access Database 기반에서 변경된 데이터베이스로써 텍스트 파일인 SAM보다 좀더 다양한 사용자 정보를 저장합니다.

도메인 컨트롤러의 인증 서비스(Authentication Service)

AD는 Microsoft 기반의 서버가 신뢰할 수 있는 인증을 제공하기 위하여 중앙의 계정 데이터베이스를 제공합니다. 개별 서버에 사용자 정보를 유지하는 것은 관리적인 측면에서 많은 노력과 비용이 들며 도메인을 통해 적은 수의 서버에 사용자 계정과 암호 데이터베이스를 유지하여 관리 비용을 줄일 수 있습니다.

도메인 컨트롤러는 다음과 같은 컴퓨터 입니다.

• NT Server의 어떤 버전을 실행한다. Active Directory의 최종 기능을 사용하기 위해 Windows Server 2003에서 동작하는 Domain Controller(DC)를 사용하기를 원하겠지만 때때로 Windows Server 2003, 2000, NT 4.0 등의 다양한 환경에서 동작할 수 있다.
• 도메인 정보에 대한 데이터베이스를 유지한다.
• 도메인 정보의 일관성을 보장하기 위한 복사본을 유지한다. 네트워크에 존재하는 DC들은 새로운 사용자의 추가와 같은 데이터베이스 변경이 있을 때마다 도메인 내의 모든 DC들의 일관성 유지를 위해 복제(replication)라고 부르는 작업을 진행한다.
• 다른 서버들이 로그온 사용자를 신뢰할 수 있는 서비스를 제공한다.

트러스트(Trust)

도메인내의 워크스테이션들과 서버들은 "도메인의 구성원(meber)"이 되기 위해 도메인에 합류되어야 합니다. 구성원이 아닌 시스템들은 각자의 로컬 SAM 파일을 이용하여 인증을 할 수 있을 뿐입니다. 하지만 도메인의 구성원들은 각자의 로컬 SAM 파일을 이용한 인증을 처리하거나 도메인의 DC에게 질의하여 인증을 처리할 수도 있습니다. 도메인에 참여하는 것은 PC와 DC 상이에 신뢰 관계(Trust Relationship)를 구축합니다. 이러한 신뢰 관계 구축을 위해서는 도메인 컨트롤러와 구성원간의 도메인 레벨의 관리자와 워크스테이션 레벨의 관리자 간에 상호 동의가 있어야 합니다. 워크스테이션을 도메인에 참여하기 위해서는 워크스테이션의 로컬 관리자 계정으로 로그인하여 도메인 관리자 계정을 이용하여야 합니다. 결론적으로 로컬 관리자와 도메인 관리자 간의 인증이 필요합니다.

트러스트는 시스템과 도메인 간의 트러스트 관계 구축뿐만 아니라 도메인과 도메인 사이의 트러스트 관계 구축에도 사용됩니다. Active Directory는 트러스트 관계를 자동화하여 NT 4 이전 버전에서 트러스트를 수동으로 작업했던 것에 비해 한층 편리하고 안정적인 성능을 제공합니다.

다양한 벤더를 위한 인증 서비스

AD는 산업 표준 인터페이스인 LDAP; Lightweight Directory Access Protocol을 채택하여 Oracle이나 Lotus 등 다른 벤더의 제품들도 NT 기반의 보안 기술과 통합할 수 있도록 합니다.

네트워크에 있는 자원 검색

서버 검색 : 클라이어트 / 서버 만남

클라이언트/서버 환경은 오늘날의 네트워크의 주류를 형성하고 있으며 AD는 클라이언트가 보다 손쉽게 원하는 서비스를 제공하는 네트워크 상에 가장 가까이 존재하는 서버를 탐색할 수 있도록 합니다.

이름 풀이와 DNS

AD는 네트워크내의 자원의 이름 풀이를 위해 인터넷 표준인 DNS를 사용합니다.

새로운 유형의 하위 관리자를 생성하기

네트워크가 점점 커짐에 따라 AD를 관리하기 위해 좀더 많은 수의 관리자가 필요해지며 이 관리자들의 저마다의 역할을 부여받아 제한된 범위에서 주어진 관리 역할을 담당하게 됩니다. 참고로 다음 작업들은 신참 관리자들이나 네트워크 보조 직원들에게 맡기기에 충분한 작업들입니다.

암호 재설정

보안상의 이유로 사용자들에게 주기적으로 암호를 바꾸도록 요구할 수 있습니다. 그경우 최근 설정한 암호를 잃어버리는 사용자가 발생하기 마련인데 이러한 단순 작업은 신참 관리자에게 맡기기 적당한 난이도의 작업입니다.

백업 모니터링

길고도 지루한 백업 작업 역시 몇몇 보조 관리 직원들을 두어 백업이 진행되는 동안 백업 매체를 교환하고 라벨을 붙여 정리하는 등의 작업을 맡길 수 있습니다.

위의 작업과 같은 제한된 권한이 필요한 작업의 경우 AD는 보안 옵션의 배열을 변경하여 이러한 작업에 필요한 권한을 특정 사용자에게 부여하는 것이 가능합니다.

권한 위임 : 도메인에 대한 제어권 분산

네트워크의 성장에 따라 지역적인 권한의 분산이 필요하게 됩니다. NT 4.0의 경우 도메인을 이용하여 그룹을 생성하고 도메인간에 트러스트를 구성하여 이러한 문제를 해결하였습니다. 그러나 AD는 OU라고 불리는 조직 단위를 사용하여 이러한 문제를 좀 더 세련되게 처리합니다.

연결성과 복제 문제

AD는 다양한 전송 속도를 제공하는 네트워크 간의 연결을 사이트라는 관점으로 네트워크를 표현하여 보다 유연한 연결성을 제공합니다.

컴퓨터 이름 단순화(이름 체계 통일)

인터넷 표준 이름 찾기 서비스인 DNS를 이용하여 기존에 사용하던 NetBIOS와 WINS서버 등을 대체하였습니다. Widnows 2000 이상의 운영체제로 이뤄진 네트워크에서는 DNS만을 이용하여 이름 체계를 통일할 수 있습니다. WINS 서버는 Windows 2000 이전의 운영체제들으리 위해 사용됩니다.

중앙 집중적인 지원 도구 활용

NT 4.0에서 제공하던 '시스템 정책'은 AD에서는 '그룹 정책'으로 대체되었습니다.

AD는 Zero Administration 정보를 저장한다

NT 4.0이 제공하던 불편한 '시스템 정책'은 관리자의 개입을 필요로 하였지만 AD에서 사용하는 '그룹 정책'은 관리자의 개입없이 자동화하여 관리자의 필요를 최소화하고 있습니다. '그룹 정책'을 사용하여 '원격 설치 서비스(RIS)'와 같은 소프트웨어 자동 설치 기능을 제공하여 관리자의 개입을 최소화 합니다.

AD는 디렉터리 연동 네트워킹을 제공한다

TCP/IP에서 QoS(Quality of Service)를 이용하여 인트라넷에서 네트워크의 대역폭을 통제할 수 있는 방법을 제공합니다. AD내에 특정 사용자나 특정 응용 프로그램을 위해 특정 요일의 특정 시간에 대역폭을 많이 제공받을 수 있도록 설정한 정보를 저장하여 대역폭 통제를 가능하게 합니다.

이상 Active Directory를 이용하여 얻을 수 있는 잇점에 대한 이슈를 정리해보았습니다.

Active Directory 감사

로그온 이벤트

계정 로그온 이벤트 감사와 로그온 이벤트 감사는 사용자의 로그온을 추적한다. 가령 '정샘'이라는 사용자가 \\member1이라는 멤버 서버로 액세스 하려고 하면 \\member1은 이 사용자를 도메인 컨트롤러 \\msdc1으로부터 인증하려는 시도를 한다.

이때 계정 로그온 이벤트 감사는 기록을 위해 \\msdc1에게 '정샘'이라는 사용자의 인증 요청이 있었고 이의 인증을 처리하였다는 로그 기록을 \\msdc1에 남긴다.

로그온 이벤트 감사는 \\member1에게 '정샘'이라는 사용자가 이 시스템의 특정 자원을 액세스 할 수 있는지를 확인한다. \\member1에 로그 기록이 남는다.

개체 액세스

시스템 내의 파일이나 파일 그룹에 대해 읽고 쓰고 삭제하고 생성하는 사용자를 추적할 수 있다. 추적을 위해 첫째, 해당 개체를 가지는 컴퓨터에서 개체 액세스 감사 설정을 활성시킨다. 둘째, 컴퓨터에 특정 개체를 감사하도록 설정한다.

계정 관리

사용자 및 그룹 계정에 대한 변경 사항으로 사용자 생성, 그룹 생성, 그룹 구성원 변경, 암호 변경 등 작업을 기록한다.

정책 변경

감사자에 대한 감사로써 감사 설정의 변경이나 적책에 대한 변경 사항을 기록한다.

권한 사용

사용자에 의해 권한이 행사될 때마다 기록한다. 로그온, 시스템 종료, 시스템 시간 변경, 소유권 취득 등 모든 기록을 남기므로 로그 공간이 빠른 속도록 커진다.

시스템 이벤트

컴퓨터의 재부팅, 종료와 시스템 보안이나 보안 로그에 영향을 미치는 작업이 발생할 경우 로그를 기록한다.

디렉터리 서비스 액세스

Active Directory 사용 권한의 영향을 받는 모든 경우에 대한 로그를 기록한다.

프로세스 추적

개발자가 주로 이용할 수 있는 사항으로 관리자에게 비교적 유용한 정보를 제공하지 못한다.