W' page

- 2015.01.23

1. DHCP 릴레이 에이전트 

DHCP 서버 장애 시 서브 DHCP 서버로 그 역할을 넘기는 기능이다. 

[역할 추가] 

서버관리자 - 역할 - 역할 추가 - 네트워크 정책 및 액세스 서비스 체크 - 라우팅 및 원격 액세스 서비스 체크 - 설치 

시작 - 관리도구 - 라우팅 및 원격 액세스 - SERVER1 우클릭 - 라우팅 및 원격 액세스 구성 및 사용 - 사용자 지정 구성 

  - LAN 라우팅 - 마침 - 서비스 시작 

=> SERVER1 왼쪽 그림에 초록 위 화살표 생김 : 정상적으로 활성화 됨 

SERVER1 - IPv4 - 일반 우클릭 - 새 라우팅 프로토콜 - DHCP 릴레이 에이전트

   - DHCP 릴레이 에이전트 우클릭 - 새 인터페이스 - 릴레이 시킬 인터페이스 선택 

                                                              - 홉 수 임게값 : 서버와 서버 사이의 네트워크 장치 개수. ex) S1 - SW - SW - S2 인 경우 홉은 3 

                                                              - 부팅 임계값 : 내 DHCP 서버가 정상 작동하는지 기다릴 시간

   - DHCP 릴레이 에이전트 우클릭 - 속성 - 넘겨줄 대상 서버의 IP 입력 

[DHCP 릴레이 에이전트 문제] 

[Tip] 

1) DHCP 릴레이 에이전트의 새 인터페이스는 DHCP가 돌아가는 인터페이스를 지정 

2) DHCP 릴레이 에이전트 속성에서 적을 IP는 100.100.100.120 이다. 

3) DHCP 서버의 고장은 DHCP 비활성화로 구현한다. 

4) Server1 에서 DHCP 릴레이 에이전트의 서비스를 중지 해도 Server2 에서 DHCP를 받아온다. 

        => Client1 에서 DIscovery 메세지를 Broadcast 로 날리기 때문이다. 즉 이 문제는 불완전한 문제. 

[진짜 DHCP 릴레이 에이전트 문제] 

GNS3 - VMware 연동하여 진행

In GNS3 

클라우드 - 라우터 - 클라우드 

        l                            l 

    VM1                       VM4 

클라우드 우클릭 - 설정 에서 VMware 아답타를 선택하여 진행

⊙

systemctl [option] [데몬명]

[option]

start      ;  service start [데몬명]

stop      ;  service stop [데몬명]

reload   ;

restart   ;   service restart [데몬명]

status    ;  service status [데몬명]

enable   ;  chkconfig on [데몬명]

disable  ;  chkconfig off [데몬명]

실행중인 service list 보기

    # systemctl -t service 

enabled, disabled 된 service, socket, target 보기

    # systemctl list-unit-files

일부 SysV services 상태 확인. 6 와 마찬가지로 chkconfig off 가능.

# chkconfig --list

⊙

# ip addr show        ; ifconfig

⊙

커널이 업데이트 되면서 ; 의 역할을 + 으로 표시.

# find / -name abc -exec ls -al {} ;

        => # find / -name abc -exec ls -al {} +

- 2015.1.22

1. DHCP server

[DHCP 설명]

TCP/IP 자동 설정

     사용자 컴퓨터의 IP 주소가 자동으로 설정된다.

     정확한 네트워크 구성이 보장된다.

     사용자 컴퓨터의 네트워크 구성 정보가 자동으로 업데이트 된다.

     네트워크 상에서 발생할 수 있는 일반적인 문제들이 제거된다.

TCP/IP 수동 설정

     IP 주소를 사용자가 직접 지정

     IP 주소를 잘 못 입력할 수 있다.

     잘못된 네트워크 구성은 네트워크 통신의 문제를 일으킨다.

     컴퓨터를 자주 이동시킬 경우 관리 작업의 부하를 가져온다.

[DHCP 임대 생성 과정]

1) Discover

DHCP 서버를 찾는 패킷을 Broadcast 함. 클라이언트는 서버에 대한 정보를 모른다.

     => 아무나 정상적인 서버라 속일 수 있다. (DHCP Snoofing)

2) Offer

Discover 메시지를 받은 DHCP 서버가 IP Address 정보를 담고 있는 패킷을 Broadcast 함. 여러 서버가 클라이언트에게 Offer 신호를 보냈다면 클라이언트는 선착순으로 먼저 온 신호를 채택해서 사용한다.

3) Request

DHCP 클라이언트는 임대 받은 IP Address로 임대 해 준 서버의 IP Address를 담은 패킷을 Broadcast 함.

4) Ack

자신이 보낸 IP Address가 채택되지 않은 서비스는 해당 주소를 IP Database에 유지하고, 자신이 보낸 IP Address가 채택 된 서비스는 IP 임대기간, DNS, Default Gateway 등의 DHCP 옵션 값을 담은 패킷을 Broadcast 함.

IP Address 임대 받지 못하면 APIPA(Automatic Private IP Address)가 진행되며,

169.254.0.0 대역대의 주소 중 하나를 선택하여 자신의 IP Address로 설정

[DHCP 임대 갱신]

DHCP로 맨 처음 IP를 받아오면 특정 시간 만큼 임대를 받는다.

임대기간 1/2 시점에 자신이 쓰던 IP로 DHCP 갱신 요청을 보내 DHCP 갱신을 한다.

DHCP 갱신 요청이 실패되면 임대 시간 7/8 지점에서 DHCP 작업을 처음부터 다시 한다.

만약 DHCP server가 2개 이상 경우, DHCP의 Offer 메세지가 빨리 도착한 것을 이용한다.

=> 공격자 server 가 Offer 패킷을 계속 보내는 공격을 할 수 있다.

    PC는 평소에 ㅇㅇㅇㅇㅇ 임대갱신 신호를 보내면 해당 패킷을 받아 공격자 server가 주는 ip를 받는다.

    Active Directory 인증 절차를 이용하면 Active Directory 에 인증 된 DHCP server 만 PC에 패킷을 보낼 수 있다.

[DHCP 기능 추가]

서버 관리자 - 역할 - 역할 추가 - DHCP 서버 체크

 - 네트워크 연결 바인딩 선택 에 IP 체크  (DHCP 신호를 주고 받을 네트워크 주소)

 - 기본 셋팅으로 진행 - DHCPv6 사용 안함 체크 - 설치

[DHCP 설정]

시작 - 관리도구 - DHCP - server1

IPv4 우클릭 - 새 범위 - 이름 지정

 - 시작 IP 주소 및 끝 IP 주소 입력 - 기타 다른 설정은 하지 말고 다음 눌러 설정 마침

 - 새로 만들어진 범위를 보면 아래 화살표가 되어있다. -> 비활성화라는 뜻. 우클릭 해서 활성화

주소 임대

     임대 된 DHCP들의 정보를 확인할 수 있다.

범위 옵션

     라우터 : 기본 Gateway 주소

     DNS 서버 : DNS 서버를 지정해준다. 추가 시 DNS 서비스가 서비스 중인지 유효성검사를 한다.

필터 - 허용

     허용 필터에 허용할 MAC 주소 입력하면 된다. -> 활성화 필요

     허용 필터를 사용하게 되면 해당 MAC 주소 외에는 DHCP 사용이 불가하다.

          => 인가된 PC만 사용 가능하도록 할 수 있음.

     허용 필터를 사용하게 된다면 구지 거부 필터를 사용할 필요가 없다.

[DHCP 문제]

# Server1에 DHCP 역할 추가

 - IP Address Pool : 200.200.200.200 ~ 200.200.200.250/24

   제외 주소 : 200.200.200.201

 - 옵션 : DNS Server IP 200.200.200.50

            게이트 웨이 200.200.200.254

 - 예약 주소 : Server2 예약 200.200.200.249

====================================

확인 방법 :

Server2 에서 DHCP 사용 설정 후 IP 200.200.200.249로 받아오면 성공

Client1 에서 DHCP 사용 설정 후 확인

 - IP 200.200.200.200

 - 게이트웨이 200.200.200.254

 - DNS 주소 200.200.200.50

[Tip]

1) cmd 창에서 복사 : 우클릭 - 표시 누른 뒤 드래그 하면 자동으로 클립보드에 복사 됨

2) 예약 구성을 하는 경우, 추가 옵션을 따로 지정해줄 수 있다.

3) 예약 구성 시 실제 그 주소를 받아 갔는지 알 수 없으며 ip 주소가 충돌될 수도 있다.

2. DHCP dual server 구축

랜카드 1개를 더 붙인다.

시작 - DHCP - server1 우클릭 - 바인딩 추가/제거 - 추가된 네트워크 카드 체크

새로운 범위 추가해서 진행하면 됨

[DHCP dual server 문제]

1. Server1에서 네트워크 인터페이스 하나 추가

 - 네트워크 어댑터 이름 변경 

 # 로컬 영역 연결 -> 경영팀

 # 로컬 영역 연결 -> 기술팀

2. Server1에서 DHCP 역할 추가 

 - 경영팀 망으로 DHCP 설정

 # IP Address : 100.100.100.10~30

 # 게이트 웨이 : 100.100.100.254

 # DNS 서버 : 100.100.100.200

 - 기술팀 망으로 DHCP 설정

 # IP Address : 200.200.200.10~30

 # 게이트 웨이 : 200.200.200.254

 # DNS 서버 : 200.200.200.200

3. Server2 에서 경영팀 망으로 DHCP 정보 할당

4. Client1 에서 기술팀 망으로 DHCP 정보 할당

[Tip]

1) Edit - Virtual Network Editor - Use local DHCP service to distribute IP address to VMs 체크

2) 기존 실습에서 허용해놨던 필터 비활성

3) 범위 추가 후 범위 활성화

4) 새로 추가한 랜카드에 해당 대역대의 고정 ip 입력 후 바인딩 추가/제거 설정