Jump to content

osthek

MASTER
  • Posts

    3
  • Joined

  • Last visited

  • Days Won

    1

Everything posted by osthek

  1. 1. 원장님이 강의하신 vxlan 강의 보고 연습하신 분 중에서 완성되서 제대로 작동되는 랩 가지고 계시면 공유좀 부탁드려도 될까요? 예전에 강의보고 따라하다가 몇몇 부분이 작동이 끝까지 제대로 안되서, 방치했는데 실수로 랩을 아예 지워버렸네요. 2. 혹시 실무에서 NSX-T 사용하시는 분들 중에서 실장비(저의 경우 ASR1002)랑 EVPN 연결해서 사용하시는 분 계신가요? 버전 3.0 부터 가능하다고 하는데, 실제로 주변에 이렇게 사용하는 케이스를 못받고, 인터넷 블로그에서 간간히 정보가 나오긴 하는데, 단순 홈랩 테스트용으로 사용하는거 같아서 안정성이 보장되는지 의심이 들어서요. 고객쪽 인프라가 전부 연결되어 있는 라우터를 들어내고, NSX-T 로 대체하려고 하는데, 좋은 경험있으시면 조언 좀 부탁드립니다.
  2. 안녕하세요. 저도 현역에서 최근 libreNMS 랑 netbox 설치해서 잘 사용중입니다. libreNMS 같은 경우 아시겠지만 플러그인도 괜찮은 것들이 많이 있습니다. 일단 smokepoing 같은 경우 핑 체크해서 특정 host 가 다운되거나 문제가 있으면 메일로 알려줍니다. Oxidized 는 해당 장비를 config 를 저장하는데 쓰이는데, 여기서 script 를 추가하면 변동 된 config 가 있을때 이전, 이후 비교해서 메일로 알려줍니다. https://geeksops.com/?p=568 네트워크 분석툴 같은 경우는 저는 ISP 일하는데 최근 elasticflow 라는 툴을 설치해서 사용중인데, 무료로 꽤 많은 기능을 기원하고, 설치도 어렵지 않아서 잘 사용중입니다. AS 별, ip 별, 프로토콜 별로 나오는데 시각적으로도 이쁘장합니다.. 캡쳐 사진 하나 밑에 첨부하겠습니다.. https://d.pr/i/kbjRof P.S 첨부 파일 어떻게 올리는지 모르겠네요 ^^;;
  3. 현재 ISP 업체에서 일하고 있는데 다른 transit 이나 IXP 쪽으로 cymru 이랑 peering 이 되어있고 uRPF 설정이 되어있습니다. 다른 부분은 이해가 가는데 uRPF 에서 왜 allow default 옵션을 사용하는지 이해가 가지 않습니다. source ip 가 라우팅 테이블에 없어도 디폴트 라우트가 있으면 drop 하지 않는건데, 없어도 보안적인 측면에서 차이가 없는거 같아서요. 오히려 없는게 맞는거 같습니다....현재 백본망에 border router 가 두개 있고, 둘 간에 서로 default route 설정이 되어있습니다. 서로 다른 transit 이랑 연결되어 있기 때문에 라우팅 테이블이 똑같지 않아서 모르는 대역이 들어올 수도 있어서요 3가지 예를 들어 보자면, 1. Cymru 에서 전파한 아이피 영역을 source 로 달고 트래픽이 백본으로 들어올때. 1.1 : Cymru 에서 받는 아이피 대역은 PBR 를 써서 null 0 로 넥스트 홉이 변경되어 있습니다. 1.2 : 트래픽이 들어오면 라우팅 테이블 look up 1.3 : uRPF 입장에서 라우팅 테이블에 있지만 null 0 는 real interface 가 아니니 패킷 드랍(uRPF 기능임, 실제 인터페이스나 루프백, 터널이 목적지로 되어있을때만 패킷 통과시킴) 2. Cymru 에서 전파받은 못한 공인 아이피 대역을 source 로 달고 들어올때 2.1 : allow default 옵션이 없으면 처음 받는 border router 에서 드롭시킴 3. Cymru 에서 전파받은 못한 공인 아이피 대역을 source 로 달고 들어올때(allow default 옵션이 있을때) 3.1 : allow default 옵션때문에 패킷을 드랍시키지 않고 백본 망으로 트래픽이 들어옴. 3.2 : 나가는 트래픽이야 border router 가 목적지를 모르니 drop 시키겠지만, 일반 백본망까지 트래픽이 들어오니 보안적으로 allow default 옵션이 없을때보다 더 취약함 제가 생각한건 여기까지 인데, ISP 입장에서 왜 allow default 옵션이 필요한 걸까요? 시스코 문서를 봐도 이 부분은 나와있지를 않네요. 혹시 몰라서 문서 링크걸겠습니다. chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/viewer.html?pdfurl=https%3A%2F%2Fwww.cisco.com%2Fc%2Fdam%2Fen_us%2Fabout%2Fsecurity%2Fintelligence%2Furpf.pdf&clen=817985&chunk=true
×
×
  • Create New...