DHCP서비스의 확장 구현DHCP서비스의 확장 구현

Posted at 2007.01.17 15:12 | Posted in Computer/Network
5. DHCP서비스의 확장 구현

지금까지는 DHCP의 기능과 구성에 대해서 살펴보았다. 위의 내용만으로도 구현하는 것은 얼마든지 가능하겠지만, 이제부터는 조금 다른 측면을 고려해 볼까 한다. 회사의 네트워크 환경이 적어도 2개 이상의 세그먼트로 네트워크가 분리되어 있는 상황을 고려해 보고, 하나의 DHCP서버가 서비스를 하지 못하는 상황이 발생했을때를 고려하여 그러한 경우라도 클라이언트가 정상적인 IP를 할당받는데 차질이 없도록 하기 위한 서버의 중복배치를 고려해 보고자 한다.

기업 네트워크에서 네트워크 서버 배치시 고려할 사항

기업네트워크에서 어느 위치에 몇대의 서버를 배치할 것인가의 문제는 단순히 서버를 관리하는 것보다 중요한 의미를 가진다. 서버를 설치하고 구성하기에 앞서 먼저 서버의 배치 디자인을 계획해야 할 필요성이 있다. 이때 여러분의 디자인에는 다음의 몇가지 측면이 고려되어야 한다.

(1)기능성(Functionality) : 디자인에 따라 서버를 배치했을 때 모든 위치에서 기업의 요구사항을 반영할 수 있도록 디자인 되어야 한다는 것을 뜻한다. 가장 실질적인 기능적 측면을 고려해야 한다는 것이다.

(2)보안(Security) : 근래에 들어서 점점더 비중이 강조되고 있는 부분이다. 그동안 많은 관리자는 보안의 측면은 상대적으로 신경을 쓰지 않았던 것이 사실이다. 하지만 서버의 배치시 잠재적인 위험요소를 고려하여 보안에 초점을 맞추어야 할 것이다.

(3)가용성(availability) : Downtime을 최소화할 수 있도록 고려해야 한다. 한대의 서버가 문제가 생겼더라도 사용자들은 계속해서 서비스를 받을 수가 있도록 서버를 배치하여야 한다. 무슨 마술인가 싶지만 의외로 간단하다. 서버를 중복배치하면 될 것이다. 한대의 서버가 다운 되었더라도 다른 서버가 그 기능을 계속 대체할 수 있다면 가능한 일이다. 마이크로소프트의 네트워크 환경에서는 그러한 서버들의 중복기능을 기본적으로 포함하고 있다. 관리자가 잘 디자인해 주면 해결이 된다. 최고의 가용성을 제공하는 솔루션으로서는 "클러스터링 기술"을 생각할 수 있지만 상대적으로 비용이 많이 들어가는 방법이다.

(4)성능(Performance) : 사용자가 기대하는 시간안에 응답을 얻을 수 있도록 해야 함을 의미한다. 대부분의 사용자들은 예상치 못한 느린 응답시간을 참을 수 있는 인내력이 없다. 한대의 서버보다는 두대의 서버가, 두대의 서버보다는 세대의 서버가 보다 나은 응답력을 제공한다. 이 항목은 (3)가용성과도 밀접한 관계가 있으니 가용성을 제공하면서 성능까지 챙겨줄 수 있도록 디자인되어야 할 것이다.

여러분이 고려한 네트워킹 서비스의 디자인에 위의 네가지가 모두 고려되었고, 현재의 디자인이 위의 네가지를 만족하고 있다면 적어도 잘 구성된 네트워크라고 생각할 수 있을 것이다. 그중에서도 어느쪽에 비중을 더 둘 것인가는 회사의 판단이 요구된다. 모든 것에 최상의 솔루션을 채택하기는 현실적으로 어렵다. 예를 들어서 보안을 중요시하여 서버에 IPSec, VPN등의 암호화 기술을 채택하였다면 상대적으로 그렇지 않을때에 비해 "성능"은 떨어질 수도 있는 것이기 때문이다.


5-1. DHCP서비스의 확장 구현

아래의 [그림5-1]과 같은 네트워크 구성을 가진 회사가 있다.


[그림5-1. 복수 네트워크를 가진 회사의 DHCP서비스 1]

그림에서 보는 바와 같이 회사는 2개의 네트워크를 가지고 있고 각각 192.168.5.0 192.168.10.0 네트워크ID를 사용한다. 두개의 네트워크에서 호스트들은 IP를 구성하는 방법으로 DHCP를 사용하고 있다. 이 경우 안정적으로 DHCP서비스를 제공하기 위한 회사의 디자인은 [그림5-1]에서 보는 바와 같이 배치할 수 있다.

일단 첫번째 고려해야 할 것은 두개의 네트워크에 있는 클라이언트들이 IP를 할당받을 수 있어야 한다는 기본적인 기능적인 측면(Functionality)에 만족해야 한다는 것이다. DHCP프로세스를 잘 이해했다면 답이 나온다. DHCP는 브로드캐스트를 사용하여 초기화를 한다는 것을 배운바 있는데 이것 때문에 어느 한쪽 네트워크에만 DHCP서버가 있어서는 곤란하다는 것이다. DHCP서버가 없는 쪽의 네트워크에서 DHCP클라이언트가 DHCP서버를 찾는 Request 브로드캐스트를 날리게 되면 라우터에서 이 메시지를 통과시키지 않기 때문에 클라이언트는 IP를 할당받지 못하게 되기 때문이다. 이 때 가장 좋은 방법은 각 네트워크마다 DHCP서버를 배치하는 방법이다. 이것은 가장 좋은 성능을 제공할 수 있는 방법이기도 하다.

[그림5-1]의 예제에서 DHCP서버A와 B를 각각 배치한 것을 볼 수 있다. DHCP서버A는 192.168.5.0 네트워크를 위한 IP영역을 설정하였고, DHCP서버B에는 192.168.10.0 네트워크를 위한 IP영역을 설정해 주었다.

두번째로 고려할 점은 가용성(Availability)을 제공해야 한다. 예를 들어서 DHCP서버A가 문제가 생겨서 DHCP서비스가 멈추었다면 어떻게 될까? 192.168.5.0 네트워크의 DHCP클라이언트들은 IP를 임대받지 못하게 되고 APIPA기능으로 169.254.0.0 네트워크가 할당될 것이다. 당연히 정상적인 통신은 하지 못하게 된다.

기업네트워크에서 이것은 곤란한 일이다. 하나의 서비스가 문제가 생겼더라도 다른 방법으로 해결을 할 수 있어야 한다. 여기에 대한 방안으로 서버의 중복을 고려할 수 있다. 각각 네트워크마다  DHCP서버를 두대씩 구성하면 되는 것이다. 그러면 하나의 DHCP서버가 다운되었더라도 여전히 클라이언트들은 IP를 할당받는 것이 가능해 진다. 이 경우 주의할 점은 한 네트워크에 있는 2개의 DHCP서버는 서로 다른 범위의 주소Pool을 유지해야 한다는 것이다. DHCP서버A는 192.168.5.11~192.168.5.100을 구성하고, 새롭게 설치한 DHCP서버C는 192.168.5.201~192.168.5.250을 구성하는 형태가 되어야 한다. 역시 IP충돌을 막기 위한 조치이다. IP Address가 충분해야 할 수 있는 구성이라는 생각이 들 것이다.

[그림5-1]에서는 다른 방법으로 구현된 것을 볼 수 있는데 이것은 한가지 예제일 뿐이다. DHCP서버를 중복배치하는 것과 큰 차이는 없지만 관리적인 측면에서는 보다 효율적인 방법이 될 수 있다. 각 네트워크에 DHCP서버 하나씩이 배치되는 것은 차이가 없고, 다만 추가로 한 서버에 DHCP Relay Agent를 구현해 두는 방법이 있다. 이 DHCP Relay Agent는 DHCP클라이언트의 DHCP임대 요청을 받아서 대신 DHCP서버에게 IP임대를 요청하여 클라이언트에게 제공해 주는 "중개인"역할을 맡는다. DHCP클라이언트가 직접 서버에 요청하는 것과 차이가 있다면 DHCP서버와 Unicast (=Direct)통신을 한다는 것이다. 그러므로 라우터 건너편, 즉 원격지의 DHCP서버에게 IP요청을 보내는 것이 가능하다.

당연히 DHCP Relay Agent는 DHCP클라이언트로 구성되어서는 안된다. 고정IP가 할당되어야 한다. 예제의 그림에서 만일 DHCP서버A가 어떤 이유에서든지 IP를 임대하지 못하는 상황이 되면 DHCP Relay Agent로 설정된 서버는 192.168.5.0 네트워크의 DHCP클라이언트의 요청을 받아서 건너편에 있는 DHCP서버B에게 DHCP요청을 보내서 IP를 대신 할당해 주는 형태로 동작하게 된다. DHCP서버B에서는 192.168.10.0 인 자신의 네트워크를 위한 IP영역을 생성해 두는 것은 당연한 일이고, 추가로 192.168.5.0의 네트워크를 위한 IP영역도 구성을 해 두어야 한다. 그래야만 이러한 작업이 완전하게 수행될 수 있다.

반대쪽에서는 어떨까? 역시 같은 작업을 해 주면 된다. 192.168.10.0네트워크에서도 자신의 네트워크에 있는 DHCP서버B가 서비스를 하지 못할 상황을 대비해서 문제가 있을때는 DHCP 서버A를 찾아가서 IP임대과정을 진행하도록 DHCP Relay Agent를 셋팅하여 두어야 한다. DHCP서버A에서는 192.168.5.0뿐만 아니라 192.168.10.0 네트워크를 위해서 추가로 IP영역을 구성해 두어야 한다.

정리하면, DHCP서버A와 DHCP서버B는 각각 192.168.5.0과 192.168.10.0 네트워크라는 2개의 IP범위를 구성해 두면 되는 것이다. 이때 IP구성은 보통 7:3이나 8:2 정도의 구성을 권장한다. 각 네트워크당 DHCP서버에서 관리되는 IP범위에 주소가 100개씩이라면 자신의 서버에 70개, 다른 서버에 30개 정도로 IP범위를 구성하라는 것을 의미한다. 그리고 각 네트워크의 DHCP Relay Agent는 서로 라우터 건너편 네트워크에 있는 DHCP서버를 찾아가서 IP임대를 요청할 수 있도록 구성을 해 두면 된다.

5-2. DHCP Relay Agent 설정

DHCP Relay Agent를 구성하는 방법은 다음과 같다.


[그림5-2. DHCP Relay Agent 설정-1]

관리도구-라우팅 및 원격 액세스를 통해서 접근한다. 이 관리도구에 처음 접근하는 것이라면 [그림5-2]과 같은 화면이 보일 것이다. 화면의 왼쪽 패널을 보면 BLUEAPPLE(로컬)이라는 서버의 서비스가 멈춰져 있음을 보여준다. 마우스 오른쪽 버튼을 이용하여 '라우팅 및 원격 액세스 사용 및 구성'을 클릭한다.


[그림5-3. DHCP Relay Agent 설정 - 2 ]

5가지의 메뉴가 보이는데 '수동으로 구성한 서버'를 선택하고 [다음]을 누른다. 각각에 대한 설명은 후반부의 단원에서 자세히 다룬다.


[그림5-4. DHCP Relay Agent 설정 - 3 ]

마법사를 완료했다는 화면이 보인다.


[그림5-5. DHCP Relay Agent 설정 - 4 ]

이제 서비스를 설치했다고 시작하겠다는 메시지를 띄워준다. [예]를 눌러서 라우팅 및 원격 액세스 서비스를 시작시킨다.


[그림5-6. DHCP Relay Agent 설정 - 4 ]

라우팅 및 원격 액세스 관리콘솔에서 왼쪽 패널을 계속 확장해 보면 IP라우팅 아래에 'DHCP릴레이 에이전트'메뉴를 확인할 수 있다. 설치는 기본적으로 이루어진다. 이제 구성을 해야 한다. 마우스 오른쪽 버튼을 이용하여 새 인터페이스를 추가한다. 인터페이스는 DHCP클라이언트로부터 요청을 받아들일 네트워크 어댑터 카드에 해당하는 연결을 의미한다.


[그림5-7. DHCP Relay Agent 설정 - 5 ]

필자는 Private라는 연결을 선택했다. 인터페이스를 선택하면 'DHCP패킷릴레이'옵션이 체크된 화면이 팝업되고 홉수임계값, 부팅임계값을 결정하도록 화면을 보여준다. 기본 설정인 '4'로 두고 진행하면 된다. 의미있는 값이다. 지금 192.168.5.0네트워크에는 DHCP서버A가 있고, DHCP Relay Agent가 하나 존재한다. DHCP서버A가 잘 동작하고 있을때는 DHCP Relay Agent가 굳이 동작할 이유가 없다. 오히려 동작하지 않는 것이 보다 좋을 것이다. 로컬 DHCP서버가 잘 동작하고 있으니 DHCP트래픽을 원격으로 전달할 이유가 없기 때문이다.

홉수임계값은 DHCP요청을 다른 DHCP서버나 DHCP Relay Agent로 넘길 때 몇 단계나 넘어갈 수 있는지를 지정한다. 기본값을 사용하면 적당하다. 부팅임계값은 DHCP Relay Agent가 언제 동작할 것인지를 지정해 주는 값이다. 기본값은 4초로 설정되어 있다. 이 경우 DHCP Relay Agent는 DHCP클라이언트의 DHCP요청 브로드캐스트를 받더라도 DHCP요청을 중계하도록 설정된 DHCP서버에게 즉시 메시지를 중계하지는 않는다. 부팅임계값인 4초동안 기다리게 된다. 그 때까지 네트워크에서 DHCP서버의 응답이 없으면 그때 비로소 DHCP Relay라는 역할을 하게 되는 것이다. 로컬에 DHCP서버가 있을때는 외부로 DHCP를 넘기지 않는다는 것을 의미한다. 4초라는 시간이면 DHCP클라이언트가 두차례 DHCP Discover브로드캐스트를 날릴수 있는 시간이다. 정상적으로 DHCP서버A가 서비스하고 있다면 응답이 있어야 할 시간동안 기다려 주는 것이다.


[그림5-8. DHCP Relay Agent 설정 - 6 ]

다음에는 이 DHCP릴레이 에이젼트가 DHCP클라이언트의 DHCP브로드캐스트를 어떤 DHCP서버에게 전달할 것인지를 설정한다. [그림4-63] 라우팅 및 원격 액세스 관리콘솔의 왼쪽패널에서 IP라우팅 아래에 있는 DHCP릴레이 에이젼트의 등록정보를 클릭한다.


[그림5-9. DHCP Relay Agent 설정 - 7 ]



DHCP서버를 추가한다. 예제에서는 192.168.10.0 네트워크에 있는 DHCP서버의 IP를 추가해 주었다.
이렇게 하면 DHCP Relay Agent의 구성을 모두 마쳤다. Windows NT 4.0 Server로써 DHCP Relay Agent를 구현해도 잘 동작한다. 다만 서비스의 설치방법이 다르다. NT 4.0 Server에 DHCP Relay Agent를 구성하려면 바탕화면의 네트워크환경-등록정보-서비스 탭을 통해서 서비스를 추가해 주어야 한다. 나머지 구성방법은 Windows 2000과 동일하다.

5-3.  Multi-homed DHCP Server 구성


[그림5-10. 복수 네트워크를 가진 회사의 DHCP서비스 2]

동일한 예제에서 다른 구성을 해 보았다. 가장 저렴하게 구현이 가능한 방법이기도 하다. 192.168.5.0 네트워크에 설치된 DHCP서버에 네트워크 어댑터 카드를 하나 더 설치하여 192.168.10.0 네트워크에 연결한다. 이렇게 했을 때 DHCP서버는 각각의 네트워크 어댑터 카드를 통해서 들어온 DHCP클라이언트들의 DHCP Discover브로드캐스트 요청에 대하여 응답이 가능하다. 이렇게 네트워크 어댑터가 여러 개 장착된 컴퓨터를 가리켜서 Multi-Homed computer라고 부른다.

멀티홈드 DHCP서버 하나만으로 2개의 네트워크에서 DHCP서비스가 가능해 졌다. 이 서버가 다운이 되었을 상황을 고려한다면? 해결방법은 간단하다. 멀티홈드 DHCP서버를 하나 더 설정하는 방법이 있을 것이다. 이렇게 하는 것은 각각의 네트워크마다 DHCP서버를 두 대씩 설치했던 것과 동일한 디자인을 보여줌을 알 수 있다. [그림5-10]과 같은 구성은 물리적인 네트워크 구성이 가능할 때 구현할 수 있는 방법이다.

이상 DHCP서비스를 구성하는 몇가지 방법을 살펴 보았다. 네트워크에서 서비스를 구성하기 전에 가장 우선시 해야 할 것이 '네트워크 디자인'이라고 이야기 했지만 현실적으로 디자인을 제대로 하기 위해서는 그것들에 대한 기능적인 부분을 전반적으로 이해해야만 가능할 것이라는 생각이 들 것이다. 기능을 완전하게 이해한 후 앞에서 설명한 바 있는 가용성, 성능, 보안, 기능성의 측면을 두루 만족할 수 있는 네트워크 디자인을 할 수 있다면 더 바랄것이 없다. 두 가지 네트워크 구성도만이라도 완전하게 이해를 하도록 하자.
신고

'Computer > Network' 카테고리의 다른 글

OTP, 금융권 넘어 일반기업까지 확산  (0) 2007.04.02
1~2년 내 보안·네트워크 인력난 심각해 질 것  (0) 2007.04.02
DHCP서비스의 확장 구현  (0) 2007.01.17
DHCP의 추가기능  (0) 2007.01.17
DHCP Client 구성  (0) 2007.01.17
DHCP서버의 구현  (0) 2007.01.17

Name __

Password __

Link (Your Website)

Comment

SECRET | 비밀글로 남기기

티스토리 툴바