굳이 뭐하러 UTM 2대를 내부 통신으로 연결할까요?
필요 없을 것 같지만, 실무에서는 기존 환경이 한번에 없어지면 안된다고 합니다.
하지만, 장비 도입은 업체간 계약으로 진행하는 것으로 시간을 질질 끌 수는 없습니다.
실무자 입장에서는 장비도 도입해야 하고, 기존 환경을 유지해야 하기 때문에 찾은 방법입니다.
신규 장비와 기존 장비를 연결하여 내부통신이 되도록 설정하고, 필요한 대역을 하나씩 옮기게 할 수 있습니다.
원래는 라우터와 라우터를 연결하는 기술인데, UTM은 Layer 7 애플리케이션 기반 정책을 수용하기 때문에 라우팅의 기능까지 포함하고 있습니다.
그래서 UTM이 라우터의 역할도 수행 가능합니다.
개인적으로 인원이 200여명 이하 수준인 회사에서는 라우터까지 필요 없다고 생각을 합니다.
(있다면 좋지만) 회사에서 라우터가 저렴하진 않기 때문에 라우터를 잘 사주지도 않습니다.
그래서 제가 선호하는 방식은 아래의 방식입니다.
문제점이 있다면, 장애 포인트가 단일 포인트라는 것입니다.
UTM에 문제가 발생하면 내부 전체가 먹통이 됩니다.
그리고 UTM이 라우터의 기능까지 포함하기 때문에 그 만큼 성능이 요구되기도 합니다.
아래는 라우터가 포함된 구조입니다.
해당 구조의 문제점은 라우터를 관리하는 리소스가 필요한 것입니다.
UTM에 문제가 발생한다고 내부 네트워크는 영향을 받지 않기 때문에 내부 인트라넷은 살아 있을 수 있습니다.
단, 네트워크 환경(DHCP서버와 DNS 서버 역할)이 라우터나 서버에서 작동되고 있어야 합니다.
네트워크 환경이 UTM을 포함하고 있다면 첫번째 환경과 다를바가 없습니다.
경험 상으로 UTM이 문제가 발생하면 대부분의 업무가 인터넷 환경이 기반이 되기 때문에 첫번째 환경이나 두번째 환경이 마찬가지로 일을 하지 않습니다.
그래서 장애가 발생하면 첫번째나 두번째나 똑같습니다. ㅎㅎㅎㅎ
그럼 환경 설정을 시작해보겠습니다.
제가 설정한 환경은 axgate와 fortigate 장비를 연결하였으나, 연결하는 방식은 똑같습니다.
[필요한 환경]
아래의 대역들이 서로 통신
ㅇ 첫번째 UTM IP 대역: 192.168.0.0/24 / fortigate
ㅇ 두번째 UTM IP 대역: 192.168.100.0/24 / axgate
[첫번째 UTM]
1. UTM에서 1개의 인터페이스에 IP 설정을 합니다.
- IP: 1.1.1.1 / Subnet: 255.255.255.252 / GateWay IP: 1.1.1.2
2. Routing 정책을 추가합니다.
- (찾아가야할 네트워크) 192.168.0.0/24 → IP 1.1.1.2
3. 정책을 추가합니다.
- INBOUND: 출발지 192.168.0.0/24 → 도착지: 192.168.100.0/24 (출발지 인터페이스: IP 1.1.1.1 된 인터페이스)
- OUTBOUND: 출발지 192.168.100.0/24 → 도착지: 192.168.0.0/24 (도착지 인터페이스: IP 1.1.1.1 된 인터페이스)
[두번째 UTM]
1. UTM에서 1개의 인터페이스에 IP 설정을 합니다.
- IP: 1.1.1.2 / Subnet: 255.255.255.252
2. Routing 정책을 추가합니다.
- (찾아가야할 네트워크) 192.168.100.0/24 → IP 1.1.1.1
3. 정책을 추가합니다.
- INBOUND: 출발지 192.168.100.0/24 → 도착지: 192.168.0.0/24 (출발지 인터페이스: IP 1.1.1.1 된 인터페이스)
- OUTBOUND: 출발지 192.168.0.0/24 → 도착지: 192.168.100.0/24 (도착지 인터페이스: IP 1.1.1.1 된 인터페이스)
[연결 테스트]
192.168.0.0/24 → 192.168.100.0/24
192.168.100.0/24 → 192.168.0.0/24