Saturday, December 19, 2020

시스코 - Secondary IP 주소 사용을 권장하지 않는 이유


Secondary IP를 사용해도, 네트워크 관리자가 제대로 알고 문제점을 인식하고 사용하면 큰 문제는 되지 않을 것입니다. 어쩔 수 없는 상황에서만 사용하길 권장합니다.

스위치, 라우터 상관없이 생각나는 대로 권장하지 않는 이유를 적어봅니다.

1. 보안상, 서로 다른 subnet은 다른 VLAN에 할당을 하는 것을 권장합니다.
보통 특정 subnet에 대한 해킹이 이루어진 후, 다른 subnet으로 횡적 이동(Network Lateral Movement)이 일반적으로 이루어지기 때문입니다. 방화벽과 연동하는 경우, VLAN별로 zone을 달리하거나 해서 서로 다른 네트워크 이동 간 방화벽을 통하게 하는 디자인 등이 어려워질 수 있습니다.

* 비슷하게 보안상 이유로, VLAN 1(Default)은 disable하고 새로운 VLAN ID를 생성하는 걸 권장합니다. 공격자 1차 타겟이 default VLAN이기 때문입니다.

2. 더 많은 브로드캐스트 트래픽을 유발합니다.

3. 라우팅 프로토콜
- EIGRP: neighbor adjacency가 secondary IP에선 완전히 중단되지 않습니다.
- OSPF: Secondary addressed network은 stub으로 간주되므로 hello 패킷이 전송되지 않고 adjacency가 형성되지 않습니다.
- BGP: loopback을 설정하지 않으면, 기본적으로 BGP는 primary interface IP로 네이버를 맺을 텐데, reset 하거나 하는 상황이 되면 문제 될 수도 있을 것 같습니다.

4. 멀티캐스트 PIM 인터페이스를 사용하는 경우 primary 주소를 사용합니다.

5. Secondary address는 라우터가 DHCP relay agent로 사용되는 경우, DHCP를 지원하지 않습니다.
이를 해결하기 위해서, DHCP 서버에서 Superscope을 설정하거나 라우터에서 Smart-Relay 설정을 해야합니다.

6. Secondary address를 추가하면 well-known/default dehavior가 바뀔 수 있습니다.
예를 들면, 특정 IOS와 하드웨어 조합으로 IP redirects가 disable 되거나 secondary 주소를 지원하기 위해 특정 CEF 기능이 활성화될 수 있습니다. Secondary address를 제거할 때도 변화가 발생할 수 있습니다.

7. 관리 및 트러블슈팅에 좋지 않습니다.
특정 명령어는 source-address 옵션을 지원하지 않고 오직 source-interface 옵션만 사용하는 경우가 있습니다.

8. 커뮤니케이션상에 오해가 발생할 수 있습니다.
예1) "VLAN 10이 서버 A에 연결이 안된다"고 대화할 때 어느 subnet인지도 같이 얘기해야 합니다.
예2) "서버 A가 VLAN 10에 물려있다"고 얘기할 때, primary인지 secondary인지 명시해서 커뮤니케이션해야 합니다.


No comments:

Post a Comment