알림

※ 뉴스레터를 발행합니다. 다양한 글을 좀 더 빨리 읽으시려면, 구독해 주세요. '구독'은 글 쓰는 데 큰 힘이 됩니다. 감사합니다!

Sunday, August 1, 2021

홈 랩(Home Lab) 구축하기


이번 '홈 랩(Home Lab) 구축하기'에서는 주로 네트워크서버 엔지니어를 위한 랩을 구축하는데 초점을 맞추었다.

예전에 CCIE 자격증 취득을 위한 랩을 구축하기 위해서는 비싼 라우터, 스위치 등의 하드웨어 구매해야했었다. 그래서 혼자 CCIE 랩 장비를 구매하기 부담스러워 여러 명이 돈을 모아 같이 랩 장비를 사서 CCIE를 준비하기도 했다.

이후 VMware와 같은 가상화 기술, GNS3, EVE-NG와 같은 시뮬레이션 소프트웨어의 등장으로 네트워크/서버 실습을 위한 랩 구축은 정말 쉬워졌다. 여러 하드웨어로 인한 전력 소모도 줄어들고, 케이블링도 필요없다. 아주 강력한 서버용 하드웨어가 필요할 뿐이다.

물론 스위치, 방화벽(혹은 공유기) 등이 필요하지만 랩 구축의 핵심은 '서버'다.

홈 랩(Home Lab) 구축을 위해서 상당히 많은 시간을 들여 조사를 하고 고민도 많이 했다. 간단한 성능 좋은 PC를 구매해서 쉽게 구축할 수도 있지만, 장기적인 관점으로 제대로 된 랩을 구축하기 위해 고민을 많이 했다. 그런 고민의 흔적들을 이 글에서 풀어볼까 한다.

아래 선택 옵션 중에서 하늘색 컬러 폰트가 분석맨이 선택한 옵션이다.

* 참고: 레딧(Reddit)에는 많은 사람들이 자신이 구축한 홈 랩의 사진과 구성도를 올린다. 분석맨은 이렇게 다른 사람들이 구축한 생생한 구성을 보면서 좋은 아이디어를 얻기도 했다.
Reddit - homelabbity (홈래비티)
Reddit - HomeLab Porn (홈랩 포르노?)


    • 하드웨어

    홈 랩(Home Lab)의 가장 핵심 구성요소로 가장 조사를 많이 하고 고민했던 부분이다.

    ▶ 옵션 1. 엔터프라이즈급 1U 마운트 서버


    <Dell EMC 1U PowerEdge Server>

    기업이 많이 사용하는 1U(1.75 인치/44.45mm), 2U 형태의 엔터프라이즈 급 서버인 델(Dell) PowerEdge, HPE ProLiant 등의 서버가 있다. 일명, 피자 박스(pizza box) 서버라고도 한다.

    미국 처럼 따로 차고(garage), 에어콘, 전력 소모 걱정을 하지 않는 재력이 있어 이런 서버를 사용해도 좋겠지만, 아무래도 시끄러운 소음과 부피 등을 홈 랩 서버로 부담스럽다.

    실제로 미국에선 많은 Systems Engineer(SE)들이 차고에 이런 기업용 서버로 홈 랩을 구축하기도 한다.


    ▶ 옵션 2. 중형급 미니 타워 서버


    이 옵션이 분석맨이 선택한 옵션이다. 처음엔 공간도 적게 먹고, 전력 소모도 적고, 가격 부담도 적은 옵션 3의 미니 PC를 생각했지만, 장기적으로 강력한 여러 랩을 돌리려면 나중에 또 업드레이드가 필요할 것이라는 생각에 좀더 강력한 서버 옵션을 선택했다.

    <Supermicro SuperServer 5028D-TN4T Mini Tower Server>

    분석맨이 구매한 서버는 슈퍼마이크로의 슈퍼서버(SuperServer) SYS-5028D-TN4T 서버다. '슈퍼 마이크로 컴퓨터(Super Micro Computer, Inc.)'는 대만계 미국인 찰스 량(Charles Liang)이 창업한 IT 회사로 미국 실리콘밸리 산호세에 위치해 있다. 나스닥(NASDAQ)에는 2007년에 상장됐다. 주로 서버 마더보드, 하드웨어 등을 제작하고 있다. 서버 3대 강자인 Dell, HPE, IBM과 경쟁하면서도 잘 버티며 성장하고 있다.

    2018년 10월 블룸버그의 중국산 스파이 칩 내장 보도로 주가가 곤두박칠 치고 위기에 빠졌지만, 제3자 기관에 의뢰해 진행한 검증 등을 통해서도 관련 증거가 발견되지 않아 위기를 잘 넘겼다. 슈퍼마이크로 서버는 아마존, 애플과 같은 빅테크 기업 뿐만 아니라, 미국 주요 통신사, 국방부(DoD), 중앙정보국(CIA), 국토 안보부(DHS), 나사(NASA) 등 국가 보안에 관련된 부처에서도 많이 사용하고 있기 때문에 만약 증거가 발견되었다면 회사가 파산했을 것이다.

    * 관련 기사:
    블룸버그 최초 보도 '슈퍼마이크로 해킹칩' 사건 진실은 (지디넷)
    , 좁쌀만한 스파이칩으로…기업·CIA 기밀 털었다 (매일경제)

    이런 사건에도 불구하고 조사를 하면 할 수록 많은 랩 구축 경험자들은 슈퍼마이크로 서버를 선택했다. 계속 구매를 미루다가 2020년 5월 드디어 주문을 했다. 슈퍼마이크로가 교회 가는 길 I-880 고속도로 바로 옆에 있어 지나가며 회사 건물을 볼 때 마다 리마인드가 되기도 했다.

    ✓ 스펙


    슈퍼마이크로 SuperServer 5028D-TN4T 스펙은 아래와 같다.

    - CPU: Intel® Xeon® processor D-1541
    - Memory: 4x DDR4 DIMM sockets, Supports up to 128GB DDR4 ECC RDIMM
    - HDD: 4x 3.5" Hot-swap drive bays, 2x 2.5" internal drive bays
    - SATA: 6x SATA3 (6Gbps) ports
    - PCI-E: 1x PCI-E 3.0 x16 (Low Profile) slot, 1x M.2 PCI-E 3.0 x4, M Key 2242/2280
    - Network: 2x RJ45 10G Base-T, 2x RJ45 Gigabit Ethernet LAN, 1x RJ45 Dedicated IPMI LAN

    분석맨은 RAM을 128GB로 장착하고, 이후 하드디스크(SSD, HDD)는 단계적으로 확장했다.

    ✓ 하드디스크(HDD, SSD)


    1) HDD
    일반 하드디스크를 지원하는 HDD 드라이브 베이는 Hot-swap 3.5인치 x 4개, 내장용 2.5인치 x 2개를 지원한다.

    HDD는 직렬 ATA(SATA; Serial ATA, '새터' 혹은 '세이터'로 발음)를 지원하며 슈퍼서버는 6Gbps를 지원하는 SATA3를 지원한다.

    <An mSATA SSD on top of a 2.5-inch SATA drive, Wikipedia>

    * 참고: [sata1 sata2 sata3 차이] SATA1, SATA2, SATA3 뭐가 다른가요?


    2) SSD
    - SSD를 지원하는 인터페이스는 아래와 같이 2가지 타입이 있다.
    NVMe (NVM Express; Non-Volatile Memory Express) 프로토콜을 사용하는 장치는 ① M.2 슬롯을 사용할 수도 있고, ② PCI-Express 슬롯을 사용할 수도 있다.

    * 참고:
    저장장치 M.2 SSD SATA와 NVMe의 차이
    M.2 SATA vs. NVMe SSDs: Which Do You Need? (CDW)

    ① M.2

    <Installing NVMe SSD into M.2 socket>

    SYS-5028D-TN4T 서버는 1개의 M.2 슬롯이 있다. M.2 인터페이스는 울트라북, 태블릿 PC 등의 발전으로 기존 mPCIe(mini PCI-Express), mSATA(mini SATA)를 대체하기 위해 2013년에 발표된 커넥터 규격으로 인텔이 주도하여 만들었다.

    M.2는 커넥터(슬롯) 규격이며 이 슬롯에 SATA 프로토콜 방식의 장비가 꽂힐 수도, PCIe 방식의 장비가 꽂힐 수도 있다.

    같은 M.2 슬롯를 사용하더라도 SATA3 인터페이스라면 AHCI 기반의 SATA3 성능이 나오고, M.2 단자에 PCIe 3.0/4.0 4레인을 사용하는 NVMe 인터페이스를 사용하면 SATA보다 높은 성능(더 큰 데이터 대역폭)이 나온다.

    * 참고: M.2 (나무위키)

    <분석맨 Supermicro SYS-5028D-TN4T 서버 내부>

    분석맨은 처음에 Sabrent의 1TB SSD아마존에서 구매해서 장착했다. (2021년 8월 1일 현재, 아마존에서 $129.98불, 2020년 5월 27일 구매 시, $163.85) Sabrent SSD는 삼성 SSD에 비해 성능은 약간 떨어질지 모르지만 가성비가 좋다.

    1TB Rocket NVMe PCIe M.2 2280 Internal SSD High Performance Solid State Drive (Model: SB-ROCKET-1TB)

    * 참고: Sabrent 4TB Rocket NVMe M.2 High Performance SSD - FLIR thermal imagery, firmware tools, and speed tests for VMware ESXi 7.0 VMFS and Windows 10 NTFS (TinkerTry)


    ② PCI Express

    <PCI Express slots, Wikipedia>

    PCI Express는 2003년에 Intel, Dell, HP, IBM이 합작하여 PCI 의 후속 인터페이스로 발표하고 2004년부터 적용된 규격이다. 줄여서 보통 PCIe 혹은 PCI-e라고도 불린다.

    * 참고: PCI Express (나무위키)

    SYS-5028D-TN4T 서버는 1개의 M.2 슬롯 밖에 없지만, PCIe 슬롯에 장착할 수 있는 add-on 형태의 카드인 AOC-SLG3-2M2가 있어 이 카드에 추가로 2개의 M.2 인터페이스 타입 NVMe SSD를 추가할 수 있다. 가격은 현재 아마존에서 $49.84불이다. (2020년 12월 5월, 구매 시 $47.10)
    <Supermicro PCI-E Add-On Card for two NVMe SSDs>

    분석맨은 2번째 SSD로 삼성 970 EVO Plus SSD 2TBAOC-SLG3-2M2에 장착했다. 아마존에서 현재 $299불이다. (2020년 12월 5월, 구매 시 $273.11)

    SAMSUNG 970 EVO Plus SSD 2TB - M.2 NVMe Interface Internal Solid State Drive with V-NAND Technology (Model: MZ-V7S2T0B/AM)

    * 참고:
    The best NVMe SSD in 2021 (PC Gamer)
    The Best PCI Express NVMe Solid State Drives (SSDs) for 2021 (PC Magazine)


    ✓ 구매


    슈퍼마이크로 서버는 아마존에서도 판매하지만, TinkerTry 사이트를 통해서 Wiredzone에서 구매하면 메모리 업그레이드는 맞춤 주문을 할 수 있다. TinkerTry 사이트를 통해서 번들로 구매하면 SATA 케이블 등 액세서리를 무료로 받을 수 있었는데, 2021년 7월 26일부로 슈퍼마이크로 주문을 할 수 없는 상태이다. 이제 Wiredzone을 통해서 바로 구매해야 한다.

    하지만, 여전히 TinkerTry 사이트는 VMware, 서버, 스토리지 등의 장착 후기, 테스트, 각종 정보를 얻을 수 있는 좋은 곳이다.

    한국에서 슈퍼마이크로 서버 구매를 원하시는 분들은 아래 한국 총판 블로그 사이트를 참고하시기 바란다. Wiredzone에서도 해외 배송이 가능하다고 하지만 아무래도 고객 지원 등 향후 지원을 위해서는 국내에서 구매하는 것이 좋을 것 같다.

    * Supermicro 한국 총판 슈퍼솔루션 블로그


    ▶ 옵션 3. 소형 미니 PC


    분석맨이 처음 고려했던 하드웨어로 소형 미니 PC라고 불린다. 인텔 미니 PC인 NUC()이 잘 알려져 있다.
    <Intell NUC Kits, Intel>

    처음엔 이 인텔 NUC과 슈퍼마이크로의 미니 PC인 SYS-E200, E300과 비교했다. 결정적으로 슈퍼마이크로로 선택이 기울게 된 건 VMware ESXi 때문이다. 네트워크·서버 랩을 돌리기 위해서는 가상화 소프트웨어가 필요하다. 물론, 윈도우나 리눅스 O/S를 설치하고 일반적인 많이 사용하는 VMware Workstation이나 VirtualBox를 설치해도 된다.

    하지만 분석맨은 VMware도 공부해 보고 싶었기에 VMware ESXi에 더 적합한 하드웨어인 슈퍼마이크로 서버를 선택했다.

    <Supermicro SuperServer SYS-E200-8D & SYS-E300-8D, TinkerTry>

    SuperServer E200-8D
    SuperServer E300-8D

    분석맨이 구입한 SYS-5028D-TN4TSYS-300은 VMware 호환성 리스트에 공식적으로 올라가 있는 모델이다. 아래 VMware 사이트에서 ESXi 버전별로 지원하는 서버 제조사를 검색해 볼 수 있다.

    VMware Compatibility Guide (VCG)

    인텔 NUC의 경우, 공식 호환성 리스트에는 없지만 많은 엔지니어들이 ESXi를 올려서 사용하기 때문에 실제 사용하는데는 문제가 없다. 다만, ESXi 랩을 사용하는 대부분의 엔지니어들이 슈퍼마이크로 서버를 추천해서 분석맨도 가성비가 좋은 슈퍼마이크로 서버를 선택했다.

    슈퍼마이크로는 팬이 없는(fanless) 모델인 E100 시리즈를 출시하기도 했다. 소음에 민감한 사람은 고려해 볼 만하다.


    • 서버 및 O/S

    서버 하드웨어가 홈 랩 구축에 있어 가장 중요한 요소이고 돈이 많이 들지만, 이 위에서 돌아가는 가상화(Virtualization) 소프트웨어도 중요하다. 이 위에 각종 O/S, 네트워크 시뮬레이터를 돌릴 수 있기 때문이다.

    서버 가상화 솔루션으로는 가장 많이 알려진 VMware의 ESXi, Microsoft의 Hyper-V, Red Hat의 KVM, Citrix의 XenServer 등이 있다.


    ▶ 옵션 1. VMware ESXi 서버


    분석맨이 선택한 옵션으로 현재 슈퍼마이크로 SYS-5028D-TN4T 위에 VMware ESXi 7.0이 올라가 있다. 그리고 이 가상화 기반 위에 윈도우 2019 서버, 리눅스 서버(RHEL, Ubuntu, Kali), 네트워크 에뮬레이터(GNS3, EVE-NG) 등의 VM(Virtual Machine)들이 올라가 있다.

    VMware 가상화 소프트웨어는 상용이지만, 무료로 라이센스를 얻을 수 있는 방법이 있다. 아래 링크를 참고하시라.

    Free ESXi 7.0 - How to Download and get License Keys (Virten.net)
    Free ESXi 6.5 - How to Download and get License Keys (Virten.net)

    ESXi 6.5에선 2개 물리 CPU, VM당 8 vCPU 지원 등 제한 사항들이 있었지만, ESXi 7.0 버전에선 이런 제한이 없어졌다. 하지만, 여전이 기술지원을 받을 수 없고, ESXi를 vCenter 서버에 추가할 수도 없다.


    VMUG Advantage
    분석맨은 VMUG Advantage라는 멤버십에 가입을 해서 VMware 소프트웨어를 사용 중이다. 이 멤버십에 가입하면 거의 모든 VMware 소프트웨어를 무제한으로 사용할 수 있다. 1년 평가판 라이센스를 얻을 수 있어 무료로 사용할 수 없는 vCenter 서버, 네트워크 가상화 솔루션인 VMware NSX, 스토리지 가상화인 VMware SAN 등도 사용해 볼 수 있다.

    이외에 세미나도 제공하고, VMware 교육 20~35% 할인 혜택 등도 제공된다. 단, 회비가 1년에 $200불이다. 보통 10%의 할인 코드를 상시 제공하니, $180불에 가입하는 셈이다. 아래 사이트에서 자세한 정보를 확인할 수 있다.
    VMUG Advantage Membership


    ▶ 옵션 2. 윈도우 O/S with VMware Workstation


    가장 쉽게 이용할 수 있는 옵션은 윈도우 10과 같은 O/S를 설치 후, VMware Workstation을 돌리는 방법이다. VMware Workstation은 크게 2가지 제품인 VMware Workstation PlayerPro가 있다. 각각 $149, $199불 이다. 고객지원(Support)가 추가된 Pro 버전은 $241불이다.

    아래 사양 비교표를 참고하길 바란다.

    Player 버전은 NAT와 같은 가상화 네트워크 조정 등을 지원하지 않으니 홈 랩을 돌리기 위해서는 Pro 버전이 적합할 것이다.

    VMware Workstation Features Comparison
    <VMware Workstation Features Comparison>

    ▶ 옵션 3. 리눅스 with VMware Workstation


    VMware Workstation은 Ubuntu, Red Hat Enterprise Linux (RHEL), CentOS 등 리눅스 플랫폼에도 설치할 수 있다. 윈도우 O/S 라이센스 구입에 대한 비용을 절감하거나, 리눅스을 사용해보고 싶은 사용자에게 알맞은 옵션이다.

    레드햇 계열의 리눅스를 설치하는 경우, 예전엔 대부분 CentOS를 설치했다. 하지만, 2020년 8월 레드햇이 CentOS 프로젝트를 중단한다는 발표를 하면서 리눅스 커뮤니티에 큰 충격을 주었다. 레드햇은 많은 논란 때문이었는지, 2021년 2월 RHEL 리눅스를 16대까지 무료로 설치해도 된다는 발표를 했다. 이후, 분석맨도 CentOS가 아닌 RHEL 8.4를 옵션 1을 이용해 설치했다. 관련한 자세한 내용은 아래 링크를 참고 하시길.

    * 참고:
    CENTOS 종료 – CENTOS 8은 2021 년 종료, 앞으로는 CENTOS STREAM (Opennaru)
    CentOS is gone—but RHEL is now free for up to 16 production servers (Ars Technica)
    No-cost Red Hat Enterprise Linux Individual Developer Subscription: FAQs (Red Hat)

    * 참고 자료 및 출처


    • 네트워크 및 스위치

    서버와 더불어 네트워크도 홈 랩에서 중요한 요소다. 보통 가정용 스위치는 일반적으로 더미(dummy) 허브와 같이 특별한 기능이 없는 'Unmanaged 스위치'와 VLAN, QoS, Link Aggregation 등 네트워크 기능을 지원하는'Managed 스위치'로 크게 나뉜다.

    홈 랩을 하다 보면 스토리지와 연동하거나 각종 기능을 사용할 수 있어서 홈 랩을 구축할 정도의 생각을 가졌다면 Managed 스위치를 구매하길 추천한다.

    일반적으로 SMB용 스위치 벤더로는 D-Link, TP-Link, NETGEAR, TRENDnet 등의 벤더가 있고, Cisco도 이런 종류의 스위치를 판매한다.


    ▶ 스위치 포트

    Managed 스위치는 포트 기준으로 5, 8, 12, 16, 24, 48 포트는 다양하다. 연결할 기기들을 적어보고 확장성을 염두에 두어 적정한 포트 수량을 선정한다.

    ▶ PoE(Power over Ethernet)

    무선 AP 등을 사용하거나 무선 랩을 구축하는 경우, 추가 전원 어댑터 없이 AP에 Ethernet 케이블로 전원을 공급할 수 있는 PoE 포트가 있는 스위치가 필요하다. 12포트 스위치의 경우, 4포트는 PoE 겸용 등 전체 포트 중 일부 포트를 PoE로 제공하는 경우가 많다.

    ▶ 기능(Features)

    랩을 위해서는 VLAN, 802.1q, Link Aggregation 기능이 있는 스위치는 고르는 것을 추천한다. 홈 랩을 하다보면 여러 VLAN을 나누는 경우가 생길 수도 있고, 스토리지와 연동을 위해서 1Gbps 2개를 묶어 2Gbps로 Link Aggregation 할 수도 있다.


    참고로, 분석맨은 예전에 Cisco SG300-10 10포트 Gigabit Managed Switch를 썼고, 지금은 Extreme Networks의 X440G2-12p-10G4 스위치를 사용하고 있다.
    보통 아마존 평점이 좋은 것으로 고르면 무방하다. 아래와 같이 2개의 모델을 아마존에서 골라보았다.


    ※ 추천 모델

    현재 (2021년 8월) Cisco SG350-10P 스위치의 경우 아마존에서 $325불로 아래와 같은 스펙을 제공한다.
    - 총 10포트, 8포트 10/100/1000, 2 x 1G 업링크(SFP), 8포트 PoE 지원
    - Static routing, QoS, voice/guest VLAN, MSTP, IGMP snooping, time-based access control lists, 802.1x, Web-based Authentication, IPv6 First Hop-Security, IP Source Guard

    가격이 좀더 싼 TP-Link TL-SG2210MP 모델은 아마존에서 $149.99불로 아래와 같은 스펙을 제공한다.
    - 총 10포트, 8포트 10/100/1000, 2 x 1Gbps SFP, 8포트 PoE 포트 지원
    - Static routing, 802.1Q VLAN, IP-MAC-Port binding, ACL, Port Security, DoS defend, Storm control, DHCP Snooping, 802.1X radius authentication, L2/L3/L4 QoS, IGMP Snooping, Link Aggregation, Flow Control.


    • 라우터, 방화벽 혹은 공유기

    인터넷 연결을 위해서 Wi-Fi 라우터 혹은 유무선 공유기로 불리는 유무선 겸용 라우터를 사용하는 것이 일반적이다. 보통은 이런 기기도 스위치와 비슷하게 TP-Link, NETGEAR, Linksys 등의 벤더가 있다. (한국산은 EFM ipTIME)
    따로 방화벽을 설치하지 않으려면, Wi-Fi 라우터에 방화벽(firewall)이나 VPN 서버 기능이 있는 모델을 고르는 것을 추천한다.
    예전에 분석맨은 Wi-Fi 라우터에 DD-WRT를 올려 사용하기도 했다. DD-WRT를 사용하면, Wi-Fi 라우터에서 지원하는 기능 이외의 여러 추가 기능을 이용할 수 있다.


    ▶ Wi-Fi 라우터(Router)


    아마존에서 평점이 좋은 모델은 아래와 같다.
    TP-Link AC4000 Tri-Band WiFi Router, $124.99
    TP-Link AC1750 Smart WiFi Router, $64.99
    Linksys WRT3200ACM Dual-Band Open Source Router for Home, $214.99


    ▶ 방화벽(Firewall)


    Wi-Fi 라우터에 있는 방화벽이나 VPN 기능을 쓰지 않고 좀 더 전문적이고 다양한 기능을 사용하려면 아래와 같은 방화벽을 추천한다.


    ▶ 옵션 1. 오픈소스 방화벽


    오픈소스 방화벽의 장점은 크게 무료라는 점과 오픈 소스 기반이라 각종 Plugins, Packages를 올릴 수 있다는 점이다. 사이버보안에 관심이 있는 엔지니어라면 SNORT, Suricata IDS 등과 연동이 가능한 이 옵션을 추천한다.

    분석맨은 오랜 조사와 고민 끝에 Home Firewall로 OPNsense를 설치했다. 여러 오픈소스 무료 방화벽 중에 후보로 pfSense, OPNsense, Untangle, Sophos UTM이 올랐었다.
    OPNsense 방화벽에 관해서는 아랫글을 참고하시길.

    * 함께 읽어보면 좋은 관련 글: 오픈소스 무료 방화벽(Firewall) - OPNsense


    ▶ 옵션 2. SMB용 상용 방화벽


    SMB용 혹은 홈 랩용 유료 방화벽으로 분석맨이 고민한 기기는 USG(Ubiquiti Unifi Security Gateway) Pro다.
    Ubiquiti Networks의 USG-PRO-4가 아마존에서 $274.28로 고가인 편이다. 하지만, 많은 홈 랩 구축자들이 이 모델을 선택했음을 Reddit을 통해 알 수 있었다.
    이외에 Sophos XG, SonicWall, Zyxel 과 같은 가정용 방화벽 벤더와 모델이 있다.

    좀 더 비용을 투자하여 현재 Next-Gen Firewall 시장의 리더 업체인 Palo Alto NetworksFortinet 방화벽을 고려해 볼 수 있다. 하지만, 이 경우 Ubiquiti 등의 벤더에 비해 2~3배 이상으로 비용이 올라간다.

    팔로알토 방화벽은 PA-220이 약 1,000불, 각종 보안 기능 서비스을 포함하면 $1,699불 정도 한다.
    Palo Alto Networks PA-220 Lab Unit Next-Gen Firewall Bundle (Amazon)

    포티넷 방화벽은 아래와 같은 FortiGate 60E, 50E 모델이 있다.
    FORTINET FG-60E-BDL Fortigate Next Generation (Ngfw) Firewall Appliance Bundle with 8x5 Forticare and Fortiguard, $619.99 (Amazon)
    FORTINET FortiGate-60E / FG-60E Next Generation (NGFW) Firewall Appliance, 10 x GE RJ45 Ports, $329.00 (Amazon)
    Fortinet FortiGate 50E and 1YR 24x7 UTM Protection BDL (FG-50E-BDL-950-12), $562.82 (Amazon)
    Fortinet FG-50E Next Generation (Ngfw) Firewall Appliance, 7X GbE RJ45 Ports, $264.44 (Amazon)

    대체로 포티넷 방화벽이 팔로알토 방화벽에 비해 총소유비용(TCO)는 좋은 편이다.

    아래는 OPNsense, Untangle과 같은 오픈소스 방화벽과 Ubiquiti의 USG를 비교한 표이다. 


    * 참고 자료 및 출처


    • 랙/캐비넷

    ▶ Rack/Cabinet

    랙은 정말 많은 장비가 있지 않은 이상 Half Rack 정도면 대부분 장비를 장착할 수 있을 것이다. 분석맨은 아래 19인치 표준랙, 12U 사이즈를 $152.83에 구입했다.

    TUFFIOM 12U Casters Network Enclosure, $219.99 (Amazon)

    <분석맨의 Home Lab in 12U Rack>

    ▶ Cooling Fan

    랙에는 보통 쿨링 팬이 붙어 있지만, 랙 안의 장비가 많아지면 발생하는 열을 충분히 식혀주기에는 부족하다. 이럴 때는 장비 위나 아래에 바로 쿨링 팬을 놓아주면 발열을 많이 감소시킬 수 있다.
    분석맨이 구입한 쿨링 팬은 아래와 같다.

    AC Infinity MULTIFAN S3, Quiet 120mm USB Fan (Amazon, $12.99)
    AC Infinity MULTIFAN S7, Quiet Dual 120mm USB Fan (Amazon, $19.99)


    ▶ Cabling

    랙 안의 네트워크 케이블을 좀 깔끔하게 정리하려면 길이가 짧고 랜 선의 두께가 얇은 케이블을 사용하면 좋다. 분석맨이 사용한 Ethernet 케이블은 아래와 같다.

    Monoprice - 115154 SlimRun Cat6A Ethernet Patch Cable (Amazon, $11.99)


    • 스토리지

    각종 랩을 돌리거나 사진, 동영상 등을 보관하기 위해서는 NAS (Network Attached Storage)가 필요하다. 홈 랩 서버와 NFS, SMB 등의 프로토콜을 연동하여 스토리지를 사용할 수 있다.

    관련 벤더는 Synology, QNAP 등이 있는데 역시 지존은 Synology(시날로지)다.
    시날로지 관련 정보는 아래 네이버 카페에서 얻거나 궁금한 점을 질문할 수 있다.
    시놀로지 나스 대표 포럼카페

    분석맨은 Synology DS916+ 모델에 WD Red 6TB NAS HDD 4개를 아래와 같이 사용하고 있다.
    Storage Pool 1, WD Red 6TB x 2, RAID 1 with data protection (각종 중요 데이터, 가족사진, 동영상)
    Storage Pool 2, WD Red Plus 6TB x 1, Basic without data protection (손실되어도 괜찮은 일반 데이터, CCTV 녹화 영상 등)
    Storage Pool 3, WD Red 6TB x 1, Basic without data protection (손실되어도 괜찮은 일반 데이터, 영화, 드라마 등)

    Synology 스토리지는 Virtual Machine Manager 기능이 있어서 VMware ESXi 처럼 Windows, Linux 등 각종 VM을 올릴 수 있다. 또한, Docker container를 포함한 수많은 Add-on 패키지를 지원한다.
    이 스토리지에 VM을 올려서 홈 랩 서버를 돌릴 수도 있지만, 홈 랩은 상당히 많은 CPU 리소스와 메모리를 소비하므로 전용 서버를 따로 두는 것을 추천한다.

    * 참고 자료


    • 무정전 전원 장치(UPS)

    분석맨이 거주하는 실리콘밸리 지역은 정전이 꽤 발생하는 편이어서 무정전 전원 장치 UPS(Uninterruptible Power Supply)를 구입하게 되었다. 무엇보다 중요 데이터가 저장된 스토리지를 보호하기 위해서다.
    이외에도 정전 상황에서도 2~3시간 정도 인터넷을 추가로 사용하고 휴대폰을 충전할 수 있는 장점이 있다.

    UPS 벤더로는 APC가 가장 유명한데, 단점은 가격이 비싸다. 분석맨은 가성비가 좋은 CyberPower의 아래 UPS를 $218.35불에 구입했다.

    CyberPower CP1500PFCLCD PFC Sinewave UPS System, 1500VA/1000W, 12 Outlets, AVR, Mini Tower, $249.48 (Amazon)

    UPS 스펙을 보면 Pure Sinewave순수 사인파(정현파)와 Modified Sinewave유사 정현파(구형파)가 있는데, 전원 품질이 중요한 장비를 사용한다면, 순수 사인파가 출력되는 PFC(Power Factor Correction) Sinewave UPS를 구매하길 추천한다. 순수정현파는 가격이 상당히 비싸다.

    순수정현파는 간단히 말해서, 전력회사에서 제공하는 불안정한 전력을 정제한 파형이다. 랩탑 등 민감한 전자기기의 손상을 줄여주기 위해서 사용한다. 랩탑과 같은 민감한 기기들은 Active PFC를 지원한다.

    분석맨의 CyberPower UPS는 Synology 스토리지와 UPS로 연결되어 있어, 정전 시 스토리지는 Safe Mode로 동작하여 모든 서비스를 중단하고 볼륨을 umount 하여 데이터 손실을 방지한다. 이후 UPS 배터리 용량이 낮아지면, 스토리지는 자동으로 shutdown 한다.

    Synology가 지원하는 UPS 벤더와 모델은 아래 사이트에서 검색할 수 있다.

    * 참고 자료 및 출처
    CyberPower - PFC Sinewave UPS and Active PFC Red logo (YouTube, 3:30)

    • 네트워크 시뮬레이터

    마지막으로 네트워크 랩을 돌리기 위해서는 네트워크 시뮬레이터(Network Simulator)을 사용한다. 네트워크 공부를 막 시작한 엔지니어의 경우, Cisco Packet Tracer와 같이 간단한 시뮬레이터 소프트웨어를 사용하면 되지만 좀 더 전문적인 랩을 돌리기 위해서는 아래와 같은 시뮬레이터를 사용한다.

    ▶ 옵션 1. GNS3

    GNS3(Graphical Network Simulator-3)는 가장 오래되고 신뢰할 수 있는 네트워크 시뮬레이터 소프트웨어로 오랫동안 사랑을 받고 있다. 아래 마켓플레이스에서 지원하는 수많은 벤더와 랩을 볼 수 있다.

    ▶ 옵션 2. EVE-NG

    EVE-NG는 GNS3 이후에 나온 네트워크 시뮬레이터로 GNS3와 더불어 많이 사용한다. 지원하는 각종 랩 벤더는 아래 사이트에서 확인할 수 있다.

    EVE-NG는 무료인 Community 버전과 유료 Professional (약$115불/1년) 버전 등이 있다. Edition 별 사양 비교표는 아래에서 확인할 수 있다.


    GNS3, EVE-NG 이외에도 아래 '참고 자료 및 출처'에 있는 다른 네트워크 시뮬레이터도 있으니 참고하시기 바란다.

    * 참고 자료 및 출처


    • 원격 접속(Remote Access)

    랩 구축 후, 회사나 외부에서 집에 있는 랩에 접속할 일이 생긴다. 원격 접속을 위해서는 VPN 서버를 구축해야 한다.

    ▶ VPN

    위의 '라우터, 방화벽 혹은 공유기' 부분에서 언급했듯이, 분석맨은 오픈소스 방화벽인 OpenSense를 쓰고 있고, 여기에 OpenVPN 서버를 설치하여 사용하고 있다. 또한, 2FA를 설정하여 스마트폰의 Microsoft Authenticator를 통해 2단계 인증을 하여 보안을 강화했다.
    OpenVPN과 2FA 설정 방법은 아래 블로그 글을 참고하시라.


    ▶ Remote Desktop Application

    VPN 연결 후, 원격 접속을 위해서는 여러 프로그램을 사용한다. 윈도우 서버에 접속하기 위해서는 Microsoft Remote Desktop (RDP)를 사용하고, 리눅스 서버 접속을 위해서는 NoMachine을 사용한다. 네트워크 장비나 리눅스 서버를 SSH로 접속하는 경우 macOS에서는 iTerm, Windows 10에서는 mRemoteNG를 사용한다.

    윈도우 시스템 접속으로 가장 많이 사용하는 프로그램이니 더 설명이 필요 없다. 속도도 다른 RDP 지원 프로그램 보다 빠르다.

    Anydesk와 함께 컴퓨터 원격 접속·제어 프로그램으로 가장 잘 알려져 있다. 화면 공유, 파일 전송 등 다양한 기능을 지원한다. 비상업적 용도로 무료 사용할 수 있지만, 계속 무료로 사용하는 경우 구매하라는 경고창이 귀찮게 많이 뜬다.

    TeamViewer와 함께 컴퓨터 원격 접속·제어 프로그램으로 많이 쓰인다. 역시 비상업적 무료 사용자에게는 구매하라는 팝업 창이 표시된다.
    분석맨은 한동안 AndyDesk를 사용했는데, 리눅스 접속에 문제가 생기면서 NoMachine를 사용하게 되었다. 자세한 내용은 아래 블로그 글을 참고하시라.


    윈도우, 맥, 리눅스, 라즈베리 파이, ARM 등 거의 모든 O/S를 지원한다. 자세한 내용과 설치 방법은 위의 블로그 링크를 참고하시라.

     iTerm (macOS)
    맥 사용 초보자가 아닌 이상 macOS에 기본으로 내장된 Terminal 프로그램을 쓰진 않을 것이다. 유료는 SecureCRT, 무료는 iTerm을 가장 많이 사용한다.

     mRemoteNG/PuTTY (Windows)
    윈도우에서 SSH 접속을 위해서는 무료 터미널 에뮬레이터인 PuTTY을 가장 많이 사용한다. 하지만, Multi Tab 창, 연결 리스트, 폴더 지원 등 다양한 기능을 위해서는 SecureCRT, MobaXterm, mRemoteNG, KiTTY, SuperPuTTY 등을 사용한다.

    유료는 SecureCRT가 가장 많이 사용된다. 무료 버전은 여러 가지 프로그램 사용해 봤는데, 아직까지 mRemoteNG가 최고로 좋다고 생각한다. mRemoteNG 프로그램 하나로 Telnet, SSH, RDP, VNC 등 다양한 프로토콜을 이용하여 접속할 수 있다.

    • 기타

    이 정도면 홈 랩 구축에 필요한 거의 모든 부분을 커버한 것 같습니다. 혹시나, 빠진 부분이나 궁금한 내용이 있으시면 댓글 달아주세요. 추가로 업데이트하겠습니다.

    No comments:

    Post a Comment