참고물리적인 네트워크 포트를 이용하여 다음과 같은 논리 네트워크 포트를 추가할 수 있습니다.
애그리게이션: 애그리게이션은 여러 개의 네트워크 포트를 하나의 네트워크 포트처럼 동작하도록 묶어주는 기능입니다.
브리지: 네트워크 포트를 브리지로 구성합니다.
VLAN: VLAN (Virtual Local Area Network)을 이용하는 네트워크 포트를 추가합니다.
보조 네트워크 포트: 보조 네트워크 포트를 추가합니다.
GRE 포트: GRE 터널에 사용되는 GRE 네트워크 포트를 추가합니다.
네트워크 포트를 설정하는 방법은 다음과 같습니다.
메뉴에서 네트워크->네트워크 포트->네트워크 포트를 선택합니다.
추가를 누른 다음 기본 설정에서 필요한 항목을 설정합니다.
이름: 네트워크 포트의 이름입니다. 영문자 또는 숫자로 15자까지 입력할 수 있습니다.
사용 여부: 네트워크 포트의 사용여부 입니다. 사용을 선택하지 않으면 네트워크 포트를 목록에 추가만 하고 사용하지 않습니다. 기본적으로 사용하도록 설정되어 있습니다.
유형: 구성하고자 하는 네트워크 포트 유형을 애그리게이션, 브리지, VLAN, 보조 네트워크 포트, GRE 중에서 선택할 수 있습니다. 네트워크 포트 유형에 따라 설정 항목이 다릅니다.
제어: 네트워크 포트를 통해서 장비를 관리할 때 필요한 프로토콜을 선택합니다. PING, SSH, HTTPS 중에서 선택할 수 있습니다. ARP와 NDP(Neighbor Discovery Protocol)는 기본적으로 사용하도록 설정되어 있으며 사용하지 않도록 설정할 수 없습니다. PING은 기본적으로 사용하지 않도록 설정되어 있으며 HTTPS, SSH는 사용하도록 설정되어 있습니다.
ARP 제어: 유형이 보조 네트워크 포트일 때 나타납니다. ARP 프로토콜의 사용 여부를 선택합니다. IPv4에만 적용됩니다. 사용함, 사용 안 함, 사용함(HA) 중에서 선택할 수 있습니다. 기본 값은 사용함입니다.
사용함: ARP 프로토콜을 사용합니다.
사용 안 함: ARP 프로토콜을 사용하지 않습니다.
사용함(HA): HA 기능을 사용할 때 Master 장비에 문제가 있어도 ARP 프로토콜에 문제가 없도록 하는 기능입니다. ARP 제어를 사용함(HA)으로 설정하면 HA로 구성된 장비들이 같은 IP 주소를 사용하더라도 Master 장비만 ARP 응답을 하여 MAC 주소를 보냅니다. Master 장비에 문제가 발생하더라도 Slave 장비가 Master 장비로 바뀌므로 ARP 요청에 문제없이 응답합니다.
MTU: MTU (Maximum Transfer Unit: 최대 전송 단위)를 설정합니다. 기본 값은 1500이고, 100~1500 사이의 값을 입력할 수 있습니다. IPSec VPN을 사용할 경우, 100~1360 사이의 값으로 변경하십시오. 유형이 GRE이거나, 보조 네트워크 포트일 때는 MTU 값을 변경할 수 없습니다. GRE 포트의 MTU는 1360이고, 보조 네트워크 포트의 MTU는 보조 네트워크 포트를 설정한 실제 물리적 네트워크 포트의 MTU를 사용합니다.
설명: 영문자와 숫자를 기준으로 63자까지 입력할 수 있습니다. 한글, 중국어와 같은 2바이트 문자는 한 글자가 2자로 계산됩니다.
확인을 누릅니다. 설정이 올바르지 않으면 다음과 같은 메시지가 나타날 수 있습니다.
이름을 입력하십시오.: 네트워크 포트 이름을 입력하지 않았을 때
잘못된 이름입니다. 네트워크 포트 이름은 숫자와 영문 15자까지 입력할 수 있습니다.: 네트워크 포트 이름을 영문이나 숫자로 입력하지 않았거나 입력 범위를 초과했을 때
잘못된 VLAN ID입니다.: VLAN ID에 0~4095 이외의 값을 입력했을 때
네트워크 포트를 추가할 수 없습니다. 유형이 VLAN 또는 보조 네트워크 포트인 경우 이름이 10자 이상인 네트워크 포트를 사용할 수 없습니다.: 유형이 VLAN 또는 보조 네트워크 포트인 경우 이름에 10자 이상을 입력했을 때
네트워크 포트를 선택하십시오.: 물리적 포트를 선택하지 않았을 때
물리적 포트(은)는 네트워크 포트 이름에서 사용하고 있습니다.: 다른 네트워크 포트에서 사용하고 있는 물리적 포트를 선택했을 때
IP 주소 "IP 주소 이름"(은)는 네트워크 포트(네트워크 포트 이름)에 이미 있습니다.: 다른 네트워크 포트에서 사용하고 있는 IP 주소를 선택했을 때
IP 주소를 입력하십시오.: IP 주소를 입력하지 않았을 때
잘못된 IP 주소입니다.: IP 주소의 입력 범위를 초과했을 때
CIDR를 입력하십시오.: CIDR를 입력하지 않았을 때
잘못된 CIDR 값입니다. 0~32 사이의 숫자를 입력하십시오.: IPv4 주소의 CIDR 입력 범위를 초과했을 때
잘못된 CIDR 값입니다. 0~128 사이의 숫자를 입력하십시오.: IPv6 주소의 CIDR 입력 범위를 초과했을 때
잘못된 MTU입니다.: MTU에 100~1500 이외의 값을 입력했을 때
잘못된 MTU입니다. IPv6를 사용할 경우 MTU는 1280보다 커야 합니다.: IPv6 주소를 사용하는 네트워크 포트의 MTU에 1280보다 작은 값을 입력했을 때
설명을 잘못 입력했습니다. 설명은 영문자와 숫자를 기준으로 63자까지 입력할 수 있습니다. 한글, 중국어와 같은 2바이트 문자는 한 글자가 2자로 계산됩니다.: 설명에 영문자와 숫자를 기준으로 64자 이상을 입력했을 때
여러 개의 물리적인 네트워크 포트를 묶어서 논리적으로 하나의 네트워크 포트처럼 동작합니다. 애그리게이션 포트는 Active-Active, Active-Sandby, 802.3ad와 같이 장애 허용성을 보장하거나 네트워크 부하 분산이 필요할 때 사용합니다. 애그리게이션 포트를 설정할 때 다음 항목들을 선택하거나 입력합니다.
모드: 기본 값은 Active-Backup이며 Active-Backup, Active-Active, 802.3ad 중에서 선택할 수 있습니다.
Active-Backup: 여러 개의 물리적 포트 가운데 숫자가 낮은 포트(예: eth0, eth1로 구성된 경우, eth0)가 Active 포트가 되고, 나머지 포트는 Backup 포트가 됩니다. Active 포트에서 장애가 발생하면 Backup 포트 중에서 숫자가 낮은 물리적 포트가 Active 포트로 동작합니다. 장애 허용성(fault tolerance)은 보장하지만 네트워크 부하 분산(load balancing) 기능은 없습니다.
Active-Active: 모든 물리적인 네트워크 포트를 사용합니다. 애그리게이션을 Active-Active로 구성합니다. 애그리게이션을 Active-Active로 구성하면 장애 허용성이 생기며, 네트워크 부하도 분산할 수 있습니다.
802.3ad: Layer2 기반 부하 분산, Layer3 + Layer4 기반 부하 분산, Layer2 + Layer3 기반 부하 분산과 같이 동작인 부하 분산 기능을 제공합니다. 802.3ad로 구성하려면 연결할 스위치가 802.3ad를 지원해야 합니다.
물리적 포트: 애그리게이션 구성할 물리적 포트를 선택합니다. 장비에 실제로 존재하는 물리적인 네트워크 포트 가운데 여러 개를 선택할 수 있습니다.
IPv4 주소: IPv4 주소를 입력합니다. 0.0.0.0~255.255.255.255 사이의 값과 0~32 사이의 CIDR 값을 입력합니다.
IPv6 주소: IPv6 주소를 설정합니다. ::~ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 사이의 값과 0~128 사이의 CIDR 값을 입력합니다.
여러 개의 물리적인 네트워크 포트를 묶어서 논리적으로 하나의 네트워크 포트처럼 동작합니다. 브리지로 구성된 포트는 모두 하나의 브로드캐스트 네트워크가 됩니다. 브리지 포트는 IP를 할당하지 않고 사용할 수 있습니다. 브리지 포트를 설정할 때 다음 항목들을 선택하거나 입력합니다.
네트워크 포트: 브리지 구성에 사용할 네트워크 포트를 2개 이상 선택합니다.
IPv4 주소: IPv4 주소를 입력합니다. 0.0.0.0~255.255.255.255 사이의 값과 0~32 사이의 CIDR 값을 입력합니다. 브리지 포트에 IP를 할당하지 않고 사용하려면 IPv4 주소는 0.0.0.0, CIDR은 0을 입력하십시오.
IPv6 주소: IPv6 주소를 설정합니다. ::~ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 사이의 값과 0~128 사이의 CIDR 값을 입력합니다. 브리지 포트에 IP를 할당하지 않고 사용하려면 IPv6 주소는 ::, CIDR은 0을 입력하십시오.
STP: 브리지로 연결된 네트워크에서 패킷이 무한 루프를 방지하는 STP(Spanning Tree Protocol)의 사용 여부를 설정합니다. 기본적으로 사용하지 않도록 설정되어 있습니다.
브리지 우선 순위: 브리지의 우선 순위를 설정합니다. STP에서 루트 브리지로 선정되도록 하기 위해 사용합니다. 기본 값은 0이며, 0~99 사이의 값을 입력할 수 있습니다. 우선 순위가 낮은 브리지 포트가 루트 브리지가 됩니다.
네트워크를 논리적인 단위로 쪼개어 여러 개의 분리된 네트워크(Virtual LAN)처럼 사용합니다. 하나의 네트워크 포트에 여러개의 VLAN ID를 할당할 수 있습니다. VLAN은 서로 다른 네트워크 구간이 됩니다. 하나의 네트워크 포트에 여러 개의 VLAN 포트를 구성할 수 있습니다. VLAN 포트에 연결되는 각 VLAN 대역은 논리적으로 서로 다른 브로드캐스트 네트워크가 됩니다. VLAN 포트를 설정할 때 다음 항목들을 선택하거나 입력합니다.
VLAN ID: VLAN 식별번호를 입력합니다. 기본 값은 0이며, 0~4095 사이의 값을 입력합니다.
네트워크 포트: VLAN을 적용할 네트워크 포트를 선택합니다.
IPv4 주소: IPv4 주소를 입력합니다. 0.0.0.0~255.255.255.255 사이의 값과 0~32 사이의 CIDR 값을 입력합니다.
IPv6 주소: IPv6 주소를 설정합니다.::~ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 사이의 값과 0~128 사이의 CIDR 값을 입력합니다.
물리적인 네트워크 포트에 IP 주소를 추가로 할당하여 논리적으로 구분하여 사용할 수 있습니다. 보조 네트워크 포트를 설정할 때 다음 항목들을 선택하거나 입력합니다.
네트워크 포트: 보조 네트워크 포트를 추가할 네트워크 포트를 선택합니다.
IPv4 주소: IPv4 주소를 입력합니다. 0.0.0.0~255.255.255.255 사이의 값과 0~32 사이의 CIDR 값을 입력합니다.
GRE(Generic Routing Encapsulation) 포트는 멀티캐스트 또는 브로드캐스트 연결을 중개해야 하는 IPSec VPN을 구성할 때 사용합니다. 일반적인 네트워크 환경에서는 사용하지 않습니다. GRE 포트를 설정할 때 다음 항목들을 선택하거나 입력합니다.
IPv4 주소: 로컬 서브넷에서 GRE 터널 연결에 사용할 IPv4 주소를 입력합니다. 0.0.0.0~255.255.255.255 사이의 값과 0~32 사이의 CIDR 값을 입력합니다.
원격지 IP 주소: GRE 터널을 통해 패킷을 전달할 원격지 GRE 포트의 IPv4 주소를 입력합니다. 0.0.0.0~255.255.255.255 사이의 값을 입력합니다.
로컬 터널 네트워크 포트: GRE 터널 연결에 사용할 로컬 네트워크 포트를 선택합니다. TrusGuard에 구성된 네트워크 포트 가운데에서 하나를 선택할 수 있습니다.
원격지 터널 IP 주소: GRE 포트가 연결할 원격지 터널 네트워크 포트의 IPv4 주소를 입력합니다. 0.0.0.0~255.255.255.255 사이의 값을 입력합니다.
참고
애그리게이션 포트와 브리지 포트는 비슷해 보이나, 용도가 다릅니다. 애그리게이션 포트는 스위치를 통해 하나의 네트워크 구간에 연결할 때 사용합니다. 애그리게이션 포트를 통해 발생하는 트래픽은 다른 네트워크 포트를 통해 트래픽이 연결되지만, 브리지 포트의 경우 브리지를 구성하는 물리적 포트 사이에서 트래픽이 연결됩니다.
IPv4 주소를 0.0.0.0/0, IPv6 주소를 ::/0으로 할당하여 브리지 네트워크 포트를 구성하면 네트워크의 구조를 변경하지 않고 TrusGuard를 설치할 수 있습니다. 브리지 네트워크에 IPv4, IPv6 주소를 할당하지 않는 경우, 해당 브리지 네트워크 포트를 통해 TrusGuard에 접근할 수 없으므로 다음과 같은 제약 사항을 갖습니다. IP 주소가 할당된 다른 네트워크 포트로 접근해야 합니다.
IP 주소를 할당하지 않은 브리지 포트는 다음과 같은 제약 사항이 있습니다.
1. 브리지 포트는 네트워크 포트 기반 NAT에 사용할 수 없습니다.
2. SSL VPN 또는 IPSec VPN 연결을 위한 포트로 사용할 수 없습니다.
3. 브리지 포트에 프록시를 사용하는 방화벽 정책은 투명 프록시를 사용해야 합니다.
VLAN은 네트워크를 논리적으로 구분하여 서브네트워크를 구성할 때 사용합니다. 예를 들어 192.168.1.0/24네트워크를 2개로 나누면 첫번째 VLAN 네트워크는 192.168.1.0/25, 두번째 VLAN 네트워크는 192.168.1.128/25이 됩니다. 이런 경우, 192.168.1.0/24 네트워크에 연결되는 포트는 IP 주소를 할당하지 않고, VLAN을 2개 추가하여 사용하십시오.
TrusGuard 50과 TrusGuard 70 장비에는 eth4에 물리적으로 연결된 4개의 스위치 포트(sw0, sw1, sw2, sw3)가 설치되어 있습니다. 스위치 포트는 개별적인 정책이나 설정이 적용되지 않으며 추가, 수정, 삭제할 수 없습니다.