[Sophos] Sophos OSPF 기초 [GNS3 / Cisco OSPF]

 

 

Sophos OSPF 기초

[Sophos] Sophos 기초 설정 [마스커레이딩 / 방화벽 / DNAT]

[Sophos] Sophos 기초 설정 [마스커레이딩 / 방화벽 / DNAT]

- 설치 및 기본적인 설정을 바탕으로 외부와의 통신까지 가능하도록 테스트를 했다. 이번에는 GNS3에 연동하여 Sophos UTM과 Cisco Router 간 OSPF를 구성하고, 외부까지 통신이 가능하도록 테스트한다.

---

[구성도]

---

0. UTM 인터페이스 수정

- UTM에서는 Vmnet8(NAT) / VMNet1(host-only)를 사용할 수 없다고 한다. 그래서, 다음과 같이 변경하였다.

- 이름만 저렇게 지정한 것이고, 이름처럼 망을 구성하지는 않았다. VMnet8은 MGMT , 관리대역으로 사용한다.

 

 

1. UTM 구성

1.1) 인터페이스 및 라우팅

- 왼쪽 메뉴에서 [인터페이스 및 라우팅] 안에 있는 [인터페이스]에서 UTM의 인터페이스를 설정한다. IP와 기본 게이트웨이를 지정할 수 있다.

 

1.2) 네트워크 보호 - ICMP

- 왼쪽 메뉴에서 [네트워크 보호] 안에 있는 [방화벽] 으로 이동한다. 상단에 있는 [ICMP] 탭으로 이동하여, 테스트를 진행하기 위해 모든 체크 박스에 체크하고 적용한다. 

 

1.3) 네트워크 보호 - 규칙

- 왼쪽 메뉴에서 [네트워크 보호] 안에 있는 [방화벽] 으로 이동한다. 테스틀 위하여 모든 서비스를 허용한다.

 

 

1.4) 인터페이스 및 라우팅

1.4.1) 동적 라우팅(OSPF) - 고급

- 왼쪽 메뉴에서 [인터페이스 및 라우팅] 안에 있는 [동적 라우팅 (OSPF)]로 이동하여 OSPF 설정을 진행한다. 

- 먼저, [고급] 탭으로 이동하여, [기본값 라우트 고지]를 체크한다. 이 설정은 광고하는 각각의 라우터에서 Default Route 설정이 자동적으로 들어가게 한다

 

1.4.2) 동적 라우팅(OSPF) - 인터페이스

- OSPF 라우팅에 등록할 인터페이스를 지정한다. 3개의 인터페이스 모두 등록한다.

 

1.4.3) 동적 라우팅(OSPF) - 영역

- OSPF의 영역을 지정한다. Area 0으로 설정하고, 위에서 지정한 3개의 인터페이스를 Area 0에 포함시킨다.

 

 

1.4.4) 동적 라우팅(OSPF) - 글로벌

- Router-ID를 설정하고, 기능을 켠다. Router-ID는 Interface IP 중 가장 큰 IP를 입력했다.

 

2. Router 설정

2.1) IOU1 설정 및 결과

router ospf 1
 network 192.168.2.0 0.0.0.255 area 0
 network 200.200.200.0 0.0.0.255 area 0
!

 

2.2) IOU2 설정 및 결과

router ospf 1
 network 100.100.100.0 0.0.0.255 area 0
 network 192.168.3.0 0.0.0.255 area 0
!

 

2.3) IOU3 설정 및 결과

router ospf 1
 network 192.168.4.0 0.0.0.255 area 0
 default-information originate
!
ip route 0.0.0.0 0.0.0.0 192.168.1.2
!

 default-information originate
= 해당 Configuration으로 Default Routing(0.0.0.0/0)를 OSPF Area에 광고한다. IOU3 Router가 OSPF Router의 기본 게이트웨이가 된다.

 

3. OSPF 연동 결과

3.1) UTM 결과 

- 정상적으로 연결이 된 것을 확인하기 위해, [디버그] 탭으로 이동한다. 그러면, OSPF와 관련한 정보를 확인할 수 있다. Routing과 Neighbor 모두 정상적으로 맺어졌다.

 

 

3.2) 인터넷 접속 완료

- Linux에서 인터넷 접속이 가능하다.

 

3.3) 외부 원격 데스크톱 허용하기

- DNAT 설정으로 외부에서 내부에 있는 Win2003의 원격 데스크톱을 이용하려고 한다. 조건을 선언하고 목적지를 Windows의 IP로 설정하여 DNAT 설정을 완료한다.

 

- UTM 입장에서 외부와 연결되어 있는 Interface의 IP인 192.168.4.253을 입력하면 다음과 같이 원격 데스크톱 연결을 이용할 수 있다.

 

4. 더 알아보기

* IOU3에서 D/W 설정을 하지 않았을 때

- 위의 구성에서는 IOU3가 실질적인 Default Gateway Router가 된다. 이 곳에 Default Routing 설정을 하지 않으면, IOU3 조차도 UTM에서 설정한 [기본값 라우트 고지] 에 의하여 Default Routing이 UTM을 바라본다. 

 

- 따라서, 내부에서 외부로 통신할 때 출구가 없기 때문에 TTL이 0이 되어서 통신이 안 된다.

 

- Wireshark에서도 TTL이 시간초과가 되었다는 것을 알 수 있다.

 

 

* IOU3에서 Default Routing을 재분배했을 때

- default-information과 Redistribute static subnet과의 차이점을 알아보았다. OSPF에서 default-information을 넣기 전에 static routing을 재분배해서 통신했는데 default-information originate를 발견하여서 차이점을 알아보았다.

요약하자면 다음과 같다.
- 기술적으로는 기본 경로를 OSPF로 재배포하는 데 문제가 없다. 어쨌든 기본 경로는 다른 외부 경로일 뿐이다. 그러나 재배포를 수행할 때 기본 경로가 OSPF로 재배포되지 않도록 보장하는 것은 의도적인 안전 검사이며, 기본 경로를 OSPF에 주입하는 유일한 방법은 default-information origin 명령을 사용하는 것이다.

- redistribute static subnets 명령어은 OSPF에서 정적 경로를 재배포하는 데 사용되지만 정적 기본 경로(iproute 0.0.0.0.0...)는 OSPF 토폴로지 데이터베이스에 주입되지 않는다. OSPF에서 Default Routing 경로를 재배포하려면 라우터 ospf 구성에서 해당 명령어을 사용해야 한다.

 

- 큰 문제는 없지만, 차이점은 Routing Table에만 등록되는 것인지, OSPF Database에도 등록이 되는 것인지의 차이다. 그래서, 실제로 적용해보니 그 차이점이 보였다.

 

default-information originate 설정 O

 

default-information originate 설정 X

redistribute static subnets 설정 O

---

출처 : https://community.cisco.com/t5/switching/default-information-originate-and-redistribute-static-ospf/td-p/1822504

default-information originate and Redistribute static ospf command