Profile picture

[eve-ng] L2 스위치 관리 IP 통신 불가 트러블슈팅

JaehyoJJAng2023년 06월 09일

개요

장비별로 관리 IP를 설정하고,

Admin 네트워크 (VLAN 50) 대역의 Admin PC에서 각 장비별 SSH 접속 테스트를 하다가

DMZ 스위치의 SSH 접근이 불가능하여 해당 문제를 해결하는 과정을 기록해보려고 한다.


구성도

현재 테스트 중인 구성도는 다음과 같다.
image


문제 상황

Internal Admin으로 표시되어 있는 구간에 어드민용 윈도우 pc 한 대가 동작 중이다.

해당 PC의 IP 주소는 192.168.10.71/27이고, 현재 모든 네트워크 장비의 SSH 접근을 해당 PC의 IP 주소만 접근할 수 있도록

access-list를 걸어놓은 상태이다.


L2_1, L2_2, Backbone_1, Backbone_2 장비는 SSH 테스트가 정상적으로 완료된 상태이고,

DMZ_switch는 SSH 접근이 불가능한 상태이다.


어떠한 이유로 접속이 불가능한 것인지 쉽게 판단이 불가능해서, 순서대로 구간 별 점검 및 정책 설정 확인 등을 차례로 점검해보기로 결정하였다.


1. 구간별 테스트

먼저 DMZ switch에서 방화벽으로 ping이 정상적으로 넘어가는지 테스트해봤다.

dmz switch -> 방화벽
image
dmz 스위치와 방화벽 인터페이스간 IP 설정에 이상은 없는 것 같다.


2. 방화벽 정책 설정 확인

Internal Admin 구간에서 DMZ 영역으로 접근이 가능하면 되기 때문에 아래와 같이 정책을 설정하였다.
image


테스트를 위해 dmz switch 하단에 서버 한대를 테스트로 두고,

Internal Admin 대역에 있는 admin pc에서 해당 서버로 ping을 날려봤다.


아래 사진은 테스트 서버의 IP이다. image


admin pc에서 해당 서버로 ping을 날려보았다.
image
정상적으로 통신이 된다.


방화벽 로그 조회

구간별로 점검해봤고, 방화벽 정책도 이상이 없는데 왜 dmz switch로 통신이 되지 않는지 원인을 알 수 없었다.

그래서 방화벽으로 들어오는 패킷의 request, reply가 어떻게 찍히는지 파악해보기로 하였다.


먼저 방화벽의 CLI로 들어가서 아래 명령어를 실행하였다.

diag sniffer packet any "icmp and host 192.168.10.25" 10
diag sniffer packet any "host 192.168.10.25 and tcp port 22" 10

방화벽에서 위 명령어를 실행하고, 어드민 pc에서 dmz switch로 ping을 다시 날려봤다.

  • 192.168.10.25: dmz switch ip address

아래 사진을 보자. image

어드민 PC(192.168.10.71)에서 dmz 스위치(192.168.10.25)로 icmp requests를 전송하였다.

하지만, dmz 스위치(192.168.10.25)에서는 어떠한 응답(reply)를 건네주지 않고 있다.


여기까지 점검 내역을 요약해보면, 내부망에서 dmz 스위치까지의 요청 패킷은 정상적으로 전송되고 있는 거고, dmz 스위치에서 모종의 이유로 reply를 못 건네주고 있다는 뜻이 된다.


그렇다면, 방화벽 문제가 맞는건가?

하지만, 서비스 범위를 any로 설정했기 때문에 방화벽에서 막혔을리는 없다.


디폴트 라우팅 (원인 파악 완료)

구간 점검, 라우팅, 방화벽 정책 모두 이상 없으니

제대로 확인해야할 것은 dmz 스위치이다.

보면 dmz 스위치에 관리 IP 할당에 필요한 작업들은 모두 정상적으로 진행하였다.

# 관리 IP 할당 확인
dmz-switch#sh ip int br | include 100
Vlan100                192.168.10.25   YES manual up                    up

# ip default-gateway 확인
dmz-switch#sh run | include ip default-gateway
ip default-gateway 192.168.10.17

그럼 대체 무엇이 문제일까?

internal admin 대역에서 dmz 구간까지 정상적으로 데이터가 전송이 되지만, dmz 스위치에서는 또 reply가 발생을 안한다 ..


근데 또, internal admin 대역에서 dmz 스위치 하단에 물린 테스트용 서버로는 ping이 넘어간다 ..


원인은 디폹트 라우팅(Default Routing) 설정을 해주지 않아서 발생한 문제였다.


ip route 0.0.0.0 0.0.0.0 <게이트웨이 주소>

외부에서 들어온 요청에 대해서 reply를 어디로 넘겨줘야될지 L2 스위치에 라우팅 정보가 기록되어 있지 않아서 패킷이 처리 되지 않은 것.

    Tag -
Loading script...