Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

네트워킹 구성 및 관리

Red Hat Enterprise Linux 10

네트워크 인터페이스 및 고급 네트워킹 기능 관리

Red Hat Customer Content Services

초록

RHEL(Red Hat Enterprise Linux)의 네트워킹 기능을 사용하여 조직의 네트워크 및 보안 요구 사항을 충족하도록 호스트를 구성할 수 있습니다. 여기에는 정책 기반 라우팅 및 MPTCP(Multipath TCP)와 같은 다양한 네트워크 유형 및 고급 네트워킹 기능이 포함됩니다.

Red Hat 문서에 관한 피드백 제공
링크 복사

문서 개선을 위한 의견에 감사드립니다. 어떻게 개선할 수 있는지 알려주십시오.

Jira를 통해 피드백 제출 (계정 필요)

  1. Jira 웹 사이트에 로그인합니다.
  2. 상단 탐색 바에서 생성을 클릭합니다.
  3. 요약 필드에 설명 제목을 입력합니다.
  4. 설명 필드에 개선을 위한 제안을 입력합니다. 문서의 관련 부분에 대한 링크를 포함합니다.
  5. 대화 상자 하단에서 생성 을 클릭합니다.

1장. 일관된 네트워크 인터페이스 이름 구현
링크 복사

udev 장치 관리자는 Red Hat Enterprise Linux에서 일관된 장치 이름을 구현합니다. 장치 관리자는 다양한 이름 지정 체계를 지원하며 기본적으로 펌웨어, 토폴로지 및 위치 정보를 기반으로 고정 이름을 할당합니다.

장치 이름을 일관되게 지정하지 않으면 Linux 커널은 고정 접두사와 인덱스를 결합하여 네트워크 인터페이스에 이름을 할당합니다. 커널이 네트워크 장치를 초기화할 때 인덱스가 증가합니다. 예를 들어 eth0 은 시작 시 프로브되는 첫 번째 이더넷 장치를 나타냅니다. 다른 네트워크 인터페이스 컨트롤러를 시스템에 추가하는 경우 재부팅 후 장치가 다른 순서로 초기화될 수 있으므로 커널 장치 이름 할당은 더 이상 수정되지 않습니다. 이 경우 커널은 장치의 이름을 다르게 지정할 수 있습니다.

이 문제를 해결하기 위해 udev 는 일관된 장치 이름을 할당합니다. 여기에는 다음과 같은 이점이 있습니다.

  • 장치 이름은 재부팅 시 안정적입니다.
  • 하드웨어를 추가하거나 제거하는 경우에도 장치 이름은 고정됩니다.
  • 결함이 있는 하드웨어를 원활하게 교체할 수 있습니다.
  • 네트워크 이름 지정은 상태 비저장이며 명시적 구성 파일이 필요하지 않습니다.
주의

일반적으로 Red Hat은 일관된 장치 이름이 비활성화된 시스템을 지원하지 않습니다. 예외 사항은 net.ifnames=0을 설정하는 것이 안전한 Red Hat 지식베이스 솔루션을 참조하십시오.

1.1. udev 장치 관리자의 네트워크 인터페이스 이름 변경 방법
링크 복사

udev 장치 관리자는 네트워크 인터페이스에 대한 일관된 이름 지정 체계를 구현하기 위해 일련의 규칙을 처리합니다.

규칙 파일의 순서:

  1. Dell 시스템에서만: /usr/lib/udev/rules.d/71-biosdevname.rules

    이 파일은 biosdevname 패키지가 설치된 경우에만 존재하며 규칙 파일은 biosdevname 유틸리티에서 이전 단계에서 이름이 변경되지 않은 경우 이름 지정 정책에 따라 인터페이스 이름을 변경하도록 정의합니다.

    참고

    Dell 시스템에만 biosdevname 을 설치하고 사용합니다.

  2. /usr/lib/udev/rules.d/75-net-description.rules

    이 파일은 udev 가 네트워크 인터페이스를 검사하는 방법을 정의하고 udev-internal 변수에서 속성을 설정합니다. 그런 다음 이러한 변수는 /usr/lib/udev/rules.d/80-net-setup-link.rules 파일을 통해 다음 단계에서 처리됩니다. 일부 속성은 정의되지 않을 수 있습니다.

  3. /usr/lib/udev/rules.d/80-net-setup-link.rules

    이 파일은 udev 서비스의 빌드된 net_setup_link 를 호출하고 udev/usr/lib/systemd/network/99-default.link 파일의 NamePolicy 매개변수의 정책 순서에 따라 인터페이스의 이름을 바꿉니다. 자세한 내용은 네트워크 인터페이스 이름 지정 정책을 참조하십시오.

    정책이 적용되지 않으면 udev 는 인터페이스의 이름을 바꾸지 않습니다.

1.2. 네트워크 인터페이스 이름 지정 정책
링크 복사

기본적으로 udev 장치 관리자는 /usr/lib/systemd/network/99-default.link 파일을 사용하여 인터페이스 이름 변경 방법을 결정합니다. 이 파일의 NamePolicy 매개변수는 udev 가 적용되는 이름 지정 정책 및 순서에 따라 정의합니다.

기본 순서: 

NamePolicy=keep kernel database onboard slot path

다음 표에서는 NamePolicy 매개변수에서 지정한 대로 가장 먼저 일치하는 정책을 기반으로 udev 의 다양한 작업을 설명합니다.

Expand
정책설명이름 예

keep

장치에 이미 사용자 공간에 할당된 이름이 있는 경우 udev 는 이 장치의 이름을 바꾸지 않습니다. 예를 들어 장치 생성 중 또는 이름 변경 작업을 통해 이름이 할당된 경우입니다.

 

kernel

커널에서 장치 이름이 예측 가능함을 나타내는 경우 udev 는 이 장치의 이름을 바꾸지 않습니다.

lo

데이터베이스

이 정책은 udev 하드웨어 데이터베이스의 매핑에 따라 이름을 할당합니다. 자세한 내용은 hwdb(7) 도움말 페이지를 참조하십시오.

idrac

온보드

장치 이름은 온보드 장치의 펌웨어 또는 BIOS 제공 인덱스 번호를 통합합니다.

eno1

슬롯

장치 이름은 펌웨어 또는 BIOS가 제공하는 PCI Express(PCIe) 핫 플러그 슬롯 인덱스 번호를 통합합니다.

ens1

path

장치 이름은 하드웨어의 커넥터의 물리적 위치를 통합합니다.

enp1s0

mac

장치 이름은 MAC 주소를 통합합니다. 기본적으로 Red Hat Enterprise Linux는 이 정책을 사용하지 않지만 관리자는 이를 활성화할 수 있습니다.

enx525400d5e0fb

1.3. 네트워크 인터페이스 이름 지정 체계
링크 복사

udev 장치 관리자는 장치 드라이버가 일관된 장치 이름을 생성하기 위해 제공하는 특정 안정적인 인터페이스 속성을 사용합니다.

새로운 udev 버전이 특정 인터페이스에 대한 이름을 생성하는 방법을 변경하는 경우 Red Hat은 새 스키마 버전을 추가하고 시스템의 systemd.net-naming-scheme(7) 도움말 페이지에 세부 정보를 문서화합니다. 기본적으로 RHEL(Red Hat Enterprise Linux) 10은 RHEL의 최신 마이너 버전을 설치하거나 업데이트하더라도 rhel-10.0 이름 지정 체계를 사용합니다.

참고

RHEL 10에서는 모든 rhel-8.*rhel-9.* 이름 지정 스키마를 사용할 수도 있습니다.

기본값 이외의 스키마를 사용하려면 네트워크 인터페이스 이름 지정 스키마를 전환할 수 있습니다.

다른 장치 유형 및 플랫폼의 이름 지정 체계에 대한 자세한 내용은 시스템의 systemd.net-naming-scheme(7) 매뉴얼 페이지를 참조하십시오.

1.4. 다른 네트워크 인터페이스 이름 지정 체계로 전환
링크 복사

기본적으로 RHEL 10은 RHEL의 최신 마이너 버전을 설치하거나 업데이트하더라도 rhel-10.0 이름 지정 체계를 사용합니다. 기본 이름 지정 스키마는 대부분의 시나리오에 적합하지만 다른 스키마 버전으로 전환해야 하는 이유가 있을 수 있습니다.

이름 지정 스키마를 변경해야 하는 경우를 예로 들 수 있습니다.

  • 새로운 체계는 슬롯 번호와 같은 추가 속성을 인터페이스 이름에 추가하는 경우 장치를 더 잘 식별하는 데 도움이 될 수 있습니다.
  • 새로운 체계는 udev 가 커널 할당 장치 이름(eth*)으로 대체되지 않도록 할 수 있습니다. 이는 드라이버에서 두 개 이상의 인터페이스에 고유한 특성을 제공하지 않는 경우 고유 이름을 생성하는 경우에 발생합니다.

사전 요구 사항

  • 서버의 콘솔에 액세스할 수 있습니다.

프로세스

  1. 네트워크 인터페이스를 나열합니다. 

    # ip link show
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000
    link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff
...

    인터페이스의 MAC 주소를 기록합니다.

  2. 선택 사항: 네트워크 인터페이스의 ID_NET_NAMING_SCHEME 속성을 표시하여 RHEL에서 현재 사용하는 이름 지정 체계를 식별합니다. 

    # udevadm info --query=property --property=ID_NET_NAMING_SCHEME /sys/class/net/eno1
ID_NET_NAMING_SCHEME=rhel-10.0

    이 속성은 lo 루프백 장치에서 사용할 수 없습니다.

  3. net.naming-scheme= <scheme > 옵션을 설치된 모든 커널의 명령줄에 추가합니다. 예를 들면 다음과 같습니다. 

    # grubby --update-kernel=ALL --args=net.naming-scheme=rhel-10.1

  4. 시스템을 재부팅합니다. 

    # reboot

  5. 기록한 MAC 주소에 따라 다른 이름 지정 체계로 인해 변경된 네트워크 인터페이스의 새 이름을 확인합니다. 

    # ip link show
2: eno1np0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000
    link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff
...

    스키마를 전환한 후 udev 는 지정된 MAC 주소 eno1np0 을 사용하여 장치의 이름을 지정하며 이전에 eno1 이라는 이름을 사용했습니다.

  6. 이전 이름의 인터페이스를 사용하는 NetworkManager 연결 프로필을 식별합니다. 

    # nmcli -f device,name connection show
DEVICE  NAME
eno1  example_profile
...

  7. 연결 프로필의 connection.interface-name 속성을 새 인터페이스 이름으로 설정합니다. 

    # nmcli connection modify example_profile connection.interface-name "eno1np0"

  8. 연결 프로필을 다시 활성화합니다. 

    # nmcli connection up example_profile

검증

  • 네트워크 인터페이스의 ID_NET_NAMING_SCHEME 속성을 표시하여 RHEL에서 사용하는 이름 지정 체계를 식별합니다. 

    # udevadm info --query=property --property=ID_NET_NAMING_SCHEME /sys/class/net/eno1np0
ID_NET_NAMING_SCHEME=_rhel-10.1

1.5. 설치 중에 이더넷 인터페이스의 접두사 사용자 정의
링크 복사

이더넷 인터페이스에 기본 device-naming 정책을 사용하지 않으려면 RHEL(Red Hat Enterprise Linux) 설치 중에 사용자 지정 장치 접두사를 설정할 수 있습니다.

중요

Red Hat은 RHEL 설치 중에 접두사를 설정하는 경우에만 사용자 지정된 이더넷 접두사가 있는 시스템을 지원합니다. 이미 배포된 시스템에서 prefixdevname 유틸리티를 사용하는 것은 지원되지 않습니다.

설치 중에 장치 접두사를 설정하면 udev 서비스는 설치 후 이더넷 인터페이스에 < prefix><index > 형식을 사용합니다. 예를 들어 접두사 net 을 설정하면 서비스에서 net0 이름,net1 등을 이더넷 인터페이스에 할당합니다.

udev 서비스는 사용자 지정 접두사에 인덱스를 추가하고 알려진 이더넷 인터페이스의 인덱스 값을 유지합니다. 인터페이스를 추가하면 udev 에서 이전에 할당한 인덱스 값보다 큰 인덱스 값을 새 인터페이스에 할당합니다.

사전 요구 사항

  • 접두사는 ASCII 문자로 구성됩니다.
  • 접두사는 영숫자 문자열입니다.
  • 접두사는 16자보다 짧습니다.
  • 접두사는 eth,eno,ensem 과 같은 잘 알려진 다른 네트워크 인터페이스 접두사와 충돌하지 않습니다.

프로세스

  1. Red Hat Enterprise Linux 설치 미디어를 부팅합니다.

  2. 부팅 관리자에서 다음 단계를 수행합니다.

    1. Install Red Hat Enterprise Linux < version> 항목을 선택합니다.
    2. Tab 을 눌러 항목을 편집합니다.
    3. 커널 옵션에 net.ifnames.prefix= &lt;prefix >를 추가합니다.
    4. Enter 를 눌러 설치 프로그램을 시작합니다.
  3. Red Hat Enterprise Linux를 설치합니다.

검증

  • 인터페이스 이름을 확인하려면 네트워크 인터페이스를 표시합니다. 

    # ip link show
...
2: net0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000
    link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff
...

udev 규칙을 사용하여 조직의 요구 사항을 반영하는 사용자 지정 네트워크 인터페이스 이름을 구현할 수 있습니다.

프로세스

  1. 이름을 변경할 네트워크 인터페이스를 확인합니다. 

    # ip link show
...
enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000
    link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff
...

    인터페이스의 MAC 주소를 기록합니다.

  2. 인터페이스의 장치 유형 ID를 표시합니다. 

    # cat /sys/class/net/enp1s0/type
1

  3. /etc/udev/rules.d/70-persistent-net.rules 파일을 생성하고 이름을 변경할 각 인터페이스에 대한 규칙을 추가합니다. 

    SUBSYSTEM=="net",ACTION=="add",ATTR{address}=="<MAC_address>",ATTR{type}=="<device_type_id>",NAME="<new_interface_name>"
    중요

    부팅 프로세스 중에 일관된 장치 이름이 필요한 경우 70-persistent-net.rules 만 파일 이름으로 사용합니다. RAM 디스크 이미지를 다시 생성하는 경우 dracut 유틸리티는 이 이름의 파일을 initrd 이미지에 추가합니다.

    예를 들어 다음 규칙을 사용하여 MAC 주소 00:00:5e:53:1a로 인터페이스의 이름을 provider0 으로 변경합니다. 

    SUBSYSTEM=="net",ACTION=="add",ATTR{address}=="00:00:5e:00:53:1a",ATTR{type}=="1",NAME="provider0"

  4. 선택 사항: initrd RAM 디스크 이미지를 다시 생성합니다. 

    # dracut -f

    이 단계는 RAM 디스크에 네트워킹 기능이 필요한 경우에만 필요합니다. 예를 들어 루트 파일 시스템이 iSCSI와 같은 네트워크 장치에 저장된 경우입니다.

  5. 이름을 바꿀 인터페이스를 사용하는 NetworkManager 연결 프로필을 식별합니다. 

    # nmcli -f device,name connection show
DEVICE  NAME
enp1s0  example_profile
...

  6. 연결 프로필에서 connection.interface-name 속성을 설정 해제합니다. 

    # nmcli connection modify example_profile connection.interface-name ""

  7. 임시로 새 인터페이스 이름과 이전 인터페이스 이름과 일치하도록 연결 프로필을 구성합니다. 

    # nmcli connection modify example_profile match.interface-name "provider0 enp1s0"

  8. 시스템을 재부팅합니다. 

    # reboot

  9. 링크 파일에 지정한 MAC 주소가 있는 장치의 이름이 provider0 으로 변경되었는지 확인합니다. 

    # ip link show
provider0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000
    link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff
...

  10. 새 인터페이스 이름만 일치하도록 연결 프로필을 구성합니다. 

    # nmcli connection modify example_profile match.interface-name "provider0"

    이제 연결 프로필에서 이전 인터페이스 이름을 삭제했습니다.

  11. 연결 프로필을 다시 활성화합니다. 

    # nmcli connection up example_profile

2장. 이더넷 연결 구성
링크 복사

NetworkManager는 호스트에 설치된 각 이더넷 어댑터에 대한 연결 프로필을 생성합니다. 기본적으로 이 프로필은 IPv4 및 IPv6 연결에 DHCP를 사용합니다.

자동으로 생성된 프로필을 수정하거나 다음 경우 새 프로필을 추가합니다.

  • 네트워크에는 고정 IP 주소 구성과 같은 사용자 지정 설정이 필요합니다.
  • 서로 다른 네트워크 간에 호스트가 순환되므로 여러 프로필이 필요합니다.

Red Hat Enterprise Linux는 관리자에게 이더넷 연결을 구성하는 다양한 옵션을 제공합니다. 예를 들면 다음과 같습니다.

  • nmcli 를 사용하여 명령줄에서 연결을 구성합니다.
  • nmtui 를 사용하여 텍스트 기반 사용자 인터페이스에서 연결을 구성합니다.
  • GNOME 설정 메뉴를 사용하여 그래픽 인터페이스에서 연결을 구성합니다.
  • nmstatectl 을 사용하여 Nmstate API를 통해 연결을 구성합니다.
  • RHEL 시스템 역할을 사용하여 하나 이상의 호스트에서 연결 구성을 자동화합니다.
참고

Microsoft Azure 클라우드에서 실행되는 호스트에서 이더넷 연결을 수동으로 구성하려면 cloud-init 서비스를 비활성화하거나 클라우드 환경에서 검색된 네트워크 설정을 무시하도록 구성합니다. 그러지 않으면 다음 재부팅 시 수동으로 구성한 네트워크 설정을 덮어씁니다.

2.1. nmcli를 사용하여 이더넷 연결 구성
링크 복사

이더넷을 통해 호스트를 네트워크에 연결하는 경우 nmcli 유틸리티를 사용하여 명령줄에서 연결의 설정을 관리할 수 있습니다.

사전 요구 사항

  • 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.

프로세스

  1. NetworkManager 연결 프로필을 나열합니다. 

    # nmcli connection show
NAME                UUID                                  TYPE      DEVICE
Wired connection 1  a5eb6490-cc20-3668-81f8-0314a27f3f75  ethernet  enp1s0

    기본적으로 NetworkManager는 호스트의 각 NIC에 대한 프로필을 생성합니다. 이 NIC를 특정 네트워크에만 연결하려는 경우 자동으로 생성된 프로필을 조정합니다. 이 NIC를 다른 설정으로 네트워크에 연결하려는 경우 각 네트워크에 대한 개별 프로필을 생성합니다.

  2. 추가 연결 프로필을 생성하려면 다음을 입력합니다. 

    # nmcli connection add con-name <connection-name> ifname <device-name> type ethernet

    기존 프로필을 수정하려면 이 단계를 건너뜁니다.

  3. 선택 사항: 연결 프로필의 이름을 변경합니다. 

    # nmcli connection modify "Wired connection 1" connection.id "Internal-LAN"

    프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.

  4. 연결 프로필의 현재 설정을 표시합니다. 

    # nmcli connection show Internal-LAN
...
connection.interface-name:     enp1s0
connection.autoconnect:        yes
ipv4.method:                   auto
ipv6.method:                   auto
...

  5. IPv4 설정을 구성합니다.

    • DHCP를 사용하려면 다음을 입력합니다. 

      # nmcli connection modify Internal-LAN ipv4.method auto

      ipv4.method 가 이미 auto (기본값)로 설정된 경우 이 단계를 건너뜁니다.

    • 정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 검색 도메인을 설정하려면 다음을 입력합니다. 

      # nmcli connection modify Internal-LAN ipv4.method manual ipv4.addresses 192.0.2.1/24 ipv4.gateway 192.0.2.254 ipv4.dns 192.0.2.200 ipv4.dns-search example.com

  6. IPv6 설정을 구성합니다.

    • SLAAC(상태 비저장 주소 자동 구성)를 사용하려면 다음을 입력합니다. 

      # nmcli connection modify Internal-LAN ipv6.method auto

      ipv6.method 가 이미 auto (기본값)로 설정된 경우 이 단계를 건너뜁니다.

    • 정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 검색 도메인을 설정하려면 다음을 입력합니다. 

      # nmcli connection modify Internal-LAN ipv6.method manual ipv6.addresses 2001:db8:1::fffe/64 ipv6.gateway 2001:db8:1::fffe ipv6.dns 2001:db8:1::ffbb ipv6.dns-search example.com

  7. 프로필의 다른 설정을 사용자 지정하려면 다음 명령을 사용합니다. 

    # nmcli connection modify <connection-name> <setting> <value>

    값을 따옴표로 묶거나 spaces로 묶습니다.

    수정할 수 있는 설정에 대한 자세한 내용은 시스템의 nm-settings(5) 도움말 페이지를 참조하십시오.

  8. 프로필을 활성화합니다. 

    # nmcli connection up Internal-LAN

검증

  1. NIC의 IP 설정을 표시합니다. 

    # ip address show enp1s0
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 52:54:00:17:b8:b6 brd ff:ff:ff:ff:ff:ff
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute enp1s0
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::fffe/64 scope global noprefixroute
       valid_lft forever preferred_lft forever

  2. IPv4 기본 게이트웨이를 표시합니다. 

    # ip route show default
default via 192.0.2.254 dev enp1s0 proto static metric 102

  3. IPv6 기본 게이트웨이를 표시합니다. 

    # ip -6 route show default
default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium

  4. DNS 설정을 표시합니다. 

    # cat /etc/resolv.conf
search example.com
nameserver 192.0.2.200
nameserver 2001:db8:1::ffbb

    여러 연결 프로필이 동시에 활성화된 경우 이름 서버 항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.

  5. ping 유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다. 

    # ping <host-name-or-IP-address>

문제 해결

  • 네트워크 케이블이 호스트에 연결되고 스위치가 연결되어 있는지 확인합니다.
  • 링크 오류가 이 호스트에만 있는지 또는 동일한 스위치에 연결된 다른 호스트에도 있는지 확인합니다.
  • 네트워크 케이블과 네트워크 인터페이스가 예상대로 작동하는지 확인합니다. 하드웨어 진단 단계를 수행하고 결함이 있는 케이블 및 네트워크 인터페이스 카드를 교체합니다.
  • 디스크의 구성이 장치의 구성과 일치하지 않으면 NetworkManager를 시작하거나 다시 시작하면 장치 구성을 반영하는 메모리 내 연결이 생성됩니다. 자세한 내용과 이 문제를 방지하는 방법은 NetworkManager 서비스를 다시 시작한 후 Red Hat Knowledgebase 솔루션 NetworkManager가 연결 중복을 참조하십시오.

2.2. nmtui를 사용하여 이더넷 연결 구성
링크 복사

호스트를 이더넷 네트워크에 연결하는 경우 텍스트 기반 사용자 인터페이스에서 연결의 설정을 관리할 수 있습니다. nmtui 애플리케이션을 사용하여 새 프로필을 생성하고 그래픽 인터페이스 없이 호스트에서 기존 프로필을 업데이트합니다.

참고

nmtui 에서:

  • 커서 키를 사용하여 이동합니다.
  • 버튼을 선택하고 Enter 키를 눌러 합니다.
  • Space 를 사용하여 확인란을 선택하고 지웁니다.
  • 이전 화면으로 돌아가려면 ESC 를 사용합니다.

사전 요구 사항

  • 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.

프로세스

  1. 연결에 사용할 네트워크 장치 이름을 모르는 경우 사용 가능한 장치를 표시합니다. 

    # nmcli device status
DEVICE     TYPE      STATE                   CONNECTION
enp1s0     ethernet  unavailable             --
...

  2. start nmtui: 

    # nmtui
  3. Edit a connection 을 선택하고 Enter 를 누릅니다.

  4. 새 연결 프로필을 추가하거나 기존 프로필을 수정할지 선택합니다.

    • 새 프로필을 생성하려면 다음을 수행합니다.

      1. 추가를 누릅니다.
      2. 네트워크 유형 목록에서 이더넷 을 선택하고 Enter 키를 누릅니다.
    • 기존 프로필을 수정하려면 목록에서 프로필을 선택하고 Enter 키를 누릅니다.

  5. 선택 사항: 연결 프로필의 이름을 업데이트합니다.

    프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.

  6. 새 연결 프로필을 생성하는 경우 장치 필드에 네트워크 장치 이름을 입력합니다.

  7. 환경에 따라 그에 따라 IPv4 구성 및 IPv6 구성 영역에서 IP 주소 설정을 구성합니다. 이를 위해 다음 영역 옆에 있는 버튼을 누른 후 다음을 선택합니다.

    • 비활성화됨 (이 연결에 IP 주소가 필요하지 않은 경우).
    • 자동으로 DHCP 서버가 이 NIC에 IP 주소를 동적으로 할당하는 경우입니다.

    • 수동: 네트워크에 고정 IP 주소 설정이 필요한 경우입니다. 이 경우 추가 필드를 채워야 합니다.

      1. 추가 필드를 표시하도록 구성할 프로토콜 옆에 Show 를 누릅니다.

      2. 주소 옆에 있는 추가 를 클릭하고 CIDR(Classless Inter-Domain Routing) 형식으로 IP 주소와 서브넷 마스크를 입력합니다.

        서브넷 마스크를 지정하지 않으면 NetworkManager는 IPv4 주소에 대해 /32 서브넷 마스크를 설정하고 IPv6 주소에 대해 /64 를 설정합니다.

      3. 기본 게이트웨이의 주소를 입력합니다.
      4. DNS 서버 옆에 있는 추가 를 클릭하고 DNS 서버 주소를 입력합니다.
      5. 검색 도메인 옆에 있는 추가 를 클릭하고 DNS 검색 도메인을 입력합니다.

    그림 2.1. 고정 IP 주소 설정을 사용한 이더넷 연결 예

    nmtui 이더넷 고정 IP
  8. OK 를 눌러 새 연결을 만들고 자동으로 활성화합니다.
  9. 다시 키를 눌러 기본 메뉴로 돌아갑니다.
  10. Quit 를 선택하고 Enter 를 눌러 nmtui 애플리케이션을 종료합니다.

검증

  1. NIC의 IP 설정을 표시합니다. 

    # ip address show enp1s0
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 52:54:00:17:b8:b6 brd ff:ff:ff:ff:ff:ff
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute enp1s0
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::fffe/64 scope global noprefixroute
       valid_lft forever preferred_lft forever

  2. IPv4 기본 게이트웨이를 표시합니다. 

    # ip route show default
default via 192.0.2.254 dev enp1s0 proto static metric 102

  3. IPv6 기본 게이트웨이를 표시합니다. 

    # ip -6 route show default
default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium

  4. DNS 설정을 표시합니다. 

    # cat /etc/resolv.conf
search example.com
nameserver 192.0.2.200
nameserver 2001:db8:1::ffbb

    여러 연결 프로필이 동시에 활성화된 경우 이름 서버 항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.

  5. ping 유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다. 

    # ping <host-name-or-IP-address>

문제 해결

  • 네트워크 케이블이 호스트에 연결되고 스위치가 연결되어 있는지 확인합니다.
  • 링크 오류가 이 호스트에만 있는지 또는 동일한 스위치에 연결된 다른 호스트에도 있는지 확인합니다.
  • 네트워크 케이블과 네트워크 인터페이스가 예상대로 작동하는지 확인합니다. 하드웨어 진단 단계를 수행하고 결함이 있는 케이블 및 네트워크 인터페이스 카드를 교체합니다.
  • 디스크의 구성이 장치의 구성과 일치하지 않으면 NetworkManager를 시작하거나 다시 시작하면 장치 구성을 반영하는 메모리 내 연결이 생성됩니다. 자세한 내용과 이 문제를 방지하는 방법은 NetworkManager 서비스를 다시 시작한 후 Red Hat Knowledgebase 솔루션 NetworkManager가 연결 중복을 참조하십시오.

2.3. control-center를 사용하여 이더넷 연결 구성
링크 복사

이더넷을 통해 호스트를 네트워크에 연결하는 경우 GNOME 설정 메뉴를 사용하여 그래픽 인터페이스로 연결의 설정을 관리할 수 있습니다.

control-centernmcli 유틸리티만큼 많은 구성 옵션을 지원하지 않습니다.

사전 요구 사항

  • 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
  • GNOME이 설치되어 있어야 합니다.

프로세스

  1. Super 키를 누른 다음 설정을 입력하고 Enter 를 누릅니다.
  2. 왼쪽의 탐색에서 네트워크를 선택합니다.

  3. 새 연결 프로필을 추가하거나 기존 프로필을 수정할지 선택합니다.

    • 새 프로필을 생성하려면 이더넷 항목 옆에 있는 + 버튼을 클릭합니다.
    • 기존 프로필을 수정하려면 프로필 항목 옆에 있는 장비 아이콘을 클릭합니다.

  4. 선택 사항: ID 탭에서 연결 프로필의 이름을 업데이트합니다.

    프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.

  5. 환경에 따라 그에 따라 IPv4IPv6 탭의 IP 주소 설정을 구성합니다.

    • DHCP 또는 IPv6 SLAAC(상태 비저장 주소 자동 구성)를 사용하려면 자동(DHCP)을 메서드(기본값) 로 선택합니다.

    • 고정 IP 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 검색 도메인을 설정하려면 Manual 을 메서드로 선택하고 탭의 필드를 작성합니다.

      IP 설정 gnome 설정

  6. 연결 프로필을 추가하거나 수정할지 여부에 따라 추가 또는 적용 버튼을 클릭하여 연결을 저장합니다.

    GNOME control-center 가 연결을 자동으로 활성화합니다.

검증

  1. NIC의 IP 설정을 표시합니다. 

    # ip address show enp1s0
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 52:54:00:17:b8:b6 brd ff:ff:ff:ff:ff:ff
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute enp1s0
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::fffe/64 scope global noprefixroute
       valid_lft forever preferred_lft forever

  2. IPv4 기본 게이트웨이를 표시합니다. 

    # ip route show default
default via 192.0.2.254 dev enp1s0 proto static metric 102

  3. IPv6 기본 게이트웨이를 표시합니다. 

    # ip -6 route show default
default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium

  4. DNS 설정을 표시합니다. 

    # cat /etc/resolv.conf
search example.com
nameserver 192.0.2.200
nameserver 2001:db8:1::ffbb

    여러 연결 프로필이 동시에 활성화된 경우 이름 서버 항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.

  5. ping 유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다. 

    # ping <host-name-or-IP-address>

문제 해결 단계

  • 네트워크 케이블이 호스트에 연결되고 스위치가 연결되어 있는지 확인합니다.
  • 링크 오류가 이 호스트에만 있는지 또는 동일한 스위치에 연결된 다른 호스트에도 있는지 확인합니다.
  • 네트워크 케이블과 네트워크 인터페이스가 예상대로 작동하는지 확인합니다. 하드웨어 진단 단계를 수행하고 결함이 있는 케이블 및 네트워크 인터페이스 카드를 교체합니다.
  • 디스크의 구성이 장치의 구성과 일치하지 않으면 NetworkManager를 시작하거나 다시 시작하면 장치 구성을 반영하는 메모리 내 연결이 생성됩니다. 자세한 내용과 이 문제를 방지하는 방법은 NetworkManager 서비스를 다시 시작한 후 Red Hat Knowledgebase 솔루션 NetworkManager가 연결 중복을 참조하십시오.

선언적 Nmstate API를 사용하여 고정 IP 주소, 게이트웨이 및 DNS 설정으로 이더넷 연결을 구성하고 지정된 인터페이스 이름에 할당할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

사전 요구 사항

  • 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
  • nmstate 패키지가 설치되어 있습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/create-ethernet-profile.yml )을 만듭니다. 

    ---
interfaces:
- name: enp1s0
  type: ethernet
  state: up
  ipv4:
    enabled: true
    address:
    - ip: 192.0.2.1
      prefix-length: 24
    dhcp: false
  ipv6:
    enabled: true
    address:
    - ip: 2001:db8:1::1
      prefix-length: 64
    autoconf: false
    dhcp: false
routes:
  config:
  - destination: 0.0.0.0/0
    next-hop-address: 192.0.2.254
    next-hop-interface: enp1s0
  - destination: ::/0
    next-hop-address: 2001:db8:1::fffe
    next-hop-interface: enp1s0
dns-resolver:
  config:
    search:
    - example.com
    server:
    - 192.0.2.200
    - 2001:db8:1::ffbb

    이러한 설정은 다음 설정을 사용하여 enp1s0 장치에 대한 이더넷 연결 프로필을 정의합니다.

    • 정적 IPv4 주소 - 192.0.2.1/24 서브넷 마스크
    • /64 서브넷 마스크가 있는 정적 IPv6 주소 2001:db8:1::1
    • IPv4 기본 게이트웨이 - 192.0.2.254
    • IPv6 기본 게이트웨이 - 2001:db8:1::fffe
    • IPv4 DNS 서버 - 192.0.2.200
    • IPv6 DNS 서버 - 2001:db8:1::ffbb
    • DNS 검색 도메인 - example.com

  2. 선택 사항: 인터페이스 속성의 mac-address 및 mac-address: < mac_address > 속성을 정의하여 이름 대신 MAC 주소로 네트워크 인터페이스 카드를 식별할 수 있습니다. 예를 들면 다음과 같습니다. 

    ---
interfaces:
- name: <profile_name>
  type: ethernet
  identifier: mac-address
  mac-address: <mac_address>
  ...

  3. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/create-ethernet-profile.yml

검증

  1. 현재 상태를 YAML 형식으로 표시합니다. 

    # nmstatectl show enp1s0

  2. NIC의 IP 설정을 표시합니다. 

    # ip address show enp1s0
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 52:54:00:17:b8:b6 brd ff:ff:ff:ff:ff:ff
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute enp1s0
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::fffe/64 scope global noprefixroute
       valid_lft forever preferred_lft forever

  3. IPv4 기본 게이트웨이를 표시합니다. 

    # ip route show default
default via 192.0.2.254 dev enp1s0 proto static metric 102

  4. IPv6 기본 게이트웨이를 표시합니다. 

    # ip -6 route show default
default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium

  5. DNS 설정을 표시합니다. 

    # cat /etc/resolv.conf
search example.com
nameserver 192.0.2.200
nameserver 2001:db8:1::ffbb

    여러 연결 프로필이 동시에 활성화된 경우 이름 서버 항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.

  6. ping 유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다. 

    # ping <host-name-or-IP-address>

2.5. PCI 주소와 nmstatectl 을 사용하여 고정 IP 주소로 이더넷 연결 구성
링크 복사

선언적 Nmstate API를 사용하여 고정 IP 주소, 게이트웨이 및 DNS 설정으로 이더넷 연결을 구성하고 PCI 주소를 기반으로 장치에 할당할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

사전 요구 사항

  • 물리적 이더넷 NIC(네트워크 인터페이스 컨트롤러)는 서버 구성에 있습니다.
  • 장치의 PCI 주소를 알고 있습니다. ethtool -i < interface_name > | grep bus-info 명령을 사용하여 PCI 주소를 표시할 수 있습니다.
  • nmstate 패키지가 설치되어 있습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/create-ethernet-profile.yml )을 만듭니다. 

    ---
interfaces:
- name: <profile_name>
  type: ethernet
  state: up
  identifier: pci-address
  pci-address: 0000:00:14.3
  ipv4:
    enabled: true
    address:
    - ip: 192.0.2.1
      prefix-length: 24
    dhcp: false
  ipv6:
    enabled: true
    address:
    - ip: 2001:db8:1::1
      prefix-length: 64
    autoconf: false
    dhcp: false
routes:
  config:
  - destination: 0.0.0.0/0
    next-hop-address: 192.0.2.254
    next-hop-interface: <profile_name>
  - destination: ::/0
    next-hop-address: 2001:db8:1::fffe
    next-hop-interface: <profile_name>
dns-resolver:
  config:
    search:
    - example.com
    server:
    - 192.0.2.200
    - 2001:db8:1::ffbb

    이러한 설정은 다음 설정으로 ID 0000:00:14.3 이 있는 장치에 대한 이더넷 연결 프로필을 정의합니다.

    • 정적 IPv4 주소 - 192.0.2.1/24 서브넷 마스크
    • /64 서브넷 마스크가 있는 정적 IPv6 주소 2001:db8:1::1
    • IPv4 기본 게이트웨이 - 192.0.2.254
    • IPv6 기본 게이트웨이 - 2001:db8:1::fffe
    • IPv4 DNS 서버 - 192.0.2.200
    • IPv6 DNS 서버 - 2001:db8:1::ffbb
    • DNS 검색 도메인 - example.com

  2. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/create-ethernet-profile.yml

검증

  1. 현재 상태를 YAML 형식으로 표시합니다. 

    # nmstatectl show <interface_name>

  2. NIC의 IP 설정을 표시합니다. 

    # ip address show <interface_name>
2: :<interface_name> <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 52:54:00:17:b8:b6 brd ff:ff:ff:ff:ff:ff
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute <interface_name>
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::fffe/64 scope global noprefixroute
       valid_lft forever preferred_lft forever

  3. IPv4 기본 게이트웨이를 표시합니다. 

    # ip route show default
default via 192.0.2.254 dev <interface_name> proto static metric 102

  4. IPv6 기본 게이트웨이를 표시합니다. 

    # ip -6 route show default
default via 2001:db8:1::fffe dev <interface_name> proto static metric 102 pref medium

  5. DNS 설정을 표시합니다. 

    # cat /etc/resolv.conf
search example.com
nameserver 192.0.2.200
nameserver 2001:db8:1::ffbb

  6. ping 유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다. 

    # ping <host-name-or-IP-address>

네트워크 RHEL 시스템 역할을 사용하여 고정 IP 주소, 게이트웨이 및 DNS 설정으로 이더넷 연결을 구성하고 지정된 인터페이스 이름에 할당할 수 있습니다.

Red Hat Enterprise Linux 호스트를 이더넷 네트워크에 연결하려면 네트워크 장치의 NetworkManager 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.

일반적으로 관리자는 플레이북을 재사용하고 Ansible이 고정 IP 주소를 할당해야 하는 각 호스트에 대해 개별 플레이북을 유지 관리하려고 합니다. 이 경우 플레이북에서 변수를 사용하고 인벤토리의 설정을 유지 관리할 수 있습니다. 따라서 개별 설정을 여러 호스트에 동적으로 할당하려면 하나의 플레이북만 필요합니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 서버 구성에 물리적 또는 가상 이더넷 장치가 있습니다.
  • 관리형 노드는 NetworkManager를 사용하여 네트워크를 구성합니다.

프로세스

  1. ~/inventory 파일을 편집하고 호스트 항목에 호스트 관련 설정을 추가합니다. 

    managed-node-01.example.com interface=enp1s0 ip_v4=192.0.2.1/24 ip_v6=2001:db8:1::1/64 gateway_v4=192.0.2.254 gateway_v6=2001:db8:1::fffe

managed-node-02.example.com interface=enp1s0 ip_v4=192.0.2.2/24 ip_v6=2001:db8:1::2/64 gateway_v4=192.0.2.254 gateway_v6=2001:db8:1::fffe

  2. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure the network
  hosts: managed-node-01.example.com,managed-node-02.example.com
  tasks:
    - name: Ethernet connection profile with static IP address settings
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          - name: "{{ interface }}"
            interface_name: "{{ interface }}"
            type: ethernet
            autoconnect: yes
            ip:
              address:
                - "{{ ip_v4 }}"
                - "{{ ip_v6 }}"
              gateway4: "{{ gateway_v4 }}"
              gateway6: "{{ gateway_v6 }}"
              dns:
                - 192.0.2.200
                - 2001:db8:1::ffbb
              dns_search:
                - example.com
            state: up

    이 플레이북은 인벤토리 파일에서 각 호스트에 대해 동적으로 특정 값을 읽고 플레이북의 정적 값을 모든 호스트에 대해 동일한 설정에 사용합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  3. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  4. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  • 관리 노드의 Ansible 팩트를 쿼리하고 활성 네트워크 설정을 확인합니다. 

    # ansible managed-node-01.example.com -m ansible.builtin.setup
...
        "ansible_default_ipv4": {
            "address": "192.0.2.1",
            "alias": "enp1s0",
            "broadcast": "192.0.2.255",
            "gateway": "192.0.2.254",
            "interface": "enp1s0",
            "macaddress": "52:54:00:17:b8:b6",
            "mtu": 1500,
            "netmask": "255.255.255.0",
            "network": "192.0.2.0",
            "prefix": "24",
            "type": "ether"
        },
        "ansible_default_ipv6": {
            "address": "2001:db8:1::1",
            "gateway": "2001:db8:1::fffe",
            "interface": "enp1s0",
            "macaddress": "52:54:00:17:b8:b6",
            "mtu": 1500,
            "prefix": "64",
            "scope": "global",
            "type": "ether"
        },
        ...
        "ansible_dns": {
            "nameservers": [
                "192.0.2.1",
                "2001:db8:1::ffbb"
            ],
            "search": [
                "example.com"
            ]
        },
...

네트워크 RHEL 시스템 역할을 사용하여 고정 IP 주소, 게이트웨이 및 DNS 설정으로 이더넷 연결을 구성하고 이름이 아닌 경로에 따라 장치에 할당할 수 있습니다.

Red Hat Enterprise Linux 호스트를 이더넷 네트워크에 연결하려면 네트워크 장치의 NetworkManager 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 물리적 또는 가상 이더넷 장치가 서버 구성에 있습니다.
  • 관리형 노드는 NetworkManager를 사용하여 네트워크를 구성합니다.
  • 장치의 경로를 알고 있습니다. udevadm info /sys/class/net/ <device_name> | grep ID_ PATH= 명령을 사용하여 장치 경로를 표시할 수 있습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure the network
  hosts: managed-node-01.example.com
  tasks:
    - name: Ethernet connection profile with static IP address settings
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          - name: example
            match:
              path:
                - pci-0000:00:0[1-3].0
                - '&!pci-0000:00:02.0'
            type: ethernet
            autoconnect: yes
            ip:
              address:
                - 192.0.2.1/24
                - 2001:db8:1::1/64
              gateway4: 192.0.2.254
              gateway6: 2001:db8:1::fffe
              dns:
                - 192.0.2.200
                - 2001:db8:1::ffbb
              dns_search:
                - example.com
            state: up

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    match
    설정을 적용하려면 조건을 충족하는지 정의합니다. 이 변수는 path 옵션에서만 사용할 수 있습니다.
    path
    장치의 영구 경로를 정의합니다. 고정 경로 또는 표현식으로 설정할 수 있습니다. 해당 값은 수정자 및 와일드카드를 포함할 수 있습니다. 이 예제에서는 PCI ID 0000:00:0[1-3].0 과 일치하지만 0000:00:02.0 이 아닌 장치에 설정을 적용합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  • 관리 노드의 Ansible 팩트를 쿼리하고 활성 네트워크 설정을 확인합니다. 

    # ansible managed-node-01.example.com -m ansible.builtin.setup
...
        "ansible_default_ipv4": {
            "address": "192.0.2.1",
            "alias": "enp1s0",
            "broadcast": "192.0.2.255",
            "gateway": "192.0.2.254",
            "interface": "enp1s0",
            "macaddress": "52:54:00:17:b8:b6",
            "mtu": 1500,
            "netmask": "255.255.255.0",
            "network": "192.0.2.0",
            "prefix": "24",
            "type": "ether"
        },
        "ansible_default_ipv6": {
            "address": "2001:db8:1::1",
            "gateway": "2001:db8:1::fffe",
            "interface": "enp1s0",
            "macaddress": "52:54:00:17:b8:b6",
            "mtu": 1500,
            "prefix": "64",
            "scope": "global",
            "type": "ether"
        },
        ...
        "ansible_dns": {
            "nameservers": [
                "192.0.2.1",
                "2001:db8:1::ffbb"
            ],
            "search": [
                "example.com"
            ]
        },
...

선언적 Nmstate API를 사용하여 고정 IP 주소, 게이트웨이 및 DNS 설정으로 이더넷 연결을 구성하고 PCI 주소를 기반으로 하는 장치에 구성을 할당할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

사전 요구 사항

  • 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
  • 네트워크에서 DHCP 서버를 사용할 수 있습니다.
  • nmstate 패키지가 설치되어 있습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/create-ethernet-profile.yml )을 만듭니다. 

    ---
interfaces:
- name: enp1s0
  type: ethernet
  state: up
  ipv4:
    enabled: true
    auto-dns: true
    auto-gateway: true
    auto-routes: true
    dhcp: true
  ipv6:
    enabled: true
    auto-dns: true
    auto-gateway: true
    auto-routes: true
    autoconf: true
    dhcp: true

    이러한 설정은 enp1s0 장치에 대한 이더넷 연결 프로필을 정의합니다. 연결은 DHCP 서버와 IPv6 상태 비저장 주소 자동 구성(SLAAC)에서 IPv4 주소, IPv6 주소, 기본 게이트웨이, 경로, DNS 서버 및 검색 도메인을 검색합니다.

  2. 선택 사항: 인터페이스 속성의 mac-address 및 mac-address: < mac_address > 속성을 정의하여 이름 대신 MAC 주소로 네트워크 인터페이스 카드를 식별할 수 있습니다. 예를 들면 다음과 같습니다. 

    ---
interfaces:
- name: <profile_name>
  type: ethernet
  identifier: mac-address
  mac-address: <mac_address>
  ...

  3. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/create-ethernet-profile.yml

검증

  1. 현재 상태를 YAML 형식으로 표시합니다. 

    # nmstatectl show enp1s0

  2. NIC의 IP 설정을 표시합니다. 

    # ip address show enp1s0
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 52:54:00:17:b8:b6 brd ff:ff:ff:ff:ff:ff
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute enp1s0
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::fffe/64 scope global noprefixroute
       valid_lft forever preferred_lft forever

  3. IPv4 기본 게이트웨이를 표시합니다. 

    # ip route show default
default via 192.0.2.254 dev enp1s0 proto static metric 102

  4. IPv6 기본 게이트웨이를 표시합니다. 

    # ip -6 route show default
default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium

  5. DNS 설정을 표시합니다. 

    # cat /etc/resolv.conf
search example.com
nameserver 192.0.2.200
nameserver 2001:db8:1::ffbb

    여러 연결 프로필이 동시에 활성화된 경우 이름 서버 항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.

  6. ping 유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다. 

    # ping <host-name-or-IP-address>

2.9. PCI 주소와 nmstatectl 을 사용하여 동적 IP 주소로 이더넷 연결 구성
링크 복사

선언적 Nmstate API를 사용하여 DHCP 및 IPv6 SLAAC(stateless address autoconfiguration)와의 이더넷 연결을 구성하고 PCI 주소를 기반으로 하는 장치에 구성을 할당할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

사전 요구 사항

  • 물리적 이더넷 장치가 서버 구성에 있습니다.
  • DHCP 서버 및 SLAAC는 네트워크에서 사용할 수 있습니다.
  • 관리 호스트는 NetworkManager를 사용하여 네트워크를 구성합니다.
  • 장치의 PCI 주소를 알고 있습니다. ethtool -i < interface_name > | grep bus-info 명령을 사용하여 PCI 주소를 표시할 수 있습니다.
  • nmstate 패키지가 설치되어 있습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/create-ethernet-profile.yml )을 만듭니다. 

    ---
interfaces:
- name: <profile_name>
  type: ethernet
  state: up
  identifier: pci-address
  pci-address: 0000:00:14.3
  ipv4:
    enabled: true
    auto-dns: true
    auto-gateway: true
    auto-routes: true
    dhcp: true
  ipv6:
    enabled: true
    auto-dns: true
    auto-gateway: true
    auto-routes: true
    autoconf: true
    dhcp: true

    이러한 설정은 ID 0000:00:14.3 이 있는 장치에 대한 이더넷 연결 프로필을 정의합니다. 연결은 DHCP 서버와 IPv6 상태 비저장 주소 자동 구성(SLAAC)에서 IPv4 주소, IPv6 주소, 기본 게이트웨이, 경로, DNS 서버 및 검색 도메인을 검색합니다.

  2. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/create-ethernet-profile.yml

검증

  1. 현재 상태를 YAML 형식으로 표시합니다. 

    # nmstatectl show <interface_name>

  2. NIC의 IP 설정을 표시합니다. 

    # ip address show <interface_name>
2: <interface_name>: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 52:54:00:17:b8:b6 brd ff:ff:ff:ff:ff:ff
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute <interface_name>
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::fffe/64 scope global noprefixroute
       valid_lft forever preferred_lft forever

  3. IPv4 기본 게이트웨이를 표시합니다. 

    # ip route show default
default via 192.0.2.254 dev <interface_name> proto static metric 102

  4. IPv6 기본 게이트웨이를 표시합니다. 

    # ip -6 route show default
default via 2001:db8:1::fffe dev <interface_name> proto static metric 102 pref medium

  5. DNS 설정을 표시합니다. 

    # cat /etc/resolv.conf
search example.com
nameserver 192.0.2.200
nameserver 2001:db8:1::ffbb

  6. ping 유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다. 

    # ping <host-name-or-IP-address>

네트워크 RHEL 시스템 역할을 사용하여 DHCP 서버 및 IPv6 SLAAC(stateless address autoconfiguration)에서 IP 주소, 게이트웨이 및 DNS 설정을 검색하는 이더넷 연결을 구성할 수 있습니다. 이 역할을 사용하면 지정된 인터페이스 이름에 연결 프로필을 할당할 수 있습니다.

Red Hat Enterprise Linux 호스트를 이더넷 네트워크에 연결하려면 네트워크 장치의 NetworkManager 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 물리적 또는 가상 이더넷 장치가 서버 구성에 있습니다.
  • DHCP 서버 및 SLAAC는 네트워크에서 사용할 수 있습니다.
  • 관리형 노드는 NetworkManager 서비스를 사용하여 네트워크를 구성합니다.

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure the network
  hosts: managed-node-01.example.com
  tasks:
    - name: Ethernet connection profile with dynamic IP address settings
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          - name: enp1s0
            interface_name: enp1s0
            type: ethernet
            autoconnect: yes
            ip:
              dhcp4: yes
              auto6: yes
            state: up

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    dhcp4: yes
    DHCP, PPP 또는 유사한 서비스에서 자동 IPv4 주소 할당을 활성화합니다.
    auto6: yes
    IPv6 자동 구성을 활성화합니다. 기본적으로 NetworkManager는 라우터 알림을 사용합니다. 라우터에서 관리 플래그를 알릴 경우 NetworkManager는 DHCPv6 서버에서 IPv6 주소 및 접두사를 요청합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  • 관리 노드의 Ansible 사실을 쿼리하고 인터페이스에서 IP 주소 및 DNS 설정을 수신했는지 확인합니다. 

    # ansible managed-node-01.example.com -m ansible.builtin.setup
...
        "ansible_default_ipv4": {
            "address": "192.0.2.1",
            "alias": "enp1s0",
            "broadcast": "192.0.2.255",
            "gateway": "192.0.2.254",
            "interface": "enp1s0",
            "macaddress": "52:54:00:17:b8:b6",
            "mtu": 1500,
            "netmask": "255.255.255.0",
            "network": "192.0.2.0",
            "prefix": "24",
            "type": "ether"
        },
        "ansible_default_ipv6": {
            "address": "2001:db8:1::1",
            "gateway": "2001:db8:1::fffe",
            "interface": "enp1s0",
            "macaddress": "52:54:00:17:b8:b6",
            "mtu": 1500,
            "prefix": "64",
            "scope": "global",
            "type": "ether"
        },
        ...
        "ansible_dns": {
            "nameservers": [
                "192.0.2.1",
                "2001:db8:1::ffbb"
            ],
            "search": [
                "example.com"
            ]
        },
...

네트워크 RHEL 시스템 역할을 사용하면 DHCP 서버 및 IPv6 SLAAC(상태 비저장 주소 자동 구성)에서 IP 주소, 게이트웨이 및 DNS 설정을 검색하도록 이더넷 연결을 구성할 수 있습니다. 역할은 장치 경로에서 프로필을 할당할 수 있습니다.

Red Hat Enterprise Linux 호스트를 이더넷 네트워크에 연결하려면 네트워크 장치의 NetworkManager 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 물리적 또는 가상 이더넷 장치가 서버 구성에 있습니다.
  • DHCP 서버 및 SLAAC는 네트워크에서 사용할 수 있습니다.
  • 관리 호스트는 NetworkManager를 사용하여 네트워크를 구성합니다.
  • 장치의 경로를 알고 있습니다. udevadm info /sys/class/net/ <device_name> | grep ID_ PATH= 명령을 사용하여 장치 경로를 표시할 수 있습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure the network
  hosts: managed-node-01.example.com
  tasks:
    - name: Ethernet connection profile with dynamic IP address settings
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          - name: example
            match:
              path:
                - pci-0000:00:0[1-3].0
                - '&!pci-0000:00:02.0'
            type: ethernet
            autoconnect: yes
            ip:
              dhcp4: yes
              auto6: yes
            state: up

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    일치: 경로
    설정을 적용하려면 조건을 충족하는지 정의합니다. 이 변수는 path 옵션에서만 사용할 수 있습니다.
    path: <path_and_expressions>
    장치의 영구 경로를 정의합니다. 고정 경로 또는 표현식으로 설정할 수 있습니다. 해당 값은 수정자 및 와일드카드를 포함할 수 있습니다. 이 예제에서는 PCI ID 0000:00:0[1-3].0 과 일치하지만 0000:00:02.0 이 아닌 장치에 설정을 적용합니다.
    dhcp4: yes
    DHCP, PPP 또는 유사한 서비스에서 자동 IPv4 주소 할당을 활성화합니다.
    auto6: yes
    IPv6 자동 구성을 활성화합니다. 기본적으로 NetworkManager는 라우터 알림을 사용합니다. 라우터에서 관리 플래그를 알릴 경우 NetworkManager는 DHCPv6 서버에서 IPv6 주소 및 접두사를 요청합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  • 관리 노드의 Ansible 사실을 쿼리하고 인터페이스에서 IP 주소 및 DNS 설정을 수신했는지 확인합니다. 

    # ansible managed-node-01.example.com -m ansible.builtin.setup
...
        "ansible_default_ipv4": {
            "address": "192.0.2.1",
            "alias": "enp1s0",
            "broadcast": "192.0.2.255",
            "gateway": "192.0.2.254",
            "interface": "enp1s0",
            "macaddress": "52:54:00:17:b8:b6",
            "mtu": 1500,
            "netmask": "255.255.255.0",
            "network": "192.0.2.0",
            "prefix": "24",
            "type": "ether"
        },
        "ansible_default_ipv6": {
            "address": "2001:db8:1::1",
            "gateway": "2001:db8:1::fffe",
            "interface": "enp1s0",
            "macaddress": "52:54:00:17:b8:b6",
            "mtu": 1500,
            "prefix": "64",
            "scope": "global",
            "type": "ether"
        },
        ...
        "ansible_dns": {
            "nameservers": [
                "192.0.2.1",
                "2001:db8:1::ffbb"
            ],
            "search": [
                "example.com"
            ]
        },
...

NetworkManager는 연결 프로필에서 인터페이스 이름에 대한 와일드카드 사용을 지원합니다. 이를 통해 여러 이더넷 인터페이스에 대한 단일 프로필을 생성할 수 있으므로 동적 IP 주소 할당이 있는 이더넷 네트워크 간에 호스트가 로밍할 때 유용합니다.

사전 요구 사항

  • 서버 구성에 여러 물리적 또는 가상 이더넷 장치가 있습니다.
  • 네트워크에서 DHCP 서버를 사용할 수 있습니다.
  • 호스트에 연결 프로필이 없습니다.

프로세스

  1. enp 로 시작하는 모든 인터페이스 이름에 적용되는 연결 프로필을 추가합니다. 

    # nmcli connection add con-name "Wired connection 1" connection.multi-connect multiple match.interface-name enp type ethernet*

검증

  1. 단일 연결 프로필의 모든 설정을 표시합니다. 

    # nmcli connection show "Wired connection 1"
connection.id:                      Wired connection 1
...
connection.multi-connect:           3 (multiple)
match.interface-name:               enp*
...

    3 은 인터페이스가 특정 순간에 여러 번 활성화될 수 있음을 나타냅니다. 연결 프로필은 match.interface-name 매개변수의 패턴과 일치하는 모든 장치를 사용하므로 연결 프로파일에 동일한 UUID(Universally Unique Identifier)가 있습니다.

  2. 연결 상태를 표시합니다. 

    # nmcli connection show
NAME                UUID                                  TYPE      DEVICE
...
Wired connection 1  6f22402e-c0cc-49cf-b702-eaf0cd5ea7d1  ethernet  enp7s0
Wired connection 1  6f22402e-c0cc-49cf-b702-eaf0cd5ea7d1  ethernet  enp8s0
Wired connection 1  6f22402e-c0cc-49cf-b702-eaf0cd5ea7d1  ethernet  enp9s0

PCI ID는 시스템에서 장치를 고유하게 식별합니다. 연결 프로필은 인터페이스를 PCI ID 목록에 일치하여 여러 장치를 추가할 수 있습니다. 이 기능을 사용하면 여러 장치를 하나의 연결 프로필에 연결할 수 있습니다.

사전 요구 사항

  • 서버 구성에 여러 물리적 또는 가상 이더넷 장치가 있습니다.
  • 네트워크에서 DHCP 서버를 사용할 수 있습니다.
  • 호스트에 연결 프로필이 없습니다.

프로세스

  1. 장치 경로를 식별합니다. 예를 들어 enp 로 시작하는 모든 인터페이스의 장치 경로를 표시하려면 다음을 입력합니다. 

    # udevadm info /sys/class/net/enp* | grep ID_PATH=
...
E: ID_PATH=pci-0000:07:00.0
E: ID_PATH=pci-0000:08:00.0

  2. 0000:00:0[7-8].0 표현식과 일치하는 모든 PCI ID에 적용되는 연결 프로필을 추가합니다. 

    # nmcli connection add type ethernet connection.multi-connect multiple match.path "pci-0000:07:00.0 pci-0000:08:00.0" con-name "Wired connection 1"

검증

  1. 연결 상태를 표시합니다. 

    # nmcli connection show
NAME                 UUID                                  TYPE      DEVICE
Wired connection 1   9cee0958-512f-4203-9d3d-b57af1d88466  ethernet  enp7s0
Wired connection 1   9cee0958-512f-4203-9d3d-b57af1d88466  ethernet  enp8s0
...

  2. 연결 프로필의 모든 설정을 표시하려면 다음을 수행합니다. 

    # nmcli connection show "Wired connection 1"
connection.id:               Wired connection 1
...
connection.multi-connect:    3 (multiple)
match.path:                  pci-0000:07:00.0,pci-0000:08:00.0
...

    이 연결 프로필은 match.path 매개변수의 패턴과 일치하는 PCI ID가 있는 모든 장치를 사용하므로 연결 프로파일에는 동일한 UUID(Universally Unique Identifier)가 있습니다.

3장. 네트워크 본딩 구성
링크 복사

네트워크 본딩은 물리적 및 가상 네트워크 인터페이스를 하나의 논리로 집계합니다. 커널은 모든 작업을 독점적으로 처리합니다. 처리량 또는 중복성을 높이기 위해 이더넷 또는 VLAN과 같은 다양한 장치 유형에서 본딩을 생성할 수 있습니다.

Red Hat Enterprise Linux는 관리자에게 본딩 장치를 구성하는 다양한 옵션을 제공합니다. 예를 들면 다음과 같습니다.

  • nmcli 를 사용하여 명령줄을 사용하여 본딩 연결을 구성합니다.
  • 웹 브라우저를 사용하여 본딩 연결을 구성하려면 RHEL 웹 콘솔을 사용합니다.
  • nmtui 를 사용하여 텍스트 기반 사용자 인터페이스에서 본딩 연결을 구성합니다.
  • nmstatectl 을 사용하여 Nmstate API를 통해 본딩 연결을 구성합니다.
  • RHEL 시스템 역할을 사용하여 하나 이상의 호스트에서 본딩 구성을 자동화합니다.

3.1. 컨트롤러 및 포트 인터페이스의 기본 동작 이해
링크 복사

본딩 포트 인터페이스를 관리할 때 NetworkManager의 기본 동작을 이해하면 문제를 보다 효과적으로 해결할 수 있습니다.

기본 동작:

  • 컨트롤러 인터페이스를 시작해도 포트 인터페이스가 자동으로 시작되지 않습니다.
  • 포트 인터페이스를 시작하면 항상 컨트롤러 인터페이스가 시작됩니다.
  • 컨트롤러 인터페이스를 중지하면 포트 인터페이스도 중지됩니다.
  • 포트가 없는 컨트롤러는 고정 IP 연결을 시작할 수 있습니다.
  • 포트가 없는 컨트롤러는 DHCP 연결을 시작할 때 포트를 기다립니다.
  • 포트를 기다리는 DHCP 연결이 있는 컨트롤러는 캐리어가 있는 포트를 추가하면 완료됩니다.
  • 포트를 기다리는 DHCP 연결이 있는 컨트롤러는 캐리어 없이 포트를 추가할 때 계속 대기합니다.

3.2. 본딩 모드에 따른 업스트림 스위치 구성
링크 복사

사용하려는 본딩 모드에 따라 스위치에서 포트를 구성해야 합니다.

Expand
본딩 모드전환 시 구성

0 - balance-rr

LACP(Link Aggregation Control Protocol) 협상이 아닌 정적 EtherChannel이 활성화되어 있어야 합니다.

1 - active-backup

스위치에 구성이 필요하지 않습니다.

2 - balance-xor

LACP-negotiated가 아닌 정적 EtherChannel이 활성화되어 있어야 합니다.

3 - 브로드캐스트

LACP-negotiated가 아닌 정적 EtherChannel이 활성화되어 있어야 합니다.

4 - 802.3ad

LACP-negotiated EtherChannel이 활성화되어 있어야 합니다.

5 - balance-tlb

스위치에 구성이 필요하지 않습니다.

6 - balance-alb

스위치에 구성이 필요하지 않습니다.

balance-slb

스위치에 구성이 필요하지 않습니다.

스위치를 구성하는 방법에 대한 자세한 내용은 스위치 설명서를 참조하십시오.

중요

장애 조치 메커니즘과 같은 특정 네트워크 본딩 기능은 네트워크 스위치 없이 직접 케이블 연결을 지원하지 않습니다. 자세한 내용은 크로스오버 케이블을 사용한 직접 연결로 지원되는 Red Hat 지식베이스 솔루션에서 참조하십시오.

3.3. nmcli를 사용하여 네트워크 본딩 구성
링크 복사

명령줄에서 네트워크 본딩을 구성하려면 nmcli 유틸리티를 사용합니다.

사전 요구 사항

  • 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
  • 이더넷 장치를 본딩의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.

  • 브리지 또는 VLAN 장치를 본딩 포트로 사용하려면 본딩을 생성하는 동안 이러한 장치를 생성하거나 다음에 설명된 대로 미리 생성할 수 있습니다.

프로세스

  1. 본딩 인터페이스를 생성합니다. 

    # nmcli connection add type bond con-name bond0 ifname bond0 bond.options "mode=active-backup"

    이 명령은 active-backup 모드를 사용하는 bond0 이라는 본딩을 생성합니다.

    미디어 독립 인터페이스(MII) 모니터링 간격을 추가로 설정하려면 miimon=interval 옵션을 bond.options 속성에 추가합니다. 예를 들면 다음과 같습니다. 

    # nmcli connection add type bond con-name bond0 ifname bond0 bond.options "mode=active-backup,miimon=1000"

  2. 네트워크 인터페이스를 표시하고 본딩에 추가할 인터페이스의 이름을 확인합니다. 

    # nmcli device status
DEVICE   TYPE      STATE         CONNECTION
enp7s0   ethernet  disconnected  --
enp8s0   ethernet  disconnected  --
bridge0  bridge    connected     bridge0
bridge1  bridge    connected     bridge1
...

    이 예제에서는 다음을 수행합니다.

    • enp7s0enp8s0 은 구성되어 있지 않습니다. 이러한 장치를 포트로 사용하려면 다음 단계에서 연결 프로필을 추가합니다.
    • bridge0bridge1 에는 기존 연결 프로필이 있습니다. 이러한 장치를 포트로 사용하려면 다음 단계에서 프로필을 수정합니다.

  3. 본딩에 인터페이스를 할당합니다.

    1. 본딩에 할당하려는 인터페이스가 구성되지 않은 경우 새 연결 프로필을 생성합니다. 

      # nmcli connection add type ethernet port-type bond con-name bond0-port1 ifname enp7s0 controller bond0
# nmcli connection add type ethernet port-type bond con-name bond0-port2 ifname enp8s0 controller bond0

      이러한 명령은 enp7s0enp8s0 에 대한 프로필을 생성하고 bond0 연결에 추가합니다.

    2. 기존 연결 프로필을 본딩에 할당하려면 다음을 수행합니다.

      1. 이러한 연결의 컨트롤러 매개변수를 bond0 으로 설정합니다. 

        # nmcli connection modify bridge0 controller bond0
# nmcli connection modify bridge1 controller bond0

        이러한 명령은 bridge0bridge1 이라는 기존 연결 프로필을 bond0 연결에 할당합니다.

      2. 연결을 다시 활성화합니다. 

        # nmcli connection up bridge0
# nmcli connection up bridge1

  4. IPv4 설정을 구성합니다.

    • 정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버를 bond0 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify bond0 ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253' ipv4.dns-search 'example.com' ipv4.method manual
    • DHCP를 사용하려면 작업이 필요하지 않습니다.
    • 이 본딩 장치를 다른 장치의 포트로 사용하려는 경우 작업이 필요하지 않습니다.

  5. IPv6 설정을 구성합니다.

    • 정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버를 bond0 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify bond0 ipv6.addresses '2001:db8:1::1/64' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.dns-search 'example.com' ipv6.method manual
    • SLAAC(stateless address autoconfiguration)를 사용하려면 작업이 필요하지 않습니다.
    • 이 본딩 장치를 다른 장치의 포트로 사용하려는 경우 작업이 필요하지 않습니다.

  6. 선택 사항: 본딩 포트에서 매개변수를 설정하려면 다음 명령을 사용합니다. 

    # nmcli connection modify bond0-port1 bond-port.<parameter> <value>

  7. 연결을 활성화합니다. 

    # nmcli connection up bond0

  8. 포트가 연결되어 있고 CONNECTION 열에 포트의 연결 이름이 표시되는지 확인합니다. 

    # nmcli device
DEVICE   TYPE      STATE      CONNECTION
...
enp7s0   ethernet  connected  bond0-port1
enp8s0   ethernet  connected  bond0-port2

    연결의 포트를 활성화하면 NetworkManager도 본딩을 활성화하지만 다른 포트는 활성화하지 않습니다. 본딩이 활성화되면 Red Hat Enterprise Linux에서 모든 포트를 자동으로 사용하도록 구성할 수 있습니다.

    1. 본딩 연결의 connection.autoconnect-ports 매개변수를 활성화합니다. 

      # nmcli connection modify bond0 connection.autoconnect-ports 1

    2. 브리지를 다시 활성화합니다. 

      # nmcli connection up bond0

검증

  1. 네트워크 장치 중 하나에서 네트워크 케이블을 일시적으로 제거하고 본딩의 다른 장치가 트래픽을 처리하고 있는지 확인합니다.

    소프트웨어 유틸리티를 사용하여 링크 실패 이벤트를 적절하게 테스트할 방법은 없습니다. nmcli 와 같은 연결을 비활성화하는 도구는 본딩 드라이버의 포트 구성 변경 사항만 표시하고 실제 링크 실패 이벤트는 표시하지 않습니다.

  2. 본딩 상태를 표시합니다. 

    # cat /proc/net/bonding/bond0

3.4. RHEL 웹 콘솔을 사용하여 네트워크 본딩 구성
링크 복사

웹 브라우저 기반 인터페이스를 사용하여 네트워크 설정을 관리하려는 경우 RHEL 웹 콘솔을 사용하여 네트워크 본딩을 구성합니다.

사전 요구 사항

프로세스

  1. 화면 왼쪽의 탐색에서 네트워킹 탭을 선택합니다.
  2. 인터페이스 섹션에서 본딩 추가 를 클릭합니다.
  3. 생성하려는 본딩 장치의 이름을 입력합니다.
  4. 본딩의 멤버여야 하는 인터페이스를 선택합니다.

  5. 본딩 모드를 선택합니다.

    활성 백업을 선택하면 웹 콘솔에 기본 활성화된 장치를 선택할 수 있는 추가 필드가 표시됩니다.

  6. 링크 모니터링 모드를 설정합니다. 예를 들어 Adaptive 로드 밸런싱 모드를 사용하는 경우 이를 ARP 로 설정합니다.

  7. 선택 사항: 모니터링 간격을 조정하고 지연을 연결하며 지연 설정을 링크합니다. 일반적으로 문제 해결을 위해 기본값만 변경합니다.

    본딩 설정
  8. 적용을 클릭합니다.

  9. 기본적으로 본딩은 동적 IP 주소를 사용합니다. 고정 IP 주소를 설정하려면 다음을 수행합니다.

    1. Interfaces 섹션에서 본딩 이름을 클릭합니다.
    2. 구성할 프로토콜 옆에 있는 편집을 클릭합니다.
    3. 주소 옆에 있는 수동 을 선택하고 IP 주소, 접두사 및 기본 게이트웨이를 입력합니다.
    4. DNS 섹션에서 + 버튼을 클릭하고 DNS 서버의 IP 주소를 입력합니다. 이 단계를 반복하여 여러 DNS 서버를 설정합니다.
    5. DNS 검색 도메인 섹션에서 + 버튼을 클릭하고 검색 도메인을 입력합니다.

    6. 인터페이스에 정적 경로가 필요한 경우 Routes 섹션에서 구성합니다.

      bond bridge vlan.ipv4
    7. 적용을클릭합니다.

검증

  1. 화면 왼쪽의 탐색에서 Networking 탭을 선택하고 인터페이스에 들어오고 나가는 트래픽이 있는지 확인합니다.

    본딩 확인

  2. 네트워크 장치 중 하나에서 네트워크 케이블을 일시적으로 제거하고 본딩의 다른 장치가 트래픽을 처리하고 있는지 확인합니다.

    소프트웨어 유틸리티를 사용하여 링크 실패 이벤트를 적절하게 테스트할 방법은 없습니다. 웹 콘솔과 같은 연결을 비활성화하는 툴에서는 본딩 드라이버의 기능만 멤버십 구성 변경 사항만 표시하고 실제 링크 실패 이벤트는 표시하지 않습니다.

  3. 본딩 상태를 표시합니다. 

    # cat /proc/net/bonding/bond0

3.5. nmtui를 사용하여 네트워크 본딩 구성
링크 복사

nmtui 애플리케이션은 NetworkManager에 대한 텍스트 기반 사용자 인터페이스를 제공합니다. nmtui 를 사용하여 그래픽 인터페이스 없이 호스트에서 네트워크 본딩을 구성할 수 있습니다.

참고

nmtui 에서:

  • 커서 키를 사용하여 이동합니다.
  • 버튼을 선택하고 Enter 키를 눌러 합니다.
  • Space 를 사용하여 확인란을 선택하고 지웁니다.
  • 이전 화면으로 돌아가려면 ESC 를 사용합니다.

사전 요구 사항

  • 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
  • 이더넷 장치를 본딩의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.

프로세스

  1. 네트워크 본딩을 구성할 네트워크 장치 이름을 모르는 경우 사용 가능한 장치를 표시합니다. 

    # nmcli device status
DEVICE     TYPE      STATE                   CONNECTION
enp7s0     ethernet  unavailable             --
enp8s0     ethernet  unavailable             --
...

  2. start nmtui: 

    # nmtui
  3. Edit a connection 을 선택하고 Enter 를 누릅니다.
  4. 추가를 누릅니다.
  5. 네트워크 유형 목록에서 Bond 를 선택하고 Enter 를 누릅니다.

  6. 선택 사항: 생성할 NetworkManager 프로필의 이름을 입력합니다.

    프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.

  7. 장치 필드에 생성할 본딩 장치 이름을 입력합니다.

  8. 생성할 본딩에 포트를 추가합니다.

    1. 포트 목록 옆에 있는 Add 를 누릅니다.
    2. 본딩에 포트로 추가할 인터페이스 유형을 선택합니다(예: 이더넷 ).
    3. 선택 사항: 이 본딩 포트에 생성할 NetworkManager 프로필의 이름을 입력합니다.
    4. 장치의 장치 이름을 장치 필드에 입력합니다.

    5. OK 를 눌러 본딩 설정으로 창으로 돌아갑니다.

      그림 3.1. 본딩에 이더넷 장치를 포트로 추가

      nmtui 본딩 추가 포트 추가
    6. 이 단계를 반복하여 본딩에 포트를 추가합니다.
  9. 본딩 모드를 설정합니다. 설정한 값에 따라 nmtui 는 선택한 모드와 관련된 설정에 대한 추가 필드를 표시합니다.

  10. 환경에 따라 그에 따라 IPv4 구성 및 IPv6 구성 영역에서 IP 주소 설정을 구성합니다. 이를 위해 다음 영역 옆에 있는 버튼을 누른 후 다음을 선택합니다.

    • 본딩에 IP 주소가 필요하지 않은 경우 비활성화되어 있습니다.
    • DHCP 서버 또는 SLAAC(상태 비저장 주소 자동 구성)가 IP 주소를 본딩에 동적으로 할당하는 경우 자동입니다.

    • 수동: 네트워크에 고정 IP 주소 설정이 필요한 경우입니다. 이 경우 추가 필드를 채워야 합니다.

      1. 추가 필드를 표시하도록 구성할 프로토콜 옆에 Show 를 누릅니다.

      2. 주소 옆에 있는 추가 를 클릭하고 CIDR(Classless Inter-Domain Routing) 형식으로 IP 주소와 서브넷 마스크를 입력합니다.

        서브넷 마스크를 지정하지 않으면 NetworkManager는 IPv4 주소에 대해 /32 서브넷 마스크를 설정하고 IPv6 주소에 대해 /64 를 설정합니다.

      3. 기본 게이트웨이의 주소를 입력합니다.
      4. DNS 서버 옆에 있는 추가 를 클릭하고 DNS 서버 주소를 입력합니다.
      5. 검색 도메인 옆에 있는 추가 를 클릭하고 DNS 검색 도메인을 입력합니다.

    그림 3.2. 고정 IP 주소 설정과의 본딩 연결 예

    nmtui 본딩 고정 IP
  11. OK 를 눌러 새 연결을 만들고 자동으로 활성화합니다.
  12. 다시 키를 눌러 기본 메뉴로 돌아갑니다.
  13. Quit 를 선택하고 Enter 를 눌러 nmtui 애플리케이션을 종료합니다.

검증

  1. 네트워크 장치 중 하나에서 네트워크 케이블을 일시적으로 제거하고 본딩의 다른 장치가 트래픽을 처리하고 있는지 확인합니다.

    소프트웨어 유틸리티를 사용하여 링크 실패 이벤트를 적절하게 테스트할 방법은 없습니다. nmcli 와 같은 연결을 비활성화하는 도구는 본딩 드라이버의 포트 구성 변경 사항만 표시하고 실제 링크 실패 이벤트는 표시하지 않습니다.

  2. 본딩 상태를 표시합니다. 

    # cat /proc/net/bonding/bond0

3.6. nmstatectl을 사용하여 네트워크 본딩 구성
링크 복사

선언적 Nmstate API를 사용하여 네트워크 본딩을 구성할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

환경에 따라 YAML 파일을 적절하게 조정합니다. 예를 들어 본딩의 이더넷 어댑터와 다른 장치를 사용하려면 본딩에서 사용하는 포트의 base-iface 특성 및 유형 속성을 조정합니다.

사전 요구 사항

  • 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
  • 이더넷 장치를 본딩의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
  • 브리지 또는 VLAN 장치를 본딩의 포트로 사용하려면 포트 목록에 인터페이스 이름을 설정하고 해당 인터페이스를 정의합니다.
  • nmstate 패키지가 설치되어 있습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/create-bond.yml )을 생성합니다. 

    ---
interfaces:
- name: bond0
  type: bond
  state: up
  ipv4:
    enabled: true
    address:
    - ip: 192.0.2.1
      prefix-length: 24
    dhcp: false
  ipv6:
    enabled: true
    address:
    - ip: 2001:db8:1::1
      prefix-length: 64
    autoconf: false
    dhcp: false
  link-aggregation:
    mode: active-backup
    port:
    - enp1s0
    - enp7s0
- name: enp1s0
  type: ethernet
  state: up
- name: enp7s0
  type: ethernet
  state: up

routes:
  config:
  - destination: 0.0.0.0/0
    next-hop-address: 192.0.2.254
    next-hop-interface: bond0
    metric: 300
  - destination: ::/0
    next-hop-address: 2001:db8:1::fffe
    next-hop-interface: bond0
    metric: 300

dns-resolver:
  config:
    search:
    - example.com
    server:
    - 192.0.2.200
    - 2001:db8:1::ffbb

    이러한 설정은 다음 설정으로 네트워크 본딩을 정의합니다.

    • 본딩의 네트워크 인터페이스: enp1s0enp7s0
    • 모드: active-backup
    • 정적 IPv4 주소: /24 서브넷 마스크가 있는 192.0.2.1
    • 정적 IPv6 주소: 2001:db8:1::1/64 서브넷 마스크
    • IPv4 기본 게이트웨이: 192.0.2.254
    • IPv6 기본 게이트웨이: 2001:db8:1::fffe
    • IPv4 DNS 서버: 192.0.2.200
    • IPv6 DNS 서버: 2001:db8:1::ffbb
    • DNS 검색 도메인: example.com

  2. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/create-bond.yml

검증

  1. 장치 및 연결의 상태를 표시합니다. 

    # nmcli device status
DEVICE      TYPE      STATE      CONNECTION
bond0       bond      connected  bond0

  2. 연결 프로필의 모든 설정을 표시합니다. 

    # nmcli connection show bond0
connection.id:              bond0
connection.uuid:            79cbc3bd-302e-4b1f-ad89-f12533b818ee
connection.stable-id:       --
connection.type:            bond
connection.interface-name:  bond0
...

  3. YAML 형식으로 연결 설정을 표시합니다. 

    # nmstatectl show bond0

3.7. 네트워크 RHEL 시스템 역할을 사용하여 네트워크 본딩 구성
링크 복사

네트워크 RHEL 시스템 역할을 사용하여 네트워크 본딩을 구성할 수 있으며 본딩의 상위 장치에 대한 연결 프로필이 없으면 역할도 생성할 수 있습니다.

본딩에 네트워크 인터페이스를 결합하여 처리량 또는 중복성이 높은 논리 인터페이스를 제공할 수 있습니다. 본딩을 구성하려면 NetworkManager 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure the network
  hosts: managed-node-01.example.com
  tasks:
    - name: Bond connection profile with two Ethernet ports
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          # Bond profile
          - name: bond0
            type: bond
            interface_name: bond0
            ip:
              dhcp4: yes
              auto6: yes
            bond:
              mode: active-backup
            state: up

          # Port profile for the 1st Ethernet device
          - name: bond0-port1
            interface_name: enp7s0
            type: ethernet
            controller: bond0
            state: up

          # Port profile for the 2nd Ethernet device
          - name: bond0-port2
            interface_name: enp8s0
            type: ethernet
            controller: bond0
            state: up

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    type: <profile_type>
    생성할 프로필 유형을 설정합니다. 예제 플레이북은 세 개의 연결 프로필을 생성합니다. 하나는 본딩용이고 이더넷 장치에 대한 2개입니다.
    dhcp4: yes
    DHCP, PPP 또는 유사한 서비스에서 자동 IPv4 주소 할당을 활성화합니다.
    auto6: yes
    IPv6 자동 구성을 활성화합니다. 기본적으로 NetworkManager는 라우터 알림을 사용합니다. 라우터에서 관리 플래그를 알릴 경우 NetworkManager는 DHCPv6 서버에서 IPv6 주소 및 접두사를 요청합니다.
    mode: <bond_mode>

    본딩 모드를 설정합니다. 가능한 값은 다음과 같습니다.

    • balance-rr (기본값)
    • active-backup
    • balance-xor
    • broadcast
    • 802.3ad
    • balance-tlb
    • balance-alb.

    설정한 모드에 따라 플레이북에서 추가 변수를 설정해야 합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  • 네트워크 장치 중 하나에서 네트워크 케이블을 일시적으로 제거하고 본딩의 다른 장치가 트래픽을 처리하고 있는지 확인합니다.

    소프트웨어 유틸리티를 사용하여 링크 실패 이벤트를 적절하게 테스트할 방법은 없습니다. nmcli 와 같은 연결을 비활성화하는 도구는 본딩 드라이버의 포트 구성 변경 사항만 표시하고 실제 링크 실패 이벤트는 표시하지 않습니다.

3.8. 다양한 네트워크 본딩 모드
링크 복사

본딩은 여러 네트워크 인터페이스를 하나의 논리적 인터페이스로 집계합니다. 본딩된 인터페이스의 동작은 본딩 정책(로드 밸런싱 또는 핫 대기 시간 서비스를 제공하는 모드)에 따라 달라집니다.

Linux 본딩 드라이버는 다음 모드를 지원합니다.

balance-rr (Mode 0)

balance-rr 는 사용 가능한 첫 번째 포트에서 마지막 포트로 패킷을 순차적으로 전송하는 라운드 로빈 알고리즘을 사용합니다. 이 모드는 로드 밸런싱 및 내결함성을 제공합니다.

이 모드에서는 EtherChannel 또는 유사한 포트 그룹화라고도 하는 포트 집계 그룹의 전환 구성이 필요합니다. EtherChannel은 하나의 논리 이더넷 링크로 여러 개의 물리적 이더넷 링크를 그룹화하는 포트 링크 집계 기술입니다.

이 모드의 단점은 많은 워크로드에 적합하지 않으며 TCP 처리량이나 패킷 전달이 필요한 경우입니다.

active-backup (Mode 1)

active-backup 에서는 본딩에서 하나의 포트만 활성 상태인지 결정하는 정책을 사용합니다. 이 모드는 내결함성을 제공하며 스위치 구성이 필요하지 않습니다.

활성 포트가 실패하면 대체 포트가 활성화됩니다. 본딩은 네트워크에 적절한 주소 확인 프로토콜(ARP) 응답을 보냅니다. 적절한 ARP는 ARP 프레임의 수신자가 전달 테이블을 업데이트하도록 강제 적용합니다. Active-backup 모드는 적절한 ARP를 전송하여 호스트의 연결을 유지하기 위한 새 경로를 알립니다.

기본 옵션은 본딩 인터페이스의 기본 포트를 정의합니다.

balance-xor(Mode 2)

balance-xor 는 선택한 전송 해시 정책을 사용하여 패킷을 보냅니다. 이 모드는 로드 밸런싱, 내결함성을 제공하며 Etherchannel 또는 유사한 포트 그룹화를 설정하기 위해 스위치 구성이 필요합니다.

패킷 전송 및 밸런스 전송을 변경하기 위해 이 모드는 xmit_hash_policy 옵션을 사용합니다. 인터페이스에서 트래픽 소스 또는 대상에 따라 인터페이스에 추가 로드 밸런싱 구성이 필요합니다. 설명 xmit_hash_policy bonding 매개 변수 를 참조하십시오.

broadcast (Mode 3)

브로드캐스트 는 모든 인터페이스에서 모든 패킷을 전송하는 정책을 사용합니다. 이 모드는 내결함성을 제공하며 EtherChannel 또는 유사한 포트 그룹화를 설정하기 위해 스위치 구성이 필요합니다.

이 모드의 단점은 많은 워크로드에 적합하지 않으며 TCP 처리량이나 패킷 전달이 필요한 경우입니다.

802.3ad(Mode 4)

802.3ad 는 동일한 이름의 IEEE 표준 동적 링크 집계 정책을 사용합니다. 이 모드는 내결함성을 제공합니다. 이 모드에서는LACP(Link Aggregation Control Protocol) 포트 그룹화를 설정하려면 스위치 구성이 필요합니다.

이 모드에서는 동일한 속도와 중복 설정을 공유하는 집계 그룹을 생성하고 활성 집계기의 모든 포트를 활용합니다. 인터페이스에서 트래픽 소스 또는 대상에 따라 이 모드에서는 추가 로드 밸런싱 구성이 필요합니다.

기본적으로 발신 트래픽에 대한 포트 선택은 전송 해시 정책에 따라 다릅니다. 전송 해시 정책의 xmit_hash_policy 옵션을 사용하여 포트 선택 및 균형 전송을 변경합니다.

802.3adbalance-xor 의 차이점은 컴플라이언스입니다. 802.3ad 정책은 포트 집계 그룹 간에 LACP를 협상합니다. 설명 xmit_hash_policy bonding 매개변수참조

balance-tlb(Mode 5)

balance-tlb 는 전송 로드 밸런싱 정책을 사용합니다. 이 모드는 내결함성, 로드 밸런싱을 제공하며 스위치 지원이 필요하지 않은 채널 본딩을 설정합니다.

활성 포트는 들어오는 트래픽을 수신합니다. 활성 포트가 실패하면 다른 포트가 실패한 포트의 MAC 주소를 대신합니다. 발신 트래픽을 처리하는 인터페이스를 결정하려면 다음 모드 중 하나를 사용합니다.

  • 0: 로드 밸런싱 없이 트래픽을 분산하려면 해시 배포 정책을 사용합니다.

  • 1: 로드 밸런싱을 사용하여 각 포트에 트래픽을 분산

    본딩 옵션 tlb_dynamic_lb=0 에서는 이 본딩 모드에서는 xmit_hash_policy 본딩 옵션을 사용하여 전송의 균형을 조정합니다. 기본 옵션은 본딩 인터페이스의 기본 포트를 정의합니다.

설명 xmit_hash_policy bonding 매개 변수 를 참조하십시오.

balance-alb (Mode 6)

balance-alb 는 조정된 로드 밸런싱 정책을 사용합니다. 이 모드는 내결함성, 로드 밸런싱을 제공하며 특수 스위치 지원이 필요하지 않습니다.

이 모드에는 IPv4 및 IPv6 트래픽에 대한 balance-transmit 로드 밸런싱(balance-tlb) 및 수신 로드 밸런싱이 포함됩니다. 본딩은 로컬 시스템에서 전송한 ARP 응답을 가로채고 본딩의 포트 중 하나의 소스 하드웨어 주소를 덮어씁니다. ARP 협상은 수신 로드 밸런싱을 관리합니다. 따라서 다른 포트는 서버에 다른 하드웨어 주소를 사용합니다.

기본 옵션은 본딩 인터페이스의 기본 포트를 정의합니다. 본딩 옵션 tlb_dynamic_lb=0 에서는 이 본딩 모드에서는 xmit_hash_policy 본딩 옵션을 사용하여 전송의 균형을 조정합니다. 설명 xmit_hash_policy bonding 매개 변수 를 참조하십시오.

또한 NetworkManager를 사용하여 다음 모드를 구성할 수 있습니다.

balance-slb

소스 로드 밸런싱(SLB) 본딩 모드에서는 트래픽의 소스 주소와 VLAN 해시를 기반으로 발신 데이터 스트림을 여러 네트워크 인터페이스에 배포합니다. 이 모드에서는 스위치 구성이 필요하지 않습니다.

NetworkManager는 nftables 규칙과 함께 balance-xor 모드를 사용하여 SLB를 제공합니다. 이 모드 구성에 대한 자세한 내용은 소스 로드 밸런싱을 사용하여 RHEL에서 네트워크 본딩 구성 을 참조하십시오.

3.9. xmit_hash_policy bonding 매개변수
링크 복사

xmit_hash_policy 로드 밸런싱 매개 변수는 balance-xor,802.3ad,balance-albbalance-tlb 모드에서 노드 선택에 대한 전송 해시 정책을 선택합니다. tlb_dynamic_lb 매개변수가 0인 경우에만 모드 5 및 6에 적용됩니다.

tlb_dynamic_lb 의 가능한 값은 layer2, layer2 +3,layer3+4,encap2+3,encap3+4, vlan+srcmac 입니다.

자세한 내용은 표를 참조하십시오.

Expand

정책 또는 네트워크 계층

Layer2

Layer2+3

Layer3+4

encap2+3

encap3+4

VLAN+srcmac

사용

소스 및 대상 MAC 주소 및 이더넷 프로토콜 유형의 XOR

소스 및 대상 MAC 주소 및 IP 주소의 XOR

소스 및 대상 포트 및 IP 주소의 XOR

지원되는 터널 내에서 소스 및 대상 MAC 주소 및 IP 주소의 XOR(예: VXLAN)입니다. 이 모드는 skb_flow_dissect() 함수를 사용하여 헤더 필드를 가져옵니다.

지원되는 터널 내에서 소스 및 대상 포트 및 IP 주소의 XOR(예: VXLAN)입니다. 이 모드는 skb_flow_dissect() 함수를 사용하여 헤더 필드를 가져옵니다.

VLAN ID 및 소스 MAC 벤더 및 소스 MAC 장치의 XOR

트래픽 배치

동일한 기본 네트워크 인터페이스에서 특정 네트워크 피어로의 모든 트래픽

동일한 기본 네트워크 인터페이스에서 특정 IP 주소로의 모든 트래픽

동일한 기본 네트워크 인터페이스의 특정 IP 주소 및 포트에 대한 모든 트래픽

   

기본 선택

동일한 브로드캐스트 도메인에 이 시스템과 여러 다른 시스템 간에 네트워크 트래픽이 있는 경우

이 시스템과 여러 다른 시스템 간 네트워크 트래픽이 기본 게이트웨이를 통과하는 경우

이 시스템과 다른 시스템 간의 네트워크 트래픽이 동일한 IP 주소를 사용하지만 여러 포트를 통과하는 경우

캡슐화된 트래픽은 여러 IP 주소를 사용하여 소스 시스템과 여러 다른 시스템 사이입니다.

캡슐화된 트래픽은 여러 포트 번호를 사용하는 소스 시스템과 기타 시스템 간의 트래픽입니다.

본딩이 여러 컨테이너 또는 가상 머신(VM)의 네트워크 트래픽을 브리지 네트워크와 같은 외부 네트워크에 직접 노출하고 Mode 2 또는 Mode 4에 대한 스위치를 구성할 수 없는 경우

보조 선택

이 시스템과 기본 게이트웨이 뒤의 여러 다른 시스템 간에 네트워크 트래픽이 주로 사용되는 경우

이 시스템과 다른 시스템 간에 네트워크 트래픽이 대부분의 경우

    

compliant

802.3ad

802.3ad

802.3ad가 아님

   

기본 정책

구성이 제공되지 않은 경우 기본 정책입니다.

IP가 아닌 트래픽의 경우 공식은 layer2 전송 정책과 동일합니다.

IP가 아닌 트래픽의 경우 공식은 layer2 전송 정책과 동일합니다.

   

4장. VLAN 태그 지정 구성
링크 복사

VLAN(Virtual Local Area Network)은 물리적 네트워크 내의 논리적 네트워크입니다. VLAN 인터페이스는 인터페이스를 통과할 때 VLAN ID로 패킷에 태그를 지정하고 패킷을 반환하는 태그를 제거합니다.

다른 인터페이스(예: 이더넷, 본딩 또는 브리지 장치)에 VLAN 인터페이스를 생성합니다. 이러한 인터페이스를 부모 인터페이스 라고 합니다.

Red Hat Enterprise Linux는 관리자에게 VLAN 장치를 구성하는 다양한 옵션을 제공합니다. 예를 들면 다음과 같습니다.

  • 명령줄을 사용하여 VLAN 태그를 구성하려면 nmcli 를 사용합니다.
  • 웹 브라우저를 사용하여 VLAN 태그를 구성하려면 RHEL 웹 콘솔을 사용합니다.
  • nmtui 를 사용하여 텍스트 기반 사용자 인터페이스에서 VLAN 태그를 구성합니다.
  • nmstatectl 을 사용하여 Nmstate API를 통해 연결을 구성합니다.
  • RHEL 시스템 역할을 사용하여 하나 이상의 호스트에서 VLAN 구성을 자동화합니다.

4.1. nmcli를 사용하여 VLAN 태그 구성
링크 복사

nmcli 유틸리티를 사용하여 명령줄에서 VLAN(Virtual Local Area Network) 태그를 구성할 수 있습니다.

사전 요구 사항

  • 가상 VLAN 인터페이스에 대한 상위로 사용할 인터페이스는 VLAN 태그를 지원합니다.

  • 본딩 인터페이스 위에 VLAN을 구성하는 경우:

    • 본딩의 포트가 작동 중입니다.
    • 본딩은 fail_over_mac=follow 옵션으로 구성되지 않습니다. VLAN 가상 장치는 MAC 주소를 상위의 새 MAC 주소와 일치하도록 변경할 수 없습니다. 이러한 경우 트래픽이 잘못된 소스 MAC 주소로 전송됩니다.
    • 본딩은 일반적으로 DHCP 서버 또는 IPv6 자동 구성에서 IP 주소를 가져오지 않아야 합니다. 본딩을 생성하는 동안 ipv4.method=disableipv6.method=disable 옵션을 설정하여 확인합니다. 그렇지 않으면 잠시 후 DHCP 또는 IPv6 자동 구성이 실패하면 인터페이스가 중단될 수 있습니다.
  • VLAN 태그를 지원하도록 호스트에 연결된 스위치가 구성되어 있습니다. 자세한 내용은 전환 설명서를 참조하십시오.

프로세스

  1. 네트워크 인터페이스를 표시합니다. 

    # nmcli device status
DEVICE   TYPE      STATE         CONNECTION
enp1s0   ethernet  disconnected  enp1s0
bridge0  bridge    connected     bridge0
bond0    bond      connected     bond0
...

  2. VLAN 인터페이스를 만듭니다. 예를 들어 enp1s0 을 상위 인터페이스로 사용하고 VLAN ID 10 을 사용하여 패킷을 태그하는 vlan10 이라는 VLAN 인터페이스를 생성하려면 다음을 입력합니다. 

    # nmcli connection add type vlan con-name vlan10 ifname vlan10 vlan.parent enp1s0 vlan.id 10

    VLAN은 0 에서 4094 사이의 범위 내에 있어야 합니다.

  3. 기본적으로 VLAN 연결은 상위 인터페이스에서 최대 전송 단위(MTU)를 상속합니다. 필요한 경우 다른 MTU 값을 설정합니다. 

    # nmcli connection modify vlan10 ethernet.mtu 2000

  4. IPv4 설정을 구성합니다.

    • 정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를 vlan10 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify vlan10 ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253' ipv4.method manual
    • DHCP를 사용하려면 작업이 필요하지 않습니다.
    • 이 VLAN 장치를 다른 장치의 포트로 사용하려면 작업이 필요하지 않습니다.

  5. IPv6 설정을 구성합니다.

    • 정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를 vlan10 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify vlan10 ipv6.addresses '2001:db8:1::1/32' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.method manual
    • SLAAC(stateless address autoconfiguration)를 사용하려면 작업이 필요하지 않습니다.
    • 이 VLAN 장치를 다른 장치의 포트로 사용하려면 작업이 필요하지 않습니다.

  6. 연결을 활성화합니다. 

    # nmcli connection up vlan10

검증

  • 설정을 확인합니다. 

    # ip -d addr show vlan10
4: vlan10@enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:54:00:72:2f:6e brd ff:ff:ff:ff:ff:ff promiscuity 0
    vlan protocol 802.1Q id 10 <REORDER_HDR> numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute vlan10
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::1/32 scope global noprefixroute
       valid_lft forever preferred_lft forever
    inet6 fe80::8dd7:9030:6f8e:89e6/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

4.2. nmcli를 사용하여 중첩된 VLAN 구성
링크 복사

802.1ad는 VLAN(Virtual Local Area Network) 태그에 사용되는 프로토콜입니다. Q-in-Q 태깅이라고도 합니다. 이 기술을 사용하여 단일 이더넷 프레임 내에 여러 VLAN 태그를 생성할 수 있습니다.

단일 이더넷 프레임 내에서 여러 VLAN 태그의 이점:

  • VLAN 내에서 여러 개의 격리된 네트워크 세그먼트를 생성하여 네트워크 확장성이 향상됩니다. 이를 통해 대규모 네트워크를 작고 관리 가능한 단위로 분할하고 구성할 수 있습니다.
  • 다양한 유형의 네트워크 트래픽을 분리하고 제어하여 트래픽 관리 개선. 이를 통해 네트워크 성능을 개선하고 네트워크 정체를 줄일 수 있습니다.
  • 더 작고 대상 네트워크 세그먼트를 생성할 수 있으므로 리소스 사용률을 효율적으로 사용할 수 있습니다.
  • 네트워크 트래픽을 분리하고 중요한 데이터에 대한 무단 액세스 위험을 줄여 보안 강화.

사전 요구 사항

  • 가상 VLAN 인터페이스에 대한 상위로 사용할 인터페이스는 VLAN 태그를 지원합니다.

  • 본딩 인터페이스 위에 VLAN을 구성하는 경우:

    • 본딩의 포트가 작동 중입니다.
    • 본딩은 fail_over_mac=follow 옵션으로 구성되지 않습니다. VLAN 가상 장치는 MAC 주소를 상위의 새 MAC 주소와 일치하도록 변경할 수 없습니다. 이러한 경우 트래픽이 잘못된 소스 MAC 주소로 전송됩니다.
    • 본딩은 일반적으로 DHCP 서버 또는 IPv6 자동 구성에서 IP 주소를 가져오지 않아야 합니다. 본딩을 생성하는 동안 ipv4.method=disableipv6.method=disable 옵션을 설정하여 확인합니다. 그렇지 않으면 잠시 후 DHCP 또는 IPv6 자동 구성이 실패하면 인터페이스가 중단될 수 있습니다.
  • VLAN 태그를 지원하도록 호스트에 연결된 스위치가 구성되어 있습니다. 자세한 내용은 전환 설명서를 참조하십시오.

프로세스

  1. 물리적 네트워크 장치를 표시합니다. 

    # nmcli device status
DEVICE   TYPE      STATE         CONNECTION
enp1s0  ethernet  connected      enp1s0
...

  2. 기본 VLAN 인터페이스를 만듭니다. 예를 들어 enp1s0 을 상위 인터페이스로 사용하고 VLAN ID 10 을 사용하여 패킷을 태그하는 vlan10 이라는 기본 VLAN 인터페이스를 생성하려면 다음을 입력합니다. 

    # nmcli connection add type vlan con-name vlan10 dev enp1s0 vlan.id 10

    VLAN은 0 에서 4094 사이의 범위 내에 있어야 합니다.

  3. 기본적으로 VLAN 연결은 상위 인터페이스에서 최대 전송 단위(MTU)를 상속합니다. 필요한 경우 다른 MTU 값을 설정합니다. 

    # nmcli connection modify vlan10 ethernet.mtu 2000

  4. 기본 VLAN 인터페이스 상단에 중첩된 VLAN 인터페이스를 생성합니다. 

    # nmcli connection add type vlan con-name vlan10.20 dev enp1s0.10 id 20 vlan.protocol 802.1ad

    이 명령은 이름이 vlan10.20 이고 상위 VLAN 연결 vlan10 에 VLAN ID가 20 인 새 VLAN 연결을 생성합니다. dev 옵션은 상위 네트워크 장치를 지정합니다. 이 경우 enp1s0.10 입니다. vlan.protocol 옵션은 VLAN 캡슐화 프로토콜을 지정합니다. 이 경우 802.1ad (Q-in-Q)입니다.

  5. 중첩된 VLAN 인터페이스의 IPv4 설정을 구성합니다.

    • DHCP를 사용하려면 작업이 필요하지 않습니다.

    • 정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를 vlan10.20 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify vlan10.20 ipv4.method manual ipv4.addresses 192.0.2.1/24 ipv4.gateway 192.0.2.254 ipv4.dns 192.0.2.200

  6. 중첩된 VLAN 인터페이스의 IPv6 설정을 구성합니다.

    • SLAAC(stateless address autoconfiguration)를 사용하려면 작업이 필요하지 않습니다.

    • 정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를 vlan10 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify vlan10.20 ipv6.addresses '2001:db8:1::1/64' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.dns-search 'example.com' ipv6.method manual

  7. 프로필을 활성화합니다. 

    # nmcli connection up vlan10.20

검증

  1. 중첩된 VLAN 인터페이스의 구성을 확인합니다. 

    # ip -d addr show enp1s0.10.20
10: enp1s0.10.20@enp1s0.10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:54:00:d2:74:3e brd ff:ff:ff:ff:ff:ff promiscuity 0 minmtu 0 maxmtu 65535
    vlan protocol 802.1ad id 20 <REORDER_HDR> numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 tso_max_size 65536 tso_max_segs 65535 gro_max_size 65536
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute enp1s0.10.20
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::1/32 scope global noprefixroute
       valid_lft forever preferred_lft forever
    inet6 fe80::ce3b:84c5:9ef8:d0e6/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

4.3. RHEL 웹 콘솔을 사용하여 VLAN 태그 구성
링크 복사

웹 브라우저 기반 인터페이스를 사용하여 네트워크 설정을 관리하려는 경우 RHEL 웹 콘솔을 사용하여 VLAN 태그 지정을 구성합니다.

사전 요구 사항

  • 가상 VLAN 인터페이스에 대한 상위로 사용할 인터페이스는 VLAN 태그를 지원합니다.

  • 본딩 인터페이스 위에 VLAN을 구성하는 경우:

    • 본딩의 포트가 작동 중입니다.
    • 본딩은 fail_over_mac=follow 옵션으로 구성되지 않습니다. VLAN 가상 장치는 MAC 주소를 상위의 새 MAC 주소와 일치하도록 변경할 수 없습니다. 이러한 경우 트래픽이 잘못된 소스 MAC 주소로 전송됩니다.
    • 본딩은 일반적으로 DHCP 서버 또는 IPv6 자동 구성에서 IP 주소를 가져오지 않아야 합니다. 본딩을 생성하는 IPv4 및 IPv6 프로토콜을 비활성화하여 확인합니다. 그렇지 않으면 잠시 후 DHCP 또는 IPv6 자동 구성이 실패하면 인터페이스가 중단될 수 있습니다.
  • VLAN 태그를 지원하도록 호스트에 연결된 스위치가 구성되어 있습니다. 자세한 내용은 전환 설명서를 참조하십시오.

프로세스

  1. 화면 왼쪽의 탐색에서 네트워킹 탭을 선택합니다.
  2. 인터페이스 섹션에서 VLAN 추가 를 클릭합니다.
  3. 상위 장치를 선택합니다.
  4. VLAN ID를 입력합니다.

  5. VLAN 장치의 이름을 입력하거나 자동으로 생성된 이름을 유지합니다.

    VLAN 설정
  6. 적용을 클릭합니다.

  7. 기본적으로 VLAN 장치는 동적 IP 주소를 사용합니다. 고정 IP 주소를 설정하려면 다음을 수행합니다.

    1. Interfaces 섹션에서 VLAN 장치의 이름을 클릭합니다.
    2. 구성할 프로토콜 옆에 있는 편집을 클릭합니다.
    3. 주소 옆에 있는 수동 을 선택하고 IP 주소, 접두사 및 기본 게이트웨이를 입력합니다.
    4. DNS 섹션에서 + 버튼을 클릭하고 DNS 서버의 IP 주소를 입력합니다. 이 단계를 반복하여 여러 DNS 서버를 설정합니다.
    5. DNS 검색 도메인 섹션에서 + 버튼을 클릭하고 검색 도메인을 입력합니다.

    6. 인터페이스에 정적 경로가 필요한 경우 Routes 섹션에서 구성합니다.

      bond bridge vlan.ipv4
    7. 적용을클릭합니다.

검증

  • 화면 왼쪽의 탐색에서 Networking 탭을 선택하고 인터페이스에 들어오고 나가는 트래픽이 있는지 확인합니다.

    vlan verify

4.4. nmtui를 사용하여 VLAN 태그 구성
링크 복사

nmtui 애플리케이션은 NetworkManager에 대한 텍스트 기반 사용자 인터페이스를 제공합니다. nmtui 를 사용하여 그래픽 인터페이스 없이 호스트에서 VLAN 태그를 구성할 수 있습니다.

참고

nmtui 에서:

  • 커서 키를 사용하여 이동합니다.
  • 버튼을 선택하고 Enter 키를 눌러 합니다.
  • Space 를 사용하여 확인란을 선택하고 지웁니다.
  • 이전 화면으로 돌아가려면 ESC 를 사용합니다.

사전 요구 사항

  • 가상 VLAN 인터페이스에 대한 상위로 사용할 인터페이스는 VLAN 태그를 지원합니다.

  • 본딩 인터페이스 위에 VLAN을 구성하는 경우:

    • 본딩의 포트가 작동 중입니다.
    • 본딩은 fail_over_mac=follow 옵션으로 구성되지 않습니다. VLAN 가상 장치는 MAC 주소를 상위의 새 MAC 주소와 일치하도록 변경할 수 없습니다. 이러한 경우 트래픽은 여전히 잘못된 소스 MAC 주소와 함께 전송됩니다.
    • 본딩은 일반적으로 DHCP 서버 또는 IPv6 자동 구성에서 IP 주소를 가져오지 않아야 합니다. 본딩을 생성하는 동안 ipv4.method=disableipv6.method=disable 옵션을 설정하여 확인합니다. 그렇지 않으면 잠시 후 DHCP 또는 IPv6 자동 구성이 실패하면 인터페이스가 중단될 수 있습니다.
  • 호스트가 연결된 스위치는 VLAN 태그를 지원하도록 구성되어 있습니다. 자세한 내용은 전환 설명서를 참조하십시오.

프로세스

  1. VLAN 태그 지정을 구성할 네트워크 장치 이름을 모르는 경우 사용 가능한 장치를 표시합니다. 

    # nmcli device status
DEVICE     TYPE      STATE                   CONNECTION
enp1s0     ethernet  unavailable             --
...

  2. start nmtui: 

    # nmtui
  3. Edit a connection 을 선택하고 Enter 를 누릅니다.
  4. 추가를 누릅니다.
  5. 네트워크 유형 목록에서 VLAN 을 선택하고 Enter 키를 누릅니다.

  6. 선택 사항: 생성할 NetworkManager 프로필의 이름을 입력합니다.

    프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.

  7. 장치 필드에 생성할 VLAN 장치 이름을 입력합니다.
  8. VLAN 태그를 부모 필드에 구성할 장치의 이름을 입력합니다.
  9. VLAN ID를 입력합니다. ID는 0 에서 4094 사이의 범위 내에 있어야 합니다.

  10. 환경에 따라 그에 따라 IPv4 구성 및 IPv6 구성 영역에서 IP 주소 설정을 구성합니다. 이를 위해 다음 영역 옆에 있는 버튼을 누른 후 다음을 선택합니다.

    • 비활성화 된 이 VLAN 장치에 IP 주소가 필요하지 않거나 다른 장치의 포트로 사용하려는 경우입니다.
    • DHCP 서버 또는 SLAAC(상태 비저장 주소 자동 구성)가 VLAN 장치에 IP 주소를 동적으로 할당하는 경우 자동입니다.

    • 수동: 네트워크에 고정 IP 주소 설정이 필요한 경우입니다. 이 경우 추가 필드를 채워야 합니다.

      1. 추가 필드를 표시하도록 구성할 프로토콜 옆에 Show 를 누릅니다.

      2. 주소 옆에 있는 추가 를 클릭하고 CIDR(Classless Inter-Domain Routing) 형식으로 IP 주소와 서브넷 마스크를 입력합니다.

        서브넷 마스크를 지정하지 않으면 NetworkManager는 IPv4 주소에 대해 /32 서브넷 마스크를 설정하고 IPv6 주소에 대해 /64 를 설정합니다.

      3. 기본 게이트웨이의 주소를 입력합니다.
      4. DNS 서버 옆에 있는 추가 를 클릭하고 DNS 서버 주소를 입력합니다.
      5. 검색 도메인 옆에 있는 추가 를 클릭하고 DNS 검색 도메인을 입력합니다.

    그림 4.1. 고정 IP 주소 설정을 사용한 VLAN 연결 예

    nmtui vlan 고정 IP
  11. OK 를 눌러 새 연결을 만들고 자동으로 활성화합니다.
  12. 다시 키를 눌러 기본 메뉴로 돌아갑니다.
  13. Quit 를 선택하고 Enter 를 눌러 nmtui 애플리케이션을 종료합니다.

검증

  • 설정을 확인합니다. 

    # ip -d addr show vlan10
4: vlan10@enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:54:00:72:2f:6e brd ff:ff:ff:ff:ff:ff promiscuity 0
    vlan protocol 802.1Q id 10 <REORDER_HDR> numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute vlan10
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::1/32 scope global noprefixroute
       valid_lft forever preferred_lft forever
    inet6 fe80::8dd7:9030:6f8e:89e6/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

4.5. nmstatectl을 사용하여 VLAN 태그 구성
링크 복사

선언적 Nmstate API를 사용하여 가상 로컬 영역 네트워크 VLAN을 구성할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

환경에 따라 YAML 파일을 적절하게 조정합니다. 예를 들어 VLAN에서 이더넷 어댑터와 다른 장치를 사용하려면 VLAN에서 사용하는 포트의 base-iface 특성 및 유형 속성을 조정합니다.

사전 요구 사항

  • 이더넷 장치를 VLAN의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
  • nmstate 패키지가 설치되어 있습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/create-vlan.yml )을 만듭니다. 

    ---
interfaces:
- name: vlan10
  type: vlan
  state: up
  ipv4:
    enabled: true
    address:
    - ip: 192.0.2.1
      prefix-length: 24
    dhcp: false
  ipv6:
    enabled: true
    address:
    - ip: 2001:db8:1::1
      prefix-length: 64
    autoconf: false
    dhcp: false
  vlan:
    base-iface: enp1s0
    id: 10
- name: enp1s0
  type: ethernet
  state: up

routes:
  config:
  - destination: 0.0.0.0/0
    next-hop-address: 192.0.2.254
    next-hop-interface: vlan10
  - destination: ::/0
    next-hop-address: 2001:db8:1::fffe
    next-hop-interface: vlan10

dns-resolver:
  config:
    search:
    - example.com
    server:
    - 192.0.2.200
    - 2001:db8:1::ffbb

    이러한 설정은 enp1s0 장치를 사용하는 ID 10이 있는 VLAN을 정의합니다. 하위 장치로 VLAN 연결에는 다음과 같은 설정이 있습니다.

    • 정적 IPv4 주소 - 192.0.2.1/24 서브넷 마스크
    • /64 서브넷 마스크가 있는 정적 IPv6 주소 2001:db8:1::1
    • IPv4 기본 게이트웨이 - 192.0.2.254
    • IPv6 기본 게이트웨이 - 2001:db8:1::fffe
    • IPv4 DNS 서버 - 192.0.2.200
    • IPv6 DNS 서버 - 2001:db8:1::ffbb
    • DNS 검색 도메인 - example.com

  2. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/create-vlan.yml

검증

  1. 장치 및 연결의 상태를 표시합니다. 

    # nmcli device status
DEVICE      TYPE      STATE      CONNECTION
vlan10      vlan      connected  vlan10

  2. 연결 프로필의 모든 설정을 표시합니다. 

    # nmcli connection show vlan10
connection.id:              vlan10
connection.uuid:            1722970f-788e-4f81-bd7d-a86bf21c9df5
connection.stable-id:       --
connection.type:            vlan
connection.interface-name:  vlan10
...

  3. YAML 형식으로 연결 설정을 표시합니다. 

    # nmstatectl show vlan10

4.6. 네트워크 RHEL 시스템 역할을 사용하여 VLAN 태그 구성
링크 복사

네트워크 RHEL 시스템 역할을 사용하여 VLAN 태그를 구성할 수 있으며 VLAN의 상위 장치에 대한 연결 프로필이 없으면 역할도 생성할 수 있습니다.

네트워크에서 VLAN(Virtual Local Area Networks)을 사용하여 네트워크 트래픽을 논리 네트워크로 분리하는 경우 NetworkManager 연결 프로필을 생성하여 VLAN 태그 지정을 구성합니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.

참고

VLAN 장치에 IP 주소, 기본 게이트웨이 및 DNS 설정이 필요한 경우 상위 장치가 아닌 VLAN 장치에서 구성합니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure the network
  hosts: managed-node-01.example.com
  tasks:
    - name: VLAN connection profile with Ethernet port
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          # Ethernet profile
          - name: enp1s0
            type: ethernet
            interface_name: enp1s0
            autoconnect: yes
            state: up
            ip:
              dhcp4: no
              auto6: no

          # VLAN profile
          - name: enp1s0.10
            type: vlan
            vlan:
              id: 10
            ip:
              dhcp4: yes
              auto6: yes
            parent: enp1s0
            state: up

    예제 플레이북에 지정된 E 설정은 다음과 같습니다.

    type: <profile_type>
    생성할 프로필 유형을 설정합니다. 예제 플레이북은 두 개의 연결 프로필을 생성합니다. 하나는 상위 이더넷 장치용이고 하나는 VLAN 장치용입니다.
    dhcp4: <value>
    yes 로 설정하면 DHCP, PPP 또는 유사한 서비스에서 자동 IPv4 주소 할당이 활성화됩니다. 상위 장치에서 IP 주소 구성을 비활성화합니다.
    auto6: &lt ;value>
    yes 로 설정하면 IPv6 자동 구성이 활성화됩니다. 이 경우 NetworkManager는 기본적으로 라우터 알림을 사용하며 라우터에서 관리 플래그를 알릴 경우 NetworkManager는 DHCPv6 서버에서 IPv6 주소 및 접두사를 요청합니다. 상위 장치에서 IP 주소 구성을 비활성화합니다.
    parent: <parent_device>
    VLAN 연결 프로필의 상위 장치를 설정합니다. 이 예제에서 상위는 이더넷 인터페이스입니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  • VLAN 설정을 확인합니다. 

    # ansible managed-node-01.example.com -m command -a 'ip -d addr show enp1s0.10'
managed-node-01.example.com | CHANGED | rc=0 >>
4: vlan10@enp1s0.10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:54:00:72:2f:6e brd ff:ff:ff:ff:ff:ff promiscuity 0
    vlan protocol 802.1Q id 10 <REORDER_HDR> numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535
    ...

5장. 네트워크 브리지 구성
링크 복사

네트워크 브리지는 MAC 주소 테이블을 사용하여 네트워크 간에 트래픽을 전달하는 링크 계층 장치입니다. 예를 들어 소프트웨어 브릿지를 사용하여 호스트와 동일한 네트워크에 가상 머신을 연결할 수 있습니다.

브릿지에는 브리지가 연결해야 하는 각 네트워크의 네트워크 장치가 필요합니다. 브리지를 구성하면 브리지를 controller 라고 하며 포트 를 사용하는 장치입니다.

다음과 같은 다양한 유형의 장치에서 브릿지를 생성할 수 있습니다.

  • 물리적 및 가상 이더넷 장치
  • 네트워크 본딩
  • VLAN 장치

무선 시간을 효율적으로 사용하기 위해 Wi-Fi에서 3-address 프레임의 사용을 지정하는 IEEE Cryostat 표준으로 인해 Ad-Hoc 또는 Infrastructure 모드에서 작동하는 Wi-Fi 네트워크를 통해 브릿지를 구성할 수 없습니다.

Red Hat Enterprise Linux는 관리자에게 브릿지 장치를 구성할 수 있는 다양한 옵션을 제공합니다. 예를 들면 다음과 같습니다.

  • 명령줄을 사용하여 VLAN 태그를 구성하려면 nmcli 를 사용합니다.
  • 웹 브라우저를 사용하여 VLAN 태그를 구성하려면 RHEL 웹 콘솔을 사용합니다.
  • nmtui 를 사용하여 텍스트 기반 사용자 인터페이스에서 VLAN 태그를 구성합니다.
  • nmstatectl 을 사용하여 Nmstate API를 통해 연결을 구성합니다.
  • RHEL 시스템 역할을 사용하여 하나 이상의 호스트에서 VLAN 구성을 자동화합니다.

5.1. nmcli를 사용하여 네트워크 브리지 구성
링크 복사

명령줄에서 네트워크 브릿지를 구성하려면 nmcli 유틸리티를 사용합니다.

사전 요구 사항

  • 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
  • 이더넷 장치를 브리지 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.

  • 브리지의 포트로 본딩 또는 VLAN 장치를 사용하려면 브리지를 생성하는 동안 이러한 장치를 만들거나 다음에 설명된 대로 미리 만들 수 있습니다.

프로세스

  1. 브리지 인터페이스를 만듭니다. 

    # nmcli connection add type bridge con-name bridge0 ifname bridge0

    이 명령은 bridge0 이라는 브릿지를 생성합니다.

  2. 네트워크 인터페이스를 표시하고 브리지에 추가할 인터페이스의 이름을 확인합니다. 

    # nmcli device status
DEVICE  TYPE      STATE         CONNECTION
enp7s0  ethernet  disconnected  --
enp8s0  ethernet  disconnected  --
bond0   bond      connected     bond0
bond1   bond      connected     bond1
...

    이 예제에서는 다음을 수행합니다.

    • enp7s0enp8s0 은 구성되어 있지 않습니다. 이러한 장치를 포트로 사용하려면 다음 단계에서 연결 프로필을 추가합니다.
    • bond0bond1 에는 기존 연결 프로필이 있습니다. 이러한 장치를 포트로 사용하려면 다음 단계에서 프로필을 수정합니다.

  3. 인터페이스를 브리지에 할당합니다.

    1. 브리지에 할당할 인터페이스가 구성되지 않은 경우 해당 인터페이스에 대한 새 연결 프로필을 생성합니다. 

      # nmcli connection add type ethernet port-type bridge con-name bridge0-port1 ifname enp7s0 controller bridge0
# nmcli connection add type ethernet port-type bridge con-name bridge0-port2 ifname enp8s0 controller bridge0

      이러한 명령은 enp7s0enp8s0 에 대한 프로필을 생성하고 bridge0 연결에 추가합니다.

    2. 기존 연결 프로필을 브리지에 할당하려면 다음을 수행합니다.

      1. 이러한 연결의 master 매개 변수를 bridge0 으로 설정합니다. 

        # nmcli connection modify bond0 master bridge0
# nmcli connection modify bond1 master bridge0

        이러한 명령은 bond0bond1 이라는 기존 연결 프로필을 bridge0 연결에 할당합니다.

      2. 연결을 다시 활성화합니다. 

        # nmcli connection up bond0
# nmcli connection up bond1

  4. IPv4 설정을 구성합니다.

    • 정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버를 bridge0 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify bridge0 ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253' ipv4.dns-search 'example.com' ipv4.method manual
    • DHCP를 사용하려면 작업이 필요하지 않습니다.
    • 이 브릿지 장치를 다른 장치의 포트로 사용하려는 경우 작업이 필요하지 않습니다.

  5. IPv6 설정을 구성합니다.

    • 정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버를 bridge0 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify bridge0 ipv6.addresses '2001:db8:1::1/64' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.dns-search 'example.com' ipv6.method manual
    • SLAAC(stateless address autoconfiguration)를 사용하려면 작업이 필요하지 않습니다.
    • 이 브릿지 장치를 다른 장치의 포트로 사용하려는 경우 작업이 필요하지 않습니다.

  6. 선택 사항: 브릿지의 추가 속성을 구성합니다. 예를 들어 bridge0 의 Spanning Tree Protocol(STP) 우선순위를 설정하려면 다음을 입력합니다. 

    # nmcli connection modify bridge0 bridge.priority '16384'

    기본적으로 STP는 활성화됩니다.

  7. 연결을 활성화합니다. 

    # nmcli connection up bridge0

  8. 포트가 연결되어 있고 CONNECTION 열에 포트의 연결 이름이 표시되는지 확인합니다. 

    # nmcli device
DEVICE   TYPE      STATE      CONNECTION
...
enp7s0   ethernet  connected  bridge0-port1
enp8s0   ethernet  connected  bridge0-port2

    연결 포트를 활성화하면 NetworkManager는 브리지도 활성화하지만 다른 포트는 활성화하지 않습니다. 브릿지가 활성화되면 Red Hat Enterprise Linux에서 모든 포트를 자동으로 사용하도록 구성할 수 있습니다.

    1. 브리지 연결의 connection.autoconnect-ports 매개변수를 활성화합니다. 

      # nmcli connection modify bridge0 connection.autoconnect-ports 1

    2. 브리지를 다시 활성화합니다. 

      # nmcli connection up bridge0

검증

  • ip 유틸리티를 사용하여 특정 브리지의 포트인 이더넷 장치의 링크 상태를 표시합니다. 

    # ip link show master bridge0
3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff
4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:9e:f1:ce brd ff:ff:ff:ff:ff:ff

  • bridge 유틸리티를 사용하여 브리지 장치의 포트인 이더넷 장치의 상태를 표시합니다. 

    # bridge link show
3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state forwarding priority 32 cost 100
4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state listening priority 32 cost 100
5: enp9s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge1 state forwarding priority 32 cost 100
6: enp11s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge1 state blocking priority 32 cost 100
...

    특정 이더넷 장치의 상태를 표시하려면 bridge link show dev < ethernet_device_name> 명령을 사용합니다.

5.2. RHEL 웹 콘솔을 사용하여 네트워크 브리지 구성
링크 복사

웹 브라우저 기반 인터페이스를 사용하여 네트워크 설정을 관리하려는 경우 RHEL 웹 콘솔을 사용하여 네트워크 브리지를 구성합니다.

사전 요구 사항

프로세스

  1. 화면 왼쪽의 탐색에서 네트워킹 탭을 선택합니다.
  2. 인터페이스 섹션에서 Add bridge 를 클릭합니다.
  3. 만들 브리지 장치의 이름을 입력합니다.
  4. 브리지의 포트여야 하는 인터페이스를 선택합니다.

  5. 선택 사항: 스프링 트리 프로토콜(STP) 기능을 활성화하여 브리지 루프 및 브로드캐스트 복사를 방지할 수 있습니다.

    브리지 설정
  6. 적용을 클릭합니다.

  7. 기본적으로 브리지는 동적 IP 주소를 사용합니다. 고정 IP 주소를 설정하려면 다음을 수행합니다.

    1. Interfaces 섹션에서 브리지 이름을 클릭합니다.
    2. 구성할 프로토콜 옆에 있는 편집을 클릭합니다.
    3. 주소 옆에 있는 수동 을 선택하고 IP 주소, 접두사 및 기본 게이트웨이를 입력합니다.
    4. DNS 섹션에서 + 버튼을 클릭하고 DNS 서버의 IP 주소를 입력합니다. 이 단계를 반복하여 여러 DNS 서버를 설정합니다.
    5. DNS 검색 도메인 섹션에서 + 버튼을 클릭하고 검색 도메인을 입력합니다.

    6. 인터페이스에 정적 경로가 필요한 경우 Routes 섹션에서 구성합니다.

      bond bridge vlan.ipv4
    7. 적용을클릭합니다.

검증

  1. 화면 왼쪽의 탐색에서 Networking 탭을 선택하고 인터페이스에 들어오고 나가는 트래픽이 있는지 확인합니다.

    브리지 확인

5.3. nmtui를 사용하여 네트워크 브리지 구성
링크 복사

nmtui 애플리케이션은 NetworkManager에 대한 텍스트 기반 사용자 인터페이스를 제공합니다. nmtui 를 사용하여 그래픽 인터페이스 없이 호스트에서 네트워크 브리지를 구성할 수 있습니다.

참고

nmtui 에서:

  • 커서 키를 사용하여 이동합니다.
  • 버튼을 선택하고 Enter 키를 눌러 합니다.
  • Space 를 사용하여 확인란을 선택하고 지웁니다.
  • 이전 화면으로 돌아가려면 ESC 를 사용합니다.

사전 요구 사항

  • 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
  • 이더넷 장치를 브리지 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.

프로세스

  1. 네트워크 브리지를 구성할 네트워크 장치 이름을 모르는 경우 사용 가능한 장치를 표시합니다. 

    # nmcli device status
DEVICE     TYPE      STATE                   CONNECTION
enp7s0     ethernet  unavailable             --
enp8s0     ethernet  unavailable             --
...

  2. start nmtui: 

    # nmtui
  3. Edit a connection 을 선택하고 Enter 를 누릅니다.
  4. 추가를 누릅니다.
  5. 네트워크 유형 목록에서 Bridge 를 선택하고 Enter 를 누릅니다.

  6. 선택 사항: 생성할 NetworkManager 프로필의 이름을 입력합니다.

    프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.

  7. Device 필드에 생성할 브리지 장치 이름을 입력합니다.

  8. 생성할 브릿지에 포트를 추가합니다.

    1. 포트 목록 옆에 있는 Add 를 누릅니다.
    2. 브리지에 포트로 추가할 인터페이스 유형을 선택합니다(예: 이더넷 ).
    3. 선택 사항: 이 브리지 포트에 생성할 NetworkManager 프로필의 이름을 입력합니다.
    4. 장치의 장치 이름을 장치 필드에 입력합니다.

    5. OK 를 눌러 브리지 설정을 사용하여 창으로 돌아갑니다.

      그림 5.1. 브릿지에 이더넷 장치를 포트로 추가

      nmtui 브리지 추가 포트 추가
    6. 이 단계를 반복하여 브릿지에 포트를 더 추가합니다.

  9. 환경에 따라 그에 따라 IPv4 구성 및 IPv6 구성 영역에서 IP 주소 설정을 구성합니다. 이를 위해 다음 영역 옆에 있는 버튼을 누른 후 다음을 선택합니다.

    • 브릿지에 IP 주소가 필요하지 않은 경우 비활성화되어 있습니다.
    • DHCP 서버 또는 SLAAC(상태 비저장 주소 자동 구성)가 브리지에 IP 주소를 동적으로 할당하는 경우 자동 입니다.

    • 수동: 네트워크에 고정 IP 주소 설정이 필요한 경우입니다. 이 경우 추가 필드를 채워야 합니다.

      1. 추가 필드를 표시하도록 구성할 프로토콜 옆에 Show 를 누릅니다.

      2. 주소 옆에 있는 추가 를 클릭하고 CIDR(Classless Inter-Domain Routing) 형식으로 IP 주소와 서브넷 마스크를 입력합니다.

        서브넷 마스크를 지정하지 않으면 NetworkManager는 IPv4 주소에 대해 /32 서브넷 마스크를 설정하고 IPv6 주소에 대해 /64 를 설정합니다.

      3. 기본 게이트웨이의 주소를 입력합니다.
      4. DNS 서버 옆에 있는 추가 를 클릭하고 DNS 서버 주소를 입력합니다.
      5. 검색 도메인 옆에 있는 추가 를 클릭하고 DNS 검색 도메인을 입력합니다.

    그림 5.2. IP 주소 설정이 없는 브리지 연결 예

    nmtui 브리지 없음 IP
  10. OK 를 눌러 새 연결을 만들고 자동으로 활성화합니다.
  11. 다시 키를 눌러 기본 메뉴로 돌아갑니다.
  12. Quit 를 선택하고 Enter 를 눌러 nmtui 애플리케이션을 종료합니다.

검증

  1. ip 유틸리티를 사용하여 특정 브리지의 포트인 이더넷 장치의 링크 상태를 표시합니다. 

    # ip link show master bridge0
3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff
4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:9e:f1:ce brd ff:ff:ff:ff:ff:ff

  2. bridge 유틸리티를 사용하여 브리지 장치의 포트인 이더넷 장치의 상태를 표시합니다. 

    # bridge link show
3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state forwarding priority 32 cost 100
4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state listening priority 32 cost 100
...

    특정 이더넷 장치의 상태를 표시하려면 bridge link show dev < ethernet_device_name> 명령을 사용합니다.

5.4. nmstatectl을 사용하여 네트워크 브리지 구성
링크 복사

선언적 Nmstate API를 사용하여 네트워크 브리지를 구성할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

환경에 따라 YAML 파일을 적절하게 조정합니다. 예를 들어 브리지에서 이더넷 어댑터와 다른 장치를 사용하려면 브릿지에서 사용하는 포트의 base-iface 특성 및 유형 속성을 조정합니다.

사전 요구 사항

  • 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
  • 이더넷 장치를 브리지의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
  • 본딩 또는 VLAN 장치를 브리지의 포트로 사용하려면 포트 목록에 인터페이스 이름을 설정하고 해당 인터페이스를 정의합니다.
  • nmstate 패키지가 설치되어 있습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/create-bridge.yml )을 만듭니다. 

    ---
interfaces:
- name: bridge0
  type: linux-bridge
  state: up
  ipv4:
    enabled: true
    address:
    - ip: 192.0.2.1
      prefix-length: 24
    dhcp: false
  ipv6:
    enabled: true
    address:
    - ip: 2001:db8:1::1
      prefix-length: 64
    autoconf: false
    dhcp: false
  bridge:
    options:
      stp:
        enabled: true
    port:
      - name: enp1s0
      - name: enp7s0
- name: enp1s0
  type: ethernet
  state: up
- name: enp7s0
  type: ethernet
  state: up

routes:
  config:
  - destination: 0.0.0.0/0
    next-hop-address: 192.0.2.254
    next-hop-interface: bridge0
  - destination: ::/0
    next-hop-address: 2001:db8:1::fffe
    next-hop-interface: bridge0
dns-resolver:
  config:
    search:
    - example.com
    server:
    - 192.0.2.200
    - 2001:db8:1::ffbb

    이러한 설정은 다음 설정을 사용하여 네트워크 브리지를 정의합니다.

    • 브리지의 네트워크 인터페이스: enp1s0enp7s0
    • 스패닝 트리 프로토콜(STP): 활성화됨
    • 정적 IPv4 주소: /24 서브넷 마스크가 있는 192.0.2.1
    • 정적 IPv6 주소: 2001:db8:1::1/64 서브넷 마스크
    • IPv4 기본 게이트웨이: 192.0.2.254
    • IPv6 기본 게이트웨이: 2001:db8:1::fffe
    • IPv4 DNS 서버: 192.0.2.200
    • IPv6 DNS 서버: 2001:db8:1::ffbb
    • DNS 검색 도메인: example.com

  2. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/create-bridge.yml

검증

  1. 장치 및 연결의 상태를 표시합니다. 

    # nmcli device status
DEVICE      TYPE      STATE      CONNECTION
bridge0     bridge    connected  bridge0

  2. 연결 프로필의 모든 설정을 표시합니다. 

    # nmcli connection show bridge0
connection.id:              bridge0_
connection.uuid:            e2cc9206-75a2-4622-89cf-1252926060a9
connection.stable-id:       --
connection.type:            bridge
connection.interface-name:  bridge0
...

  3. YAML 형식으로 연결 설정을 표시합니다. 

    # nmstatectl show bridge0

5.5. 네트워크 RHEL 시스템 역할을 사용하여 네트워크 브릿지 구성
링크 복사

네트워크 RHEL 시스템 역할을 사용하여 브릿지를 구성할 수 있으며 브리지의 상위 장치에 대한 연결 프로필이 없으면 역할도 생성할 수 있습니다.

네트워크 브리지를 생성하여 OSI(Open Systems Interconnection) 모델의 계층 2에 여러 네트워크를 연결할 수 있습니다. 브릿지를 구성하려면 NetworkManager에 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.

참고

IP 주소, 게이트웨이 및 DNS 설정을 브리지에 할당하려는 경우 포트가 아닌 브리지에서 구성합니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure the network
  hosts: managed-node-01.example.com
  tasks:
    - name: Bridge connection profile with two Ethernet ports
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          # Bridge profile
          - name: bridge0
            type: bridge
            interface_name: bridge0
            ip:
              dhcp4: yes
              auto6: yes
            state: up

          # Port profile for the 1st Ethernet device
          - name: bridge0-port1
            interface_name: enp7s0
            type: ethernet
            controller: bridge0
            port_type: bridge
            state: up

          # Port profile for the 2nd Ethernet device
          - name: bridge0-port2
            interface_name: enp8s0
            type: ethernet
            controller: bridge0
            port_type: bridge
            state: up

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    type: <profile_type>
    생성할 프로필 유형을 설정합니다. 예제 플레이북은 세 개의 연결 프로필을 생성합니다. 브리지용 1개와 이더넷 장치용 2개입니다.
    dhcp4: yes
    DHCP, PPP 또는 유사한 서비스에서 자동 IPv4 주소 할당을 활성화합니다.
    auto6: yes
    IPv6 자동 구성을 활성화합니다. 기본적으로 NetworkManager는 라우터 알림을 사용합니다. 라우터에서 관리 플래그를 알릴 경우 NetworkManager는 DHCPv6 서버에서 IPv6 주소 및 접두사를 요청합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  1. 특정 브리지의 포트인 이더넷 장치의 링크 상태를 표시합니다. 

    # ansible managed-node-01.example.com -m command -a 'ip link show master bridge0'
managed-node-01.example.com | CHANGED | rc=0 >>
3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff
4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:9e:f1:ce brd ff:ff:ff:ff:ff:ff

  2. 브리지 장치의 포트인 이더넷 장치의 상태를 표시합니다. 

    # ansible managed-node-01.example.com -m command -a 'bridge link show'
managed-node-01.example.com | CHANGED | rc=0 >>
3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state forwarding priority 32 cost 100
4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state listening priority 32 cost 100

6장. IPsec VPN 설정
링크 복사

IPsec 프로토콜 제품군의 Libreswan 구현을 사용하여 인터넷을 통해 안전한 데이터 전송을 위한 암호화된 터널을 생성하여 안전한 VPN(Virtual Private Network)을 구성하고 관리합니다.

IPsec 터널은 전송 중 데이터의 기밀성과 무결성을 보장합니다. 일반적인 사용 사례에는 지사 사무실을 본사에 연결하거나 원격 사용자에게 회사 네트워크에 대한 안전한 액세스를 제공하는 것이 포함됩니다.

RHEL에서는 Libreswan을 구성하는 다양한 옵션을 제공합니다.

  • 고급 옵션을 세부적으로 제어하기 위해 Libreswan 구성 파일을 수동으로 편집합니다.
  • vpn RHEL 시스템 역할을 사용하여 Libreswan VPN 구성 생성 프로세스를 자동화합니다.
  • Nmstate를 사용하여 선언적 API를 통해 Libreswan 연결을 구성합니다.

Libreswan은 "client" 및 "server"와 같은 용어를 사용하지 않습니다. 대신 IPsec은 끝점을 "left" 및 "right"로 나타냅니다. Libreswan은 채택할 역할을 동적으로 결정하므로 이 설계를 사용하면 두 호스트 모두에서 동일한 구성을 사용할 수 있습니다. 일반적으로 관리자는 일반적으로 로컬 호스트에 "left"를 사용하고 원격 호스트에 대해 "right"를 사용합니다.

참고

Libreswan은 RHEL에서 지원되는 유일한 VPN 기술입니다.

IPsec은 서로 다른 시스템이 효과적으로 통신할 수 있도록 인터넷 키 교환(IKE)과 같은 표준화된 프로토콜을 사용합니다. 그러나 실제로 벤더가 이러한 표준을 구현하는 방식에 약간의 차이가 있어 호환성 문제가 발생할 수 있습니다. Libreswan을 타사 IPsec 피어에 연결할 때 이러한 상호 운용성 문제가 발생하면 Red Hat 지원에 문의하십시오.

6.1. IPsec VPN의 구성 요소
링크 복사

IPsec VPN을 설정하기 전에 인증 및 협상을 위한IKE(Internet Key Exchange)와 데이터 암호화 및 전송을 위한 IPsec이라는 주요 구성 요소를 이해하는 것이 중요합니다.

IKE는 두 끝점이 서로를 인증하고 암호화 알고리즘을 포함하여 연결 규칙을 협상하는 데 사용하는 프로토콜입니다. Libreswan은 pluto 라는 데몬에서 IKE를 구현합니다.

IPsec은 IKE 협상 중에 합의된 정책에 따라 데이터를 실제로 암호화하고 전송하는 프로토콜의 일부입니다. Linux 커널은 IPsec 프로토콜 제품군을 구현합니다.

6.2. Libreswan 인증 방법
링크 복사

보안 요구 사항 및 네트워크 환경에 따라 보안 VPN 연결을 설정하는 적절한 인증 방법을 선택합니다.

Libreswan은 다음과 같은 인증 방법을 지원합니다.

사전 공유 키
PSK(Pre-Shared Key) 방법은 동일한 시크릿을 사용하여 서로 인증하여 두 끝점을 모두 포함합니다. PSK는 단순성과 광범위한 호환성을 제공하여 소규모 배포에 적합합니다. 그러나 키를 자주 재사용하거나 순환하지 않으면 PSK를 관리하는 것이 위험할 수 있습니다. 보안을 위해 PSK는 64개 이상의 임의 문자로 구성되어야 하며 호스트가 FIPS 모드에서 작동하는 경우 FIPS 강도 요구 사항을 충족해야 합니다.
원시 RSA 키
이 방법은 상호 확인을 위해 각 피어의 RSA 공개 및 개인 키 쌍을 사용합니다. 원시 RSA 키는 PSK보다 강력한 보안을 제공하며 전체 인증서 인프라가 필요하지 않은 환경에 이상적입니다.
X.509 인증서
이 방법은 신뢰할 수 있는 CA(인증 기관)에서 발급한 X.509 인증서를 사용합니다. 각 피어는 인증서 및 개인 키를 사용하여 해당 ID를 증명합니다. 다른 피어는 신뢰할 수 있는 CA에 대해 확인합니다. 엔터프라이즈에 최고 수준의 보안 및 확장성을 제공하는 동시에, PKI(공개 키 인프라)를 배포하고 유지 관리해야 하므로 이 방법은 더 복잡합니다.
NULL 인증
이 방법은 피어 간 인증이 없는 암호화만 제공합니다. 원격 끝점의 ID를 확인하지 않기 때문에 NULL 인증은 안전하지 않으며 중간자 공격에 대한 보호를 제공하지 않습니다.
발전기 컴퓨터로부터 보호
독립 실행형 인증 방법은 아니지만 Libreswan은 정기 컴퓨터의 향후 공격으로부터 최신 IKEv2 연결을 보호하기 위해 PPK(Post-quantum Pre-shared Keys)를 제공합니다. 이 기능은 이전 IKEv1 프로토콜이나 표준 IKEv2가 본질적으로 독립적이지 않기 때문에 필요합니다. PPK는 기본 인증 방법 상단에 다른 보안 계층을 추가하고 보안은 외부 통신 채널을 통해 안전하게 배포된 암호화 된 강력한 키를 사용하는 데 의존합니다.

6.3. 원시 RSA 키 인증을 사용하여 IPsec 호스트 간 VPN을 수동으로 구성
링크 복사

호스트 간 VPN은 두 장치 간에 직접, 보안 및 암호화된 연결을 설정하여 애플리케이션과 인터넷과 같은 비보안 네트워크를 통해 안전하게 통신할 수 있습니다.

인증을 위해 RSA 키는 대칭 암호화가 공유 보안의 위험을 제거하기 때문에 PSK(사전 공유 키)보다 안전합니다. RSA 키를 사용하면 강력한 피어 투 피어 인증을 제공하면서 CA(인증 기관)의 필요성을 방지하여 배포가 간소화됩니다.

두 호스트 모두에서 단계를 수행합니다.

프로세스

  1. Libreswan이 아직 설치되지 않은 경우 다음 단계를 수행합니다.

    1. libreswan 패키지를 설치합니다. 

      # dnf install libreswan

    2. NSS(Network Security Services) 데이터베이스를 초기화합니다. 

      # ipsec initnss

      이 명령은 /var/lib/ipsec/nss/ 디렉터리에 데이터베이스를 생성합니다.

    3. ipsec 서비스를 활성화하고 시작합니다. 

      # systemctl enable --now ipsec

    4. 방화벽에서 IPsec 포트 및 프로토콜을 엽니다. 

      # firewall-cmd --permanent --add-service="ipsec"
# firewall-cmd --reload

  2. RSA 키 쌍을 생성합니다. 

    # ipsec newhostkey

    ipsec 유틸리티는 키 쌍을 NSS 데이터베이스에 저장합니다.

  3. 피어를 지정합니다. IPsec 터널에서는 하나의 호스트를 왼쪽으로 지정하고 다른 하나는 오른쪽으로 지정해야 합니다. 이는 임의의 선택 사항입니다. 일반적인 방법은 로컬 호스트 왼쪽 과 원격 호스트를 오른쪽으로 호출하는 것입니다.

  4. 왼쪽 및 오른쪽 피어 모두에서 인증서 키 속성 ID(CKAID)를 표시합니다. 

    # ipsec showhostkey --list
< 1> RSA keyid: <key_id> ckaid: <ckaid>

    다음 단계에서 두 피어의 CKAID가 필요합니다.

  5. 공개 키를 표시합니다.

    1. 왼쪽 피어에서 다음을 입력합니다. 

      # ipsec showhostkey --left --ckaid <ckaid_of_left_peer>
	# rsakey AwEAAdKCx
	leftrsasigkey=0sAwEAAdKCxpc9db48cehzQiQD...

    2. 오른쪽 피어에서 다음을 입력합니다. 

      # ipsec showhostkey --right --ckaid <ckaid_of_right_peer>
	# rsakey AwEAAcNWC
	rightrsasigkey=0sAwEAAcNWCzZO+PR1j8WbO8X...

    명령은 구성 파일에서 사용해야 하는 해당 매개 변수가 있는 공개 키를 표시합니다.

  6. /etc/ipsec.d/ 디렉터리에 연결에 대한 .conf 파일을 만듭니다. 예를 들어 다음 설정을 사용하여 /etc/ipsec.d/host-to-host.conf 파일을 만듭니다. 

    conn <connection_name>
    # General setup and authentication type
    auto=start
    authby=rsasig

    # Peer A
    left=<ip_address_or_fqdn_of_left_peer>
    leftid=@peer_a
    leftrsasigkey=<public_key_of_left_peer>

    # Peer B
    right=<ip_address_or_fqdn_of_right_peer>
    rightid=@peer_b
    rightrsasigkey=<public_key_of_right_peer>
    참고

    두 호스트 모두에서 동일한 구성 파일을 사용할 수 있으며 Libreswan은 내부 정보를 사용하여 왼쪽 또는 오른쪽 호스트에서 작동하는지 확인합니다. 그러나 왼쪽* 매개변수의 모든 값이 하나의 피어에 속하고 올바른* 매개변수의 값이 다른 값에 속하는 것이 중요합니다.

    예제에 지정된 설정은 다음과 같습니다.

    conn <connection_name>
    연결 이름을 정의합니다. 이름은 임의의 이름이며 Libreswan은 연결을 식별하는 데 사용합니다. 이 연결에서 매개 변수를 하나 이상의 공백 또는 탭으로 들여써야 합니다.
    auto=<type>
    연결이 시작되는 방법을 제어합니다. 시작할 값을 설정하면 Libreswan이 서비스가 시작될 때 자동으로 연결을 활성화합니다.
    authby=rsasig
    이 연결에 대해 RSA 서명 인증을 활성화합니다.
    left= <ip_address_or_fqdn_of_left_peer > 및 right= <ip_address_or_fqdn_of_right_peer>
    피어의 IP 주소 또는 DNS 이름을 정의합니다.
    leftid= &lt;id>rightid= <id>
    각 피어가IKE(Internet Key Exchange) 협상 프로세스 중에 식별되는 방법을 정의합니다. FQDN(정규화된 도메인 이름), IP 주소 또는 리터럴 문자열일 수 있습니다. 후자의 경우 문자열 앞에 @ 기호가 있습니다.
    leftrsasigkey= <public_key > 및 rightrsasigkey= <public_key>
    피어의 공개 키를 지정합니다. 이전 단계에서 ipsec showhostkey 명령으로 표시되는 값을 사용합니다.

  7. ipsec 서비스를 다시 시작하십시오. 

    # systemctl restart ipsec

    구성 파일에서 auto=start 를 사용하면 연결이 자동으로 활성화됩니다. 다른 방법을 사용하면 연결을 활성화하려면 추가 단계가 필요합니다. 자세한 내용은 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오.

검증

  • IPsec 상태를 표시합니다. 

    # ipsec status

    연결이 성공적으로 설정된 경우 출력에는 다음과 같은 행이 포함됩니다.

    • 인터넷 키 교환 버전 2(IKEv2) 협상의 1단계가 성공적으로 완료되었습니다. 

      #1: "<connection_name>":500 ESTABLISHED_IKE_SA (established IKE SA); REKEY in 28523s; REPLACE in 28793s; newest; idle;

      보안 연계(SA)는 이제 자식 SA 또는 2단계 SA로 알려진 실제 데이터 암호화 터널을 협상할 준비가 되었습니다.

    • 하위 SA가 설정되었습니다. 

      #2: "<connection_name>":500 ESTABLISHED_CHILD_SA (established Child SA); REKEY in 28523s; REPLACE in 28793s; newest; eroute owner; IKE SA #1; idle;

      데이터 트래픽이 통과하는 실제 터널입니다.

다음 단계

6.4. 원시 RSA 키 인증을 사용하여 IPsec 사이트 간 VPN을 수동으로 구성
링크 복사

사이트 간 VPN은 두 개의 개별 네트워크 간에 안전하고 암호화된 터널을 설정하여 인터넷과 같은 안전하지 않은 공용 네트워크에서 원활하게 연결합니다.

예를 들어 사이트 간 VPN을 사용하면 지사소의 장치가 마치 모두 동일한 로컬 네트워크의 일부인 것처럼 회사 본사의 리소스에 액세스할 수 있습니다.

게이트웨이 장치를 인증하기 위해 대칭 암호화가 공유 보안의 위험을 제거하기 때문에 RSA 키는 PSK(사전 공유 키)보다 안전합니다. RSA 키를 사용하면 강력한 피어 투 피어 인증을 제공하면서 CA(인증 기관)의 필요성을 방지하여 배포가 간소화됩니다.

두 게이트웨이 장치에서 단계를 수행합니다.

사전 요구 사항

  • 두 네트워크의 경로는 원격 네트워크로의 트래픽이 로컬 VPN 게이트웨이 장치를 통해 전송되도록 합니다.

프로세스

  1. Libreswan이 아직 설치되지 않은 경우 다음 단계를 수행합니다.

    1. libreswan 패키지를 설치합니다. 

      # dnf install libreswan

    2. NSS(Network Security Services) 데이터베이스를 초기화합니다. 

      # ipsec initnss

      이 명령은 /var/lib/ipsec/nss/ 디렉터리에 데이터베이스를 생성합니다.

    3. ipsec 서비스를 활성화하고 시작합니다. 

      # systemctl enable --now ipsec

    4. 방화벽에서 IPsec 포트 및 프로토콜을 엽니다. 

      # firewall-cmd --permanent --add-service="ipsec"
# firewall-cmd --reload

  2. RSA 키 쌍을 생성합니다. 

    # ipsec newhostkey

    ipsec 유틸리티는 키 쌍을 NSS 데이터베이스에 저장합니다.

  3. 피어를 지정합니다. IPsec 터널에서는 하나의 호스트를 왼쪽으로 지정하고 다른 하나는 오른쪽으로 지정해야 합니다. 이는 임의의 선택 사항입니다. 일반적인 방법은 로컬 호스트 왼쪽 과 원격 호스트를 오른쪽으로 호출하는 것입니다.

  4. 왼쪽 및 오른쪽 피어 모두에서 인증서 키 속성 ID(CKAID)를 표시합니다. 

    # ipsec showhostkey --list
< 1> RSA keyid: <key_id> ckaid: <ckaid>

    다음 단계에서 두 피어의 CKAID가 필요합니다.

  5. 공개 키를 표시합니다.

    1. 왼쪽 피어에서 다음을 입력합니다. 

      # ipsec showhostkey --left --ckaid <ckaid_of_left_peer>
	# rsakey AwEAAdKCx
	leftrsasigkey=0sAwEAAdKCxpc9db48cehzQiQD...

    2. 오른쪽 피어에서 다음을 입력합니다. 

      # ipsec showhostkey --right --ckaid <ckaid_of_right_peer>
	# rsakey AwEAAcNWC
	rightrsasigkey=0sAwEAAcNWCzZO+PR1j8WbO8X...

    명령은 구성 파일에서 사용해야 하는 해당 매개 변수가 있는 공개 키를 표시합니다.

  6. /etc/ipsec.d/ 디렉터리에 연결에 대한 .conf 파일을 만듭니다. 예를 들어 다음 설정을 사용하여 /etc/ipsec.d/site-to-site.conf 파일을 만듭니다. 

    conn <connection_name>
    # General setup and authentication type
    auto=start
    authby=rsasig

    # Site A
    left=<ip_address_or_fqdn_of_left_peer>
    leftid=@site_a
    leftrsasigkey=<public_key_of_left_peer>
    leftsubnet=192.0.2.0/24

    # Site B
    right=<ip_address_or_fqdn_of_right_peer>
    rightid=@site_b
    rightrsasigkey=<public_key_of_right_peer>
    rightsubnet={198.51.100.0/24, 203.0.113.0/24}
    참고

    두 게이트웨이 장치에서 동일한 구성 파일을 사용할 수 있으며 Libreswan은 내부 정보를 사용하여 왼쪽 또는 오른쪽 호스트에서 작동하는지 여부를 확인할 수 있습니다. 그러나 왼쪽* 매개변수의 모든 값이 하나의 피어에 속하고 올바른* 매개변수의 값이 다른 값에 속하는 것이 중요합니다.

    예제에 지정된 설정은 다음과 같습니다.

    conn <connection_name>
    연결 이름을 정의합니다. 이름은 임의의 이름이며 Libreswan은 연결을 식별하는 데 사용합니다. 이 연결에서 매개 변수를 하나 이상의 공백 또는 탭으로 들여써야 합니다.
    auto=<type>
    연결이 시작되는 방법을 제어합니다. 시작할 값을 설정하면 Libreswan이 서비스가 시작될 때 자동으로 연결을 활성화합니다.
    authby=rsasig
    이 연결에 대해 RSA 서명 인증을 활성화합니다.
    left= <ip_address_or_fqdn_of_left_peer > 및 right= <ip_address_or_fqdn_of_right_peer>
    피어의 IP 주소 또는 DNS 이름을 정의합니다.
    leftid= &lt;id>rightid= <id>
    각 피어가IKE(Internet Key Exchange) 협상 프로세스 중에 식별되는 방법을 정의합니다. FQDN(정규화된 도메인 이름), IP 주소 또는 리터럴 문자열일 수 있습니다. 후자의 경우 문자열 앞에 @ 기호가 있습니다.
    leftrsasigkey= <public_key > 및 rightrsasigkey= <public_key>
    피어의 공개 키를 지정합니다. 이전 단계에서 ipsec showhostkey 명령으로 표시되는 값을 사용합니다.
    leftsubnet= &lt;subnet>rightsubnet= <subnet>
    터널을 통해 연결된 CIDR(Classless inter-domain routing) 형식으로 서브넷을 정의합니다. 한 번에 여러 서브넷을 터널링하려면 중괄호로 지정하고 쉼표로 구분합니다.

  7. 패킷 전달을 활성화합니다. 

    # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
# sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf

  8. ipsec 서비스를 다시 시작하십시오. 

    # systemctl restart ipsec

    구성 파일에서 auto=start 를 사용하면 연결이 자동으로 활성화됩니다. 다른 방법을 사용하면 연결을 활성화하려면 추가 단계가 필요합니다. 자세한 내용은 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오.

검증

  1. IPsec 상태를 표시합니다. 

    # ipsec status

    연결이 성공적으로 설정된 경우 출력에는 다음과 같은 행이 포함됩니다.

    • 인터넷 키 교환 버전 2(IKEv2) 협상의 1단계가 성공적으로 완료되었습니다. 

      #2: "<connection_name>":500 ESTABLISHED_IKE_SA (established IKE SA); REKEY in 28523s; REPLACE in 28793s; newest; idle;

      보안 연계(SA)는 이제 자식 SA 또는 2단계 SA로 알려진 실제 데이터 암호화 터널을 협상할 준비가 되었습니다.

    • 하위 SA가 설정되었습니다. 

      #3: "<connection_name>":500 ESTABLISHED_CHILD_SA (established Child SA); REKEY in 28523s; REPLACE in 28793s; newest; eroute owner; IKE SA #2; idle;

      데이터 트래픽이 통과하는 실제 터널입니다.

  2. 로컬 서브넷의 클라이언트에서 원격 서브넷의 클라이언트를 ping합니다.

다음 단계

6.5. 인증서 기반 인증을 사용하여 IPsec 호스트 간 VPN 수동 구성
링크 복사

호스트 간 VPN은 개별 원격 컴퓨터와 개인 네트워크 간에 안전하고 암호화된 연결을 설정하여 인터넷과 같은 안전하지 않은 공용 네트워크에서 원활하게 연결할 수 있습니다.

호스트 간 VPN은 마치 사무실에 있는 것처럼 자신의 컴퓨터에서 내부 네트워크의 리소스에 액세스해야 하는 원격 직원에게 적합합니다.

인증의 경우 CA(인증 기관)에서 관리하는 디지털 인증서를 사용하면 안전하고 확장 가능한 솔루션이 제공됩니다. 각 연결 호스트와 게이트웨이는 신뢰할 수 있는 CA에서 서명한 인증서를 제공합니다. 이 방법은 강력하고 검증 가능한 인증을 제공하고 사용자 관리를 단순화합니다. CA에서 액세스를 중앙에서 부여하거나 취소할 수 있으며 Libreswan은 인증서 해지 목록(CRL)에 대해 각 인증서를 확인하여 인증서가 목록에 표시되면 액세스를 거부하여 이를 시행합니다.

6.5.1. 수동으로 IPsec 게이트웨이 설정
링크 복사

보안 원격 액세스를 활성화하려면 Libreswan IPsec 게이트웨이를 올바르게 구성해야 합니다. Libreswan은 NSS(Network Security Services) 데이터베이스에서 서버 인증서, 개인 키 및 CA 인증서를 읽습니다.

다음 예제에서는 인증된 클라이언트가 내부 192.0.2.0/24 서브넷에 액세스하고 가상 IP 풀의 IP 주소를 각 클라이언트에 동적으로 할당할 수 있도록 허용합니다. 보안을 유지하기 위해 게이트웨이는 동일한 신뢰할 수 있는 CA에서 클라이언트 인증서를 발급하고 인증서 취소 목록(CRL)을 자동으로 사용하여 취소된 인증서에 대한 액세스가 거부되도록 합니다.

사전 요구 사항

  • 공개 키 암호화 표준 #12(PKCS #12) 파일 ~/file.p12 는 다음 내용이 있는 게이트웨이에 있습니다.

    • 서버의 개인 키
    • 서버 인증서
    • CA 인증서
    • 필요한 경우 중간 인증서

    개인 키 및 CSR(인증서 서명 요청) 생성 및 CA에서 인증서를 요청하는 방법에 대한 자세한 내용은 CA 설명서를 참조하십시오.

  • 서버 인증서에는 다음 필드가 포함되어 있습니다.

    • EKU(Extended Key Usage)는 TLS 웹 서버 인증으로 설정됩니다.
    • CN(Common Name) 또는 SAN(주체 대체 이름)은 게이트웨이의 FQDN(정규화된 도메인 이름)으로 설정됩니다.
    • X509v3 CRL 배포 지점에는 CRL(Certificate Revocation Lists)에 대한 URL이 포함되어 있습니다.
  • VPN 클라이언트 트래픽의 반환 경로는 VPN 게이트웨이를 가리키는 내부 네트워크에 구성됩니다.

프로세스

  1. Libreswan이 아직 설치되지 않은 경우:

    1. libreswan 패키지를 설치합니다. 

      # dnf install libreswan

    2. NSS(Network Security Services) 데이터베이스를 초기화합니다. 

      # ipsec initnss

      이 명령은 /var/lib/ipsec/nss/ 디렉터리에 데이터베이스를 생성합니다.

    3. ipsec 서비스를 활성화하고 시작합니다. 

      # systemctl enable --now ipsec

    4. 방화벽에서 IPsec 포트 및 프로토콜을 엽니다. 

      # firewall-cmd --permanent --add-service="ipsec"
# firewall-cmd --reload

  2. PKCS #12 파일을 NSS 데이터베이스로 가져옵니다. 

    # ipsec import ~/file.p12
Enter password for PKCS12 file: <password>
pk12util: PKCS12 IMPORT SUCCESSFUL
correcting trust bits for Example-CA

  3. 서버 및 CA 인증서의 닉네임을 표시합니다. 

    # certutil -L -d /var/lib/ipsec/nss/
Certificate Nickname     Trust Attributes
                         SSL,S/MIME,JAR/XPI

vpn-gateway              u,u,u
Example-CA               CT,,
...

    구성 파일에 이 정보가 필요합니다.

  4. /etc/ipsec.d/ 디렉터리에 연결에 대한 .conf 파일을 만듭니다. 예를 들어 다음 설정을 사용하여 /etc/ipsec.d/host-to-site.conf 파일을 만듭니다.

    1. CRL 검사를 활성화하려면 config setup 섹션을 추가합니다. 

      config setup
    crl-strict=yes
    crlcheckinterval=1h

      예제에 지정된 설정은 다음과 같습니다.

      crl-strict=yes
      CRL 검사를 활성화합니다. NSS 데이터베이스에서 CRL을 사용할 수 없는 경우 클라이언트 인증이 거부됩니다.
      crlcheckinterval=1h
      지정된 기간 후에 서버의 인증서에 지정된 URL에서 CRL을 다시 가져옵니다.

    2. 게이트웨이 섹션을 추가합니다. 

      conn <connection_name>
    # General setup and authentication type
    auto=start
    ikev2=insist
    authby=rsasig

    # VPN gateway settings
    left=%defaultroute
    leftid=%fromcert
    leftcert="<server_certificate_nickname>"
    leftrsasigkey=%cert
    leftsendcert=always
    leftsubnet=192.0.2.0/24
    rekey=no
    mobike=yes
    narrowing=yes

    # Client-related settings
    right=%any
    rightid=%fromcert
    rightrsasigkey=%cert
    rightaddresspool=198.51.100.129-198.51.100.254
    rightmodecfgclient=yes
    modecfgclient=yes
    modecfgdns=192.0.2.5
    modecfgdomains="example.com"

    # Dead Peer Detection
    dpddelay=30
    dpdtimeout=120
    dpdaction=clear

      예제에 지정된 설정은 다음과 같습니다.

      ikev2=insist
      IKEv2 프로토콜을 IKEv1에 대체하지 않고 허용된 유일한 프로토콜로 정의합니다.
      left=%defaultroute
      ipsec 서비스가 시작될 때 기본 경로 인터페이스의 IP 주소를 동적으로 설정합니다. 또는 왼쪽 매개 변수를 호스트의 IP 주소 또는 FQDN으로 설정할 수 있습니다.
      leftid=%fromcertrightid=%fromcert
      인증서의 고유 이름(DN) 필드에서 ID를 검색하도록 Libreswan을 구성합니다.
      leftcert="<server_certificate_nickname>"
      NSS 데이터베이스에 사용된 서버 인증서의 닉네임을 설정합니다.
      leftrsasigkey=%certrightrsasigkey=%cert
      인증서에 포함된 RSA 공개 키를 사용하도록 Libreswan을 구성합니다.
      leftsendcert=always
      클라이언트가 CA 인증서에 대해 유효성을 검사할 수 있도록 게이트웨이에 항상 인증서를 전송하도록 지시합니다.
      leftsubnet=<subnets>
      클라이언트가 터널을 통해 액세스할 수 있도록 게이트웨이에 연결된 서브넷을 지정합니다.
      mobike=yes
      클라이언트가 네트워크 간에 원활하게 회전할 수 있도록 합니다.
      rightaddresspool=<ip_range>
      게이트웨이에서 클라이언트에 IP 주소를 할당할 수 있는 범위를 지정합니다.
      modecfgclient=yes
      클라이언트가 modecfgdns 매개변수에 설정된 DNS 서버 IP 및 modecfgdomains 에 설정된 DNS 검색 도메인을 수신할 수 있습니다.

    예제에 사용된 모든 매개변수에 대한 자세한 내용은 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오.

  5. 패킷 전달을 활성화합니다. 

    # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
# sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf

  6. ipsec 서비스를 다시 시작하십시오. 

    # systemctl restart ipsec

    구성 파일에서 auto=start 를 사용하면 연결이 자동으로 활성화됩니다. 다른 방법을 사용하면 연결을 활성화하려면 추가 단계가 필요합니다. 자세한 내용은 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오.

검증

  1. 클라이언트를 구성하고 VPN 게이트웨이에 연결합니다.

  2. 서비스가 CRL을 로드했는지 확인하고 해당 항목을 NSS 데이터베이스에 추가했는지 확인합니다. 

    # ipsec listcrls

List of CRLs:

issuer: CN=Example-CA
revoked certs: 1
updates: this Tue Jul 15 10:22:36 2025
         next Sun Jan 11 10:22:36 2026

List of CRL fetch requests:

Jul 15 15:13:56 2025, trials: 1
       issuer:  'CN=Example-CA'
       distPts: 'https://ca.example.com/crl.pem'

다음 단계

  • 클라이언트가 필수 리소스와만 통신할 수 있도록 방화벽 규칙을 구성합니다. 방화벽에 대한 자세한 내용은 방화벽 및 패킷 필터 구성을 참조하십시오.

원격 사설 네트워크의 리소스에 액세스하려면 먼저 IPsec VPN 연결을 구성해야 합니다. GNOME 설정 애플리케이션은 NetworkManager에서 IPsec VPN 연결 프로필을 생성하고 터널을 설정하는 그래픽 솔루션을 제공합니다.

사전 요구 사항

  • IPsec VPN 게이트웨이를 구성했습니다.
  • NetworkManager-libreswan-gnome 패키지가 설치되어 있습니다.

  • PKCS #12 파일 ~/file.p12 는 다음 콘텐츠가 있는 클라이언트에 있습니다.

    • 사용자의 개인 키
    • 사용자 인증서
    • CA 인증서
    • 필요한 경우 중간 인증서

    개인 키 및 CSR(인증서 서명 요청) 생성 및 CA에서 인증서를 요청하는 방법에 대한 자세한 내용은 CA 설명서를 참조하십시오.

  • 인증서의 확장 키 사용량(EKU)은 TLS 웹 클라이언트 인증으로 설정됩니다.

프로세스

  1. NSS(Network Security Services) 데이터베이스를 초기화합니다. 

    # ipsec initnss

    이 명령은 /var/lib/ipsec/nss/ 디렉터리에 데이터베이스를 생성합니다.

  2. PKCS #12 파일을 NSS 데이터베이스로 가져옵니다. 

    # ipsec import ~/file.p12
Enter password for PKCS12 file: <password>
pk12util: PKCS12 IMPORT SUCCESSFUL
correcting trust bits for Example-CA

  3. 사용자 및 CA 인증서의 닉네임을 표시합니다. 

    # certutil -L -d /var/lib/ipsec/nss/
Certificate Nickname     Trust Attributes
                         SSL,S/MIME,JAR/XPI

user                     u,u,u
Example-CA               CT,,
...

    구성 파일에 이 정보가 필요합니다.

  4. Super 키를 누른 상태에서 Settings 를 입력하고 Enter 를 눌러 GNOME 설정 애플리케이션을 엽니다.
  5. VPN 항목 옆에 있는 + 버튼을 클릭합니다.
  6. 목록에서 IPsec 기반 VPN 을 선택합니다.

  7. Identity 탭에서 다음과 같이 필드를 작성합니다.

    Expand
    표 6.1. ID 탭 설정
    필드 이름현재의해당 ipsec.conf 매개변수

    이름

    <networkmanager_profile_name>

    해당 없음

    게이트웨이

    <ip_address_or_fqdn_of_the_gateway>

    right

    유형

    IKEv2 (인증서)

    authby

    그룹 이름

    %fromcert

    leftid

    인증서 이름

    <user_certificate_nickname>

    leftcert

    원격 ID

    %fromcert

    rightid

  8. 고급 을 클릭합니다.

  9. 고급 속성 창에서 다음과 같이 연결 탭의 필드를 작성합니다.

    Expand
    표 6.2. 연결 탭 설정
    필드 이름현재의해당 ipsec.conf 매개변수

    원격 네트워크

    192.0.2.0/24

    rightsubnet

    축소

    선택됨

    축소

    MOBIKE 활성화

    제공됨

    Mobike

    delay

    30

    dpddelay

    Timeout

    120

    dpdtimeout

    동작

    삭제

    dpdaction

  10. 적용을 클릭하여 연결 설정으로 돌아갑니다.
  11. 적용을 클릭하여 연결을 저장합니다.
  12. 설정 애플리케이션의 네트워크 탭에서 VPN 프로필 옆에 있는 스위치를 전환하여 연결을 활성화합니다.

검증

  • 원격 네트워크에서 호스트에 대한 연결을 설정하거나 ping합니다.

다음 단계

6.6. 인증서 기반 인증을 사용하여 IPsec 메시 VPN을 수동으로 구성
링크 복사

IPsec 메시는 모든 서버가 다른 모든 서버와 안전하고 직접 통신할 수 있는 완전히 상호 연결된 네트워크를 생성합니다. 이는 여러 데이터 센터 또는 클라우드 공급자에 걸쳐 있는 분산 데이터베이스 클러스터 또는 고가용성 환경에 이상적입니다.

각 서버 쌍 간에 직접 암호화된 터널을 설정하면 중앙 병목 현상 없이 보안 통신을 수행할 수 있습니다. 인증의 경우 CA(인증 기관)에서 관리하는 디지털 인증서를 사용하면 안전하고 확장 가능한 솔루션이 제공됩니다. 메시의 각 호스트는 신뢰할 수 있는 CA에서 서명한 인증서를 제공합니다. 이 방법은 강력하고 검증 가능한 인증을 제공하고 사용자 관리를 단순화합니다. CA에서 액세스를 중앙에서 부여하거나 취소할 수 있으며 Libreswan은 인증서 해지 목록(CRL)에 대해 각 인증서를 확인하여 인증서가 목록에 표시되면 액세스를 거부하여 이를 시행합니다.

사전 요구 사항

  • 공개 키 암호화 표준 #12 (PKCS #12) 파일은 다음 내용과 함께 메시의 각 피어에 있습니다.

    • 서버의 개인 키
    • 서버 인증서
    • CA 인증서
    • 필요한 경우 중간 인증서

    개인 키 및 CSR(인증서 서명 요청) 생성 및 CA에서 인증서를 요청하는 방법에 대한 자세한 내용은 CA 설명서를 참조하십시오.

  • 서버 인증서에는 다음 필드가 포함되어 있습니다.

    • EKU(Extended Key Usage)는 TLS 웹 서버 인증으로 설정됩니다.
    • CN(일반 이름) 또는 SAN(주체 대체 이름)은 호스트의 FQDN(정규화된 도메인 이름)으로 설정됩니다.
    • X509v3 CRL 배포 지점에는 CRL(Certificate Revocation Lists)에 대한 URL이 포함되어 있습니다.

프로세스

  1. Libreswan이 아직 설치되지 않은 경우 다음 단계를 수행합니다.

    1. libreswan 패키지를 설치합니다. 

      # dnf install libreswan

    2. NSS(Network Security Services) 데이터베이스를 초기화합니다. 

      # ipsec initnss

      이 명령은 /var/lib/ipsec/nss/ 디렉터리에 데이터베이스를 생성합니다.

    3. ipsec 서비스를 활성화하고 시작합니다. 

      # systemctl enable --now ipsec

    4. 방화벽에서 IPsec 포트 및 프로토콜을 엽니다. 

      # firewall-cmd --permanent --add-service="ipsec"
# firewall-cmd --reload

  2. PKCS #12 파일을 NSS 데이터베이스로 가져옵니다. 

    # ipsec import <file>.p12
Enter password for PKCS12 file: <password>
pk12util: PKCS12 IMPORT SUCCESSFUL
correcting trust bits for Example-CA

  3. 서버 및 CA 인증서의 닉네임을 표시합니다. 

    # certutil -L -d /var/lib/ipsec/nss/
Certificate Nickname     Trust Attributes
                         SSL,S/MIME,JAR/XPI

server1                  u,u,u
Example-CA               CT,,
...

    구성 파일에 이 정보가 필요합니다.

  4. /etc/ipsec.d/ 디렉터리에 연결에 대한 .conf 파일을 만듭니다. 예를 들어 다음 설정을 사용하여 /etc/ipsec.d/mesh.conf 파일을 만듭니다.

    1. CRL 검사를 활성화하려면 config setup 섹션을 추가합니다. 

      config setup
    crl-strict=yes
    crlcheckinterval=1h

      예제에 지정된 설정은 다음과 같습니다.

      crl-strict=yes
      CRL 검사를 활성화합니다. NSS 데이터베이스에서 CRL을 사용할 수 없는 경우 피어 인증이 거부됩니다.
      crlcheckinterval=1h
      지정된 기간 후에 서버의 인증서에 지정된 URL에서 CRL을 다시 가져옵니다.

    2. 메시의 멤버 간에 트래픽을 적용하는 섹션을 추가합니다. 

      conn <connection_name>
    # General setup and authentication type
    auto=ondemand
    authby=rsasig

    # Local settings settings
    left=%defaultroute
    leftid=%fromcert
    leftcert="<server_certificate_nickname>"
    leftrsasigkey=%cert
    leftsendcert=always
    failureshunt=drop
    type=transport

    # Settings related to other peers in the mesh
    right=%opportunisticgroup
    rightid=%fromcert

      예제에 지정된 설정은 다음과 같습니다.

      left=%defaultroute
      ipsec 서비스가 시작될 때 기본 경로 인터페이스의 IP 주소를 동적으로 설정합니다. 또는 왼쪽 매개 변수를 호스트의 IP 주소 또는 FQDN으로 설정할 수 있습니다.
      leftid=%fromcertrightid=%fromcert
      인증서의 고유 이름(DN) 필드에서 ID를 검색하도록 Libreswan을 구성합니다.
      leftcert="<server_certificate_nickname>"
      NSS 데이터베이스에 사용된 서버 인증서의 닉네임을 설정합니다.
      leftrsasigkey=%cert
      인증서에 포함된 RSA 공개 키를 사용하도록 Libreswan을 구성합니다.
      leftsendcert=always
      피어가 CA 인증서에 대해 유효성을 검사할 수 있도록 항상 인증서를 전송하도록 지시합니다.
      failureshunt=drop
      IPsec 협상이 실패하면 암호화를 적용하고 트래픽을 삭제합니다. 이는 보안 메시에 중요합니다.
      right=%opportunisticgroup
      정책 파일에 정의된 동적 원격 피어 그룹에 연결을 적용하도록 지정합니다. 이를 통해 Libreswan은 해당 그룹에 나열된 각 IP 또는 서브넷에 대해 운영적으로 IPsec 터널을 인스턴스화할 수 있습니다.

    예제에 사용된 모든 매개변수에 대한 자세한 내용은 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오.

  5. CIDR(Classless inter-domain routing) 형식으로 피어 또는 서브넷을 지정하는 /etc/ipsec.d/policies/server-mesh 정책 파일을 만듭니다. 

    192.0.2.0/24
198.51.100.0/24

    이러한 설정을 사용하면 ipsec 서비스가 이러한 서브넷의 호스트 간 트래픽을 암호화합니다. 호스트가 IPsec 메시의 멤버로 구성되지 않으면 이 호스트와 메시 멤버 간의 통신이 실패합니다.

  6. ipsec 서비스를 다시 시작하십시오. 

    # systemctl restart ipsec
  7. 정책 파일에 지정한 서브넷의 모든 호스트에서 절차를 반복합니다.

검증

  1. 메시의 호스트로 트래픽을 전송하여 터널을 설정합니다. 예를 들어 호스트를 ping합니다. 

    # ping -c3 <peer_in_mesh>

  2. IPsec 상태를 표시합니다. 

    # ipsec status

    연결이 성공적으로 설정된 경우 출력에는 피어에 대한 다음과 같은 행이 포함됩니다.

    • 인터넷 키 교환 버전 2(IKEv2) 협상의 1단계가 성공적으로 완료되었습니다. 

      #1: "<connection_name>#192.0.2.0/24"[1] ...192.0.2.2:500 ESTABLISHED_IKE_SA (established IKE SA); REKEY in 12822s; REPLACE in 13875s; newest; idle;

      보안 연계(SA)는 이제 자식 SA 또는 2단계 SA로 알려진 실제 데이터 암호화 터널을 협상할 준비가 되었습니다.

    • 하위 SA가 설정되었습니다. 

      #2: "<connection_name>#192.0.2.0/24"[1] ...192.0.2.2:500 ESTABLISHED_CHILD_SA (established Child SA); REKEY in 13071s; REPLACE in 13875s; newest; eroute owner; IKE SA #1; idle;

      데이터 트래픽이 통과하는 실제 터널입니다.

  3. 서비스가 CRL을 로드했는지 확인하고 해당 항목을 NSS 데이터베이스에 추가했는지 확인합니다. 

    # ipsec listcrls

List of CRLs:

issuer: CN=Example-CA
revoked certs: 1
updates: this Tue Jul 15 10:22:36 2025
         next Sun Jan 11 10:22:36 2026

List of CRL fetch requests:

Jul 15 15:13:56 2025, trials: 1
       issuer:  'CN=Example-CA'
       distPts: 'https://ca.example.com/crl.pem'

다음 단계

6.7. 암호로 IPsec NSS 데이터베이스 보호
링크 복사

기본적으로 root 사용자만 /var/lib/ipsec/nss/ 디렉터리의 IPsec Network Security Services(NSS) 데이터베이스에 액세스할 수 있습니다. 암호로 데이터베이스를 추가로 보호할 수 있습니다. 이는 FIPS(Federal Information Processing Standard) 모드에서 RHEL을 실행하는 경우 필요합니다.

사전 요구 사항

  • /var/lib/ipsec/nss/ 디렉터리에는 NSS 데이터베이스가 포함되어 있습니다.

프로세스

  1. Libreswan NSS 데이터베이스에 대한 암호 보호를 활성화합니다. 

    # certutil -W -d /var/lib/ipsec/nss/

  2. 현재 암호를 입력합니다. 

    Enter Password or Pin for "NSS Certificate DB": <password>

    데이터베이스가 현재 암호로 보호되지 않은 경우 Enter 키를 누릅니다.

  3. 새 암호를 입력합니다. 

    Enter new password: <new_password>
Re-enter password: <new_password>

  4. 데이터베이스 잠금을 해제하려면 ipsec 서비스에 /etc/ipsec.d/nsspassword 파일이 필요합니다. 다음 콘텐츠를 사용하여 파일을 생성합니다.

    • 호스트가 FIPS 모드에서 실행되지 않는 경우: 

      NSS Certificate DB:<password>

    • 호스트가 FIPS 모드에서 실행되는 경우: 

      NSS FIPS 140-2 Certificate DB:<password>

  5. /etc/ipsec.d/nsspassword 파일에 대한 보안 권한을 설정합니다. 

    # chmod 600 /etc/ipsec.d/nsspassword
# chown root:root /etc/ipsec.d/nsspassword

  6. ipsec 서비스를 다시 시작하십시오. 

    # systemctl restart ipsec

검증

  1. ipsec 서비스가 실행 중인지 확인합니다. 

    # systemctl is-active ipsec

    명령이 활성 을 반환하면 서비스는 암호 파일을 성공적으로 사용하여 NSS 데이터베이스의 잠금을 해제합니다.

  2. 암호가 필요한 NSS 데이터베이스에서 작업을 수행합니다. 예를 들어 개인 키를 표시합니다. 

    # certutil -K -d /var/lib/ipsec/nss/
certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"
Enter Password or Pin for "NSS Certificate DB":

    명령이 암호를 입력하라는 메시지를 표시하는지 확인합니다.

6.8. FIPS 모드가 활성화된 시스템에서 IPsec 사용
링크 복사

FIPS(Federal Information Processing Standard) 모드의 RHEL은 검증된 암호화 모듈을 독점적으로 사용하여 기존 프로토콜 및 암호를 자동으로 비활성화합니다. FIPS 모드를 활성화하는 것은 종종 연방 규정 준수에 대한 요구 사항이며 시스템 보안을 강화합니다.

RHEL에서 제공하는 Libreswan IPsec 구현은 완전히 FIPS와 호환됩니다. 시스템이 FIPS 모드인 경우 Libreswan은 새로운 FIPS 지원 시스템에 설치되어 있는지 또는 기존 Libreswan VPN을 사용하는 시스템에서 FIPS 모드가 활성화되었는지 여부에 관계없이 추가 구성이 필요하지 않고 인증된 암호화 모듈을 자동으로 사용합니다.

FIPS 모드가 활성화된 경우 Libreswan이 FIPS 모드에서 실행 중인지 확인할 수 있습니다. 

# ipsec whack --fipsstatus
FIPS mode enabled

FIPS 모드에서 Libreswan에서 허용되는 알고리즘 및 암호를 나열하려면 다음을 입력합니다. 

# ipsec pluto --selftest 2>&1
...
FIPS Encryption algorithms:
  AES_CCM_16  {256,192,*128} IKEv1:  ESP  IKEv2:  ESP  FIPS   aes_ccm, aes_ccm_c
  AES_CCM_12  {256,192,*128} IKEv1:  ESP  IKEv2:  ESP  FIPS   aes_ccm_b
  AES_CCM_8   {256,192,*128} IKEv1:  ESP  IKEv2:  ESP  FIPS   aes_ccm_a
...

6.9. IPsec VPN 연결에 대한 TCP 대체 구성
링크 복사

표준 IPsec VPN은 UDP를 차단하고 ESP(Security Payload) 프로토콜을 캡슐화하는 제한적인 네트워크에서 실패할 수 있습니다. 이러한 환경에서의 연결을 보장하기 위해 Libreswan은 TCP 연결 내의 모든 VPN 트래픽을 캡슐화할 수 있습니다.

중요

TCP 내에서 VPN 패킷을 캡슐화하면 처리량을 줄이고 대기 시간을 늘릴 수 있습니다. 이러한 이유로 TCP 캡슐화를 대체 옵션으로 사용하거나 환경에서 UDP 기반 연결이 일관되게 차단되는 경우에만 사용합니다.

사전 요구 사항

  • IPsec 연결이 구성되어 있습니다.

프로세스

  1. /etc/ipsec.conf 파일을 편집하고 config setup 섹션에서 다음과 같이 변경합니다.

    1. TCP 포트에서 수신 대기하도록 Libreswan을 구성합니다. 

      listen-tcp=yes

    2. 기본적으로 Libreswan은 포트 4500에서 수신 대기합니다. 다른 포트를 사용하려면 다음을 입력합니다. 

      tcp-remoteport=<port_number>

    3. UDP를 사용할 수 없거나 영구적으로 TCP를 대체 옵션으로 사용해야 하는지 여부를 결정합니다.

      • 대체 옵션으로 다음을 입력합니다. 

        enable-tcp=fallback
retransmit-timeout=5s

        기본적으로 Libreswan은 TCP를 통해 연결을 다시 시도하기 전에 UDP를 사용하여 연결할 수 없는 후 60초를 기다립니다. retransmit-timeout 값을 낮추면 지연이 줄어들어 대체 프로토콜이 더 빨리 시작됩니다.

      • UDP를 영구적으로 교체하려면 다음을 입력합니다. 

        enable-tcp=yes

  2. ipsec 서비스를 다시 시작하십시오. 

    # systemctl restart ipsec

  3. 기본 4500 이외의 TCP 포트를 구성한 경우 방화벽에서 포트를 엽니다. 

    # firewall-cmd --permanent --add-port=<tcp_port>/tcp
# firewall-cmd --reload
  4. 이 게이트웨이를 사용하는 피어에서 절차를 반복합니다.

6.10. Libreswan에서 레거시 암호 및 알고리즘 활성화
링크 복사

다른 IPsec 피어와 이전 버전과의 호환성을 위해 Libreswan에서 레거시 암호 및 알고리즘을 활성화합니다. 이는 기본적으로 IPsec 및 인터넷 키 교환(IKE)에 대해 강력한 암호화 암호 및 알고리즘을 적용하는 RHEL 시스템 전체 암호화 정책을 재정의합니다.

RHEL 시스템 전체 암호화 정책은 %default 라는 특수 연결을 생성합니다. 이 연결은 keyexchange,espike 매개변수의 기본값을 설정합니다.

사전 요구 사항

  • Libreswan이 설치되어 있습니다.

프로세스

  1. RHEL 시스템 전체 암호화 정책에서 설정한 기본값을 재정의하려면 keyexchange,espike 매개변수를 연결 구성에 추가하고 필요한 값으로 설정합니다. 예를 들면 다음과 같습니다. 

    conn <connection_name>
    keyexchange=ikev1
    ike=aes-sha2,aes-sha1;modp2048
    esp=aes-sha2,aes-sha1
    ...

  2. ipsec 서비스를 다시 시작하십시오. 

    # systemctl restart ipsec

트래픽 리디렉션 공격으로부터 VPN 연결을 보호하려면 전용 라우팅 테이블에 할당합니다. 이렇게 하면 악의적인 네트워크 서버가 보안 터널을 우회하고 데이터 무결성을 손상시키는 것을 방지할 수 있습니다.

DHCP 서버와 SLAAC(상태 비저장 주소 자동 구성) 모두 클라이언트의 라우팅 테이블에 경로를 추가할 수 있습니다. 예를 들어 악의적인 DHCP 서버는 이 기능을 사용하여 VPN 터널 대신 물리적 인터페이스를 통해 트래픽을 리디렉션하도록 VPN 연결이 있는 호스트를 강제 수행할 수 있습니다. 이 취약점은 tunnelVision이라고도 하며 CVE-2024-3661 취약점 문서에 설명되어 있습니다.

이 취약점을 완화하기 위해 전용 라우팅 테이블에 VPN 연결을 할당할 수 있습니다. 이렇게 하면 DHCP 구성 또는 SLAAC가 VPN 터널을 위한 네트워크 패킷의 라우팅 결정을 조작하지 않습니다.

사용자 환경에 하나 이상의 조건이 적용되는 경우 단계를 따르십시오.

  • 하나 이상의 네트워크 인터페이스에서 DHCP 또는 SLAAC를 사용합니다.
  • 네트워크에서는 잘못된 DHCP 서버를 방지하는 DHCP 스누핑과 같은 메커니즘을 사용하지 않습니다.
중요

VPN을 통해 전체 트래픽을 라우팅하면 호스트가 로컬 네트워크 리소스에 액세스할 수 없습니다.

프로세스

  1. 사용할 라우팅 테이블을 결정합니다. 다음 단계는 표 75을 사용합니다. 기본적으로 RHEL은 테이블 1-254를 사용하지 않으며 이 테이블 중 하나를 사용할 수 있습니다.

  2. VPN 경로를 전용 라우팅 테이블에 배치하도록 VPN 연결 프로필을 구성합니다. 

    # nmcli connection modify <vpn_connection_profile> ipv4.route-table 75 ipv6.route-table 75

  3. 이전 명령에서 사용한 테이블에 대해 우선순위가 낮은 값을 설정합니다. 

    # nmcli connection modify <vpn_connection_profile> ipv4.routing-rules "priority 32345 from all table 75" ipv6.routing-rules "priority 32345 from all table 75"

    우선순위 값은 1에서 32766 사이의 모든 값일 수 있습니다. 값이 작을수록 우선순위가 높습니다.

  4. VPN 연결을 다시 연결합니다. 

    # nmcli connection down <vpn_connection_profile>
# nmcli connection up <vpn_connection_profile>

검증

  1. 표 75에 IPv4 경로를 표시합니다. 

    # ip route show table 75
...
192.0.2.0/24 via 192.0.2.254 dev vpn_device proto static metric 50
default dev vpn_device proto static scope link metric 50

    출력은 원격 네트워크에 대한 경로와 기본 게이트웨이가 라우팅 테이블 75에 할당되므로 모든 트래픽이 터널을 통해 라우팅되는지 확인합니다. VPN 연결 프로필에 ipv4.never-default true 를 설정하면 기본 경로가 생성되지 않으므로 이 출력에 표시되지 않습니다.

  2. 표 75에 IPv6 경로를 표시합니다. 

    # ip -6 route show table 75
...
2001:db8:1::/64 dev vpn_device proto kernel metric 50 pref medium
default dev vpn_device proto static metric 50 pref medium

    출력은 원격 네트워크에 대한 경로와 기본 게이트웨이가 라우팅 테이블 75에 할당되므로 모든 트래픽이 터널을 통해 라우팅되는지 확인합니다. VPN 연결 프로필에 ipv6.never-default true 를 설정하면 기본 경로가 생성되지 않으므로 이 출력에 표시되지 않습니다.

6.12. RHEL 시스템 역할을 사용하여 IPsec VPN 연결 구성
링크 복사

신뢰할 수 없는 네트워크를 통해 암호화된 터널을 설정하고 전송 중 데이터의 무결성을 보장하도록 IPsec VPN 연결을 구성합니다. RHEL 시스템 역할을 사용하면 지사 사무실을 본사에 연결하는 것과 같은 사용 사례에 맞게 설정을 자동화할 수 있습니다.

참고

vpn RHEL 시스템 역할은 PSK(사전 공유 키) 또는 인증서를 사용하여 피어를 서로 인증하는 VPN 구성만 생성할 수 있습니다.

호스트 간 VPN은 두 장치 간에 암호화된 연결을 설정하여 애플리케이션이 안전하지 않은 네트워크를 통해 안전하게 통신할 수 있도록 합니다. vpn RHEL 시스템 역할을 사용하면 IPsec 호스트 간 연결 생성 프로세스를 자동화할 수 있습니다.

인증을 위해 PSK(사전 공유 키)는 두 피어에만 알려진 공유 시크릿을 사용하는 간단한 방법입니다. 이 접근 방식은 쉽게 배포가 가능한 우선 순위인 기본 설정에 적합합니다. 그러나 키를 엄격하게 기밀로 유지해야 합니다. 키에 대한 액세스 권한이 있는 공격자는 연결을 손상시킬 수 있습니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com
  tasks:
    - name: IPsec VPN with PSK authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - hosts:
              managed-node-01.example.com:
              managed-node-02.example.com:
            auth_method: psk
            auto: start
        vpn_manage_firewall: true
        vpn_manage_selinux: true

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    호스트: &lt ;list>

    VPN을 구성하려는 피어를 사용하여 YAML 사전을 정의합니다. 항목이 Ansible 관리형 노드가 아닌 경우 hostname 매개변수에서 FQDN(정규화된 도메인 이름) 또는 IP 주소를 지정해야 합니다. 예를 들면 다음과 같습니다. 

              ...
          - hosts:
              ...
              external-host.example.com:
                hostname: 192.0.2.1

    역할은 각 관리 노드에서 VPN 연결을 구성합니다. 연결 이름은 < peer_A> -to- <peer_B >입니다(예: managed-node-01.example.com-to-managed-node-02.example.com ). 역할은 외부(관리되지 않음) 노드에 Libreswan을 구성할 수 없습니다. 이러한 피어에 구성을 수동으로 생성해야 합니다.

    auth_method: psk
    피어 간 PSK 인증을 활성화합니다. 역할은 제어 노드에서 openssl 을 사용하여 PSK를 생성합니다.
    auto: &lt ;startup_method>
    연결의 시작 메서드를 지정합니다. 유효한 값은 add,ondemand,startignore 입니다. 자세한 내용은 Libreswan이 설치된 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오. 이 변수의 기본값은 null이며 자동 시작 작업이 없음을 의미합니다.
    vpn_manage_firewall: true
    역할이 관리 노드의 firewalld 서비스에서 필요한 포트를 열도록 정의합니다.
    vpn_manage_selinux: true
    역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.vpn/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  • 연결이 성공적으로 시작되었는지 확인합니다. 예를 들면 다음과 같습니다. 

    # ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "managed-node-01.example.com-to-managed-node-02.example.com"'
...
006 #3: "managed-node-01.example.com-to-managed-node-02.example.com", type=ESP, add_time=1741857153, inBytes=38622, outBytes=324626, maxBytes=2^63B, id='@managed-node-02.example.com'

    이 명령은 VPN 연결이 활성화된 경우에만 성공합니다. 플레이북의 auto 변수를 start 이외의 값으로 설정하는 경우 먼저 관리 노드에서 연결을 수동으로 활성화해야 할 수 있습니다.

vpn RHEL 시스템 역할을 사용하여 IPsec 호스트 간 VPN 생성 프로세스를 자동화합니다. 인터셉트 또는 중단되는 제어 메시지의 위험을 최소화하여 보안을 강화하려면 데이터 트래픽과 제어 트래픽에 대한 별도의 연결을 구성합니다.

호스트 간 VPN은 두 장치 간에 직접, 보안 및 암호화된 연결을 설정하여 애플리케이션과 인터넷과 같은 비보안 네트워크를 통해 안전하게 통신할 수 있습니다.

인증을 위해 PSK(사전 공유 키)는 두 피어에만 알려진 공유 시크릿을 사용하는 간단한 방법입니다. 이 접근 방식은 쉽게 배포가 가능한 우선 순위인 기본 설정에 적합합니다. 그러나 키를 엄격하게 기밀로 유지해야 합니다. 키에 대한 액세스 권한이 있는 공격자는 연결을 손상시킬 수 있습니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com
  tasks:
    - name: IPsec VPN with PSK authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - name: control_plane_vpn
            hosts:
              managed-node-01.example.com:
                hostname: 203.0.113.1  # IP address for the control plane
              managed-node-02.example.com:
                hostname: 198.51.100.2 # IP address for the control plane
            auth_method: psk
            auto: start
          - name: data_plane_vpn
            hosts:
              managed-node-01.example.com:
                hostname: 10.0.0.1   # IP address for the data plane
              managed-node-02.example.com:
                hostname: 172.16.0.2 # IP address for the data plane
            auth_method: psk
            auto: start
        vpn_manage_firewall: true
        vpn_manage_selinux: true

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    호스트: &lt ;list>

    VPN을 구성하려는 호스트를 사용하여 YAML 사전을 정의합니다. 연결 이름은 < name> - <IP_address_A> -to- <IP_address_B >입니다(예: control_plane_vpn-203.0.113.1-to-198.51.100.2 ).

    역할은 각 관리 노드에서 VPN 연결을 구성합니다. 역할은 외부(관리되지 않음) 노드에 Libreswan을 구성할 수 없습니다. 이러한 호스트에 구성을 수동으로 생성해야 합니다.

    auth_method: psk
    호스트 간 PSK 인증을 활성화합니다. 역할은 제어 노드에서 openssl 을 사용하여 사전 공유 키를 생성합니다.
    auto: &lt ;startup_method>
    연결의 시작 메서드를 지정합니다. 유효한 값은 add,ondemand,startignore 입니다. 자세한 내용은 Libreswan이 설치된 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오. 이 변수의 기본값은 null이며 자동 시작 작업이 없음을 의미합니다.
    vpn_manage_firewall: true
    역할이 관리 노드의 firewalld 서비스에서 필요한 포트를 열도록 정의합니다.
    vpn_manage_selinux: true
    역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.vpn/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  • 연결이 성공적으로 시작되었는지 확인합니다. 예를 들면 다음과 같습니다. 

    # ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "control_plane_vpn-203.0.113.1-to-198.51.100.2"'
...
006 #3: "control_plane_vpn-203.0.113.1-to-198.51.100.2", type=ESP, add_time=1741860073, inBytes=0, outBytes=0, maxBytes=2^63B, id='198.51.100.2'

    이 명령은 VPN 연결이 활성화된 경우에만 성공합니다. 플레이북의 auto 변수를 start 이외의 값으로 설정하는 경우 먼저 관리 노드에서 연결을 수동으로 활성화해야 할 수 있습니다.

사이트 간 VPN은 두 개의 개별 네트워크 간에 암호화된 터널을 설정하여 안전하지 않은 공용 네트워크에서 원활하게 연결합니다. vpn RHEL 시스템 역할을 사용하면 IPsec 사이트 간 VPN 연결을 생성하는 프로세스를 자동화할 수 있습니다.

사이트 간 VPN을 사용하면 지사에 있는 장치가 마치 동일한 로컬 네트워크의 일부인 것처럼 회사 본사의 리소스에 액세스할 수 있습니다.

인증을 위해 PSK(사전 공유 키)는 두 피어에만 알려진 공유 시크릿을 사용하는 간단한 방법입니다. 이 접근 방식은 쉽게 배포가 가능한 우선 순위인 기본 설정에 적합합니다. 그러나 키를 엄격하게 기밀로 유지해야 합니다. 키에 대한 액세스 권한이 있는 공격자는 연결을 손상시킬 수 있습니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com
  tasks:
    - name: IPsec VPN with PSK authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - hosts:
              managed-node-01.example.com:
                subnets:
                  - 192.0.2.0/24
              managed-node-02.example.com:
                subnets:
                  - 198.51.100.0/24
                  - 203.0.113.0/24
            auth_method: psk
            auto: start
        vpn_manage_firewall: true
        vpn_manage_selinux: true

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    호스트: &lt ;list>

    VPN을 구성하려는 게이트웨이로 YAML 사전을 정의합니다. 항목이 Ansible 관리 노드가 아닌 경우 FQDN(정규화된 도메인 이름) 또는 IP 주소를 hostname 매개변수에 지정해야 합니다. 예를 들면 다음과 같습니다. 

              ...
          - hosts:
              ...
              external-host.example.com:
                hostname: 192.0.2.1

    역할은 각 관리 노드에서 VPN 연결을 구성합니다. 연결 이름은 -to- 입니다 (예: managed-node-01.example.com-to-managed-node-02.example.com ). 역할은 외부(관리되지 않음) 노드에 Libreswan을 구성할 수 없습니다. 이러한 피어에 구성을 수동으로 생성해야 합니다.

    subnets: <yaml_list_of_subnets>
    터널을 통해 연결된 CIDR(Classless inter-domain routing) 형식으로 서브넷을 정의합니다.
    auth_method: psk
    피어 간 PSK 인증을 활성화합니다. 역할은 제어 노드에서 openssl 을 사용하여 PSK를 생성합니다.
    auto: &lt ;startup_method>
    연결의 시작 메서드를 지정합니다. 유효한 값은 add,ondemand,startignore 입니다. 자세한 내용은 Libreswan이 설치된 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오. 이 변수의 기본값은 null이며 자동 시작 작업이 없음을 의미합니다.
    vpn_manage_firewall: true
    역할이 관리 노드의 firewalld 서비스에서 필요한 포트를 열도록 정의합니다.
    vpn_manage_selinux: true
    역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.vpn/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  • 연결이 성공적으로 시작되었는지 확인합니다. 예를 들면 다음과 같습니다. 

    # ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "managed-node-01.example.com-to-managed-node-02.example.com"'
...
006 #3: "managed-node-01.example.com-to-managed-node-02.example.com", type=ESP, add_time=1741857153, inBytes=38622, outBytes=324626, maxBytes=2^63B, id='@managed-node-02.example.com'

    이 명령은 VPN 연결이 활성화된 경우에만 성공합니다. 플레이북의 auto 변수를 start 이외의 값으로 설정하는 경우 먼저 관리 노드에서 연결을 수동으로 활성화해야 할 수 있습니다.

IPsec 메시는 모든 서버가 다른 모든 서버와 안전하고 직접 통신할 수 있는 완전히 상호 연결된 네트워크를 생성합니다. vpn RHEL 시스템 역할을 사용하면 관리형 노드 간의 인증서 기반 인증을 사용하여 VPN 메시 구성을 자동화할 수 있습니다.

IPsec 메시는 여러 데이터 센터 또는 클라우드 공급자에 걸쳐 있는 분산 데이터베이스 클러스터 또는 고가용성 환경에 이상적입니다. 각 서버 쌍 간에 직접 암호화된 터널을 설정하면 중앙 병목 현상 없이 보안 통신을 수행할 수 있습니다.

인증의 경우 CA(인증 기관)에서 관리하는 디지털 인증서를 사용하면 안전하고 확장 가능한 솔루션이 제공됩니다. 메시의 각 호스트는 신뢰할 수 있는 CA에서 서명한 인증서를 제공합니다. 이 방법은 강력하고 검증 가능한 인증을 제공하고 사용자 관리를 단순화합니다. CA에서 액세스를 중앙에서 부여하거나 취소할 수 있으며 Libreswan은 인증서 해지 목록(CRL)에 대해 각 인증서를 확인하여 인증서가 목록에 표시되면 액세스를 거부하여 이를 시행합니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.

  • 각 관리 노드에 대해 PKCS #12 파일을 준비합니다.

    • 각 파일에는 다음이 포함됩니다.

      • 서버의 개인 키
      • 서버 인증서
      • CA 인증서
      • 필요한 경우 중간 인증서
    • 파일의 이름은 < managed_node_name_as_in_the_inventory > .p12 입니다.
    • 파일은 플레이북과 동일한 디렉터리에 저장됩니다.

    • 서버 인증서에는 다음 필드가 포함되어 있습니다.

      • EKU(Extended Key Usage)는 TLS 웹 서버 인증으로 설정됩니다.
      • CN(일반 이름) 또는 SAN(주체 대체 이름)은 호스트의 FQDN(정규화된 도메인 이름)으로 설정됩니다.
      • X509v3 CRL 배포 지점에는 CRL(Certificate Revocation Lists)에 대한 URL이 포함되어 있습니다.

프로세스

  1. ~/inventory 파일을 편집하고 cert_name 변수를 추가합니다. 

    managed-node-01.example.com cert_name=managed-node-01.example.com
managed-node-02.example.com cert_name=managed-node-02.example.com
managed-node-03.example.com cert_name=managed-node-03.example.com

    cert_name 변수를 각 호스트의 인증서에 사용된 CN(일반 이름) 필드 값으로 설정합니다. 일반적으로 CN 필드는 FQDN(정규화된 도메인 이름)으로 설정됩니다.

  2. 중요한 변수를 암호화된 파일에 저장합니다.

    1. 자격 증명 모음을 생성합니다. 

      $ ansible-vault create ~/vault.yml
New Vault password: <vault_password>
Confirm New Vault password: <vault_password>

    2. ansible-vault create 명령이 편집기를 열고 < key > : < value > 형식으로 중요한 데이터를 입력합니다. 

      pkcs12_pwd: <password>
    3. 변경 사항을 저장하고 편집기를 종료합니다. Ansible은 자격 증명 모음의 데이터를 암호화합니다.

  3. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    - name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com, managed-node-03.example.com
  vars_files:
    - ~/vault.yml
  tasks:
    - name: Install LibreSwan
      ansible.builtin.package:
        name: libreswan
        state: present

    - name: Identify the path to IPsec NSS database
      ansible.builtin.set_fact:
        nss_db_dir: "{{ '/etc/ipsec.d/' if
          ansible_distribution in ['CentOS', 'RedHat']
          and ansible_distribution_major_version is version('8', '=')
          else '/var/lib/ipsec/nss/' }}"

    - name: Locate IPsec NSS database files
      ansible.builtin.find:
        paths: "{{ nss_db_dir }}"
        patterns: "*.db"
      register: db_files

    - name: Initialize IPsec NSS database if not initialized
      ansible.builtin.command:
        cmd: ipsec initnss
      when: db_files.matched == 0

    - name: Copy PKCS #12 file to the managed node
      ansible.builtin.copy:
        src: "~/{{ inventory_hostname }}.p12"
        dest: "/etc/ipsec.d/{{ inventory_hostname }}.p12"
        mode: 0600

    - name: Import PKCS #12 file in IPsec NSS database
      ansible.builtin.shell:
        cmd: 'pk12util -d {{ nss_db_dir }} -i /etc/ipsec.d/{{ inventory_hostname }}.p12 -W "{{ pkcs12_pwd }}"'

    - name: Remove PKCS #12 file
      ansible.builtin.file:
        path: "/etc/ipsec.d/{{ inventory_hostname }}.p12"
        state: absent

    - name: Opportunistic mesh IPsec VPN with certificate-based authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - opportunistic: true
            auth_method: cert
            policies:
              - policy: private
                cidr: default
              - policy: private
                cidr: 192.0.2.0/24
              - policy: clear
                cidr: 192.0.2.1/32
        vpn_manage_firewall: true
        vpn_manage_selinux: true

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    opportunistic: true
    여러 호스트 간에 opportunistic 메시를 활성화합니다. policies 변수는 암호화해야 하거나 암호화할 수 있는 서브넷 및 호스트 트래픽에 대해 정의하며 그 중 어느 것이 일반 텍스트 연결을 계속 사용해야 하는지 정의합니다.
    auth_method: cert
    인증서 기반 인증을 활성화합니다. 이를 위해서는 인벤토리에서 각 관리 노드 인증서의 닉네임을 지정해야 합니다.
    policies: <list_of_policies>

    YAML 목록 형식으로 Libreswan 정책을 정의합니다.

    기본 정책은 private-or-clear 입니다. 개인 으로 변경하기 위해 위의 플레이북에는 기본 cidr 항목에 대한 따라 정책이 포함되어 있습니다.

    Ansible 제어 노드가 관리형 노드와 동일한 IP 서브넷에 있는 경우 플레이북 실행 중에 SSH 연결이 손실되는 것을 방지하려면 제어 노드의 IP 주소에 대한 명확한 정책을 추가합니다. 예를 들어, Mesh를 192.0.2.0/24 서브넷에 대해 구성하고 제어 노드에서 IP 주소 192.0.2.1 을 사용하는 경우 플레이북에 표시된 대로 192.0.2.1/32 에 대한 명확한 정책이 필요합니다.

    정책에 대한 자세한 내용은 Libreswan이 설치된 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오.

    vpn_manage_firewall: true
    역할이 관리 노드의 firewalld 서비스에서 필요한 포트를 열도록 정의합니다.
    vpn_manage_selinux: true
    역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.vpn/README.md 파일을 참조하십시오.

  4. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  5. Playbook을 실행합니다. 

    $ ansible-playbook --ask-vault-pass ~/playbook.yml

검증

  1. 메시의 노드에서 다른 노드를 ping하여 연결을 활성화합니다. 

    [root@managed-node-01]# ping managed-node-02.example.com

  2. 연결이 활성화되어 있는지 확인합니다. 

    [root@managed-node-01]# ipsec trafficstatus
006 #2: "private#192.0.2.0/24"[1] ...192.0.2.2, type=ESP, add_time=1741938929, inBytes=372408, outBytes=545728, maxBytes=2^63B, id='CN=managed-node-02.example.com'

6.13. nmstatectl을 사용하여 IPsec VPN 연결 구성
링크 복사

신뢰할 수 없는 네트워크를 통해 암호화된 터널을 설정하고 전송 중 데이터의 무결성을 보장하도록 IPsec VPN 연결을 구성합니다. Nmstate를 사용하면 선언적 API를 사용하여 IPsec VPN 연결을 생성할 수 있습니다.

nmstatectl 유틸리티를 사용하여 Nmstate API를 통해 Libreswan IPsec VPN 연결을 구성할 수 있습니다. nmstatectl 유틸리티는 선언적 Nmstate API를 통해 호스트 네트워킹을 관리하는 명령줄 도구입니다. 인터페이스를 구성하기 위해 여러 필수 명령을 실행하는 대신 YAML 파일에서 예상되는 상태를 정의합니다. NMState는 이 정의를 가져와서 시스템에 적용합니다. 이 방법의 주요 장점은 원자성 결과입니다. NMState를 사용하면 결과 구성이 YAML 정의와 정확히 일치하는지 확인합니다. 구성의 일부가 적용되지 않으면 모든 변경 사항을 자동으로 롤백하고 시스템이 잘못되거나 손상된 네트워크 상태가 되지 않도록 합니다.

참고

NetworkManager-libreswan 플러그인의 설계로 인해 nmstatectl 을 하나의 피어에서만 사용할 수 있으며 다른 피어에 Libreswan을 수동으로 구성해야 합니다.

선언적 Nmstate API를 사용하여 비보안 네트워크를 통해 안전하게 통신하도록 두 장치 간에 호스트 간 VPN을 구성할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

인증을 위해 RSA 키는 대칭 암호화가 공유 보안의 위험을 제거하기 때문에 PSK(사전 공유 키)보다 안전합니다. RSA 키를 사용하면 강력한 피어 투 피어 인증을 제공하면서 CA(인증 기관)의 필요성을 방지하여 배포가 간소화됩니다.

참고

일반적으로 왼쪽오른쪽 이라는 이름의 호스트는 임의의 값입니다. 그러나 NetworkManager는 항상 로컬 호스트에 왼쪽 이라는 용어를 사용하고 원격 호스트에는 right 을 사용합니다.

사전 요구 사항

  • 원격 피어는 Libreswan IPsec을 실행하고 호스트 간 연결을 위해 준비되었습니다.

    NetworkManager-libreswan 플러그인의 설계로 인해 Nmstate는 동일한 연결에 이 플러그인을 사용하는 다른 피어와 통신할 수 없습니다.

프로세스

  1. Libreswan이 아직 설치되지 않은 경우 다음 단계를 수행합니다.

    1. 필수 패키지를 설치합니다. 

      # dnf install nmstate libreswan NetworkManager-libreswan

    2. NetworkManager 서비스를 다시 시작하십시오. 

      # systemctl restart NetworkManager

    3. NSS(Network Security Services) 데이터베이스를 초기화합니다. 

      # ipsec initnss

      이 명령은 /var/lib/ipsec/nss/ 디렉터리에 데이터베이스를 생성합니다.

    4. 방화벽에서 IPsec 포트 및 프로토콜을 엽니다. 

      # firewall-cmd --permanent --add-service="ipsec"
# firewall-cmd --reload

  2. RSA 키 쌍을 생성합니다. 

    # ipsec newhostkey

    ipsec 유틸리티는 키 쌍을 NSS 데이터베이스에 저장합니다.

  3. 왼쪽 및 오른쪽 피어 모두에서 인증서 키 속성 ID(CKAID)를 표시합니다. 

    # ipsec showhostkey --list
< 1> RSA keyid: <key_id> ckaid: <ckaid>

    다음 단계에서 두 피어의 CKAID가 필요합니다.

  4. 공개 키를 표시합니다.

    1. 왼쪽 피어에서 다음을 입력합니다. 

      # ipsec showhostkey --left --ckaid <ckaid_of_left_peer>
        # rsakey AwEAAdKCx
        leftrsasigkey=0sAwEAAdKCxpc9db48cehzQiQD...

    2. 오른쪽 피어에서 다음을 입력합니다. 

      # ipsec showhostkey --right --ckaid <ckaid_of_right_peer>
        # rsakey AwEAAcNWC
        rightrsasigkey=0sAwEAAcNWCzZO+PR1j8WbO8X...

    명령은 구성 파일에서 사용해야 하는 해당 매개 변수가 있는 공개 키를 표시합니다.

  5. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/ipsec-host-to-host-rsa-auth.yml )을 생성합니다. 

    ---
interfaces:
- name: '<connection_name>'
  type: ipsec
  libreswan:
    ikev2: insist

    left: <ip_address_or_fqdn_of_left_peer>
    leftid: peer_b
    leftrsasigkey: <public_key_of_left_peer>
    leftmodecfgclient: false

    right: <ip_address_or_fqdn_of_right_peer>
    rightid: peer_a
    rightrsasigkey: <public_key_of_right_peer>
    rightsubnet: <ip_address_of_right_peer>/32

    예제에 지정된 설정은 다음과 같습니다.

    ikev2: insist
    IKEv2 프로토콜을 IKEv1에 대체하지 않고 허용된 유일한 프로토콜로 정의합니다. 이 설정은 Nmstate를 사용하여 호스트 간 구성에서 필수입니다.
    left= <ip_address_or_fqdn_of_left_peer > 및 right= <ip_address_or_fqdn_of_right_peer>
    피어의 IP 주소 또는 DNS 이름을 정의합니다.
    leftid= &lt;id>rightid= <id>
    각 피어가IKE(Internet Key Exchange) 협상 프로세스 중에 식별되는 방법을 정의합니다. IP 주소 또는 리터럴 문자열일 수 있습니다. NetworkManager는 IP 주소가 아닌 모든 값을 리터럴 문자열로 해석하고 내부적으로 선행 @ 기호를 추가합니다. 이를 위해서는 Libreswan 피어도 ID 또는 인증에 실패로 리터럴 문자열을 사용해야 합니다.
    leftrsasigkey= <public_key > 및 rightrsasigkey= <public_key>
    피어의 공개 키를 지정합니다. 이전 단계에서 ipsec showhostkey 명령으로 표시되는 값을 사용합니다.
    leftmodecfgclient: false
    이 호스트에서 동적 구성을 비활성화합니다. 이 설정은 Nmstate를 사용하여 호스트 간 구성에서 필수입니다.
    rightsubnet: <ip_address_of_right_peer>/32
    호스트가 이 피어에만 액세스할 수 있도록 정의합니다. 이 설정은 Nmstate를 사용하여 호스트 간 구성에서 필수입니다.

  6. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/ipsec-host-to-host-rsa-auth.yml

검증

  • IPsec 상태를 표시합니다. 

    # ipsec status

    연결이 성공적으로 설정된 경우 출력에는 다음과 같은 행이 포함됩니다.

    • 인터넷 키 교환 버전 2(IKEv2) 협상의 1단계가 성공적으로 완료되었습니다. 

      000 #1: "<connection_name>":500 STATE_V2_ESTABLISHED_IKE_SA (established IKE SA); REKEY in 27935s; REPLACE in 28610s; newest; idle;

      보안 연계(SA)는 이제 자식 SA 또는 2단계 SA로 알려진 실제 데이터 암호화 터널을 협상할 준비가 되었습니다.

    • 하위 SA가 설정되었습니다. 

      000 #2: "<connection_name>":500 STATE_V2_ESTABLISHED_CHILD_SA (established Child SA); REKEY in 27671s; REPLACE in 28610s; IKE SA #1; idle;

      데이터 트래픽이 통과하는 실제 터널입니다.

문제 해결

  • NetworkManager가 Libreswan에 전달하는 실제 구성을 표시하려면 다음을 입력합니다. 

    # nmcli connection export <connection_name>

    출력은 원격 호스트의 Libreswan 구성과 비교할 때 ID 및 키와 같은 편차하는 설정을 식별하는 데 도움이 될 수 있습니다.

다음 단계

선언적 Nmstate API를 사용하여 두 개의 개별 네트워크 간에 사이트 간 VPN을 구성하여 비보안 네트워크에서 원활하게 연결할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

게이트웨이 장치를 인증하기 위해 대칭 암호화가 공유 보안의 위험을 제거하기 때문에 RSA 키는 PSK(사전 공유 키)보다 안전합니다. RSA 키를 사용하면 강력한 피어 투 피어 인증을 제공하면서 CA(인증 기관)의 필요성을 방지하여 배포가 간소화됩니다.

참고

일반적으로 왼쪽오른쪽 이라는 이름의 호스트는 임의의 값입니다. 그러나 NetworkManager는 항상 로컬 호스트에 왼쪽 이라는 용어를 사용하고 원격 호스트에는 right 을 사용합니다.

사전 요구 사항

  • 원격 게이트웨이는 Libreswan IPsec을 실행하고 사이트 간 연결을 위해 준비되었습니다.

    NetworkManager-libreswan 플러그인의 설계로 인해 Nmstate는 동일한 연결에 이 플러그인을 사용하는 다른 피어와 통신할 수 없습니다.

프로세스

  1. Libreswan이 아직 설치되지 않은 경우 다음 단계를 수행합니다.

    1. 필수 패키지를 설치합니다. 

      # dnf install nmstate libreswan NetworkManager-libreswan

    2. NetworkManager 서비스를 다시 시작하십시오. 

      # systemctl restart NetworkManager

    3. NSS(Network Security Services) 데이터베이스를 초기화합니다. 

      # ipsec initnss

      이 명령은 /var/lib/ipsec/nss/ 디렉터리에 데이터베이스를 생성합니다.

    4. 방화벽에서 IPsec 포트 및 프로토콜을 엽니다. 

      # firewall-cmd --permanent --add-service="ipsec"
# firewall-cmd --reload

  2. RSA 키 쌍을 생성합니다. 

    # ipsec newhostkey

    ipsec 유틸리티는 키 쌍을 NSS 데이터베이스에 저장합니다.

  3. 왼쪽 및 오른쪽 피어 모두에서 인증서 키 속성 ID(CKAID)를 표시합니다. 

    # ipsec showhostkey --list
< 1> RSA keyid: <key_id> ckaid: <ckaid>

    다음 단계에서 두 피어의 CKAID가 필요합니다.

  4. 공개 키를 표시합니다.

    1. 왼쪽 피어에서 다음을 입력합니다. 

      # ipsec showhostkey --left --ckaid <ckaid_of_left_peer>
        # rsakey AwEAAdKCx
        leftrsasigkey=0sAwEAAdKCxpc9db48cehzQiQD...

    2. 오른쪽 피어에서 다음을 입력합니다. 

      # ipsec showhostkey --right --ckaid <ckaid_of_right_peer>
        # rsakey AwEAAcNWC
        rightrsasigkey=0sAwEAAcNWCzZO+PR1j8WbO8X...

    명령은 구성 파일에서 사용해야 하는 해당 매개 변수가 있는 공개 키를 표시합니다.

  5. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/ipsec-site-to-site-rsa-auth.yml )을 생성합니다. 

    ---
interfaces:
- name: '<connection_name>'
  type: ipsec
  libreswan:
    ikev2: insist

    left: <ip_address_or_fqdn_of_left_peer>
    leftid: peer_b
    leftrsasigkey: <public_key_of_left_peer>
    leftmodecfgclient: false
    leftsubnet: 198.51.100.0/24

    right: <ip_address_or_fqdn_of_right_peer>
    rightid: peer_a
    rightrsasigkey: <public_key_of_right_peer>
    rightsubnet: 192.0.2.0/24

    예제에 지정된 설정은 다음과 같습니다.

    ikev2: insist
    IKEv2 프로토콜을 IKEv1에 대체하지 않고 허용된 유일한 프로토콜로 정의합니다. 이 설정은 Nmstate를 사용하여 사이트 간 구성에서 필수입니다.
    left= <ip_address_or_fqdn_of_left_peer > 및 right= <ip_address_or_fqdn_of_right_peer>
    피어의 IP 주소 또는 DNS 이름을 정의합니다.
    leftid= &lt;id>rightid= <id>
    각 피어가IKE(Internet Key Exchange) 협상 프로세스 중에 식별되는 방법을 정의합니다. IP 주소 또는 리터럴 문자열일 수 있습니다. NetworkManager는 IP 주소가 아닌 모든 값을 리터럴 문자열로 해석하고 내부적으로 선행 @ 기호를 추가합니다. 이를 위해서는 Libreswan 피어도 ID 또는 인증에 실패로 리터럴 문자열을 사용해야 합니다.
    leftrsasigkey= <public_key > 및 rightrsasigkey= <public_key>
    피어의 공개 키를 지정합니다. 이전 단계에서 ipsec showhostkey 명령으로 표시되는 값을 사용합니다.
    leftmodecfgclient: false
    이 호스트에서 동적 구성을 비활성화합니다. 이 설정은 Nmstate를 사용하여 사이트 간 구성에서 필수입니다.
    leftsubnet= &lt;subnet>rightsubnet= <subnet>
    터널을 통해 연결된 CIDR(Classless inter-domain routing) 형식으로 서브넷을 정의합니다.

  6. 패킷 전달을 활성화합니다. 

    # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
# sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf

  7. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/ipsec-site-to-site-rsa-auth.yml

검증

  1. IPsec 상태를 표시합니다. 

    # ipsec status

    연결이 성공적으로 설정된 경우 출력에는 다음과 같은 행이 포함됩니다.

    • 인터넷 키 교환 버전 2(IKEv2) 협상의 1단계가 성공적으로 완료되었습니다. 

      000 #1: "<connection_name>":500 STATE_V2_ESTABLISHED_IKE_SA (established IKE SA); REKEY in 27935s; REPLACE in 28610s; newest; idle;

      보안 연계(SA)는 이제 자식 SA 또는 2단계 SA로 알려진 실제 데이터 암호화 터널을 협상할 준비가 되었습니다.

    • 하위 SA가 설정되었습니다. 

      000 #2: "<connection_name>":500 STATE_V2_ESTABLISHED_CHILD_SA (established Child SA); REKEY in 27671s; REPLACE in 28610s; IKE SA #1; idle;

      데이터 트래픽이 통과하는 실제 터널입니다.

  2. 로컬 서브넷의 클라이언트에서 원격 서브넷의 클라이언트를 ping합니다.

문제 해결

  • NetworkManager가 Libreswan에 전달하는 실제 구성을 표시하려면 다음을 입력합니다. 

    # nmcli connection export <connection_name>

    출력은 원격 호스트의 Libreswan 구성과 비교할 때 ID 및 키와 같은 편차하는 설정을 식별하는 데 도움이 될 수 있습니다.

다음 단계

원격 사설 네트워크의 리소스에 액세스하려면 먼저 IPsec VPN 연결을 구성해야 합니다. Nmstate를 사용하면 선언적 API를 사용하여 기존 Libreswan IPsec 게이트웨이와의 연결을 생성할 수 있습니다.

참고

일반적으로 왼쪽오른쪽 이라는 이름의 호스트는 임의의 값입니다. 그러나 NetworkManager는 항상 로컬 호스트에 왼쪽 이라는 용어를 사용하고 원격 호스트에는 right 을 사용합니다.

사전 요구 사항

  • 원격 게이트웨이는 Libreswan IPsec을 실행하며 인증서 기반 인증을 사용한 호스트 간 연결을 위해 준비되었습니다.

    NetworkManager-libreswan 플러그인의 설계로 인해 Nmstate는 동일한 연결에 이 플러그인을 사용하는 다른 피어와 통신할 수 없습니다.

  • PKCS#12 파일 ~/file.p12 는 다음 콘텐츠가 있는 클라이언트에 있습니다.

    • 사용자의 개인 키
    • 사용자 인증서
    • CA 인증서
    • 필요한 경우 중간 인증서

    개인 키 및 CSR(인증서 서명 요청) 생성 및 CA에서 인증서를 요청하는 방법에 대한 자세한 내용은 CA 설명서를 참조하십시오.

  • 인증서의 확장 키 사용량(EKU)은 TLS 웹 클라이언트 인증으로 설정됩니다.

프로세스

  1. Libreswan이 아직 설치되지 않은 경우:

    1. 필수 패키지를 설치합니다. 

      # dnf install nmstate libreswan NetworkManager-libreswan

    2. NetworkManager 서비스를 다시 시작하십시오. 

      # systemctl restart NetworkManager

    3. NSS(Network Security Services) 데이터베이스를 초기화합니다. 

      # ipsec initnss

      이 명령은 /var/lib/ipsec/nss/ 디렉터리에 데이터베이스를 생성합니다.

    4. 방화벽에서 IPsec 포트 및 프로토콜을 엽니다. 

      # firewall-cmd --permanent --add-service="ipsec"
# firewall-cmd --reload

  2. PKCS #12 파일을 NSS 데이터베이스로 가져옵니다. 

    # ipsec import ~/file.p12
Enter password for PKCS12 file: <password>
pk12util: PKCS12 IMPORT SUCCESSFUL
correcting trust bits for Example-CA

  3. 사용자 및 CA 인증서의 닉네임을 표시합니다. 

    # certutil -L -d /var/lib/ipsec/nss/
Certificate Nickname     Trust Attributes
                         SSL,S/MIME,JAR/XPI

user                     u,u,u
Example-CA               CT,,
...

    Nmstate YAML 파일에 이 정보가 필요합니다.

  4. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/ipsec-host-to-site-cert-auth.yml )을 생성합니다. 

    ---
interfaces:
- name: '<connection_name>'
  type: ipsec
  libreswan:
    ikev2: insist

    left: <ip_address_or_fqdn_of_left_peer>
    leftid: '%fromcert'
    leftcert: <user_certificate_nickname>

    right: <ip_address_or_fqdn_of_right_peer>
    rightid: '%fromcert'
    rightsubnet: 192.0.2.0/24

    예제에 지정된 설정은 다음과 같습니다.

    ikev2: insist
    IKEv2 프로토콜을 IKEv1에 대체하지 않고 허용된 유일한 프로토콜로 정의합니다. 이 설정은 Nmstate를 사용하여 호스트 간 구성에서 필수입니다.
    left= <ip_address_or_fqdn_of_left_peer > 및 right= <ip_address_or_fqdn_of_right_peer>
    피어의 IP 주소 또는 DNS 이름을 정의합니다.
    leftid=%fromcertrightid=%fromcert
    인증서의 고유 이름(DN) 필드에서 ID를 검색하도록 Libreswan을 구성합니다.
    leftcert="<server_certificate_nickname>"
    NSS 데이터베이스에 사용된 서버 인증서의 닉네임을 설정합니다.
    rightsubnet: <subnet>
    게이트웨이에 연결된 CIDR(Classless inter-domain routing) 형식으로 서브넷을 정의합니다.

  5. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/ipsec-host-to-site-cert-auth.yml

검증

  • 원격 네트워크에서 호스트에 대한 연결을 설정하거나 ping합니다.

문제 해결

  • NetworkManager가 Libreswan에 전달하는 실제 구성을 표시하려면 다음을 입력합니다. 

    # nmcli connection export <connection_name>

    출력은 원격 호스트의 Libreswan 구성과 비교할 때 ID 및 키와 같은 편차하는 설정을 식별하는 데 도움이 될 수 있습니다.

다음 단계

6.14. IPsec 구성 문제 해결
링크 복사

설정이 일치하지 않는 설정, 방화벽 규칙 및 커널 수준 오류로 인해 문제가 발생할 수 있으므로 IPsec 구성 오류를 진단하는 것은 어려울 수 있습니다. 다음 정보는 IPsec VPN 연결의 일반적인 문제를 해결하기 위한 체계적인 접근 방식을 제공합니다.

6.14.1. 기본 연결 문제
링크 복사

VPN 연결 문제는 종종 엔드포인트 간 구성이 일치하지 않기 때문에 발생합니다.

IPsec 연결이 설정되었는지 확인하려면 다음을 입력합니다. 

# ipsec trafficstatus
006 #8: "vpn.example.com"[1] 192.0.2.1, type=ESP, add_time=1595296930, inBytes=5999, outBytes=3231, id='@vpn.example.com', lease=198.51.100.1/32

성공적인 연결을 위해 명령은 연결 이름과 세부 정보가 있는 항목을 표시합니다. 출력이 비어 있으면 터널이 설정되지 않습니다.

6.14.3. 일치하지 않는 구성
링크 복사

VPN 연결은 일치하는 인터넷 키 교환(IKE) 버전, 알고리즘, IP 주소 범위 또는 PSK(사전 공유 키)로 끝점이 구성되지 않은 경우 실패합니다. 불일치를 식별하는 경우 문제를 해결하기 위해 두 끝점에 설정을 조정해야 합니다.

remote Peer Not Running IKE/IPsec

연결이 거부되면 ICMP 오류가 표시됩니다. 

# ipsec up vpn.example.com
...
000 "vpn.example.com"[1] 192.0.2.2 #16: ERROR: asynchronous network error report on wlp2s0 (192.0.2.2:500), complainant 198.51.100.1: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
일치하지 않는 IKE 알고리즘

초기 설정 중에 NO_PROPOSAL_CHOSEN 알림으로 연결이 실패합니다. 

# ipsec up vpn.example.com
...
003 "vpn.example.com"[1] 193.110.157.148 #3: dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni
일치하지 않는 IPsec 알고리즘

초기 교환 후 NO_PROPOSAL_CHOSEN 오류로 인해 연결이 실패합니다. 

# ipsec up vpn.example.com
...
182 "vpn.example.com"[1] 193.110.157.148 #5: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_256 group=MODP2048}
002 "vpn.example.com"[1] 193.110.157.148 #6: IKE_AUTH response contained the error notification NO_PROPOSAL_CHOSEN
일치하지 않는 IP 주소 범위(IKEv2)

원격 피어는 TS_UNACCEP Cryostat 오류로 응답합니다. 

# ipsec up vpn.example.com
...
1v2 "vpn.example.com" #1: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=MODP2048}
002 "vpn.example.com" #2: IKE_AUTH response contained the error notification TS_UNACCEPTABLE
일치하지 않는 IP 주소 범위(IKEv1)

빠른 모드에서 연결이 시간 초과되고 피어가 제안을 수락하지 않았음을 나타냅니다. 

# ipsec up vpn.example.com
...
031 "vpn.example.com" #2: STATE_QUICK_I1: 60 second timeout exceeded after 0 retransmits.  No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
일치하지 않는 PSK(IKEv2)

피어는 AUTHENTICATION_FAILED 오류와의 연결을 거부합니다. 

# ipsec up vpn.example.com
...
003 "vpn.example.com" #1: received Hash Payload does not match computed value
223 "vpn.example.com" #1: sending notification INVALID_HASH_INFORMATION to 192.0.2.23:500
일치하지 않는 PSK(IKEv1)

해시 페이로드가 일치하지 않으므로 IKE 메시지를 읽을 수 없게 만들고 INVALID_HASH_INFORMATION 오류가 발생합니다. 

# ipsec up vpn.example.com
...
002 "vpn.example.com" #1: IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED

6.14.4. MTU 문제
링크 복사

최대 전송 단위(MTU) 문제로 인한 간헐적인 IPsec 연결 오류를 진단합니다. 암호화는 패킷 크기를 증가시켜 패킷이 더 큰 데이터 전송에서 볼 때 종종 네트워크의 MTU를 초과할 때 조각화 및 손실될 수 있습니다.

일반적인 원인은 ping과 같은 작은 패킷(예: ping이 올바르게 작동하지만 SSH 세션과 같은 큰 패킷)이 로그인 후 정지된다는 것입니다. 문제를 해결하려면 구성 파일에 mtu=1400 옵션을 추가하여 터널의 MTU를 낮추십시오.

6.14.5. NAT 충돌
링크 복사

IPsec 호스트가 NAT 라우터 역할을 할 때 발생하는 NAT 충돌을 해결합니다. 잘못된 NAT 애플리케이션은 암호화 전에 소스 IP 주소를 변환하여 네트워크를 통해 패킷이 암호화되지 않은 상태로 전송될 수 있습니다.

예를 들어 IPsec 암호화를 적용하기 전에 패킷의 소스 IP 주소가 masquerade 규칙에 의해 변환되면 패킷의 소스 소스가 더 이상 IPsec 정책과 일치하지 않으며 Libreswan은 네트워크를 통해 암호화되지 않은 상태로 보냅니다.

이 문제를 해결하려면 NAT에서 IPsec 서브넷 간 트래픽을 제외하는 방화벽 규칙을 추가합니다. 이 규칙은 POSTROUTING 체인의 시작 부분에 삽입하여 일반 NAT 규칙보다 먼저 처리되도록 해야 합니다.

예 6.1. nftables 프레임워크 사용 방법

다음 예제에서는 nftables 를 사용하여 주소 변환에서 192.0.2.0/24와 198.51.100.0/24 서브넷 간의 트래픽을 제외하는 기본 NAT 환경을 설정합니다. 

# nft add table ip nat
# nft add chain ip nat postrouting { type nat hook postrouting priority 100 \; }
# nft add rule ip nat postrouting ip saddr 192.0.2.0/24 ip daddr 198.51.100.0/24 return

6.14.6. 커널 수준 IPsec 문제
링크 복사

VPN 터널이 설정되었지만 트래픽 흐름이 없는 경우 커널 수준 IPsec 문제를 해결합니다. 이 경우 커널의 IPsec 상태를 검사하여 터널 정책 및 암호화 키가 올바르게 설치되었는지 확인합니다.

이 프로세스에는 다음 두 가지 구성 요소를 확인하는 작업이 포함됩니다.

  • SPD(Security Policy Database): 커널에 암호화할 트래픽을 지시하는 규칙입니다.
  • 보안 연결 데이터베이스(SAD): 커널에 해당 트래픽을 암호화하는 방법을 지시하는 키입니다.

먼저 SPD에 올바른 정책이 있는지 확인합니다. 

# ip xfrm policy
src 192.0.2.1/32 dst 10.0.0.0/8
	dir out priority 666 ptype main
	tmpl src 198.51.100.13 dst 203.0.113.22
		proto esp reqid 16417 mode tunnel

출력에는 왼쪽subnet 및 rightsubnet 매개변수와 일치하는 정책이 포함되어 있어야 합니다. 트래픽에 대한 정책이 표시되지 않으면 Libreswan이 커널 규칙을 생성하지 못하고 트래픽이 암호화되지 않습니다.

정책이 존재하는 경우 SAD에 해당 키 세트가 있는지 확인합니다. 

# ip xfrm state
src 203.0.113.22 dst 198.51.100.13
	proto esp spi 0xa78b3fdb reqid 16417 mode tunnel
	auth-trunc hmac(sha1) 0x3763cd3b... 96
	enc cbc(aes) 0xd9dba399...
주의

이 명령은 개인 암호화 키를 표시합니다. 공격자가 VPN 트래픽을 해독하는 데 사용할 수 있으므로 이 출력을 공유하지 마십시오.

정책이 존재하지만 동일한 reqid 를 가진 해당 상태가 없는 경우 일반적으로 인터넷 키 교환(IKE) 협상에 실패했습니다. 두 VPN 엔드 포인트가 일련의 키에 동의할 수 없었습니다.

자세한 진단을 위해 명령 중 하나와 함께 -s 옵션을 사용합니다. 이 옵션은 커널에서 특정 규칙으로 패킷을 처리하는지 확인하는 데 도움이 될 수 있는 트래픽 카운터를 추가합니다.

6.14.7. 커널 IPsec 하위 시스템 버그
링크 복사

커널의 IPsec 하위 시스템의 결함으로 인해 IKE 데몬과 동기화가 손실될 수 있습니다. 이로 인해 협상된 보안 연결과 실제 IPsec 정책 시행 사이에 불일치가 발생하여 보안 네트워크 통신이 중단될 수 있습니다.

커널 수준 오류를 확인하려면 변환(XFRM) 통계를 표시합니다. 

# cat /proc/net/xfrm_stat

XfrmInError 와 같은 출력의 카운터 중 하나가 0이 아닌 값을 표시하는 경우 커널 하위 시스템에 문제가 있음을 나타냅니다. 이 경우 지원 케이스 를 열고 해당 IKE 로그와 함께 명령의 출력을 연결합니다.

6.14.8. Libreswan 로그 표시
링크 복사

IPsec 서비스 이벤트 및 문제를 진단하고 해결하기 위해 Libreswan 로그를 표시합니다. ipsec 서비스의 저널에 액세스하여 연결 상태 및 잠재적인 문제에 대한 통찰력을 얻습니다.

저널을 표시하려면 다음을 입력합니다. 

# journalctl -xeu ipsec

기본 로깅 수준이 충분한 세부 정보를 제공하지 않는 경우 /etc/ipsec.conf 파일의 config setup 섹션에 다음 설정을 추가하여 포괄적인 디버그 로깅을 활성화합니다. 

plutodebug=all
logfile=/var/log/pluto.log

디버그 로깅은 많은 항목을 생성할 수 있으므로 메시지를 전용 로그 파일로 리디렉션하면 journaldsystemd 서비스가 메시지를 속도가 제한되지 않을 수 있습니다.

7장. WireGuard VPN 설정
링크 복사

WireGuard는 Linux 커널에서 실행되는 고성능 VPN입니다. 최신 암호화를 사용하며 다른 많은 VPN 솔루션보다 쉽게 구성할 수 있습니다. 소규모 코드베이스는 보안을 개선하고 인증 및 암호화를 위해 SSH와 유사한 키를 사용합니다.

중요

WireGuard는 기술 프리뷰로만 제공됩니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있으며 Red Hat은 해당 기능을 프로덕션에 사용하지 않는 것이 좋습니다. 이러한 프리뷰를 통해 향후 제품 기능에 조기 액세스할 수 있어 개발 프로세스 중에 기능을 테스트하고 피드백을 제공할 수 있습니다.

기술 프리뷰 기능에 대한 지원 범위에 대한 정보는 Red Hat 고객 포털에서 기술 프리뷰 기능 지원 범위를 참조하십시오.

WireGuard VPN에 참여하는 모든 호스트는 피어입니다. 이 문서에서는 client 라는 용어를 사용하여 클라이언트가 연결하는 고정 호스트 이름 또는 IP 주소로 호스트를 설명하고 선택적으로 이 서버 를 통해 모든 트래픽을 라우팅하는 연결을 설정하는 호스트를 설명합니다.

WireGuard VPN을 설정하려면 다음 단계를 완료해야 합니다.

  1. 서버를 구성합니다.
  2. 로컬 방화벽에서 WireGuard 포트를 엽니다.
  3. 클라이언트를 구성합니다.

WireGuard는 네트워크 계층(계층 3)에서 작동합니다. 따라서 DHCP를 사용할 수 없으며 서버와 클라이언트 모두의 터널 장치에 고정 IP 주소 또는 IPv6 글로벌 주소를 할당해야 합니다.

중요

RHEL의 FIPS(Federal Information Processing Standard) 모드가 비활성화된 경우에만 WireGuard를 사용할 수 있습니다.

7.1. WireGuard에서 사용하는 프로토콜 및 프리미티브
링크 복사

WireGuard에서 사용하는 프로토콜과 프리미티브를 이해하는 것은 보안 및 신뢰성을 평가하는 데 중요합니다. 이러한 구성 요소를 알고 있으면 사용자는 시스템이 최신 및 보안 암호화 표준을 사용하는지 확인할 수 있습니다.

WireGuard는 다음 프로토콜 및 프리미티브를 사용합니다.

  • RFC7539에 설명된 대로 AEAD(관련 데이터) 구성과 함께 인증된 대칭 암호화를 사용하여 Poly1305로 인증되었습니다.
  • ECDH(Eliptic-curve Diffie-Hellman) 키 교환용 Curve25519
  • RFC7693에 설명된 대로 해시 및 키 지정 해시를 위한 BLAKE2s
  • 해시 테이블 키의 경우 SipHash24
  • RFC5869에 설명된 대로 키 파생을 위한 HKDF

WireGuard의 설계는 네트워크 라우팅을 암호화 ID와 긴밀하게 연결합니다. 이 설계를 통해 프로토콜은 나가는 트래픽과 들어오는 패킷에 대한 액세스 제어 목록 모두에 대해 라우팅 메커니즘으로 작동하여 인증된 트래픽 및 권한 있는 트래픽만 처리할 수 있습니다.

WireGuard가 네트워크 패킷을 피어로 전송하는 경우:

  1. WireGuard는 패킷에서 대상 IP를 읽고 이를 로컬 구성에서 허용되는 IP 주소 목록과 비교합니다. 피어를 찾을 수 없는 경우 WireGuard는 패킷을 삭제합니다.
  2. 피어가 유효한 경우 WireGuard는 피어의 공개 키를 사용하여 패킷을 암호화합니다.
  3. 전송 호스트는 호스트의 최신 인터넷 IP 주소를 조회하고 암호화된 패킷을 전송합니다.

WireGuard가 패킷을 수신할 때:

  1. WireGuard는 원격 호스트의 개인 키를 사용하여 패킷의 암호를 해독합니다.
  2. WireGuard는 패킷에서 내부 소스 주소를 읽고 로컬 호스트의 피어 설정에 있는 허용된 IP 주소 목록에 IP가 구성되어 있는지 여부를 조회합니다. 소스 IP가 허용 목록에 있는 경우 WireGuard는 패킷을 수락합니다. IP 주소가 목록에 없는 경우 WireGuard는 패킷을 삭제합니다.

7.3. NAT 및 방화벽 뒤에서 WireGuard 클라이언트 사용
링크 복사

WireGuard는 UDP 프로토콜을 사용하고 피어가 패킷을 전송할 때만 데이터를 전송합니다. 라우터의 상태 저장 방화벽 및 NAT(네트워크 주소 변환)는 연결을 추적하여 NAT 또는 방화벽 뒤의 피어가 패킷을 수신할 수 있도록 합니다.

연결을 활성 상태로 유지하기 위해 WireGuard는 영구 keepalive를 지원합니다. 즉, WireGuard에서 keepalive 패킷을 보내는 간격을 설정할 수 있습니다. 기본적으로 네트워크 트래픽을 줄이기 위해 영구 keep-alive 기능은 비활성화되어 있습니다. NAT가 있는 네트워크에서 클라이언트를 사용하거나 방화벽이 비활성화된 후 연결을 닫는 경우 클라이언트에서 이 기능을 활성화합니다.

참고

RHEL 웹 콘솔을 사용하여 WireGuard 연결에서는 keepalive 패킷을 구성할 수 없습니다. 이 기능을 구성하려면 nmcli 유틸리티를 사용하여 연결 프로필을 편집합니다.

7.4. WireGuard 연결에서 사용할 개인 키 및 공개 키 만들기
링크 복사

WireGuard는 base64로 인코딩된 개인 키와 공개 키를 사용하여 호스트를 서로 인증합니다. 따라서 WireGuard VPN에 참여하는 각 호스트에 키를 생성해야 합니다.

중요

보안 연결을 위해 각 호스트에 대해 서로 다른 키를 만들고 공개 키만 원격 WireGuard 호스트와 공유하도록 합니다. 이 설명서에 사용된 예제 키를 사용하지 마십시오.

RHEL 웹 콘솔을 사용하여 WireGuard VPN 연결을 만들려면 또는 웹 콘솔에서 공개 및 개인 키 쌍을 생성할 수 있습니다.

프로세스

  1. wireguard-tools 패키지를 설치합니다. 

    # dnf install wireguard-tools

  2. 개인 키와 호스트에 대한 해당 공개 키를 생성합니다. 

    # wg genkey | tee /etc/wireguard/$HOSTNAME.private.key | wg pubkey > /etc/wireguard/$HOSTNAME.public.key

    키 파일의 콘텐츠가 필요하지만 파일 자체는 필요하지 않습니다. 그러나 향후 키를 기억할 필요가 있는 경우 파일을 보관할 것을 권장합니다.

  3. 키 파일에 대한 보안 권한을 설정합니다. 

    # chmod 600 /etc/wireguard/$HOSTNAME.private.key /etc/wireguard/$HOSTNAME.public.key

  4. 개인 키를 표시합니다. 

    # cat /etc/wireguard/$HOSTNAME.private.key
YFAnE0psgIdiAF7XR4abxiwVRnlMfeltxu10s/c4JXg=

    로컬 호스트에서 WireGuard 연결을 구성하려면 개인 키가 필요합니다. 개인 키를 공유하지 마십시오.

  5. 공개 키를 표시합니다. 

    # cat /etc/wireguard/$HOSTNAME.public.key
UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=

    원격 호스트에서 WireGuard 연결을 구성하려면 공개 키가 필요합니다.

7.5. nmcli를 사용하여 WireGuard 서버 구성
링크 복사

NetworkManager에서 연결 프로필을 생성하여 WireGuard 서버를 구성할 수 있습니다. NetworkManager가 WireGuard 연결을 관리하도록 하려면 이 방법을 사용합니다.

이 절차에서는 다음 설정을 가정합니다.

  • 서버:

    • Private key: YFAnE0psgIdiAF7XR4abxiwVRnlMfeltxu10s/c4JXg=
    • 터널 IPv4 주소: 192.0.2.1/24
    • 터널 IPv6 주소: 2001:db8:1::1/32

  • 클라이언트:

    • Public key: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
    • 터널 IPv4 주소: 192.0.2.2/24
    • 터널 IPv6 주소: 2001:db8:1::2/32

사전 요구 사항

  • 서버와 클라이언트 모두에 대해 공개 및 개인 키를 생성했습니다.

  • 다음 정보를 알고 있습니다.

    • 서버의 개인 키
    • 클라이언트의 고정 터널 IP 주소 및 서브넷 마스크
    • 클라이언트의 공개 키
    • 서버의 고정 터널 IP 주소 및 서브넷 마스크

프로세스

  1. NetworkManager WireGuard 연결 프로필을 추가합니다. 

    # nmcli connection add type wireguard con-name server-wg0 ifname wg0 autoconnect no

    이 명령은 server-wg0 이라는 프로필을 생성하고 여기에 wg0 가상 인터페이스를 할당합니다. 구성을 종료하지 않고 연결을 추가한 후 연결이 자동으로 시작되지 않도록 하려면 autoconnect 매개변수를 비활성화합니다.

  2. 서버의 터널 IPv4 주소 및 서브넷 마스크를 설정합니다. 

    # nmcli connection modify server-wg0 ipv4.method manual ipv4.addresses 192.0.2.1/24

  3. 서버의 터널 IPv6 주소 및 서브넷 마스크를 설정합니다. 

    # nmcli connection modify server-wg0 ipv6.method manual ipv6.addresses 2001:db8:1::1/32

  4. 연결 프로필에 서버의 개인 키를 추가합니다. 

    # nmcli connection modify server-wg0 wireguard.private-key "YFAnE0psgIdiAF7XR4abxiwVRnlMfeltxu10s/c4JXg="

  5. 들어오는 WireGuard 연결의 포트를 설정합니다. 

    # nmcli connection modify server-wg0 wireguard.listen-port 51820

    들어오는 WireGuard 연결을 수신하는 호스트에 항상 고정 포트 번호를 설정합니다. 포트를 설정하지 않으면 WireGuard는 wg0 인터페이스를 활성화할 때마다 임의의 무료 포트를 사용합니다.

  6. 이 서버와 통신할 수 있도록 허용할 각 클라이언트에 대해 피어 구성을 추가합니다. nmcli 유틸리티는 해당 연결 속성 설정을 지원하지 않으므로 이러한 설정을 수동으로 추가해야 합니다.

    1. /etc/NetworkManager/system-connections/server-wg0.nmconnection 파일을 편집하고 추가합니다. 

      [wireguard-peer.bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=]
allowed-ips=192.0.2.2;2001:db8:1::2;
      • [wireguard-peer. <public_key_of_the_client>] 항목은 클라이언트의 피어 섹션을 정의하고 섹션 이름은 클라이언트의 공개 키를 포함합니다.

      • allowed-ips 매개변수는 이 서버에 데이터를 전송할 수 있는 클라이언트의 터널 IP 주소를 설정합니다.

        각 클라이언트에 대한 섹션을 추가합니다.

    2. server-wg0 연결 프로필을 다시 로드합니다. 

      # nmcli connection load /etc/NetworkManager/system-connections/server-wg0.nmconnection

  7. 선택 사항: 연결을 자동으로 시작하도록 구성합니다. 

    # nmcli connection modify server-wg0 autoconnect yes

  8. server-wg0 연결을 다시 활성화합니다. 

    # nmcli connection up server-wg0
  9. DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.

다음 단계

검증

  1. wg0 장치의 인터페이스 구성을 표시합니다. 

    # wg show wg0
interface: wg0
  public key: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
  private key: (hidden)
  listening port: 51820

peer: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
  allowed ips: 192.0.2.2/32, 2001:db8:1::2/128

    출력에 개인 키를 표시하려면 WG_HIDE_KEYS=never show wg0 명령을 사용합니다.

  2. wg0 장치의 IP 구성을 표시합니다. 

    # ip address show wg0
20: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute wg0
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::1/32 scope global noprefixroute
       valid_lft forever preferred_lft forever
    inet6 fe80::3ef:8863:1ce2:844/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

7.6. nmtui를 사용하여 WireGuard 서버 구성
링크 복사

NetworkManager에서 연결 프로필을 생성하여 WireGuard 서버를 구성할 수 있습니다. NetworkManager가 WireGuard 연결을 관리하도록 하려면 이 방법을 사용합니다.

이 절차에서는 다음 설정을 가정합니다.

  • 서버:

    • Private key: YFAnE0psgIdiAF7XR4abxiwVRnlMfeltxu10s/c4JXg=
    • 터널 IPv4 주소: 192.0.2.1/24
    • 터널 IPv6 주소: 2001:db8:1::1/32

  • 클라이언트:

    • Public key: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
    • 터널 IPv4 주소: 192.0.2.2/24
    • 터널 IPv6 주소: 2001:db8:1::2/32

사전 요구 사항

  • 서버와 클라이언트 모두에 대해 공개 및 개인 키를 생성했습니다.

  • 다음 정보를 알고 있습니다.

    • 서버의 개인 키
    • 클라이언트의 고정 터널 IP 주소 및 서브넷 마스크
    • 클라이언트의 공개 키
    • 서버의 고정 터널 IP 주소 및 서브넷 마스크
  • NetworkManager-tui 패키지가 설치되어 있어야 합니다.

프로세스

  1. nmtui 애플리케이션을 시작합니다. 

    # nmtui
  2. Edit a connection 을 선택하고 Enter 를 누릅니다.
  3. 추가를 선택하고 Enter 를 누릅니다.
  4. 목록에서 WireGuard 연결 유형을 선택하고 Enter 키를 누릅니다.

  5. 연결 편집 창에서 다음을 수행합니다.

    1. NetworkManager가 연결에 할당해야 하는 연결의 이름과 wg0 과 같은 가상 인터페이스를 입력합니다.
    2. 서버의 개인 키를 입력합니다.

    3. 들어오는 WireGuard 연결에 대해 51820 과 같은 수신 포트 번호를 설정합니다.

      들어오는 WireGuard 연결을 수신하는 호스트에 항상 고정 포트 번호를 설정합니다. 포트를 설정하지 않으면 WireGuard는 인터페이스를 활성화할 때마다 임의의 무료 포트를 사용합니다.

      nmtui WireGuard server general

    4. 피어 창 옆에 있는 추가 클릭합니다.

      1. 클라이언트의 공개 키를 입력합니다.
      2. Allowed IPs 필드를 이 서버에 데이터를 보낼 수 있는 클라이언트의 터널 IP 주소로 설정합니다.

      3. OK 를 선택하고 Enter 를 누릅니다.

        nmtui WireGuard 서버 피어 구성

    5. *IPv4 구성 옆에 있는 표시 를 선택하고 Enter 를 누릅니다.

      1. IPv4 구성 방법 수동 을 선택합니다.
      2. 터널 IPv4 주소와 서브넷 마스크를 입력합니다. Gateway 필드를 비워 둡니다.

    6. IPv6 구성 옆에 있는 표시 를 선택하고 Enter 를 누릅니다.

      1. IPv6 구성 방법 수동 을 선택합니다.
      2. 터널 IPv6 주소 및 서브넷 마스크를 입력합니다. Gateway 필드를 비워 둡니다.

    7. 확인을 선택하고 Enter를 누릅니다.

      nmtui WireGuard server ip config
  6. 연결 목록이 있는 창에서 뒤로 를 선택하고 Enter 를 누릅니다.
  7. NetworkManager TUI 메인 창에서 Quit 를 선택하고 Enter 를 누릅니다.
  8. DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.

다음 단계

검증

  1. wg0 장치의 인터페이스 구성을 표시합니다. 

    # wg show wg0
interface: wg0
  public key: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
  private key: (hidden)
  listening port: 51820

peer: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
  allowed ips: 192.0.2.2/32, 2001:db8:1::2/128

    출력에 개인 키를 표시하려면 WG_HIDE_KEYS=never show wg0 명령을 사용합니다.

  2. wg0 장치의 IP 구성을 표시합니다. 

    # ip address show wg0
20: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute wg0
       valid_lft forever preferred_lft forever
    inet6 _2001:db8:1::1/32 scope global noprefixroute
       valid_lft forever preferred_lft forever
    inet6 fe80::3ef:8863:1ce2:844/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

7.7. RHEL 웹 콘솔을 사용하여 WireGuard 서버 구성
링크 복사

브라우저 기반 RHEL 웹 콘솔을 사용하여 WireGuard 서버를 구성할 수 있습니다. NetworkManager가 WireGuard 연결을 관리하도록 하려면 이 방법을 사용합니다.

사전 요구 사항

  • RHEL 웹 콘솔에 로그인되어 있습니다.

  • 다음 정보를 알고 있습니다.

    • 서버와 클라이언트의 고정 터널 IP 주소 및 서브넷 마스크
    • 클라이언트의 공개 키

프로세스

  1. 화면 왼쪽의 탐색에서 네트워킹 탭을 선택합니다.
  2. 인터페이스 섹션에서 VPN 추가 를 클릭합니다.
  3. wireguard-toolssystemd-resolved 패키지가 아직 설치되지 않은 경우 웹 콘솔에 해당 알림이 표시됩니다. 설치를 클릭하여 이러한 패키지를 설치합니다.
  4. 만들려는 WireGuard 장치의 이름을 입력합니다.

  5. 이 호스트의 키 쌍을 구성합니다.

    • 웹 콘솔에서 생성한 키를 사용하려면 다음을 수행합니다.

      1. 개인 키 영역에서 사전 선택한 Generated 옵션을 유지합니다.
      2. 공개 키 값을 기록합니다. 클라이언트를 구성할 때 이 정보가 필요합니다.

    • 기존 개인 키를 사용하려는 경우:

      1. 개인 키 영역에서 기존 키 입력을 선택합니다.
      2. 개인 키를 텍스트 필드에 붙여넣습니다. 웹 콘솔은 해당 공개 키를 자동으로 계산합니다.

  6. 들어오는 WireGuard 연결에 대해 51820 과 같은 수신 포트 번호를 설정합니다.

    들어오는 WireGuard 연결을 수신하는 호스트에 항상 고정 포트 번호를 설정합니다. 포트를 설정하지 않으면 WireGuard는 인터페이스를 활성화할 때마다 임의의 무료 포트를 사용합니다.

  7. 서버의 터널 IPv4 주소 및 서브넷 마스크를 설정합니다.

    IPv6 주소도 설정하려면 연결을 생성한 후 편집해야 합니다.

  8. 이 서버와 통신할 수 있도록 허용할 각 클라이언트에 대해 피어 구성을 추가합니다.

    1. 피어 추가를 클릭합니다.
    2. 클라이언트의 공개 키를 입력합니다.
    3. Endpoint 필드를 비워 둡니다.
    4. Allowed IPs 필드를 이 서버에 데이터를 보낼 수 있는 클라이언트의 터널 IP 주소로 설정합니다.
    WireGuard 서버 설정
  9. 추가 를 클릭하여 WireGuard 연결을 만듭니다.

  10. 터널 IPv6 주소도 설정하려면 다음을 수행합니다.

    1. 인터페이스 섹션에서 WireGuard 연결의 이름을 클릭합니다.
    2. IPv6 옆에 있는 편집을 클릭합니다.
    3. Address 필드를 Manual 로 설정하고 터널 IPv6 주소 및 서버 접두사를 입력합니다.
    4. 저장을 클릭합니다.
  11. DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.

검증

  1. wg0 장치의 인터페이스 구성을 표시합니다. 

    # wg show wg0
interface: wg0
  public key: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
  private key: (hidden)
  listening port: 51820

peer: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
  allowed ips: 192.0.2.2/32, 2001:db8:1::2/128

    출력에 개인 키를 표시하려면 WG_HIDE_KEYS=never show wg0 명령을 사용합니다.

  2. wg0 장치의 IP 구성을 표시합니다. 

    # ip address show wg0
20: wg0: <POINTOPOINT,NOARP,UP,LOWERUP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute wg0
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::1/32 scope global noprefixroute
       valid_lft forever preferred_lft forever
    inet6 fe80::3ef:8863:1ce2:844/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

7.8. 명령줄을 사용하여 WireGuard 서버에서 firewalld 구성
링크 복사

클라이언트에서 들어오는 연결을 허용하도록 WireGuard 서버에서 firewalld 서비스를 구성합니다. 클라이언트가 서버를 기본 게이트웨이로 사용하고 모든 트래픽을 터널을 통해 라우팅해야 하는 경우 masquerading도 활성화합니다.

프로세스

  1. firewalld 서비스에서 들어오는 연결을 위해 WireGuard 포트를 엽니다. 

    # firewall-cmd --permanent --add-port=51820/udp --zone=public

  2. 클라이언트가 터널을 통해 모든 트래픽을 라우팅하고 WireGuard 서버를 기본 게이트웨이로 사용해야 하는 경우 퍼블릭 영역에 대해 마스커레이딩을 활성화합니다. 

    # firewall-cmd --permanent --zone=public --add-masquerade

  3. firewalld 규칙을 다시 로드합니다. 

    # firewall-cmd --reload

검증

  • 공용 영역의 구성을 표시합니다. 

    # firewall-cmd --list-all
public (active)
  ...
  ports: 51820/udp
  masquerade: yes
  ...

7.9. RHEL 웹 콘솔을 사용하여 WireGuard 서버에서 firewalld 구성
링크 복사

클라이언트에서 들어오는 연결을 허용하도록 WireGuard 서버에서 firewalld 서비스를 구성합니다. 클라이언트가 서버를 기본 게이트웨이로 사용하고 모든 트래픽을 터널을 통해 라우팅해야 하는 경우 masquerading도 활성화합니다.

사전 요구 사항

  • RHEL 웹 콘솔에 로그인되어 있습니다.

프로세스

  1. 화면 왼쪽의 탐색에서 네트워킹 탭을 선택합니다.
  2. 방화벽 섹션에서 규칙 및 영역 편집을 클릭합니다.
  3. 서비스 추가를 클릭합니다.
  4. Filter services (필터 서비스) 필드에 fr guard 를 입력합니다.

  5. 목록에서 wireguard 항목을 선택합니다.

    WireGuard 서버에 대한 firewalld 설정
  6. 서비스 추가를 클릭합니다.

  7. 클라이언트가 터널을 통해 모든 트래픽을 라우팅하고 WireGuard 서버를 기본 게이트웨이로 사용해야 하는 경우 퍼블릭 영역에 대해 마스커레이딩을 활성화합니다. 

    # firewall-cmd --permanent --zone=public --add-masquerade
# firewall-cmd --reload

    웹 콘솔의 firewalld 영역에서 마스커레이딩을 활성화할 수 없습니다.

검증

  1. 화면 왼쪽의 탐색에서 네트워킹 탭을 선택합니다.
  2. 방화벽 섹션에서 규칙 및 영역 편집을 클릭합니다.
  3. 목록에는 wireguard 서비스에 대한 항목이 포함되어 있으며 WireGuard 연결 프로필에서 구성한 UDP 포트를 표시합니다.

  4. firewalld공개 영역에서 마스커레이딩이 활성화되었는지 확인하려면 다음을 입력합니다. 

    # firewall-cmd --list-all --zone=public
public (active)
  ...
  services: ... wireguard
  ports:
  forward: yes
  masquerade: yes
  ...

7.10. nmcli를 사용하여 WireGuard 클라이언트 구성
링크 복사

NetworkManager에서 연결 프로필을 생성하여 WireGuard 클라이언트를 구성할 수 있습니다. NetworkManager가 WireGuard 연결을 관리하도록 하려면 이 방법을 사용합니다.

이 절차에서는 다음 설정을 가정합니다.

  • 클라이언트:

    • Private key: aPUcp5vHz8yMLrzk8SsDyYnV33IhE/k20e52iKJFV0A=
    • 터널 IPv4 주소: 192.0.2.2/24
    • 터널 IPv6 주소: 2001:db8:1::2/32

  • 서버:

    • Public key: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
    • 터널 IPv4 주소: 192.0.2.1/24
    • 터널 IPv6 주소: 2001:db8:1::1/32

사전 요구 사항

  • 서버와 클라이언트 모두에 대해 공개 및 개인 키를 생성했습니다.

  • 다음 정보를 알고 있습니다.

    • 클라이언트의 개인 키
    • 클라이언트의 고정 터널 IP 주소 및 서브넷 마스크
    • 서버의 공개 키
    • 서버의 고정 터널 IP 주소 및 서브넷 마스크

프로세스

  1. NetworkManager WireGuard 연결 프로필을 추가합니다. 

    # nmcli connection add type wireguard con-name client-wg0 ifname wg0

    이 명령은 client-wg0 이라는 프로필을 생성하고 여기에 wg0 가상 인터페이스를 할당합니다.

  2. 선택 사항: client-wg 연결을 자동으로 시작하지 않도록 NetworkManager를 구성합니다. 

    # nmcli connection modify client-wg0 autoconnect no

  3. 클라이언트의 터널 IPv4 주소 및 서브넷 마스크를 설정합니다. 

    # nmcli connection modify client-wg0 ipv4.method manual ipv4.addresses 192.0.2.2/24

  4. 클라이언트의 터널 IPv6 주소 및 서브넷 마스크를 설정합니다. 

    # nmcli connection modify client-wg0 ipv6.method manual ipv6.addresses 2001:db8:1::2/32

  5. 터널을 통해 모든 트래픽을 라우팅하려면 서버의 터널 IP 주소를 기본 게이트웨이로 설정합니다. 

    # nmcli connection modify client-wg0 ipv4.gateway 192.0.2.1 ipv6.gateway 2001:db8:1::1

    터널을 통해 모든 트래픽을 라우팅하려면 이후 단계에서 이 클라이언트의 allowed-ips0.0.0.0/0;::/0 으로 설정해야 합니다.

    터널을 통해 모든 트래픽을 라우팅하면 서버 라우팅 및 방화벽 구성을 기반으로 다른 호스트에 대한 연결에 영향을 줄 수 있습니다.

  6. 연결 프로필에 클라이언트의 개인 키를 추가합니다. 

    # nmcli connection modify client-wg0 wireguard.private-key "aPUcp5vHz8yMLrzk8SsDyYnV33IhE/k20e52iKJFV0A="

  7. 이 클라이언트와 통신할 수 있도록 허용할 각 서버에 대해 피어 구성을 추가합니다. nmcli 유틸리티는 해당 연결 속성 설정을 지원하지 않으므로 이러한 설정을 수동으로 추가해야 합니다.

    1. /etc/NetworkManager/system-connections/client-wg0.nmconnection 파일을 편집하고 추가합니다. 

      [wireguard-peer.UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=]
endpoint=server.example.com:51820
allowed-ips=192.0.2.1;2001:db8:1::1;
persistent-keepalive=20
      • [wireguard-peer. <public_key_of_the_server>] 항목은 서버의 피어 섹션을 정의하고 섹션 이름에 서버의 공개 키가 있습니다.
      • endpoint 매개 변수는 서버의 호스트 이름 또는 IP 주소와 포트를 설정합니다. 클라이언트는 이 정보를 사용하여 연결을 설정합니다.

      • allowed-ips 매개변수는 이 클라이언트에 데이터를 전송할 수 있는 IP 주소 목록을 설정합니다. 예를 들어 매개변수를 다음과 같이 설정합니다.

        • 서버가 이 클라이언트와 통신할 수 있도록 허용하도록 서버의 터널 IP 주소입니다. 위 예제의 값은 이 시나리오를 구성합니다.
        • 0.0.0.0/0;::/0; 원격 IPv4 및 IPv6 주소가 이 클라이언트와 통신할 수 있도록 합니다. 이 설정을 사용하여 터널을 통해 모든 트래픽을 라우팅하고 WireGuard 서버를 기본 게이트웨이로 사용합니다.
      • 선택적 persistent-keepalive 매개변수는 WireGuard가 서버에 keepalive 패킷을 전송하는 간격을 초 단위로 정의합니다. NAT(네트워크 주소 변환)가 있는 네트워크에서 클라이언트를 사용하거나 비활성 시간이 지나면 방화벽이 UDP 연결을 종료하는 경우 이 매개변수를 설정합니다.

    2. client-wg0 연결 프로필을 다시 로드합니다. 

      # nmcli connection load /etc/NetworkManager/system-connections/client-wg0.nmconnection

  8. client-wg0 연결을 다시 활성화합니다. 

    # nmcli connection up client-wg0
  9. DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.

검증

  1. 서버의 IP 주소를 ping합니다. 

    # ping 192.0.2.1
# ping6 2001:db8:1::1

  2. wg0 장치의 인터페이스 구성을 표시합니다. 

    # wg show wg0
interface: wg0
  public key: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
  private key: (hidden)
  listening port: 51820

peer: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
  endpoint: server.example.com:51820
  allowed ips: 192.0.2.1/32, 2001:db8:1::1/128
  latest handshake: 1 minute, 41 seconds ago
  transfer: 824 B received, 1.01 KiB sent
  persistent keepalive: every 20 seconds

    출력에 개인 키를 표시하려면 WG_HIDE_KEYS=never show wg0 명령을 사용합니다.

    VPN 터널을 통해 트래픽을 이미 보낸 경우 출력에는 최신 핸드셰이크전송 항목만 있습니다.

  3. wg0 장치의 IP 구성을 표시합니다. 

    # ip address show wg0
10: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 192.0.2.2/24 brd 192.0.2.255 scope global noprefixroute wg0
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::2/32 scope global noprefixroute
       valid_lft forever preferred_lft forever
    inet6 fe80::73d9:6f51:ea6f:863e/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

7.11. nmtui를 사용하여 WireGuard 클라이언트 구성
링크 복사

NetworkManager에서 연결 프로필을 생성하여 WireGuard 클라이언트를 구성할 수 있습니다. NetworkManager가 WireGuard 연결을 관리하도록 하려면 이 방법을 사용합니다.

이 절차에서는 다음 설정을 가정합니다.

  • 클라이언트:

    • Private key: aPUcp5vHz8yMLrzk8SsDyYnV33IhE/k20e52iKJFV0A=
    • 터널 IPv4 주소: 192.0.2.2/24
    • 터널 IPv6 주소: 2001:db8:1::2/32

  • 서버:

    • Public key: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
    • 터널 IPv4 주소: 192.0.2.1/24
    • 터널 IPv6 주소: 2001:db8:1::1/32

사전 요구 사항

  • 서버와 클라이언트 모두에 대해 공개 및 개인 키를 생성했습니다.

  • 다음 정보를 알고 있습니다.

    • 클라이언트의 개인 키
    • 클라이언트의 고정 터널 IP 주소 및 서브넷 마스크
    • 서버의 공개 키
    • 서버의 고정 터널 IP 주소 및 서브넷 마스크
  • NetworkManager-tui 패키지를 설치했습니다.

프로세스

  1. nmtui 애플리케이션을 시작합니다. 

    # nmtui
  2. Edit a connection 을 선택하고 Enter 를 누릅니다.
  3. 추가를 선택하고 Enter 를 누릅니다.
  4. 목록에서 WireGuard 연결 유형을 선택하고 Enter 키를 누릅니다.

  5. 연결 편집 창에서 다음을 수행합니다.

    1. NetworkManager가 연결에 할당해야 하는 연결의 이름과 wg0 과 같은 가상 인터페이스를 입력합니다.

    2. 클라이언트의 개인 키를 입력합니다.

      nmtui WireGuard client general

    3. 피어 창 옆에 있는 추가 클릭합니다.

      1. 서버의 공개 키를 입력합니다.

      2. 허용된 IP 필드를 설정합니다. 예를 들어 다음과 같이 설정합니다.

        • 서버가 이 클라이언트와 통신할 수 있도록 허용하도록 서버의 터널 IP 주소입니다.
        • 모든 원격 IPv4 및 IPv6 주소가 이 클라이언트와 통신할 수 있는 0.0.0.0/0,::/0 입니다. 이 설정을 사용하여 터널을 통해 모든 트래픽을 라우팅하고 WireGuard 서버를 기본 게이트웨이로 사용합니다.
      3. WireGuard 서버의 호스트 이름 또는 IP 주소와 포트를 Endpoint 필드에 입력합니다. 다음 형식을 사용하십시오. < hostname_or_IP > : <port_number>
      4. 선택 사항: NAT(네트워크 주소 변환)가 있는 네트워크에서 클라이언트를 사용하거나 비활성 시간 후에 방화벽이 UDP 연결을 종료하는 경우 영구 keepalive 간격을 초 단위로 설정합니다. 이 간격으로 클라이언트는 keepalive 패킷을 서버로 보냅니다.

      5. OK 를 선택하고 Enter 를 누릅니다.

        nmtui WireGuard 클라이언트 피어 구성

    4. IPv4 구성 옆에 있는 표시 를 선택하고 Enter 를 누릅니다.

      1. IPv4 구성 방법 수동 을 선택합니다.
      2. 터널 IPv4 주소와 서브넷 마스크를 입력합니다. Gateway 필드를 비워 둡니다.

    5. IPv6 구성 옆에 있는 표시 를 선택하고 Enter 를 누릅니다.

      1. IPv6 구성 방법 수동 을 선택합니다.
      2. 터널 IPv6 주소 및 서브넷 마스크를 입력합니다. Gateway 필드를 비워 둡니다.
    6. 선택 사항: 자동으로 연결을 선택합니다.

    7. 확인을 선택하고 Enter를 누릅니다.

      nmtui WireGuard 클라이언트 ip 구성
  6. 연결 목록이 있는 창에서 뒤로 를 선택하고 Enter 를 누릅니다.
  7. NetworkManager TUI 메인 창에서 Quit 를 선택하고 Enter 를 누릅니다.
  8. DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.

검증

  1. 서버의 IP 주소를 ping합니다. 

    # ping 192.0.2.1
# ping6 2001:db8:1::1

  2. wg0 장치의 인터페이스 구성을 표시합니다. 

    # wg show wg0
interface: wg0
  public key: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
  private key: (hidden)
  listening port: 51820

peer: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
  endpoint: server.example.com:51820_
  allowed ips: 192.0.2.1/32, 2001:db8:1::1/128
  latest handshake: 1 minute, 41 seconds ago
  transfer: 824 B received, 1.01 KiB sent
  persistent keepalive: every 20 seconds

    출력에 개인 키를 표시하려면 WG_HIDE_KEYS=never show wg0 명령을 사용합니다.

    VPN 터널을 통해 트래픽을 이미 보낸 경우 출력에 최신 핸드셰이크전송 항목만 포함됩니다.

  3. wg0 장치의 IP 구성을 표시합니다. 

    # ip address show wg0
10: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 192.0.2.2/24 brd 192.0.2.255 scope global noprefixroute wg0
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::2/32 scope global noprefixroute
       valid_lft forever preferred_lft forever
    inet6 fe80::73d9:6f51:ea6f:863e/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

7.12. RHEL 웹 콘솔을 사용하여 WireGuard 클라이언트 구성
링크 복사

브라우저 기반 RHEL 웹 콘솔을 사용하여 WireGuard 클라이언트를 구성할 수 있습니다. NetworkManager가 WireGuard 연결을 관리하도록 하려면 이 방법을 사용합니다.

사전 요구 사항

  • RHEL 웹 콘솔에 로그인되어 있습니다.

  • 다음 정보를 알고 있습니다.

    • 서버와 클라이언트의 고정 터널 IP 주소 및 서브넷 마스크
    • 서버의 공개 키

프로세스

  1. 화면 왼쪽의 탐색에서 네트워킹 탭을 선택합니다.
  2. 인터페이스 섹션에서 VPN 추가 를 클릭합니다.
  3. wireguard-toolssystemd-resolved 패키지가 아직 설치되지 않은 경우 웹 콘솔에 해당 알림이 표시됩니다. 설치를 클릭하여 이러한 패키지를 설치합니다.
  4. 만들려는 WireGuard 장치의 이름을 입력합니다.

  5. 이 호스트의 키 쌍을 구성합니다.

    • 웹 콘솔에서 생성한 키를 사용하려면 다음을 수행합니다.

      1. 개인 키 영역에서 사전 선택한 Generated 옵션을 유지합니다.
      2. 공개 키 값을 기록합니다. 클라이언트를 구성할 때 이 정보가 필요합니다.

    • 기존 개인 키를 사용하려는 경우:

      1. 개인 키 영역에서 기존 키 입력을 선택합니다.
      2. 개인 키를 텍스트 필드에 붙여넣습니다. 웹 콘솔은 해당 공개 키를 자동으로 계산합니다.
  6. Listen port 필드에 0 값을 유지합니다.

  7. 클라이언트의 터널 IPv4 주소 및 서브넷 마스크를 설정합니다.

    IPv6 주소도 설정하려면 연결을 생성한 후 편집해야 합니다.

  8. 이 클라이언트와 통신할 수 있도록 허용할 서버의 피어 구성을 추가합니다.

    1. 피어 추가를 클릭합니다.
    2. 서버의 공개 키를 입력합니다.
    3. Endpoint 필드를 호스트 이름 또는 IP 주소 및 서버의 포트(예: server.example.com:51820 )로 설정합니다. 클라이언트는 이 정보를 사용하여 연결을 설정합니다.

    4. Allowed IPs 필드를 이 서버에 데이터를 보낼 수 있는 클라이언트의 터널 IP 주소로 설정합니다. 예를 들어 필드를 다음 중 하나로 설정합니다.

      • 서버가 이 클라이언트와 통신할 수 있도록 허용하도록 서버의 터널 IP 주소입니다. 아래 화면 캡처의 값은 이 시나리오를 구성합니다.
      • 모든 원격 IPv4 주소가 이 클라이언트와 통신할 수 있도록 하는 0.0.0.0/0 입니다. 이 설정을 사용하여 터널을 통해 모든 트래픽을 라우팅하고 WireGuard 서버를 기본 게이트웨이로 사용합니다.
    WireGuard 클라이언트 설정
  9. 추가 를 클릭하여 WireGuard 연결을 만듭니다.

  10. 터널 IPv6 주소도 설정하려면 다음을 수행합니다.

    1. 인터페이스 섹션에서 WireGuard 연결의 이름을 클릭합니다.
    2. IPv6 옆에 있는 편집을 클릭합니다.
    3. Address 필드를 Manual 로 설정하고 터널 IPv6 주소 및 클라이언트 접두사를 입력합니다.
    4. 저장을 클릭합니다.
  11. DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.

검증

  1. 서버의 IP 주소를 ping합니다. 

    # ping 192.0.2.1

    WireGuard는 터널을 통해 트래픽을 전송하려고 할 때 연결을 설정합니다.

  2. wg0 장치의 인터페이스 구성을 표시합니다. 

    # wg show wg0
interface: wg0
  public key: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
  private key: (hidden)
  listening port: 45513

peer: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
  endpoint: server.example.com:51820
  allowed ips: 192.0.2.1/32, 2001:db8:1::1/128
  latest handshake: 1 minute, 41 seconds ago
  transfer: 824 B received, 1.01 KiB sent
  persistent keepalive: every 20 seconds

    출력에 개인 키를 표시하려면 WG_HIDE_KEYS=never show wg0 명령을 사용합니다.

    VPN 터널을 통해 트래픽을 이미 보낸 경우 출력에는 최신 핸드셰이크전송 항목만 있습니다.

  3. wg0 장치의 IP 구성을 표시합니다. 

    # ip address show wg0
10: wg0: <POINTOPOINT,NOARP,UP,LOWERUP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 192.0.2.2/24 brd 192.0.2.255 scope global noprefixroute wg0
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::2/32 scope global noprefixroute
       valid_lft forever preferred_lft forever
    inet6 fe80::73d9:6f51:ea6f:863e/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

트래픽 리디렉션 공격으로부터 VPN 연결을 보호하려면 전용 라우팅 테이블에 할당합니다. 이렇게 하면 악의적인 네트워크 서버가 보안 터널을 우회하고 데이터 무결성을 손상시키는 것을 방지할 수 있습니다.

DHCP 서버와 SLAAC(상태 비저장 주소 자동 구성) 모두 클라이언트의 라우팅 테이블에 경로를 추가할 수 있습니다. 예를 들어 악의적인 DHCP 서버는 이 기능을 사용하여 VPN 터널 대신 물리적 인터페이스를 통해 트래픽을 리디렉션하도록 VPN 연결이 있는 호스트를 강제 수행할 수 있습니다. 이 취약점은 tunnelVision이라고도 하며 CVE-2024-3661 취약점 문서에 설명되어 있습니다.

이 취약점을 완화하기 위해 전용 라우팅 테이블에 VPN 연결을 할당할 수 있습니다. 이렇게 하면 DHCP 구성 또는 SLAAC가 VPN 터널을 위한 네트워크 패킷의 라우팅 결정을 조작하지 않습니다.

사용자 환경에 하나 이상의 조건이 적용되는 경우 단계를 따르십시오.

  • 하나 이상의 네트워크 인터페이스에서 DHCP 또는 SLAAC를 사용합니다.
  • 네트워크에서는 잘못된 DHCP 서버를 방지하는 DHCP 스누핑과 같은 메커니즘을 사용하지 않습니다.
중요

VPN을 통해 전체 트래픽을 라우팅하면 호스트가 로컬 네트워크 리소스에 액세스할 수 없습니다.

프로세스

  1. 사용할 라우팅 테이블을 결정합니다. 다음 단계는 표 75을 사용합니다. 기본적으로 RHEL은 테이블 1-254를 사용하지 않으며 이 테이블 중 하나를 사용할 수 있습니다.

  2. VPN 경로를 전용 라우팅 테이블에 배치하도록 VPN 연결 프로필을 구성합니다. 

    # nmcli connection modify <vpn_connection_profile> ipv4.route-table 75 ipv6.route-table 75

  3. 이전 명령에서 사용한 테이블에 대해 우선순위가 낮은 값을 설정합니다. 

    # nmcli connection modify <vpn_connection_profile> ipv4.routing-rules "priority 32345 from all table 75" ipv6.routing-rules "priority 32345 from all table 75"

    우선순위 값은 1에서 32766 사이의 모든 값일 수 있습니다. 값이 작을수록 우선순위가 높습니다.

  4. VPN 연결을 다시 연결합니다. 

    # nmcli connection down <vpn_connection_profile>
# nmcli connection up <vpn_connection_profile>

검증

  1. 표 75에 IPv4 경로를 표시합니다. 

    # ip route show table 75
...
192.0.2.0/24 via 192.0.2.254 dev vpn_device proto static metric 50
default dev vpn_device proto static scope link metric 50

    출력은 원격 네트워크에 대한 경로와 기본 게이트웨이가 라우팅 테이블 75에 할당되므로 모든 트래픽이 터널을 통해 라우팅되는지 확인합니다. VPN 연결 프로필에 ipv4.never-default true 를 설정하면 기본 경로가 생성되지 않으므로 이 출력에 표시되지 않습니다.

  2. 표 75에 IPv6 경로를 표시합니다. 

    # ip -6 route show table 75
...
2001:db8:1::/64 dev vpn_device proto kernel metric 50 pref medium
default dev vpn_device proto static metric 50 pref medium

    출력은 원격 네트워크에 대한 경로와 기본 게이트웨이가 라우팅 테이블 75에 할당되므로 모든 트래픽이 터널을 통해 라우팅되는지 확인합니다. VPN 연결 프로필에 ipv6.never-default true 를 설정하면 기본 경로가 생성되지 않으므로 이 출력에 표시되지 않습니다.

8장. IP 터널 구성
링크 복사

VPN과 유사하게 IP 터널은 인터넷과 같은 세 번째 네트워크를 통해 직접 연결합니다. 그러나 모든 터널 프로토콜이 암호화를 지원하는 것은 아닙니다.

터널을 설정하는 두 네트워크의 라우터에는 두 개 이상의 인터페이스가 필요합니다.

  • 로컬 네트워크에 연결된 인터페이스 한 개
  • 터널이 설정된 네트워크에 연결된 인터페이스 중 하나입니다.

터널을 설정하려면 원격 서브넷의 IP 주소가 있는 두 라우터에 가상 인터페이스를 만듭니다.

NetworkManager는 다음 IP 터널을 지원합니다.

  • GRE(Generic Routing Encapsulation)
  • IPv6(IP6GRE)를 통한 일반 라우팅 캡슐화
  • GRETAP(Generic Routing Encapsulation Terminal Access Point)
  • IPv6를 통한 일반 라우팅 캡슐화 터미널 액세스 지점(IP6GRETAP)
  • IPv4 over IPv4 (IPIP)
  • IPv4 over IPv6 (IPIP6)
  • IPv6 over IPv6 (IP6IP6)
  • 간단한 인터넷 전환 (SIT)

유형에 따라 이러한 터널은 OSI(Open Systems Interconnection) 모델의 계층 2 또는 3에서 작동합니다.

8.1. IPv4 패킷에서 IPv4 트래픽을 캡슐화하도록 IPIP 터널 구성
링크 복사

IP over IP(IPIP) 터널은 OSI 계층 3에서 작동하며 RFC 2003 에 설명된 대로 IPv4 패킷의 IPv4 트래픽을 캡슐화합니다.

중요

IPIP 터널을 통해 전송되는 데이터는 암호화되지 않습니다. 보안상의 이유로, 예를 들어 HTTPS와 같은 다른 프로토콜에 의해 이미 암호화된 데이터에 대해서만 터널을 사용하십시오.

IPIP 터널은 유니캐스트 패킷만 지원합니다. 멀티 캐스트를 지원하는 IPv4 터널이 필요한 경우 IPv4 패킷에서 계층-3 트래픽을 캡슐화하기 위해 nmcli를 사용하여 GRE 터널 구성 을 참조하십시오.

예를 들어 다음 다이어그램에 표시된 대로 두 RHEL 라우터 간에 IPIP 터널을 생성하여 인터넷을 통해 두 개의 내부 서브넷을 연결할 수 있습니다.

IPIP 터널

사전 요구 사항

  • 각 RHEL 라우터에는 로컬 서브넷에 연결된 네트워크 인터페이스가 있습니다.
  • 각 RHEL 라우터에는 인터넷에 연결된 네트워크 인터페이스가 있습니다.
  • 터널을 통해 전송하려는 트래픽은 IPv4 유니캐스트입니다.

프로세스

  1. 네트워크 A의 RHEL 라우터에서 다음을 수행합니다.

    1. tun0 이라는 IPIP 터널 인터페이스를 만듭니다. 

      # nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 remote 198.51.100.5 local 203.0.113.10

      원격로컬 매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.

    2. IPv4 주소를 tun0 장치로 설정합니다. 

      # nmcli connection modify tun0 ipv4.addresses '10.0.1.1/30'

      두 개의 사용 가능한 IP 주소가 있는 /30 서브넷으로는 터널에 충분합니다.

    3. 수동 IPv4 구성을 사용하도록 tun0 연결을 구성합니다. 

      # nmcli connection modify tun0 ipv4.method manual

    4. 트래픽을 172.16.0.0/24 네트워크로 라우팅하는 정적 경로를 라우터 B의 터널 IP로 추가합니다. 

      # nmcli connection modify tun0 +ipv4.routes "172.16.0.0/24 10.0.1.2"

    5. tun0 연결을 활성화합니다. 

      # nmcli connection up tun0

    6. 패킷 전달을 활성화합니다. 

      # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
# sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf

  2. 네트워크 B의 RHEL 라우터에서 다음을 수행합니다.

    1. tun0 이라는 IPIP 터널 인터페이스를 만듭니다. 

      # nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 remote 203.0.113.10 local 198.51.100.5

      원격로컬 매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.

    2. IPv4 주소를 tun0 장치로 설정합니다. 

      # nmcli connection modify tun0 ipv4.addresses '10.0.1.2/30'

    3. 수동 IPv4 구성을 사용하도록 tun0 연결을 구성합니다. 

      # nmcli connection modify tun0 ipv4.method manual

    4. traffic을 192.0.2.0/24 네트워크로 라우팅하는 정적 경로를 라우터 A의 터널 IP로 추가합니다. 

      # nmcli connection modify tun0 +ipv4.routes "192.0.2.0/24 10.0.1.1"

    5. tun0 연결을 활성화합니다. 

      # nmcli connection up tun0

    6. 패킷 전달을 활성화합니다. 

      # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
# sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf

검증

  • 각 RHEL 라우터에서 다른 라우터의 내부 인터페이스의 IP 주소를 ping합니다.

    1. 라우터 A에서 ping 172.16.0.1: 

      # ping 172.16.0.1

    2. 라우터 B에서 192.0.2.1 을 ping합니다. 

      # ping 192.0.2.1

8.2. IPv4 패킷에서 계층-3 트래픽을 캡슐화하도록 GRE 터널 구성
링크 복사

GRE(Generic Routing Encapsulation) 터널은 RFC 2784 에 설명된 대로 IPv4 패킷의 계층-3 트래픽을 캡슐화합니다. GRE 터널은 유효한 이더넷 유형을 사용하여 모든 계층 3 프로토콜을 캡슐화할 수 있습니다.

중요

GRE 터널을 통해 전송되는 데이터는 암호화되지 않습니다. 보안상의 이유로, 예를 들어 HTTPS와 같은 다른 프로토콜에 의해 이미 암호화된 데이터에 대해서만 터널을 사용하십시오.

예를 들어 다음 다이어그램에 표시된 대로 두 RHEL 라우터 간에 GRE 터널을 생성하여 인터넷을 통해 두 개의 내부 서브넷을 연결할 수 있습니다.

GRE 터널

사전 요구 사항

  • 각 RHEL 라우터에는 로컬 서브넷에 연결된 네트워크 인터페이스가 있습니다.
  • 각 RHEL 라우터에는 인터넷에 연결된 네트워크 인터페이스가 있습니다.

프로세스

  1. 네트워크 A의 RHEL 라우터에서 다음을 수행합니다.

    1. gre1 이라는 GRE 터널 인터페이스를 생성합니다. 

      # nmcli connection add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 remote 198.51.100.5 local 203.0.113.10

      원격로컬 매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.

      중요

      gre0 장치 이름이 예약되어 있습니다. gre1 또는 다른 이름을 장치에 사용합니다.

    2. IPv4 주소를 gre1 장치로 설정합니다. 

      # nmcli connection modify gre1 ipv4.addresses '10.0.1.1/30'

      두 개의 사용 가능한 IP 주소가 있는 /30 서브넷으로는 터널에 충분합니다.

    3. 수동 IPv4 구성을 사용하도록 gre1 연결을 구성합니다. 

      # nmcli connection modify gre1 ipv4.method manual

    4. 트래픽을 172.16.0.0/24 네트워크로 라우팅하는 정적 경로를 라우터 B의 터널 IP로 추가합니다. 

      # nmcli connection modify gre1 +ipv4.routes "172.16.0.0/24 10.0.1.2"

    5. gre1 연결을 활성화합니다. 

      # nmcli connection up gre1

    6. 패킷 전달을 활성화합니다. 

      # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
# sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf

  2. 네트워크 B의 RHEL 라우터에서 다음을 수행합니다.

    1. gre1 이라는 GRE 터널 인터페이스를 생성합니다. 

      # nmcli connection add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 remote 203.0.113.10 local 198.51.100.5

      원격로컬 매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.

    2. IPv4 주소를 gre1 장치로 설정합니다. 

      # nmcli connection modify gre1 ipv4.addresses '10.0.1.2/30'

    3. 수동 IPv4 구성을 사용하도록 gre1 연결을 구성합니다. 

      # nmcli connection modify gre1 ipv4.method manual

    4. traffic을 192.0.2.0/24 네트워크로 라우팅하는 정적 경로를 라우터 A의 터널 IP로 추가합니다. 

      # nmcli connection modify gre1 +ipv4.routes "192.0.2.0/24 10.0.1.1"

    5. gre1 연결을 활성화합니다. 

      # nmcli connection up gre1

    6. 패킷 전달을 활성화합니다. 

      # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
# sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf

검증

  1. 각 RHEL 라우터에서 다른 라우터의 내부 인터페이스의 IP 주소를 ping합니다.

    1. 라우터 A에서 ping 172.16.0.1: 

      # ping 172.16.0.1

    2. 라우터 B에서 192.0.2.1 을 ping합니다. 

      # ping 192.0.2.1

8.3. IPv4를 통해 이더넷 프레임을 전송하도록 GRETAP 터널 구성
링크 복사

GRETAP(Generic Routing Encapsulation Terminal Access Point) 터널은 OSI 수준 2에서 작동하며 RFC 2784 에 설명된 대로 IPv4 패킷으로 이더넷 트래픽을 캡슐화합니다.

중요

GRETAP 터널을 통해 전송되는 데이터는 암호화되지 않습니다. 보안상의 이유로 VPN 또는 다른 암호화된 연결을 통해 터널을 설정합니다.

예를 들어 두 RHEL 라우터 간에 GRETAP 터널을 생성하여 다음 다이어그램에 표시된 대로 브리지를 사용하여 두 네트워크를 연결할 수 있습니다.

GRETAP 터널

사전 요구 사항

  • 각 RHEL 라우터에는 로컬 네트워크에 연결된 네트워크 인터페이스가 있으며 인터페이스에는 IP 구성이 할당되지 않습니다.
  • 각 RHEL 라우터에는 인터넷에 연결된 네트워크 인터페이스가 있습니다.

프로세스

  1. 네트워크 A의 RHEL 라우터에서 다음을 수행합니다.

    1. bridge0 이라는 브리지 인터페이스를 만듭니다. 

      # nmcli connection add type bridge con-name bridge0 ifname bridge0

    2. 브리지의 IP 설정을 구성합니다. 

      # nmcli connection modify bridge0 ipv4.addresses '192.0.2.1/24'
# nmcli connection modify bridge0 ipv4.method manual

    3. 로컬 네트워크에 연결된 인터페이스에 대한 새 연결 프로필을 브리지에 추가합니다. 

      # nmcli connection add type ethernet port-type bridge con-name bridge0-port1 ifname enp1s0 controller bridge0

    4. GRETAP 터널 인터페이스의 새 연결 프로필을 브리지에 추가합니다. 

      # nmcli connection add type ip-tunnel ip-tunnel.mode gretap port-type bridge con-name bridge0-port2 ifname gretap1 remote 198.51.100.5 local 203.0.113.10 controller bridge0

      원격로컬 매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.

      중요

      gretap0 장치 이름이 예약되어 있습니다. gretap1 또는 장치에 다른 이름을 사용합니다.

    5. 선택 사항: 필요하지 않은 경우 Spanning Tree Protocol(STP)을 비활성화합니다. 

      # nmcli connection modify bridge0 bridge.stp no

      기본적으로 STP는 활성화되어 연결을 사용하기 전에 지연이 발생합니다.

    6. bridge0 연결을 활성화하여 브리지 포트를 자동으로 활성화하도록 구성합니다. 

      # nmcli connection modify bridge0 connection.autoconnect-ports 1

    7. bridge0 연결을 활성화합니다. 

      # nmcli connection up bridge0

  2. 네트워크 B의 RHEL 라우터에서 다음을 수행합니다.

    1. bridge0 이라는 브리지 인터페이스를 만듭니다. 

      # nmcli connection add type bridge con-name bridge0 ifname bridge0

    2. 브리지의 IP 설정을 구성합니다. 

      # nmcli connection modify bridge0 ipv4.addresses '192.0.2.2/24'
# nmcli connection modify bridge0 ipv4.method manual

    3. 로컬 네트워크에 연결된 인터페이스에 대한 새 연결 프로필을 브리지에 추가합니다. 

      # nmcli connection add type ethernet port-type bridge con-name bridge0-port1 ifname enp1s0 controller bridge0

    4. GRETAP 터널 인터페이스의 새 연결 프로필을 브리지에 추가합니다. 

      # nmcli connection add type ip-tunnel ip-tunnel.mode gretap port-type bridge con-name bridge0-port2 ifname gretap1 remote 203.0.113.10 local 198.51.100.5 controller bridge0

      원격로컬 매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.

    5. 선택 사항: 필요하지 않은 경우 Spanning Tree Protocol(STP)을 비활성화합니다. 

      # nmcli connection modify bridge0 bridge.stp no

    6. bridge0 연결을 활성화하여 브리지 포트를 자동으로 활성화하도록 구성합니다. 

      # nmcli connection modify bridge0 connection.autoconnect-ports 1

    7. bridge0 연결을 활성화합니다. 

      # nmcli connection up bridge0

검증

  1. 두 라우터 모두에서 enp1s0gretap1 연결이 연결되고 CONNECTION 열에 포트의 연결 이름이 표시되는지 확인합니다. 

    # nmcli device
nmcli device
DEVICE   TYPE      STATE      CONNECTION
...
bridge0  bridge    connected  bridge0
enp1s0   ethernet  connected  bridge0-port1
gretap1  iptunnel  connected  bridge0-port2

  2. 각 RHEL 라우터에서 다른 라우터의 내부 인터페이스의 IP 주소를 ping합니다.

    1. 라우터 A에서 192.0.2.2 를 ping합니다. 

      # ping 192.0.2.2

    2. 라우터 B에서 192.0.2.1 을 ping합니다. 

      # ping 192.0.2.1

9장. Cryostat 연결 관리
링크 복사

호스트에fi 어댑터가 포함되어 있는 경우, it can connect it to a internet network.

RHEL은 Cryostat 네트워크를 구성하고 연결하는 여러 유틸리티 및 애플리케이션을 제공합니다. 예를 들면 다음과 같습니다.

  • nmcli 유틸리티를 사용하여 명령줄을 사용하여 연결을 구성합니다.
  • nmtui 애플리케이션을 사용하여 텍스트 기반 사용자 인터페이스에서 연결을 구성합니다.
  • GNOME 애플리케이션을 사용하여 연결을 구성하려면 GNOME 설정 애플리케이션을 사용합니다.
  • 네트워크 RHEL 시스템 역할을 사용하여 하나 이상의 호스트에서 연결 구성을 자동화합니다.

9.1. 지원되는 Cryostat 보안 유형
링크 복사

internet 네트워크가 지원하는 보안 유형에 따라 데이터를 더 안전하게 전송할 수 있습니다.

주의

암호화를 사용하지 않거나 안전하지 않은 Cryostat 표준만 지원하는 Cryostat 네트워크에 연결하지 마십시오.

Red Hat Enterprise Linux는 다음과 같은 Cryostat 보안 유형을 지원합니다.

  • none: 암호화는 비활성화되어 있으며 데이터를 네트워크를 통해 일반 텍스트로 전송됩니다.
  • 향상된 오픈: OWE( opportunistic 무선 암호화)를 통해 장치는 인증 없이 무선 네트워크의 연결을 암호화하기 위해 고유한 PMK( pairwise master keys)를 협상합니다.
  • LEAP: Cisco에서 개발한 Lightweight Extensible Authentication Protocol은 EAP(확장된 인증 프로토콜)의 독점 버전입니다.
  • Cryostat & Cryostat2 Personal: 개인 모드에서 Wi-FiProtected Access (WPA) 및 Wi-FiProtected Access 2 (WPA2) 인증 방법은 사전 공유 키를 사용합니다.
  • Cryostat & Cryostat2 Enterprise: 엔터프라이즈 모드에서 Cryostat 및 Cryostat2는 EAP 프레임워크를 사용하고 원격 인증 전화 전화 연결(RADIUS) 서버에 사용자를 인증합니다.
  • Cryostat 3 Personal: Wi-FiProtected Access 3 (WPA3) 개인은 사전 공격을 방지하기 위해 PSK (pre-shared keys) 대신 동일한 (SAE)의 동시 인증을 사용합니다. Cryostat3는 완벽한 PFS(forward secrecy)를 사용합니다.

9.2. nmcli를 사용하여 internet network에 연결
링크 복사

먼저 nmcli 유틸리티를 사용하여 Cryostat 네트워크에 연결하면 NetworkManager 연결 프로필이 자동으로 생성됩니다. 그런 다음 이 프로필을 수정하여 고정 IP 주소와 같은 특정 설정을 추가할 수 있습니다.

사전 요구 사항

  • Cryostat 장치가 호스트에 설치되어 있습니다.
  • internet device가 활성화되어 있습니다. 확인하려면 nmcli radio 명령을 사용합니다.

프로세스

  1. NetworkManager에서 Cryostat 라디오가 비활성화된 경우 이 기능을 활성화합니다. 

    # nmcli radio wifi on

  2. 선택 사항: 사용 가능한 Cryostat 네트워크를 표시합니다. 

    # nmcli device wifi list
IN-USE  BSSID              SSID          MODE   CHAN  RATE        SIGNAL  BARS  SECURITY
        00:53:00:2F:3B:08  Office        Infra  44    270 Mbit/s  57      ▂▄▆_  WPA2 WPA3
        00:53:00:15:03:BF  --            Infra  1     130 Mbit/s  48      ▂▄__  WPA2 WPA3

    SSID(서비스 세트 식별자) 열에는 네트워크의 이름이 포함되어 있습니다. 열에 --.가 표시되면 이 네트워크의 액세스 포인트가 SSID를 브로드캐스트하지 않습니다.

  3. internet network에 연결합니다. 

    # nmcli device wifi connect Office --ask
Password: wifi-password

    대화형으로 입력하는 대신 명령에 암호를 설정하려면 --ask: 대신 명령에 < wifi_password > 옵션을 사용합니다. 

    # nmcli device wifi connect Office password <wifi_password>

    네트워크에 고정 IP 주소가 필요한 경우 이 시점에서 NetworkManager가 연결을 활성화하지 못합니다. 이후 단계에서 IP 주소를 구성할 수 있습니다.

  4. 네트워크에 고정 IP 주소가 필요한 경우:

    1. IPv4 주소 설정을 구성합니다. 예를 들면 다음과 같습니다. 

      # nmcli connection modify Office ipv4.method manual ipv4.addresses 192.0.2.1/24 ipv4.gateway 192.0.2.254 ipv4.dns 192.0.2.200 ipv4.dns-search example.com

    2. IPv6 주소 설정을 구성합니다. 예를 들면 다음과 같습니다. 

      # nmcli connection modify Office ipv6.method manual ipv6.addresses 2001:db8:1::1/64 ipv6.gateway 2001:db8:1::fffe ipv6.dns 2001:db8:1::ffbb ipv6.dns-search example.com

  5. 연결을 다시 활성화합니다. 

    # nmcli connection up Office

검증

  1. 활성 연결을 표시합니다. 

    # nmcli connection show --active
NAME    ID                                    TYPE  DEVICE
Office  2501eb7e-7b16-4dc6-97ef-7cc460139a58  wifi  wlp0s20f3

    출력에 생성된 Cryostat 연결이 나열되면 연결이 활성화됩니다.

  2. 호스트 이름 또는 IP 주소를 ping합니다. 

    # ping -c 3 example.com

9.3. GNOME 설정을 사용하여 internet network에 연결
링크 복사

gnome-control-center 라는 GNOME 설정 애플리케이션을 사용하여 Cryostat 네트워크에 연결하고 연결을 구성할 수 있습니다. 처음으로 네트워크에 연결하면 GNOME은 해당 프로필에 대한 NetworkManager 연결 프로필을 생성합니다.

GNOME 설정에서 RHEL에서 지원하는 모든 Cryostat 네트워크 보안 유형에 대한 Cryostat 연결을 구성할 수 있습니다.

사전 요구 사항

  • Cryostat 장치가 호스트에 설치되어 있습니다.
  • internet device가 활성화되어 있습니다. 확인하려면 nmcli radio 명령을 사용합니다.

프로세스

  1. Super 키를 누른 후 Wi-Fi 를 입력한 후 Enter 키를 누릅니다.
  2. 연결할 네트워크의 이름을 클릭합니다.
  3. 네트워크의 암호를 입력하고 연결을 클릭합니다.

  4. 네트워크에 고정 IP 주소 또는 Cryostat2 Personal 이외의 보안 유형과 같은 추가 설정이 필요한 경우:

    1. 네트워크 이름 옆에 있는 장비 아이콘을 클릭합니다.

    2. 선택 사항: 세부 정보 탭에서 네트워크 프로필을 자동으로 연결하지 않도록 구성합니다.

      이 기능을 비활성화하는 경우 GNOME 설정 또는 GNOME 시스템 메뉴를 사용하여 항상 네트워크에 수동으로 연결해야 합니다.

    3. IPv4 탭에서 IPv4 설정을 구성하고 IPv6 탭에서 IPv6 설정을 구성합니다.

    4. Security 탭에서 네트워크 인증(예: Cryostat 3 Personal )을 선택하고 암호를 입력합니다.

      선택한 보안에 따라 애플리케이션에 추가 필드가 표시됩니다. 그에 따라 채우십시오. 자세한 내용은 Cryostat 네트워크 관리자에게 문의하십시오.

    5. 적용을 클릭합니다.

검증

  1. 상단 표시줄 오른쪽에 있는 시스템 메뉴를 열고 Cryostat 네트워크가 연결되어 있는지 확인합니다.

    GNOME Cryostat 연결

    네트워크가 목록에 표시되면 연결됩니다.

  2. 호스트 이름 또는 IP 주소를 ping합니다. 

    # ping -c 3 example.com

9.4. nmtui를 사용하여 Cryostat 연결 구성
링크 복사

nmtui 애플리케이션은 NetworkManager에 대한 텍스트 기반 사용자 인터페이스를 제공합니다. nmtui 를 사용하여 Cryostat 네트워크에 연결할 수 있습니다.

참고

nmtui 에서:

  • 커서 키를 사용하여 이동합니다.
  • 버튼을 선택하고 Enter 키를 눌러 합니다.
  • Space 를 사용하여 확인란을 선택하고 지웁니다.
  • 이전 화면으로 돌아가려면 ESC 를 사용합니다.

프로세스

  1. start nmtui: 

    # nmtui
  2. Edit a connection 을 선택하고 Enter 를 누릅니다.
  3. Add (추가) 버튼을 누릅니다.
  4. 네트워크 유형 목록에서 Wi-Fi 를 선택하고 Enter 키를 누릅니다.

  5. 선택 사항: 생성할 NetworkManager 프로필의 이름을 입력합니다.

    프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.

  6. Wi-Fi 네트워크의 이름, 서비스 세트 식별자(SSID)를 SSID 필드에 입력합니다.
  7. Mode 필드를 기본값인 Client 로 설정된 상태로 둡니다.

  8. Security 필드를 선택하고 Enter 를 누른 다음 목록에서 네트워크의 인증 유형을 설정합니다.

    선택한 인증 유형에 따라 nmtui 는 다른 필드를 표시합니다.

  9. 인증 유형 관련 필드를 작성합니다.

  10. Wi-Fi 네트워크에 고정 IP 주소가 필요한 경우 다음을 수행합니다.

    1. 프로토콜 옆에 있는 자동 버튼을 누른 후 표시된 목록에서 Manual 을 선택합니다.
    2. 구성하려는 프로토콜 옆에 있는 Show 버튼을 눌러 추가 필드를 표시하고 채웁니다.

  11. OK 버튼을 눌러 새 연결을 만들고 자동으로 활성화합니다.

    nmtui wi fi dynamic IP
  12. 뒤로 버튼을 눌러 메인 메뉴로 돌아갑니다.
  13. Quit 를 선택하고 Enter 를 눌러 nmtui 애플리케이션을 종료합니다.

검증

  1. Open nmtui: 

    # nmcli connection show --active
NAME    ID                                    TYPE  DEVICE
Office  2501eb7e-7b16-4dc6-97ef-7cc460139a58  wifi  wlp0s20f3

    출력에 생성된 Cryostat 연결이 나열되면 연결이 활성화됩니다.

  2. 호스트 이름 또는 IP 주소를 ping합니다. 

    # ping -c 3 example.com

nmcli 유틸리티를 사용하여 네트워크에 자신을 인증하도록 클라이언트를 구성할 수 있습니다.

예를 들어 기존 NetworkManager#159 프로필에서 Microsoft Challenge-Handshake Authentication Protocol 버전 2(MSCHAPv2)를 사용하여 PEAP(Extensible Authentication Protocol) 인증을 구성할 수 있습니다.

사전 요구 사항

  • 네트워크에는 802.1X 네트워크 인증이 있어야 합니다.
  • Cryostat 연결 프로파일은 NetworkManager에 존재하며 유효한 IP 구성이 있습니다.
  • 인증자 인증서를 확인하는 데 클라이언트가 필요한 경우 CA(인증 기관) 인증서를 /etc/pki/ca-trust/source/anchors/ 디렉터리에 저장해야 합니다.
  • wpa_supplicant 패키지가 설치됩니다.

프로세스

  1. Cryostat 보안 모드를 wpa-eap 로 설정하고 EAP(Extensible Authentication Protocol)를 peap 로, 내부 인증 프로토콜을 mschapv2, 사용자 이름으로 설정합니다. 

    # nmcli connection modify wlp1s0 wireless-security.key-mgmt wpa-eap 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity <user_name>

    단일 명령으로 wireless-security.key-mgmt,802-1x.eap,802-1x.phase2-auth, 802-1x.identity 매개변수를 설정해야 합니다.

  2. 선택 사항: 암호를 구성에 저장합니다. 

    # nmcli connection modify wlp1s0 802-1x.password <password>
    중요

    기본적으로 NetworkManager는 암호를 일반 텍스트에 /etc/sysconfig/network-scripts/keys-connection_name 파일에 저장합니다. 이 파일은 root 사용자만 읽을 수 있습니다. 그러나 구성 파일의 일반 텍스트 암호는 보안 위험이 될 수 있습니다.

    보안을 강화하려면 802-1x.password-flags 매개변수를 에이전트 소유 로 설정합니다. 이 설정을 사용하면 먼저 인증 키를 잠금 해제한 후 NetworkManager가 이러한 서비스에서 암호를 검색하는 GNOME 데스크탑 환경 또는 nm-applet 이 있는 서버에서 암호를 검색합니다. 다른 경우에는 NetworkManager에서 암호를 입력하라는 메시지를 표시합니다.

  3. 클라이언트가 인증자의 인증서를 확인해야 하는 경우 연결 프로필의 802-1x.ca-cert 매개변수를 CA 인증서 경로로 설정합니다. 

    # nmcli connection modify wlp1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
    참고

    보안상의 이유로 클라이언트는 인증자의 인증서의 유효성을 검사해야 합니다.

  4. 연결 프로필을 활성화합니다. 

    # nmcli connection up wlp1s0

검증

  • 네트워크 인증이 필요한 네트워크의 리소스에 액세스합니다.

네트워크 RHEL 시스템 역할을 사용하면 원격 호스트에서 NAC(Network Access Control) 설정을 자동화할 수 있습니다. 플레이북에서 클라이언트에 대한 인증 세부 정보를 정의하여 권한이 있는 클라이언트만 네트워크에 액세스할 수 있도록 할 수 있습니다.

Ansible 플레이북을 사용하여 개인 키, 인증서 및 CA 인증서를 클라이언트에 복사한 다음 네트워크 RHEL 시스템 역할을 사용하여 802.1X 네트워크 인증으로 연결 프로필을 구성할 수 있습니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 네트워크는 802.1X 네트워크 인증을 지원합니다.
  • 관리 노드에 wpa_supplicant 패키지가 설치되어 있어야 합니다.
  • DHCP는 관리 노드의 네트워크에서 사용할 수 있습니다.

  • 제어 노드에 TLS 인증에 필요한 다음 파일이 있습니다.

    • 클라이언트 키는 /srv/data/client.key 파일에 저장됩니다.
    • 클라이언트 인증서는 /srv/data/client.crt 파일에 저장됩니다.
    • CA 인증서는 /srv/data/ca.crt 파일에 저장됩니다.

프로세스

  1. 중요한 변수를 암호화된 파일에 저장합니다.

    1. 자격 증명 모음을 생성합니다. 

      $ ansible-vault create ~/vault.yml
New Vault password: <vault_password>
Confirm New Vault password: <vault_password>

    2. ansible-vault create 명령이 편집기를 열고 < key > : < value > 형식으로 중요한 데이터를 입력합니다. 

      pwd: <password>
    3. 변경 사항을 저장하고 편집기를 종료합니다. Ansible은 자격 증명 모음의 데이터를 암호화합니다.

  2. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure a wifi connection with 802.1X authentication
  hosts: managed-node-01.example.com
  vars_files:
    - ~/vault.yml
  tasks:
    - name: Copy client key for 802.1X authentication
      ansible.builtin.copy:
        src: "/srv/data/client.key"
        dest: "/etc/pki/tls/private/client.key"
        mode: 0400

    - name: Copy client certificate for 802.1X authentication
      ansible.builtin.copy:
        src: "/srv/data/client.crt"
        dest: "/etc/pki/tls/certs/client.crt"

    - name: Copy CA certificate for 802.1X authentication
      ansible.builtin.copy:
        src: "/srv/data/ca.crt"
        dest: "/etc/pki/ca-trust/source/anchors/ca.crt"

    - name: Wifi connection profile with dynamic IP address settings and 802.1X
      ansible.builtin.import_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          - name: Wifi connection profile with dynamic IP address settings and 802.1X
            interface_name: wlp1s0
            state: up
            type: wireless
            autoconnect: yes
            ip:
              dhcp4: true
              auto6: true
            wireless:
              ssid: "Example-wifi"
              key_mgmt: "wpa-eap"
            ieee802_1x:
              identity: <user_name>
              eap: tls
              private_key: "/etc/pki/tls/private/client.key"
              private_key_password: "{{ pwd }}"
              private_key_password_flags: none
              client_cert: "/etc/pki/tls/certs/client.crt"
              ca_cert: "/etc/pki/ca-trust/source/anchors/ca.crt"
              domain_suffix_match: "example.com"
              network_allow_restart: true

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    ieee802_1x
    이 변수에는 802.1X 관련 설정이 포함되어 있습니다.
    EAP: tls
    EAP(Extensible Authentication Protocol)에 대한 인증서 기반 TLS 인증 방법을 사용하도록 프로필을 구성합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  3. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  4. Playbook을 실행합니다. 

    $ ansible-playbook --ask-vault-pass ~/playbook.yml

9.7. 무선 규제 도메인 수동 설정
링크 복사

RHEL에서 udev 규칙은 setregdomain 유틸리티를 실행하여 무선 규제 도메인을 설정합니다. 그런 다음 유틸리티는 이 정보를 커널에 제공합니다.

기본적으로 setregdomain 은 국가 코드를 자동으로 확인하려고 시도합니다. 이 오류가 발생하면 무선 규제 도메인 설정이 잘못되었을 수 있습니다. 이 문제를 해결하려면 국가 코드를 수동으로 설정할 수 있습니다.

중요

규제 도메인을 수동으로 설정하면 자동 탐지가 비활성화됩니다. 따라서 나중에 다른 국가에서 컴퓨터를 사용하는 경우 이전에 구성된 설정이 더 이상 올바르지 않을 수 있습니다. 이 경우 /etc/sysconfig/regdomain 파일을 제거하여 자동 탐지로 다시 전환하거나 이 절차를 사용하여 규제 도메인 설정을 다시 수동으로 업데이트합니다.

사전 요구 사항

  • Cryostat 장치의 드라이버는 규제 도메인 변경을 지원합니다.

프로세스

  1. 선택 사항: 현재 규제 도메인 설정을 표시합니다. 

    # iw reg get
global
country US: DFS-FCC
...

  2. 다음 콘텐츠를 사용하여 /etc/sysconfig/regdomain 파일을 만듭니다. 

    COUNTRY=<country_code>

    COUNTRY 변수를 미국 미국용 DE 또는 US 와 같은 ISO 3166-1 alpha2 국가 코드로 설정합니다.

  3. 규제 도메인을 설정합니다. 

    # setregdomain

검증

  • 규제 도메인 설정을 표시합니다. 

    # iw reg get
global
country DE: DFS-ETSI
...

MACsec은 장치 간에 지점 간 통신을 보호합니다. 예를 들어, Metro-Ethernet 연결을 통해 분기와 중앙 사무실을 연결하는 두 호스트에서 MACsec을 구성하여 보안을 강화할 수 있습니다.

10.1. MACsec을 통한 보안 향상 방법
링크 복사

MACsec(Media Access Control Security)은 모든 LAN 트래픽을 암호화하고 인증하는 계층 2 프로토콜입니다. 이는 사전 공유 키를 사용하여 연결을 설정합니다. 이 키를 변경하려면 MACsec을 사용하는 모든 호스트에서 NetworkManager 구성을 업데이트해야 합니다.

MACsec은 다음을 포함하여 이더넷 링크를 통해 다양한 트래픽 유형을 보호합니다.

  • DHCP(Dynamic Host Configuration Protocol)
  • 주소 확인 프로토콜(ARP)
  • IPv4 및 IPv6 트래픽
  • TCP 또는 UDP와 같은 IP를 통한 모든 트래픽

MACsec 연결은 이더넷 네트워크 카드, VLAN 또는 터널 장치와 같은 이더넷 장치를 상위로 사용합니다. 암호화된 연결을 사용하여 다른 호스트와만 통신하도록 MACsec 장치에서만 IP 구성을 설정하거나 상위 장치에 IP 구성을 설정할 수도 있습니다. 후자의 경우 상위 장치를 사용하여 암호화되지 않은 연결 및 암호화된 연결에 MACsec 장치를 사용하여 다른 호스트와 통신할 수 있습니다.

MACsec은 특별한 하드웨어가 필요하지 않습니다. 예를 들어 호스트와 스위치 간의 트래픽만 암호화하려는 경우를 제외하고 모든 스위치를 사용할 수 있습니다. 이 시나리오에서는 스위치도 MACsec을 지원해야 합니다.

즉, 두 가지 일반적인 시나리오에 대해 MACsec을 구성할 수 있습니다.

  • host-to-host
  • host-to-switch 및 switch-to-other-hosts
중요

MACsec은 동일한 물리적 LAN 또는 가상 LAN에 있는 호스트 간에만 사용할 수 있습니다.

OSI(Open Systems Interconnection) 모델의 계층 2라고도 하는 링크 계층에서 통신 보안을 위해 MACsec 보안 표준을 사용하면 다음과 같은 주요 이점이 있습니다.

  • 계층 2에서 암호화하면 계층 7에서 개별 서비스를 암호화할 필요가 없습니다. 이렇게 하면 각 호스트의 각 끝점에 대해 많은 수의 인증서를 관리하는 것과 관련된 오버헤드가 줄어듭니다.
  • 라우터 및 스위치와 같이 직접 연결된 네트워크 장치 간의 지점 간 보안입니다.
  • 애플리케이션 및 상위 계층 프로토콜에 필요한 변경 사항이 없습니다.

10.2. nmcli를 사용하여 MACsec 연결 구성
링크 복사

nmcli 유틸리티를 사용하여 MACsec을 사용하도록 이더넷 인터페이스를 구성할 수 있습니다. 예를 들어 이더넷을 통해 연결된 두 호스트 간에 MACsec 연결을 생성할 수 있습니다.

프로세스

  1. MACsec을 구성하는 첫 번째 호스트에서 다음을 수행합니다.

    • 사전 공유 키에 대한 연결 연결 키(CAK) 및 연결 키 이름(CKN)을 생성합니다.

      1. 16바이트 16진수 CAK를 생성합니다. 

        # dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
50b71a8ef0bd5751ea76de6d6c98c03a

      2. 32바이트 16진수 CKN을 만듭니다. 

        # dd if=/dev/urandom count=32 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
  2. MACsec 연결을 통해 연결하려는 두 호스트 모두에서 다음을 수행합니다.

  3. MACsec 연결을 생성합니다. 

    # nmcli connection add type macsec con-name macsec0 ifname macsec0 connection.autoconnect yes macsec.parent enp1s0 macsec.mode psk macsec.mka-cak 50b71a8ef0bd5751ea76de6d6c98c03a macsec.mka-ckn f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550

    macsec.mka-cakmacsec.mka-ckn 매개변수의 이전 단계에서 생성된 CAK 및 CKN을 사용합니다. 이 값은 MACsec 보호 네트워크의 모든 호스트에서 동일해야 합니다.

  4. MACsec 연결에서 IP 설정을 구성합니다.

    1. IPv4 설정을 구성합니다. 예를 들어 정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를 macsec0 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify macsec0 ipv4.method manual ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253'

    2. IPv6 설정을 구성합니다. 예를 들어 정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를 macsec0 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify macsec0 ipv6.method manual ipv6.addresses '2001:db8:1::1/32' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd'

  5. 연결을 활성화합니다. 

    # nmcli connection up macsec0

검증

  1. 트래픽이 암호화되었는지 확인합니다. 

    # tcpdump -nn -i enp1s0

  2. 선택 사항: 암호화되지 않은 트래픽을 표시합니다. 

    # tcpdump -nn -i macsec0

  3. MACsec 통계를 표시합니다. 

    # ip macsec show

  4. 각 유형의 보호에 대한 개별 카운터 표시: 무결성 전용(암호화 해제) 및 암호화(암호화) 

    # ip -s macsec show

10.3. nmstatectl을 사용하여 MACsec 연결 구성
링크 복사

선언적 Nmstate API를 사용하여 MACsec을 사용하도록 이더넷 인터페이스를 구성할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

사전 요구 사항

  • 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
  • nmstate 패키지가 설치되어 있습니다.

프로세스

  1. MACsec을 구성하는 첫 번째 호스트에서 사전 공유 키에 대한 연결 연결 키(CAK) 및 연결 키 이름(CKN)을 생성합니다.

    1. 16바이트 16진수 CAK를 생성합니다. 

      # dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
50b71a8ef0bd5751ea76de6d6c98c03a

    2. 32바이트 16진수 CKN을 만듭니다. 

      # dd if=/dev/urandom count=32 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550

  2. MACsec 연결을 통해 연결하려는 두 호스트에서 다음 단계를 완료합니다.

    1. 다음 설정으로 YAML 파일(예: create-macsec-connection.yml )을 생성합니다. 

      ---
routes:
  config:
  - destination: 0.0.0.0/0
    next-hop-interface: macsec0
    next-hop-address: 192.0.2.2
    table-id: 254
  - destination: 192.0.2.2/32
    next-hop-interface: macsec0
    next-hop-address: 0.0.0.0
    table-id: 254
dns-resolver:
  config:
    search:
    - example.com
    server:
    - 192.0.2.200
    - 2001:db8:1::ffbb
interfaces:
- name: macsec0
  type: macsec
  state: up
  ipv4:
    enabled: true
    address:
    - ip: 192.0.2.1
      prefix-length: 32
  ipv6:
    enabled: true
    address:
    - ip: 2001:db8:1::1
      prefix-length: 64
  macsec:
    encrypt: true
    base-iface: enp0s1
    mka-cak: 50b71a8ef0bd5751ea76de6d6c98c03a
    mka-ckn: f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
    port: 0
    validation: strict
    send-sci: true
    2. mka-cakmka-ckn 매개변수의 이전 단계에서 생성된 CAK 및 CKN을 사용합니다. 이 값은 MACsec 보호 네트워크의 모든 호스트에서 동일해야 합니다.

    3. 선택 사항: 동일한 YAML 구성 파일에서 다음 설정을 구성할 수도 있습니다.

      • /32 서브넷 마스크가 있는 정적 IPv4 주소 - 192.0.2.1
      • /64 서브넷 마스크가 있는 정적 IPv6 주소 2001:db8:1::1
      • IPv4 기본 게이트웨이 - 192.0.2.2
      • IPv4 DNS 서버 - 192.0.2.200
      • IPv6 DNS 서버 - 2001:db8:1::ffbb
      • DNS 검색 도메인 - example.com

  3. 시스템에 설정을 적용합니다. 

    # nmstatectl apply create-macsec-connection.yml

검증

  1. 현재 상태를 YAML 형식으로 표시합니다. 

    # nmstatectl show macsec0

  2. 트래픽이 암호화되었는지 확인합니다. 

    # tcpdump -nn -i enp0s1

  3. 선택 사항: 암호화되지 않은 트래픽을 표시합니다. 

    # tcpdump -nn -i macsec0

  4. MACsec 통계를 표시합니다. 

    # ip macsec show

  5. 각 유형의 보호에 대한 개별 카운터 표시: 무결성 전용(암호화 해제) 및 암호화(암호화) 

    # ip -s macsec show

11장. 특정 장치를 무시하도록 NetworkManager 구성
링크 복사

기본적으로 NetworkManager는 /usr/lib/udev/rules.d/85-nm-unmanaged.rules 파일에 설명된 장치를 제외한 모든 장치를 관리합니다. 다른 장치를 무시하려면 NetworkManager에서 관리되지 않는 장치로 구성할 수 있습니다.

11.1. NetworkManager에서 장치를 관리되지 않음으로 영구적으로 구성
링크 복사

인터페이스 이름 또는 MAC 주소와 같은 기준에 따라 장치를 Unmanaged 로 설정할 수 있습니다. 이에 대한 device 섹션을 사용하는 경우 연결 프로필에 포함할 때까지 NetworkManager는 장치를 관리하지 않습니다.

프로세스

  1. 선택 사항: Unmanaged 로 설정할 장치 또는 MAC 주소를 식별할 장치 목록을 표시합니다. 

    # ip link show
...
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:74:79:56 brd ff:ff:ff:ff:ff:ff
...
  2. /etc/NetworkManager/conf.d/ 디렉터리에 *.conf 파일을 만듭니다(예: /etc/NetworkManager/conf.d/99-unmanaged-devices.conf ).

  3. 비관리형으로 구성할 각 장치에 대해 고유한 이름이 있는 섹션을 파일에 추가합니다.

    중요

    섹션 이름은 device- 로 시작해야 합니다.

    • 특정 인터페이스를 Unmanaged로 구성하려면 다음을 추가합니다. 

      [device-enp1s0-unmanaged]
match-device=interface-name:enp1s0
managed=0

    • 특정 MAC 주소를 비관리형으로 사용하여 장치를 구성하려면 다음을 추가합니다. 

      [device-mac525400747956-unmanaged]
match-device=mac:52:54:00:74:79:56
managed=0

    • 특정 유형의 모든 장치를 Unmanaged로 구성하려면 다음을 추가합니다. 

      [device-ethernet-unmanaged]
match-device=type:ethernet
managed=0

    • 여러 장치를 Unmanaged로 설정하려면 unmanaged-devices 매개변수의 항목을 분리합니다. 예를 들면 다음과 같습니다. 

      [device-multiple-devices-unmanaged]
match-device=interface-name:enp1s0;interface-name:enp7s0
managed=0

      또는 이 파일의 각 장치에 대해 별도의 섹션을 추가하거나 /etc/NetworkManager/conf.d/ 디렉터리에 *.conf 파일을 추가로 생성할 수 있습니다.

  4. 호스트 시스템을 다시 시작하십시오. 

    # reboot

검증

  • 장치 목록을 표시합니다. 

    # nmcli device status
DEVICE  TYPE      STATE      CONNECTION
enp1s0  ethernet  unmanaged  --
...

    enp1s0 장치 옆에 있는 관리되지 않는 상태는 NetworkManager가 이 장치를 관리하지 않음을 나타냅니다.

문제 해결

  • nmcli device status 명령의 출력이 장치를 Unmanaged 로 나열하지 않으면 NetworkManager 구성을 표시합니다. 

    # NetworkManager --print-config
...
[device-enp1s0-unmanaged]
match-device=interface-name:enp1s0
managed=0
...

    출력이 구성한 설정과 일치하지 않는 경우 우선 순위가 높은 구성 파일이 설정을 재정의하지 않아야 합니다. NetworkManager가 여러 구성 파일을 병합하는 방법에 대한 자세한 내용은 시스템의 NetworkManager.conf(5) 도움말 페이지를 참조하십시오.

11.2. NetworkManager에서 장치를 관리되지 않음으로 일시적으로 구성
링크 복사

예를 들어 테스트를 위해 장치를 관리되지 않는 (예: 테스트)로 일시적으로 구성할 수 있습니다. 이 변경 사항은 시스템을 재부팅하지 않고 NetworkManager systemd 서비스를 다시 로드하고 다시 시작하지 않습니다.

프로세스

  1. 선택 사항: Unmanaged 로 설정할 장치를 식별할 장치 목록을 표시합니다. 

    # nmcli device status
DEVICE  TYPE      STATE         CONNECTION
enp1s0  ethernet  disconnected  --
...

  2. enp1s0 장치를 Unmanaged 상태로 설정합니다. 

    # nmcli device set enp1s0 managed no

검증

  • 장치 목록을 표시합니다. 

    # nmcli device status
DEVICE  TYPE      STATE      CONNECTION
enp1s0  ethernet  unmanaged  --
...

    enp1s0 장치 옆에 있는 관리되지 않는 상태는 NetworkManager가 이 장치를 관리하지 않음을 나타냅니다.

11.3. NetworkManager가 특정 네트워크 장치를 관리하지 않는 이유 식별
링크 복사

NetworkManager는 각 네트워크 장치의 상태 외에도 장치가 현재 상태에 있는 이유도 추적합니다. 이 기능을 사용하여 NetworkManager가 특정 장치를 관리하지 않는 이유를 확인할 수 있습니다.

프로세스

  • 모든 네트워크 장치의 상태 및 해당 이유를 표시합니다. 

    # nmcli -f GENERAL.DEVICE,GENERAL.STATE,GENERAL.REASON device show

    장치 이름을 명령에 전달하는 경우 지정된 장치의 출력만 표시할 수 있습니다.

    출력 예: 

    GENERAL.DEVICE:    enp1s0
GENERAL.STATE:     10 (unmanaged)
GENERAL.REASON:    75 (The device is unmanaged by explicit user decision (e.g. 'nmcli device set $DEV managed no'))

GENERAL.DEVICE:    enp7s0
GENERAL.STATE:     10 (unmanaged)
GENERAL.REASON:    74 (The device is unmanaged by user decision in NetworkManager.conf ('unmanaged' in a [device*] section)

GENERAL.DEVICE:    veth3
GENERAL.STATE:     10 (unmanaged)
GENERAL.REASON:    77 (The device is unmanaged via udev rule)
    참고

    이 명령은 관리 여부에 관계없이 모든 장치의 상태를 반환합니다.

12장. 기본 게이트웨이 관리
링크 복사

기본 게이트웨이는 다른 경로가 패킷의 대상과 일치하지 않을 때 네트워크 패킷을 전달하는 라우터입니다. 로컬 네트워크에서 기본 게이트웨이는 일반적으로 인터넷에 더 가까운 호스트입니다.

12.1. nmcli를 사용하여 기존 연결에 기본 게이트웨이 설정
링크 복사

대부분의 경우 관리자는 연결을 만들 때 기본 게이트웨이를 설정합니다. 그러나 nmcli 유틸리티를 사용하여 이전에 생성된 연결에서 기본 게이트웨이 설정을 설정하거나 업데이트할 수도 있습니다.

사전 요구 사항

  • 기본 게이트웨이가 설정될 연결에서 하나 이상의 고정 IP 주소를 구성해야 합니다.
  • 사용자가 물리적 콘솔에 로그인한 경우 사용자 권한만으로도 충분합니다. 그러지 않으면 사용자에게 root 권한이 있어야 합니다.

프로세스

  1. 기본 게이트웨이의 IP 주소를 설정합니다.

    IPv4 기본 게이트웨이를 설정하려면 다음을 입력합니다. 

    # nmcli connection modify <connection_name> ipv4.gateway "<IPv4_gateway_address>"

    IPv6 기본 게이트웨이를 설정하려면 다음을 입력합니다. 

    # nmcli connection modify <connection_name> ipv6.gateway "<IPv6_gateway_address>"

  2. 변경 사항을 적용하려면 네트워크 연결을 다시 시작하십시오. 

    # nmcli connection up <connection_name>
    주의

    이 네트워크 연결을 현재 사용하는 모든 연결은 재시작 중에 일시적으로 중단됩니다.

검증

  • 경로가 활성 상태인지 확인합니다.

    1. IPv4 기본 게이트웨이를 표시하려면 다음을 입력합니다. 

      # ip -4 route
default via 192.0.2.1 dev example proto static metric 100

    2. IPv6 기본 게이트웨이를 표시하려면 다음을 입력합니다. 

      # ip -6 route
default via 2001:db8:1::1 dev example proto static metric 100 pref medium

12.2. nmstatectl을 사용하여 기존 연결에 기본 게이트웨이 설정
링크 복사

선언적 Nmstate API를 사용하여 연결에서 기본 게이트웨이를 설정하거나 업데이트할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

사전 요구 사항

  • 기본 게이트웨이가 설정될 연결에서 하나 이상의 고정 IP 주소를 구성해야 합니다.
  • enp1s0 인터페이스가 구성되고 기본 게이트웨이의 IP 주소는 이 인터페이스의 IP 구성 서브넷에 있습니다.
  • nmstate 패키지가 설치되어 있습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/set-default-gateway.yml )을 만듭니다. 

    ---
routes:
  config:
  - destination: 0.0.0.0/0
    next-hop-address: 192.0.2.1
    next-hop-interface: enp1s0

    이러한 설정은 192.0.2.1 을 기본 게이트웨이로 정의하고 기본 게이트웨이는 enp1s0 인터페이스를 통해 연결할 수 있습니다.

  2. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/set-default-gateway.yml

네트워크 RHEL 시스템 역할을 사용하면 NetworkManager 연결 프로필에서 기본 게이트웨이 설정을 자동화할 수 있습니다. 이 방법을 사용하면 플레이북에 정의된 호스트에서 기본 게이트웨이를 원격으로 구성할 수 있습니다.

대부분의 경우 관리자는 연결을 만들 때 기본 게이트웨이를 설정합니다. 그러나 이전에 생성한 연결에서 기본 게이트웨이 설정을 설정하거나 업데이트할 수도 있습니다.

주의

네트워크 RHEL 시스템 역할을 사용하여 기존 연결 프로필의 특정 값만 업데이트할 수 없습니다. 이 역할은 연결 프로필이 플레이북의 설정과 정확히 일치하는지 확인합니다. 동일한 이름의 연결 프로필이 이미 존재하는 경우 역할은 플레이북의 설정을 적용하고 프로필의 다른 모든 설정을 기본값으로 재설정합니다. 값을 재설정하지 않으려면 변경하려는 설정을 포함하여 플레이북에서 네트워크 연결 프로필의 전체 구성을 항상 지정합니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure the network
  hosts: managed-node-01.example.com
  tasks:
    - name: Ethernet connection profile with static IP address settings
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          - name: enp1s0
            type: ethernet
            autoconnect: yes
            ip:
              address:
                - 198.51.100.20/24
                - 2001:db8:1::1/64
              gateway4: 198.51.100.254
              gateway6: 2001:db8:1::fffe
              dns:
                - 198.51.100.200
                - 2001:db8:1::ffbb
              dns_search:
                - example.com
            state: up

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  • 관리 노드의 Ansible 팩트를 쿼리하고 활성 네트워크 설정을 확인합니다. 

    # ansible managed-node-01.example.com -m ansible.builtin.setup
...
        "ansible_default_ipv4": {
	    ...
            "gateway": "198.51.100.254",
            "interface": "enp1s0",
	    ...
        },
        "ansible_default_ipv6": {
	    ...
            "gateway": "2001:db8:1::fffe",
            "interface": "enp1s0",
	    ...
	}
...

12.4. NetworkManager가 여러 기본 게이트웨이를 관리하는 방법
링크 복사

예를 들어 대체 이유로 특정 상황에서는 호스트에서 여러 기본 게이트웨이를 설정합니다. 그러나 비동기 라우팅 문제를 방지하려면 동일한 프로토콜의 각 기본 게이트웨이에 별도의 메트릭 값이 필요합니다.

RHEL은 가장 낮은 지표가 설정된 기본 게이트웨이에 대한 연결만 사용합니다.

다음 명령을 사용하여 연결의 IPv4 및 IPv6 게이트웨이 모두에 대한 지표를 설정할 수 있습니다. 

# nmcli connection modify <connection_name> ipv4.route-metric <value> ipv6.route-metric <value>
중요

라우팅 문제를 방지하기 위해 여러 연결 프로필에서 동일한 프로토콜에 대해 동일한 메트릭 값을 설정하지 마십시오.

지표 값 없이 기본 게이트웨이를 설정하면 NetworkManager가 인터페이스 유형에 따라 지표 값을 자동으로 설정합니다. 이를 위해 NetworkManager는 이 네트워크 유형의 기본값을 활성화된 첫 번째 연결에 할당하고, 활성화 순서에 따라 동일한 유형의 서로 연결된 증분 값을 설정합니다. 예를 들어 기본 게이트웨이가 있는 두 개의 이더넷 연결이 있는 경우 NetworkManager는 경로에 100 의 지표를 먼저 활성화하는 연결의 기본 게이트웨이로 설정합니다. 두 번째 연결의 경우 NetworkManager는 101 을 설정합니다.

다음은 자주 사용되는 네트워크 유형 및 기본 메트릭에 대한 개요입니다.

Expand
연결 유형기본 메트릭 값

VPN

50

이더넷

100

MACsec

125

InfiniBand

150

본딩

300

VLAN

400

Bridge

425

TUN

450

Wi-Fi

600

IP 터널

675

기본 게이트웨이에 연결되지 않은 연결 프로필에서는 NetworkManager가 이 프로필을 사용하여 기본 게이트웨이를 제공하지 않도록 구성할 수 있습니다.

사전 요구 사항

  • 기본 게이트웨이에 연결되지 않은 연결에 대한 NetworkManager 연결 프로필이 있습니다.

프로세스

  1. 연결에서 동적 IP 구성을 사용하는 경우 NetworkManager에서 이 연결을 해당 IP 유형의 기본 연결로 사용하지 않도록 구성하십시오. 즉 NetworkManager는 기본 경로를 할당하지 않습니다. 

    # nmcli connection modify <connection_name> ipv4.never-default yes ipv6.never-default yes

    ipv4.never-defaultipv6.never-defaultyes 로 설정하면 연결 프로필에서 해당 프로토콜에 대한 기본 게이트웨이의 IP 주소가 자동으로 제거됩니다.

  2. 연결을 활성화합니다. 

    # nmcli connection up <connection_name>

검증

  • ip -4 routeip -6 route 명령을 사용하여 RHEL이 IPv4 및 IPv6 프로토콜의 기본 경로에 네트워크 인터페이스를 사용하지 않는지 확인합니다.

12.6. 여러 기본 게이트웨이로 인한 예기치 않은 라우팅 동작 수정
링크 복사

대부분의 호스트에서 예기치 않은 라우팅 동작 및 비동기 라우팅 문제를 방지하기 위해 단일 기본 게이트웨이만 필요합니다. 여러 기본 게이트웨이는 일반적으로 Multipath TCP를 사용하는 경우와 같이 특정 시나리오에만 필요합니다.

참고

트래픽을 다른 인터넷 공급자로 라우팅하려면 여러 기본 게이트웨이 대신 정책 기반 라우팅을 사용합니다.

사전 요구 사항

  • 호스트는 NetworkManager를 사용하여 기본값인 네트워크 연결을 관리합니다.
  • 호스트에는 여러 네트워크 인터페이스가 있습니다.
  • 호스트에는 여러 기본 게이트웨이가 구성되어 있습니다.

프로세스

  1. 라우팅 테이블을 표시합니다.

    • IPv4의 경우 다음을 입력합니다. 

      # ip -4 route
default via 192.0.2.1 dev enp1s0 proto dhcp metric 101
default via 198.51.100.1 dev enp7s0 proto dhcp metric 102
...

    • IPv6의 경우 다음을 입력합니다. 

      # ip -6 route
default via 2001:db8:1::1 dev enp1s0 proto ra metric 101 pref medium
default via 2001:db8:2::1 dev enp7s0 proto ra metric 102 pref medium
...

    기본값 으로 시작하는 항목은 기본 경로를 나타냅니다. dev 옆에 표시되는 이러한 항목의 인터페이스 이름을 확인합니다.

  2. 다음 명령을 사용하여 이전 단계에서 식별한 인터페이스를 사용하는 NetworkManager 연결을 표시합니다. 

    # nmcli -f GENERAL.CONNECTION,IP4.GATEWAY,IP6.GATEWAY device show enp1s0
GENERAL.CONNECTION:      Corporate-LAN
IP4.GATEWAY:             192.0.2.1
IP6.GATEWAY:             2001:db8:1::1

# nmcli -f GENERAL.CONNECTION,IP4.GATEWAY,IP6.GATEWAY device show enp7s0
GENERAL.CONNECTION:      Internet-Provider
IP4.GATEWAY:             198.51.100.1
IP6.GATEWAY:             2001:db8:2::1

    이 예제에서 Corporate-LANInternet-Provider 라는 프로필에는 기본 게이트웨이가 설정되어 있습니다. 로컬 네트워크에서 기본 게이트웨이는 일반적으로 인터넷에 더 가까운 호스트이므로 이 절차의 나머지 부분에서는 Corporate-LAN 의 기본 게이트웨이가 올바르지 않다고 가정합니다.

  3. NetworkManager가 Corporate-LAN 연결을 IPv4 및 IPv6 연결의 기본 경로로 사용하지 않도록 구성합니다. 

    # nmcli connection modify Corporate-LAN ipv4.never-default yes ipv6.never-default yes

    ipv4.never-defaultipv6.never-defaultyes 로 설정하면 연결 프로필에서 해당 프로토콜에 대한 기본 게이트웨이의 IP 주소가 자동으로 제거됩니다.

  4. Corporate-LAN 연결을 활성화합니다. 

    # nmcli connection up Corporate-LAN

검증

  • IPv4 및 IPv6 라우팅 테이블을 표시하고 각 프로토콜에 하나의 기본 게이트웨이만 사용할 수 있는지 확인합니다.

    • IPv4의 경우 다음을 입력합니다. 

      # ip -4 route
default via 198.51.100.1 dev enp7s0 proto dhcp metric 102
...

    • IPv6의 경우 다음을 입력합니다. 

      # ip -6 route
default via 2001:db8:2::1 dev enp7s0 proto ra metric 102 pref medium
...

13장. 정적 경로 구성
링크 복사

라우팅은 상호 연결된 네트워크 간에 트래픽을 전달합니다. 대규모 환경에서는 라우터가 서로 동적으로 학습할 수 있도록 더 큰 환경에서 서비스를 구성합니다. 소규모 관리자는 트래픽이 대상에 도달할 수 있도록 정적 경로를 구성하는 경우가 많습니다.

다음 조건이 모두 적용되는 경우 여러 네트워크 간에 작동하는 통신을 얻으려면 정적 경로가 필요합니다.

  • 트래픽은 여러 네트워크를 전달해야 합니다.
  • 기본 게이트웨이를 통한 배타적 트래픽 흐름으로는 충분하지 않습니다.

정적 경로 섹션이 필요한 네트워크의 예는 시나리오와 정적 경로를 구성하지 않을 때 다른 네트워크 간에 트래픽이 이동하는 방법을 설명합니다.

13.1. 정적 경로가 필요한 네트워크의 예
링크 복사

모든 IP 네트워크가 하나의 라우터를 통해 직접 연결되어 있지 않기 때문에 이 예에서는 정적 경로가 필요합니다. 정적 경로가 없으면 일부 네트워크는 서로 통신할 수 없습니다. 또한 일부 네트워크의 트래픽은 한 방향으로만 이동합니다.

참고

이 예제의 네트워크 토폴로지는 인공이며 정적 라우팅의 개념을 설명하는 데만 사용됩니다. 프로덕션 환경에서는 권장되는 토폴로지가 아닙니다.

이 예제의 모든 네트워크 간에 작동하는 통신의 경우 홉 라우터 2(203.0.113.10)를 사용하여 Raleigh (198.51.100.0/24)로 정적 경로를 구성합니다. 다음 홉의 IP 주소는 데이터 센터 네트워크의 라우터 2 중 하나입니다(203.0.113.0/24).

다음과 같이 정적 경로를 구성할 수 있습니다.

  • 간소화된 구성의 경우 라우터 1에서만 이 정적 경로를 설정합니다. 그러나 데이터 센터 (203.0.113.0/24)의 호스트가 라우터 1을 통해 항상 라우터 1을 통해 Raleigh (198.51.100.0/24)로 트래픽을 전송하므로 라우터 1의 트래픽이 증가합니다.
  • 보다 복잡한 구성을 위해 데이터 센터의 모든 호스트에 이 정적 경로를 구성합니다(203.0.113.0/24). 그런 다음 이 서브넷의 모든 호스트는 Raleigh (198.51.100.0/24)에 더 가까운 라우터 2 (203.0.113.10)로 직접 트래픽을 보냅니다.

트래픽이 이동하는 네트워크 간의 자세한 내용은 다이어그램 아래의 설명을 참조하십시오.

라우팅 예

필요한 정적 경로가 구성되지 않은 경우 다음과 같이 통신이 작동하는 상황과 그렇지 않은 경우입니다.

  • 도달 네트워크(192.0.2.0/24)의 호스트:

    • 직접 연결되어 있기 때문에 동일한 서브넷의 다른 호스트와 통신할 수 있습니다.
    • 라우터 1이 192.0.2. 네트워크(192.0.2.0/24)에 있고 인터넷으로 이어지는 기본 게이트웨이가 있기 때문에 인터넷과 통신할 수 있습니다.
    • 라우터 1의 인터페이스(192.0.2.0/24)와 데이터 센터(203.0.113.0/24) 네트워크 모두에 인터페이스가 있으므로 데이터 센터 네트워크(203.0.113.0/24)와 통신할 수 있습니다.
    • 라우터 1에 이 네트워크에 인터페이스가 없으므로 Raleigh 네트워크(198.51.100.0/24)와 통신할 수 없습니다. 따라서 라우터 1은 트래픽을 자체 기본 게이트웨이(인터넷)로 보냅니다.

  • 데이터 센터 네트워크의 호스트 (203.0.113.0/24):

    • 직접 연결되어 있기 때문에 동일한 서브넷의 다른 호스트와 통신할 수 있습니다.
    • 기본 게이트웨이가 Router 1로 설정되어 있으므로 인터넷과 통신할 수 있으며 Router 1에는 네트워크, 데이터 센터(203.0.113.0/24) 및 인터넷 모두에 인터페이스가 있기 때문입니다.
    • 기본 게이트웨이가 Router 1로 설정되어 있고 Router 1은 데이터 센터(203.0.113.0/24)와 인터페이스(192.0.2.0/24) 네트워크 둘 다에 인터페이스가 있기 때문에kafka 네트워크(192.0.2.0/24)와 통신할 수 있습니다.
    • 데이터 센터 네트워크에 이 네트워크에 인터페이스가 없으므로 Raleigh 네트워크(198.51.100.0/24)와 통신할 수 없습니다. 따라서 데이터 센터(203.0.113.0/24)의 호스트는 트래픽을 기본 게이트웨이(Router 1)로 보냅니다. 라우터 1에는 Raleigh 네트워크(198.51.100.0/24)에 인터페이스가 없으며 결과적으로 라우터 1은 이 트래픽을 자체 기본 게이트웨이(internet)로 보냅니다.

  • Raleigh 네트워크의 호스트 (198.51.100.0/24)

    • 직접 연결되어 있기 때문에 동일한 서브넷의 다른 호스트와 통신할 수 있습니다.
    • 인터넷상의 호스트와 통신할 수 없습니다. 라우터 2는 기본 게이트웨이 설정으로 인해 트래픽을 Router 1로 보냅니다. 라우터 1의 실제 동작은 역방향 경로 필터(rp_filter) 시스템 제어(sysctl) 설정에 따라 다릅니다. 기본적으로 RHEL에서 라우터 1은 인터넷으로 라우팅하는 대신 발신 트래픽을 삭제합니다. 그러나 구성된 동작과 관계없이 정적 경로 없이는 통신이 불가능합니다.
    • 데이터 센터 네트워크와 통신할 수 없습니다(203.0.113.0/24). 기본 게이트웨이 설정으로 인해 나가는 트래픽은 Router 2를 통해 대상에 도달합니다. 그러나 데이터 센터 네트워크(203.0.113.0/24)의 호스트가 기본 게이트웨이(Router 1)에 응답을 전송하므로 패킷에 대한 응답이 발신자에 도달하지 않습니다. 그런 다음 라우터 1은 트래픽을 인터넷으로 전송합니다.
    • 192.0.2. 네트워크와 통신할 수 없습니다(192.0.2.0/24). 라우터 2는 기본 게이트웨이 설정으로 인해 트래픽을 Router 1로 보냅니다. 라우터 1의 실제 동작은 sysctl 설정 rp_filter 에 따라 다릅니다. 기본적으로 RHEL에서 Router 1은 192.0.2. 네트워크(192.0.2.0/24)로 보내는 대신 발신 트래픽을 삭제합니다. 그러나 구성된 동작과 관계없이 정적 경로 없이는 통신이 불가능합니다.
참고

정적 경로를 구성하는 것 외에도 두 라우터 모두에서 IP 전달을 활성화해야 합니다.

13.2. nmcli 유틸리티를 사용하여 정적 경로를 구성하는 방법
링크 복사

nmcli 유틸리티를 사용하여 명령줄에서 정적 경로를 구성할 수 있습니다.

다음 구문을 사용합니다. 

$ nmcli connection modify connection_name ipv4.routes "ip[/prefix] [next_hop] [metric] [attribute=value] [attribute=value] ..."

명령은 다음 경로 속성을 지원합니다.

  • cwnd=n: 패킷 수에 정의된 혼잡 창(CWND) 크기를 설정합니다.
  • lock-cwnd=true|false: 커널이 CWND 값을 업데이트할 수 있는지 여부를 정의합니다.
  • lock-mtu=true|false: 커널이 MTU 검색을 라우팅하도록 MTU를 업데이트할 수 있는지 여부를 정의합니다.
  • lock-window=true|false: 커널이 TCP 패킷의 최대 창 크기를 업데이트할 수 있는지 여부를 정의합니다.
  • MTU = <mtu_value > : 대상에 대한 경로와 함께 사용할 최대 전송 단위(MTU)를 설정합니다.
  • onlink=true|false: 인터페이스 접두사와 일치하지 않는 경우에도 다음 홉이 이 링크에 직접 연결되었는지 여부를 정의합니다.
  • scope=<scope > : IPv4 경로의 경우 이 속성은 경로 접두사에서 다루는 대상의 범위를 설정합니다. 값을 정수 (0-255)로 설정합니다.
  • src=<source_address >: 경로 접두사가 적용되는 대상으로 트래픽을 보낼 때 선호하는 소스 주소를 설정합니다.
  • table=<table_id > : 경로가 추가되어야 하는 테이블의 ID를 설정합니다. 이 매개변수를 생략하면 NetworkManager는 기본 테이블을 사용합니다.
  • TOS = &lt;type_of_service_key > : 서비스 유형 (TOS) 키를 설정합니다. 값을 정수 (0-255)로 설정합니다.
  • type= &lt;route_type& gt; : 경로 유형을 설정합니다. NetworkManager는 unicast,local,blackhole,unreachable,prohibitthrow 경로 유형을 지원합니다. 기본값은 unicast 입니다.
  • window=<window_size > : 바이트 단위로 측정되는 TCP의 최대 창 크기를 설정합니다.
중요

이전 + 기호 없이 ipv4.routes 옵션을 사용하는 경우 nmcli 는 이 매개변수의 모든 현재 설정을 덮어씁니다.

  • 추가 경로를 생성하려면 다음을 입력합니다. 

    $ nmcli connection modify connection_name +ipv4.routes "<route>"

  • 특정 경로를 제거하려면 다음을 입력합니다. 

    $ nmcli connection modify connection_name -ipv4.routes "<route>"

13.3. nmcli를 사용하여 정적 경로 구성
링크 복사

nmcli connection modify 명령을 사용하여 기존 NetworkManager 연결 프로필에 정적 경로를 추가할 수 있습니다.

다음 절차에서는 다음 경로를 구성합니다.

  • 원격 198.51.100.0/24 네트워크로 연결되는 IPv4 경로입니다. IP 주소 192.0.2.10 이 있는 해당 게이트웨이는 LAN 연결 프로필을 통해 연결할 수 있습니다.
  • 원격 2001:db8:2::/64 네트워크로의 IPv6 경로입니다. IP 주소 2001:db8:1::10 이 있는 해당 게이트웨이는 LAN 연결 프로필을 통해 연결할 수 있습니다.

사전 요구 사항

  • LAN 연결 프로필이 존재하고 게이트웨이와 동일한 IP 서브넷에 이 호스트를 구성합니다.

프로세스

  1. LAN 연결 프로필에 정적 IPv4 경로를 추가합니다. 

    # nmcli connection modify LAN +ipv4.routes "198.51.100.0/24 192.0.2.10"

    한 단계로 여러 경로를 설정하려면 쉼표로 구분된 개별 경로를 명령에 전달합니다. 

    # nmcli connection modify <connection_profile> +ipv4.routes "<remote_network_1>/<subnet_mask_1> <gateway_1>, <remote_network_n>/<subnet_mask_n> <gateway_n>, ..."

  2. LAN 연결 프로필에 정적 IPv6 경로를 추가합니다. 

    # nmcli connection modify LAN +ipv6.routes "2001:db8:2::/64 2001:db8:1::10"

  3. 연결을 다시 활성화합니다. 

    # nmcli connection up LAN

검증

  1. IPv4 경로를 표시합니다. 

    # ip -4 route
...
198.51.100.0/24 via 192.0.2.10 dev enp1s0

  2. IPv6 경로를 표시합니다. 

    # ip -6 route
...
2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref medium

13.4. nmtui를 사용하여 정적 경로 구성
링크 복사

nmtui 애플리케이션은 NetworkManager에 대한 텍스트 기반 사용자 인터페이스를 제공합니다. nmtui 를 사용하여 그래픽 인터페이스 없이 호스트에서 정적 경로를 구성할 수 있습니다.

예를 들어 아래 절차에서는 기존 연결 프로필을 통해 연결할 수 있는 198.51.100.1 에서 실행되는 게이트웨이를 사용하는 192.0.2.0/24 네트워크에 경로를 추가합니다.

참고

nmtui 에서:

  • 커서 키를 사용하여 이동합니다.
  • 버튼을 선택하고 Enter 키를 눌러 합니다.
  • Space 를 사용하여 확인란을 선택하고 지웁니다.
  • 이전 화면으로 돌아가려면 ESC 를 사용합니다.

사전 요구 사항

  • 네트워크가 구성되어 있습니다.
  • 정적 경로의 게이트웨이는 인터페이스에서 직접 연결할 수 있어야 합니다.
  • 사용자가 물리적 콘솔에 로그인한 경우 사용자 권한만으로도 충분합니다. 그러지 않으면 명령에 root 권한이 필요합니다.

프로세스

  1. start nmtui: 

    # nmtui
  2. Edit a connection 을 선택하고 Enter 를 누릅니다.
  3. 대상 네트워크의 다음 홉에 도달할 수 있는 연결 프로필을 선택하고 Enter 키를 누릅니다.
  4. IPv4 또는 IPv6 경로인지 여부에 따라 프로토콜의 구성 영역 옆에 있는 Show 버튼을 누릅니다.

  5. 라우팅 옆에 있는 편집 버튼을 누릅니다. 그러면 정적 경로를 구성하는 새 창이 열립니다.

    1. 추가 버튼을 누른 후 다음을 작성합니다.

      • CIDR(Classless Inter-Domain Routing) 형식의 접두사를 포함한 대상 네트워크
      • 다음 홉의 IP 주소
      • 메트릭 값: 동일한 네트워크에 여러 경로를 추가하고 효율성에 따라 경로 우선 순위를 지정하려는 경우
    2. 추가할 모든 경로에 대해 이전 단계를 반복하고 이 연결 프로필을 통해 연결할 수 있습니다.

    3. 확인 버튼을 눌러 연결 설정으로 창으로 돌아갑니다.

      그림 13.1. 메트릭이 없는 정적 경로의 예

      nmtui 추가 정적 경로
  6. OK 버튼을 눌러 nmtui 메인 메뉴로 돌아갑니다.
  7. 연결 활성화를 선택하고 Enter 를 누릅니다.

  8. 편집한 연결 프로필을 선택하고 Enter 를 두 번 눌러 비활성화한 후 다시 활성화합니다.

    중요

    다시 활성화하려는 연결 프로필을 사용하는 SSH와 같은 원격 연결을 통해 nmtui 를 실행하는 경우 이 단계를 건너뜁니다. 이 경우 nmtui 에서 비활성화하면 연결이 종료되고 결과적으로 다시 활성화할 수 없습니다. 이 문제를 방지하려면 nmcli connection < connection_profile > up 명령을 사용하여 언급된 시나리오에서 연결을 다시 활성화합니다.

  9. 뒤로 버튼을 눌러 메인 메뉴로 돌아갑니다.
  10. Quit 를 선택하고 Enter 를 눌러 nmtui 애플리케이션을 종료합니다.

검증

  • 경로가 활성 상태인지 확인합니다. 

    $ ip route
...
192.0.2.0/24 via 198.51.100.1 dev example proto static metric 100

13.5. nmstatectl을 사용하여 정적 경로 구성
링크 복사

선언적 Nmstate API를 사용하여 정적 경로를 구성할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

사전 요구 사항

  • enp1s0 네트워크 인터페이스가 구성되어 게이트웨이와 동일한 IP 서브넷에 있습니다.
  • nmstate 패키지가 설치되어 있습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/add-static-route-to-enp1s0.yml )을 만듭니다. 

    ---
routes:
  config:
  - destination: 198.51.100.0/24
    next-hop-address: 192.0.2.10
    next-hop-interface: enp1s0
  - destination: 2001:db8:2::/64
    next-hop-address: 2001:db8:1::10
    next-hop-interface: enp1s0

    이러한 설정은 다음 정적 경로를 정의합니다.

    • 원격 198.51.100.0/24 네트워크로 연결되는 IPv4 경로입니다. IP 주소 192.0.2.10 이 있는 해당 게이트웨이는 enp1s0 인터페이스를 통해 연결할 수 있습니다.
    • 원격 2001:db8:2::/64 네트워크로의 IPv6 경로입니다. IP 주소 2001:db8:1::10 이 있는 해당 게이트웨이는 enp1s0 인터페이스를 통해 연결할 수 있습니다.

  2. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/add-static-route-to-enp1s0.yml

검증

  1. IPv4 경로를 표시합니다. 

    # ip -4 route
...
198.51.100.0/24 via 192.0.2.10 dev enp1s0

  2. IPv6 경로를 표시합니다. 

    # ip -6 route
...
2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref medium

13.6. 네트워크 RHEL 시스템 역할을 사용하여 정적 경로 구성
링크 복사

네트워크 RHEL 시스템 역할을 사용하여 정적 경로를 구성할 수 있습니다.

중요

네트워크 RHEL 시스템 역할을 사용하는 플레이를 실행하고 설정 값이 플레이에 지정된 값과 일치하지 않으면 역할은 동일한 이름의 기존 연결 프로필을 재정의합니다. 이러한 값을 기본값으로 재설정하지 않으려면 구성이 이미 존재하는 경우에도 플레이에서 네트워크 연결 프로필의 전체 구성을 항상 지정합니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure the network
  hosts: managed-node-01.example.com
  tasks:
    - name: Configure an Ethernet connection with static IP and additional routes
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          - name: enp7s0
            type: ethernet
            autoconnect: yes
            ip:
              address:
                - 192.0.2.1/24
                - 2001:db8:1::1/64
              gateway4: 192.0.2.254
              gateway6: 2001:db8:1::fffe
              dns:
                - 192.0.2.200
                - 2001:db8:1::ffbb
              dns_search:
                - example.com
              route:
              route:
                - network: 198.51.100.0
                  prefix: 24
                  gateway: 192.0.2.10
                - network: '2001:db8:2::'
                  prefix: 64
                  gateway: 2001:db8:1::10
            state: up

    이 프로시저는 이미 존재하는지 여부에 따라 다음 설정으로 enp7s0 연결 프로필을 생성하거나 업데이트합니다.

    • 정적 IPv4 주소 - 192.0.2.1/24 서브넷 마스크
    • /64 서브넷 마스크가 있는 정적 IPv6 주소 2001:db8:1::1
    • IPv4 기본 게이트웨이 - 192.0.2.254
    • IPv6 기본 게이트웨이 - 2001:db8:1::fffe
    • IPv4 DNS 서버 - 192.0.2.200
    • IPv6 DNS 서버 - 2001:db8:1::ffbb
    • DNS 검색 도메인 - example.com

    • 정적 경로:

      • 198.51.100.0/24 게이트웨이 192.0.2.10
      • 2001:db8:2::/64 게이트웨이 2001:db8:1::10

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  1. 관리형 노드에서 다음을 수행합니다.

    1. IPv4 경로를 표시합니다. 

      # ip -4 route
...
198.51.100.0/24 via 192.0.2.10 dev enp7s0

    2. IPv6 경로를 표시합니다. 

      # ip -6 route
...
2001:db8:2::/64 via 2001:db8:1::10 dev enp7s0 metric 1024 pref medium

14장. 대체 경로를 정의하도록 정책 기반 라우팅 구성
링크 복사

기본적으로 RHEL 커널은 라우팅 테이블을 사용하여 대상 주소를 기반으로 네트워크 패킷을 전달합니다. 정책 기반 라우팅을 사용하면 소스 주소와 같은 다양한 기준에 따라 패킷을 라우팅하도록 복잡한 시나리오를 구성할 수 있습니다.

정책 기반 라우팅을 사용하여 특정 서브넷의 트래픽에 대해 다른 기본 게이트웨이를 구성할 수 있습니다.

예를 들어 기본적으로 기본 경로를 사용하여 모든 트래픽을 인터넷 공급자 A로 라우팅하는 라우터로 RHEL을 구성할 수 있습니다. 그러나 내부 워크스테이션 서브넷에서 수신된 트래픽은 공급자 B로 라우팅됩니다.

이 절차에서는 다음 네트워크 토폴로지를 가정합니다.

policy based routing

사전 요구 사항

  • 시스템은 NetworkManager 를 사용하여 기본값인 네트워크를 구성합니다.

  • 절차에서 설정하려는 RHEL 라우터에는 다음 네 가지 네트워크 인터페이스가 있습니다.

    • enp7s0 인터페이스는 공급자 A의 네트워크에 연결되어 있습니다. 공급자의 네트워크의 게이트웨이 IP는 198.51.100.2 이며 네트워크는 /30 네트워크 마스크를 사용합니다.
    • enp1s0 인터페이스는 공급자 B의 네트워크에 연결되어 있습니다. 공급자의 네트워크의 게이트웨이 IP는 192.0.2.2 이며 네트워크는 /30 네트워크 마스크를 사용합니다.
    • enp8s0 인터페이스는 내부 워크스테이션이 있는 10.0.0.0/24 서브넷에 연결되어 있습니다.
    • enp9s0 인터페이스는 회사의 서버가 있는 203.0.113.0/24 서브넷에 연결되어 있습니다.
  • 내부 워크스테이션 서브넷의 호스트는 10.0.0.1 을 기본 게이트웨이로 사용합니다. 이 절차에서는 이 IP 주소를 라우터의 enp8s0 네트워크 인터페이스에 할당합니다.
  • 서버 서브넷의 호스트는 203.0.113.1 을 기본 게이트웨이로 사용합니다. 이 절차에서는 라우터의 enp9s0 네트워크 인터페이스에 이 IP 주소를 할당합니다.
  • firewalld 서비스가 활성화 및 활성화됩니다.

프로세스

  1. A를 공급자로 네트워크 인터페이스를 구성합니다. 

    # nmcli connection add type ethernet con-name Provider-A ifname enp7s0 ipv4.method manual ipv4.addresses 198.51.100.1/30 ipv4.gateway 198.51.100.2 ipv4.dns 198.51.100.200 connection.zone external

    nmcli connection add 명령은 NetworkManager 연결 프로필을 생성합니다. 명령은 다음 옵션을 사용합니다.

    • type ethernet: 연결 유형이 이더넷임을 정의합니다.
    • con-name <connection_name > : 프로필 이름을 설정합니다. 혼동을 피하기 위해 의미 있는 이름을 사용하십시오.
    • ifname & lt;network_device& gt; : 네트워크 인터페이스를 설정합니다.
    • ipv4.method 수동: 정적 IP 주소를 구성할 수 있습니다.
    • ipv4.addresses < IP_address> / <subnet_mask > : IPv4 주소와 서브넷 마스크를 설정합니다.
    • ipv4.gateway & lt;IP_address& gt; : 기본 게이트웨이 주소를 설정합니다.
    • ipv4.dns <IP_of_DNS_server > : DNS 서버의 IPv4 주소를 설정합니다.
    • connection.zone <firewalld_zone > : 네트워크 인터페이스를 정의된 firewalld 영역에 할당합니다. firewalld외부 영역에 할당된 인터페이스에 대해 자동으로 마스커레이딩을 활성화합니다.

  2. 네트워크 인터페이스를 공급자 B로 구성합니다. 

    # nmcli connection add type ethernet con-name Provider-B ifname enp1s0 ipv4.method manual ipv4.addresses 192.0.2.1/30 ipv4.routes "0.0.0.0/0 192.0.2.2 table=5000" connection.zone external

    이 명령은 ipv4.gateway 대신 ipv4.routes 매개변수를 사용하여 기본 게이트웨이를 설정합니다. 이 연결의 기본 게이트웨이를 기본값과 다른 라우팅 테이블(5000)에 할당해야 합니다. 연결이 활성화되면 NetworkManager가 이 새 라우팅 테이블을 자동으로 생성합니다.

  3. 네트워크 인터페이스를 내부 워크스테이션 서브넷으로 구성합니다. 

    # nmcli connection add type ethernet con-name Internal-Workstations ifname enp8s0 ipv4.method manual ipv4.addresses 10.0.0.1/24 ipv4.routes "10.0.0.0/24 table=5000" ipv4.routing-rules "priority 5 from 10.0.0.0/24 table 5000" connection.zone trusted

    이 명령은 ipv4.routes 매개변수를 사용하여 ID 5000 이 있는 라우팅 테이블에 정적 경로를 추가합니다. 10.0.0.0/24 서브넷의 이 정적 경로는 로컬 네트워크 인터페이스의 IP를 사용하여 다음 홉으로 공급자 B(192.0.2.1)를 제공합니다.

    또한 명령에서는 ipv4.routing-rules 매개변수를 사용하여 10.0.0.0/24 서브넷에서 테이블 5000 으로 트래픽을 라우팅하는 우선순위 5 가 있는 라우팅 규칙을 추가합니다. 낮은 값은 높은 우선 순위를 갖습니다.

    ipv4.routing-rules 매개변수의 구문은 항상 우선 순위를 지정해야 한다는 점을 제외하고 ip rule add 명령과 동일합니다.

  4. 네트워크 인터페이스를 서버 서브넷으로 구성합니다. 

    # nmcli connection add type ethernet con-name Servers ifname enp9s0 ipv4.method manual ipv4.addresses 203.0.113.1/24 connection.zone trusted

검증

  1. 내부 워크스테이션 서브넷의 RHEL 호스트에서 다음을 수행합니다.

    1. traceroute 패키지를 설치합니다. 

      # dnf install traceroute

    2. traceroute 유틸리티를 사용하여 인터넷의 호스트에 대한 경로를 표시합니다. 

      # traceroute redhat.com
traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets
 1  _gateway (10.0.0.1)     0.337 ms  0.260 ms  0.223 ms
 2  192.0.2.2 (192.0.2.2)   0.884 ms  1.066 ms  1.248 ms
 ...

      명령의 출력은 라우터가 공급자 B의 네트워크인 192.0.2.1 을 통해 패킷을 보내는 것을 표시합니다.

  2. 서버 서브넷의 RHEL 호스트에서 다음을 수행합니다.

    1. traceroute 패키지를 설치합니다. 

      # dnf install traceroute

    2. traceroute 유틸리티를 사용하여 인터넷의 호스트에 대한 경로를 표시합니다. 

      # traceroute redhat.com
traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets
 1  _gateway (203.0.113.1)    2.179 ms  2.073 ms  1.944 ms
 2  198.51.100.2 (198.51.100.2)  1.868 ms  1.798 ms  1.549 ms
 ...

      명령의 출력은 라우터가 공급자 A의 네트워크인 198.51.100.2 를 통해 패킷을 전송한다는 것을 표시합니다.

문제 해결 단계

RHEL 라우터에서 다음을 수행합니다.

  1. 규칙 목록을 표시합니다. 

    # ip rule list
0:	from all lookup local
5:	from 10.0.0.0/24 lookup 5000
32766:	from all lookup main
32767:	from all lookup default

    기본적으로 RHEL에는 로컬 테이블, 기본 , 기본값 에 대한 규칙이 포함되어 있습니다.

  2. 5000 에 경로를 표시합니다. 

    # ip route list table 5000
default via 192.0.2.2 dev enp1s0 proto static metric 100
10.0.0.0/24 dev enp8s0 proto static scope link src 192.0.2.1 metric 102

  3. 인터페이스 및 방화벽 영역을 표시합니다. 

    # firewall-cmd --get-active-zones
external
  interfaces: enp1s0 enp7s0
trusted
  interfaces: enp8s0 enp9s0

  4. 외부 영역에 masquerading이 활성화되어 있는지 확인합니다. 

    # firewall-cmd --info-zone=external
external (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp1s0 enp7s0
  sources:
  services: ssh
  ports:
  protocols:
  masquerade: yes
  ...

정책 기반 라우팅을 사용하여 특정 서브넷의 트래픽에 대해 다른 기본 게이트웨이를 구성할 수 있습니다. 네트워크 RHEL 시스템 역할을 사용하면 라우팅 테이블 및 규칙을 포함하여 연결 프로필 생성을 자동화할 수 있습니다.

예를 들어 기본적으로 기본 경로를 사용하여 모든 트래픽을 인터넷 공급자 A로 라우팅하는 라우터로 RHEL을 구성할 수 있습니다. 그러나 내부 워크스테이션 서브넷에서 수신된 트래픽은 공급자 B로 라우팅됩니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.

이 절차에서는 다음 네트워크 토폴로지를 가정합니다.

policy based routing

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 관리형 노드는 NetworkManager 및 firewalld 서비스를 사용합니다.

  • 구성하려는 관리형 노드에는 4개의 네트워크 인터페이스가 있습니다.

    • enp7s0 인터페이스는 공급자 A의 네트워크에 연결되어 있습니다. 공급자의 네트워크의 게이트웨이 IP는 198.51.100.2 이며 네트워크는 /30 네트워크 마스크를 사용합니다.
    • enp1s0 인터페이스는 공급자 B의 네트워크에 연결되어 있습니다. 공급자의 네트워크의 게이트웨이 IP는 192.0.2.2 이며 네트워크는 /30 네트워크 마스크를 사용합니다.
    • enp8s0 인터페이스는 내부 워크스테이션이 있는 10.0.0.0/24 서브넷에 연결되어 있습니다.
    • enp9s0 인터페이스는 회사의 서버가 있는 203.0.113.0/24 서브넷에 연결되어 있습니다.
  • 내부 워크스테이션 서브넷의 호스트는 10.0.0.1 을 기본 게이트웨이로 사용합니다. 이 절차에서는 이 IP 주소를 라우터의 enp8s0 네트워크 인터페이스에 할당합니다.
  • 서버 서브넷의 호스트는 203.0.113.1 을 기본 게이트웨이로 사용합니다. 이 절차에서는 라우터의 enp9s0 네트워크 인터페이스에 이 IP 주소를 할당합니다.

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configuring policy-based routing
  hosts: managed-node-01.example.com
  tasks:
    - name: Routing traffic from a specific subnet to a different default gateway
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          - name: Provider-A
            interface_name: enp7s0
            type: ethernet
            autoconnect: True
            ip:
              address:
                - 198.51.100.1/30
              gateway4: 198.51.100.2
              dns:
                - 198.51.100.200
            state: up
            zone: external

          - name: Provider-B
            interface_name: enp1s0
            type: ethernet
            autoconnect: True
            ip:
              address:
                - 192.0.2.1/30
              route:
                - network: 0.0.0.0
                  prefix: 0
                  gateway: 192.0.2.2
                  table: 5000
            state: up
            zone: external

          - name: Internal-Workstations
            interface_name: enp8s0
            type: ethernet
            autoconnect: True
            ip:
              address:
                - 10.0.0.1/24
              route:
                - network: 10.0.0.0
                  prefix: 24
                  table: 5000
              routing_rule:
                - priority: 5
                  from: 10.0.0.0/24
                  table: 5000
            state: up
            zone: trusted

          - name: Servers
            interface_name: enp9s0
            type: ethernet
            autoconnect: True
            ip:
              address:
                - 203.0.113.1/24
            state: up
            zone: trusted

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  1. 내부 워크스테이션 서브넷의 RHEL 호스트에서 다음을 수행합니다.

    1. traceroute 패키지를 설치합니다. 

      # dnf install traceroute

    2. traceroute 유틸리티를 사용하여 인터넷의 호스트에 대한 경로를 표시합니다. 

      # traceroute redhat.com
traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets
 1  _gateway (10.0.0.1)     0.337 ms  0.260 ms  0.223 ms
 2  192.0.2.1 (192.0.2.1)   0.884 ms  1.066 ms  1.248 ms
 ...

      명령의 출력은 라우터가 공급자 B의 네트워크인 192.0.2.1 을 통해 패킷을 보내는 것을 표시합니다.

  2. 서버 서브넷의 RHEL 호스트에서 다음을 수행합니다.

    1. traceroute 패키지를 설치합니다. 

      # dnf install traceroute

    2. traceroute 유틸리티를 사용하여 인터넷의 호스트에 대한 경로를 표시합니다. 

      # traceroute redhat.com
traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets
 1  _gateway (203.0.113.1)    2.179 ms  2.073 ms  1.944 ms
 2  198.51.100.2 (198.51.100.2)  1.868 ms  1.798 ms  1.549 ms
 ...

      명령의 출력은 라우터가 공급자 A의 네트워크인 198.51.100.2 를 통해 패킷을 전송한다는 것을 표시합니다.

  3. RHEL 시스템 역할을 사용하여 구성한 RHEL 라우터에서 다음을 수행합니다.

    1. 규칙 목록을 표시합니다. 

      # ip rule list
0:      from all lookup local
5:    from 10.0.0.0/24 lookup 5000
32766:  from all lookup main
32767:  from all lookup default

      기본적으로 RHEL에는 로컬 테이블, 기본 , 기본값 에 대한 규칙이 포함되어 있습니다.

    2. 5000 에 경로를 표시합니다. 

      # ip route list table 5000
default via 192.0.2.2 dev enp1s0 proto static metric 100
10.0.0.0/24 dev enp8s0 proto static scope link src 192.0.2.1 metric 102

    3. 인터페이스 및 방화벽 영역을 표시합니다. 

      # firewall-cmd --get-active-zones
external
  interfaces: enp1s0 enp7s0
trusted
  interfaces: enp8s0 enp9s0

    4. 외부 영역에 masquerading이 활성화되어 있는지 확인합니다. 

      # firewall-cmd --info-zone=external
external (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp1s0 enp7s0
  sources:
  services: ssh
  ports:
  protocols:
  masquerade: yes
  ...

15장. hostnamectl을 사용하여 호스트 이름 변경
링크 복사

hostnamectl 유틸리티를 사용하여 호스트 이름을 업데이트할 수 있습니다.

기본적으로 hostnamectl 은 다음 호스트 이름 유형을 설정합니다.

  • 정적 hostname: /etc/hostname 파일에 저장됨 일반적으로 서비스는 이 이름을 호스트 이름으로 사용합니다.
  • 매우 호스트 이름: 데이터 센터 A의 프록시 서버와 같은 설명적인 이름입니다.
  • 임시 호스트 이름: 일반적으로 네트워크 구성에서 수신되는 대체 값입니다.

프로세스

  1. 선택 사항: 현재 호스트 이름 설정을 표시합니다. 

    # hostnamectl status --static
old-hostname.example.com

  2. 새 호스트 이름을 설정합니다. 

    # hostnamectl set-hostname new-hostname.example.com

    이 명령은 정적 및 일시적인 호스트 이름을 새 값으로 설정합니다. 특정 유형만 설정하려면 --static,--pretty 또는 --transient 옵션을 명령에 전달합니다.

  3. hostnamectl 유틸리티는 새 이름을 활성화하기 위해 systemd-hostnamed 를 자동으로 다시 시작합니다. 변경 사항을 적용하려면 호스트를 재부팅합니다. 

    # reboot

    또는 호스트 이름을 사용하는 서비스를 알고 있는 경우 다음을 수행합니다.

    1. 서비스가 시작될 때 호스트 이름만 읽는 모든 서비스를 다시 시작합니다. 

      # systemctl restart <service_name>
    2. 변경 사항을 적용하려면 활성 쉘 사용자가 다시 로그인해야 합니다.

검증

  • 호스트 이름을 표시합니다. 

    # hostnamectl status --static
new-hostname.example.com

16장. NetworkManager 연결의 DHCP 시간 제한 동작 구성
링크 복사

DHCP를 사용하는 연결 프로필에서 NetworkManager는 DHCP 요청이 완료될 때까지 기본적으로 45초를 기다립니다. 시간 초과 관련 설정을 사용자 지정하여 환경에 연결 프로필을 조정할 수 있습니다.

참고

Red Hat은 NetworkManager-internal DHCP 클라이언트만 지원합니다.

사전 요구 사항

  • DHCP를 사용하는 연결은 호스트에 구성됩니다.

프로세스

  1. 선택 사항: ipv4.dhcp-timeoutipv6.dhcp-timeout 속성을 설정합니다. 예를 들어 두 옵션을 모두 30 초로 설정하려면 다음을 입력합니다. 

    # nmcli connection modify <connection_name> ipv4.dhcp-timeout 30 ipv6.dhcp-timeout 30

    또는 NetworkManager가 성공할 때까지 IP 주소를 요청 및 갱신하지 않도록 구성하려면 매개 변수를 infinity 로 설정합니다.

  2. 선택 사항: NetworkManager가 시간 초과 전에 IPv4 주소를 수신하지 못하는 경우 동작을 구성합니다. 

    # nmcli connection modify <connection_name> ipv4.may-fail <value>

    ipv4.may-fail 옵션을 다음과 같이 설정하는 경우:

    • , 연결 상태는 IPv6 구성에 따라 다릅니다.

      • IPv6 구성이 활성화되어 성공하면 NetworkManager는 IPv6 연결을 활성화하고 더 이상 IPv4 연결을 활성화하지 않습니다.
      • IPv6 구성이 비활성화되었거나 구성되지 않은 경우 연결에 실패합니다.

    • 아니요, 연결이 비활성화됩니다. 이 경우 다음을 수행합니다.

      • 연결의 autoconnect 속성이 활성화된 경우 NetworkManager는 autoconnect-retries 속성에 설정된 대로 연결을 여러 번 활성화하려고 합니다. 기본값은 4 입니다.
      • 연결이 여전히 DHCP 주소를 얻을 수 없는 경우 자동 활성화가 실패합니다. 5분 후에 자동 연결 프로세스가 다시 시작되어 DHCP 서버에서 IP 주소를 가져옵니다.

  3. 선택 사항: NetworkManager가 시간 초과 전에 IPv6 주소를 수신하지 못하는 경우 동작을 구성합니다. 

    # nmcli connection modify <connection_name> ipv6.may-fail <value>

17장. DNS 서버 순서 구성
링크 복사

glibc 라이브러리의 getaddrinfo() 함수는 모든 DNS 요청을 /etc/resolv.conf 파일에 지정된 첫 번째 DNS 서버로 보냅니다. 이 서버가 응답하지 않으면 RHEL은 다른 모든 이름 서버를 시도합니다. /etc/resolv.conf 의 DNS 서버 순서에 영향을 미치도록 NetworkManager를 구성할 수 있습니다.

17.1. NetworkManager가 /etc/resolv.conf의 DNS 서버를 주문하는 방법
링크 복사

NetworkManager는 특정 규칙 세트를 적용하여 /etc/resolv.conf 파일의 DNS 서버를 주문합니다.

순서는 다음 조건에 따라 달라집니다.

  • 하나의 연결 프로필만 존재하는 경우 NetworkManager는 해당 연결에 지정된 IPv4 및 IPv6 DNS 서버의 순서를 사용합니다.

  • 여러 연결 프로필이 활성화되면 NetworkManager는 DNS 우선 순위 값을 기반으로 DNS 서버를 주문합니다. DNS 우선순위를 설정하면 NetworkManager의 동작은 dns 매개변수에 설정된 값에 따라 달라집니다. /etc/NetworkManager/NetworkManager.conf 파일의 [main] 섹션에서 이 매개변수를 설정할 수 있습니다.

    • DNS=default 또는 dns 매개변수가 설정되지 않은 경우:

      NetworkManager는 각 연결에서 ipv4.dns-priorityipv6.dns-priority 매개변수를 기반으로 다양한 연결에서 DNS 서버를 정렬합니다.

      값을 설정하지 않거나 ipv4.dns-priorityipv6.dns-priority0 으로 설정하면 NetworkManager는 글로벌 기본값을 사용합니다.

    • DNS=dnsmasq 또는 dns=systemd-resolved:

      이러한 설정 중 하나를 사용하는 경우 NetworkManager는 dnsmasq127.0.0.1 또는 127.0.0.53/etc/resolv.conf 파일의 nameserver 항목으로 설정합니다.

      dnsmasqsystemd-resolved 서비스는 모두 NetworkManager 연결에 지정된 DNS 서버로 검색 도메인 집합에 대한 쿼리를 전달하며 기본 경로를 사용한 연결로 쿼리를 다른 도메인에 전달합니다. 여러 연결에 동일한 검색 도메인 집합이 있는 경우 dnsmasqsystemd-resolved forward queries for this domain to the DNS server set in the connection with the lowest priority value.

NetworkManager는 연결에 다음 기본값을 사용합니다.

  • VPN 연결의 경우 50
  • 100 다른 연결

글로벌 기본값 및 연결별 ipv4.dns-priorityipv6.dns-priority 매개변수를 -21474836472147483647 사이의 값으로 설정할 수 있습니다.

  • 더 낮은 값은 우선순위가 높습니다.
  • 음수 값은 값이 더 큰 다른 구성을 제외하는 특수 효과가 있습니다. 예를 들어 음수 우선 순위 값을 사용한 연결이 하나 이상 있는 경우 NetworkManager는 우선 순위가 가장 낮은 연결 프로필에 지정된 DNS 서버만 사용합니다.

  • 여러 연결에 동일한 DNS 우선 순위가 있는 경우 NetworkManager는 다음 순서로 DNS에 우선 순위를 지정합니다.

    1. VPN 연결
    2. 활성 기본 경로와 연결됩니다. 활성 기본 경로는 가장 낮은 메트릭이 있는 기본 경로입니다.

17.2. NetworkManager 전체 기본 DNS 서버 우선순위 값 설정
링크 복사

NetworkManager의 시스템 전체 DNS 서버 우선 순위 기본값 기본값을 재정의하여 IPv4 및 IPv6 DNS 서버의 사용자 지정 기본값을 설정할 수 있습니다.

기본값은 다음과 같습니다.

  • VPN 연결의 경우 50
  • 100 다른 연결

프로세스

  1. /etc/NetworkManager/NetworkManager.conf 파일을 편집합니다.

    1. [connection] 섹션이 없는 경우 추가합니다. 

      [connection]

    2. 사용자 지정 기본값을 [connection] 섹션에 추가합니다. 예를 들어 IPv4 및 IPv6의 새 기본값을 200 으로 설정하려면 다음을 추가합니다. 

      ipv4.dns-priority=200
ipv6.dns-priority=200

      매개변수는 -21474836472147483647 사이의 값으로 설정할 수 있습니다. 매개변수를 0 으로 설정하면 기본 제공 기본값이 활성화됩니다( VPN 연결의 경우50 개 및 다른 연결의 경우 100 ).

  2. NetworkManager 서비스를 다시 로드합니다. 

    # systemctl reload NetworkManager

17.3. NetworkManager 연결의 DNS 우선 순위 설정
링크 복사

특정 DNS 서버 순서가 필요한 경우 연결 프로필에 우선순위 값을 설정할 수 있습니다. NetworkManager는 서비스가 /etc/resolv.conf 파일을 생성하거나 업데이트할 때 이러한 값을 사용하여 서버를 주문합니다.

DNS 우선순위를 설정하는 것은 다른 DNS 서버가 구성된 여러 연결이 있는 경우에만 적합합니다. 여러 DNS 서버가 구성된 하나의 연결만 있는 경우 연결 프로필에서 DNS 서버를 기본 순서로 수동으로 설정합니다.

사전 요구 사항

  • 시스템에 여러 NetworkManager 연결이 구성되어 있습니다.
  • /etc/NetworkManager/NetworkManager.conf 파일에 dns 매개변수가 설정되지 않았거나 매개 변수가 기본값 으로 설정됩니다.

프로세스

  1. 선택적으로 사용 가능한 연결을 표시합니다. 

    # nmcli connection show
NAME           UUID                                  TYPE      DEVICE
Example_con_1  d17ee488-4665-4de2-b28a-48befab0cd43  ethernet  enp1s0
Example_con_2  916e4f67-7145-3ffa-9f7b-e7cada8f6bf7  ethernet  enp7s0
...

  2. ipv4.dns-priorityipv6.dns-priority 매개변수를 설정합니다. 예를 들어 두 매개변수를 모두 10 으로 설정하려면 다음을 입력합니다. 

    # nmcli connection modify <connection_name> ipv4.dns-priority 10 ipv6.dns-priority 10
  3. 선택적으로 다른 연결에 대해 이전 단계를 반복합니다.

  4. 업데이트된 연결을 다시 활성화합니다. 

    # nmcli connection up <connection_name>

검증

  • /etc/resolv.conf 파일의 내용을 표시하여 DNS 서버 순서가 올바른지 확인합니다. 

    # cat /etc/resolv.conf

17.4. 특정 인터페이스를 통해 DNS 트래픽 라우팅
링크 복사

NetworkManager는 systemd-resolved,dnsmasq, dnsconf DNS 백엔드를 구성할 수 있습니다. 다중 인터페이스 시스템에서 DNS 확인 문제를 방지하기 위해 NetworkManager는 특정 네트워크 인터페이스에 연결된 DNS 서버의 전용 경로를 자동으로 생성할 수 있습니다.

연결 프로필에 언급된 각 DNS 서버는 특정 네트워크 인터페이스와 연결됩니다. DNS 백엔드 서비스 systemd-resolveddnsmasq 는 각 DNS 이름 서버가 올바른 네트워크 인터페이스를 통해서만 액세스할 수 있도록 합니다. 그러나 다른 백엔드 서비스에서는 이 기능을 지원하지 않습니다. 이와 관련하여 NetworkManager에는 전용 경로를 자동으로 추가하여 각 이름 서버에 올바른 인터페이스를 통해서만 도달할 수 있는 기능이 있습니다. 이 기능을 사용하도록 ipv4.routed-dnsipv6.routed-dns 속성을 설정할 수 있습니다.

예제 시나리오:

  • 연결 프로파일 1 <example-connection-1> :

    • 기본 게이트웨이: 192.0.2.254
    • DNS 서버: 10.0.0.1
    • 검색 도메인: example-domain.com

  • 연결 프로필 2 <example-connection-2> :

    • 기본 게이트웨이: 198.51.100.254 (이 게이트웨이는 10.0.0.0/24 네트워크에 액세스할 수 없음)
    • DNS 서버: 203.0.113.1

이 예에서는 enp1s0<example-connection-2> enp7s0 네트워크 인터페이스를 통해 연결된 두 개의 연결 <example-connection-1> 프로필이 있습니다. 두 번째 <example-connection-2> 프로필이 먼저 연결된 경우 이 연결의 기본 게이트웨이 198.51.100.254 에는 더 낮은 메트릭이 있으며 첫 번째 프로필보다 우선합니다. 결과적으로 RHEL은 첫 번째 프로필의 DNS 서버 10.0.0.1 에 연결하는 동안 두 번째 연결의 기본 게이트웨이를 사용합니다. 이로 인해 DNS 확인이 실패합니다. 이 문제를 해결하려면 NetworkManager가 올바른 인터페이스(이 경우 enp1s0 )를 통해 10.0.0.1 DNS 서버에 대한 전용 경로를 생성하도록 두 연결 프로필에 대해 ipv4.routed-dns 설정을 활성화합니다.

사전 요구 사항

  • 연결 프로필이 이미 존재합니다.

프로세스

  1. 연결 프로필을 수정하여 이름 서버에 대한 경로 생성을 활성화합니다.

    1. 연결 프로필 1의 경우 다음을 입력합니다. 

      # nmcli connection modify <example-connection-1> ipv4.routed-dns yes

    2. 연결 프로필 2의 경우 다음을 입력합니다. 

      # nmcli connection modify <example-connection-2> ipv4.routed-dns yes

  2. 연결을 다시 활성화합니다. 

    # nmcli connection up <example-connection-1>

# nmcli connection up <example-connection-2>

검증

  • IP 주소에 연결할 경로를 표시합니다. 

    # ip route get 203.0.113.1
203.0.113.1  dev  enp1s0  table  20053  src  10.0.0.1  uid  0

    이 명령은 올바른 인터페이스를 통해 이름 서버에 도달했는지 확인하고 특수 라우팅 테이블 20053 에 있는 DNS 서버의 모든 경로를 배치하는 정책 라우팅 방법을 사용합니다.

여러 네트워크 인터페이스가 있고 하나의 DNS 서버가 모든 도메인을 확인할 수 없는 호스트에서 특정 도메인에 대한 DNS 요청을 선택한 DNS 서버로 보내도록 RHEL을 구성할 수 있습니다.

예를 들어 서버를 VPN(Virtual Private Network)에 연결하고 VPN의 호스트는 example.com 도메인을 사용합니다. 이 경우 다음과 같은 방식으로 DNS 쿼리를 처리하도록 RHEL을 구성할 수 있습니다.

  • example.com 에 대한 DNS 요청만 VPN 네트워크의 DNS 서버로 보냅니다.
  • 다른 모든 요청을 기본 게이트웨이를 사용하여 연결 프로필에 구성된 DNS 서버로 보냅니다.

dnsmasq 인스턴스를 시작하도록 NetworkManager를 구성할 수 있습니다. 그런 다음 이 DNS 캐싱 서버는 루프백 장치의 포트 53 에서 수신 대기합니다. 결과적으로 이 서비스는 네트워크가 아닌 로컬 시스템에서만 연결할 수 있습니다.

이 구성을 통해 NetworkManager는 nameserver 127.0.0.1 항목을 /etc/resolv.conf 파일에 추가하고 dnsmasq 는 DNS 요청을 NetworkManager 연결 프로필에 지정된 해당 DNS 서버로 동적으로 라우팅합니다.

사전 요구 사항

  • 시스템에 여러 NetworkManager 연결이 구성되어 있습니다.

  • DNS 서버 및 검색 도메인은 특정 도메인을 확인하는 연결을 위해 구성됩니다.

    예를 들어 VPN 연결에 지정된 DNS 서버가 example.com 도메인에 대한 쿼리를 확인하려면 다음 설정을 사용할 수 있어야 합니다.

    • example.com 을 확인할 수 있는 DNS 서버 . DHCP 서버는 이 정보를 동적으로 제공하거나 VPN 연결 프로필에서 ipv4.dnsipv6.dns 매개변수를 설정할 수 있습니다.
    • example.com 으로 설정된 검색 도메인 . DHCP 서버는 이 정보를 동적으로 제공하거나 VPN 연결 프로필에 ipv4.dns-searchipv6.dns-search 매개변수를 설정할 수 있습니다.
  • dnsmasq 서비스는 localhost 와 다른 인터페이스에서 수신 대기하도록 구성되지 않았거나 실행되고 있지 않습니다.

프로세스

  1. dnsmasq 패키지를 설치합니다. 

    # dnf install dnsmasq

  2. /etc/NetworkManager/NetworkManager.conf 파일을 편집하고 [main] 섹션에 다음 항목을 설정합니다. 

    dns=dnsmasq

  3. NetworkManager 서비스를 다시 로드합니다. 

    # systemctl reload NetworkManager

검증

  1. 서비스에서 다른 DNS 서버를 사용하는 도메인의 NetworkManager 장치의 systemd 저널을 검색합니다. 

    # journalctl -xeu NetworkManager
...
Jun 02 13:30:17 <client_hostname>_ dnsmasq[5298]: using nameserver 198.51.100.7#53 for domain example.com
...

  2. tcpdump 패킷 스니퍼를 사용하여 DNS 요청의 올바른 경로를 확인합니다.

    1. tcpdump 패키지를 설치합니다. 

      # dnf install tcpdump

    2. 한 터미널에서 tcpdump 를 시작하여 모든 인터페이스에서 DNS 트래픽을 캡처합니다. 

      # tcpdump -i any port 53

    3. 다른 터미널에서 예외와 다른 도메인이 존재하는 도메인의 호스트 이름을 확인합니다. 예를 들면 다음과 같습니다. 

      # host -t A www.example.com
# host -t A www.redhat.com

    4. tcpdump 출력에서 Red Hat Enterprise Linux가 example.com 도메인에 대한 DNS 쿼리만 지정된 DNS 서버와 해당 인터페이스를 통해 전송하는지 확인합니다. 

      ...
13:52:42.234533 tun0   Out IP server.43534 > 198.51.100.7.domain: 50121+ A? www.example.com. (33)
...
13:52:57.753235 enp1s0 Out IP server.40864 > 192.0.2.1.domain: 6906+ A? www.redhat.com. (33)
...

      Red Hat Enterprise Linux는 www.example.com 의 DNS 쿼리를 198.51.100.7 의 DNS 서버에 전송하고 www.redhat.com 에 대한 쿼리를 192.0.2.1 로 보냅니다.

문제 해결

  1. /etc/resolv.conf 파일의 nameserver 항목이 127.0.0.1:을 참조하는지 확인합니다. 

    # cat /etc/resolv.conf
nameserver 127.0.0.1

    항목이 없는 경우 /etc/NetworkManager/NetworkManager.conf 파일에서 dns 매개변수를 확인합니다.

  2. dnsmasq 서비스가 루프백 장치의 포트 53 에서 수신 대기하는지 확인합니다. 

    # ss -tulpn | grep "127.0.0.1:53"
udp  UNCONN 0  0    127.0.0.1:53   0.0.0.0:*    users:(("dnsmasq",pid=7340,fd=18))
tcp  LISTEN 0  32   127.0.0.1:53   0.0.0.0:*    users:(("dnsmasq",pid=7340,fd=19))

    서비스가 127.0.0.1:53 에서 수신 대기하지 않으면 NetworkManager 장치의 저널 항목을 확인합니다. 

    # journalctl -u NetworkManager

IEEE 802.1X 표준을 기반으로 하는 포트 기반 NAC(Network Access Control)는 무단 클라이언트로부터 네트워크를 보호합니다. 네트워크에서 EAP-TLS(Extensible Authentication Protocol Transport Layer Security)를 사용하는 경우 클라이언트를 인증하는 인증서가 필요합니다.

19.1. nmcli를 사용하여 기존 이더넷 연결에서 802.1X 네트워크 인증 구성
링크 복사

nmcli 유틸리티를 사용하여 명령줄에서 802.1X 네트워크 인증을 사용하여 이더넷 연결을 구성할 수 있습니다.

사전 요구 사항

  • 네트워크는 802.1X 네트워크 인증을 지원합니다.
  • 이더넷 연결 프로파일은 NetworkManager에 존재하며 유효한 IP 구성이 있습니다.

  • TLS 인증에 필요한 다음 파일이 클라이언트에 있습니다.

    • 저장된 클라이언트 키는 /etc/pki/tls/private/client.key 파일에 있으며 root 사용자만 파일을 소유할 수 있습니다.
    • 클라이언트 인증서는 /etc/pki/tls/certs/client.crt 파일에 저장됩니다.
    • CA(인증 기관) 인증서는 /etc/pki/tls/certs/ca.crt 파일에 저장됩니다.
  • wpa_supplicant 패키지가 설치됩니다.

프로세스

  1. EAP(Extensible Authentication Protocol)를 tls 로 설정하고 클라이언트 인증서 및 키 파일의 경로를 설정합니다. 

    # nmcli connection modify enp1s0 802-1x.eap tls 802-1x.client-cert /etc/pki/tls/certs/client.crt 802-1x.private-key /etc/pki/tls/private/client.key

    단일 명령에서 802-1x.eap,802-1x.client-cert802-1x.private-key 매개변수를 설정해야 합니다.

  2. CA 인증서의 경로를 설정합니다. 

    # nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/tls/certs/ca.crt

  3. 인증서에 사용된 사용자의 ID를 설정합니다. 

    # nmcli connection modify enp1s0 802-1x.identity user@example.com

  4. 선택 사항: 암호를 구성에 저장합니다. 

    # nmcli connection modify enp1s0 802-1x.private-key-password password
    중요

    기본적으로 NetworkManager는 암호를 디스크의 연결 프로필에 일반 텍스트로 저장하지만 root 사용자만 파일을 읽을 수 있습니다. 그러나 구성 파일의 일반 텍스트 암호는 보안 위험이 될 수 있습니다.

    보안을 강화하려면 802-1x.password-flags 매개변수를 에이전트 소유 로 설정합니다. 이 설정을 사용하면 인증 키를 잠금 해제한 후 NetworkManager가 이러한 서비스에서 암호를 검색하는 GNOME 데스크탑 환경 또는 nm-applet 이 있는 서버에서 암호를 검색합니다. 다른 경우에는 NetworkManager에서 암호를 입력하라는 메시지를 표시합니다.

  5. 연결 프로필을 활성화합니다. 

    # nmcli connection up enp1s0

검증

  • 네트워크 인증이 필요한 네트워크의 리소스에 액세스합니다.

선언적 Nmstate API를 사용하여 802.1X 네트워크 인증으로 이더넷 연결을 구성할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

참고

nmstate 라이브러리는 TLS EAP(Extensible Authentication Protocol) 메서드만 지원합니다.

사전 요구 사항

  • 네트워크는 802.1X 네트워크 인증을 지원합니다.
  • 관리 노드는 NetworkManager를 사용합니다.

  • TLS 인증에 필요한 다음 파일이 클라이언트에 있습니다.

    • 저장된 클라이언트 키는 /etc/pki/tls/private/client.key 파일에 있으며 root 사용자만 파일을 소유할 수 있습니다.
    • 클라이언트 인증서는 /etc/pki/tls/certs/client.crt 파일에 저장됩니다.
    • CA(인증 기관) 인증서는 /etc/pki/tls/certs/ca.crt 파일에 저장됩니다.

프로세스

  1. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/create-ethernet-profile.yml )을 만듭니다. 

    ---
interfaces:
- name: enp1s0
  type: ethernet
  state: up
  ipv4:
    enabled: true
    address:
    - ip: 192.0.2.1
      prefix-length: 24
    dhcp: false
  ipv6:
    enabled: true
    address:
    - ip: 2001:db8:1::1
      prefix-length: 64
    autoconf: false
    dhcp: false
  802.1x:
    ca-cert: /etc/pki/tls/certs/ca.crt
    client-cert: /etc/pki/tls/certs/client.crt
    eap-methods:
      - tls
    identity: client.example.org
    private-key: /etc/pki/tls/private/client.key
    private-key-password: password
routes:
  config:
  - destination: 0.0.0.0/0
    next-hop-address: 192.0.2.254
    next-hop-interface: enp1s0
  - destination: ::/0
    next-hop-address: 2001:db8:1::fffe
    next-hop-interface: enp1s0
dns-resolver:
  config:
    search:
    - example.com
    server:
    - 192.0.2.200
    - 2001:db8:1::ffbb

    이러한 설정은 다음 설정을 사용하여 enp1s0 장치에 대한 이더넷 연결 프로필을 정의합니다.

    • 정적 IPv4 주소 - 192.0.2.1/24 서브넷 마스크
    • /64 서브넷 마스크가 있는 정적 IPv6 주소 2001:db8:1::1
    • IPv4 기본 게이트웨이 - 192.0.2.254
    • IPv6 기본 게이트웨이 - 2001:db8:1::fffe
    • IPv4 DNS 서버 - 192.0.2.200
    • IPv6 DNS 서버 - 2001:db8:1::ffbb
    • DNS 검색 도메인 - example.com
    • TLS EAP 프로토콜을 사용한 802.1x 네트워크 인증

  2. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/create-ethernet-profile.yml

검증

  • 네트워크 인증이 필요한 네트워크의 리소스에 액세스합니다.

네트워크 RHEL 시스템 역할을 사용하면 원격 호스트에서 NAC(Network Access Control) 설정을 자동화할 수 있습니다. 플레이북에서 클라이언트에 대한 인증 세부 정보를 정의하여 권한이 있는 클라이언트만 네트워크에 액세스할 수 있도록 할 수 있습니다.

Ansible 플레이북을 사용하여 개인 키, 인증서 및 CA 인증서를 클라이언트에 복사한 다음 네트워크 RHEL 시스템 역할을 사용하여 802.1X 네트워크 인증으로 연결 프로필을 구성할 수 있습니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 네트워크는 802.1X 네트워크 인증을 지원합니다.
  • 관리형 노드는 NetworkManager를 사용합니다.

  • TLS 인증에 필요한 다음 파일이 제어 노드에 있습니다.

    • 클라이언트 키는 /srv/data/client.key 파일에 저장됩니다.
    • 클라이언트 인증서는 /srv/data/client.crt 파일에 저장됩니다.
    • CA(인증 기관) 인증서는 /srv/data/ca.crt 파일에 저장됩니다.

프로세스

  1. 중요한 변수를 암호화된 파일에 저장합니다.

    1. 자격 증명 모음을 생성합니다. 

      $ ansible-vault create ~/vault.yml
New Vault password: <vault_password>
Confirm New Vault password: <vault_password>

    2. ansible-vault create 명령이 편집기를 열고 < key > : < value > 형식으로 중요한 데이터를 입력합니다. 

      pwd: <password>
    3. 변경 사항을 저장하고 편집기를 종료합니다. Ansible은 자격 증명 모음의 데이터를 암호화합니다.

  2. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure an Ethernet connection with 802.1X authentication
  hosts: managed-node-01.example.com
  vars_files:
    - ~/vault.yml
  tasks:
    - name: Copy client key for 802.1X authentication
      ansible.builtin.copy:
        src: "/srv/data/client.key"
        dest: "/etc/pki/tls/private/client.key"
        mode: 0600

    - name: Copy client certificate for 802.1X authentication
      ansible.builtin.copy:
        src: "/srv/data/client.crt"
        dest: "/etc/pki/tls/certs/client.crt"

    - name: Copy CA certificate for 802.1X authentication
      ansible.builtin.copy:
        src: "/srv/data/ca.crt"
        dest: "/etc/pki/ca-trust/source/anchors/ca.crt"

    - name: Ethernet connection profile with static IP address settings and 802.1X
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          - name: enp1s0
            type: ethernet
            autoconnect: yes
            ip:
              address:
                - 192.0.2.1/24
                - 2001:db8:1::1/64
              gateway4: 192.0.2.254
              gateway6: 2001:db8:1::fffe
              dns:
                - 192.0.2.200
                - 2001:db8:1::ffbb
              dns_search:
                - example.com
            ieee802_1x:
              identity: <user_name>
              eap: tls
              private_key: "/etc/pki/tls/private/client.key"
              private_key_password: "{{ pwd }}"
              client_cert: "/etc/pki/tls/certs/client.crt"
              ca_cert: "/etc/pki/ca-trust/source/anchors/ca.crt"
              domain_suffix_match: example.com
            state: up

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    ieee802_1x
    이 변수에는 802.1X 관련 설정이 포함되어 있습니다.
    EAP: tls
    EAP(Extensible Authentication Protocol)에 대한 인증서 기반 TLS 인증 방법을 사용하도록 프로필을 구성합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  3. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  4. Playbook을 실행합니다. 

    $ ansible-playbook --ask-vault-pass ~/playbook.yml

검증

  • 네트워크 인증이 필요한 네트워크의 리소스에 액세스합니다.

네트워크 RHEL 시스템 역할을 사용하면 원격 호스트에서 NAC(Network Access Control) 설정을 자동화할 수 있습니다. 플레이북에서 클라이언트에 대한 인증 세부 정보를 정의하여 권한이 있는 클라이언트만 네트워크에 액세스할 수 있도록 할 수 있습니다.

Ansible 플레이북을 사용하여 개인 키, 인증서 및 CA 인증서를 클라이언트에 복사한 다음 네트워크 RHEL 시스템 역할을 사용하여 802.1X 네트워크 인증으로 연결 프로필을 구성할 수 있습니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • 네트워크는 802.1X 네트워크 인증을 지원합니다.
  • 관리 노드에 wpa_supplicant 패키지가 설치되어 있어야 합니다.
  • DHCP는 관리 노드의 네트워크에서 사용할 수 있습니다.

  • 제어 노드에 TLS 인증에 필요한 다음 파일이 있습니다.

    • 클라이언트 키는 /srv/data/client.key 파일에 저장됩니다.
    • 클라이언트 인증서는 /srv/data/client.crt 파일에 저장됩니다.
    • CA 인증서는 /srv/data/ca.crt 파일에 저장됩니다.

프로세스

  1. 중요한 변수를 암호화된 파일에 저장합니다.

    1. 자격 증명 모음을 생성합니다. 

      $ ansible-vault create ~/vault.yml
New Vault password: <vault_password>
Confirm New Vault password: <vault_password>

    2. ansible-vault create 명령이 편집기를 열고 < key > : < value > 형식으로 중요한 데이터를 입력합니다. 

      pwd: <password>
    3. 변경 사항을 저장하고 편집기를 종료합니다. Ansible은 자격 증명 모음의 데이터를 암호화합니다.

  2. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure a wifi connection with 802.1X authentication
  hosts: managed-node-01.example.com
  vars_files:
    - ~/vault.yml
  tasks:
    - name: Copy client key for 802.1X authentication
      ansible.builtin.copy:
        src: "/srv/data/client.key"
        dest: "/etc/pki/tls/private/client.key"
        mode: 0400

    - name: Copy client certificate for 802.1X authentication
      ansible.builtin.copy:
        src: "/srv/data/client.crt"
        dest: "/etc/pki/tls/certs/client.crt"

    - name: Copy CA certificate for 802.1X authentication
      ansible.builtin.copy:
        src: "/srv/data/ca.crt"
        dest: "/etc/pki/ca-trust/source/anchors/ca.crt"

    - name: Wifi connection profile with dynamic IP address settings and 802.1X
      ansible.builtin.import_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          - name: Wifi connection profile with dynamic IP address settings and 802.1X
            interface_name: wlp1s0
            state: up
            type: wireless
            autoconnect: yes
            ip:
              dhcp4: true
              auto6: true
            wireless:
              ssid: "Example-wifi"
              key_mgmt: "wpa-eap"
            ieee802_1x:
              identity: <user_name>
              eap: tls
              private_key: "/etc/pki/tls/private/client.key"
              private_key_password: "{{ pwd }}"
              private_key_password_flags: none
              client_cert: "/etc/pki/tls/certs/client.crt"
              ca_cert: "/etc/pki/ca-trust/source/anchors/ca.crt"
              domain_suffix_match: "example.com"
              network_allow_restart: true

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    ieee802_1x
    이 변수에는 802.1X 관련 설정이 포함되어 있습니다.
    EAP: tls
    EAP(Extensible Authentication Protocol)에 대한 인증서 기반 TLS 인증 방법을 사용하도록 프로필을 구성합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  3. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  4. Playbook을 실행합니다. 

    $ ansible-playbook --ask-vault-pass ~/playbook.yml

IEEE 802.1X 표준은 권한이 없는 클라이언트로부터 네트워크를 보호하기 위한 보안 인증 및 권한 부여 방법을 정의합니다. hostapd 서비스 및 FreeRADIUS를 사용하면 네트워크에서 NAC(Network Access Control)를 제공할 수 있습니다.

참고

Red Hat은 Red Hat IdM(Identity Management)이 있는 FreeRADIUS만 인증 백엔드 소스로 지원합니다.

이 설명서에서 RHEL 호스트는 기존 네트워크와 다른 클라이언트를 연결하는 브리지 역할을 합니다. 그러나 RHEL 호스트는 인증된 클라이언트만 네트워크에 액세스할 수 있습니다.

RHEL Authenticator 802 1x

20.1. 사전 요구 사항
링크 복사

  • freeradiusfreeradius-ldap 패키지를 새로 설치합니다.

    패키지가 이미 설치된 경우 /etc/raddb/ 디렉터리를 제거한 다음 패키지를 다시 설치합니다. /etc/raddb/ 디렉터리의 권한 및 심볼릭 링크가 다르기 때문에 dnf reinstall 명령을 사용하여 패키지를 다시 설치하지 마십시오.

  • FreeRADIUS를 구성하려는 호스트 는 IdM 도메인의 클라이언트 입니다.

20.2. 인증자에서 브리지 설정
링크 복사

네트워크 브리지는 MAC 주소 테이블을 기반으로 호스트와 네트워크 간에 트래픽을 전달하는 링크 계층 장치입니다. RHEL을 802.1X 인증기로 설정하는 경우 인증을 수행할 인터페이스와 LAN 인터페이스를 브리지에 추가합니다.

사전 요구 사항

  • 서버에는 여러 이더넷 인터페이스가 있습니다.

프로세스

  1. 브리지 인터페이스가 없는 경우 이를 생성합니다. 

    # nmcli connection add type bridge con-name br0 ifname br0

  2. 브릿지에 이더넷 인터페이스를 할당합니다. 

    # nmcli connection add type ethernet port-type bridge con-name br0-port1 ifname enp1s0 controller br0
# nmcli connection add type ethernet port-type bridge con-name br0-port2 ifname enp7s0 controller br0
# nmcli connection add type ethernet port-type bridge con-name br0-port3 ifname enp8s0 controller br0
# nmcli connection add type ethernet port-type bridge con-name br0-port4 ifname enp9s0 controller br0

  3. 브리지를 활성화하여 LAN(EAPOL) 패킷을 통해 확장 가능한 인증 프로토콜을 전달합니다. 

    # nmcli connection modify br0 group-forward-mask 8

  4. 브리지 장치에서 Spanning Tree Protocol (STP)을 비활성화합니다. 

    # *nmcli connection modify br0 stp off"

  5. 포트를 자동으로 활성화하도록 연결을 구성합니다. 

    # nmcli connection modify br0 connection.autoconnect-ports 1

  6. 연결을 활성화합니다. 

    # nmcli connection up br0

검증

  1. 특정 브리지의 포트인 이더넷 장치의 링크 상태를 표시합니다. 

    # ip link show master br0
3: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master br0 state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff
...

  2. br0 장치에서 EAPOL 패킷의 전달이 활성화되었는지 확인합니다. 

    # cat /sys/class/net/br0/bridge/group_fwd_mask
0x8

    명령이 0x8 을 반환하면 전달이 활성화됩니다.

Freeradius는 EAP(Extensible Authentication Protocol)의 다양한 방법을 지원합니다. 그러나 지원되는 보안 시나리오의 경우 EAP-TTLS(tunneled transport layer security)를 사용합니다.

EAP-TTLS를 사용하면 클라이언트는 보안 TLS 연결을 외부 인증 프로토콜로 사용하여 터널을 설정합니다. 그런 다음 내부 인증은 LDAP를 사용하여 Identity Management에 인증합니다. EAP-TTLS를 사용하려면 TLS 서버 인증서가 필요합니다.

참고

기본 FreeRADIUS 구성 파일은 문서 역할을 하며 모든 매개변수 및 지시문을 설명합니다. 특정 기능을 비활성화하려면 구성 파일에서 해당 부분을 제거하는 대신 주석 처리하십시오. 이를 통해 구성 파일 및 포함된 문서의 구조를 유지할 수 있습니다.

사전 요구 사항

  • freeradiusfreeradius-ldap 패키지를 설치했습니다.
  • /etc/raddb/ 디렉토리의 구성 파일은 변경되지 않고 freeradius 패키지에서 제공하는 대로 설정됩니다.
  • 호스트는 Red Hat IdM(Identity Management) 도메인에 등록되어 있습니다.

프로세스

  1. 개인 키를 생성하고 IdM에서 인증서를 요청합니다. 

    # ipa-getcert request -w -k /etc/pki/tls/private/radius.key -f /etc/pki/tls/certs/radius.pem -o "root:radiusd" -m 640 -O "root:radiusd" -M 640 -T caIPAserviceCert -C 'systemctl restart radiusd.service' -N freeradius.idm.example.com -D freeradius.idm.example.com -K radius/freeradius.idm.example.com

    certmonger 서비스는 개인 키를 /etc/pki/tls/private/radius.key 파일에 저장하고 /etc/pki/tls/certs/radius.pem 파일에 인증서를 저장하고 보안 권한을 설정합니다. 또한 certmonger 는 인증서를 모니터링하고 만료되기 전에 갱신한 후 인증서가 갱신된 후 반경된 서비스를 다시 시작합니다.

  2. CA에서 인증서를 발급했는지 확인합니다. 

    # ipa-getcert list -f /etc/pki/tls/certs/radius.pem
...
Number of certificates and requests being tracked: 1.
Request ID '20240918142211':
        status: MONITORING
        stuck: no
        key pair storage: type=FILE,location='/etc/pki/tls/private/radius.key'
        certificate: type=FILE,location='/etc/pki/tls/certs/radius.crt'
        ...

  3. Diffie-Hellman(DH) 매개변수를 사용하여 /etc/raddb/certs/dh 파일을 만듭니다. 예를 들어 2048비트 소수를 사용하여 DH 파일을 만들려면 다음을 입력합니다. 

    # openssl dhparam -out /etc/raddb/certs/dh 2048

    보안상의 이유로 2048비트 소수가 있는 DH 파일을 사용하지 마십시오. 비트 수에 따라 파일 생성에 몇 분이 걸릴 수 있습니다.

  4. /etc/raddb/mods-available/eap 파일을 편집합니다.

    1. tls-config tls-common 지시문에서 TLS 관련 설정을 구성합니다. 

      eap {
    ...
    tls-config tls-common {
        ...
	private_key_file = /etc/pki/tls/private/radius.key
	certificate_file = /etc/pki/tls/certs/radius.pem
	ca_file = /etc/ipa/ca.crt
        ...
    }
}

    2. Cryostat 지시문에서 default_eap_type 매개변수를 ttls:로 설정합니다. 

      eap {
    ...
    default_eap_type = ttls
    ...
}

    3. 비보안 EAP-MD5 인증 방법을 비활성화하려면 md5 지시문을 주석 처리합니다. 

      eap {
    ...
    # md5 {
    # }
    ...
}

      기본 구성 파일에서 다른 비보안 EAP 인증 방법은 기본적으로 주석 처리됩니다.

  5. /etc/raddb/sites-available/default 파일을 편집하고 Cryostat 이외의 모든 인증 방법을 주석 처리합니다. 

    authenticate {
    ...
    # Auth-Type PAP {
    #     pap
    # }

    # Auth-Type CHAP {
    #     chap
    # }

    # Auth-Type MS-CHAP {
    #     mschap
    # }

    # mschap

    # digest
    ...
}

    이렇게 하면 외부 인증에 대해 EAP만 활성화되고 일반 텍스트 인증 방법을 비활성화합니다.

  6. /etc/raddb/sites-available/inner-tunnel 파일을 편집하고 다음과 같이 변경합니다.

    1. -ldap 항목을 주석 처리하고 ldap 모듈 구성을 authorize 지시문에 추가합니다. 

      authorize {
    ...

    #-ldap
    ldap
    if ((ok || updated) && User-Password) {
        update {
            control:Auth-Type := ldap
        }
    }

    ...
}

    2. authenticate 지시문에서 LDAP 인증 유형의 주석을 제거합니다. 

      authenticate {
    Auth-Type LDAP {
        ldap
    }
}

  7. ldap 모듈을 활성화합니다. 

    # ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

  8. /etc/raddb/mods-available/ldap 파일을 편집하고 다음과 같이 변경합니다.

    1. ldap 지시문에서 IdM LDAP 서버 URL과 기본 고유 이름(DN)을 설정합니다. 

      ldap {
    ...
    server = 'ldaps://idm_server.idm.example.com'
    base_dn = 'cn=users,cn=accounts,dc=idm,dc=example,dc=com'
    ...
}

      FreeRADIUS 호스트와 IdM 서버 간에 TLS 암호화 연결을 사용하도록 서버 URL에서 ldaps 프로토콜을 지정합니다.

    2. ldap 지시문에서 IdM LDAP 서버의 TLS 인증서 유효성 검사를 활성화합니다. 

      tls {
    ...
        require_cert = 'demand'
    ...
}

  9. /etc/raddb/clients.conf 파일을 편집합니다.

    1. localhostlocalhost_ipv6 클라이언트 지시문에 보안 암호를 설정합니다. 

      client localhost {
    ipaddr = 127.0.0.1
    ...
    secret = localhost_client_password
    ...
}

client localhost_ipv6 {
    ipv6addr = ::1
    secret = localhost_client_password
}

    2. 네트워크 인증자의 클라이언트 지시문을 추가합니다. 

      client hostapd.example.org {
    ipaddr = 192.0.2.2/32
    secret = hostapd_client_password
}

    3. 선택 사항: 다른 호스트도 FreeRADIUS 서비스에 액세스할 수 있어야 하는 경우 다음과 같이 클라이언트 지시문을 추가합니다. 

      client <hostname_or_description> {
    ipaddr = <IP_address_or_range>
    secret = <client_password>
}

      ipaddr 매개변수는 IPv4 및 IPv6 주소를 허용하고, 선택적 CIDR(Classless inter-domain routing) 표기법을 사용하여 범위를 지정할 수 있습니다. 그러나 이 매개변수에서 하나의 값만 설정할 수 있습니다. 예를 들어 IPv4 및 IPv6 주소에 대한 액세스 권한을 부여하려면 두 개의 클라이언트 지시문을 추가해야 합니다.

      클라이언트 지시문에 설명이 포함된 이름(예: 호스트 이름 또는 IP 범위가 사용되는 위치를 설명하는 단어)을 사용합니다.

  10. 구성 파일을 확인합니다. 

    # radiusd -XC
...
Configuration appears to be OK

  11. firewalld 서비스에서 RADIUS 포트를 엽니다. 

    # firewall-cmd --permanent --add-service=radius
# firewall-cmd --reload

  12. 반경된 서비스를 활성화하고 시작합니다. 

    # systemctl enable --now radiusd

검증

문제 해결

  • 반경 서비스가 시작되지 않으면 IdM 서버 호스트 이름을 확인할 수 있는지 확인합니다. 

    # host -v idm_server.idm.example.com

  • 다른 문제의 경우 디버그 모드에서 반경을 실행하십시오.

    1. 반경된 서비스를 중지합니다. 

      # systemctl stop radiusd

    2. 디버그 모드에서 서비스를 시작합니다. 

      # radiusd -X
...
Ready to process requests
    3. 확인 섹션에서 참조된 FreeRADIUS 호스트에서 인증 테스트를 수행합니다.

다음 단계

  • 더 이상 필수 인증 방법 및 사용하지 않는 기타 기능을 비활성화합니다.

20.4. 유선 네트워크에서 hostapd 를 인증자로 구성
링크 복사

호스트 액세스 포인트 데몬(hostapd) 서비스는 802.1X 인증을 제공하기 위해 유선 네트워크에서 인증자 역할을 할 수 있습니다. 이를 위해 hostapd 서비스에는 클라이언트를 인증하는 RADIUS 서버가 필요합니다.

hostapd 서비스는 통합된 RADIUS 서버를 제공합니다. 그러나 통합 RADIUS 서버는 테스트 목적으로만 사용합니다. 프로덕션 환경의 경우 다양한 인증 방법 및 액세스 제어와 같은 추가 기능을 지원하는 FreeRADIUS 서버를 사용합니다.

중요

hostapd 서비스는 트래픽 플레인과 상호 작용하지 않습니다. 서비스는 인증자 역할을만 합니다. 예를 들어 hostapd 제어 인터페이스를 사용하여 인증 이벤트 결과에 따라 트래픽을 허용하거나 거부하는 스크립트 또는 서비스를 사용합니다.

사전 요구 사항

  • hostapd 패키지를 설치했습니다.
  • FreeRADIUS 서버가 구성되었으며 클라이언트를 인증할 준비가 되었습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 /etc/hostapd/hostapd.conf 파일을 만듭니다. 

    # General settings of hostapd
# ===========================

# Control interface settings
ctrl_interface=/var/run/hostapd
ctrl_interface_group=wheel

# Enable logging for all modules
logger_syslog=-1
logger_stdout=-1

# Log level
logger_syslog_level=2
logger_stdout_level=2


# Wired 802.1X authentication
# ===========================

# Driver interface type
driver=wired

# Enable IEEE 802.1X authorization
ieee8021x=1

# Use port access entry (PAE) group address
# (01:80:c2:00:00:03) when sending EAPOL frames
use_pae_group_addr=1


# Network interface for authentication requests
interface=br0


# RADIUS client configuration
# ===========================

# Local IP address used as NAS-IP-Address
own_ip_addr=192.0.2.2

# Unique NAS-Identifier within scope of RADIUS server
nas_identifier=hostapd.example.org

# RADIUS authentication server
auth_server_addr=192.0.2.1
auth_server_port=1812
auth_server_shared_secret=hostapd_client_password

# RADIUS accounting server
acct_server_addr=192.0.2.1
acct_server_port=1813
acct_server_shared_secret=hostapd_client_password

    이 구성에 사용된 매개변수에 대한 자세한 내용은 /usr/share/doc/hostapd/hostapd.conf 예제 구성 파일에서 설명을 참조하십시오.

  2. hostapd 서비스를 활성화하고 시작합니다. 

    # systemctl enable --now hostapd

검증

문제 해결

  • hostapd 서비스가 시작되지 않으면 /etc/hostapd/hostapd.conf 파일에서 사용하는 브리지 인터페이스가 시스템에 있는지 확인합니다. 

    # ip link show br0

  • 다른 문제의 경우 디버그 모드에서 hostapd 를 실행합니다.

    1. hostapd 서비스를 중지합니다. 

      # systemctl stop hostapd

    2. 디버그 모드에서 서비스를 시작합니다. 

      # hostapd -d /etc/hostapd/hostapd.conf
    3. 확인 섹션에서 참조된 FreeRADIUS 호스트에서 인증 테스트를 수행합니다.

20.5. FreeRADIUS 서버 또는 인증자에 대한 EAP-TTLS 인증 테스트
링크 복사

FreeRADIUS 서버와 hostapd 서비스를 설정한 후 터널링된 전송 계층 보안(EAP-TTLS)을 통해 EAP(확장된 인증 프로토콜)를 사용하여 인증이 예상대로 작동하는지 테스트합니다.

이 절차에서 사용되는 테스트 유틸리티의 출력은 EAP 통신에 대한 추가 정보를 제공하고 문제를 디버깅하는 데 도움이 됩니다.

사전 요구 사항

  • FreeRADIUS 서버를 설정합니다.
  • hostapd 서비스를 802.1X 네트워크 인증을 위한 인증기로 설정합니다.

  • 인증하려는 경우 다음을 수행합니다.

    • FreeRADIUS 서버:

      • hostapd 패키지에서 제공하는 Cryostatol _test 유틸리티가 설치됩니다.
      • 이 절차를 실행하는 클라이언트는 FreeRADIUS 서버의 클라이언트 데이터베이스에서 인증되었습니다.
    • 동일한 이름의 패키지에서 제공하는 wpa_supplicant 유틸리티인 Authenticator가 설치됩니다.
  • CA(인증 기관) 인증서를 /etc/ipa/ca.cert 파일에 저장했습니다.

프로세스

  1. 선택 사항: IdM(Identity Management)에서 사용자를 생성합니다. 

    # ipa user-add --first "Test" --last "User" idm_user --password

  2. 다음 콘텐츠를 사용하여 /etc/wpa_supplicant/wpa_supplicant-TTLS.conf 파일을 생성합니다. 

    ap_scan=0

network={
    eap=TTLS
    eapol_flags=0
    key_mgmt=IEEE8021X

    # Anonymous identity (sent in unencrypted phase 1)
    # Can be any string
    anonymous_identity="anonymous"

    # Inner authentication (sent in TLS-encrypted phase 2)
    phase2="auth=PAP"
    identity="idm_user"
    password="idm_user_password"

    # CA certificate to validate the RADIUS server's identity
    ca_cert="/etc/ipa/ca.crt"
}

  3. 인증하려면 다음을 수행합니다.

    • FreeRADIUS 서버는 다음을 입력합니다. 

      # eapol_test -c /etc/wpa_supplicant/wpa_supplicant-TTLS.conf -a 192.0.2.1 -s <client_password>
...
EAP: Status notification: remote certificate verification (param=success)
...
CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
...
SUCCESS

      a 옵션은 FreeRADIUS 서버의 IP 주소를 정의하고 -s 옵션은 FreeRADIUS 서버의 클라이언트 구성에서 명령을 실행하는 호스트의 암호를 지정합니다.

    • 인증기를 입력하면 다음을 입력합니다. 

      # wpa_supplicant -c /etc/wpa_supplicant/wpa_supplicant-TTLS.conf -D wired -i enp0s31f6
...
enp0s31f6: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
...

      i 옵션은 wpa_supplicant 가 LAN(EAPOL) 패킷을 통해 확장 인증 프로토콜을 전송하는 네트워크 인터페이스 이름을 지정합니다.

      자세한 디버깅 정보를 보려면 -d 옵션을 명령에 전달합니다.

20.6. 호스트된 인증 이벤트를 기반으로 트래픽 차단 및 허용
링크 복사

hostapd 서비스는 트래픽 플레인과 상호 작용하지 않습니다. 서비스는 인증자 역할을만 합니다. 그러나 인증 이벤트 결과에 따라 트래픽을 허용 및 거부하는 스크립트를 작성할 수 있습니다.

중요

이 절차는 지원되지 않으며 엔터프라이즈급 솔루션이 아닙니다. hostapd_cli 에서 검색한 이벤트를 평가하여 트래픽을 차단하거나 허용하는 방법만 보여줍니다.

802-1x-tr-mgmt systemd 서비스가 시작되면 RHEL은 EAPOL(Extensible Authentication Protocol over LAN) 패킷을 제외하고 hostapd 의 수신 포트에서 모든 트래픽을 차단하고 hostapd_cli 유틸리티를 사용하여 hostapd 제어 인터페이스에 연결합니다. 그런 다음 /usr/local/bin/802-1x-tr-mgmt 스크립트를 사용하여 이벤트를 평가합니다. hostapd_cli 에서 수신한 다양한 이벤트에 따라 스크립트는 MAC 주소에 대한 트래픽을 허용하거나 차단합니다. 802-1x-tr-mgmt 서비스가 중지되면 모든 트래픽이 자동으로 다시 허용됩니다.

hostapd 서버에서 이 절차를 수행합니다.

사전 요구 사항

  • hostapd 서비스가 구성되었으며 서비스는 클라이언트를 인증할 준비가 되었습니다.

프로세스

  1. 다음 콘텐츠를 사용하여 /usr/local/bin/802-1x-tr-mgmt 파일을 만듭니다. 

    #!/bin/sh

TABLE="tr-mgmt-${1}"
read -r -d '' TABLE_DEF << EOF
table bridge ${TABLE} {
    set allowed_macs {
        type ether_addr
    }

    chain accesscontrol {
        ether saddr @allowed_macs accept
        ether daddr @allowed_macs accept
        drop
    }

    chain forward {
        type filter hook forward priority 0; policy accept;
        meta ibrname "$0" jump accesscontrol
    }
}
EOF

case ${2:-NOTANEVENT} in
    block_all)
        nft destroy table bridge "$TABLE"
        printf "$TABLE_DEF" | nft -f -
        echo "$1: All the bridge traffic blocked. Traffic for a client with a given MAC will be allowed after 802.1x authentication"
        ;;

    AP-STA-CONNECTED | CTRL-EVENT-EAP-SUCCESS | CTRL-EVENT-EAP-SUCCESS2)
        nft add element bridge tr-mgmt-br0 allowed_macs { $3 }
        echo "$1: Allowed traffic from $3"
        ;;

    AP-STA-DISCONNECTED | CTRL-EVENT-EAP-FAILURE)
        nft delete element bridge tr-mgmt-br0 allowed_macs { $3 }
        echo "$1: Denied traffic from $3"
        ;;

    allow_all)
        nft destroy table bridge "$TABLE"
        echo "$1: Allowed all bridge traffice again"
        ;;

    NOTANEVENT)
        echo "$0 was called incorrectly, usage: $0 interface event [mac_address]"
        ;;
esac

  2. 다음 콘텐츠를 사용하여 /etc/systemd/system/802-1x-tr-mgmt@.service systemd 서비스 파일을 만듭니다. 

    [Unit]
Description=Example 802.1x traffic management for hostapd
After=hostapd.service
After=sys-devices-virtual-net-%i.device

[Service]
Type=simple
ExecStartPre=bash -c '/usr/sbin/hostapd_cli ping | grep PONG'
ExecStartPre=/usr/local/bin/802-1x-tr-mgmt %i block_all
ExecStart=/usr/sbin/hostapd_cli -i %i -a /usr/local/bin/802-1x-tr-mgmt
ExecStopPost=/usr/local/bin/802-1x-tr-mgmt %i allow_all

[Install]
WantedBy=multi-user.target

  3. systemd를 다시 로드합니다. 

    # systemctl daemon-reload

  4. 인터페이스 이름 hostapd 를 사용하여 802-1x-tr-mgmt 서비스를 활성화하고 시작합니다. 

    # systemctl enable --now 802-1x-tr-mgmt@br0.service

검증

21장. 키 파일 형식의 NetworkManager 연결 프로필
링크 복사

NetworkManager는 연결 프로필을 키 파일 형식으로 저장합니다. 이 형식은 NetworkManager가 제공하는 모든 연결 설정을 지원합니다.

참고

ifcfg 형식의 연결 프로필은 RHEL 10에서 지원되지 않습니다. NetworkManager는 이 형식의 파일을 무시하고 RHEL 10의 키 파일 형식으로 변환할 수도 없습니다.

21.1. NetworkManager 프로필의 키 파일 형식
링크 복사

키 파일 형식은 네트워크 연결에 대한 INI와 같은 구성입니다.

예를 들어 다음은 키 파일 형식의 이더넷 연결 프로필입니다. 

[connection]
id=example_connection
uuid=82c6272d-1ff7-4d56-9c7c-0eb27c300029
type=ethernet
autoconnect=true

[ipv4]
method=auto

[ipv6]
method=auto

[ethernet]
mac-address=00:53:00:8f:fa:66
주의

매개 변수의 오타 또는 잘못된 배치로 인해 예기치 않은 동작이 발생할 수 있습니다. 따라서 NetworkManager 프로필을 수동으로 편집하거나 생성하지 마십시오.

nmcli 유틸리티, 네트워크 RHEL 시스템 역할 또는 nmstate API를 사용하여 NetworkManager 연결을 관리합니다. 예를 들어 nmcli 유틸리티를 오프라인 모드에서 사용하여 연결 프로필을 만들 수 있습니다.

각 섹션은 nm-settings(5) 도움말 페이지에 설명된 대로 NetworkManager 설정 이름에 해당합니다. 섹션의 각 키-값 쌍은 도움말 페이지의 설정 사양에 나열된 속성 중 하나입니다.

NetworkManager 키 파일의 대부분의 변수에는 일대일 매핑이 있습니다. 즉, NetworkManager 속성은 동일한 이름 변수와 동일한 형식으로 키 파일에 저장됩니다. 그러나 키 파일 구문을 더 쉽게 읽을 수 있도록 하는 예외가 있습니다. 이러한 예외 목록은 시스템의 nm-settings-keyfile(5) 매뉴얼 페이지를 참조하십시오.

중요

보안상의 이유로 연결 프로필에 개인 키 및 암호와 같은 중요한 정보를 포함할 수 있으므로 NetworkManager는 root 사용자만 읽고 쓸 수 있는 구성 파일만 사용합니다.

/etc/NetworkManager/system-connections/ 디렉터리에 .nmconnection 접미사를 사용하여 연결 프로필을 저장합니다. 이 디렉터리에는 영구 프로필이 포함되어 있습니다. NetworkManager API를 사용하여 영구 프로필을 수정하는 경우 NetworkManager는 이 디렉터리의 파일을 작성하고 덮어씁니다.

NetworkManager는 디스크에서 프로필을 자동으로 다시 로드하지 않습니다. 키 파일 형식으로 연결 프로필을 만들거나 업데이트할 때 nmcli connection reload 명령을 사용하여 NetworkManager에 변경 사항을 알립니다.

21.2. nmcli 를 사용하여 오프라인 모드에서 키 파일 연결 프로필 생성
링크 복사

nmcli 유틸리티를 오프라인 모드에서 사용하여 NetworkManager 연결 프로필을 만들고 관리할 수 있습니다. 이 모드에서 nmcliNetworkManager 서비스 없이 작동하여 표준 출력을 통해 키 파일 연결 프로필을 생성합니다.

이 기능은 다음 시나리오에서 유용할 수 있습니다.

  • 다른 곳에 사전 배포해야 하는 연결 프로필을 생성하려고 합니다. 예를 들어 컨테이너 이미지 또는 RPM 패키지로 사용할 수 있습니다.
  • chroot 유틸리티를 사용하려는 경우와 같이 NetworkManager 서비스를 사용할 수 없는 환경에서 연결 프로필을 생성하려고 합니다. 또는 Kickstart %post 스크립트를 통해 설치할 RHEL 시스템의 네트워크 구성을 생성하거나 수정하려는 경우입니다.

프로세스

  1. 키 파일 형식으로 새 연결 프로필을 생성합니다. 예를 들어 DHCP를 사용하지 않는 이더넷 장치의 연결 프로필의 경우 유사한 nmcli 명령을 실행합니다. 

    # nmcli --offline connection add type ethernet con-name Example-Connection ipv4.addresses 192.0.2.1/24 ipv4.dns 192.0.2.200 ipv4.method manual > /etc/NetworkManager/system-connections/example.nmconnection
    참고

    con-name 키로 지정한 연결 이름은 생성된 프로필의 id 변수에 저장됩니다. nmcli 명령을 사용하여 나중에 이 연결을 관리하는 경우 다음과 같이 연결을 지정합니다.

    • id 변수를 생략하지 않으면 연결 이름(예: Example-Connection )을 사용합니다.
    • id 변수가 생략되면 .nmconnection 접미사 없이 파일 이름을 사용합니다(예: 출력 ).

  2. root 사용자만 읽고 업데이트할 수 있도록 권한을 구성 파일로 설정합니다. 

    # chmod 600 /etc/NetworkManager/system-connections/example.nmconnection
# chown root:root /etc/NetworkManager/system-connections/example.nmconnection

  3. NetworkManager 연결을 다시 로드합니다. 

    # nmcli connection reload

  4. 프로필의 autoconnect 변수를 false 로 설정하면 연결을 활성화합니다. 

    # nmcli connection up Example-Connection

검증

  1. NetworkManager 서비스가 실행 중인지 확인합니다. 

    # systemctl status NetworkManager.service
● NetworkManager.service - Network Manager
   Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2022-08-03 13:08:32 CEST; 1min 40s ago
...

  2. NetworkManager가 구성 파일에서 프로필을 읽을 수 있는지 확인합니다. 

    # nmcli -f TYPE,FILENAME,NAME connection
TYPE      FILENAME                                                     NAME
ethernet  /etc/NetworkManager/system-connections/example.nmconnection  Example-Connection
...

    출력에 새로 생성된 연결이 표시되지 않으면 키 파일 권한 및 사용한 구문이 올바른지 확인합니다.

  3. 연결 프로필을 표시합니다. 

    # nmcli connection show Example-Connection
connection.id:                          Example-Connection
connection.uuid:                        232290ce-5225-422a-9228-cb83b22056b4
connection.stable-id:                   --
connection.type:                        802-3-ethernet
connection.interface-name:              --
connection.autoconnect:                 yes
...

21.3. 키 파일 형식으로 NetworkManager 프로필을 수동으로 생성
링크 복사

키 파일 형식으로 NetworkManager 연결 프로필을 수동으로 만들 수 있습니다. 예를 들어 외부 애플리케이션에서 프로필을 생성하는 경우 이 작업이 필요할 수 있습니다.

주의

구성 파일을 수동으로 생성하거나 업데이트하면 예기치 않은 네트워크 구성이 발생할 수 있습니다. 또는 offline 모드에서 nmcli 를 사용할 수 있습니다. nmcli 를 사용하여 오프라인 모드에서 키 파일 연결 프로필 만들기를참조하십시오.

프로세스

  1. 연결 프로필을 생성합니다. 예를 들어 DHCP를 사용하는 enp1s0 이더넷 장치에 대한 연결 프로필의 경우 다음 콘텐츠를 사용하여 /etc/NetworkManager/system-connections/example.nmconnection 파일을 만듭니다. 

    [connection]
id=Example-Connection
type=ethernet
autoconnect=true
interface-name=enp1s0

[ipv4]
method=auto

[ipv6]
method=auto
    참고

    모든 파일 이름을 .nmconnection 접미사와 함께 사용할 수 있습니다. 그러나 나중에 nmcli 명령을 사용하여 연결을 관리하는 경우 이 연결을 참조할 때 id 변수에 설정된 연결 이름을 사용해야 합니다. id 변수를 생략하면 .nmconnection 없이 파일 이름을 사용하여 이 연결을 참조합니다.

  2. root 사용자만 읽고 업데이트할 수 있도록 구성 파일에 대한 권한을 설정합니다. 

    # chown root:root /etc/NetworkManager/system-connections/example.nmconnection
# chmod 600 /etc/NetworkManager/system-connections/example.nmconnection

  3. 연결 프로필을 다시 로드합니다. 

    # nmcli connection reload

  4. NetworkManager가 구성 파일에서 프로필을 읽는지 확인합니다. 

    # nmcli -f NAME,UUID,FILENAME connection
NAME                UUID                                  FILENAME
Example-Connection  86da2486-068d-4d05-9ac7-957ec118afba  /etc/NetworkManager/system-connections/example.nmconnection
...

    명령에서 새로 추가된 연결을 표시하지 않으면 파일에서 사용한 파일 권한 및 구문이 올바른지 확인합니다.

  5. 프로필의 autoconnect 변수를 false 로 설정하면 연결을 활성화합니다. 

    # nmcli connection up Example-Connection

검증

  • 연결 프로필을 표시합니다. 

    # nmcli connection show Example-Connection

22장. systemd 네트워크 대상 및 서비스
링크 복사

RHEL은 네트워크 설정을 적용하는 동안 네트워크 및 네트워크 온라인 대상과 NetworkManager-wait-online 서비스를 사용합니다. 해당 서비스가 네트워크 상태 변경에 동적으로 반응할 수 없는 경우 네트워크를 완전히 사용할 수 있는 후 시작되도록 systemd 서비스를 구성합니다.

22.1. 네트워크 및 네트워크 온라인 systemd 대상 간의 차이점
링크 복사

네트워크 대상은 네트워크 관리 스택이 시작되었음을 나타내며 네트워크 온라인 대상은 네트워크를 가동하고 사용 가능한 네트워크 연결을 사용할 수 있을 때까지 적극적으로 기다리는 것입니다.

systemd는 네트워크 및 네트워크 온라인 대상 장치를 유지 관리합니다. NetworkManager-wait-online.service 와 같은 특수 단위에는 WantedBy=network-online.targetBefore=network-online.target 매개변수가 있습니다. 활성화하면 이러한 단위는 network-online.target 으로 시작하고 일부 형태의 네트워크 연결이 설정될 때까지 도달할 대상을 지연합니다. 네트워크가 연결될 때까지 네트워크 온라인 대상을 지연합니다.

네트워크 온라인 대상은 서비스를 시작하여 추가 실행에 상당한 지연을 추가합니다. systemd는 $network 기능을 참조하는 LSB(Linux Standard Base) 헤더를 사용하여 이 대상 유닛의 모든 시스템 V(SysV) init 스크립트 서비스 단위에 WantsAfter 매개 변수를 자동으로 추가합니다. LSB 헤더는 init 스크립트의 메타데이터입니다. 종속성을 지정하는 데 사용할 수 있습니다. systemd 대상과 유사합니다.

네트워크 대상은 부팅 프로세스의 실행을 크게 지연하지 않습니다. 네트워크 대상에 도달하는 것은 네트워크 설정을 담당하는 서비스가 시작되었음을 의미합니다. 그러나 네트워크 장치가 구성되었음을 의미하지는 않습니다. 이 대상은 시스템을 종료하는 동안 중요합니다. 예를 들어 부팅 중에 네트워크 대상 뒤에 정렬된 서비스가 있는 경우 이 종속성은 종료 중에 역방향으로 설정됩니다. 서비스가 중지될 때까지 네트워크의 연결이 끊어지지 않습니다. 원격 네트워크 파일 시스템의 모든 마운트 단위는 네트워크 온라인 대상 장치를 자동으로 시작하고 이후에 직접 주문합니다.

참고

네트워크 온라인 대상 장치는 시스템을 시작하는 동안에만 유용합니다. 시스템 부팅이 완료되면 이 대상이 네트워크의 온라인 상태를 추적하지 않습니다. 따라서 network-online 을 사용하여 네트워크 연결을 모니터링할 수 없습니다. 이 대상은 일회성 시스템 시작 개념을 제공합니다.

22.2. NetworkManager-wait-online개요
링크 복사

NetworkManager-wait-online 서비스가 NetworkManager에서 시작이 완료되었다고 보고할 때까지 network-online 대상에 도달할 때까지 지연됩니다.

부팅 중에 NetworkManager는 connection.autoconnect 매개 변수가 yes 로 설정된 모든 프로필을 활성화합니다. 그러나 NetworkManager 프로필이 활성화 상태에 있는 한 프로필 활성화는 완료되지 않습니다. 활성화에 실패하면 NetworkManager는 connection.autoconnect-retries 의 값에 따라 활성화를 다시 시도합니다.

장치가 활성화된 상태에 도달하면 구성에 따라 다릅니다. 예를 들어 프로필에 IPv4 및 IPv6 구성이 모두 포함된 경우 NetworkManager는 기본적으로 Address 제품군 중 하나만 준비되었을 때 장치를 완전히 활성화한 것으로 간주합니다. 연결 프로필의 ipv4.may-failipv6.may-fail 매개 변수는 이 동작을 제어합니다.

이더넷 장치의 경우 NetworkManager는 시간 초과가 있는 캐리어를 기다립니다. 결과적으로 이더넷 케이블이 연결되지 않은 경우 NetworkManager-wait-online.service 를 추가로 지연시킬 수 있습니다.

시작이 완료되면 모든 프로필이 연결이 끊긴 상태이거나 성공적으로 활성화됩니다. 자동으로 연결되도록 프로필을 구성할 수 있습니다. 다음은 시간 초과를 설정하거나 연결이 활성화된 것으로 간주될 시기를 정의하는 매개변수의 몇 가지 예입니다.

  • connection.wait-device-timeout: 드라이버에서 장치를 감지할 시간 초과를 설정합니다.
  • ipv4.may-failipv6.may-fail: 하나의 IP 주소 제품군을 준비한 활성화를 설정하거나 특정 주소 제품군이 구성을 완료해야 하는지 여부입니다.
  • ipv4.gateway-ping-timeout: NetworkManager가 IPv4 게이트웨이에서 ping 응답을 수신할 때까지 네트워크 활성화를 지연시킵니다. 시스템은 진행하기 전에 지정된 시간(초)까지 대기합니다.
  • ip-ping-timeoutip-ping-addresses: NetworkManager가 ip-ping-addresses 에 정의된 호스트에서 ping 응답을 수신할 때까지 네트워크 활성화를 지연시킵니다. 시스템은 진행하기 전에 지정된 시간(초)까지 대기합니다.

22.3. 네트워크를 시작한 후 시작되도록 systemd 서비스 구성
링크 복사

RHEL은 /usr/lib/ systemd /system/ 디렉터리에 systemd 서비스 파일을 설치합니다. /etc/systemd/system/ <service_name> .service.d/ 에 드롭인 스니펫을 생성하여 네트워크가 온라인 상태가 된 후 서비스를 시작할 수 있습니다.

이 스니펫의 설정은 원래 서비스 파일의 충돌하는 설정을 재정의합니다.

프로세스

  1. 편집기에서 서비스 파일을 엽니다. 

    # systemctl edit <service_name>

  2. 다음을 입력하고 변경 사항을 저장합니다. 

    [Unit]
After=network-online.target

  3. systemd 서비스를 다시 로드합니다. 

    # systemctl daemon-reload

22.4. 활성 네트워크 연결을 보장하기 위해 IP 주소 ping 대상 구성
링크 복사

connection.ip-ping-addressesconnection.ip-ping-timeout 설정을 구성하여 특정 대상에 대한 연결을 확인합니다.

NetworkManager 서비스는 시스템이 부팅된 후 시작됩니다. NFS(네트워크 파일 시스템)와 같은 특정 서비스는 네트워크 연결에 따라 다릅니다. 게이트웨이 IP 또는 대상 IP 주소가 응답을 반환하지 않으면 네트워크가 완전히 실행 중이 아니므로 NFS에서 마운트에 실패합니다. 따라서 connection.ip-ping-addressesconnection.ip-ping-timeout 설정을 구성하여 이러한 문제를 방지하기 위해 특정 대상에 대한 연결을 확인할 수 있습니다. connection.ip-ping-addresses 설정은 IPv4 및 IPv6 주소 구성을 지원합니다.

프로세스

  1. 연결 프로필이 없는 경우 연결 프로필을 생성합니다. 예를 들어 동적 IP 주소 할당을 사용하여 enp1s0 인터페이스에 대한 프로필을 만들려면 다음을 입력합니다. 

    # nmcli connection add con-name enp1s0 ifname enp1s0 type ethernet
    참고

    connection.ip-ping-addresses 를 구성하면 ping 작업 완료 또는 시간 초과 기간을 기다리기 때문에 systemd네트워크 온라인 대상 서비스에서 응답이 지연될 수 있습니다.

  2. 지정된 IP 주소를 정의된 시간 초과 기간으로 ping하도록 연결을 구성합니다. 

    # nmcli connection modify enp1s0 connection.ip-ping-addresses "192.0.2.56, 192.0.2.60" connection.ip-ping-timeout 10 ipv4.may-fail no

    ipv4.may-fail 속성을 no 로 설정하면 IPv4 구성이 성공적으로 완료되어야 합니다.

  3. 연결을 다시 활성화합니다. 

    # nmcli connection up enp1s0

23장. Nmstate 소개
링크 복사

NMState는 선언적 네트워크 관리자 API입니다. Nmstate를 사용하는 경우 YAML 또는 JSON 형식의 지침을 사용하여 예상되는 네트워킹 상태를 설명합니다.

NMState에는 많은 이점이 있습니다. 예를 들면 다음과 같습니다.

  • RHEL 네트워크 기능을 관리할 수 있는 안정적이고 확장 가능한 인터페이스 제공
  • 호스트 및 클러스터 수준에서 원자 및 트랜잭션 작업 지원
  • 대부분의 속성의 부분 편집을 지원하고 지침에 지정되지 않은 기존 설정을 유지합니다.

NMState는 다음 패키지로 구성됩니다.

Expand
패키지내용

nmstate

nmstatectl 명령줄 유틸리티

python3-libnmstate

libnmstate Python 라이브러리

nmstate-libs

Nmstate C 라이브러리

nmstate-devel

Nmstate C 라이브러리 헤더

23.1. Python 애플리케이션에서 libnmstate 라이브러리 사용
링크 복사

libnmstate Python 라이브러리를 사용하면 개발자가 자체 애플리케이션에서 Nmstate를 사용할 수 있습니다.

라이브러리를 사용하려면 소스 코드로 가져옵니다. 

import libnmstate

이 라이브러리를 사용하려면 nmstatepython3-libnmstate 패키지를 설치해야 합니다.

예 23.1. libnmstate 라이브러리를 사용하여 네트워크 상태 쿼리

다음 Python 코드는 libnmstate 라이브러리를 가져와서 사용 가능한 네트워크 인터페이스와 해당 상태를 표시합니다. 

import libnmstate
from libnmstate.schema import Interface

net_state = libnmstate.show()
for iface_state in net_state[Interface.KEY]:
    print(iface_state[Interface.NAME] + ": "
          + iface_state[Interface.STATE])

23.2. nmstatectl을 사용하여 현재 네트워크 구성 업데이트
링크 복사

nmstatectl 유틸리티를 사용하여 하나 또는 모든 인터페이스의 현재 네트워크 구성을 파일에 저장할 수 있습니다.

그런 다음 이 파일을 사용하여 다음을 수행할 수 있습니다.

  • 구성을 수정하고 동일한 시스템에 적용합니다.
  • 파일을 다른 호스트에 복사하고 동일하거나 수정된 설정으로 호스트를 구성합니다.

예를 들어 enp1s0 인터페이스의 설정을 파일로 내보내고 구성을 수정하고 설정을 호스트에 적용할 수 있습니다.

사전 요구 사항

  • nmstate 패키지가 설치되어 있습니다.

프로세스

  1. enp1s0 인터페이스의 설정을 ~/network-config.yml 파일로 내보냅니다. 

    # nmstatectl show enp1s0 > ~/network-config.yml

    이 명령은 enp1s0 의 구성을 YAML 형식으로 저장합니다. 출력을 JSON 형식으로 저장하려면 --json 옵션을 명령에 전달합니다.

    인터페이스 이름을 지정하지 않으면 nmstatectl 은 모든 인터페이스의 구성을 내보냅니다.

  2. 구성을 업데이트하기 위해 텍스트 편집기를 사용하여 ~/network-config.yml 파일을 수정합니다.

  3. ~/network-config.yml 파일의 설정을 적용합니다. 

    # nmstatectl apply ~/network-config.yml

    설정을 JSON 형식으로 내보낸 경우 --json 옵션을 명령에 전달합니다.

23.3. nmstate systemd 서비스
링크 복사

nmstate 패키지가 설치되면 nmstate systemd 서비스를 구성하여 시스템이 부팅될 때 새 네트워크 설정을 자동으로 적용할 수 있습니다.

nmstate 서비스는 oneshot systemd 서비스입니다. 결과적으로 systemd는 시스템을 부팅하고 서비스를 수동으로 다시 시작할 때만 실행합니다.

참고

기본적으로 nmstate 서비스는 비활성화되어 있습니다. systemctl enable nmstate 명령을 사용하여 활성화합니다. 나중에 systemd 는 시스템이 시작될 때마다 이 서비스를 실행합니다.

이 서비스를 사용하려면 /etc/nmstate/ 디렉터리의 Nmstate 명령과 함께 *.yml 파일을 저장합니다. 그런 다음 nmstate 서비스는 다음 재부팅 시 또는 수동으로 서비스를 다시 시작할 때 파일을 자동으로 적용합니다. 기본적으로 Nmstate가 파일을 성공적으로 적용한 후 파일의 .yml 접미사의 이름을 .applied 로 변경하여 서비스가 동일한 파일을 다시 처리하지 못하도록 합니다.

/etc/ nmstate /nmstate.conf 파일에서 nmstate 서비스를 구성할 수 있습니다. 예를 들어 원래 *.yml 파일을 적용한 후 유지하고 .applied 접미사가 있는 사본만 생성하려면 /etc/nmstate/nmstate.conf 에 다음 행을 추가합니다. 

[service]
keep_state_file_after_apply = false

자세한 내용 및 기타 구성 옵션은 시스템의 nmstate.service(8) 매뉴얼 페이지를 참조하십시오.

23.4. 네트워크 RHEL 시스템 역할의 네트워크 상태
링크 복사

네트워크 RHEL 시스템 역할은 플레이북의 상태 구성을 지원하여 장치를 구성합니다. 이 경우 network_state 변수 뒤에 상태 구성을 사용합니다.

플레이북에서 network_state 변수를 사용할 때의 이점:

  • 선언적 방법을 상태 구성과 함께 사용하면 인터페이스를 구성할 수 있으며 NetworkManager는 백그라운드에서 이러한 인터페이스에 대한 프로필을 만듭니다.
  • network_state 변수를 사용하면 변경해야 하는 옵션을 지정할 수 있으며 다른 모든 옵션은 그대로 유지됩니다. 그러나 network_connections 변수를 사용하면 네트워크 연결 프로필을 변경할 모든 설정을 지정해야 합니다.
중요

network_state 에서는 Nmstate YAML 명령만 설정할 수 있습니다. 이 명령은 network_connections 에서 설정할 수 있는 변수와 다릅니다.

예를 들어 동적 IP 주소 설정으로 이더넷 연결을 생성하려면 플레이북에서 다음 vars 블록을 사용합니다.

Expand

상태 구성이 있는 플레이북

일반 플레이북 

vars:
  network_state:
    interfaces:
    - name: enp7s0
      type: ethernet
      state: up
      ipv4:
        enabled: true
        auto-dns: true
        auto-gateway: true
        auto-routes: true
        dhcp: true
      ipv6:
        enabled: true
        auto-dns: true
        auto-gateway: true
        auto-routes: true
        autoconf: true
        dhcp: true
 
vars:
  network_connections:
    - name: enp7s0
      interface_name: enp7s0
      type: ethernet
      autoconnect: yes
      ip:
        dhcp4: yes
        auto6: yes
      state: up

예를 들어 위에서 생성한 동적 IP 주소 설정의 연결 상태만 변경하려면 플레이북에서 다음 vars 블록을 사용합니다.

Expand

상태 구성이 있는 플레이북

일반 플레이북 

vars:
  network_state:
    interfaces:
    - name: enp7s0
      type: ethernet
      state: down
 
vars:
  network_connections:
    - name: enp7s0
      interface_name: enp7s0
      type: ethernet
      autoconnect: yes
      ip:
        dhcp4: yes
        auto6: yes
      state: down

24장. Multipath TCP 시작하기
링크 복사

다중 경로 TCP(MPTCP)는 원래 TCP 프로토콜(single-path)의 확장입니다. MPTCP를 사용하면 전송 연결이 여러 경로에서 동시에 작동할 수 있으며 사용자 엔드포인트 장치에 네트워크 연결 중복성을 제공합니다.

24.1. MPTCP 이해
링크 복사

Multipath TCP(MPTCP) 프로토콜을 사용하면 연결 끝점 간에 여러 경로를 동시에 사용할 수 있습니다. 프로토콜 설계는 연결 안정성을 개선하고 단일 경로 TCP에 비해 다른 이점도 제공합니다.

참고

MPTCP 용어에서 링크는 경로로 간주됩니다.

다음은 MPTCP 사용의 몇 가지 이점입니다.

  • 이를 통해 연결은 여러 네트워크 인터페이스를 동시에 사용할 수 있습니다.
  • 연결이 링크 속도에 바인딩되는 경우 여러 링크를 사용하면 연결 처리량이 증가할 수 있습니다. 참고: 연결이 CPU에 바인딩되는 경우 여러 링크를 사용하면 연결 속도가 느려집니다.
  • 이로 인해 오류 연결에 대한 복원력이 증가합니다.

24.2. MPTCP 애플리케이션에 대한 여러 경로 영구적으로 구성
링크 복사

nmcli 명령을 사용하여 소스와 대상 시스템 간에 여러 하위 흐름을 영구적으로 설정하여 MPTCP(MultiPath TCP)를 구성할 수 있습니다.

하위 흐름은 다른 리소스, 대상에 대한 다른 경로 및 다른 네트워크를 사용할 수 있습니다. 예를 들어, 이더넷, MMY, Cryostat 등 결과적으로 결합된 연결을 통해 네트워크 탄력성 및 처리량이 증가합니다.

서버는 예제에서 다음 네트워크 인터페이스를 사용합니다.

  • enp4s0: 192.0.2.1/24
  • enp1s0: 198.51.100.1/24
  • enp7s0: 192.0.2.3/24

클라이언트는 예제에서 다음 네트워크 인터페이스를 사용합니다.

  • enp4s0f0: 192.0.2.2/24
  • enp4s0f1: 198.51.100.2/24
  • enp6s0: 192.0.2.5/24

사전 요구 사항

  • 관련 인터페이스에 기본 게이트웨이를 구성했습니다.

프로세스

  1. 커널에서 MPTCP 소켓을 활성화합니다. 

    # echo "net.mptcp.enabled=1" > /etc/sysctl.d/90-enable-MPTCP.conf
# sysctl -p /etc/sysctl.d/90-enable-MPTCP.conf

  2. 선택 사항: 하위 흐름 제한의 RHEL 커널 기본값은 2입니다. 더 많은 정보가 필요한 경우:

    1. 다음 콘텐츠를 사용하여 /etc/systemd/system/set_mptcp_limit.service 파일을 만듭니다. 

      [Unit]
Description=Set MPTCP subflow limit to 3
After=network.target

[Service]
ExecStart=ip mptcp limits set subflows 3
Type=oneshot

[Install]
WantedBy=multi-user.target

      oneshot 장치는 모든 부팅 프로세스 중에 네트워크(network.target)가 작동하는 후 ip mptcp 제한 설정 하위 흐름 3 명령을 실행합니다.

      ip mptcp limits set subflows 3 명령은 각 연결에 대한 최대 하위 흐름 수를 설정하므로 총 4개입니다. 최대 3 개의 하위 흐름을 추가할 수 있습니다.

    2. set_mptcp_limit 서비스를 활성화합니다. 

      # systemctl enable --now set_mptcp_limit

  3. 연결 집계에 사용할 모든 연결 프로필에서 MPTCP를 활성화합니다. 

    # nmcli connection modify <profile_name> connection.mptcp-flags signal,subflow,also-without-default-route

    connection.mptcp-flags 매개변수는 MPTCP 끝점 및 IP 주소 플래그를 구성합니다. NetworkManager 연결 프로필에서 MPTCP가 활성화된 경우 설정은 관련 네트워크 인터페이스의 IP 주소를 MPTCP 엔드포인트로 구성합니다.

    기본 게이트웨이가 없는 경우 기본적으로 NetworkManager는 IP 주소에 MPTCP 플래그를 추가하지 않습니다. 해당 검사를 바이패스하려면 also-without-default-route 플래그를 사용해야 합니다.

검증

  1. MPTCP 커널 매개변수를 활성화했는지 확인합니다. 

    # sysctl net.mptcp.enabled
net.mptcp.enabled = 1

  2. 기본값이 충분하지 않은 경우 하위 흐름 제한을 올바르게 설정했는지 확인합니다. 

    # ip mptcp limit show
add_addr_accepted 2 subflows 3

  3. 주소별 MPTCP 설정을 올바르게 구성했는지 확인합니다. 

    # ip mptcp endpoint show
192.0.2.1 id 1 subflow dev enp4s0
198.51.100.1 id 2 subflow dev enp1s0
192.0.2.3 id 3 subflow dev enp7s0
192.0.2.4 id 4 subflow dev enp3s0
...

24.3. mptcpd구성
링크 복사

mptcpd 서비스는 MPTCP(Multipath TCP) 끝점을 구성하기 위한 구성 요소입니다. 호스트의 각 IP 주소에 대한 하위 흐름 끝점 목록을 자동으로 생성 및 동적으로 업데이트하여 여러 경로를 활성화하는 ip 유틸리티의 대안을 제공합니다.

사전 요구 사항

  • MP tcpd 패키지가 설치되어 있어야 합니다.

프로세스

  1. 다음 명령을 사용하여 커널에서 mptcp.enabled 옵션을 활성화합니다. 

    # echo "net.mptcp.enabled=1" > /etc/sysctl.d/90-enable-MPTCP.conf
# sysctl -p /etc/sysctl.d/90-enable-MPTCP.conf

  2. mptcpd 서비스를 활성화하고 시작합니다. 

    # systemctl enable --now mptcp.service

  3. mptcpd 서비스를 수동으로 구성하려면 /etc/mptcpd/mptcpd.conf 구성 파일을 수정합니다.

    mptcpd 서비스가 생성하는 엔드포인트는 호스트 종료까지 지속됩니다.

검증

  • 끝점 생성을 확인합니다. 

    # ip mptcp endpoint

25장. Linux 트래픽 제어
링크 복사

Linux 트래픽 제어(TC)는 네트워크 트래픽을 배치, 분류, 형성 및 스케줄링하는 데 도움이 됩니다. 패킷 콘텐츠 조작을 포함하여 패킷 전송을 관리하고 조작하기 위해qdisc(qdisc )와 필터를 큐잉합니다.

스케줄링 메커니즘은 다른 큐에 입력하거나 종료하기 전에 패킷을 준비하거나 다시 정렬합니다. 가장 일반적인 스케줄러는 FIFO(First-In-First-Out) 스케줄러입니다. tc 유틸리티를 사용하거나 NetworkManager를 사용하여 영구적으로 qdiscs 작업을 수행할 수 있습니다.

Red Hat Enterprise Linux에서는 네트워크 인터페이스에서 트래픽을 관리하는 다양한 방법으로 기본 대기열 구성 요소를 구성할 수 있습니다.

25.1. 자주하는 질문
링크 복사

큐잉(qdiscs)은 네트워크 인터페이스에 의해 트래픽 전송 스케줄링을 대기하는 데 도움이 됩니다.

qdisc 에는 두 가지 작업이 있습니다.

  • 이후 전송을 위해 패킷을 큐에 추가할 수 있도록 요청을 큐에 넣습니다.
  • 즉시 전송을 위해 대기 중인 패킷 중 하나를 선택할 수 있도록 큐를 요청합니다.

모든 qdisc 에는 소켓이라는 16비트 16진수 식별 번호가 있으며, 연결된 콜론(예: 1: 또는 abcd: )이 있습니다. 이 수를 qdisc 주요 번호라고 합니다. qdisc 에 클래스가 있는 경우 식별자는 마이너 이전의 메이저 숫자가 있는 두 숫자의 쌍으로 구성됩니다(예 : abcd:1 ). 마이너 번호의 번호 지정 스키마는 qdisc 유형에 따라 다릅니다. 1 클래스의 ID < major>:1, 두 번째 < major>:2 가 있는 경우가 있습니다. 일부 qdiscs 를 사용하면 클래스를 생성할 때 사용자가 클래스 마이너 번호를 임의로 설정할 수 있습니다.

클래스적 qdiscs

다양한 유형의 qdiscs 가 존재하며 네트워크 인터페이스로 패킷을 전송하는 데 도움이 됩니다. root, parent 또는 하위 클래스를 사용하여 qdiscs 를 구성할 수 있습니다. 자식을 연결할 수 있는 지점을 클래스라고 합니다. qdisc 의 클래스는 유연하며 항상 여러 개의 하위 클래스 또는 단일 자식인 qdisc 를 포함할 수 있습니다. 클래스 qdisc 자체를 포함하는 클래스에 대한 금지는 없으므로 복잡한 트래픽 제어 시나리오를 용이하게 합니다.

클래스적 qdiscs 는 패킷을 자체적으로 저장하지 않습니다. 대신 qdisc 와 관련된 기준에 따라 요청을 큐에 추가 및 큐에 추가합니다. 결국 이 재귀 패킷 전달은 패킷이 저장되는 위치(또는 데크립션의 경우 선택)로 끝납니다.

클래스리스 qdiscs
일부 qdiscs 에는 하위 클래스가 포함되어 있지 않으며 클래스가 없는 qdiscs 라고 합니다. 클래스리스 qdiscs 는 classful qdiscs 에 비해 사용자 지정이 줄어듭니다. 일반적으로 인터페이스에 연결하는 것으로 충분합니다.

25.2. tc 유틸리티를 사용하여 네트워크 인터페이스의 qdiscs 검사
링크 복사

기본적으로 Red Hat Enterprise Linux 시스템은 fq_codel qdisc 를 사용합니다. tc 유틸리티를 사용하여 qdisc 카운터를 검사할 수 있습니다.

프로세스

  1. 선택 사항: 현재 qdisc 를 확인합니다. 

    # tc qdisc show dev enp0s1

  2. 현재 qdisc 카운터를 검사합니다. 

    # tc -s qdisc show dev enp0s1
qdisc fq_codel 0: root refcnt 2 limit 10240p flows 1024 quantum 1514 target 5.0ms interval 100.0ms memory_limit 32Mb ecn
Sent 1008193 bytes 5559 pkt (dropped 233, overlimits 55 requeues 77)
backlog 0b 0p requeues 0
    • 삭제됨 - 모든 대기열이 가득 차 있기 때문에 패킷이 삭제되는 횟수
    • overlimits - 구성된 링크 용량이 채워진 횟수
    • sent - 큐 수

25.3. 기본 qdisc 업데이트
링크 복사

현재 qdisc 를 사용하여 네트워킹 패킷 손실을 관찰하면 네트워크 요구 사항에 따라 qdisc 를 변경할 수 있습니다.

프로세스

  1. 현재 기본 qdisc 보기: 

    # sysctl -a | grep qdisc
net.core.default_qdisc = fq_codel

  2. 현재 이더넷 연결의 qdisc 를 확인합니다. 

    # tc -s qdisc show dev enp0s1
qdisc fq_codel 0: root refcnt 2 limit 10240p flows 1024 quantum 1514 target 5.0ms interval 100.0ms memory_limit 32Mb ecn
Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
backlog 0b 0p requeues 0
maxpacket 0 drop_overlimit 0 new_flow_count 0 ecn_mark 0
new_flows_len 0 old_flows_len 0

  3. 기존 qdisc 를 업데이트합니다. 

    # sysctl -w net.core.default_qdisc=pfifo_fast

  4. 변경 사항을 적용하려면 네트워크 드라이버를 다시 로드합니다. 

    # modprobe -r NETWORKDRIVERNAME
# modprobe NETWORKDRIVERNAME

  5. 네트워크 인터페이스를 시작합니다. 

    # ip link set enp0s1 up

검증

  • 이더넷 연결의 qdisc 를 확인합니다. 

    # tc -s qdisc show dev enp0s1
qdisc pfifo_fast 0: root refcnt 2 bands 3 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
 Sent 373186 bytes 5333 pkt (dropped 0, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
 ...

현재 qdisc 를 변경하면 커널이 네트워크 인터페이스를 통해 패킷을 처리하는 방법을 최적화할 수 있습니다. 테스트 및 벤치마킹 목적을 위해 qdisc 를 일시적으로 변경할 수 있습니다.

프로세스

  1. 선택 사항: 현재 qdisc 를 확인합니다. 

    # tc -s qdisc show dev enp0s1

  2. 현재 qdisc 를 업데이트합니다. 

    # tc qdisc replace dev enp0s1 root htb

검증

  • 업데이트된 현재 qdisc 보기: 

    # tc -s qdisc show dev enp0s1
qdisc htb 8001: root refcnt 2 r2q 10 default 0 direct_packets_stat 0 direct_qlen 1000
Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
backlog 0b 0p requeues 0

현재 qdisc 를 변경하면 커널이 네트워크 인터페이스를 통해 패킷을 처리하는 방법을 최적화할 수 있습니다. 시나리오에 최적의 qdisc 를 확인한 경우 NetworkManager 연결 프로필에서 영구적으로 설정합니다.

프로세스

  1. 선택 사항: 현재 qdisc 를 확인합니다. 

    # tc qdisc show dev enp0s1
  qdisc fq_codel 0: root refcnt 2

  2. 현재 qdisc 를 업데이트합니다. 

    # nmcli connection modify enp0s1 tc.qdiscs 'root pfifo_fast'

  3. 선택 사항: 기존 qdisc 에 다른 qdisc 를 추가하려면 +tc.qdisc 옵션을 사용합니다. 

    # nmcli connection modify enp0s1 +tc.qdisc 'ingress handle ffff:'

  4. 변경 사항을 활성화합니다. 

    # nmcli connection up enp0s1

검증

  • 현재 qdisc 네트워크 인터페이스를 확인합니다. 

    # tc qdisc show dev enp0s1
qdisc pfifo_fast 8001: root refcnt 2 bands 3 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
qdisc ingress ffff: parent ffff:fff1 ................

25.6. tc-c-ctinfo 유틸리티를 사용하여 패킷의 속도 제한 구성
링크 복사

속도 제한을 사용하면 네트워크 트래픽을 제한하고, 네트워크에서 리소스 소진을 방지하고, 특정 시간 프레임에서 반복적인 패킷 요청을 제한하여 서버의 부하를 줄일 수 있습니다.

connection tracking 항목은 Netfilter 마크 및 연결 정보를 저장합니다. 라우터가 방화벽에서 패킷을 전달하면 라우터는 패킷에서 연결 추적 항목을 제거하거나 수정합니다. 연결 추적 정보(ctinfo) 모듈은 연결 추적 마크에서 다양한 필드로 데이터를 검색합니다. 이 커널 모듈은 소켓 버퍼(skb) 마크 메타데이터 필드에 복사하여 Netfilter 표시를 유지합니다.

사전 요구 사항

  • iperf3 유틸리티는 서버 및 클라이언트에 설치됩니다.

프로세스

  1. 서버에서 다음 단계를 수행합니다.

    1. 네트워크 인터페이스에 가상 링크를 추가합니다. 

      # ip link add name ifb4eth0 numtxqueues 48 numrxqueues 48 type ifb

      이 명령에는 다음 매개변수가 있습니다.

      name ifb4eth0
      새 가상 장치 인터페이스를 설정합니다.
      numtxqueues 48
      전송 대기열 수를 설정합니다.
      numrxqueues 48
      수신 대기열 수를 설정합니다.
      유형 ifb
      새 장치의 유형을 설정합니다.

    2. 인터페이스 상태를 변경합니다. 

      # ip link set dev ifb4eth0 up

    3. 물리적 네트워크 인터페이스에 qdisc 속성을 추가하고 들어오는 트래픽에 적용합니다. 

      # tc qdisc add dev enp1s0 handle ffff: ingress

      handle ffff: 옵션에서 handle 매개 변수는 주요 숫자 ffff: 를 기본 값으로 enp1s0 물리적 네트워크 인터페이스에서 클래스별 qdisc 에 할당합니다. 여기서 qdisc 는 트래픽 제어를 분석하기 위한 큐링 주체 매개 변수입니다.

    4. ip 프로토콜의 물리적 인터페이스에 필터를 추가하여 패킷을 분류합니다. 

      # tc filter add dev enp1s0 parent ffff: protocol ip u32 match u32 0 0 action ctinfo cpmark 100 action mirred egress redirect dev ifb4eth0

      이 명령에는 다음 속성이 있습니다.

      상위 ffff:
      주요 번호 ffff: 를 상위 qdisc 로 설정합니다.
      u32 match u32 0
      u32 패턴의 IP 헤더 와 일치 하도록 u32 필터를 설정합니다. 첫 번째 0 은 IP 헤더의 두 번째 바이트를 나타내며 다른 0 은 일치하는 비트를 알리는 마스크 일치를 나타냅니다.
      작업 ctinfo
      연결 추적 마크에서 다양한 필드로 데이터를 검색하는 작업을 설정합니다.
      cpmark 100
      연결 추적 마크(connmark) 100 을 패킷 IP 헤더 필드에 복사합니다.
      작업 mirred egress redirect dev ifb4eth0
      수신된 패킷을 ifb4eth0 대상 인터페이스로 리디렉션하려면 작업을 mirred 로 설정합니다.

    5. 인터페이스에 클래스 qdisc 를 추가합니다. 

      # tc qdisc add dev ifb4eth0 root handle 1: htb default 1000

      이 명령은 메이저 번호 1 을 root qdisc 로 설정하고 마이너 ID 1000 의 클래스 qdisc 와 함께 htb 계층 구조 토큰 버킷을 사용합니다.

    6. 인터페이스의 트래픽을 2Mbit/s의 상한이 있는 1Mbit/s로 제한합니다. 

      # tc class add dev ifb4eth0 parent 1:1 classid 1:100 htb ceil 2mbit rate 1mbit prio 100

      이 명령에는 다음 매개변수가 있습니다.

      상위 1:1
      classid1 로 설정하고 root1 로 설정합니다.
      classID 1:100
      classid1:100 으로 설정합니다. 여기서 1 은 상위 qdisc 의 수이고 100 은 상위 qdisc 의 클래스 수입니다.
      HTB ceil 2mbit
      htb classful qdiscceil rate limit으로 2 Mbit/s 의 상한 대역폭을 허용합니다.

    7. 클래스리스 qdisc 의 Stochastic Fairness Queuing (sfq)를 적용하여 큐 알고리즘 전달을 줄이기 위해 60 초의 시간 간격과 상호 작용합니다. 

      # tc qdisc add dev ifb4eth0 parent 1:100 sfq perturb 60

    8. 인터페이스에 방화벽 표시(fw) 필터를 추가합니다. 

      # tc filter add dev ifb4eth0 parent 1:0 protocol ip prio 100 handle 100 fw classid 1:100

    9. 연결 마크(CONNMARK)에서 패킷 메타 표시를 복원합니다. 

      # nft add rule ip mangle PREROUTING counter meta mark set ct mark

      이 명령에서 nft 유틸리티에는 패킷 마크를 CONNMARK 로 교체하기 전에 들어오는 패킷을 변경하는 PREROUTING 체인 규칙 사양이 있는 mangle 테이블이 있습니다.

    10. nft 테이블 및 체인이 없는 경우 테이블을 생성하고 체인 규칙을 추가합니다. 

      # nft add table ip mangle
# nft add chain ip mangle PREROUTING {type filter hook prerouting priority mangle \;}

    11. 지정된 대상 주소 192.0.2.3 에서 수신되는 tcp 패킷에 메타 표시를 설정합니다. 

      # nft add rule ip mangle PREROUTING ip daddr 192.0.2.3 counter meta mark set 0x64

    12. 패킷 표시를 연결 마크에 저장합니다. 

      # nft add rule ip mangle PREROUTING counter ct mark set mark

    13. -s 매개변수와 서버를 사용하여 시스템에서 iperf3 유틸리티를 서버로 실행한 다음 클라이언트 연결의 응답을 기다립니다. 

      # iperf3 -s

  2. 클라이언트에서 iperf3 을 클라이언트로 실행하고 주기적인 HTTP 요청 응답 타임스탬프를 위해 IP 주소 192.0.2.3 에서 수신 대기하는 서버에 연결합니다. 

    # iperf3 -c 192.0.2.3 | tee rate

    192.0.2.3 은 서버의 IP 주소이며 192.0.2.4 는 클라이언트의 IP 주소입니다.

  3. Ctrl+C 를 눌러 서버에서 iperf3 유틸리티를 종료합니다. 

    Accepted connection from 192.0.2.4, port 52128
[5]  local 192.0.2.3 port 5201 connected to 192.0.2.4 port 52130
[ID] Interval       	Transfer 	Bitrate
[5]   0.00-1.00   sec   119 KBytes   973 Kbits/sec
[5]   1.00-2.00   sec   116 KBytes   950 Kbits/sec
...
[ID] Interval       	Transfer 	Bitrate
[5]   0.00-14.81  sec  1.51 MBytes   853 Kbits/sec  receiver

iperf3: interrupt - the server has terminated

  4. Ctrl+C:을 눌러 클라이언트에서 iperf3 유틸리티를 종료합니다. 

    Connecting to host 192.0.2.3, port 5201
[5] local 192.0.2.4 port 52130 connected to 192.0.2.3 port 5201
[ID] Interval       	Transfer 	Bitrate     	Retr  Cwnd
[5]   0.00-1.00   sec   481 KBytes  3.94 Mbits/sec	0   76.4 KBytes
[5]   1.00-2.00   sec   223 KBytes  1.83 Mbits/sec	0   82.0 KBytes
...
[ID] Interval       	Transfer 	Bitrate     	Retr
[5]   0.00-14.00  sec  3.92 MBytes  2.35 Mbits/sec   32     sender
[5]   0.00-14.00  sec  0.00 Bytes  0.00 bits/sec            receiver

iperf3: error - the server has terminated

검증

  1. 인터페이스에서 htbsfq 클래스의 패킷 수에 대한 통계를 표시합니다. 

    # tc -s qdisc show dev ifb4eth0

qdisc htb 1: root
...
 Sent 26611455 bytes 3054 pkt (dropped 76, overlimits 4887 requeues 0)
...
qdisc sfq 8001: parent
...
 Sent 26535030 bytes 2296 pkt (dropped 76, overlimits 0 requeues 0)
...

  2. mirredctinfo 작업에 대한 패킷 수의 통계를 표시합니다. 

    # tc -s filter show dev enp1s0 ingress
filter parent ffff: protocol ip pref 49152 u32 chain 0
filter parent ffff: protocol ip pref 49152 u32 chain 0 fh 800: ht divisor 1
filter parent ffff: protocol ip pref 49152 u32 chain 0 fh 800::800 order 2048 key ht 800 bkt 0 terminal flowid not_in_hw (rule hit 8075 success 8075)
  match 00000000/00000000 at 0 (success 8075 )
    action order 1: ctinfo zone 0 pipe
      index 1 ref 1 bind 1 cpmark 0x00000064 installed 3105 sec firstused 3105 sec DSCP set 0 error 0
      CPMARK set 7712
    Action statistics:
    Sent 25891504 bytes 3137 pkt (dropped 0, overlimits 0 requeues 0)
    backlog 0b 0p requeues 0

    action order 2: mirred (Egress Redirect to device ifb4eth0) stolen
       index 1 ref 1 bind 1 installed 3105 sec firstused 3105 sec
    Action statistics:
    Sent 25891504 bytes 3137 pkt (dropped 0, overlimits 61 requeues 0)
    backlog 0b 0p requeues 0

  3. htb rate-limiter 및 해당 구성의 통계를 표시합니다. 

    # tc -s class show dev ifb4eth0
class htb 1:100 root leaf 8001: prio 7 rate 1Mbit ceil 2Mbit burst 1600b cburst 1600b
 Sent 26541716 bytes 2373 pkt (dropped 61, overlimits 4887 requeues 0)
 backlog 0b 0p requeues 0
 lended: 7248 borrowed: 0 giants: 0
 tokens: 187250 ctokens: 93625

25.7. RHEL에서 사용 가능한 qdiscs
링크 복사

qdisc 는 고유한 네트워킹 관련 문제를 해결합니다. 네트워크 요구 사항에 따라 네트워크 트래픽을 형성하는 데 사용할 수 있습니다.

다음 qdiscs 는 RHEL에서 사용할 수 있습니다.

Expand
표 25.1. RHEL에서 사용 가능한 스케줄러
qdisc 이름포함됨오프로드 지원

신용 기반 셰이퍼

kernel-modules-core

제공됨

향상된 전송 선택 (ETS)

kernel-modules-core

제공됨

초기 TxTime First (ETF)

kernel-modules-extra

 

공정 대기열(FQ)

kernel-modules-core

 

Fair Queuing Controlled Delay (FQ_CODel)

kernel-core

 

Generalized Random Early Detection (GRED)

kernel-modules-extra

 

hierarchical Fair Service Curve (HSFC)

kernel-modules-core

 

계층 토큰 버킷(HTB)

kernel-modules-core

제공됨

INGRESS

kernel-modules-core

제공됨

Multi Queue Priority(MQPRIO)

kernel-modules-extra

제공됨

멀티 큐(MULTIQ)

kernel-modules-extra

제공됨

네트워크 에뮬레이터(NETEM)

kernel-modules-extra

 

임의 초기 탐지(RED)

kernel-modules-extra

제공됨

SFQ(Stochastic Fairness Queueing)

kernel-modules-core

 

시간 인식 우선 순위 shaper (TAPRIO)

kernel-modules-core

 

토큰 버킷 필터(TBF)

kernel-modules-core

제공됨

중요

qdisc 오프로드를 사용하려면 NIC에서 하드웨어 및 드라이버 지원이 필요합니다.

26장. InfiniBand 및 RDMA 네트워크 구성
링크 복사

다양한 프로토콜을 사용하여 엔터프라이즈 수준에서 RDMA(Remote Directory Memory Access) 네트워크 및 InfiniBand 하드웨어를 구성하고 관리할 수 있습니다.

이러한 프로토콜에는 IB(InfiniBand), RDMA over Converged Ethernet (RoCE), iWARP와 같은 IP 네트워크 프로토콜, RDMA 지원 하드웨어에서의 기본 지원으로 Omni-Path Architecture (OPA) 프로토콜이 포함됩니다. 대기 시간이 짧고 처리량이 높은 연결의 경우 IPoIB(InfiniBand)를 통해 IP를 구성할 수 있습니다.

26.1. InfiniBand 및 RDMA 소개
링크 복사

InfiniBand는 두 가지 개별 구성 요소를 나타냅니다. 즉 InfiniBand 네트워크용 물리 링크 계층 프로토콜과 InfiniBand Verbs API는 원격 직접 메모리 액세스(RDMA) 기술의 구현입니다.

RDMA는 운영 체제, 캐시 또는 스토리지 없이 두 컴퓨터의 주 메모리 간 액세스를 제공합니다. RDMA를 사용하면 처리량이 높고 대기 시간이 짧고 CPU 사용률이 낮은 데이터 전송입니다.

일반적인 IP 데이터 전송에서 한 시스템의 애플리케이션이 다른 머신의 애플리케이션에 데이터를 보내면 수신 측에서 다음 작업이 수행됩니다.

  1. 커널이 데이터를 수신해야 합니다.
  2. 커널은 데이터가 애플리케이션에 속하는지 확인해야 합니다.
  3. 커널이 애플리케이션을 발생시킵니다.
  4. 커널은 애플리케이션이 커널에 대한 시스템 호출을 수행할 때까지 기다립니다.
  5. 애플리케이션은 커널의 내부 메모리 공간의 데이터를 애플리케이션에서 제공하는 버퍼로 복사합니다.

이 프로세스는 호스트 어댑터가 직접 메모리(DMA)를 사용하거나 그렇지 않으면 최소 두 번의 네트워크 트래픽이 시스템의 기본 메모리에 복사됩니다. 또한 컴퓨터는 일부 컨텍스트 스위치를 실행하여 커널과 애플리케이션 간에 전환합니다. 이러한 컨텍스트 스위치로 인해 트래픽 속도가 높은 CPU 부하가 높은 반면 다른 작업 속도가 느려질 수 있습니다.

기존 IP 통신과 달리 RDMA 통신은 통신 프로세스에서 커널 개입을 바이패스합니다. 이렇게 하면 CPU 오버헤드가 줄어듭니다. 패킷이 네트워크에 진입하면 RDMA 프로토콜을 통해 호스트 어댑터에서 수신해야 하는 애플리케이션과 해당 애플리케이션의 메모리 공간에 저장할 위치를 결정할 수 있습니다. 호스트 어댑터는 처리를 위해 패킷을 커널에 전송하고 사용자 애플리케이션의 메모리에 복사하는 대신, 호스트 어댑터는 패킷 내용을 애플리케이션 버퍼에 직접 배치합니다. 이 프로세스에는 별도의 API, InfiniBand Verbs API가 필요하며 애플리케이션은 RDMA를 사용하기 위해 InfiniBand Verbs API를 구현해야 합니다.

Red Hat Enterprise Linux는 InfiniBand 하드웨어와 InfiniBand Verbs API를 모두 지원합니다. 또한 InfiniBand 이외의 하드웨어에서 InfiniBand Verbs API를 사용하도록 다음 기술을 지원합니다.

  • iWARP: IP 네트워크를 통해 RDMA를 구현하는 네트워크 프로토콜
  • RoCE(RDMA over Converged Ethernet)는 IBE(InfiniBand over Ethernet)라고도 합니다. 이더넷 네트워크를 통해 RDMA를 구현하는 네트워크 프로토콜

26.2. 코어 RDMA 하위 시스템 구성
링크 복사

rdma 서비스 구성은 InfiniBand, iWARP 및 RoCE와 같은 네트워크 프로토콜 및 통신 표준을 관리합니다.

프로세스

  • rdma-core 패키지를 설치합니다. 

    # dnf install rdma-core

검증

  1. libibverbs-utilsinfiniband-diags 패키지를 설치합니다. 

    # dnf install libibverbs-utils infiniband-diags

  2. 사용 가능한 InfiniBand 장치를 나열합니다. 

    # ibv_devices

    mlx5_0          	946dae0300418002
    mlx5_1          	946dae0300418003

  3. mlx5_0 장치의 정보를 표시합니다. 

    # ibv_devinfo -d mlx5_0

hca_id:	mlx5_0
	transport:			InfiniBand (0)
	fw_ver:				28.42.1000
	node_guid:			946d:ae03:0041:8002
	sys_image_guid:			946d:ae03:0041:8002
	vendor_id:			0x02c9
	vendor_part_id:			4129
	hw_ver:				0x0
	board_id:			MT_0000000834
	phys_port_cnt:			1
		port:	1
			state:			PORT_ACTIVE (4)
			max_mtu:		4096 (5)
			active_mtu:		4096 (5)
			sm_lid:			3
			port_lid:		66
			port_lmc:		0x00
			link_layer:		InfiniBand

  4. mlx5_0 장치의 상태를 표시합니다. 

    # ibstat mlx5_0

CA 'mlx5_0'
	CA type: MT4129
	Number of ports: 1
	Firmware version: 28.42.1000
	Hardware version: 0
	Node GUID: 0x946dae0300418002
	System image GUID: 0x946dae0300418002
	Port 1:
		State: Active
		Physical state: LinkUp
		Rate: 100
		Base lid: 66
		LMC: 0
		SM lid: 3
		Capability mask: 0xa759e848
		Port GUID: 0x946dae0300418002
		Link layer: InfiniBand

  5. ibping 유틸리티는 InfiniBand 주소를 ping하고 매개 변수를 구성하여 클라이언트/서버로 실행됩니다.

    1. Start server mode -S on port number -P with -C InfiniBand channel adapter (CA) name on the host: 

      # ibping -S -C mlx5_0 -P 1

    2. 클라이언트 모드를 시작하려면 호스트에서 - C InfiniBand 채널 어댑터(CA) 이름을 사용하여 포트 번호 -P 에서 - LID(Local Identifier)를 사용하여 일부 패킷을 보냅니다. 

      # ibping -c 50 -C mlx5_0 -P 1 -L 2

26.3. IPoIB 구성
링크 복사

IP over InfiniBand (IPoIB)는 InfiniBand 원격 직접 메모리 액세스 (RDMA) 네트워크 상단에 IP 네트워크 에뮬레이션 계층을 제공합니다. 수정되지 않은 애플리케이션은 IPoIB를 사용하여 InfiniBand 네트워크를 통해 데이터를 전송할 수 있습니다.

IPoIB 성능은 애플리케이션에서 기본적으로 RDMA를 사용하는 경우보다 낮습니다.

참고

RHEL 8 이상에서 시작되는 Mellanox 장치는 기본적으로 Enhanced IPoIB 모드를 사용합니다(데이터그램만 해당). 이러한 장치에서는 연결 모드가 지원되지 않습니다.

26.3.1. IPoIB 통신 모드
링크 복사

IPoIB 장치는 Datagram 또는 Connected 모드에서 구성할 수 있습니다.

차이점은 IPoIB 계층이 통신의 다른 끝에서 머신으로 열려는 대기열 쌍의 유형입니다.

  • 데이터그램 모드에서 시스템은 신뢰할 수 없고 연결이 끊긴 대기열 쌍을 엽니다.

    이 모드는 InfiniBand 링크 계층의 최대 전송 단위(MTU)보다 큰 패키지를 지원하지 않습니다. 데이터를 전송하는 동안 IPoIB 계층은 IP 패킷 상단에 4바이트 IPoIB 헤더를 추가합니다. 결과적으로 IPoIB MTU는 InfiniBand 링크 계층 MTU보다 4바이트 적습니다. 2048 는 일반적인 InfiniBand 링크 계층 MTU이므로 데이터그램 모드의 일반적인 IPoIB 장치 MTU는 2044 입니다.

  • 연결된 모드에서 시스템은 신뢰할 수 있는 연결된 큐 쌍을 엽니다.

    이 모드에서는 InfiniBand 링크 계층 MTU보다 큰 메시지를 허용합니다. 호스트 어댑터는 패킷 분할 및 재 조립을 처리합니다. 결과적으로 연결된 모드에서 Infiniband 어댑터에서 전송된 메시지에 크기 제한이 없습니다. 그러나 data 필드 및 TCP/IP 헤더 필드로 인해 IP 패킷이 제한됩니다. 따라서 연결된 모드의 IPoIB MTU는 65520 바이트입니다.

    연결된 모드는 성능이 높지만 더 많은 커널 메모리를 사용합니다.

시스템은 연결 모드를 사용하도록 구성되어 있지만 InfiniBand 스위치 및 패브릭은 연결된 모드에서 멀티 캐스트 트래픽을 전달할 수 없기 때문에 시스템은 Datagram 모드를 사용하여 멀티캐스트 트래픽을 계속 보냅니다. 또한 호스트가 연결된 모드를 사용하도록 구성되지 않은 경우 시스템은 데이터그램 모드로 대체됩니다.

인터페이스의 MTU로 멀티 캐스트 데이터를 전송하는 애플리케이션을 실행하는 동안 데이터그램 모드에서 인터페이스를 구성하거나 데이터그램 크기의 패킷에 맞는 패킷의 전송 크기를 제한하도록 애플리케이션을 구성합니다.

26.3.2. IPoIB 하드웨어 주소 이해
링크 복사

InfiniBand 하드웨어 주소는 종종 GUID(Globally Unique Identifier)라고 하며, 호스트 채널 어댑터(HCAs)와 같은 각 InfiniBand 장치에 할당된 고유 식별자입니다. 이러한 주소는 라우팅, 장치 식별 및 네트워크 관리에 필수적입니다.

IPoIB 장치에는 다음 부분으로 구성된 20 바이트 하드웨어 주소가 있습니다.

  • 처음 4바이트는 플래그와 큐 쌍 번호입니다.

  • 다음 8바이트는 서브넷 접두사입니다.

    기본 서브넷 접두사는 0xfe:80:00:00:00:00 입니다. 장치가 서브넷 관리자에 연결한 후 장치는 구성된 서브넷 관리자와 일치하도록 이 접두사를 변경합니다.

  • 마지막 8바이트는 IPoIB 장치에 연결되는 InfiniBand 포트의 GUID(Globally Unique Identifier)입니다.
참고

처음 12바이트가 변경될 수 있으므로 udev 장치 관리자 규칙에서 사용하지 마십시오.

26.3.4. nmcli를 사용하여 IPoIB 연결 구성
링크 복사

nmcli 유틸리티를 사용하여 명령줄에서 InfiniBand 연결을 통해 IP를 만들 수 있습니다.

사전 요구 사항

  • InfiniBand 장치가 서버에 설치되어 있습니다.
  • 해당 커널 모듈이 로드됨

프로세스

  1. 연결된 전송 모드에서 mlx5_ib0 인터페이스를 사용하고 최대 MTU는 65520 바이트인 InfiniBand 연결을 생성합니다. 

    # nmcli connection add type infiniband con-name mlx5_ib0 ifname mlx5_ib0 transport-mode Connected mtu 65520

  2. P_Key 를 설정합니다. 예를 들면 다음과 같습니다. 

    # nmcli connection modify mlx5_ib0 infiniband.p-key 0x8002

  3. IPv4 설정을 구성합니다.

    • DHCP를 사용하려면 다음을 입력합니다. 

      # nmcli connection modify mlx5_ib0 ipv4.method auto

      ipv4.method 가 이미 auto (기본값)로 설정된 경우 이 단계를 건너뜁니다.

    • 정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 검색 도메인을 설정하려면 다음을 입력합니다. 

      # nmcli connection modify mlx5_ib0 ipv4.method manual ipv4.addresses 192.0.2.1/24 ipv4.gateway 192.0.2.254 ipv4.dns 192.0.2.200 ipv4.dns-search example.com

  4. IPv6 설정을 구성합니다.

    • SLAAC(상태 비저장 주소 자동 구성)를 사용하려면 다음을 입력합니다. 

      # nmcli connection modify mlx5_ib0 ipv6.method auto

      ipv6.method 가 이미 auto (기본값)로 설정된 경우 이 단계를 건너뜁니다.

    • 정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 검색 도메인을 설정하려면 다음을 입력합니다. 

      # nmcli connection modify mlx5_ib0 ipv6.method manual ipv6.addresses 2001:db8:1::fffe/64 ipv6.gateway 2001:db8:1::fffe ipv6.dns 2001:db8:1::ffbb ipv6.dns-search example.com

  5. 프로필의 다른 설정을 사용자 지정하려면 다음 명령을 사용합니다. 

    # nmcli connection modify mlx5_ib0 <setting> <value>

    값을 따옴표로 묶거나 spaces로 묶습니다.

  6. 프로필을 활성화합니다. 

    # nmcli connection up mlx5_ib0

검증

  • ping 유틸리티를 사용하여 원격 호스트의 InfiniBand 어댑터에 ICMP 패킷을 보냅니다. 예를 들면 다음과 같습니다. 

    # ping -c5 192.0.2.2

26.3.5. 네트워크 RHEL 시스템 역할을 사용하여 IPoIB 연결 구성
링크 복사

InfiniBand (IPoIB)를 통해 IP를 구성하려면 NetworkManager 연결 프로필을 만듭니다. 네트워크 RHEL 시스템 역할을 사용하여 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.

네트워크 RHEL 시스템 역할을 사용하여 IPoIB를 구성할 수 있으며, InfiniBand의 상위 장치에 대한 연결 프로파일이 없으면 역할도 생성할 수 있습니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.
  • mlx5_ib0 이라는 InfiniBand 장치가 관리 노드에 설치됩니다.
  • 관리형 노드는 NetworkManager를 사용하여 네트워크를 구성합니다.

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure the network
  hosts: managed-node-01.example.com
  tasks:
    - name: IPoIB connection profile with static IP address settings
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.network
      vars:
        network_connections:
          # InfiniBand connection mlx5_ib0
          - name: mlx5_ib0
            interface_name: mlx5_ib0
            type: infiniband

          # IPoIB device mlx5_ib0.8002 on top of mlx5_ib0
          - name: mlx5_ib0.8002
            type: infiniband
            autoconnect: yes
            infiniband:
              p_key: 0x8002
              transport_mode: datagram
            parent: mlx5_ib0
            ip:
              address:
                - 192.0.2.1/24
                - 2001:db8:1::1/64
            state: up

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    type: <profile_type>
    생성할 프로필 유형을 설정합니다. 예제 플레이북은 두 개의 연결 프로필을 생성합니다. 하나는 InfiniBand 연결용이고 하나는 IPoIB 장치용입니다.
    parent: <parent_device>
    IPoIB 연결 프로필의 상위 장치를 설정합니다.
    p_key: <value>
    InfiniBand 파티션 키를 설정합니다. 이 변수를 설정하는 경우 IPoIB 장치에 interface_name 을 설정하지 마십시오.
    transport_mode: <mode>
    IPoIB 연결 작업 모드를 설정합니다. 이 변수를 데이터그램 (기본값) 또는 연결된 로 설정할 수 있습니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.network/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml

검증

  1. mlx5_ib0.8002 장치의 IP 설정을 표시합니다. 

    # ansible managed-node-01.example.com -m command -a 'ip address show mlx5_ib0.8002'
managed-node-01.example.com | CHANGED | rc=0 >>
...
inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute ib0.8002
   valid_lft forever preferred_lft forever
inet6 2001:db8:1::1/64 scope link tentative noprefixroute
   valid_lft forever preferred_lft forever

  2. mlx5_ib0.8002 장치의 파티션 키(P_Key)를 표시합니다. 

    # ansible managed-node-01.example.com -m command -a 'cat /sys/class/net/mlx5_ib0.8002/pkey'
managed-node-01.example.com | CHANGED | rc=0 >>
0x8002

  3. mlx5_ib0.8002 장치의 모드를 표시합니다. 

    # ansible managed-node-01.example.com -m command -a 'cat /sys/class/net/mlx5_ib0.8002/mode'
managed-node-01.example.com | CHANGED | rc=0 >>
datagram

26.3.6. nmstatectl을 사용하여 IPoIB 연결 구성
링크 복사

선언적 Nmstate API를 사용하여 IP를 InfiniBand(IPoIB)를 구성할 수 있습니다. NMState를 사용하면 결과가 구성 파일과 일치하거나 변경 사항을 롤백합니다.

사전 요구 사항

  • InfiniBand 장치가 서버에 설치되어 있습니다.
  • InfiniBand 장치의 커널 모듈이 로드됩니다.

프로세스

  1. 다음 콘텐츠를 사용하여 YAML 파일(예: ~/create-IPoIB-profile.yml )을 생성합니다. 

    interfaces:
- name: mlx5_ib0.8002
  type: infiniband
  state: up
  ipv4:
    enabled: true
    address:
    - ip: 192.0.2.1
      prefix-length: 24
    dhcp: false
  ipv6:
    enabled: true
    address:
    - ip: 2001:db8:1::1
      prefix-length: 64
    autoconf: false
    dhcp: false
  infiniband:
    base-iface: "mlx5_ib0"
    mode: datagram
    pkey: "0x8002"

routes:
  config:
  - destination: 0.0.0.0/0
    next-hop-address: 192.0.2.254
    next-hop-interface: mlx5_ib0.8002
  - destination: ::/0
    next-hop-address: 2001:db8:1::fffe
    next-hop-interface: mlx5_ib0.8002

    이제 IPoIB 연결이 다음 설정을 갖습니다.

    • IPOIB 장치 이름: mlx5_ib0.8002
    • 기본 인터페이스(parent): mlx5_ib0
    • InfiniBand 파티션 키: 0x8002
    • 전송 모드: 데이터그램
    • 정적 IPv4 주소: /24 서브넷 마스크가 있는 192.0.2.1
    • 정적 IPv6 주소: 2001:db8:1::1/64 서브넷 마스크
    • IPv4 기본 게이트웨이: 192.0.2.254
    • IPv6 기본 게이트웨이: 2001:db8:1::fffe

  2. 시스템에 설정을 적용합니다. 

    # nmstatectl apply ~/create-IPoIB-profile.yml

검증

  1. mlx5_ib0.8002 장치의 IP 설정을 표시합니다. 

    # ip address show mlx5_ib0.8002
...
inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute ib0.8002
   valid_lft forever preferred_lft forever
inet6 2001:db8:1::1/64 scope link tentative noprefixroute
   valid_lft forever preferred_lft forever

  2. mlx5_ib0.8002 장치의 파티션 키(P_Key)를 표시합니다. 

    # cat /sys/class/net/mlx5_ib0.8002/pkey
0x8002

  3. mlx5_ib0.8002 장치의 모드를 표시합니다. 

    # cat /sys/class/net/mlx5_ib0.8002/mode
datagram

26.3.7. IPoIB가 구성된 후 iperf3 를 사용하여 RDMA 네트워크 테스트
링크 복사

iperf3 유틸리티는 두 노드 간에 RDMA 및 IP 성능을 측정합니다.

다음 예에서 대용량 버퍼 크기는 최대 처리량을 측정하고 iperf3 유틸리티를 사용하여 두 호스트 간의 대역폭과 대기 시간을 완전히 사용하는 60초 테스트를 수행하는 데 사용됩니다.

사전 요구 사항

  • 두 호스트 모두에 IPoIB를 구성했습니다.

프로세스

  1. iperf3 을 시스템에서 서버로 실행하려면 클라이언트 연결의 응답을 기다리는 서버로서 수신 대기하도록 주기적인 대역폭 업데이트 - i 를 제공하는 시간 간격을 정의합니다. 

    # iperf3 -i 5 -s

  2. 다른 시스템에서 iperf3 을 클라이언트로 실행하려면 주기적인 대역폭 업데이트 -i 를 제공하여 수신 대기 서버 -c of IP 주소 192.168.2.2-t 시간(초)을 사용하여 연결합니다. 

    # iperf3 -i 5 -t 60 -c 192.168.2.2

  3. 다음 명령을 사용합니다.

    1. 서버 역할을 하는 시스템에서 테스트 결과를 표시합니다. 

      # iperf3 -i 10 -s
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
Accepted connection from 192.168.2.3, port 22216
[5] local 192.168.2.2 port 5201 connected to 192.168.2.3 port 22218
[ID] Interval           Transfer     Bandwidth
[5]   0.00-10.00  sec  17.5 GBytes  15.0 Gbits/sec
[5]  10.00-20.00  sec  17.6 GBytes  15.2 Gbits/sec
[5]  20.00-30.00  sec  18.4 GBytes  15.8 Gbits/sec
[5]  30.00-40.00  sec  18.0 GBytes  15.5 Gbits/sec
[5]  40.00-50.00  sec  17.5 GBytes  15.1 Gbits/sec
[5]  50.00-60.00  sec  18.1 GBytes  15.5 Gbits/sec
[5]  60.00-60.04  sec  82.2 MBytes  17.3 Gbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ID] Interval           Transfer     Bandwidth
[5]   0.00-60.04  sec  0.00 Bytes    0.00 bits/sec  sender
[5]   0.00-60.04  sec   107 GBytes  15.3 Gbits/sec  receiver

    2. 클라이언트 역할을 하는 시스템에서 테스트 결과를 표시합니다. 

      # iperf3 -i 1 -t 60 -c 192.168.2.2

Connecting to host 192.168.2.2, port 5201
[4] local 192.168.2.3 port 22218 connected to 192.168.2.2 port 5201
[ID] Interval           Transfer     Bandwidth       Retr  Cwnd
[4]   0.00-10.00  sec  17.6 GBytes  15.1 Gbits/sec    0   6.01 MBytes
[4]  10.00-20.00  sec  17.6 GBytes  15.1 Gbits/sec    0   6.01 MBytes
[4]  20.00-30.00  sec  18.4 GBytes  15.8 Gbits/sec    0   6.01 MBytes
[4]  30.00-40.00  sec  18.0 GBytes  15.5 Gbits/sec    0   6.01 MBytes
[4]  40.00-50.00  sec  17.5 GBytes  15.1 Gbits/sec    0   6.01 MBytes
[4]  50.00-60.00  sec  18.1 GBytes  15.5 Gbits/sec    0   6.01 MBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ID] Interval           Transfer     Bandwidth       Retr
[4]   0.00-60.00  sec   107 GBytes  15.4 Gbits/sec    0   sender
[4]   0.00-60.00  sec   107 GBytes  15.4 Gbits/sec        receiver

26.4. RoCE 구성
링크 복사

RoCE(Remote Direct Memory Access) over Converged Ethernet(RoCE)은 이더넷 네트워크를 통해 RDMA를 사용하는 네트워크 프로토콜입니다. 구성을 위해 RoCE에는 특정 하드웨어가 필요하며 일부 하드웨어 공급업체는 Mellanox, Broadcom 및 QLogic입니다.

26.4.1. RoCE 프로토콜 버전 개요
링크 복사

다양한 RoCE 버전의 차이점을 이해하는 것은 효율적이고 확장 가능한 네트워크 인프라를 설계하는 데 중요합니다.

다음은 다른 RoCE 버전입니다.

RoCE v1
RoCE 버전 1 프로토콜은 Ethertype 0x8915 가 있는 이더넷 링크 계층 프로토콜로, 동일한 이더넷 브로드캐스트 도메인에 있는 두 호스트 간의 통신을 가능하게 합니다.
RoCE v2
RoCE 버전 2 프로토콜은 IPv4를 통한 UDP 또는 IPv6 프로토콜을 통한 UDP 상단에 있습니다. RoCE v2의 경우 UDP 대상 포트 번호는 4791 입니다.

RDMA_CM은 데이터 전송을 위한 클라이언트와 서버 간의 안정적인 연결을 설정합니다. RDMA_CM은 연결을 설정하기 위한 RDMA 전송 중립 인터페이스를 제공합니다. 통신은 특정 RDMA 장치 및 메시지 기반 데이터 전송을 사용합니다.

중요

클라이언트에서 RoCE v2 및 RoCE v1과 같은 다른 버전을 사용하는 것은 지원되지 않습니다. 이러한 경우 RoCE v1을 통해 통신하도록 서버와 클라이언트를 모두 구성합니다.

RoCE v1은 데이터 링크 계층(Layer 2)에서 작동하며 동일한 네트워크에서 두 머신의 통신만 지원합니다. 기본적으로 RoCE v2를 사용할 수 있습니다. 네트워크 계층(Layer 3)에서 작동합니다. RoCE v2는 여러 이더넷 연결을 제공하는 패킷 라우팅을 지원합니다.

26.4.2. 기본 RoCE 버전 임시 변경
링크 복사

서버에서 RoCE v2 프로토콜을 클라이언트 및 RoCE v1에서 사용하는 것은 지원되지 않습니다. 서버의 하드웨어가 RoCE v1만 지원하는 경우 RoCE v1이 서버와 통신하도록 클라이언트를 구성합니다.

예를 들어 RoCE v1만 지원하는 Mellanox ConnectX-5 InfiniBand 장치에 mlx5_0 드라이버를 사용하는 클라이언트를 구성할 수 있습니다.

참고

여기에서 설명된 변경 사항은 호스트를 재부팅할 때까지 적용됩니다.

사전 요구 사항

  • 클라이언트는 RoCE v2 프로토콜과 함께 InfiniBand 장치를 사용합니다.
  • 서버는 RoCE v1만 지원하는 InfiniBand 장치를 사용합니다.

프로세스

  1. /sys/kernel/config/rdma_cm/mlx5_0/ 디렉터리를 만듭니다. 

    # mkdir /sys/kernel/config/rdma_cm/mlx5_0/

  2. 기본 RoCE 모드를 표시합니다. 

    # cat /sys/kernel/config/rdma_cm/mlx5_0/ports/1/default_roce_mode

RoCE v2

  3. 기본 RoCE 모드를 버전 1로 변경합니다. 

    # echo "IB/RoCE v1" > /sys/kernel/config/rdma_cm/mlx5_0/ports/1/default_roce_mode

26.5. 사용자가 시스템에서 고정할 수 있는 메모리 양을 늘리기
링크 복사

RDMA(Remote Direct Memory Access) 작업을 수행하려면 물리적 메모리를 고정해야 합니다. 결과적으로 커널은 스왑 공간에 메모리를 쓸 수 없습니다. 사용자가 너무 많은 메모리를 고정하면 시스템이 메모리 부족을 실행하고 커널은 프로세스를 종료하여 더 많은 메모리를 확보할 수 있습니다.

메모리 고정은 권한 있는 작업입니다. 루트가 아닌 사용자가 대규모 RDMA 애플리케이션을 실행해야 하는 경우 항상 기본 메모리에 페이지를 유지하기 위해 메모리 양을 늘려야 합니다.

프로세스

  • root 사용자로 다음 콘텐츠를 사용하여 /etc/security/limits.conf 파일을 만듭니다. 

    @rdma soft memlock unlimited
@rdma hard memlock unlimited

    자세한 내용은 시스템의 limits.conf(5) 도움말 페이지를 참조하십시오.

검증

  1. /etc/security/limits.conf 파일을 편집한 후 rdma 그룹의 멤버로 로그인합니다.

    Red Hat Enterprise Linux는 사용자가 로그인할 때 업데이트된 ulimit 설정을 적용합니다.

  2. ulimit -l 명령을 사용하여 제한을 표시합니다. 

    $ ulimit -l
unlimited

    명령에서 무제한 을 반환하는 경우 사용자는 메모리 양을 무제한으로 고정할 수 있습니다.

26.6. NFS 서버에서 RDMA를 통해 NFS 활성화
링크 복사

RDMA(Remote Direct Memory Access)는 클라이언트 시스템이 스토리지 서버의 메모리에서 자체 메모리로 직접 데이터를 전송할 수 있는 프로토콜입니다. 이렇게 하면 스토리지 처리량이 향상되고 서버와 클라이언트 간의 데이터 전송 대기 시간이 단축되고 두 종료 모두에서 CPU 부하가 줄어듭니다. NFS 서버와 클라이언트가 모두 RDMA를 통해 연결된 경우 클라이언트는 NFSoRDMA를 사용하여 내보낸 디렉터리를 마운트할 수 있습니다.

사전 요구 사항

  • NFS 서비스가 실행 중이고 구성됨
  • RoCE(InfiniBand 또는 RDMA over Converged Ethernet) 장치가 서버에 설치되어 있습니다.
  • IP over InfiniBand (IPoIB)는 서버에 구성되고 InfiniBand 장치에 IP 주소가 할당됩니다.

프로세스

  1. rdma-core 패키지를 설치합니다. 

    # dnf install rdma-core

  2. 패키지가 이미 설치된 경우 /etc/rdma/modules/rdma.conf 파일의 xprtrdmasvcrdma 모듈이 주석 해제되었는지 확인합니다. 

    # NFS over RDMA client support
xprtrdma
# NFS over RDMA server support
svcrdma

  3. 선택 사항: 기본적으로 RDMA를 통한 NFS는 포트 20049를 사용합니다. 다른 포트를 사용하려면 /etc/nfs.conf 파일의 [nfsd] 섹션에서 rdma-port 설정을 설정합니다. 

    rdma-port=<port>

  4. firewalld 에서 NFSoRDMA 포트를 엽니다. 

    # firewall-cmd --permanent --add-port={20049/tcp,20049/udp}
# firewall-cmd --reload

    20049 이외의 다른 포트를 설정하면 포트 번호를 조정합니다.

  5. nfs-server 서비스를 다시 시작합니다. 

    # systemctl restart nfs-server

검증

  1. InfiniBand 하드웨어가 있는 클라이언트에서 다음 단계를 수행합니다.

    1. 다음 패키지를 설치합니다. 

      # dnf install nfs-utils rdma-core

    2. RDMA를 통해 내보낸 NFS 공유를 마운트합니다. 

      # mount -o rdma server.example.com:/nfs/projects/ /mnt/

      기본값(20049) 이외의 포트 번호를 설정하면 port = <port_number> 를 명령에 전달합니다. 

      # mount -o rdma,port=<port_number> server.example.com:/nfs/projects/ /mnt/

    3. rdma 옵션을 사용하여 공유가 마운트되었는지 확인합니다. 

      # mount | grep "/mnt"
server.example.com:/nfs/projects/ on /mnt type nfs (...,proto=rdma,...)

26.7. InfiniBand 서브넷 관리자
링크 복사

모든 InfiniBand 네트워크에는 네트워크가 작동하려면 서브넷 관리자가 실행되고 있어야 합니다. 이는 두 시스템이 스위치와 직접 연결되어 있지 않은 경우에도 마찬가지입니다.

서브넷 관리자가 두 개 이상 있을 수 있습니다. 이 경우 컨트롤러 역할을 하며 다른 서브넷 관리자는 마스터 서브넷 관리자가 실패할 경우 포트 역할을 합니다.

Red Hat Enterprise Linux는 InfiniBand 서브넷 관리자의 구현인 OpenSM 을 제공합니다. 그러나 OpenSM 의 기능은 제한되어 있으며 활성 업스트림 개발이 없습니다. 일반적으로 InfiniBand 스위치에 내장된 서브넷 관리자는 더 많은 기능을 제공하고 최신 InfiniBand 하드웨어를 지원합니다. 자세한 내용은 OpenSM InfiniBand 서브넷 관리자 설치 및 구성 을 참조하십시오.

법적 공지
링크 복사

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

Legal Notice

Theme

© 2026 Red Hat맨 위로 이동