Red Hat Summit네트워킹 구성 및 관리
네트워크 인터페이스, 방화벽 및 고급 네트워킹 기능 관리
초록
- 본딩, VLAN, 브리지, 터널 및 기타 네트워크 유형을 구성하여 호스트를 네트워크에 연결할 수 있습니다.
- 로컬 호스트 및 전체 네트워크에 대해 성능에 중요한 방화벽을 빌드할 수 있습니다. RHEL에는
firewalld서비스,nftables프레임워크, XDP( Express Data Path)와 같은 패킷 필터링 소프트웨어가 포함되어 있습니다. - RHEL은 정책 기반 라우팅 및 MPTCP(Multipath TCP)와 같은 고급 네트워킹 기능도 지원합니다.
Red Hat 문서에 관한 피드백 제공
문서 개선을 위한 의견에 감사드립니다. 어떻게 개선할 수 있는지 알려주십시오.
Jira를 통해 피드백 제출 (계정 필요)
- Jira 웹 사이트에 로그인합니다.
- 상단 탐색 모음에서 생성 을 클릭합니다.
- 요약 필드에 설명 제목을 입력합니다.
- 설명 필드에 개선을 위한 제안을 입력합니다. 문서의 관련 부분에 대한 링크를 포함합니다.
- 대화 상자 하단에서 생성 을 클릭합니다.
1장. 일관된 네트워크 인터페이스 이름 구현
udev 장치 관리자는 Red Hat Enterprise Linux에서 일관된 장치 이름을 구현합니다. 장치 관리자는 다양한 이름 지정 체계를 지원하며 기본적으로 펌웨어, 토폴로지 및 위치 정보를 기반으로 고정 이름을 할당합니다.
장치 이름을 일관되게 지정하지 않으면 Linux 커널은 고정 접두사와 인덱스를 결합하여 네트워크 인터페이스에 이름을 할당합니다. 커널이 네트워크 장치를 초기화할 때 인덱스가 증가합니다. 예를 들어 eth0 은 시작 시 프로브되는 첫 번째 이더넷 장치를 나타냅니다. 다른 네트워크 인터페이스 컨트롤러를 시스템에 추가하는 경우 재부팅 후 장치가 다른 순서로 초기화될 수 있으므로 커널 장치 이름 할당은 더 이상 수정되지 않습니다. 이 경우 커널은 장치의 이름을 다르게 지정할 수 있습니다.
이 문제를 해결하기 위해 udev 는 일관된 장치 이름을 할당합니다. 여기에는 다음과 같은 이점이 있습니다.
- 장치 이름은 재부팅 시 안정적입니다.
- 하드웨어를 추가하거나 제거하는 경우에도 장치 이름은 고정됩니다.
- 결함이 있는 하드웨어를 원활하게 교체할 수 있습니다.
- 네트워크 이름 지정은 상태 비저장이며 명시적 구성 파일이 필요하지 않습니다.
일반적으로 Red Hat은 일관된 장치 이름이 비활성화된 시스템을 지원하지 않습니다. 예외 사항은 net.ifnames=0을 설정하는 것이 안전한 Red Hat 지식베이스 솔루션을 참조하십시오.
1.1. udev 장치 관리자의 네트워크 인터페이스 이름 변경 방법
네트워크 인터페이스에 대한 일관된 이름 지정 체계를 구현하기 위해 udev 장치 관리자는 다음 규칙 파일을 나열 순서대로 처리합니다.
선택 사항:
/usr/lib/udev/rules.d/60-net.rules/usr/lib/udev/rules.d/60-net.rules파일은 더 이상 사용되지 않는/usr/lib/udev/rename_device도우미 유틸리티에서/etc/sysconfig/network-scripts/ifcfg-*파일에서HWADDR매개 변수를 검색하도록 정의합니다. 변수에 설정된 값이 인터페이스의 MAC 주소와 일치하는 경우 도우미 유틸리티는 인터페이스의 이름을ifcfg파일의DEVICE매개변수에 설정된 이름으로 바꿉니다.시스템이 NetworkManager 연결 프로필만 키 파일 형식으로 사용하는 경우
udev는 이 단계를 건너뜁니다.Dell 시스템에서만:
/usr/lib/udev/rules.d/71-biosdevname.rules이 파일은
biosdevname패키지가 설치된 경우에만 존재하며 규칙 파일은biosdevname유틸리티에서 이전 단계에서 이름이 변경되지 않은 경우 이름 지정 정책에 따라 인터페이스 이름을 변경하도록 정의합니다.참고Dell 시스템에만
biosdevname을 설치하고 사용합니다./usr/lib/udev/rules.d/75-net-description.rules이 파일은
udev가 네트워크 인터페이스를 검사하는 방법을 정의하고udev-internal 변수에서 속성을 설정합니다. 그런 다음 이러한 변수는/usr/lib/udev/rules.d/80-net-setup-link.rules파일을 통해 다음 단계에서 처리됩니다. 일부 속성은 정의되지 않을 수 있습니다./usr/lib/udev/rules.d/80-net-setup-link.rules이 파일은
udev서비스의 빌드된net_setup_link를 호출하고udev는/usr/lib/systemd/network/99-default.link파일의NamePolicy매개변수의 정책 순서에 따라 인터페이스의 이름을 바꿉니다. 자세한 내용은 네트워크 인터페이스 이름 지정 정책을 참조하십시오.정책이 적용되지 않으면
udev는 인터페이스의 이름을 바꾸지 않습니다.
1.2. 네트워크 인터페이스 이름 지정 정책
기본적으로 udev 장치 관리자는 /usr/lib/systemd/network/99-default.link 파일을 사용하여 인터페이스 이름을 변경할 때 적용할 장치 이름 지정 정책을 결정합니다. 이 파일의 NamePolicy 매개변수는 udev 정책에서 사용하는 정책과 순서를 정의합니다.
NamePolicy=kernel database onboard slot path
NamePolicy=kernel database onboard slot path
다음 표에서는 NamePolicy 매개변수에서 지정한 대로 가장 먼저 일치하는 정책을 기반으로 udev 의 다양한 작업을 설명합니다.
| 정책 | 설명 | 이름 예 |
|---|---|---|
| kernel |
커널에서 장치 이름이 예측 가능함을 나타내는 경우 |
|
| 데이터베이스 |
이 정책은 |
|
| 온보드 | 장치 이름은 온보드 장치의 펌웨어 또는 BIOS 제공 인덱스 번호를 통합합니다. |
|
| 슬롯 | 장치 이름은 펌웨어 또는 BIOS가 제공하는 PCI Express(PCIe) 핫 플러그 슬롯 인덱스 번호를 통합합니다. |
|
| path | 장치 이름은 하드웨어의 커넥터의 물리적 위치를 통합합니다. |
|
| mac | 장치 이름은 MAC 주소를 통합합니다. 기본적으로 Red Hat Enterprise Linux는 이 정책을 사용하지 않지만 관리자는 이를 활성화할 수 있습니다. |
|
1.3. 네트워크 인터페이스 이름 지정 체계
udev 장치 관리자는 장치 드라이버가 일관된 장치 이름을 생성하기 위해 제공하는 특정 안정적인 인터페이스 속성을 사용합니다.
새로운 udev 버전이 특정 인터페이스에 대한 이름을 생성하는 방법을 변경하는 경우 Red Hat은 새 스키마 버전을 추가하고 시스템의 systemd.net-naming-scheme(7) 도움말 페이지에 세부 정보를 문서화합니다. 기본적으로 RHEL(Red Hat Enterprise Linux) 8은 RHEL의 최신 마이너 버전을 설치하거나 업데이트하더라도 rhel-8.0 이름 지정 스키마를 사용합니다.
기본값 이외의 스키마를 사용하려면 네트워크 인터페이스 이름 지정 스키마를 전환할 수 있습니다.
다른 장치 유형 및 플랫폼의 이름 지정 체계에 대한 자세한 내용은 시스템의 systemd.net-naming-scheme(7) 매뉴얼 페이지를 참조하십시오.
1.4. 다른 네트워크 인터페이스 이름 지정 체계로 전환
기본적으로 RHEL(Red Hat Enterprise Linux) 8은 RHEL의 최신 마이너 버전을 설치하거나 업데이트하더라도 rhel-8.0 이름 지정 스키마를 사용합니다. 기본 이름 지정 스키마는 대부분의 시나리오에 적합하지만 다른 스키마 버전으로 전환해야 하는 이유가 있을 수 있습니다. 예를 들면 다음과 같습니다.
- 새로운 체계는 슬롯 번호와 같은 추가 속성을 인터페이스 이름에 추가하는 경우 장치를 더 잘 식별하는 데 도움이 될 수 있습니다.
-
새로운 체계는
udev가 커널 할당 장치 이름(eth*)으로 대체되지 않도록 할 수 있습니다. 이는 드라이버에서 두 개 이상의 인터페이스에 고유한 특성을 제공하지 않는 경우 고유 이름을 생성하는 경우에 발생합니다.
사전 요구 사항
- 서버의 콘솔에 액세스할 수 있습니다.
프로세스
네트워크 인터페이스를 나열합니다.
ip link show 2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...# ip link show 2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 인터페이스의 MAC 주소를 기록합니다.
선택 사항: 네트워크 인터페이스의
ID_NET_NAMING_SCHEME속성을 표시하여 RHEL에서 현재 사용하는 이름 지정 스키마를 식별합니다.udevadm info --query=property /sys/class/net/eno1 | grep "ID_NET_NAMING_SCHEME" ID_NET_NAMING_SCHEME=rhel-8.0
# udevadm info --query=property /sys/class/net/eno1 | grep "ID_NET_NAMING_SCHEME" ID_NET_NAMING_SCHEME=rhel-8.0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 속성은
lo루프백 장치에서 사용할 수 없습니다.net.naming-scheme= <scheme> 옵션을 설치된 모든 커널의 명령줄에 추가합니다. 예를 들면 다음과 같습니다.grubby --update-kernel=ALL --args=net.naming-scheme=rhel-8.4
# grubby --update-kernel=ALL --args=net.naming-scheme=rhel-8.4Copy to Clipboard Copied! Toggle word wrap Toggle overflow 시스템을 재부팅합니다.
reboot
# rebootCopy to Clipboard Copied! Toggle word wrap Toggle overflow 기록한 MAC 주소에 따라 다른 이름 지정 체계로 인해 변경된 네트워크 인터페이스의 새 이름을 확인합니다.
ip link show 2: eno1np0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...# ip link show 2: eno1np0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 스키마를 전환한 후
udev는 지정된 MAC 주소eno1np0을 사용하여 장치의 이름을 지정하며 이전에eno1이라는 이름을 사용했습니다.이전 이름의 인터페이스를 사용하는 NetworkManager 연결 프로필을 식별합니다.
nmcli -f device,name connection show DEVICE NAME eno1 example_profile ...
# nmcli -f device,name connection show DEVICE NAME eno1 example_profile ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 프로필의
connection.interface-name속성을 새 인터페이스 이름으로 설정합니다.nmcli connection modify example_profile connection.interface-name "eno1np0"
# nmcli connection modify example_profile connection.interface-name "eno1np0"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 프로필을 다시 활성화합니다.
nmcli connection up example_profile
# nmcli connection up example_profileCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
네트워크 인터페이스의
ID_NET_NAMING_SCHEME속성을 표시하여 RHEL에서 사용하는 이름 지정 체계를 식별합니다.udevadm info --query=property /sys/class/net/eno1np0 | grep "ID_NET_NAMING_SCHEME" ID_NET_NAMING_SCHEME=_rhel-8.4
# udevadm info --query=property /sys/class/net/eno1np0 | grep "ID_NET_NAMING_SCHEME" ID_NET_NAMING_SCHEME=_rhel-8.4Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.5. IBM Z 플랫폼에서 예측 가능한 RoCE 장치 이름 확인
RHEL(Red Hat Enterprise Linux) 8.7 이상에서 udev 장치 관리자는 다음과 같이 IBM Z에서 RoCE 인터페이스의 이름을 설정합니다.
-
호스트가 장치에 고유한 ID(UID)를 적용하는 경우
udev는 UID를 기반으로 하는 일관된 장치 이름을 할당합니다(예:eno <UID_in_decimal> ). 호스트가 장치에 UID를 적용하지 않으면 해당 동작은 설정에 따라 다릅니다.
-
기본적으로
udev는 장치에 예측할 수 없는 이름을 사용합니다. -
net.naming-scheme=rhel-8.7커널 명령줄 옵션을 설정하면udev는 장치의 함수 식별자(FID)를 기반으로 하는 일관된 장치 이름을 할당합니다(예:ens <FID_in_decimal> ).
-
기본적으로
다음과 같은 경우 IBM Z에서 RoCE 인터페이스에 예측 가능한 장치 이름을 수동으로 구성합니다.
호스트는 RHEL 8.6 이상을 실행하고 장치에 대해 UID를 적용하고 RHEL 8.7 이상으로 업데이트할 계획입니다.
RHEL 8.7 이상으로 업데이트한 후
udev는 일관된 인터페이스 이름을 사용합니다. 그러나 업데이트 전에 예측할 수 없는 장치 이름을 사용한 경우 NetworkManager 연결 프로필은 이러한 이름을 계속 사용하고 영향을 받는 프로필을 업데이트할 때까지 활성화하지 못합니다.- 호스트는 RHEL 8.7 이상을 실행하고 UID를 적용하지 않으며 RHEL 9로 업그레이드할 계획입니다.
udev 규칙 또는 systemd 링크 파일을 사용하여 인터페이스 이름을 수동으로 변경하려면 먼저 예측 가능한 장치 이름을 결정해야 합니다.
사전 요구 사항
- RoCE 컨트롤러가 시스템에 설치되어 있습니다.
-
sysfsutils패키지가 설치되어 있습니다.
프로세스
사용 가능한 네트워크 장치를 표시하고 RoCE 장치의 이름을 확인합니다.
ip link show ... 2: enP5165p0s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 ...
# ip link show ... 2: enP5165p0s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow /sys/파일 시스템의 장치 경로를 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 단계의
장치 경로필드에 표시된 경로를 사용합니다.<
device_path> /uid_id_unique파일의 값을 표시합니다. 예를 들면 다음과 같습니다.cat /sys/devices/pci142d:00/142d:00:00.0/uid_id_unique
# cat /sys/devices/pci142d:00/142d:00:00.0/uid_id_uniqueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 표시된 값은 UID 고유성이 적용되었는지 여부를 나타내며 이후 단계에서 이 값이 필요합니다.
고유 식별자를 확인합니다.
UID 고유성이 적용되는 경우 (
1) <device_path> /uid파일에 저장된 UID를 표시합니다. 예를 들면 다음과 같습니다.cat /sys/devices/pci142d:00/142d:00:00.0/uid
# cat /sys/devices/pci142d:00/142d:00:00.0/uidCopy to Clipboard Copied! Toggle word wrap Toggle overflow UID 고유성이 강제 적용되지 않은 경우(
0) <device_path> /function_id파일에 저장된 FID를 표시합니다. 예를 들면 다음과 같습니다.cat /sys/devices/pci142d:00/142d:00:00.0/function_id
# cat /sys/devices/pci142d:00/142d:00:00.0/function_idCopy to Clipboard Copied! Toggle word wrap Toggle overflow
명령의 출력은 16진수의 UID 및 FID 값을 표시합니다.
16진수 식별자를 10진수로 변환합니다. 예를 들면 다음과 같습니다.
printf "%d\n" 0x00001402 5122
# printf "%d\n" 0x00001402 5122Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예측 가능한 장치 이름을 확인하려면 UID 고유성이 적용되었는지 여부에 따라 10진수 형식으로 식별자를 추가합니다.
-
UID 고유성이 적용되는 경우
eno접두사(예:eno5122)에 식별자를 추가합니다. -
UID 고유성이 적용되지 않으면
ens접두사에 식별자를 추가합니다(예:ens5122).
-
UID 고유성이 적용되는 경우
1.6. 설치 중에 이더넷 인터페이스의 접두사 사용자 정의
이더넷 인터페이스에 기본 device-naming 정책을 사용하지 않으려면 RHEL(Red Hat Enterprise Linux) 설치 중에 사용자 지정 장치 접두사를 설정할 수 있습니다.
Red Hat은 RHEL 설치 중에 접두사를 설정하는 경우에만 사용자 지정된 이더넷 접두사가 있는 시스템을 지원합니다. 이미 배포된 시스템에서 prefixdevname 유틸리티를 사용하는 것은 지원되지 않습니다.
설치 중에 장치 접두사를 설정하면 udev 서비스는 설치 후 이더넷 인터페이스에 < prefix><index > 형식을 사용합니다. 예를 들어 접두사 net 을 설정하면 서비스에서 net0 이름,net1 등을 이더넷 인터페이스에 할당합니다.
udev 서비스는 사용자 지정 접두사에 인덱스를 추가하고 알려진 이더넷 인터페이스의 인덱스 값을 유지합니다. 인터페이스를 추가하면 udev 에서 이전에 할당한 인덱스 값보다 큰 인덱스 값을 새 인터페이스에 할당합니다.
사전 요구 사항
- 접두사는 ASCII 문자로 구성됩니다.
- 접두사는 영숫자 문자열입니다.
- 접두사는 16자보다 짧습니다.
-
접두사는
eth,eno,ens및em과 같은 잘 알려진 다른 네트워크 인터페이스 접두사와 충돌하지 않습니다.
프로세스
- Red Hat Enterprise Linux 설치 미디어를 부팅합니다.
부팅 관리자에서 다음 단계를 수행합니다.
-
Install Red Hat Enterprise Linux < version>항목을 선택합니다. - Tab 을 눌러 항목을 편집합니다.
-
커널 옵션에
net.ifnames.prefix= <prefix>를 추가합니다. - Enter 를 눌러 설치 프로그램을 시작합니다.
-
- Red Hat Enterprise Linux를 설치합니다.
검증
인터페이스 이름을 확인하려면 네트워크 인터페이스를 표시합니다.
ip link show ... 2: net0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...# ip link show ... 2: net0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.7. udev 규칙을 사용하여 사용자 정의 네트워크 인터페이스 이름 구성
udev 규칙을 사용하여 조직의 요구 사항을 반영하는 사용자 지정 네트워크 인터페이스 이름을 구현할 수 있습니다.
프로세스
이름을 변경할 네트워크 인터페이스를 확인합니다.
ip link show ... enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...# ip link show ... enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 인터페이스의 MAC 주소를 기록합니다.
인터페이스의 장치 유형 ID를 표시합니다.
cat /sys/class/net/enp1s0/type 1
# cat /sys/class/net/enp1s0/type 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/udev/rules.d/70-persistent-net.rules파일을 생성하고 이름을 변경할 각 인터페이스에 대한 규칙을 추가합니다.SUBSYSTEM=="net",ACTION=="add",ATTR{address}=="<MAC_address>",ATTR{type}=="<device_type_id>",NAME="<new_interface_name>"SUBSYSTEM=="net",ACTION=="add",ATTR{address}=="<MAC_address>",ATTR{type}=="<device_type_id>",NAME="<new_interface_name>"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요부팅 프로세스 중에 일관된 장치 이름이 필요한 경우
70-persistent-net.rules만 파일 이름으로 사용합니다. RAM 디스크 이미지를 다시 생성하는 경우dracut유틸리티는 이 이름의 파일을initrd이미지에 추가합니다.예를 들어 다음 규칙을 사용하여 MAC 주소
00:00:5e:53:1a로 인터페이스의이름을provider0으로 변경합니다.SUBSYSTEM=="net",ACTION=="add",ATTR{address}=="00:00:5e:00:53:1a",ATTR{type}=="1",NAME="provider0"SUBSYSTEM=="net",ACTION=="add",ATTR{address}=="00:00:5e:00:53:1a",ATTR{type}=="1",NAME="provider0"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항:
initrdRAM 디스크 이미지를 다시 생성합니다.dracut -f
# dracut -fCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 단계는 RAM 디스크에 네트워킹 기능이 필요한 경우에만 필요합니다. 예를 들어 루트 파일 시스템이 iSCSI와 같은 네트워크 장치에 저장된 경우입니다.
이름을 바꿀 인터페이스를 사용하는 NetworkManager 연결 프로필을 식별합니다.
nmcli -f device,name connection show DEVICE NAME enp1s0 example_profile ...
# nmcli -f device,name connection show DEVICE NAME enp1s0 example_profile ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 프로필에서
connection.interface-name속성을 설정 해제합니다.nmcli connection modify example_profile connection.interface-name ""
# nmcli connection modify example_profile connection.interface-name ""Copy to Clipboard Copied! Toggle word wrap Toggle overflow 임시로 새 인터페이스 이름과 이전 인터페이스 이름과 일치하도록 연결 프로필을 구성합니다.
nmcli connection modify example_profile match.interface-name "provider0 enp1s0"
# nmcli connection modify example_profile match.interface-name "provider0 enp1s0"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 시스템을 재부팅합니다.
reboot
# rebootCopy to Clipboard Copied! Toggle word wrap Toggle overflow 링크 파일에 지정한 MAC 주소가 있는 장치의 이름이
provider0으로 변경되었는지 확인합니다.ip link show provider0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...# ip link show provider0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 새 인터페이스 이름만 일치하도록 연결 프로필을 구성합니다.
nmcli connection modify example_profile match.interface-name "provider0"
# nmcli connection modify example_profile match.interface-name "provider0"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이제 연결 프로필에서 이전 인터페이스 이름을 삭제했습니다.
연결 프로필을 다시 활성화합니다.
nmcli connection up example_profile
# nmcli connection up example_profileCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.8. systemd 링크 파일을 사용하여 사용자 정의 네트워크 인터페이스 이름 구성
systemd 링크 파일을 사용하여 조직의 요구 사항을 반영하는 사용자 지정 네트워크 인터페이스 이름을 구현할 수 있습니다.
사전 요구 사항
- 다음 조건 중 하나를 충족해야 합니다. NetworkManager는 이 인터페이스를 관리하지 않거나 해당 연결 프로파일에서는 키 파일 형식을 사용합니다.
프로세스
이름을 변경할 네트워크 인터페이스를 확인합니다.
ip link show ... enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...# ip link show ... enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 인터페이스의 MAC 주소를 기록합니다.
아직 없는 경우
/etc/systemd/network/디렉터리를 만듭니다.mkdir -p /etc/systemd/network/
# mkdir -p /etc/systemd/network/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이름을 바꿀 각 인터페이스에 대해 다음 콘텐츠를 사용하여
/etc/systemd/network/디렉터리에70-*.link파일을 생성합니다.[Match] MACAddress=<MAC_address> [Link] Name=<new_interface_name>
[Match] MACAddress=<MAC_address> [Link] Name=<new_interface_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요70접두사가 있는 파일 이름을 사용하여udev규칙 기반 솔루션과 일치하는 파일 이름을 유지합니다.예를 들어 다음 내용으로
/etc/systemd/network/70-파일을 생성하여 인터페이스의 이름을provider0.link00:00:5e:00:53:1a로 변경합니다.[Match] MACAddress=00:00:5e:00:53:1a [Link] Name=provider0
[Match] MACAddress=00:00:5e:00:53:1a [Link] Name=provider0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항:
initrdRAM 디스크 이미지를 다시 생성합니다.dracut -f
# dracut -fCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 단계는 RAM 디스크에 네트워킹 기능이 필요한 경우에만 필요합니다. 예를 들어 루트 파일 시스템이 iSCSI와 같은 네트워크 장치에 저장된 경우입니다.
이름을 바꿀 인터페이스를 사용하는 NetworkManager 연결 프로필을 식별합니다.
nmcli -f device,name connection show DEVICE NAME enp1s0 example_profile ...
# nmcli -f device,name connection show DEVICE NAME enp1s0 example_profile ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 프로필에서
connection.interface-name속성을 설정 해제합니다.nmcli connection modify example_profile connection.interface-name ""
# nmcli connection modify example_profile connection.interface-name ""Copy to Clipboard Copied! Toggle word wrap Toggle overflow 임시로 새 인터페이스 이름과 이전 인터페이스 이름과 일치하도록 연결 프로필을 구성합니다.
nmcli connection modify example_profile match.interface-name "provider0 enp1s0"
# nmcli connection modify example_profile match.interface-name "provider0 enp1s0"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 시스템을 재부팅합니다.
reboot
# rebootCopy to Clipboard Copied! Toggle word wrap Toggle overflow 링크 파일에 지정한 MAC 주소가 있는 장치의 이름이
provider0으로 변경되었는지 확인합니다.ip link show provider0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...# ip link show provider0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 새 인터페이스 이름만 일치하도록 연결 프로필을 구성합니다.
nmcli connection modify example_profile match.interface-name "provider0"
# nmcli connection modify example_profile match.interface-name "provider0"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이제 연결 프로필에서 이전 인터페이스 이름을 삭제했습니다.
연결 프로필을 다시 활성화합니다.
nmcli connection up example_profile
# nmcli connection up example_profileCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.9. systemd 링크 파일을 사용하여 네트워크 인터페이스에 대체 이름 할당
대체 인터페이스 이름을 지정하면 커널에서 네트워크 인터페이스에 추가 이름을 할당할 수 있습니다. 네트워크 인터페이스 이름이 필요한 명령에서 일반 인터페이스 이름과 동일한 방식으로 이러한 대체 이름을 사용할 수 있습니다.
사전 요구 사항
- 대체 이름으로 ASCII 문자를 사용해야 합니다.
- 대체 이름은 128자 이상이어야 합니다.
프로세스
네트워크 인터페이스 이름과 해당 MAC 주소를 표시합니다.
ip link show ... enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...# ip link show ... enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 대체 이름을 할당할 인터페이스의 MAC 주소를 기록합니다.
아직 없는 경우
/etc/systemd/network/디렉터리를 만듭니다.mkdir -p /etc/systemd/network/
# mkdir -p /etc/systemd/network/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 대체 이름이 있어야 하는 각 인터페이스에 대해
/etc//systemd/network-defaultsystemd/network/network/network-default.link 디렉터리에 고유한 이름과 .link 접미사가 있는 /usr/lib.link파일의 사본을 생성합니다. 예를 들면 다음과 같습니다.cp /usr/lib/systemd/network/99-default.link /etc/systemd/network/98-lan.link
# cp /usr/lib/systemd/network/99-default.link /etc/systemd/network/98-lan.linkCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 단계에서 생성한 파일을 수정합니다.
[Match]섹션을 다음과 같이 다시 작성하고AlternativeName항목을[Link]섹션에 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예를 들어 다음 콘텐츠를 사용하여
/etc/systemd/network/70-altname.link파일을 생성하여 MAC 주소00:00:5e:53:1a가 있는 인터페이스에공급자를 다른 이름으로 할당합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow initrdRAM 디스크 이미지를 다시 생성합니다.dracut -f
# dracut -fCopy to Clipboard Copied! Toggle word wrap Toggle overflow 시스템을 재부팅합니다.
reboot
# rebootCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
대체 인터페이스 이름을 사용합니다. 예를 들어 대체 이름
공급자가있는 장치의 IP 주소 설정을 표시합니다.ip address show provider 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff altname provider ...# ip address show provider 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 00:00:5e:00:53:1a brd ff:ff:ff:ff:ff:ff altname provider ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2장. 이더넷 연결 구성
NetworkManager는 호스트에 설치된 각 이더넷 어댑터에 대한 연결 프로필을 생성합니다. 기본적으로 이 프로필은 IPv4 및 IPv6 연결에 DHCP를 사용합니다. 자동으로 생성된 이 프로필을 수정하거나 다음 경우 새 프로필을 추가합니다.
- 네트워크에는 고정 IP 주소 구성과 같은 사용자 지정 설정이 필요합니다.
- 서로 다른 네트워크 간에 호스트가 순환되므로 여러 프로필이 필요합니다.
Red Hat Enterprise Linux는 관리자에게 이더넷 연결을 구성하는 다양한 옵션을 제공합니다. 예를 들면 다음과 같습니다.
-
nmcli를 사용하여 명령줄에서 연결을 구성합니다. -
nmtui를 사용하여 텍스트 기반 사용자 인터페이스에서 연결을 구성합니다. -
GNOME 설정 메뉴 또는
nm-connection-editor애플리케이션을 사용하여 그래픽 인터페이스에서 연결을 구성합니다. -
nmstatectl을 사용하여nmstateAPI를 통해 연결을 구성합니다. - RHEL 시스템 역할을 사용하여 하나 이상의 호스트에서 연결 구성을 자동화합니다.
Microsoft Azure 클라우드에서 실행되는 호스트에서 이더넷 연결을 수동으로 구성하려면 cloud-init 서비스를 비활성화하거나 클라우드 환경에서 검색된 네트워크 설정을 무시하도록 구성합니다. 그러지 않으면 다음 재부팅 시 수동으로 구성한 네트워크 설정을 덮어씁니다.
2.1. nmcli를 사용하여 이더넷 연결 구성
이더넷을 통해 호스트를 네트워크에 연결하는 경우 nmcli 유틸리티를 사용하여 명령줄에서 연결의 설정을 관리할 수 있습니다.
사전 요구 사항
- 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
프로세스
NetworkManager 연결 프로필을 나열합니다.
nmcli connection show NAME UUID TYPE DEVICE Wired connection 1 a5eb6490-cc20-3668-81f8-0314a27f3f75 ethernet enp1s0
# nmcli connection show NAME UUID TYPE DEVICE Wired connection 1 a5eb6490-cc20-3668-81f8-0314a27f3f75 ethernet enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본적으로 NetworkManager는 호스트의 각 NIC에 대한 프로필을 생성합니다. 이 NIC를 특정 네트워크에만 연결하려는 경우 자동으로 생성된 프로필을 조정합니다. 이 NIC를 다른 설정으로 네트워크에 연결하려는 경우 각 네트워크에 대한 개별 프로필을 생성합니다.
추가 연결 프로필을 생성하려면 다음을 입력합니다.
nmcli connection add con-name <connection-name> ifname <device-name> type ethernet
# nmcli connection add con-name <connection-name> ifname <device-name> type ethernetCopy to Clipboard Copied! Toggle word wrap Toggle overflow 기존 프로필을 수정하려면 이 단계를 건너뜁니다.
선택 사항: 연결 프로필의 이름을 변경합니다.
nmcli connection modify "Wired connection 1" connection.id "Internal-LAN"
# nmcli connection modify "Wired connection 1" connection.id "Internal-LAN"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.
연결 프로필의 현재 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 설정을 구성합니다.
DHCP를 사용하려면 다음을 입력합니다.
nmcli connection modify Internal-LAN ipv4.method auto
# nmcli connection modify Internal-LAN ipv4.method autoCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipv4.method가 이미auto(기본값)로 설정된 경우 이 단계를 건너뜁니다.정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 검색 도메인을 설정하려면 다음을 입력합니다.
nmcli connection modify Internal-LAN ipv4.method manual ipv4.addresses 192.0.2.1/24 ipv4.gateway 192.0.2.254 ipv4.dns 192.0.2.200 ipv4.dns-search example.com
# nmcli connection modify Internal-LAN ipv4.method manual ipv4.addresses 192.0.2.1/24 ipv4.gateway 192.0.2.254 ipv4.dns 192.0.2.200 ipv4.dns-search example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
IPv6 설정을 구성합니다.
SLAAC(상태 비저장 주소 자동 구성)를 사용하려면 다음을 입력합니다.
nmcli connection modify Internal-LAN ipv6.method auto
# nmcli connection modify Internal-LAN ipv6.method autoCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipv6.method가 이미auto(기본값)로 설정된 경우 이 단계를 건너뜁니다.정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 검색 도메인을 설정하려면 다음을 입력합니다.
nmcli connection modify Internal-LAN ipv6.method manual ipv6.addresses 2001:db8:1::fffe/64 ipv6.gateway 2001:db8:1::fffe ipv6.dns 2001:db8:1::ffbb ipv6.dns-search example.com
# nmcli connection modify Internal-LAN ipv6.method manual ipv6.addresses 2001:db8:1::fffe/64 ipv6.gateway 2001:db8:1::fffe ipv6.dns 2001:db8:1::ffbb ipv6.dns-search example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
프로필의 다른 설정을 사용자 지정하려면 다음 명령을 사용합니다.
nmcli connection modify <connection-name> <setting> <value>
# nmcli connection modify <connection-name> <setting> <value>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 값을 따옴표로 묶거나 spaces로 묶습니다.
프로필을 활성화합니다.
nmcli connection up Internal-LAN
# nmcli connection up Internal-LANCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
NIC의 IP 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 기본 게이트웨이를 표시합니다.
ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102
# ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 표시합니다.
ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium
# ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow DNS 설정을 표시합니다.
cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbb
# cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbbCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여러 연결 프로필이 동시에 활성화된 경우
이름 서버항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.ping유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다.ping <host-name-or-IP-address>
# ping <host-name-or-IP-address>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
문제 해결
- 네트워크 케이블이 호스트에 연결되고 스위치가 연결되어 있는지 확인합니다.
- 링크 오류가 이 호스트에만 있는지 또는 동일한 스위치에 연결된 다른 호스트에도 있는지 확인합니다.
- 네트워크 케이블과 네트워크 인터페이스가 예상대로 작동하는지 확인합니다. 하드웨어 진단 단계를 수행하고 결함이 있는 케이블 및 네트워크 인터페이스 카드를 교체합니다.
- 디스크의 구성이 장치의 구성과 일치하지 않으면 NetworkManager를 시작하거나 다시 시작하면 장치 구성을 반영하는 메모리 내 연결이 생성됩니다. 자세한 내용과 이 문제를 방지하는 방법은 NetworkManager 서비스를 다시 시작한 후 Red Hat Knowledgebase 솔루션 NetworkManager가 연결 중복을 참조하십시오.
2.2. nmcli 대화형 편집기를 사용하여 이더넷 연결 구성
이더넷을 통해 호스트를 네트워크에 연결하는 경우 nmcli 유틸리티를 사용하여 명령줄에서 연결의 설정을 관리할 수 있습니다.
사전 요구 사항
- 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
프로세스
NetworkManager 연결 프로필을 나열합니다.
nmcli connection show NAME UUID TYPE DEVICE Wired connection 1 a5eb6490-cc20-3668-81f8-0314a27f3f75 ethernet enp1s0
# nmcli connection show NAME UUID TYPE DEVICE Wired connection 1 a5eb6490-cc20-3668-81f8-0314a27f3f75 ethernet enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본적으로 NetworkManager는 호스트의 각 NIC에 대한 프로필을 생성합니다. 이 NIC를 특정 네트워크에만 연결하려는 경우 자동으로 생성된 프로필을 조정합니다. 이 NIC를 다른 설정으로 네트워크에 연결하려는 경우 각 네트워크에 대한 개별 프로필을 생성합니다.
대화형 모드에서
nmcli를 시작합니다.추가 연결 프로필을 생성하려면 다음을 입력합니다.
nmcli connection edit type ethernet con-name "<connection-name>"
# nmcli connection edit type ethernet con-name "<connection-name>"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기존 연결 프로필을 수정하려면 다음을 입력합니다.
nmcli connection edit con-name "<connection-name>"
# nmcli connection edit con-name "<connection-name>"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
선택 사항: 연결 프로필의 이름을 변경합니다.
nmcli> set connection.id Internal-LAN
nmcli> set connection.id Internal-LANCopy to Clipboard Copied! Toggle word wrap Toggle overflow 프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.
nmcli가 이름의 따옴표 부분을 만들지 않도록 공백이 포함된 ID를 설정하는 데 따옴표를 사용하지 마십시오. 예를 들어 예제 연결을 ID로 설정하려면set connection.id을 입력합니다.Example Connection연결 프로필의 현재 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 새 연결 프로필을 생성하는 경우 네트워크 인터페이스를 설정합니다.
nmcli> set connection.interface-name enp1s0
nmcli> set connection.interface-name enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 설정을 구성합니다.
DHCP를 사용하려면 다음을 입력합니다.
nmcli> set ipv4.method auto
nmcli> set ipv4.method autoCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipv4.method가 이미auto(기본값)로 설정된 경우 이 단계를 건너뜁니다.정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 검색 도메인을 설정하려면 다음을 입력합니다.
nmcli> ipv4.addresses 192.0.2.1/24 Do you also want to set 'ipv4.method' to 'manual'? [yes]: yes nmcli> ipv4.gateway 192.0.2.254 nmcli> ipv4.dns 192.0.2.200 nmcli> ipv4.dns-search example.com
nmcli> ipv4.addresses 192.0.2.1/24 Do you also want to set 'ipv4.method' to 'manual'? [yes]: yes nmcli> ipv4.gateway 192.0.2.254 nmcli> ipv4.dns 192.0.2.200 nmcli> ipv4.dns-search example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
IPv6 설정을 구성합니다.
SLAAC(상태 비저장 주소 자동 구성)를 사용하려면 다음을 입력합니다.
nmcli> set ipv6.method auto
nmcli> set ipv6.method autoCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipv6.method가 이미auto(기본값)로 설정된 경우 이 단계를 건너뜁니다.정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 검색 도메인을 설정하려면 다음을 입력합니다.
nmcli> ipv6.addresses 2001:db8:1::fffe/64 Do you also want to set 'ipv6.method' to 'manual'? [yes]: yes nmcli> ipv6.gateway 2001:db8:1::fffe nmcli> ipv6.dns 2001:db8:1::ffbb nmcli> ipv6.dns-search example.com
nmcli> ipv6.addresses 2001:db8:1::fffe/64 Do you also want to set 'ipv6.method' to 'manual'? [yes]: yes nmcli> ipv6.gateway 2001:db8:1::fffe nmcli> ipv6.dns 2001:db8:1::ffbb nmcli> ipv6.dns-search example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
연결을 저장하고 활성화합니다.
nmcli> save persistent
nmcli> save persistentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 대화형 모드를 그대로 둡니다.
nmcli> quit
nmcli> quitCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
NIC의 IP 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 기본 게이트웨이를 표시합니다.
ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102
# ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 표시합니다.
ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium
# ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow DNS 설정을 표시합니다.
cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbb
# cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbbCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여러 연결 프로필이 동시에 활성화된 경우
이름 서버항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.ping유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다.ping <host-name-or-IP-address>
# ping <host-name-or-IP-address>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
문제 해결
- 네트워크 케이블이 호스트에 연결되고 스위치가 연결되어 있는지 확인합니다.
- 링크 오류가 이 호스트에만 있는지 또는 동일한 스위치에 연결된 다른 호스트에도 있는지 확인합니다.
- 네트워크 케이블과 네트워크 인터페이스가 예상대로 작동하는지 확인합니다. 하드웨어 진단 단계를 수행하고 결함이 있는 케이블 및 네트워크 인터페이스 카드를 교체합니다.
- 디스크의 구성이 장치의 구성과 일치하지 않으면 NetworkManager를 시작하거나 다시 시작하면 장치 구성을 반영하는 메모리 내 연결이 생성됩니다. 자세한 내용과 이 문제를 방지하는 방법은 NetworkManager 서비스를 다시 시작한 후 Red Hat Knowledgebase 솔루션 NetworkManager가 연결 중복을 참조하십시오.
2.3. nmtui를 사용하여 이더넷 연결 구성
이더넷을 통해 호스트를 네트워크에 연결하는 경우 nmtui 애플리케이션을 사용하여 텍스트 기반 사용자 인터페이스에서 연결의 설정을 관리할 수 있습니다. nmtui 를 사용하여 새 프로필을 만들고 그래픽 인터페이스 없이 호스트에서 기존 프로필을 업데이트합니다.
nmtui 에서:
- 커서 키를 사용하여 이동합니다.
- 버튼을 선택하고 Enter 키를 눌러 합니다.
- Space 를 사용하여 확인란을 선택하고 지웁니다.
- 이전 화면으로 돌아가려면 ESC 를 사용합니다.
사전 요구 사항
- 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
프로세스
연결에 사용할 네트워크 장치 이름을 모르는 경우 사용 가능한 장치를 표시합니다.
nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet unavailable -- ...
# nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet unavailable -- ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow start
nmtui:nmtui
# nmtuiCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Edit a connection 을 선택하고 Enter 를 누릅니다.
새 연결 프로필을 추가하거나 기존 프로필을 수정할지 선택합니다.
새 프로필을 생성하려면 다음을 수행합니다.
- 추가를 누릅니다.
- 네트워크 유형 목록에서 이더넷 을 선택하고 Enter 키를 누릅니다.
- 기존 프로필을 수정하려면 목록에서 프로필을 선택하고 Enter 키를 누릅니다.
선택 사항: 연결 프로필의 이름을 업데이트합니다.
프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.
- 새 연결 프로필을 생성하는 경우 장치 필드에 네트워크 장치 이름을 입력합니다.
환경에 따라 그에 따라
IPv4 구성 및영역에서 IP 주소 설정을 구성합니다. 이를 위해 다음 영역 옆에 있는 버튼을 누른 후 다음을 선택합니다.IPv6 구성- 비활성화됨 (이 연결에 IP 주소가 필요하지 않은 경우).
- 자동으로 DHCP 서버가 이 NIC에 IP 주소를 동적으로 할당하는 경우입니다.
수동: 네트워크에 고정 IP 주소 설정이 필요한 경우입니다. 이 경우 추가 필드를 채워야 합니다.
- 추가 필드를 표시하도록 구성할 프로토콜 옆에 Show 를 누릅니다.
주소 옆에 있는 추가 를 클릭하고 CIDR(Classless Inter-Domain Routing) 형식으로 IP 주소와 서브넷 마스크를 입력합니다.
서브넷 마스크를 지정하지 않으면 NetworkManager는 IPv4 주소에 대해
/32서브넷 마스크를 설정하고 IPv6 주소에 대해/64를 설정합니다.- 기본 게이트웨이의 주소를 입력합니다.
- DNS 서버 옆에 있는 추가 를 클릭하고 DNS 서버 주소를 입력합니다.
- 검색 도메인 옆에 있는 추가 를 클릭하고 DNS 검색 도메인을 입력합니다.
그림 2.1. 고정 IP 주소 설정을 사용한 이더넷 연결 예
- OK 를 눌러 새 연결을 만들고 자동으로 활성화합니다.
- 다시 키를 눌러 기본 메뉴로 돌아갑니다.
-
Quit 를 선택하고 Enter 를 눌러
nmtui애플리케이션을 종료합니다.
검증
NIC의 IP 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 기본 게이트웨이를 표시합니다.
ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102
# ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 표시합니다.
ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium
# ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow DNS 설정을 표시합니다.
cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbb
# cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbbCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여러 연결 프로필이 동시에 활성화된 경우
이름 서버항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.ping유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다.ping <host-name-or-IP-address>
# ping <host-name-or-IP-address>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
문제 해결
- 네트워크 케이블이 호스트에 연결되고 스위치가 연결되어 있는지 확인합니다.
- 링크 오류가 이 호스트에만 있는지 또는 동일한 스위치에 연결된 다른 호스트에도 있는지 확인합니다.
- 네트워크 케이블과 네트워크 인터페이스가 예상대로 작동하는지 확인합니다. 하드웨어 진단 단계를 수행하고 결함이 있는 케이블 및 네트워크 인터페이스 카드를 교체합니다.
- 디스크의 구성이 장치의 구성과 일치하지 않으면 NetworkManager를 시작하거나 다시 시작하면 장치 구성을 반영하는 메모리 내 연결이 생성됩니다. 자세한 내용과 이 문제를 방지하는 방법은 NetworkManager 서비스를 다시 시작한 후 Red Hat Knowledgebase 솔루션 NetworkManager가 연결 중복을 참조하십시오.
2.4. control-center를 사용하여 이더넷 연결 구성
이더넷을 통해 호스트를 네트워크에 연결하는 경우 GNOME 설정 메뉴를 사용하여 그래픽 인터페이스로 연결의 설정을 관리할 수 있습니다.
control-center 는 nm-connection-editor 애플리케이션 또는 nmcli 유틸리티만큼 많은 구성 옵션을 지원하지 않습니다.
사전 요구 사항
- 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
- GNOME이 설치되어 있어야 합니다.
프로세스
-
Super 키를
누른다음 설정을 입력하고 Enter 를 누릅니다. - 왼쪽의 탐색에서 네트워크를 선택합니다.
새 연결 프로필을 추가하거나 기존 프로필을 수정할지 선택합니다.
- 새 프로필을 생성하려면 이더넷 항목 옆에 있는 버튼을 클릭합니다.
- 기존 프로필을 수정하려면 프로필 항목 옆에 있는 장비 아이콘을 클릭합니다.
선택 사항: ID 탭에서 연결 프로필의 이름을 업데이트합니다.
프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.
환경에 따라 그에 따라 IPv4 및 IPv6 탭의 IP 주소 설정을 구성합니다.
-
DHCP 또는 IPv6 SLAAC(상태 비저장 주소 자동 구성)를 사용하려면
자동(DHCP)을 메서드(기본값)로 선택합니다. 고정 IP 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 검색 도메인을 설정하려면
Manual을 메서드로 선택하고 탭의 필드를 작성합니다.
-
DHCP 또는 IPv6 SLAAC(상태 비저장 주소 자동 구성)를 사용하려면
연결 프로필을 추가하거나 수정할지 여부에 따라 또는 버튼을 클릭하여 연결을 저장합니다.
GNOME
control-center가 연결을 자동으로 활성화합니다.
검증
NIC의 IP 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 기본 게이트웨이를 표시합니다.
ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102
# ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 표시합니다.
ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium
# ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow DNS 설정을 표시합니다.
cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbb
# cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbbCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여러 연결 프로필이 동시에 활성화된 경우
이름 서버항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.ping유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다.ping <host-name-or-IP-address>
# ping <host-name-or-IP-address>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
문제 해결 단계
- 네트워크 케이블이 호스트에 연결되고 스위치가 연결되어 있는지 확인합니다.
- 링크 오류가 이 호스트에만 있는지 또는 동일한 스위치에 연결된 다른 호스트에도 있는지 확인합니다.
- 네트워크 케이블과 네트워크 인터페이스가 예상대로 작동하는지 확인합니다. 하드웨어 진단 단계를 수행하고 결함이 있는 케이블 및 네트워크 인터페이스 카드를 교체합니다.
- 디스크의 구성이 장치의 구성과 일치하지 않으면 NetworkManager를 시작하거나 다시 시작하면 장치 구성을 반영하는 메모리 내 연결이 생성됩니다. 자세한 내용과 이 문제를 방지하는 방법은 NetworkManager 서비스를 다시 시작한 후 Red Hat Knowledgebase 솔루션 NetworkManager가 연결 중복을 참조하십시오.
2.5. nm-connection-editor를 사용하여 이더넷 연결 구성
이더넷을 통해 호스트를 네트워크에 연결하는 경우 nm-connection-editor 애플리케이션을 사용하여 그래픽 인터페이스로 연결의 설정을 관리할 수 있습니다.
사전 요구 사항
- 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
- GNOME이 설치되어 있어야 합니다.
프로세스
터미널을 열고 다음을 입력합니다.
nm-connection-editor
$ nm-connection-editorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새 연결 프로필을 추가하거나 기존 프로필을 수정할지 선택합니다.
새 프로필을 생성하려면 다음을 수행합니다.
- 버튼을 클릭합니다.
- 연결 유형으로 이더넷 을 선택하고 을 클릭합니다.
- 기존 프로필을 수정하려면 프로필 항목을 두 번 클릭합니다.
선택 사항: 연결 이름 필드에 있는 프로필 이름을 업데이트합니다.
프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.
새 프로필을 생성하는 경우
이더넷탭에서 장치를 선택합니다.
환경에 따라 그에 따라 IPv4 설정 및 IPv6 설정 탭에서 IP 주소 설정을 구성합니다.
-
DHCP 또는 IPv6 SLAAC(상태 비저장 주소 자동 구성)를 사용하려면
자동(DHCP)을 메서드(기본값)로 선택합니다. 고정 IP 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 검색 도메인을 설정하려면
Manual을 메서드로 선택하고 탭의 필드를 작성합니다.
-
DHCP 또는 IPv6 SLAAC(상태 비저장 주소 자동 구성)를 사용하려면
- 을 클릭합니다.
- nm-connection-editor 를 종료합니다.
검증
NIC의 IP 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 기본 게이트웨이를 표시합니다.
ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102
# ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 표시합니다.
ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium
# ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow DNS 설정을 표시합니다.
cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbb
# cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbbCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여러 연결 프로필이 동시에 활성화된 경우
이름 서버항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.ping유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다.ping <host-name-or-IP-address>
# ping <host-name-or-IP-address>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
문제 해결 단계
- 네트워크 케이블이 호스트에 연결되고 스위치가 연결되어 있는지 확인합니다.
- 링크 오류가 이 호스트에만 있는지 또는 동일한 스위치에 연결된 다른 호스트에도 있는지 확인합니다.
- 네트워크 케이블과 네트워크 인터페이스가 예상대로 작동하는지 확인합니다. 하드웨어 진단 단계를 수행하고 결함이 있는 케이블 및 네트워크 인터페이스 카드를 교체합니다.
- 디스크의 구성이 장치의 구성과 일치하지 않으면 NetworkManager를 시작하거나 다시 시작하면 장치 구성을 반영하는 메모리 내 연결이 생성됩니다. 자세한 내용과 이 문제를 방지하는 방법은 NetworkManager 서비스를 다시 시작한 후 Red Hat Knowledgebase 솔루션 NetworkManager가 연결 중복을 참조하십시오.
2.6. 인터페이스 이름과 nmstatectl 을 사용하여 고정 IP 주소로 이더넷 연결 구성
nmstatectl 유틸리티를 사용하여 Nmstate API를 통해 이더넷 연결을 구성합니다. Nmstate API는 구성을 설정한 후 결과가 구성 파일과 일치하는지 확인합니다. 문제가 발생하면 nmstatectl 이 변경 사항을 자동으로 롤백하여 시스템을 잘못된 상태로 두지 않습니다.
Nmstate를 사용하여 고정 IP 주소, 게이트웨이 및 DNS 설정으로 이더넷 연결을 구성하고 지정된 인터페이스 이름에 할당할 수 있습니다.
사전 요구 사항
- 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
-
nmstate패키지가 설치되어 있습니다.
프로세스
다음 콘텐츠를 사용하여 YAML 파일(예:
~/create-ethernet-profile.yml)을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 설정은 다음 설정을 사용하여
enp1s0장치에 대한 이더넷 연결 프로필을 정의합니다.-
정적 IPv4 주소 -
192.0.2.1에/24서브넷 마스크 -
/64서브넷 마스크가 있는 정적 IPv6 주소2001:db8:1::1 -
IPv4 기본 게이트웨이 -
192.0.2.254 -
IPv6 기본 게이트웨이 -
2001:db8:1::fffe -
IPv4 DNS 서버 -
192.0.2.200 -
IPv6 DNS 서버 -
2001:db8:1::ffbb -
DNS 검색 도메인 -
example.com
-
정적 IPv4 주소 -
시스템에 설정을 적용합니다.
nmstatectl apply ~/create-ethernet-profile.yml
# nmstatectl apply ~/create-ethernet-profile.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
현재 상태를 YAML 형식으로 표시합니다.
nmstatectl show enp1s0
# nmstatectl show enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow NIC의 IP 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 기본 게이트웨이를 표시합니다.
ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102
# ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 표시합니다.
ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium
# ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow DNS 설정을 표시합니다.
cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbb
# cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbbCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여러 연결 프로필이 동시에 활성화된 경우
이름 서버항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.ping유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다.ping <host-name-or-IP-address>
# ping <host-name-or-IP-address>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.7. 인터페이스 이름으로 네트워크 RHEL 시스템 역할을 사용하여 고정 IP 주소로 이더넷 연결 구성
Red Hat Enterprise Linux 호스트를 이더넷 네트워크에 연결하려면 네트워크 장치의 NetworkManager 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 고정 IP 주소, 게이트웨이 및 DNS 설정으로 이더넷 연결을 구성하고 지정된 인터페이스 이름에 할당할 수 있습니다.
일반적으로 관리자는 플레이북을 재사용하고 Ansible이 고정 IP 주소를 할당해야 하는 각 호스트에 대해 개별 플레이북을 유지 관리하려고 합니다. 이 경우 플레이북에서 변수를 사용하고 인벤토리의 설정을 유지 관리할 수 있습니다. 따라서 개별 설정을 여러 호스트에 동적으로 할당하려면 하나의 플레이북만 필요합니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리형 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다. - 서버 구성에 물리적 또는 가상 이더넷 장치가 있습니다.
- 관리형 노드는 NetworkManager를 사용하여 네트워크를 구성합니다.
절차
~/inventory파일을 편집하고 호스트 항목에 호스트 관련 설정을 추가합니다.managed-node-01.example.com interface=enp1s0 ip_v4=192.0.2.1/24 ip_v6=2001:db8:1::1/64 gateway_v4=192.0.2.254 gateway_v6=2001:db8:1::fffe managed-node-02.example.com interface=enp1s0 ip_v4=192.0.2.2/24 ip_v6=2001:db8:1::2/64 gateway_v4=192.0.2.254 gateway_v6=2001:db8:1::fffe
managed-node-01.example.com interface=enp1s0 ip_v4=192.0.2.1/24 ip_v6=2001:db8:1::1/64 gateway_v4=192.0.2.254 gateway_v6=2001:db8:1::fffe managed-node-02.example.com interface=enp1s0 ip_v4=192.0.2.2/24 ip_v6=2001:db8:1::2/64 gateway_v4=192.0.2.254 gateway_v6=2001:db8:1::fffeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 플레이북은 인벤토리 파일에서 각 호스트에 대해 동적으로 특정 값을 읽고 플레이북의 정적 값을 모든 호스트에 대해 동일한 설정에 사용합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
플레이북을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
관리 노드의 Ansible 팩트를 쿼리하고 활성 네트워크 설정을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.8. 장치 경로와 함께 네트워크 RHEL 시스템 역할을 사용하여 고정 IP 주소로 이더넷 연결 구성
Red Hat Enterprise Linux 호스트를 이더넷 네트워크에 연결하려면 네트워크 장치의 NetworkManager 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 고정 IP 주소, 게이트웨이 및 DNS 설정으로 이더넷 연결을 구성하고 이름이 아닌 경로에 따라 장치에 할당할 수 있습니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다. - 물리적 또는 가상 이더넷 장치가 서버 구성에 있습니다.
- 관리형 노드는 NetworkManager를 사용하여 네트워크를 구성합니다.
-
장치의 경로를 알고 있습니다.
udevadm info /sys/class/net/ <device_name> | grep ID_ PATH=명령을 사용하여 장치 경로를 표시할 수 있습니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
match-
설정을 적용하려면 조건을 충족하는지 정의합니다. 이 변수는
path옵션에서만 사용할 수 있습니다. path-
장치의 영구 경로를 정의합니다. 고정 경로 또는 표현식으로 설정할 수 있습니다. 해당 값은 수정자 및 와일드카드를 포함할 수 있습니다. 이 예제에서는 PCI ID
0000:00:0[1-3].0과 일치하지만0000:00:02.0이 아닌 장치에 설정을 적용합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
관리 노드의 Ansible 팩트를 쿼리하고 활성 네트워크 설정을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.9. 인터페이스 이름과 nmstatectl 을 사용하여 동적 IP 주소로 이더넷 연결 구성
nmstatectl 유틸리티를 사용하여 Nmstate API를 통해 이더넷 연결을 구성합니다. Nmstate API는 구성을 설정한 후 결과가 구성 파일과 일치하는지 확인합니다. 문제가 발생하면 nmstatectl 이 변경 사항을 자동으로 롤백하여 시스템을 잘못된 상태로 두지 않습니다.
Nmstate를 사용하여 DHCP 서버 및 IPv6 SLAAC(상태 비저장 주소 자동 구성)에서 IP 주소, 게이트웨이 및 DNS 설정을 검색하는 이더넷 연결을 구성할 수 있습니다. 지정된 인터페이스 이름에 연결 프로필을 할당할 수 있습니다.
사전 요구 사항
- 물리적 또는 가상 이더넷 NIC(네트워크 인터페이스 컨트롤러)가 서버 구성에 있습니다.
- 네트워크에서 DHCP 서버를 사용할 수 있습니다.
-
nmstate패키지가 설치되어 있습니다.
프로세스
다음 콘텐츠를 사용하여 YAML 파일(예:
~/create-ethernet-profile.yml)을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 설정은
enp1s0장치에 대한 이더넷 연결 프로필을 정의합니다. 연결은 DHCP 서버와 IPv6 상태 비저장 주소 자동 구성(SLAAC)에서 IPv4 주소, IPv6 주소, 기본 게이트웨이, 경로, DNS 서버 및 검색 도메인을 검색합니다.시스템에 설정을 적용합니다.
nmstatectl apply ~/create-ethernet-profile.yml
# nmstatectl apply ~/create-ethernet-profile.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
현재 상태를 YAML 형식으로 표시합니다.
nmstatectl show enp1s0
# nmstatectl show enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow NIC의 IP 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 기본 게이트웨이를 표시합니다.
ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102
# ip route show default default via 192.0.2.254 dev enp1s0 proto static metric 102Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 표시합니다.
ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref medium
# ip -6 route show default default via 2001:db8:1::fffe dev enp1s0 proto static metric 102 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow DNS 설정을 표시합니다.
cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbb
# cat /etc/resolv.conf search example.com nameserver 192.0.2.200 nameserver 2001:db8:1::ffbbCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여러 연결 프로필이 동시에 활성화된 경우
이름 서버항목의 순서는 이러한 프로필의 DNS 우선 순위 값과 연결 유형에 따라 달라집니다.ping유틸리티를 사용하여 이 호스트가 다른 호스트에 패킷을 전송할 수 있는지 확인합니다.ping <host-name-or-IP-address>
# ping <host-name-or-IP-address>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.10. 인터페이스 이름으로 네트워크 RHEL 시스템 역할을 사용하여 동적 IP 주소로 이더넷 연결 구성
Red Hat Enterprise Linux 호스트를 이더넷 네트워크에 연결하려면 네트워크 장치의 NetworkManager 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 DHCP 서버 및 IPv6 SLAAC(stateless address autoconfiguration)에서 IP 주소, 게이트웨이 및 DNS 설정을 검색하는 이더넷 연결을 구성할 수 있습니다. 이 역할을 사용하면 지정된 인터페이스 이름에 연결 프로필을 할당할 수 있습니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다. - 서버의 구성에 물리적 또는 가상 이더넷 장치가 있습니다.
- DHCP 서버 및 SLAAC는 네트워크에서 사용할 수 있습니다.
- 관리형 노드는 NetworkManager 서비스를 사용하여 네트워크를 구성합니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
dhcp4: yes- DHCP, PPP 또는 유사한 서비스에서 자동 IPv4 주소 할당을 활성화합니다.
auto6: yes-
IPv6 자동 구성을 활성화합니다. 기본적으로 NetworkManager는 라우터 알림을 사용합니다. 라우터에서
관리플래그를 알릴 경우 NetworkManager는 DHCPv6 서버에서 IPv6 주소 및 접두사를 요청합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
관리 노드의 Ansible 사실을 쿼리하고 인터페이스에서 IP 주소 및 DNS 설정을 수신했는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.11. 장치 경로에서 네트워크 RHEL 시스템 역할을 사용하여 동적 IP 주소로 이더넷 연결 구성
Red Hat Enterprise Linux 호스트를 이더넷 네트워크에 연결하려면 네트워크 장치의 NetworkManager 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 DHCP 서버 및 IPv6 SLAAC(stateless address autoconfiguration)에서 IP 주소, 게이트웨이 및 DNS 설정을 검색하는 이더넷 연결을 구성할 수 있습니다. 역할은 인터페이스 이름 대신 경로를 기반으로 장치에 연결 프로필을 할당할 수 있습니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다. - 물리적 또는 가상 이더넷 장치가 서버 구성에 있습니다.
- DHCP 서버 및 SLAAC는 네트워크에서 사용할 수 있습니다.
- 관리 호스트는 NetworkManager를 사용하여 네트워크를 구성합니다.
-
장치의 경로를 알고 있습니다.
udevadm info /sys/class/net/ <device_name> | grep ID_ PATH=명령을 사용하여 장치 경로를 표시할 수 있습니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
일치: 경로-
설정을 적용하려면 조건을 충족하는지 정의합니다. 이 변수는
path옵션에서만 사용할 수 있습니다. path: <path_and_expressions>-
장치의 영구 경로를 정의합니다. 고정 경로 또는 표현식으로 설정할 수 있습니다. 해당 값은 수정자 및 와일드카드를 포함할 수 있습니다. 이 예제에서는 PCI ID
0000:00:0[1-3].0과 일치하지만0000:00:02.0이 아닌 장치에 설정을 적용합니다. dhcp4: yes- DHCP, PPP 또는 유사한 서비스에서 자동 IPv4 주소 할당을 활성화합니다.
auto6: yes-
IPv6 자동 구성을 활성화합니다. 기본적으로 NetworkManager는 라우터 알림을 사용합니다. 라우터에서
관리플래그를 알릴 경우 NetworkManager는 DHCPv6 서버에서 IPv6 주소 및 접두사를 요청합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
관리 노드의 Ansible 사실을 쿼리하고 인터페이스에서 IP 주소 및 DNS 설정을 수신했는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.12. 인터페이스 이름으로 단일 연결 프로필을 사용하여 여러 이더넷 인터페이스 구성
대부분의 경우 하나의 연결 프로필에는 하나의 네트워크 장치의 설정이 포함됩니다. 그러나 연결 프로필에서 인터페이스 이름을 설정할 때 NetworkManager도 와일드카드를 지원합니다. 동적 IP 주소 할당이 있는 이더넷 네트워크 간에 호스트 로밍하는 경우 이 기능을 사용하여 여러 이더넷 인터페이스에 사용할 수 있는 단일 연결 프로필을 생성할 수 있습니다.
사전 요구 사항
- 서버 구성에 여러 물리적 또는 가상 이더넷 장치가 있습니다.
- 네트워크에서 DHCP 서버를 사용할 수 있습니다.
- 호스트에 연결 프로필이 없습니다.
프로세스
enp로 시작하는 모든 인터페이스 이름에 적용되는 연결 프로필을 추가합니다.nmcli connection add con-name "Wired connection 1" connection.multi-connect multiple match.interface-name enp* type ethernet
# nmcli connection add con-name "Wired connection 1" connection.multi-connect multiple match.interface-name enp* type ethernetCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
단일 연결 프로필의 모든 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 3은 인터페이스가 특정 순간에 여러 번 활성화될 수 있음을 나타냅니다. 연결 프로필은match.interface-name매개변수의 패턴과 일치하는 모든 장치를 사용하므로 연결 프로파일에 동일한 UUID(Universally Unique Identifier)가 있습니다.연결 상태를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.13. PCI ID를 사용하여 여러 이더넷 인터페이스의 단일 연결 프로필 구성
PCI ID는 시스템에 연결된 장치의 고유 식별자입니다. 연결 프로필은 PCI ID 목록을 기반으로 인터페이스를 일치하여 여러 장치를 추가합니다. 이 절차를 사용하여 여러 장치 PCI ID를 단일 연결 프로필에 연결할 수 있습니다.
사전 요구 사항
- 서버 구성에 여러 물리적 또는 가상 이더넷 장치가 있습니다.
- 네트워크에서 DHCP 서버를 사용할 수 있습니다.
- 호스트에 연결 프로필이 없습니다.
프로세스
장치 경로를 식별합니다. 예를 들어
enp로 시작하는 모든 인터페이스의 장치 경로를 표시하려면 다음을 입력합니다.udevadm info /sys/class/net/enp* | grep ID_PATH= ... E: ID_PATH=pci-0000:07:00.0 E: ID_PATH=pci-0000:08:00.0
# udevadm info /sys/class/net/enp* | grep ID_PATH= ... E: ID_PATH=pci-0000:07:00.0 E: ID_PATH=pci-0000:08:00.0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 0000:00:0[7-8].0표현식과 일치하는 모든 PCI ID에 적용되는 연결 프로필을 추가합니다.nmcli connection add type ethernet connection.multi-connect multiple match.path "pci-0000:07:00.0 pci-0000:08:00.0" con-name "Wired connection 1"
# nmcli connection add type ethernet connection.multi-connect multiple match.path "pci-0000:07:00.0 pci-0000:08:00.0" con-name "Wired connection 1"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
연결 상태를 표시합니다.
nmcli connection show NAME UUID TYPE DEVICE Wired connection 1 9cee0958-512f-4203-9d3d-b57af1d88466 ethernet enp7s0 Wired connection 1 9cee0958-512f-4203-9d3d-b57af1d88466 ethernet enp8s0 ...
# nmcli connection show NAME UUID TYPE DEVICE Wired connection 1 9cee0958-512f-4203-9d3d-b57af1d88466 ethernet enp7s0 Wired connection 1 9cee0958-512f-4203-9d3d-b57af1d88466 ethernet enp8s0 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 프로필의 모든 설정을 표시하려면 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 연결 프로필은
match.path매개변수의 패턴과 일치하는 PCI ID가 있는 모든 장치를 사용하므로 연결 프로파일에는 동일한 UUID(Universally Unique Identifier)가 있습니다.
3장. 네트워크 본딩 구성
네트워크 본딩은 물리적 및 가상 네트워크 인터페이스를 결합하거나 집계하여 처리량 또는 중복성이 높은 논리 인터페이스를 제공하는 방법입니다. 본딩에서 커널은 독점적으로 모든 작업을 처리합니다. 이더넷 장치 또는 VLAN과 같은 다양한 유형의 장치에서 본딩을 생성할 수 있습니다.
Red Hat Enterprise Linux는 관리자에게 본딩 장치를 구성하는 다양한 옵션을 제공합니다. 예를 들면 다음과 같습니다.
-
nmcli를 사용하여 명령줄을 사용하여 본딩 연결을 구성합니다. - 웹 브라우저를 사용하여 본딩 연결을 구성하려면 RHEL 웹 콘솔을 사용합니다.
-
nmtui를 사용하여 텍스트 기반 사용자 인터페이스에서 본딩 연결을 구성합니다. -
nm-connection-editor애플리케이션을 사용하여 그래픽 인터페이스에서 본딩 연결을 구성합니다. -
nmstatectl을 사용하여 Nmstate API를 통해 본딩 연결을 구성합니다. - RHEL 시스템 역할을 사용하여 하나 이상의 호스트에서 본딩 구성을 자동화합니다.
3.1. 컨트롤러 및 포트 인터페이스의 기본 동작 이해
NetworkManager 서비스를 사용하여 팀 또는 본딩 포트 인터페이스를 관리하거나 해결할 때 다음 기본 동작을 고려하십시오.
- 컨트롤러 인터페이스를 시작해도 포트 인터페이스가 자동으로 시작되지 않습니다.
- 포트 인터페이스를 시작하면 항상 컨트롤러 인터페이스가 시작됩니다.
- 컨트롤러 인터페이스를 중지하면 포트 인터페이스도 중지됩니다.
- 포트가 없는 컨트롤러는 고정 IP 연결을 시작할 수 있습니다.
- 포트가 없는 컨트롤러는 DHCP 연결을 시작할 때 포트를 기다립니다.
- 포트를 기다리는 DHCP 연결이 있는 컨트롤러는 캐리어가 있는 포트를 추가하면 완료됩니다.
- 포트를 기다리는 DHCP 연결이 있는 컨트롤러는 캐리어 없이 포트를 추가할 때 계속 대기합니다.
3.2. 본딩 모드에 따른 업스트림 스위치 구성
사용하려는 본딩 모드에 따라 스위치에서 포트를 구성해야 합니다.
| 본딩 모드 | 전환 시 구성 |
|---|---|
|
| LACP(Link Aggregation Control Protocol) 협상이 아닌 정적 EtherChannel이 활성화되어 있어야 합니다. |
|
| 스위치에 구성이 필요하지 않습니다. |
|
| LACP-negotiated가 아닌 정적 EtherChannel이 활성화되어 있어야 합니다. |
|
| LACP-negotiated가 아닌 정적 EtherChannel이 활성화되어 있어야 합니다. |
|
| LACP-negotiated EtherChannel이 활성화되어 있어야 합니다. |
|
| 스위치에 구성이 필요하지 않습니다. |
|
| 스위치에 구성이 필요하지 않습니다. |
스위치를 구성하는 방법에 대한 자세한 내용은 스위치 설명서를 참조하십시오.
장애 조치 메커니즘과 같은 특정 네트워크 본딩 기능은 네트워크 스위치 없이 직접 케이블 연결을 지원하지 않습니다. 자세한 내용은 크로스오버 케이블을 사용한 직접 연결로 지원되는 Red Hat 지식베이스 솔루션에서 참조하십시오.
3.3. nmcli를 사용하여 네트워크 본딩 구성
명령줄에서 네트워크 본딩을 구성하려면 nmcli 유틸리티를 사용합니다.
사전 요구 사항
- 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
- 이더넷 장치를 본딩의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
팀, 브리지 또는 VLAN 장치를 본딩 포트로 사용하려면 본딩을 생성하는 동안 이러한 장치를 생성하거나 다음에 설명된 대로 미리 생성할 수 있습니다.
프로세스
본딩 인터페이스를 생성합니다.
nmcli connection add type bond con-name bond0 ifname bond0 bond.options "mode=active-backup"
# nmcli connection add type bond con-name bond0 ifname bond0 bond.options "mode=active-backup"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은
active-backup모드를 사용하는bond0이라는 본딩을 생성합니다.미디어 독립 인터페이스(MII) 모니터링 간격을 추가로 설정하려면
miimon=interval옵션을bond.options속성에 추가합니다. 예를 들면 다음과 같습니다.nmcli connection add type bond con-name bond0 ifname bond0 bond.options "mode=active-backup,miimon=1000"
# nmcli connection add type bond con-name bond0 ifname bond0 bond.options "mode=active-backup,miimon=1000"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크 인터페이스를 표시하고 본딩에 추가할 인터페이스의 이름을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 예제에서는 다음을 수행합니다.
-
enp7s0및enp8s0은 구성되어 있지 않습니다. 이러한 장치를 포트로 사용하려면 다음 단계에서 연결 프로필을 추가합니다. -
bridge0및bridge1에는 기존 연결 프로필이 있습니다. 이러한 장치를 포트로 사용하려면 다음 단계에서 프로필을 수정합니다.
-
본딩에 인터페이스를 할당합니다.
본딩에 할당하려는 인터페이스가 구성되지 않은 경우 새 연결 프로필을 생성합니다.
nmcli connection add type ethernet slave-type bond con-name bond0-port1 ifname enp7s0 master bond0 nmcli connection add type ethernet slave-type bond con-name bond0-port2 ifname enp8s0 master bond0
# nmcli connection add type ethernet slave-type bond con-name bond0-port1 ifname enp7s0 master bond0 # nmcli connection add type ethernet slave-type bond con-name bond0-port2 ifname enp8s0 master bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 명령은
enp7s0및enp8s0에 대한 프로필을 생성하고bond0연결에 추가합니다.기존 연결 프로필을 본딩에 할당하려면 다음을 수행합니다.
이러한 연결의
master매개변수를bond0으로 설정합니다.nmcli connection modify bridge0 master bond0 nmcli connection modify bridge1 master bond0
# nmcli connection modify bridge0 master bond0 # nmcli connection modify bridge1 master bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 명령은
bridge0및bridge1이라는 기존 연결 프로필을bond0연결에 할당합니다.연결을 다시 활성화합니다.
nmcli connection up bridge0 nmcli connection up bridge1
# nmcli connection up bridge0 # nmcli connection up bridge1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
IPv4 설정을 구성합니다.
정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버를
bond0연결로 설정하려면 다음을 입력합니다.nmcli connection modify bond0 ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253' ipv4.dns-search 'example.com' ipv4.method manual
# nmcli connection modify bond0 ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253' ipv4.dns-search 'example.com' ipv4.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow - DHCP를 사용하려면 작업이 필요하지 않습니다.
- 이 본딩 장치를 다른 장치의 포트로 사용하려는 경우 작업이 필요하지 않습니다.
IPv6 설정을 구성합니다.
정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버를
bond0연결로 설정하려면 다음을 입력합니다.nmcli connection modify bond0 ipv6.addresses '2001:db8:1::1/64' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.dns-search 'example.com' ipv6.method manual
# nmcli connection modify bond0 ipv6.addresses '2001:db8:1::1/64' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.dns-search 'example.com' ipv6.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow - SLAAC(stateless address autoconfiguration)를 사용하려면 작업이 필요하지 않습니다.
- 이 본딩 장치를 다른 장치의 포트로 사용하려는 경우 작업이 필요하지 않습니다.
선택 사항: 본딩 포트에서 매개변수를 설정하려면 다음 명령을 사용합니다.
nmcli connection modify bond0-port1 bond-port.<parameter> <value>
# nmcli connection modify bond0-port1 bond-port.<parameter> <value>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결을 활성화합니다.
nmcli connection up bond0
# nmcli connection up bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 포트가 연결되어 있고
CONNECTION열에 포트의 연결 이름이 표시되는지 확인합니다.nmcli device DEVICE TYPE STATE CONNECTION ... enp7s0 ethernet connected bond0-port1 enp8s0 ethernet connected bond0-port2
# nmcli device DEVICE TYPE STATE CONNECTION ... enp7s0 ethernet connected bond0-port1 enp8s0 ethernet connected bond0-port2Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결의 포트를 활성화하면 NetworkManager도 본딩을 활성화하지만 다른 포트는 활성화하지 않습니다. 본딩이 활성화되면 Red Hat Enterprise Linux에서 모든 포트를 자동으로 사용하도록 구성할 수 있습니다.
본딩 연결의
connection.autoconnect-slaves매개변수를 활성화합니다.nmcli connection modify bond0 connection.autoconnect-slaves 1
# nmcli connection modify bond0 connection.autoconnect-slaves 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 브리지를 다시 활성화합니다.
nmcli connection up bond0
# nmcli connection up bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
네트워크 장치 중 하나에서 네트워크 케이블을 일시적으로 제거하고 본딩의 다른 장치가 트래픽을 처리하고 있는지 확인합니다.
소프트웨어 유틸리티를 사용하여 링크 실패 이벤트를 적절하게 테스트할 방법은 없습니다.
nmcli와 같은 연결을 비활성화하는 도구는 본딩 드라이버의 포트 구성 변경 사항만 표시하고 실제 링크 실패 이벤트는 표시하지 않습니다.본딩 상태를 표시합니다.
cat /proc/net/bonding/bond0
# cat /proc/net/bonding/bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.4. RHEL 웹 콘솔을 사용하여 네트워크 본딩 구성
웹 브라우저 기반 인터페이스를 사용하여 네트워크 설정을 관리하려는 경우 RHEL 웹 콘솔을 사용하여 네트워크 본딩을 구성합니다.
사전 요구 사항
- 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
- 이더넷 장치를 본딩의 멤버로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
team, bridge 또는 VLAN 장치를 본딩의 멤버로 사용하려면 다음에 설명된 대로 미리 생성합니다.
- RHEL 8 웹 콘솔을 설치했습니다.
- cockpit 서비스를 활성화했습니다.
사용자 계정이 웹 콘솔에 로그인할 수 있습니다.
자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.
프로세스
RHEL 8 웹 콘솔에 로그인합니다.
자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.
- 화면 왼쪽의 탐색에서 네트워킹 탭을 선택합니다.
- 인터페이스 섹션에서 를 클릭합니다.
- 생성하려는 본딩 장치의 이름을 입력합니다.
- 본딩의 멤버여야 하는 인터페이스를 선택합니다.
본딩 모드를 선택합니다.
활성 백업을 선택하면 웹 콘솔에 기본 활성화된 장치를 선택할 수 있는 추가 필드가 표시됩니다.
-
링크 모니터링 모드를 설정합니다. 예를 들어 Adaptive 로드 밸런싱 모드를 사용하는 경우 이를
ARP로 설정합니다. 선택 사항: 모니터링 간격, 지연 연결 및 지연 지연 설정을 조정합니다. 일반적으로 문제 해결을 위해 기본값만 변경합니다.
- 클릭합니다.
기본적으로 본딩은 동적 IP 주소를 사용합니다. 고정 IP 주소를 설정하려면 다음을 수행합니다.
- Interfaces 섹션에서 본딩 이름을 클릭합니다.
- 구성할 프로토콜 옆에 있는 편집을 클릭합니다.
- 주소 옆에 있는 수동 을 선택하고 IP 주소, 접두사 및 기본 게이트웨이를 입력합니다.
- DNS 섹션에서 버튼을 클릭하고 DNS 서버의 IP 주소를 입력합니다. 이 단계를 반복하여 여러 DNS 서버를 설정합니다.
- DNS 검색 도메인 섹션에서 버튼을 클릭하고 검색 도메인을 입력합니다.
인터페이스에 정적 경로가 필요한 경우 Routes 섹션에서 구성합니다.
- 클릭합니다.
검증
화면 왼쪽의 탐색에서 Networking 탭을 선택하고 인터페이스에 들어오고 나가는 트래픽이 있는지 확인합니다.
네트워크 장치 중 하나에서 네트워크 케이블을 일시적으로 제거하고 본딩의 다른 장치가 트래픽을 처리하고 있는지 확인합니다.
소프트웨어 유틸리티를 사용하여 링크 실패 이벤트를 적절하게 테스트할 방법은 없습니다. 웹 콘솔과 같은 연결을 비활성화하는 툴에서는 본딩 드라이버의 기능만 멤버십 구성 변경 사항만 표시하고 실제 링크 실패 이벤트는 표시하지 않습니다.
본딩 상태를 표시합니다.
cat /proc/net/bonding/bond0
# cat /proc/net/bonding/bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.5. nmtui를 사용하여 네트워크 본딩 구성
nmtui 애플리케이션은 NetworkManager에 대한 텍스트 기반 사용자 인터페이스를 제공합니다. nmtui 를 사용하여 그래픽 인터페이스 없이 호스트에서 네트워크 본딩을 구성할 수 있습니다.
nmtui 에서:
- 커서 키를 사용하여 이동합니다.
- 버튼을 선택하고 Enter 키를 눌러 합니다.
- Space 를 사용하여 확인란을 선택하고 지웁니다.
- 이전 화면으로 돌아가려면 ESC 를 사용합니다.
사전 요구 사항
- 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
- 이더넷 장치를 본딩의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
프로세스
네트워크 본딩을 구성할 네트워크 장치 이름을 모르는 경우 사용 가능한 장치를 표시합니다.
nmcli device status DEVICE TYPE STATE CONNECTION enp7s0 ethernet unavailable -- enp8s0 ethernet unavailable -- ...
# nmcli device status DEVICE TYPE STATE CONNECTION enp7s0 ethernet unavailable -- enp8s0 ethernet unavailable -- ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow start
nmtui:nmtui
# nmtuiCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Edit a connection 을 선택하고 Enter 를 누릅니다.
- 추가를 누릅니다.
- 네트워크 유형 목록에서 Bond 를 선택하고 Enter 를 누릅니다.
선택 사항: 생성할 NetworkManager 프로필의 이름을 입력합니다.
프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.
- 장치 필드에 생성할 본딩 장치 이름을 입력합니다.
생성할 본딩에 포트를 추가합니다.
- Slaves 목록 옆에 있는 Add 를 누릅니다.
- 본딩에 포트로 추가할 인터페이스 유형을 선택합니다(예: 이더넷 ).
- 선택 사항: 이 본딩 포트에 생성할 NetworkManager 프로필의 이름을 입력합니다.
- 장치의 장치 이름을 장치 필드에 입력합니다.
OK 를 눌러 본딩 설정으로 창으로 돌아갑니다.
그림 3.1. 본딩에 이더넷 장치를 포트로 추가
- 이 단계를 반복하여 본딩에 포트를 추가합니다.
-
본딩 모드를 설정합니다. 설정한 값에 따라
nmtui는 선택한 모드와 관련된 설정에 대한 추가 필드를 표시합니다. 환경에 따라 그에 따라 IPv4 구성 및 IPv6 구성 영역에서 IP 주소 설정을 구성합니다. 이를 위해 다음 영역 옆에 있는 버튼을 누른 후 다음을 선택합니다.
-
본딩에 IP 주소가 필요하지 않은 경우 비활성화되어 있습니다.
-
DHCP 서버 또는 SLAAC(상태 비저장 주소 자동 구성)가 IP 주소를 본딩에 동적으로 할당하는 경우 자동입니다.
수동: 네트워크에 고정 IP 주소 설정이 필요한 경우입니다. 이 경우 추가 필드를 채워야 합니다.- 추가 필드를 표시하도록 구성할 프로토콜 옆에 Show 를 누릅니다.
주소 옆에 있는 추가 를 클릭하고 CIDR(Classless Inter-Domain Routing) 형식으로 IP 주소와 서브넷 마스크를 입력합니다.
서브넷 마스크를 지정하지 않으면 NetworkManager는 IPv4 주소에 대해
/32서브넷 마스크를 설정하고 IPv6 주소에 대해/64를 설정합니다.- 기본 게이트웨이의 주소를 입력합니다.
- DNS 서버 옆에 있는 추가 를 클릭하고 DNS 서버 주소를 입력합니다.
- 검색 도메인 옆에 있는 추가 를 클릭하고 DNS 검색 도메인을 입력합니다.
그림 3.2. 고정 IP 주소 설정과의 본딩 연결 예
-
본딩에 IP 주소가 필요하지 않은 경우 비활성화되어 있습니다.
- OK 를 눌러 새 연결을 만들고 자동으로 활성화합니다.
- 다시 키를 눌러 기본 메뉴로 돌아갑니다.
-
Quit 를 선택하고 Enter 를 눌러
nmtui애플리케이션을 종료합니다.
검증
네트워크 장치 중 하나에서 네트워크 케이블을 일시적으로 제거하고 본딩의 다른 장치가 트래픽을 처리하고 있는지 확인합니다.
소프트웨어 유틸리티를 사용하여 링크 실패 이벤트를 적절하게 테스트할 방법은 없습니다.
nmcli와 같은 연결을 비활성화하는 도구는 본딩 드라이버의 포트 구성 변경 사항만 표시하고 실제 링크 실패 이벤트는 표시하지 않습니다.본딩 상태를 표시합니다.
cat /proc/net/bonding/bond0
# cat /proc/net/bonding/bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.6. nm-connection-editor를 사용하여 네트워크 본딩 구성
Red Hat Enterprise Linux를 그래픽 인터페이스와 함께 사용하는 경우 nm-connection-editor 애플리케이션을 사용하여 네트워크 본딩을 구성할 수 있습니다.
nm-connection-editor 는 본딩에 새 포트만 추가할 수 있습니다. 기존 연결 프로필을 포트로 사용하려면 nmcli 를 사용하여 네트워크 본딩 구성에 설명된 대로 nmcli 유틸리티를 사용하여 본딩 을 생성합니다.
사전 요구 사항
- 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
- 이더넷 장치를 본딩의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
- 팀, 본딩 또는 VLAN 장치를 본딩 포트로 사용하려면 이러한 장치가 아직 구성되지 않았는지 확인합니다.
프로세스
터미널을 열고
nm-connection-editor를 입력합니다.nm-connection-editor
$ nm-connection-editorCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 버튼을 클릭하여 새 연결을 추가합니다.
- Bond 연결 유형을 선택하고 을 클릭합니다.
Bond 탭에서 다음을 수행합니다.
- 선택 사항: 인터페이스 이름 필드에 본딩 인터페이스의 이름을 설정합니다.
버튼을 클릭하여 네트워크 인터페이스를 본딩에 포트로 추가합니다.
- 인터페이스의 연결 유형을 선택합니다. 예를 들어 유선 연결로 이더넷 을 선택합니다.
- 선택 사항: 포트에 대한 연결 이름을 설정합니다.
- 이더넷 장치에 대한 연결 프로필을 생성하는 경우 이더넷 탭을 열고 장치 필드에서 본딩에 포트로 추가할 네트워크 인터페이스를 선택합니다. 다른 장치 유형을 선택한 경우 그에 따라 구성합니다. 구성되지 않은 본딩에서만 이더넷 인터페이스를 사용할 수 있습니다.
- 을 클릭합니다.
본딩에 추가할 각 인터페이스에 대해 이전 단계를 반복합니다.
- 선택 사항: MITI(Media Independent Interface) 모니터링 간격과 같은 기타 옵션을 설정합니다.
IPv4 설정 및 IPv6 설정 탭에서 IP 주소 설정을 구성합니다.
- 이 브리지 장치를 다른 장치의 포트로 사용하려면 Method 필드를 Disabled 로 설정합니다.
- DHCP를 사용하려면 Method 필드를 기본값인 Automatic(DHCP) 으로 둡니다.
고정 IP 설정을 사용하려면 Method 필드를 Manual 로 설정하고 그에 따라 필드를 작성합니다.
- 을 클릭합니다.
-
nm-connection-editor를 종료합니다.
검증
네트워크 장치 중 하나에서 네트워크 케이블을 일시적으로 제거하고 본딩의 다른 장치가 트래픽을 처리하고 있는지 확인합니다.
소프트웨어 유틸리티를 사용하여 링크 실패 이벤트를 적절하게 테스트할 방법은 없습니다.
nmcli와 같은 연결을 비활성화하는 도구는 본딩 드라이버의 포트 구성 변경 사항만 표시하고 실제 링크 실패 이벤트는 표시하지 않습니다.본딩 상태를 표시합니다.
cat /proc/net/bonding/bond0
# cat /proc/net/bonding/bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.7. nmstatectl을 사용하여 네트워크 본딩 구성
nmstatectl 유틸리티를 사용하여 Nmstate API를 통해 네트워크 본딩을 구성합니다. Nmstate API는 구성을 설정한 후 결과가 구성 파일과 일치하는지 확인합니다. 문제가 발생하면 nmstatectl 이 변경 사항을 자동으로 롤백하여 시스템을 잘못된 상태로 두지 않습니다.
환경에 따라 YAML 파일을 적절하게 조정합니다. 예를 들어 본딩의 이더넷 어댑터와 다른 장치를 사용하려면 본딩에서 사용하는 포트의 base-iface 특성 및 유형 속성을 조정합니다.
사전 요구 사항
- 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
- 이더넷 장치를 본딩의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
-
팀, 브리지 또는 VLAN 장치를 본딩의 포트로 사용하고,
포트목록에 인터페이스 이름을 설정하고, 해당 인터페이스를 정의합니다. -
nmstate패키지가 설치되어 있습니다.
프로세스
다음 콘텐츠를 사용하여 YAML 파일(예:
~/create-bond.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 설정은 다음 설정으로 네트워크 본딩을 정의합니다.
-
본딩의 네트워크 인터페이스:
enp1s0및enp7s0 -
모드:
active-backup -
정적 IPv4 주소:
192.0.2.1(/24서브넷 마스크 포함) -
정적 IPv6 주소:
2001:db8:1::1및/64서브넷 마스크 -
IPv4 기본 게이트웨이:
192.0.2.254 -
IPv6 기본 게이트웨이:
2001:db8:1::fffe -
IPv4 DNS 서버:
192.0.2.200 -
IPv6 DNS 서버:
2001:db8:1::ffbb -
DNS 검색 도메인:
example.com
-
본딩의 네트워크 인터페이스:
시스템에 설정을 적용합니다.
nmstatectl apply ~/create-bond.yml
# nmstatectl apply ~/create-bond.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
장치 및 연결의 상태를 표시합니다.
nmcli device status DEVICE TYPE STATE CONNECTION bond0 bond connected bond0
# nmcli device status DEVICE TYPE STATE CONNECTION bond0 bond connected bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 프로필의 모든 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow YAML 형식으로 연결 설정을 표시합니다.
nmstatectl show bond0
# nmstatectl show bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.8. 네트워크 RHEL 시스템 역할을 사용하여 네트워크 본딩 구성
본딩에 네트워크 인터페이스를 결합하여 처리량 또는 중복성이 높은 논리 인터페이스를 제공할 수 있습니다. 본딩을 구성하려면 NetworkManager 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 네트워크 본딩을 구성할 수 있으며 본딩의 상위 장치에 대한 연결 프로필이 없으면 역할도 생성할 수 있습니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다. - 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
type: <profile_type>- 생성할 프로필 유형을 설정합니다. 예제 플레이북은 세 가지 연결 프로필을 생성합니다. 하나는 본딩용이고 이더넷 장치용 2개입니다.
dhcp4: yes- DHCP, PPP 또는 유사한 서비스에서 자동 IPv4 주소 할당을 활성화합니다.
auto6: yes-
IPv6 자동 구성을 활성화합니다. 기본적으로 NetworkManager는 라우터 알림을 사용합니다. 라우터에서
관리플래그를 알릴 경우 NetworkManager는 DHCPv6 서버에서 IPv6 주소 및 접두사를 요청합니다. mode: <bond_mode>본딩 모드를 설정합니다. 가능한 값은 다음과 같습니다.
-
balance-rr(기본값) -
active-backup -
balance-xor -
broadcast -
802.3ad -
balance-tlb -
balance-alb.
설정한 모드에 따라 플레이북에서 추가 변수를 설정해야 합니다.
-
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
네트워크 장치 중 하나에서 네트워크 케이블을 일시적으로 제거하고 본딩의 다른 장치가 트래픽을 처리하고 있는지 확인합니다.
소프트웨어 유틸리티를 사용하여 링크 실패 이벤트를 적절하게 테스트할 방법은 없습니다.
nmcli와 같은 연결을 비활성화하는 도구는 본딩 드라이버의 포트 구성 변경 사항만 표시하고 실제 링크 실패 이벤트는 표시하지 않습니다.
3.9. VPN을 중단하지 않고 이더넷과 무선 연결 간 전환을 활성화하는 네트워크 본딩 생성
워크스테이션을 회사의 네트워크에 연결하는 RHEL 사용자는 일반적으로 VPN을 사용하여 원격 리소스에 액세스합니다. 그러나 워크스테이션이 이더넷과 Wi-Fi 연결 간에 전환되는 경우 예를 들어 이더넷 연결이 있는 도킹 스테이션에서 랩탑을 해제하면 VPN 연결이 중단됩니다. 이 문제를 방지하려면 active-backup 모드에서 이더넷 및 plug-Fi 연결을 사용하는 네트워크 본딩을 생성할 수 있습니다.
사전 요구 사항
- 호스트에는 이더넷 및 Wi-Fi 장치가 포함되어 있습니다.
이더넷 및 Wi-Fi NetworkManager 연결 프로필이 생성되었으며 두 연결이 독립적으로 작동합니다.
이 절차에서는 다음 연결 프로필을 사용하여
bond0이라는 네트워크 본딩을 생성합니다.-
enp11s0u1이더넷 장치와 관련된Docking_station -
wlp1s0sha-Fi 장치와 연결된 hub-Fi
-
절차
active-backup모드로 본딩 인터페이스를 생성합니다.nmcli connection add type bond con-name bond0 ifname bond0 bond.options "mode=active-backup"
# nmcli connection add type bond con-name bond0 ifname bond0 bond.options "mode=active-backup"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 인터페이스 및 연결 프로필
bond0의 이름을 모두 지정합니다.본딩의 IPv4 설정을 구성합니다.
- 네트워크의 DHCP 서버가 IPv4 주소를 호스트에 할당하는 경우 작업이 필요하지 않습니다.
로컬 네트워크에 정적 IPv4 주소가 필요한 경우 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 DNS 검색 도메인을
bond0연결로 설정합니다.nmcli connection modify bond0 ipv4.addresses '192.0.2.1/24' nmcli connection modify bond0 ipv4.gateway '192.0.2.254' nmcli connection modify bond0 ipv4.dns '192.0.2.253' nmcli connection modify bond0 ipv4.dns-search 'example.com' nmcli connection modify bond0 ipv4.method manual
# nmcli connection modify bond0 ipv4.addresses '192.0.2.1/24' # nmcli connection modify bond0 ipv4.gateway '192.0.2.254' # nmcli connection modify bond0 ipv4.dns '192.0.2.253' # nmcli connection modify bond0 ipv4.dns-search 'example.com' # nmcli connection modify bond0 ipv4.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow
본딩의 IPv6 설정을 구성합니다.
- 네트워크의 라우터 또는 DHCP 서버가 IPv6 주소를 호스트에 할당하는 경우 작업이 필요하지 않습니다.
로컬 네트워크에 정적 IPv6 주소가 필요한 경우 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버 및 DNS 검색 도메인을
bond0연결로 설정합니다.nmcli connection modify bond0 ipv6.addresses '2001:db8:1::1/64' nmcli connection modify bond0 ipv6.gateway '2001:db8:1::fffe' nmcli connection modify bond0 ipv6.dns '2001:db8:1::fffd' nmcli connection modify bond0 ipv6.dns-search 'example.com' nmcli connection modify bond0 ipv6.method manual
# nmcli connection modify bond0 ipv6.addresses '2001:db8:1::1/64' # nmcli connection modify bond0 ipv6.gateway '2001:db8:1::fffe' # nmcli connection modify bond0 ipv6.dns '2001:db8:1::fffd' # nmcli connection modify bond0 ipv6.dns-search 'example.com' # nmcli connection modify bond0 ipv6.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow
연결 프로필을 표시합니다.
nmcli connection show NAME UUID TYPE DEVICE Docking_station 256dd073-fecc-339d-91ae-9834a00407f9 ethernet enp11s0u1 Wi-Fi 1f1531c7-8737-4c60-91af-2d21164417e8 wifi wlp1s0 ...
# nmcli connection show NAME UUID TYPE DEVICE Docking_station 256dd073-fecc-339d-91ae-9834a00407f9 ethernet enp11s0u1 Wi-Fi 1f1531c7-8737-4c60-91af-2d21164417e8 wifi wlp1s0 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 단계에서 연결 프로필의 이름과 이더넷 장치 이름이 필요합니다.
이더넷 연결의 연결 프로필을 본딩에 할당합니다.
nmcli connection modify Docking_station master bond0
# nmcli connection modify Docking_station master bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow Wi-Fi 연결의 연결 프로필을 본딩에 할당합니다.
nmcli connection modify Wi-Fi master bond0
# nmcli connection modify Wi-Fi master bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow Wi-Fi 네트워크에서 MAC 필터링을 사용하여 허용 목록의 MAC 주소만 네트워크에 액세스할 수 있는 경우 NetworkManager가 활성 포트의 MAC 주소를 본딩에 동적으로 할당하도록 구성합니다.
nmcli connection modify bond0 +bond.options fail_over_mac=1
# nmcli connection modify bond0 +bond.options fail_over_mac=1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 설정을 사용하면 이더넷 및 Wi-Fi 장치의 MAC 주소 대신 Wi-Fi 장치의 MAC 주소만 허용 목록에 설정해야 합니다.
이더넷 연결과 연결된 장치를 본딩의 기본 장치로 설정합니다.
nmcli con modify bond0 +bond.options "primary=enp11s0u1"
# nmcli con modify bond0 +bond.options "primary=enp11s0u1"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 설정을 사용하면 본딩에서 이더넷 연결을 항상 사용합니다.
bond0장치가 활성화되면 NetworkManager가 포트를 자동으로 활성화하도록 구성합니다.nmcli connection modify bond0 connection.autoconnect-slaves 1
# nmcli connection modify bond0 connection.autoconnect-slaves 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow bond0연결을 활성화합니다.nmcli connection up bond0
# nmcli connection up bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
현재 활성 장치, 본딩 상태 및 해당 포트를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.10. 다양한 네트워크 본딩 모드
Linux 본딩 드라이버는 링크 집계를 제공합니다. 본딩은 단일 논리 본딩 인터페이스를 제공하기 위해 여러 네트워크 인터페이스를 병렬로 집계하는 프로세스입니다. 본딩된 인터페이스의 작업은 모드라고도 하는 본딩 정책에 따라 달라집니다. 다양한 모드는 로드 밸런싱 또는 핫란드 서비스를 제공합니다.
Linux 본딩 드라이버는 다음 모드를 지원합니다.
- balance-rr (Mode 0)
balance-rr는 사용 가능한 첫 번째 포트에서 마지막 포트로 패킷을 순차적으로 전송하는 라운드 로빈 알고리즘을 사용합니다. 이 모드는 로드 밸런싱 및 내결함성을 제공합니다.이 모드에서는 포트 집계 그룹(ECDHEChannel 또는 유사한 포트 그룹화)을 전환해야 합니다. Channel은 하나의 논리 이더넷 링크로 여러 개의 물리적 이더넷 링크를 그룹화하는 포트 링크 집계 기술입니다.
이 모드의 단점은 많은 워크로드에는 적합하지 않으며 TCP 처리량 또는 정렬된 패킷 전달이 필요한 경우입니다.
- active-backup (Mode 1)
active-backup에서는 본딩에서 하나의 포트만 활성 상태임을 결정하는 정책을 사용합니다. 이 모드는 내결함성을 제공하며 스위치 구성이 필요하지 않습니다.활성 포트가 실패하면 대체 포트가 활성화됩니다. 본딩은 외부 주소 확인 프로토콜(ARP) 응답을 네트워크에 보냅니다. 무상 ARP는 ARP 프레임의 수신자가 전달 테이블을 업데이트하도록 강제 적용합니다.
Active-backup모드는 무차별 ARP를 전송하여 호스트의 연결을 유지하기 위한 새로운 경로를 발표합니다.기본옵션은 본딩 인터페이스의 기본 포트를 정의합니다.- balance-xor(Mode 2)
balance-xor는 선택한 전송 해시 정책을 사용하여 패킷을 보냅니다. 이 모드는 로드 밸런싱, 내결함성을 제공하며, FlexVolume채널 또는 유사한 포트 그룹화를 설정하기 위해 스위치 구성이 필요합니다.패킷 전송 및 밸런스 전송을 변경하려면 이 모드는
xmit_hash_policy옵션을 사용합니다. 인터페이스의 트래픽 소스 또는 대상에 따라 인터페이스에 추가 로드 밸런싱 구성이 필요합니다. 설명 xmit_hash_policy bonding 매개변수를 참조하십시오.- 브로드캐스트(Mode 3)
broadcast는 모든 인터페이스에서 모든 패킷을 전송하는 정책을 사용합니다. 이 모드는 내결함성을 제공하며,ECDHEChannel 또는 유사한 포트 그룹화를 설정하기 위해 스위치 구성이 필요합니다.이 모드의 단점은 많은 워크로드에는 적합하지 않으며 TCP 처리량 또는 정렬된 패킷 전달이 필요한 경우입니다.
- 802.3ad (Mode 4)
802.3ad는 동일한 이름의 IEEE 표준 동적 링크 집계 정책을 사용합니다. 이 모드는 내결함성을 제공합니다. 이 모드에서는LACP(Link Aggregation Control Protocol) 포트 그룹화를 설정하려면 스위치 구성이 필요합니다.이 모드에서는 동일한 속도와 모호한 설정을 공유하는 집계 그룹을 생성하고 활성 집계기의 모든 포트를 사용합니다. 인터페이스의 트래픽 소스 또는 대상에 따라 이 모드에는 추가 로드 밸런싱 구성이 필요합니다.
기본적으로 발신 트래픽에 대한 포트 선택 사항은 전송 해시 정책에 따라 다릅니다. 전송 해시 정책의
xmit_hash_policy옵션을 사용하여 포트 선택 및 전송 밸런싱을 변경합니다.802.3ad와Balance-xor의 차이점은 규정 준수입니다.802.3ad정책은 포트 집계 그룹 간에 LACP를 협상합니다. 설명 xmit_hash_policy bonding 매개변수를참조하십시오.- balance-tlb (Mode 5)
balance-tlb는 전송 로드 밸런싱 정책을 사용합니다. 이 모드에서는 스위치 지원이 필요하지 않은 내결함성, 로드 밸런싱 및 채널 본딩을 설정합니다.활성 포트는 들어오는 트래픽을 수신합니다. 활성 포트가 실패하면 다른 포트가 실패한 포트의 MAC 주소를 대신합니다. 발신 트래픽을 처리하는 인터페이스를 결정하려면 다음 모드 중 하나를 사용합니다.
-
값
0: 해시 배포 정책을 사용하여 로드 밸런싱 없이 트래픽을 분산 값 1:
로드 밸런싱을 사용하여 각 포트에 트래픽 배포본딩 옵션
tlb_dynamic_lb=0에서는 이 본딩 모드에서는xmit_hash_policy본딩 옵션을 사용하여 전송의 균형을 조정합니다.기본옵션은 본딩 인터페이스의 기본 포트를 정의합니다.
설명 xmit_hash_policy bonding 매개 변수 를 참조하십시오.
-
값
- balance-alb (Mode 6)
balance-alb는 조정된 로드 밸런싱 정책을 사용합니다. 이 모드는 내결함성, 로드 밸런싱을 제공하며 특수 스위치 지원이 필요하지 않습니다.이 모드에는 IPv4 및 IPv6 트래픽에 대한 balance-transmit 로드 밸런싱(
balance-tlb) 및 수신 로드 밸런싱이 포함됩니다. 본딩은 로컬 시스템에서 전송한 ARP 응답을 가로채고 본딩의 포트 중 하나의 소스 하드웨어 주소를 덮어씁니다. ARP 협상은 수신 로드 밸런싱을 관리합니다. 따라서 다른 포트는 서버에 다른 하드웨어 주소를 사용합니다.기본옵션은 본딩 인터페이스의 기본 포트를 정의합니다. 본딩 옵션tlb_dynamic_lb=0에서는 이 본딩 모드에서는xmit_hash_policy본딩 옵션을 사용하여 전송의 균형을 조정합니다. 설명 xmit_hash_policy bonding 매개 변수 를 참조하십시오.
3.11. xmit_hash_policy bonding 매개변수
xmit_hash_policy 로드 밸런싱 매개 변수는 balance-xor,802.3ad,balance-alb 및 balance-tlb 모드에서 노드 선택에 대한 전송 해시 정책을 선택합니다. tlb_dynamic_lb 매개변수가 0 인 경우에만 모드 5 및 6에 적용됩니다. 이 매개변수의 가능한 값은 layer2 , ,layer2 +3layer3+4,encap2+3,encap3+4, vlan+srcmac 입니다.
자세한 내용은 표를 참조하십시오.
| 정책 또는 네트워크 계층 | Layer2 | Layer2+3 | Layer3+4 | encap2+3 | encap3+4 | VLAN+srcmac |
| 사용 | 소스 및 대상 MAC 주소 및 이더넷 프로토콜 유형의 XOR | 소스 및 대상 MAC 주소 및 IP 주소의 XOR | 소스 및 대상 포트 및 IP 주소의 XOR |
지원되는 터널 내에서 소스 및 대상 MAC 주소 및 IP 주소의 XOR(예: VXLAN)입니다. 이 모드는 |
지원되는 터널 내에서 소스 및 대상 포트 및 IP 주소의 XOR(예: VXLAN)입니다. 이 모드는 | VLAN ID 및 소스 MAC 벤더 및 소스 MAC 장치의 XOR |
| 트래픽 배치 | 동일한 기본 네트워크 인터페이스에서 특정 네트워크 피어로의 모든 트래픽 | 동일한 기본 네트워크 인터페이스에서 특정 IP 주소로의 모든 트래픽 | 동일한 기본 네트워크 인터페이스의 특정 IP 주소 및 포트에 대한 모든 트래픽 | |||
| 기본 선택 | 동일한 브로드캐스트 도메인에 이 시스템과 여러 다른 시스템 간에 네트워크 트래픽이 있는 경우 | 이 시스템과 여러 다른 시스템 간 네트워크 트래픽이 기본 게이트웨이를 통과하는 경우 | 이 시스템과 다른 시스템 간의 네트워크 트래픽이 동일한 IP 주소를 사용하지만 여러 포트를 통과하는 경우 | 캡슐화된 트래픽은 여러 IP 주소를 사용하여 소스 시스템과 여러 다른 시스템 사이입니다. | 캡슐화된 트래픽은 여러 포트 번호를 사용하는 소스 시스템과 기타 시스템 간의 트래픽입니다. | 본딩이 여러 컨테이너 또는 가상 머신(VM)의 네트워크 트래픽을 브리지 네트워크와 같은 외부 네트워크에 직접 노출하고 Mode 2 또는 Mode 4에 대한 스위치를 구성할 수 없는 경우 |
| 보조 선택 | 이 시스템과 기본 게이트웨이 뒤의 여러 다른 시스템 간에 네트워크 트래픽이 주로 사용되는 경우 | 이 시스템과 다른 시스템 간에 네트워크 트래픽이 대부분의 경우 | ||||
| compliant | 802.3ad | 802.3ad | 802.3ad가 아님 | |||
| 기본 정책 | 구성이 제공되지 않은 경우 기본 정책입니다. |
IP가 아닌 트래픽의 경우 공식은 |
IP가 아닌 트래픽의 경우 공식은 |
4장. NIC 팀 구성
NIC(네트워크 인터페이스 컨트롤러) 팀 구성은 물리적 및 가상 네트워크 인터페이스를 결합하거나 집계하여 처리량 또는 중복성이 높은 논리 인터페이스를 제공하는 방법입니다. NIC 팀 구성은 작은 커널 모듈을 사용하여 다른 작업에 대한 패킷 흐름 및 사용자 공간 서비스를 빠르게 처리합니다. 이렇게 하면 NIC 티밍은 로드 밸런싱 및 중복성 요구 사항에 맞게 쉽게 확장 가능하고 확장 가능한 솔루션입니다.
Red Hat Enterprise Linux는 관리자에게 팀 장치를 구성하는 다양한 옵션을 제공합니다. 예를 들면 다음과 같습니다.
-
명령줄을 사용하여 팀 연결을 구성하려면
nmcli를 사용합니다. - 웹 브라우저를 사용하여 팀 연결을 구성하려면 RHEL 웹 콘솔을 사용합니다.
-
nm-connection-editor애플리케이션을 사용하여 그래픽 인터페이스에서 팀 연결을 구성합니다.
NIC 팀은 Red Hat Enterprise Linux 9에서 더 이상 사용되지 않습니다. 서버를 향후 RHEL 버전으로 업그레이드하려는 경우 커널 본딩 드라이버를 대안으로 사용하는 것이 좋습니다. 자세한 내용은 네트워크 본딩 구성을 참조하십시오.
4.1. 컨트롤러 및 포트 인터페이스의 기본 동작 이해
NetworkManager 서비스를 사용하여 팀 또는 본딩 포트 인터페이스를 관리하거나 해결할 때 다음 기본 동작을 고려하십시오.
- 컨트롤러 인터페이스를 시작해도 포트 인터페이스가 자동으로 시작되지 않습니다.
- 포트 인터페이스를 시작하면 항상 컨트롤러 인터페이스가 시작됩니다.
- 컨트롤러 인터페이스를 중지하면 포트 인터페이스도 중지됩니다.
- 포트가 없는 컨트롤러는 고정 IP 연결을 시작할 수 있습니다.
- 포트가 없는 컨트롤러는 DHCP 연결을 시작할 때 포트를 기다립니다.
- 포트를 기다리는 DHCP 연결이 있는 컨트롤러는 캐리어가 있는 포트를 추가하면 완료됩니다.
- 포트를 기다리는 DHCP 연결이 있는 컨트롤러는 캐리어 없이 포트를 추가할 때 계속 대기합니다.
4.2. teamd 서비스, 러너 및 link-watchers 이해
팀 서비스인 teamd 는 팀 드라이버의 인스턴스 1개를 제어합니다. 이 드라이버 인스턴스는 하드웨어 장치 드라이버의 인스턴스를 추가하여 네트워크 인터페이스 팀을 구성합니다. 팀 드라이버는 네트워크 인터페이스(예: team0 )를 커널에 제공합니다.
팀 서비스는 모든 팀팅 방법에 공통 논리를 구현합니다. 이러한 함수는 라운드 로빈과 같은 다양한 로드 공유 및 백업 방법에 고유하며 러너 라고 하는 별도의 코드 단위로 구현합니다. 관리자는 JSON(JavaScript Object Notation) 형식으로 러너를 지정하고 인스턴스가 생성될 때 JSON 코드가 teamd 인스턴스로 컴파일됩니다. 또는 NetworkManager 를 사용하는 경우 team.runner 매개변수에서 러너를 설정하고 NetworkManager 는 해당 JSON 코드를 자동으로 생성할 수 있습니다.
다음 러너를 사용할 수 있습니다.
-
브로드캐스트: 모든 포트에 대한 데이터를 전송합니다. -
roundrobin: 차례로 모든 포트에 대한 데이터를 전송합니다. -
activebackup: 하나의 포트를 통해 데이터를 전송하는 반면 다른 포트는 백업으로 유지됩니다. -
loadbalance: 활성 Tx 로드 밸런싱 및 BPF(Berkeley Packet Filter) 기반 Tx 포트 선택기를 사용하여 모든 포트에 데이터를 전송합니다. -
random: 임의로 선택한 포트에서 데이터를 전송합니다. -
lacp: 802.3ad 링크 집계 제어 프로토콜(LACP)을 구현합니다.
팀 서비스는 링크 감시기를 사용하여 하위 장치의 상태를 모니터링합니다. 다음 link-watchers를 사용할 수 있습니다.
-
ethtool:libteam라이브러리는ethtool유틸리티를 사용하여 링크 상태 변경을 확인합니다. 기본 link-watcher입니다. -
arp_ping:libteam라이브러리는arp_ping유틸리티를 사용하여 ARP(Address Resolution Protocol)를 사용하여 far-end 하드웨어 주소가 있는지 모니터링합니다. -
nsna_ping: IPv6 연결에서libteam라이브러리는 IPv6 Neighbor Discovery 프로토콜의 Neighbor Advertisement 및 Neighboration 기능을 사용하여 인접한 인터페이스의 존재를 모니터링합니다.
각 러너는 lacp 를 제외하고 모든 링크 감시자를 사용할 수 있습니다. 이 러너는 ethtool 링크 감시자만 사용할 수 있습니다.
4.3. nmcli를 사용하여 NIC 팀 구성
명령줄에서 NIC(네트워크 인터페이스 컨트롤러) 팀을 구성하려면 nmcli 유틸리티를 사용합니다.
NIC 팀은 Red Hat Enterprise Linux 9에서 더 이상 사용되지 않습니다. 서버를 향후 RHEL 버전으로 업그레이드하려는 경우 커널 본딩 드라이버를 대안으로 사용하는 것이 좋습니다. 자세한 내용은 네트워크 본딩 구성을 참조하십시오.
사전 요구 사항
-
teamd및NetworkManager-team패키지가 설치됩니다. - 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
- 이더넷 장치를 팀의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치하고 스위치에 연결해야 합니다.
본딩, 브리지 또는 VLAN 장치를 팀의 포트로 사용하려면 팀을 생성하는 동안 이러한 장치를 생성하거나 다음에 설명된 대로 미리 생성할 수 있습니다.
프로세스
팀 인터페이스를 생성합니다.
nmcli connection add type team con-name team0 ifname team0 team.runner activebackup
# nmcli connection add type team con-name team0 ifname team0 team.runner activebackupCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은
activebackup러너를 사용하는team0이라는 NIC 팀을 생성합니다.선택 사항: 링크 감시자를 설정합니다. 예를 들어
team0연결 프로필에서ethtool링크 감시자를 설정하려면 다음을 수행합니다.nmcli connection modify team0 team.link-watchers "name=ethtool"
# nmcli connection modify team0 team.link-watchers "name=ethtool"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 링크 감시자는 다양한 매개변수를 지원합니다. 링크 감시자의 매개변수를 설정하려면
name속성에서 공백으로 구분하여 지정합니다. name 속성은 따옴표로 묶어야 합니다. 예를 들어ethtool링크 감시기를 사용하고delay-up매개변수를2500밀리초(2.5초)로 설정하려면 다음을 수행합니다.nmcli connection modify team0 team.link-watchers "name=ethtool delay-up=2500"
# nmcli connection modify team0 team.link-watchers "name=ethtool delay-up=2500"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 여러 링크 감시자와 각각 특정 매개변수를 사용하려면 링크 감시자를 쉼표로 구분해야 합니다. 다음 예제에서는
source-host및target-host매개변수를 사용하여delay-up매개변수 및arp_ping링크 감시자를 사용하여ethtool링크 감시자를 설정합니다.nmcli connection modify team0 team.link-watchers "name=ethtool delay-up=2, name=arp_ping source-host=192.0.2.1 target-host=192.0.2.2"
# nmcli connection modify team0 team.link-watchers "name=ethtool delay-up=2, name=arp_ping source-host=192.0.2.1 target-host=192.0.2.2"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크 인터페이스를 표시하고 팀에 추가할 인터페이스의 이름을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 예제에서는 다음을 수행합니다.
-
enp7s0및enp8s0은 구성되어 있지 않습니다. 이러한 장치를 포트로 사용하려면 다음 단계에서 연결 프로필을 추가합니다. 연결에 할당되지 않은 팀에서만 이더넷 인터페이스를 사용할 수 있습니다. -
bond0및bond1에는 기존 연결 프로필이 있습니다. 이러한 장치를 포트로 사용하려면 다음 단계에서 프로필을 수정합니다.
-
팀에 포트 인터페이스를 할당합니다.
팀에 할당하려는 인터페이스가 구성되지 않은 경우 해당 인터페이스에 대한 새 연결 프로필을 생성합니다.
nmcli connection add type ethernet slave-type team con-name team0-port1 ifname enp7s0 master team0 nmcli connection add type ethernet slave--type team con-name team0-port2 ifname enp8s0 master team0
# nmcli connection add type ethernet slave-type team con-name team0-port1 ifname enp7s0 master team0 # nmcli connection add type ethernet slave--type team con-name team0-port2 ifname enp8s0 master team0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 명령은
enp7s0및enp8s0에 대한 프로필을 생성하고team0연결에 추가합니다.팀에 기존 연결 프로필을 할당하려면 다음을 수행합니다.
이러한 연결의
master매개변수를team0으로 설정합니다.nmcli connection modify bond0 master team0 nmcli connection modify bond1 master team0
# nmcli connection modify bond0 master team0 # nmcli connection modify bond1 master team0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 명령은
bond0및bond1이라는 기존 연결 프로필을team0연결에 할당합니다.연결을 다시 활성화합니다.
nmcli connection up bond0 nmcli connection up bond1
# nmcli connection up bond0 # nmcli connection up bond1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
IPv4 설정을 구성합니다.
정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버를
team0연결로 설정하려면 다음을 입력합니다.nmcli connection modify team0 ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253' ipv4.dns-search 'example.com' ipv4.method manual
# nmcli connection modify team0 ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253' ipv4.dns-search 'example.com' ipv4.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow - DHCP를 사용하려면 작업이 필요하지 않습니다.
- 이 팀 장치를 다른 장치의 포트로 사용하려는 경우 작업이 필요하지 않습니다.
IPv6 설정을 구성합니다.
정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이, DNS 서버를
team0연결로 설정하려면 다음을 입력합니다.nmcli connection modify team0 ipv6.addresses '2001:db8:1::1/64' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.dns-search 'example.com' ipv6.method manual
# nmcli connection modify team0 ipv6.addresses '2001:db8:1::1/64' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.dns-search 'example.com' ipv6.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 이 팀 장치를 다른 장치의 포트로 사용하려는 경우 작업이 필요하지 않습니다.
- SLAAC(stateless address autoconfiguration)를 사용하려면 작업이 필요하지 않습니다.
연결을 활성화합니다.
nmcli connection up team0
# nmcli connection up team0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
팀 상태를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 예에서는 두 포트가 모두 up입니다.
4.4. RHEL 웹 콘솔을 사용하여 NIC 팀 구성
웹 브라우저 기반 인터페이스를 사용하여 네트워크 설정을 관리하려는 경우 RHEL 웹 콘솔을 사용하여 NIC(네트워크 인터페이스 컨트롤러) 팀을 구성합니다.
NIC 팀은 Red Hat Enterprise Linux 9에서 더 이상 사용되지 않습니다. 서버를 향후 RHEL 버전으로 업그레이드하려는 경우 커널 본딩 드라이버를 대안으로 사용하는 것이 좋습니다. 자세한 내용은 네트워크 본딩 구성을 참조하십시오.
사전 요구 사항
-
teamd및NetworkManager-team패키지가 설치됩니다. - 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
- 이더넷 장치를 팀의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치하고 스위치에 연결해야 합니다.
본딩, 브리지 또는 VLAN 장치를 팀 포트로 사용하려면 다음에 설명된 대로 미리 생성합니다.
- RHEL 8 웹 콘솔을 설치했습니다.
- cockpit 서비스를 활성화했습니다.
사용자 계정이 웹 콘솔에 로그인할 수 있습니다.
자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.
프로세스
RHEL 8 웹 콘솔에 로그인합니다.
자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.
-
화면 왼쪽의 탐색에서
네트워킹탭을 선택합니다. -
인터페이스섹션에서 를 클릭합니다. - 생성할 팀 장치의 이름을 입력합니다.
- 팀의 포트여야 하는 인터페이스를 선택합니다.
팀의 러너를 선택합니다.
로드 밸런싱또는802.3ad LACP를 선택하면 웹 콘솔에 추가 필드밸런서가 표시됩니다.링크 감시자를 설정합니다.
-
Ethtool을 선택하는 경우 또한 링크를 설정하고 지연 시간을 연결합니다. -
ARP ping또는NSNA ping을 설정하는 경우 ping 간격과 ping 대상을 설정합니다.
-
- 클릭합니다.
기본적으로 팀은 동적 IP 주소를 사용합니다. 고정 IP 주소를 설정하려면 다음을 수행합니다.
-
Interfaces섹션에서 팀 이름을 클릭합니다. -
구성할 프로토콜 옆에 있는
편집을클릭합니다. -
주소옆에 있는수동을 선택하고 IP 주소, 접두사 및 기본 게이트웨이를 입력합니다. -
DNS섹션에서 버튼을 클릭하고 DNS 서버의 IP 주소를 입력합니다. 이 단계를 반복하여 여러 DNS 서버를 설정합니다. -
DNS 검색 도메인섹션에서 버튼을 클릭하고 검색 도메인을 입력합니다. 인터페이스에 정적 경로가 필요한 경우
Routes섹션에서 구성합니다.- 클릭합니다.
-
검증
화면 왼쪽의 탐색에서
Networking탭을 선택하고 인터페이스에 들어오고 나가는 트래픽이 있는지 확인합니다.팀 상태를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 예에서는 두 포트가 모두 up입니다.
4.5. nm-connection-editor를 사용하여 NIC 팀 구성
그래픽 인터페이스와 함께 Red Hat Enterprise Linux를 사용하는 경우 nm-connection-editor 애플리케이션을 사용하여 NIC(네트워크 인터페이스 컨트롤러) 팀을 구성할 수 있습니다.
nm-connection-editor 는 팀에 새 포트만 추가할 수 있습니다. 기존 연결 프로필을 포트로 사용하려면 nmcli 를 사용하여 NIC 팀 구성에 설명된 대로 nmcli 유틸리티를 사용하여 팀을 생성합니다.
NIC 팀은 Red Hat Enterprise Linux 9에서 더 이상 사용되지 않습니다. 서버를 향후 RHEL 버전으로 업그레이드하려는 경우 커널 본딩 드라이버를 대안으로 사용하는 것이 좋습니다. 자세한 내용은 네트워크 본딩 구성을 참조하십시오.
사전 요구 사항
-
teamd및NetworkManager-team패키지가 설치됩니다. - 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
- 이더넷 장치를 팀의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
- 팀, 본딩 또는 VLAN 장치를 팀의 포트로 사용하려면 이러한 장치가 아직 구성되지 않았는지 확인합니다.
프로세스
터미널을 열고
nm-connection-editor를 입력합니다.nm-connection-editor
$ nm-connection-editorCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 버튼을 클릭하여 새 연결을 추가합니다.
- 팀 연결 유형을 선택하고 을 클릭합니다.
팀 탭에서 다음을 수행합니다.
- 선택 사항: 인터페이스 이름 필드에 팀 인터페이스의 이름을 설정합니다.
버튼을 클릭하여 네트워크 인터페이스의 새 연결 프로필을 추가하고 팀에 프로필을 포트로 추가합니다.
- 인터페이스의 연결 유형을 선택합니다. 예를 들어 유선 연결로 이더넷 을 선택합니다.
- 선택 사항: 포트에 대한 연결 이름을 설정합니다.
- 이더넷 장치에 대한 연결 프로필을 생성하는 경우 이더넷 탭을 열고 Device 필드에서 팀에 포트로 추가할 네트워크 인터페이스를 선택합니다. 다른 장치 유형을 선택한 경우 그에 따라 구성합니다. 연결에 할당되지 않은 팀에서만 이더넷 인터페이스를 사용할 수 있습니다.
- 을 클릭합니다.
팀에 추가할 각 인터페이스에 대해 이전 단계를 반복합니다.
버튼을 클릭하여 팀 연결에 고급 옵션을 설정합니다.
- Runner 탭에서 runner를 선택합니다.
- Link Watcher 탭에서 링크 감시자 및 선택적 설정을 설정합니다.
- 를 클릭합니다.
IPv4 설정 및 IPv6 설정 탭에서 IP 주소 설정을 구성합니다.
- 이 브리지 장치를 다른 장치의 포트로 사용하려면 Method 필드를 Disabled 로 설정합니다.
- DHCP를 사용하려면 Method 필드를 기본값인 Automatic(DHCP) 으로 둡니다.
고정 IP 설정을 사용하려면 Method 필드를 Manual 로 설정하고 그에 따라 필드를 작성합니다.
- 을 클릭합니다.
-
nm-connection-editor를 종료합니다.
검증
팀 상태를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5장. VLAN 태그 지정 구성
VLAN(Virtual Local Area Network)은 물리적 네트워크 내의 논리적 네트워크입니다. VLAN 인터페이스는 인터페이스를 통과할 때 VLAN ID로 패킷에 태그를 지정하고 패킷을 반환하는 태그를 제거합니다. 이더넷, 본딩, 팀 또는 브리지 장치와 같은 다른 인터페이스 위에 VLAN 인터페이스를 생성합니다. 이러한 인터페이스를 부모 인터페이스 라고 합니다.
Red Hat Enterprise Linux는 관리자에게 VLAN 장치를 구성하는 다양한 옵션을 제공합니다. 예를 들면 다음과 같습니다.
-
명령줄을 사용하여 VLAN 태그를 구성하려면
nmcli를 사용합니다. - 웹 브라우저를 사용하여 VLAN 태그를 구성하려면 RHEL 웹 콘솔을 사용합니다.
-
nmtui를 사용하여 텍스트 기반 사용자 인터페이스에서 VLAN 태그를 구성합니다. -
nm-connection-editor애플리케이션을 사용하여 그래픽 인터페이스에서 연결을 구성합니다. -
nmstatectl을 사용하여 Nmstate API를 통해 연결을 구성합니다. - RHEL 시스템 역할을 사용하여 하나 이상의 호스트에서 VLAN 구성을 자동화합니다.
5.1. nmcli를 사용하여 VLAN 태그 구성
nmcli 유틸리티를 사용하여 명령줄에서 VLAN(Virtual Local Area Network) 태그를 구성할 수 있습니다.
사전 요구 사항
- 가상 VLAN 인터페이스에 대한 상위로 사용할 인터페이스는 VLAN 태그를 지원합니다.
본딩 인터페이스 위에 VLAN을 구성하는 경우:
- 본딩의 포트가 작동 중입니다.
-
본딩은
fail_over_mac=follow옵션으로 구성되지 않습니다. VLAN 가상 장치는 MAC 주소를 상위의 새 MAC 주소와 일치하도록 변경할 수 없습니다. 이러한 경우 트래픽이 잘못된 소스 MAC 주소로 전송됩니다. -
본딩은 일반적으로 DHCP 서버 또는 IPv6 자동 구성에서 IP 주소를 가져오지 않아야 합니다. 본딩을 생성하는 동안
ipv4.method=disable및ipv6.method=ignore옵션을 설정하여 확인합니다. 그렇지 않으면 잠시 후 DHCP 또는 IPv6 자동 구성이 실패하면 인터페이스가 중단될 수 있습니다.
- VLAN 태그를 지원하도록 호스트에 연결된 스위치가 구성되어 있습니다. 자세한 내용은 전환 설명서를 참조하십시오.
프로세스
네트워크 인터페이스를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow VLAN 인터페이스를 만듭니다. 예를 들어
enp1s0을 상위 인터페이스로 사용하고 VLAN ID10을 사용하여 패킷을 태그하는vlan10이라는 VLAN 인터페이스를 생성하려면 다음을 입력합니다.nmcli connection add type vlan con-name vlan10 ifname vlan10 vlan.parent enp1s0 vlan.id 10
# nmcli connection add type vlan con-name vlan10 ifname vlan10 vlan.parent enp1s0 vlan.id 10Copy to Clipboard Copied! Toggle word wrap Toggle overflow VLAN은
0에서4094사이의 범위 내에 있어야 합니다.기본적으로 VLAN 연결은 상위 인터페이스에서 최대 전송 단위(MTU)를 상속합니다. 필요한 경우 다른 MTU 값을 설정합니다.
nmcli connection modify vlan10 ethernet.mtu 2000
# nmcli connection modify vlan10 ethernet.mtu 2000Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 설정을 구성합니다.
정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를
vlan10연결로 설정하려면 다음을 입력합니다.nmcli connection modify vlan10 ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253' ipv4.method manual
# nmcli connection modify vlan10 ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253' ipv4.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow - DHCP를 사용하려면 작업이 필요하지 않습니다.
- 이 VLAN 장치를 다른 장치의 포트로 사용하려면 작업이 필요하지 않습니다.
IPv6 설정을 구성합니다.
정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를
vlan10연결로 설정하려면 다음을 입력합니다.nmcli connection modify vlan10 ipv6.addresses '2001:db8:1::1/32' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.method manual
# nmcli connection modify vlan10 ipv6.addresses '2001:db8:1::1/32' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow - SLAAC(stateless address autoconfiguration)를 사용하려면 작업이 필요하지 않습니다.
- 이 VLAN 장치를 다른 장치의 포트로 사용하려면 작업이 필요하지 않습니다.
연결을 활성화합니다.
nmcli connection up vlan10
# nmcli connection up vlan10Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
설정을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.2. RHEL 웹 콘솔을 사용하여 VLAN 태그 구성
RHEL 웹 콘솔에서 웹 브라우저 기반 인터페이스를 사용하여 네트워크 설정을 관리하려는 경우 VLAN 태그 지정을 구성할 수 있습니다.
사전 요구 사항
- 가상 VLAN 인터페이스에 대한 상위로 사용할 인터페이스는 VLAN 태그를 지원합니다.
본딩 인터페이스 위에 VLAN을 구성하는 경우:
- 본딩의 포트가 작동 중입니다.
-
본딩은
fail_over_mac=follow옵션으로 구성되지 않습니다. VLAN 가상 장치는 MAC 주소를 상위의 새 MAC 주소와 일치하도록 변경할 수 없습니다. 이러한 경우 트래픽이 잘못된 소스 MAC 주소로 전송됩니다. - 본딩은 일반적으로 DHCP 서버 또는 IPv6 자동 구성에서 IP 주소를 가져오지 않아야 합니다. 본딩을 생성하는 IPv4 및 IPv6 프로토콜을 비활성화하여 확인합니다. 그렇지 않으면 잠시 후 DHCP 또는 IPv6 자동 구성이 실패하면 인터페이스가 중단될 수 있습니다.
- VLAN 태그를 지원하도록 호스트에 연결된 스위치가 구성되어 있습니다. 자세한 내용은 전환 설명서를 참조하십시오.
- RHEL 8 웹 콘솔을 설치했습니다.
- cockpit 서비스를 활성화했습니다.
사용자 계정이 웹 콘솔에 로그인할 수 있습니다.
자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.
프로세스
RHEL 8 웹 콘솔에 로그인합니다.
자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.
-
화면 왼쪽의 탐색에서
네트워킹탭을 선택합니다. -
인터페이스섹션에서 를 클릭합니다. - 상위 장치를 선택합니다.
- VLAN ID를 입력합니다.
VLAN 장치의 이름을 입력하거나 자동으로 생성된 이름을 유지합니다.
- 클릭합니다.
기본적으로 VLAN 장치는 동적 IP 주소를 사용합니다. 고정 IP 주소를 설정하려면 다음을 수행합니다.
-
Interfaces섹션에서 VLAN 장치의 이름을 클릭합니다. -
구성할 프로토콜 옆에 있는
편집을클릭합니다. -
주소옆에 있는수동을 선택하고 IP 주소, 접두사 및 기본 게이트웨이를 입력합니다. -
DNS섹션에서 버튼을 클릭하고 DNS 서버의 IP 주소를 입력합니다. 이 단계를 반복하여 여러 DNS 서버를 설정합니다. -
DNS 검색 도메인섹션에서 버튼을 클릭하고 검색 도메인을 입력합니다. 인터페이스에 정적 경로가 필요한 경우
Routes섹션에서 구성합니다.- 클릭합니다.
-
검증
화면 왼쪽의 탐색에서
Networking탭을 선택하고 인터페이스에 들어오고 나가는 트래픽이 있는지 확인합니다.
5.3. nmtui를 사용하여 VLAN 태그 구성
nmtui 애플리케이션은 NetworkManager에 대한 텍스트 기반 사용자 인터페이스를 제공합니다. nmtui 를 사용하여 그래픽 인터페이스 없이 호스트에서 VLAN 태그를 구성할 수 있습니다.
nmtui 에서:
- 커서 키를 사용하여 이동합니다.
- 버튼을 선택하고 Enter 키를 눌러 합니다.
- Space 를 사용하여 확인란을 선택하고 지웁니다.
- 이전 화면으로 돌아가려면 ESC 를 사용합니다.
사전 요구 사항
- 가상 VLAN 인터페이스에 대한 상위로 사용할 인터페이스는 VLAN 태그를 지원합니다.
본딩 인터페이스 위에 VLAN을 구성하는 경우:
- 본딩의 포트가 작동 중입니다.
-
본딩은
fail_over_mac=follow옵션으로 구성되지 않습니다. VLAN 가상 장치는 MAC 주소를 상위의 새 MAC 주소와 일치하도록 변경할 수 없습니다. 이러한 경우 트래픽은 여전히 잘못된 소스 MAC 주소와 함께 전송됩니다. -
본딩은 일반적으로 DHCP 서버 또는 IPv6 자동 구성에서 IP 주소를 가져오지 않아야 합니다. 본딩을 생성하는 동안
ipv4.method=disable및ipv6.method=ignore옵션을 설정하여 확인합니다. 그렇지 않으면 잠시 후 DHCP 또는 IPv6 자동 구성이 실패하면 인터페이스가 중단될 수 있습니다.
- 호스트가 연결된 스위치는 VLAN 태그를 지원하도록 구성되어 있습니다. 자세한 내용은 전환 설명서를 참조하십시오.
프로세스
VLAN 태그 지정을 구성할 네트워크 장치 이름을 모르는 경우 사용 가능한 장치를 표시합니다.
nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet unavailable -- ...
# nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet unavailable -- ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow start
nmtui:nmtui
# nmtuiCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Edit a connection 을 선택하고 Enter 를 누릅니다.
- 추가를 누릅니다.
- 네트워크 유형 목록에서 VLAN 을 선택하고 Enter 키를 누릅니다.
선택 사항: 생성할 NetworkManager 프로필의 이름을 입력합니다.
프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.
- 장치 필드에 생성할 VLAN 장치 이름을 입력합니다.
- VLAN 태그를 부모 필드에 구성할 장치의 이름을 입력합니다.
-
VLAN ID를 입력합니다. ID는
0에서4094사이의 범위 내에 있어야 합니다. 환경에 따라 그에 따라 IPv4 구성 및 IPv6 구성 영역에서 IP 주소 설정을 구성합니다. 이를 위해 다음 영역 옆에 있는 버튼을 누른 후 다음을 선택합니다.
-
비활성화된 이 VLAN 장치에 IP 주소가 필요하지 않거나 다른 장치의 포트로 사용하려는 경우입니다. -
DHCP 서버 또는 SLAAC(상태 비저장 주소 자동 구성)가 VLAN 장치에 IP 주소를 동적으로 할당하는 경우 자동입니다.
네트워크에 고정 IP 주소 설정이 필요한 경우
수동. 이 경우 추가 필드를 작성해야 합니다.- 추가 필드를 표시하도록 구성할 프로토콜 옆에 Show 를 누릅니다.
주소 옆에 있는 추가 를 클릭하고 CIDR(Classless Inter-Domain Routing) 형식으로 IP 주소와 서브넷 마스크를 입력합니다.
서브넷 마스크를 지정하지 않으면 NetworkManager는 IPv4 주소에 대해
/32서브넷 마스크와 IPv6 주소에 대해/64를 설정합니다.- 기본 게이트웨이의 주소를 입력합니다.
- DNS 서버 옆에 있는 추가 를 클릭하고 DNS 서버 주소를 입력합니다.
- 검색 도메인 옆에 있는 추가 를 클릭하고 DNS 검색 도메인을 입력합니다.
그림 5.1. 고정 IP 주소 설정을 사용한 VLAN 연결 예
-
- OK 를 눌러 새 연결을 만들고 자동으로 활성화합니다.
- 다시 키를 눌러 기본 메뉴로 돌아갑니다.
-
Quit 를 선택하고 Enter 를 눌러
nmtui애플리케이션을 종료합니다.
검증
설정을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.4. nm-connection-editor를 사용하여 VLAN 태그 지정 설정
nm-connection-editor 애플리케이션을 사용하여 그래픽 인터페이스에서 VLAN(Virtual Local Area Network) 태그를 구성할 수 있습니다.
사전 요구 사항
- 가상 VLAN 인터페이스의 상위로 사용하려는 인터페이스는 VLAN 태그를 지원합니다.
본딩 인터페이스 상단에 VLAN을 구성하는 경우:
- 본딩의 포트가 설정되어 있습니다.
-
본딩은
fail_over_mac=follow옵션으로 구성되지 않습니다. VLAN 가상 장치는 MAC 주소를 상위의 새 MAC 주소와 일치하도록 변경할 수 없습니다. 이러한 경우 트래픽이 잘못된 소스 MAC 주소로 전송됩니다.
- 호스트가 연결되어 VLAN 태그를 지원하도록 구성된 스위치입니다. 자세한 내용은 스위치 설명서를 참조하십시오.
절차
터미널을 열고
nm-connection-editor를 입력합니다.nm-connection-editor
$ nm-connection-editorCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 버튼을 클릭하여 새 연결을 추가합니다.
- VLAN 연결 유형을 선택하고 클릭합니다.
VLAN 탭에서 다음을 수행합니다.
- 상위 인터페이스를 선택합니다.
- VLAN ID를 선택합니다. VLAN은 0 에서 4094 사이의 범위 내에 있어야 합니다.
- 기본적으로 VLAN 연결은 상위 인터페이스에서 최대 전송 단위(MTU)를 상속합니다. 선택적으로 다른 MTU 값을 설정합니다.
선택 사항: VLAN 인터페이스의 이름 및 추가 VLAN별 옵션을 설정합니다.
IPv4 설정 및 IPv6 설정 탭에서 IP 주소 설정을 구성합니다.
- 이 브리지 장치를 다른 장치의 포트로 사용하려면 Method 필드를 Disabled 로 설정합니다.
- DHCP를 사용하려면 Method 필드를 기본값인 Automatic(DHCP) 으로 둡니다.
고정 IP 설정을 사용하려면 Method 필드를 Manual 로 설정하고 그에 따라 필드를 작성합니다.
- 을 클릭합니다.
-
nm-connection-editor를 종료합니다.
검증
설정을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.5. nmstatectl을 사용하여 VLAN 태그 구성
nmstatectl 유틸리티를 사용하여 Nmstate API를 통해 Virtual Local Area Network VLAN을 구성합니다. Nmstate API는 구성을 설정한 후 결과가 구성 파일과 일치하는지 확인합니다. 아무것도 실패하면 nmstatectl 에서 시스템을 잘못된 상태로 두지 않도록 변경 사항을 자동으로 롤백합니다.
환경에 따라 YAML 파일을 적절하게 조정합니다. 예를 들어 VLAN에서 이더넷 어댑터와 다른 장치를 사용하려면 VLAN에서 사용하는 포트의 base-iface 특성 및 유형 속성을 조정합니다.
사전 요구 사항
- 이더넷 장치를 VLAN의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
-
nmstate패키지가 설치되어 있습니다.
절차
다음 콘텐츠를 사용하여 YAML 파일(예:
~/create-vlan.yml)을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 설정은
enp1s0장치를 사용하는 ID 10이 있는 VLAN을 정의합니다. 하위 장치로 VLAN 연결에는 다음과 같은 설정이 있습니다.-
/24서브넷 마스크가 있는 정적 IPv4 주소 -192.0.2.1 -
정적 IPv6 주소 -
2001:db8:1::1(/64서브넷 마스크 포함) -
IPv4 기본 게이트웨이 -
192.0.2.254 -
IPv6 기본 게이트웨이 -
2001:db8:1::fffe -
IPv4 DNS 서버 -
192.0.2.200 -
IPv6 DNS 서버
2001:db8:1::ffbb -
DNS 검색 도메인 -
example.com
-
시스템에 설정을 적용합니다.
nmstatectl apply ~/create-vlan.yml
# nmstatectl apply ~/create-vlan.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
장치 및 연결 상태를 표시합니다.
nmcli device status DEVICE TYPE STATE CONNECTION vlan10 vlan connected vlan10
# nmcli device status DEVICE TYPE STATE CONNECTION vlan10 vlan connected vlan10Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 프로필의 모든 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 설정을 YAML 형식으로 표시합니다.
nmstatectl show vlan10
# nmstatectl show vlan10Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6. 네트워크 RHEL 시스템 역할을 사용하여 VLAN 태그 구성
네트워크에서 VLAN(Virtual Local Area Networks)을 사용하여 네트워크 트래픽을 논리 네트워크로 분리하는 경우 NetworkManager 연결 프로필을 생성하여 VLAN 태그 지정을 구성합니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 VLAN 태그를 구성할 수 있으며 VLAN의 상위 장치에 대한 연결 프로필이 없으면 역할도 생성할 수 있습니다.
VLAN 장치에 IP 주소, 기본 게이트웨이 및 DNS 설정이 필요한 경우 상위 장치가 아닌 VLAN 장치에서 구성합니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리형 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
절차
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
type: <profile_type>- 생성할 프로필 유형을 설정합니다. 예제 플레이북은 두 개의 연결 프로필을 생성합니다. 하나는 상위 이더넷 장치이며 하나는 VLAN 장치용입니다.
dhcp4: <value>-
yes로 설정하면 DHCP, PPP 또는 유사한 서비스에서 자동 IPv4 주소 할당이 활성화됩니다. 상위 장치에서 IP 주소 구성을 비활성화합니다. auto6: <value>-
yes로 설정하면 IPv6 자동 구성이 활성화됩니다. 이 경우 NetworkManager는 기본적으로 라우터 알림을 사용하며 라우터에서관리플래그를 알릴 경우 NetworkManager는 DHCPv6 서버에서 IPv6 주소 및 접두사를 요청합니다. 상위 장치에서 IP 주소 구성을 비활성화합니다. parent: <parent_device>- VLAN 연결 프로필의 상위 장치를 설정합니다. 이 예제에서 상위는 이더넷 인터페이스입니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
플레이북을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
VLAN 설정을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
6장. 네트워크 브리지 구성
네트워크 브리지는 MAC 주소 테이블을 기반으로 네트워크 간에 트래픽을 전달하는 링크 계층 장치입니다. 브리지는 네트워크 트래픽을 수신 대기하여 MAC 주소 테이블을 빌드하여 각 네트워크에 연결된 호스트를 학습합니다. 예를 들어 Red Hat Enterprise Linux 호스트의 소프트웨어 브릿지를 사용하여 하드웨어 브릿지 또는 가상화 환경에서 가상 시스템(VM)을 호스트와 동일한 네트워크에 통합할 수 있습니다.
브리지에는 브리지가 연결해야 하는 각 네트워크에 네트워크 장치가 필요합니다. 브리지를 구성할 때 브리지는 controller 라고 하며 포트를 사용하는 장치입니다.
다음과 같은 다양한 유형의 장치에 브리지를 생성할 수 있습니다.
- 물리적 및 가상 이더넷 장치
- 네트워크 본드
- 네트워크 팀
- VLAN 장치
무선 시간의 효율적인 사용을 위해 Wi-Fi에서 3 주소 프레임 사용을 지정하는 IEEE 802.11 표준으로 인해 Ad-Hoc 또는 Infrastructure 모드에서 작동하는 Wi-Fi 네트워크를 통한 브리지를 구성할 수 없습니다.
6.1. nmcli를 사용하여 네트워크 브리지 구성
명령줄에서 네트워크 브리지를 구성하려면 nmcli 유틸리티를 사용합니다.
사전 요구 사항
- 서버에 두 개 이상의 실제 또는 가상 네트워크 장치가 설치되어 있습니다.
- 이더넷 장치를 브리지 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
팀, 본딩 또는 VLAN 장치를 브리지 포트로 사용하려면 이러한 장치를 생성하는 동안 브리지를 만들거나 에 설명된 대로 미리 생성할 수 있습니다.
절차
브리지 인터페이스를 만듭니다.
nmcli connection add type bridge con-name bridge0 ifname bridge0
# nmcli connection add type bridge con-name bridge0 ifname bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은
bridge0이라는 브릿지를 생성합니다.네트워크 인터페이스를 표시하고 브리지에 추가할 인터페이스의 이름을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 예제에서는 다음을 수행합니다.
-
enp7s0및enp8s0은 구성되지 않습니다. 이러한 장치를 포트로 사용하려면 다음 단계에서 연결 프로필을 추가합니다. -
bond0및bond1에는 기존 연결 프로필이 있습니다. 이러한 장치를 포트로 사용하려면 다음 단계에서 프로필을 수정합니다.
-
인터페이스를 브리지에 할당합니다.
브리지에 할당하려는 인터페이스가 구성되지 않은 경우 새 연결 프로필을 생성합니다.
nmcli connection add type ethernet slave-type bridge con-name bridge0-port1 ifname enp7s0 master bridge0 nmcli connection add type ethernet slave-type bridge con-name bridge0-port2 ifname enp8s0 master bridge0
# nmcli connection add type ethernet slave-type bridge con-name bridge0-port1 ifname enp7s0 master bridge0 # nmcli connection add type ethernet slave-type bridge con-name bridge0-port2 ifname enp8s0 master bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 명령은
enp7s0및enp8s0에 대한 프로필을 생성하여bridge0연결에 추가합니다.기존 연결 프로필을 브리지에 할당하려면 다음을 수행합니다.
이러한 연결의
master매개변수를bridge0으로 설정합니다.nmcli connection modify bond0 master bridge0 nmcli connection modify bond1 master bridge0
# nmcli connection modify bond0 master bridge0 # nmcli connection modify bond1 master bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 명령은
bond0및bond1이라는 기존 연결 프로필을bridge0연결에 할당합니다.연결을 다시 활성화합니다.
nmcli connection up bond0 nmcli connection up bond1
# nmcli connection up bond0 # nmcli connection up bond1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
IPv4 설정을 구성합니다.
정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를
bridge0연결로 설정하려면 다음을 입력합니다.nmcli connection modify bridge0 ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253' ipv4.dns-search 'example.com' ipv4.method manual
# nmcli connection modify bridge0 ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253' ipv4.dns-search 'example.com' ipv4.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow - DHCP를 사용하려면 작업이 필요하지 않습니다.
- 이 브릿지 장치를 다른 장치의 포트로 사용하려는 경우 작업이 필요하지 않습니다.
IPv6 설정을 구성합니다.
정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를
bridge0연결로 설정하려면 다음을 입력합니다.nmcli connection modify bridge0 ipv6.addresses '2001:db8:1::1/64' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.dns-search 'example.com' ipv6.method manual
# nmcli connection modify bridge0 ipv6.addresses '2001:db8:1::1/64' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd' ipv6.dns-search 'example.com' ipv6.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow - SLAAC(stateless address autoconfiguration)를 사용하려면 작업이 필요하지 않습니다.
- 이 브릿지 장치를 다른 장치의 포트로 사용하려는 경우 작업이 필요하지 않습니다.
선택 사항: 브리지의 추가 속성을 구성합니다. 예를 들어
bridge0의 Spanning Tree Protocol(STP) 우선순위를16384로 설정하려면 다음을 입력합니다.nmcli connection modify bridge0 bridge.priority '16384'
# nmcli connection modify bridge0 bridge.priority '16384'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본적으로 STP가 활성화됩니다.
연결을 활성화합니다.
nmcli connection up bridge0
# nmcli connection up bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 포트가 연결되어 있고
CONNECTION열에 포트의 연결 이름이 표시되는지 확인합니다.nmcli device DEVICE TYPE STATE CONNECTION ... enp7s0 ethernet connected bridge0-port1 enp8s0 ethernet connected bridge0-port2
# nmcli device DEVICE TYPE STATE CONNECTION ... enp7s0 ethernet connected bridge0-port1 enp8s0 ethernet connected bridge0-port2Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 포트를 활성화하면 NetworkManager는 브리지를 활성화하지만 다른 포트는 활성화하지 않습니다. 브리지가 활성화되면 Red Hat Enterprise Linux가 모든 포트를 자동으로 사용하도록 설정할 수 있습니다.
bridge 연결의
connection.autoconnect-slaves매개변수를 활성화합니다.nmcli connection modify bridge0 connection.autoconnect-slaves 1
# nmcli connection modify bridge0 connection.autoconnect-slaves 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 브리지를 다시 활성화합니다.
nmcli connection up bridge0
# nmcli connection up bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
ip유틸리티를 사용하여 특정 브리지의 포트인 이더넷 장치의 링크 상태를 표시합니다.ip link show master bridge0 3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff 4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:9e:f1:ce brd ff:ff:ff:ff:ff:ff# ip link show master bridge0 3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff 4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:9e:f1:ce brd ff:ff:ff:ff:ff:ffCopy to Clipboard Copied! Toggle word wrap Toggle overflow bridge유틸리티를 사용하여 브리지 장치의 포트인 이더넷 장치의 상태를 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 이더넷 장치의 상태를 표시하려면
bridge link show dev < ethernet_device_name> 명령을사용합니다.
6.2. RHEL 웹 콘솔을 사용하여 네트워크 브리지 구성
웹 브라우저 기반 인터페이스를 사용하여 네트워크 설정을 관리하려면 RHEL 웹 콘솔을 사용하여 네트워크 브리지를 구성합니다.
사전 요구 사항
- 서버에 두 개 이상의 실제 또는 가상 네트워크 장치가 설치되어 있습니다.
- 이더넷 장치를 브리지 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
팀, 본딩 또는 VLAN 장치를 브리지 포트로 사용하려면 이러한 장치를 생성하는 동안 브리지를 만들거나 에 설명된 대로 미리 생성할 수 있습니다.
- RHEL 8 웹 콘솔을 설치했습니다.
- cockpit 서비스를 활성화했습니다.
사용자 계정이 웹 콘솔에 로그인할 수 있습니다.
자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.
절차
RHEL 8 웹 콘솔에 로그인합니다.
자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.
- 화면 왼쪽의 탐색에서 네트워킹 탭을 선택합니다.
- 인터페이스 섹션에서 를 클릭합니다.
- 생성할 브리지 장치의 이름을 입력합니다.
- 브리지의 포트여야 하는 인터페이스를 선택합니다.
선택 사항: STP(Sspanning tree Protocol) 기능을 활성화하여 브리지 루프 및 브로드캐스트 복사를 방지할 수 있습니다.
- 클릭합니다.
기본적으로 브릿지는 동적 IP 주소를 사용합니다. 고정 IP 주소를 설정하려면 다음을 수행합니다.
- Interfaces 섹션에서 브리지 이름을 클릭합니다.
- 구성할 프로토콜 옆에 있는 편집을 클릭합니다.
- 주소 옆에 있는 수동 을 선택하고 IP 주소, 접두사 및 기본 게이트웨이를 입력합니다.
- DNS 섹션에서 버튼을 클릭하고 DNS 서버의 IP 주소를 입력합니다. 이 단계를 반복하여 여러 DNS 서버를 설정합니다.
- DNS 검색 도메인 섹션에서 버튼을 클릭하고 검색 도메인을 입력합니다.
인터페이스에 정적 경로가 필요한 경우 Routes 섹션에서 구성합니다.
- 클릭합니다.
검증
화면 왼쪽의 탐색에서 Networking 탭을 선택하고 인터페이스에 들어오고 나가는 트래픽이 있는지 확인합니다.
6.3. nmtui를 사용하여 네트워크 브리지 구성
nmtui 애플리케이션은 NetworkManager에 대한 텍스트 기반 사용자 인터페이스를 제공합니다. nmtui 를 사용하여 그래픽 인터페이스 없이 호스트에서 네트워크 브릿지를 구성할 수 있습니다.
nmtui 에서 :
- 커서 키를 사용하여 이동합니다.
- 버튼을 선택하고 Enter 를 누릅니다.
- Space 를 사용하여 확인란을 선택하고 지웁니다.
- 이전 화면으로 돌아가려면 ESC 를 사용합니다.
사전 요구 사항
- 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
- 이더넷 장치를 브리지 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
프로세스
네트워크 브리지를 구성할 네트워크 장치 이름을 모르는 경우 사용 가능한 장치를 표시합니다.
nmcli device status DEVICE TYPE STATE CONNECTION enp7s0 ethernet unavailable -- enp8s0 ethernet unavailable -- ...
# nmcli device status DEVICE TYPE STATE CONNECTION enp7s0 ethernet unavailable -- enp8s0 ethernet unavailable -- ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow start
nmtui:nmtui
# nmtuiCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
Edit a connection을 선택하고 Enter 를 누릅니다. -
추가를누릅니다. -
네트워크 유형 목록에서
Bridge를 선택하고 Enter 를 누릅니다. 선택 사항: 생성할 NetworkManager 프로필의 이름을 입력합니다.
프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.
-
Device필드에 생성할 브리지 장치 이름을 입력합니다. 생성할 브릿지에 포트를 추가합니다.
-
Slaves목록 옆에 있는Add를 누릅니다. -
브리지에 포트로 추가할 인터페이스 유형을 선택합니다(예:
이더넷). - 선택 사항: 이 브리지 포트에 대해 생성할 NetworkManager 프로필의 이름을 입력합니다.
-
장치의 장치 이름을
장치필드에 입력합니다. OK를 눌러 브리지 설정을 사용하여 창으로 돌아갑니다.그림 6.1. 브릿지에 이더넷 장치를 포트로 추가
- 이 단계를 반복하여 브릿지에 포트를 더 추가합니다.
-
환경에 따라 그에 따라
IPv4 구성 및영역에서 IP 주소 설정을 구성합니다. 이를 위해 다음 영역 옆에 있는 버튼을 누른 후 다음을 선택합니다.IPv6 구성-
브릿지에 IP 주소가 필요하지 않은 경우 비활성화되어 있습니다.
-
DHCP 서버 또는 SLAAC(상태 비저장 주소 자동 구성)가 브리지에 IP 주소를 동적으로 할당하는 경우 자동 입니다.
수동: 네트워크에 고정 IP 주소 설정이 필요한 경우입니다. 이 경우 추가 필드를 채워야 합니다.-
추가 필드를 표시하도록 구성할 프로토콜 옆에
Show를 누릅니다. 주소옆에 있는추가를 클릭하고 CIDR(Classless Inter-Domain Routing) 형식으로 IP 주소와 서브넷 마스크를 입력합니다.서브넷 마스크를 지정하지 않으면 NetworkManager는 IPv4 주소에 대해
/32서브넷 마스크를 설정하고 IPv6 주소에 대해/64를 설정합니다.- 기본 게이트웨이의 주소를 입력합니다.
-
DNS 서버옆에 있는추가를 클릭하고 DNS 서버 주소를 입력합니다. -
검색 도메인옆에 있는추가를 클릭하고 DNS 검색 도메인을 입력합니다.
-
추가 필드를 표시하도록 구성할 프로토콜 옆에
그림 6.2. IP 주소 설정이 없는 브리지 연결 예
-
브릿지에 IP 주소가 필요하지 않은 경우 비활성화되어 있습니다.
-
OK를 눌러 새 연결을 만들고 자동으로 활성화합니다. -
다시키를 눌러 기본 메뉴로 돌아갑니다. -
Quit를 선택하고 Enter 를 눌러nmtui애플리케이션을 종료합니다.
검증
ip유틸리티를 사용하여 특정 브리지의 포트인 이더넷 장치의 링크 상태를 표시합니다.ip link show master bridge0 3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff 4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:9e:f1:ce brd ff:ff:ff:ff:ff:ff# ip link show master bridge0 3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff 4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:9e:f1:ce brd ff:ff:ff:ff:ff:ffCopy to Clipboard Copied! Toggle word wrap Toggle overflow bridge유틸리티를 사용하여 브리지 장치의 포트인 이더넷 장치의 상태를 표시합니다.bridge link show 3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state forwarding priority 32 cost 100 4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state listening priority 32 cost 100 ...
# bridge link show 3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state forwarding priority 32 cost 100 4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state listening priority 32 cost 100 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 이더넷 장치의 상태를 표시하려면
bridge link show dev < ethernet_device_name> 명령을사용합니다.
6.4. nm-connection-editor를 사용하여 네트워크 브리지 구성
그래픽 인터페이스와 함께 Red Hat Enterprise Linux를 사용하는 경우 nm-connection-editor 애플리케이션을 사용하여 네트워크 브리지를 구성할 수 있습니다.
nm-connection-editor 는 브리지에 새 포트만 추가할 수 있습니다. 기존 연결 프로필을 포트로 사용하려면 nmcli 를 사용하여 네트워크 브리지 구성에 설명된 대로 nmcli 유틸리티를 사용하여 브리지 를 만듭니다.
사전 요구 사항
- 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
- 이더넷 장치를 브리지 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
- 팀, 본딩 또는 VLAN 장치를 브리지 포트로 사용하려면 이러한 장치가 아직 구성되지 않았는지 확인합니다.
프로세스
터미널을 열고
nm-connection-editor를 입력합니다.nm-connection-editor
$ nm-connection-editorCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 버튼을 클릭하여 새 연결을 추가합니다.
- 브리지 연결 유형을 선택하고 을 클릭합니다.
브리지 탭에서 다음을 수행합니다.
- 선택 사항: 인터페이스 이름 필드에 브리지 인터페이스의 이름을 설정합니다.
(추가) 버튼을 클릭하여 네트워크 인터페이스에 대한 새 연결 프로필을 만들고 프로필을 브리지에 포트로 추가합니다.
- 인터페이스의 연결 유형을 선택합니다. 예를 들어 유선 연결로 이더넷 을 선택합니다.
- 선택 사항: 포트 장치의 연결 이름을 설정합니다.
- 이더넷 장치에 대한 연결 프로필을 생성하는 경우 이더넷 탭을 열고 장치 필드에서 브릿지에 포트로 추가할 네트워크 인터페이스를 선택합니다. 다른 장치 유형을 선택한 경우 그에 따라 구성합니다.
- 을 클릭합니다.
브리지에 추가할 각 인터페이스에 대해 이전 단계를 반복합니다.
- 선택 사항: STP(Spanning Tree Protocol) 옵션과 같은 추가 브리지 설정을 구성합니다.
IPv4 설정 및 IPv6 설정 탭에서 IP 주소 설정을 구성합니다.
- 이 브리지 장치를 다른 장치의 포트로 사용하려면 Method 필드를 Disabled 로 설정합니다.
- DHCP를 사용하려면 Method 필드를 기본값인 Automatic(DHCP) 으로 둡니다.
고정 IP 설정을 사용하려면 Method 필드를 Manual 로 설정하고 그에 따라 필드를 작성합니다.
- 을 클릭합니다.
-
nm-connection-editor를 종료합니다.
검증
ip유틸리티를 사용하여 특정 브리지의 포트인 이더넷 장치의 링크 상태를 표시합니다.ip link show master bridge0 3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff 4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:9e:f1:ce brd ff:ff:ff:ff:ff:ff# ip link show master bridge0 3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff 4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bridge0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:9e:f1:ce brd ff:ff:ff:ff:ff:ffCopy to Clipboard Copied! Toggle word wrap Toggle overflow bridge유틸리티를 사용하여 브리지 장치에 포트인 이더넷 장치의 상태를 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 이더넷 장치의 상태를 표시하려면
bridge link show dev ethernet_device_name명령을 사용합니다.
6.5. nmstatectl을 사용하여 네트워크 브리지 구성
nmstatectl 유틸리티를 사용하여 Nmstate API를 통해 네트워크 브리지를 구성합니다. Nmstate API는 구성을 설정한 후 결과가 구성 파일과 일치하는지 확인합니다. 문제가 발생하면 nmstatectl 이 변경 사항을 자동으로 롤백하여 시스템을 잘못된 상태로 두지 않습니다.
환경에 따라 YAML 파일을 적절하게 조정합니다. 예를 들어 브리지에서 이더넷 어댑터와 다른 장치를 사용하려면 브릿지에서 사용하는 포트의 base-iface 특성 및 유형 속성을 조정합니다.
사전 요구 사항
- 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
- 이더넷 장치를 브리지의 포트로 사용하려면 물리적 또는 가상 이더넷 장치를 서버에 설치해야 합니다.
-
팀, 본딩 또는 VLAN 장치를 브리지의 포트로 사용하고,
포트목록에 인터페이스 이름을 설정하고, 해당 인터페이스를 정의합니다. -
nmstate패키지가 설치되어 있습니다.
프로세스
다음 콘텐츠를 사용하여 YAML 파일(예:
~/create-bridge.yml)을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 설정은 다음 설정을 사용하여 네트워크 브리지를 정의합니다.
-
브리지의 네트워크 인터페이스:
enp1s0및enp7s0 - 스패닝 트리 프로토콜(STP): 활성화됨
-
정적 IPv4 주소:
192.0.2.1및/24서브넷 마스크 -
정적 IPv6 주소:
2001:db8:1::1및/64서브넷 마스크 -
IPv4 기본 게이트웨이:
192.0.2.254 -
IPv6 기본 게이트웨이:
2001:db8:1::fffe -
IPv4 DNS 서버:
192.0.2.200 -
IPv6 DNS 서버:
2001:db8:1::ffbb -
DNS 검색 도메인:
example.com
-
브리지의 네트워크 인터페이스:
시스템에 설정을 적용합니다.
nmstatectl apply ~/create-bridge.yml
# nmstatectl apply ~/create-bridge.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
장치 및 연결의 상태를 표시합니다.
nmcli device status DEVICE TYPE STATE CONNECTION bridge0 bridge connected bridge0
# nmcli device status DEVICE TYPE STATE CONNECTION bridge0 bridge connected bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 프로필의 모든 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow YAML 형식으로 연결 설정을 표시합니다.
nmstatectl show bridge0
# nmstatectl show bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
6.6. 네트워크 RHEL 시스템 역할을 사용하여 네트워크 브릿지 구성
네트워크 브리지를 생성하여 OSI(Open Systems Interconnection) 모델의 계층 2에 여러 네트워크를 연결할 수 있습니다. 브릿지를 구성하려면 NetworkManager에 연결 프로필을 만듭니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 브릿지를 구성할 수 있으며 브리지의 상위 장치에 대한 연결 프로필이 없으면 역할도 생성할 수 있습니다.
IP 주소, 게이트웨이 및 DNS 설정을 브리지에 할당하려는 경우 포트가 아닌 브리지에서 구성합니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다. - 두 개 이상의 물리적 또는 가상 네트워크 장치가 서버에 설치됩니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
type: <profile_type>- 생성할 프로필 유형을 설정합니다. 예제 플레이북은 세 가지 연결 프로필을 생성합니다. 하나는 브리지용이고 2개는 이더넷 장치용입니다.
dhcp4: yes- DHCP, PPP 또는 유사한 서비스에서 자동 IPv4 주소 할당을 활성화합니다.
auto6: yes-
IPv6 자동 구성을 활성화합니다. 기본적으로 NetworkManager는 라우터 알림을 사용합니다. 라우터에서
관리플래그를 알릴 경우 NetworkManager는 DHCPv6 서버에서 IPv6 주소 및 접두사를 요청합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
특정 브리지의 포트인 이더넷 장치의 링크 상태를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 브리지 장치의 포트인 이더넷 장치의 상태를 표시합니다.
ansible managed-node-01.example.com -m command -a 'bridge link show' managed-node-01.example.com | CHANGED | rc=0 >> 3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state forwarding priority 32 cost 100 4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state listening priority 32 cost 100
# ansible managed-node-01.example.com -m command -a 'bridge link show' managed-node-01.example.com | CHANGED | rc=0 >> 3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state forwarding priority 32 cost 100 4: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master bridge0 state listening priority 32 cost 100Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7장. IPsec VPN 설정
VPN(가상 사설 네트워크)은 인터넷을 통해 로컬 네트워크에 연결하는 방법입니다. Libreswan 에서 제공하는 IPsec 은 VPN을 생성하는 기본 방법입니다. Libreswan 은 VPN을 위한 사용자 공간 IPsec 구현입니다. VPN은 인터넷과 같은 중간 네트워크에서 터널을 설정하여 LAN과 다른 LAN 간의 통신을 활성화합니다. 보안상의 이유로 VPN 터널은 항상 인증 및 암호화를 사용합니다. 암호화 작업의 경우 Libreswan 은 NSS 라이브러리를 사용합니다.
7.1. IPsec VPN 구현으로 Libreswan
RHEL에서는 Libreswan 애플리케이션에서 지원하는 IPsec 프로토콜을 사용하여 VPN(Virtual Private Network)을 구성할 수 있습니다. Libreswan은 Openswan 애플리케이션이 계속되고 있으며 Openswan 설명서의 많은 예제는 Libreswan과 상호 교환 할 수 있습니다.
VPN의 IPsec 프로토콜은IKE(Internet Key Exchange) 프로토콜을 사용하여 구성됩니다. IPsec과 IKE라는 용어는 서로 바꿔 사용할 수 있습니다. IPsec VPN은 IKE VPN, IKEv2 VPN, XAUTH VPN, Cisco VPN 또는 IKE/IPsec VPN이라고도 합니다. Layer 2 tunneling Protocol(L2TP)을 사용하는 IPsec VPN의 변형은 일반적으로 선택적 리포지토리에서 제공하는 xl2tpd 패키지가 필요한 L2TP/IPsec VPN이라고 합니다.
Libreswan은 오픈 소스 사용자 공간 IKE 구현입니다. IKE v1 및 v2는 사용자 수준 데몬으로 구현됩니다. IKE 프로토콜도 암호화됩니다. IPsec 프로토콜은 Linux 커널에 의해 구현되며 Libreswan은 VPN 터널 구성을 추가하고 제거하도록 커널을 구성합니다.
IKE 프로토콜은 UDP 포트 500 및 4500을 사용합니다. IPsec 프로토콜은 다음 두 프로토콜로 구성됩니다.
- 프로토콜 번호가 50인 캡슐화된 ESP(Security Payload)입니다.
- 프로토콜 번호 51이 있는 AH(인증된 헤더)입니다.
AH 프로토콜은 사용하지 않는 것이 좋습니다. AH 사용자는 null 암호화로 ESP로 마이그레이션하는 것이 좋습니다.
IPsec 프로토콜은 두 가지 작동 모드를 제공합니다.
- 터널 모드(기본값)
- 전송 모드
IKE 없이 IPsec을 사용하여 커널을 구성할 수 있습니다. 이를 수동 키링 이라고 합니다. ip xfrm 명령을 사용하여 수동 인증도 구성할 수 있지만 보안상의 이유로 이 방법은 권장되지 않습니다. Libreswan은 Netlink 인터페이스를 사용하여 Linux 커널과 통신합니다. 커널은 패킷 암호화 및 암호 해독을 수행합니다.
Libreswan은 NSS(Network Security Services) 암호화 라이브러리를 사용합니다. NSS는FIPS( Federal Information Processing Standard ) 발행 140-2와 함께 사용하도록 인증되었습니다.
Libreswan 및 Linux 커널에서 구현하는 IKE/IPsec VPN은 RHEL에서 사용하는 데 권장되는 유일한 VPN 기술입니다. 이렇게하는 위험을 이해하지 않고 다른 VPN 기술을 사용하지 마십시오.
RHEL에서 Libreswan은 기본적으로 시스템 전체 암호화 정책을 따릅니다. 이렇게 하면 Libreswan이 IKEv2를 기본 프로토콜로 포함한 현재 위협 모델에 대한 보안 설정을 사용할 수 있습니다. 자세한 내용은 시스템 전체 암호화 정책 사용을 참조하십시오.
Libreswan은 IKE/IPsec이 피어 간 프로토콜이므로 "소스" 및 "대상" 또는 "서버" 및 "클라이언트"라는 용어를 사용하지 않습니다. 대신 "left" 및 "right"라는 용어를 사용하여 엔드 포인트(호스트)를 나타냅니다. 또한 대부분의 경우 두 끝점 모두에서 동일한 구성을 사용할 수 있습니다. 그러나 관리자는 일반적으로 로컬 호스트에 대해 항상 "left"를 사용하고 원격 호스트에 대해 "오른쪽"을 사용하도록 선택합니다.
leftid 및 rightid 옵션은 인증 프로세스에서 해당 호스트를 식별하는 역할을 합니다. 자세한 내용은 ipsec.conf(5) 도움말 페이지를 참조하십시오.
7.2. Libreswan의 인증 방법
Libreswan은 각각 다른 시나리오에 맞는 여러 인증 방법을 지원합니다.
Pre-Shared 키(PSK)
PSK( Pre-Shared Key )는 가장 간단한 인증 방법입니다. 보안상의 이유로, 64개의 임의 문자보다 짧은 PSK를 사용하지 마십시오. FIPS 모드에서 PSK는 사용된 무결성 알고리즘에 따라 최소 요구 사항을 준수해야 합니다. authby=secret 연결을 사용하여 PSK를 설정할 수 있습니다.
원시 RSA 키
원시 RSA 키는 일반적으로 정적 host-host 또는 subnet-to-subnet IPsec 구성에 사용됩니다. 각 호스트는 다른 모든 호스트의 공개 RSA 키를 사용하여 수동으로 구성하고 Libreswan은 각 호스트 쌍 간에 IPsec 터널을 설정합니다. 이 방법은 많은 호스트에 대해 잘 확장되지 않습니다.
ipsec newhostkey 명령을 사용하여 호스트에서 원시 RSA 키를 생성할 수 있습니다. ipsec showhostkey 명령을 사용하여 생성된 키를 나열할 수 있습니다. CKA ID 키를 사용하는 연결 구성에는 leftrsasigkey= 행이 필요합니다. 원시 RSA 키에 authby=rsasig 연결 옵션을 사용합니다.
X.509 인증서
X.509 인증서 는 일반적으로 공통 IPsec 게이트웨이에 연결된 호스트로 대규모 배포에 사용됩니다. 중앙 인증 기관 (CA)은 호스트 또는 사용자의 RSA 인증서에 서명합니다. 이 중앙 CA는 개별 호스트 또는 사용자의 취소를 포함하여 신뢰 중계를 담당합니다.
예를 들어 openssl 명령 및 NSS certutil 명령을 사용하여 X.509 인증서를 생성할 수 있습니다. Libreswan은 왼쪽cert= 구성 옵션의 인증서 닉네임을 사용하여 NSS 데이터베이스에서 사용자 인증서를 읽기 때문에 인증서를 생성할 때 닉네임을 제공합니다.
사용자 정의 CA 인증서를 사용하는 경우 NSS(Network Security Services) 데이터베이스로 가져와야 합니다. ipsec import 명령을 사용하여 PKCS #12 형식의 인증서를 Libreswan NSS 데이터베이스로 가져올 수 있습니다.
Libreswan에는 RFC 4945의 섹션 3.1 에 설명된 대로 모든 피어 인증서에 대한 SAN(주체 대체 이름)으로서의 인터넷 키 교환(IKE) 피어 ID가 필요합니다. require-id-on-certificate=no 연결 옵션을 설정하여 이 검사를 비활성화하면 시스템이 중간자 공격에 취약해질 수 있습니다.
SHA-1 및 SHA-2의 RSA를 사용하여 X.509 인증서를 기반으로 하는 인증에 authby=rsasig 연결 옵션을 사용합니다. authby= 를 ecdsa 및 RSA Probabilistic Signature Scheme (RSASSA-PSS) 디지털 서명으로 설정하여 ECDSA 디지털 서명에 대해 추가로 제한할 수 있습니다. authby=rsa-sha2. 기본값은 authby=rsasig,ecdsa 입니다.
인증서 및 authby= 서명 방법이 일치해야 합니다. 이로 인해 상호 운용성이 증가하고 하나의 디지털 서명 시스템에서 인증을 유지합니다.
NULL 인증
NULL 인증은 인증없이 메시 암호화를 얻는 데 사용됩니다. 수동 공격으로부터 보호하지만 활성 공격으로부터 보호하지는 않습니다. 그러나 IKEv2에서는 비대칭 인증 방법을 허용하므로 인터넷 규모의 opportunistic IPsec에도 NULL 인증을 사용할 수 있습니다. 이 모델에서 클라이언트는 서버를 인증하지만 서버는 클라이언트를 인증하지 않습니다. 이 모델은 TLS를 사용하는 보안 웹 사이트와 유사합니다. NULL 인증을 위해 authby=null 을 사용합니다.
발전기 컴퓨터로부터 보호
앞서 언급한 인증 방법 외에도 PPK( Post-quantum Pre-shared Key ) 방법을 사용하여 유체 컴퓨터의 가능한 공격으로부터 보호할 수 있습니다. 개별 클라이언트 또는 클라이언트 그룹은 대역 외 사전 공유 키에 해당하는 PPK ID를 지정하여 자체 PPK를 사용할 수 있습니다.
IKEv1을 사전 공유 키와 함께 사용하면 정크 공격자로부터 보호됩니다. IKEv2의 전환은 기본적으로 이 보호 기능을 제공하지 않습니다. Libreswan은 압 공격으로부터 IKEv2 연결을 보호하기 위해 Post-quantum Pre-shared Key (PPK)를 사용하여 IKEv2 연결을 보호합니다.
선택적 PPK 지원을 활성화하려면 연결 정의에 ppk=yes 를 추가합니다. PPK를 요구하려면 ppk=insist 를 추가합니다. 그런 다음, 각 클라이언트에 범위를 벗어난 비밀 값이 있는 PPK ID를 제공할 수 있습니다(및 더 바람직하게 압축하는 경우). PPK는 사전 단어를 기반으로하지 않은 무작위성에서 매우 강해야합니다. PPK ID 및 PPK 데이터는 ipsec.secrets 파일에 저장됩니다. 예를 들면 다음과 같습니다.
@west @east : PPKS "user1" "thestringismeanttobearandomstr"
@west @east : PPKS "user1" "thestringismeanttobearandomstr"
PPKS 옵션은 정적 PPK를 나타냅니다. 이 실험적 기능은 일회성패드 기반 동적 PPK를 사용합니다. 각 연결에 따라 일회성패드의 새로운 부분이 PPK로 사용됩니다. 사용하는 경우 파일 내의 동적 PPK 부분을 0으로 덮어 쓰기하여 재사용을 방지합니다. 더 이상 일회성 패딩 자료가 남아 있지 않으면 연결이 실패합니다. 자세한 내용은 ipsec.secrets(5) 도움말 페이지를 참조하십시오.
동적 PPK의 구현은 지원되지 않는 기술 프리뷰로 제공됩니다. 주의해서 사용하십시오.
7.3. Libreswan 설치
Libreswan IPsec/IKE 구현을 통해 VPN을 설정하려면 해당 패키지를 설치하고 ipsec 서비스를 시작하고 방화벽에서 서비스를 허용해야 합니다.
사전 요구 사항
-
AppStream리포지토리가 활성화되어 있어야 합니다.
프로세스
libreswan패키지를 설치합니다.yum install libreswan
# yum install libreswanCopy to Clipboard Copied! Toggle word wrap Toggle overflow Libreswan을 다시 설치하는 경우 이전 데이터베이스 파일을 제거하고 새 데이터베이스를 생성합니다.
systemctl stop ipsec rm /etc/ipsec.d/*db ipsec initnss
# systemctl stop ipsec # rm /etc/ipsec.d/*db # ipsec initnssCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipsec서비스를 시작하고 부팅 시 서비스를 자동으로 시작합니다.systemctl enable ipsec --now
# systemctl enable ipsec --nowCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipsec서비스를 추가하여 IKE, ESP 및 AH 프로토콜에 500 및 4500/UDP 포트를 허용하도록 방화벽을 구성합니다.firewall-cmd --add-service="ipsec" firewall-cmd --runtime-to-permanent
# firewall-cmd --add-service="ipsec" # firewall-cmd --runtime-to-permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.4. 호스트 대 호스트 VPN 생성
원시 RSA 키의 인증을 사용하여 왼쪽 및 오른쪽 이라는 두 호스트 간에 host-to-host IPsec VPN을 생성하도록 Libreswan을 구성할 수 있습니다.
사전 요구 사항
-
Libreswan이 설치되고
ipsec서비스가 각 노드에서 시작됩니다.
프로세스
각 호스트에 원시 RSA 키 쌍을 생성합니다.
ipsec newhostkey
# ipsec newhostkeyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 단계에서 생성된 키의
ckaid가 반환되었습니다. 왼쪽에서 다음 명령과 함께 해당ckaid를 사용합니다. 예를 들면 다음과 같습니다.ipsec showhostkey --left --ckaid 2d3ea57b61c9419dfd6cf43a1eb6cb306c0e857d
# ipsec showhostkey --left --ckaid 2d3ea57b61c9419dfd6cf43a1eb6cb306c0e857dCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 명령의 출력에서 구성에 필요한
leftrsasigkey=행을 생성했습니다. 두 번째 호스트에서 동일한 작업을 수행합니다(오른쪽).ipsec showhostkey --right --ckaid a9e1f6ce9ecd3608c24e8f701318383f41798f03
# ipsec showhostkey --right --ckaid a9e1f6ce9ecd3608c24e8f701318383f41798f03Copy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/ipsec.d/디렉터리에 새my_host-to-host.conf파일을 만듭니다. 이전 단계에서ipsec showhostkey명령의 출력에서 RSA 호스트 키를 새 파일로 작성합니다. 예를 들면 다음과 같습니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 키를 가져온 후
ipsec서비스를 다시 시작하십시오.systemctl restart ipsec
# systemctl restart ipsecCopy to Clipboard Copied! Toggle word wrap Toggle overflow 연결을 로드합니다.
ipsec auto --add mytunnel
# ipsec auto --add mytunnelCopy to Clipboard Copied! Toggle word wrap Toggle overflow 터널을 설정합니다.
ipsec auto --up mytunnel
# ipsec auto --up mytunnelCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipsec서비스가 시작될 때 터널을 자동으로 시작하려면 연결 정의에 다음 행을 추가합니다.auto=start
auto=startCopy to Clipboard Copied! Toggle word wrap Toggle overflow - DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.
7.5. 사이트 간 VPN 구성
두 개의 네트워크에 가입하여 사이트 간 IPsec VPN을 생성하려면 두 호스트 간의 IPsec 터널이 생성됩니다. 따라서 호스트는 하나 이상의 서브넷의 트래픽이 통과할 수 있도록 구성된 엔드포인트 역할을 합니다. 따라서 호스트를 네트워크의 원격 부분에 대한 게이트웨이로 간주할 수 있습니다.
사이트 간 VPN의 구성은 하나 이상의 네트워크 또는 서브넷을 구성 파일에 지정해야 한다는 점에서 호스트 간 VPN과 다릅니다.
사전 요구 사항
- 호스트 간 VPN 이 이미 구성되어 있습니다.
프로세스
호스트 간 VPN의 구성으로 파일을 새 파일에 복사합니다. 예를 들면 다음과 같습니다.
cp /etc/ipsec.d/my_host-to-host.conf /etc/ipsec.d/my_site-to-site.conf
# cp /etc/ipsec.d/my_host-to-host.conf /etc/ipsec.d/my_site-to-site.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 단계에서 만든 파일에 서브넷 구성을 추가합니다. 예를 들면 다음과 같습니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.
7.6. 원격 액세스 VPN 구성
로드 전사는 모바일 클라이언트 및 동적으로 할당된 IP 주소가 있는 사용자를 여행하고 있습니다. 모바일 클라이언트는 X.509 인증서를 사용하여 인증합니다.
다음 예제에서는 IKEv2 에 대한 구성을 보여주며 IKEv1 XAUTH 프로토콜 사용을 방지합니다.
서버에서 다음을 수행합니다.
모바일 클라이언트에서 로드 해커의 장치는 이전 구성의 약간의 변형을 사용합니다.
DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.
7.7. 메시 VPN 구성
임의의 VPN이라고도 하는 메시 VPN 네트워크는 모든 노드가 IPsec을 사용하여 통신하는 네트워크입니다. 이 설정을 사용하면 IPsec을 사용할 수 없는 노드에 대한 예외가 허용됩니다. 메시 VPN 네트워크는 두 가지 방법으로 구성할 수 있습니다.
- IPsec을 사용하려면 다음을 수행합니다.
- IPsec을 선호하지만 대체로 일반 텍스트 통신이 허용됩니다.
노드 간 인증은 X.509 인증서 또는 DNSSEC(DNS Security Extensions)를 기반으로 할 수 있습니다.
이러한 연결은 right=%opportunisticgroup 항목에 정의된 opportunistic IPsec 을 제외하고 일반 Libreswan 구성이므로 opportunistic IPsec에 일반 IKEv2 인증 방법을 사용할 수 있습니다. 일반적인 인증 방법은 일반적으로 공유 CA(인증 기관)를 사용하여 X.509 인증서를 기반으로 호스트가 서로 인증하는 것입니다. 클라우드 배포에서는 일반적으로 표준 절차의 일부로 클라우드에 있는 각 노드의 인증서를 발급합니다.
손상된 호스트 하나로 인해 그룹 PSK도 손상될 수 있으므로 PreSharedKey(PSK) 인증을 사용하지 마십시오.
NULL 인증을 사용하여 수동 공격자로부터만 보호하는 인증 없이 노드 간에 암호화를 배포할 수 있습니다.
다음 절차에서는 X.509 인증서를 사용합니다. Dogtag Certificate System과 같은 모든 종류의 CA 관리 시스템을 사용하여 이러한 인증서를 생성할 수 있습니다. Dogtag는 각 노드의 인증서를 개인 키, 노드 인증서 및 다른 노드의 X.509 인증서의 유효성을 검사하는 데 사용되는 루트 CA 인증서가 포함된 PKCS #12 형식(.p12 파일)에서 사용할 수 있다고 가정합니다.
각 노드에는 X.509 인증서를 제외하고 동일한 구성이 있습니다. 이를 통해 네트워크의 기존 노드를 재구성하지 않고 새 노드를 추가할 수 있습니다. PKCS #12 파일에는 친숙한 이름을 참조하는 구성 파일이 모든 노드에 대해 동일할 수 있도록 "노드"라는 이름을 사용하는 "친호한 이름"이 필요합니다.
사전 요구 사항
-
Libreswan이 설치되고
ipsec서비스가 각 노드에서 시작됩니다. 새 NSS 데이터베이스가 초기화됩니다.
이전 NSS 데이터베이스가 이미 있는 경우 이전 데이터베이스 파일을 제거하십시오.
systemctl stop ipsec rm /etc/ipsec.d/*db
# systemctl stop ipsec # rm /etc/ipsec.d/*dbCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 사용하여 새 데이터베이스를 초기화할 수 있습니다.
ipsec initnss
# ipsec initnssCopy to Clipboard Copied! Toggle word wrap Toggle overflow
절차
각 노드에서 PKCS #12 파일을 가져옵니다. 이 단계에서는 PKCS #12 파일을 생성하는 데 사용되는 암호가 필요합니다.
ipsec import nodeXXX.p12
# ipsec import nodeXXX.p12Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPsec 필수(개인), IPsec선택 사항(private-or-clear) 및(clear) 프로필에 대한 다음 세 가지 연결 정의를 생성합니다.No IPsecCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
auto변수에는 몇 가지 옵션이 있습니다.opportunistic IPsec과 함께
온 디맨드연결 옵션을 사용하여 IPsec 연결을 시작하거나 항상 활성화할 필요가 없는 명시적으로 구성된 연결에 사용할 수 있습니다. 이 옵션은 커널에 트랩 XFRM 정책을 설정하여 해당 정책과 일치하는 첫 번째 패킷을 수신할 때 IPsec 연결을 시작할 수 있습니다.다음 옵션을 사용하여 Opportunistic IPsec 또는 명시적으로 구성된 연결을 사용하는지 여부에 관계없이 IPsec 연결을 효과적으로 구성하고 관리할 수 있습니다.
추가옵션-
연결 구성을 로드하고 원격 시작에 응답하기 위해 준비합니다. 그러나 연결은 로컬 측에서 자동으로 시작되지 않습니다.
ipsec auto --up명령을 사용하여 IPsec 연결을 수동으로 시작할 수 있습니다. 시작옵션- 연결 구성을 로드하고 원격 시작에 응답하기 위해 준비합니다. 또한 원격 피어에 대한 연결을 즉시 시작합니다. 영구 및 항상 활성 연결에 이 옵션을 사용할 수 있습니다.
- 2
leftid및rightid변수는 IPsec 터널 연결의 오른쪽과 왼쪽 채널을 식별합니다. 이러한 변수를 사용하여 구성된 경우 로컬 IP 주소의 값 또는 로컬 인증서의 제목 DN을 가져올 수 있습니다.- 3
leftcert변수는 사용하려는 NSS 데이터베이스의 닉네임을 정의합니다.
네트워크의 IP 주소를 해당 카테고리에 추가합니다. 예를 들어 모든 노드가
10.15.0.0/16네트워크에 있고 모든 노드가 IPsec 암호화를 사용해야 하는 경우 다음을 수행합니다.echo "10.15.0.0/16" >> /etc/ipsec.d/policies/private
# echo "10.15.0.0/16" >> /etc/ipsec.d/policies/privateCopy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 노드(예:
10.15.34.0/24)가 IPsec과 함께 작동하도록 허용하려면 해당 노드를 private-or-clear 그룹에 추가합니다.echo "10.15.34.0/24" >> /etc/ipsec.d/policies/private-or-clear
# echo "10.15.34.0/24" >> /etc/ipsec.d/policies/private-or-clearCopy to Clipboard Copied! Toggle word wrap Toggle overflow IPsec을 clear 그룹으로 할 수 없는 호스트(예:
10.15.1.2)를 정의하려면 다음을 사용합니다.echo "10.15.1.2/32" >> /etc/ipsec.d/policies/clear
# echo "10.15.1.2/32" >> /etc/ipsec.d/policies/clearCopy to Clipboard Copied! Toggle word wrap Toggle overflow 각 새 노드의 템플릿에서
/etc/ipsec.d/policies디렉터리에 파일을 생성하거나 Puppet 또는 Ansible을 사용하여 파일을 프로비저닝할 수 있습니다.모든 노드에는 예외 또는 트래픽 흐름 예상과 동일한 목록이 있습니다. 따라서 IPsec이 필요하고 다른 노드는 IPsec을 사용할 수 없기 때문에 두 개의 노드가 통신할 수 없습니다.
노드를 재시작하여 구성된 메시에 추가합니다.
systemctl restart ipsec
# systemctl restart ipsecCopy to Clipboard Copied! Toggle word wrap Toggle overflow - DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.
검증
ping명령을 사용하여 IPsec 터널을 엽니다.ping <nodeYYY>
# ping <nodeYYY>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 가져온 인증서를 사용하여 NSS 데이터베이스를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 노드에서 열려 있는 터널을 확인합니다.
ipsec trafficstatus 006 #2: "private#10.15.0.0/16"[1] ...<nodeYYY>, type=ESP, add_time=1691399301, inBytes=512, outBytes=512, maxBytes=2^63B, id='C=US, ST=NC, O=Example Organization, CN=east'
# ipsec trafficstatus 006 #2: "private#10.15.0.0/16"[1] ...<nodeYYY>, type=ESP, add_time=1691399301, inBytes=512, outBytes=512, maxBytes=2^63B, id='C=US, ST=NC, O=Example Organization, CN=east'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.8. FIPS 호환 IPsec VPN 배포
Libreswan을 사용하여 FIPS 호환 IPsec VPN 솔루션을 배포할 수 있습니다. 이를 위해 사용 가능한 암호화 알고리즘과 FIPS 모드에서 Libreswan에 대해 비활성화된 암호화 알고리즘을 식별할 수 있습니다.
사전 요구 사항
-
AppStream리포지토리가 활성화되어 있어야 합니다.
프로세스
libreswan패키지를 설치합니다.yum install libreswan
# yum install libreswanCopy to Clipboard Copied! Toggle word wrap Toggle overflow Libreswan을 다시 설치하는 경우 이전 NSS 데이터베이스를 제거하십시오.
systemctl stop ipsec rm /etc/ipsec.d/*db
# systemctl stop ipsec # rm /etc/ipsec.d/*dbCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipsec서비스를 시작하고 부팅 시 서비스를 자동으로 시작합니다.systemctl enable ipsec --now
# systemctl enable ipsec --nowCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipsec서비스를 추가하여 IKE, ESP 및 AH 프로토콜에500및4500UDP 포트를 허용하도록 방화벽을 구성합니다.firewall-cmd --add-service="ipsec" firewall-cmd --runtime-to-permanent
# firewall-cmd --add-service="ipsec" # firewall-cmd --runtime-to-permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 시스템을 FIPS 모드로 전환합니다.
fips-mode-setup --enable
# fips-mode-setup --enableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 커널이 FIPS 모드로 전환되도록 시스템을 다시 시작하십시오.
reboot
# rebootCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
Libreswan이 FIPS 모드에서 실행 중인지 확인합니다.
ipsec whack --fipsstatus 000 FIPS mode enabled
# ipsec whack --fipsstatus 000 FIPS mode enabledCopy to Clipboard Copied! Toggle word wrap Toggle overflow 또는
systemd저널의ipsec유닛 항목을 확인합니다.journalctl -u ipsec ... Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Product: YES Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Kernel: YES Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Mode: YES
$ journalctl -u ipsec ... Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Product: YES Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Kernel: YES Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Mode: YESCopy to Clipboard Copied! Toggle word wrap Toggle overflow FIPS 모드에서 사용 가능한 알고리즘을 보려면 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow FIPS 모드에서 비활성화된 알고리즘을 쿼리하려면 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow FIPS 모드에서 허용되는 모든 알고리즘 및 암호를 나열하려면 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.9. 암호로 IPsec NSS 데이터베이스 보호
기본적으로 IPsec 서비스는 처음 시작하는 동안 비어 있는 암호를 사용하여 NSS(Network Security Services) 데이터베이스를 생성합니다. 보안을 강화하기 위해 암호 보호를 추가할 수 있습니다.
이전 RHEL 릴리스에서는 NSS 암호화 라이브러리가 FIPS 140-2 수준 2 표준에 대해 인증되었기 때문에 FIPS 140-2 요구 사항을 충족하기 위해 IPsec NSS 데이터베이스를 암호로 보호해야 했습니다. RHEL 8에서는 NIST에서 이 표준의 수준 1에 NSS를 인증했으며 이 상태에는 데이터베이스에 대한 암호 보호가 필요하지 않습니다.
사전 요구 사항
-
/etc/ipsec.d/디렉터리에는 NSS 데이터베이스 파일이 포함되어 있습니다.
프로세스
Libreswan에 대한
NSS데이터베이스에 대한 암호 보호를 활성화합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 단계에서 설정한 암호가 포함된
/etc/ipsec.d/nsspassword파일을 만듭니다. 예를 들면 다음과 같습니다.cat /etc/ipsec.d/nsspassword NSS Certificate DB:_<password>_
# cat /etc/ipsec.d/nsspassword NSS Certificate DB:_<password>_Copy to Clipboard Copied! Toggle word wrap Toggle overflow nsspassword파일은 다음 구문을 사용합니다.<token_1>:<password1> <token_2>:<password2>
<token_1>:<password1> <token_2>:<password2>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본 NSS 소프트웨어 토큰은
NSS Certificate DB입니다. 시스템이 FIPS 모드에서 실행 중인 경우 토큰 이름은NSS FIPS 140-2 Certificate DB입니다.시나리오에 따라
nsspassword파일을 완료한 후ipsec서비스를 시작하거나 다시 시작합니다.systemctl restart ipsec
# systemctl restart ipsecCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
NSS 데이터베이스에 비어 있지 않은 암호를 추가한 후
ipsec서비스가 실행 중인지 확인합니다.systemctl status ipsec ● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disable> Active: active (running)...
# systemctl status ipsec ● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disable> Active: active (running)...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 저널로그에 초기화에 성공했는지 확인하는 항목이 포함되어 있는지 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.10. TCP를 사용하도록 IPsec VPN 구성
Libreswan은 RFC 8229에 설명된 대로 IKE 및 IPsec 패킷을 TCP 캡슐화를 지원합니다. 이 기능을 사용하면 UDP를 통해 전송되는 트래픽을 방지하고 ESB(Security Payload)를 캡슐화하는 네트워크에서 IPsec VPN을 설정할 수 있습니다. TCP를 대체 또는 기본 VPN 전송 프로토콜로 사용하도록 VPN 서버와 클라이언트를 구성할 수 있습니다. TCP 캡슐화는 성능 비용이 늘어날 수 있으므로 시나리오에서 UDP가 영구적으로 차단된 경우에만 TCP를 기본 VPN 프로토콜로 사용하십시오.
사전 요구 사항
- 원격 액세스 VPN이 이미 구성되어 있습니다.
프로세스
config setup섹션의/etc/ipsec.conf파일에 다음 옵션을 추가합니다.listen-tcp=yes
listen-tcp=yesCopy to Clipboard Copied! Toggle word wrap Toggle overflow UDP를 처음 시도하지 못하면 TCP 캡슐화를 대체 옵션으로 사용하려면 클라이언트의 연결 정의에 다음 두 옵션을 추가합니다.
enable-tcp=fallback tcp-remoteport=4500
enable-tcp=fallback tcp-remoteport=4500Copy to Clipboard Copied! Toggle word wrap Toggle overflow 또는 UDP가 영구적으로 차단되었음을 알고 있는 경우 클라이언트 연결 구성에서 다음 옵션을 사용합니다.
enable-tcp=yes tcp-remoteport=4500
enable-tcp=yes tcp-remoteport=4500Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.11. IPsec 연결을 가속화하도록 ESP 하드웨어 오프로드의 자동 감지 및 사용 구성
ESP(Security Payload)를 하드웨어에 오프로드하면 이더넷을 통해 IPsec 연결이 빨라집니다. 기본적으로 Libreswan은 하드웨어가 이 기능을 지원하는지 감지하여 ESP 하드웨어 오프로드를 활성화합니다. 기능이 비활성화되었거나 명시적으로 활성화된 경우 자동 탐지로 다시 전환할 수 있습니다.
사전 요구 사항
- 네트워크 카드는 ESP 하드웨어 오프로드를 지원합니다.
- 네트워크 드라이버는 ESP 하드웨어 오프로드를 지원합니다.
- IPsec 연결이 구성되고 작동합니다.
프로세스
-
ESP 하드웨어 오프로드 지원을 자동으로 감지해야 하는 연결의
/etc/ipsec.d/디렉터리에 있는 Libreswan 구성 파일을 편집합니다. -
nic-offload매개변수가 연결의 설정에 설정되지 않았는지 확인합니다. nic-offload를 제거한 경우ipsec서비스를 다시 시작하십시오.systemctl restart ipsec
# systemctl restart ipsecCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
IPsec 연결이 사용하는 이더넷 장치의
tx_ipsec및rx_ipsec카운터를 표시합니다.ethtool -S enp1s0 | grep -E "_ipsec" tx_ipsec: 10 rx_ipsec: 10# ethtool -S enp1s0 | grep -E "_ipsec" tx_ipsec: 10 rx_ipsec: 10Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPsec 터널을 통해 트래픽을 전송합니다. 예를 들어 원격 IP 주소를 ping합니다.
ping -c 5 remote_ip_address
# ping -c 5 remote_ip_addressCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이더넷 장치의
tx_ipsec및rx_ipsec카운터를 다시 표시합니다.ethtool -S enp1s0 | grep -E "_ipsec" tx_ipsec: 15 rx_ipsec: 15# ethtool -S enp1s0 | grep -E "_ipsec" tx_ipsec: 15 rx_ipsec: 15Copy to Clipboard Copied! Toggle word wrap Toggle overflow 카운터 값이 증가하면 ESP 하드웨어 오프로드가 작동합니다.
7.12. IPsec 연결을 가속화하도록 본딩에 ESP 하드웨어 오프로드 구성
하드웨어로 ESB(Security Payload)를 오프로드하면 IPsec 연결 속도가 빨라집니다. 네트워크 본딩을 장애 조치의 이유로 사용하는 경우 ESP 하드웨어 오프로드를 구성하는 절차와 일반 이더넷 장치를 사용하는 절차가 다릅니다. 예를 들어 이 시나리오에서는 본딩에 대한 오프로드 지원을 활성화하고 커널은 설정을 본딩 포트에 적용합니다.
사전 요구 사항
-
본딩의 모든 네트워크 카드는 ESP 하드웨어 오프로드를 지원합니다.
ethtool -k < interface_name > | grep "esp-hw-offload"명령을 사용하여 각 본딩 포트가 이 기능을 지원하는지 확인합니다. - 본딩이 구성되고 작동합니다.
-
본딩에서는
active-backup모드를 사용합니다. 본딩 드라이버는 이 기능에 대해 다른 모드를 지원하지 않습니다. - IPsec 연결이 구성되고 작동합니다.
프로세스
네트워크 본딩에서 ESP 하드웨어 오프로드 지원을 활성화합니다.
nmcli connection modify bond0 ethtool.feature-esp-hw-offload on
# nmcli connection modify bond0 ethtool.feature-esp-hw-offload onCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령을 사용하면
bond0연결에서 ESP 하드웨어 오프로드를 지원할 수 있습니다.bond0연결을 다시 활성화합니다.nmcli connection up bond0
# nmcli connection up bond0Copy to Clipboard Copied! Toggle word wrap Toggle overflow ESP 하드웨어 오프로드를 사용해야 하는 연결의
/etc/ipsec.d/디렉터리에서 Libreswan 구성 파일을 편집하고nic-offload=yes문을 연결 항목에 추가합니다.conn example ... nic-offload=yesconn example ... nic-offload=yesCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipsec서비스를 다시 시작하십시오.systemctl restart ipsec
# systemctl restart ipsecCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
확인 방법은 커널 버전 및 드라이버와 같은 다양한 측면에 따라 다릅니다. 예를 들어 특정 드라이버는 카운터를 제공하지만 이름은 다를 수 있습니다. 자세한 내용은 네트워크 드라이버 설명서를 참조하십시오.
다음 확인 단계는 Red Hat Enterprise Linux 8의 ixgbe 드라이버에서 작동합니다.
본딩의 활성 포트를 표시합니다.
grep "Currently Active Slave" /proc/net/bonding/bond0 Currently Active Slave: enp1s0
# grep "Currently Active Slave" /proc/net/bonding/bond0 Currently Active Slave: enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 활성 포트의
tx_ipsec및rx_ipsec카운터를 표시합니다.ethtool -S enp1s0 | grep -E "_ipsec" tx_ipsec: 10 rx_ipsec: 10# ethtool -S enp1s0 | grep -E "_ipsec" tx_ipsec: 10 rx_ipsec: 10Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPsec 터널을 통해 트래픽을 전송합니다. 예를 들어 원격 IP 주소를 ping합니다.
ping -c 5 remote_ip_address
# ping -c 5 remote_ip_addressCopy to Clipboard Copied! Toggle word wrap Toggle overflow 활성 포트의
tx_ipsec및rx_ipsec카운터를 다시 표시합니다.ethtool -S enp1s0 | grep -E "_ipsec" tx_ipsec: 15 rx_ipsec: 15# ethtool -S enp1s0 | grep -E "_ipsec" tx_ipsec: 15 rx_ipsec: 15Copy to Clipboard Copied! Toggle word wrap Toggle overflow 카운터 값이 증가하면 ESP 하드웨어 오프로드가 작동합니다.
7.13. RHEL 시스템 역할을 사용하여 IPsec VPN 연결 구성
VPN(Virtual Private Network)을 사용하여 인터넷과 같이 신뢰할 수 없는 네트워크를 통해 안전하고 암호화된 터널을 설정할 수 있습니다. 이러한 터널은 전송 중 데이터의 기밀성과 무결성을 보장합니다. 일반적인 사용 사례에는 지사 사무실을 본사에 연결하는 것이 포함됩니다.
vpn RHEL 시스템 역할을 사용하면 Libreswan IPsec VPN 구성 생성 프로세스를 자동화할 수 있습니다.
vpn RHEL 시스템 역할은 PSK(사전 공유 키) 또는 인증서를 사용하여 피어를 서로 인증하는 VPN 구성만 생성할 수 있습니다.
7.13.1. vpn RHEL 시스템 역할을 사용하여 PSK 인증을 사용하여 IPsec 호스트 대 호스트 VPN 구성
호스트 간 VPN은 두 장치 간에 직접, 보안 및 암호화된 연결을 설정하여 애플리케이션과 인터넷과 같은 비보안 네트워크를 통해 안전하게 통신할 수 있습니다.
인증을 위해 PSK(사전 공유 키)는 두 피어에만 알려진 공유 시크릿을 사용하는 간단한 방법입니다. 이 접근 방식은 쉽게 배포가 가능한 우선 순위인 기본 설정에 적합합니다. 그러나 키를 엄격하게 기밀로 유지해야 합니다. 키에 대한 액세스 권한이 있는 공격자는 연결을 손상시킬 수 있습니다.
vpn RHEL 시스템 역할을 사용하면 PSK 인증을 사용하여 IPsec 호스트 간 연결 생성 프로세스를 자동화할 수 있습니다. 기본적으로 이 역할은 터널 기반 VPN을 생성합니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
호스트: < ;list>VPN을 구성하려는 피어를 사용하여 YAML 사전을 정의합니다. 항목이 Ansible 관리형 노드가 아닌 경우
hostname매개변수에서 FQDN(정규화된 도메인 이름) 또는 IP 주소를 지정해야 합니다. 예를 들면 다음과 같습니다.... - hosts: ... external-host.example.com: hostname: 192.0.2.1... - hosts: ... external-host.example.com: hostname: 192.0.2.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 역할은 각 관리 노드에서 VPN 연결을 구성합니다. 연결 이름은 <
peer_A> -to- <peer_B>입니다(예:managed-node-01.example.com-to-managed-node-02.example.com). 역할은 외부(관리되지 않음) 노드에 Libreswan을 구성할 수 없습니다. 이러한 피어에 구성을 수동으로 생성해야 합니다.auth_method: psk-
피어 간 PSK 인증을 활성화합니다. 역할은 제어 노드에서
openssl을 사용하여 PSK를 생성합니다. auto: < ;startup_method>-
연결의 시작 메서드를 지정합니다. 유효한 값은
add,ondemand,start및ignore입니다. 자세한 내용은 Libreswan이 설치된 시스템의ipsec.conf(5)도움말 페이지를 참조하십시오. 이 변수의 기본값은 null이며 자동 시작 작업이 없음을 의미합니다. vpn_manage_firewall: true-
역할이 관리 노드의
firewalld서비스에서 필요한 포트를 열도록 정의합니다. vpn_manage_selinux: true- 역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.vpn/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
연결이 성공적으로 시작되었는지 확인합니다. 예를 들면 다음과 같습니다.
ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "managed-node-01.example.com-to-managed-node-02.example.com"' ... 006 #3: "managed-node-01.example.com-to-managed-node-02.example.com", type=ESP, add_time=1741857153, inBytes=38622, outBytes=324626, maxBytes=2^63B, id='@managed-node-02.example.com'
# ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "managed-node-01.example.com-to-managed-node-02.example.com"' ... 006 #3: "managed-node-01.example.com-to-managed-node-02.example.com", type=ESP, add_time=1741857153, inBytes=38622, outBytes=324626, maxBytes=2^63B, id='@managed-node-02.example.com'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 VPN 연결이 활성화된 경우에만 성공합니다. 플레이북의
auto변수를start이외의 값으로 설정하는 경우 먼저 관리 노드에서 연결을 수동으로 활성화해야 할 수 있습니다.
7.13.2. vpn RHEL 시스템 역할을 사용하여 PSK 인증을 사용하여 IPsec 호스트 간 VPN 구성 및 데이터 및 컨트롤 플레인 분리
호스트 간 VPN은 두 장치 간에 직접, 보안 및 암호화된 연결을 설정하여 애플리케이션과 인터넷과 같은 비보안 네트워크를 통해 안전하게 통신할 수 있습니다.
인증을 위해 PSK(사전 공유 키)는 두 피어에만 알려진 공유 시크릿을 사용하는 간단한 방법입니다. 이 접근 방식은 쉽게 배포가 가능한 우선 순위인 기본 설정에 적합합니다. 그러나 키를 엄격하게 기밀로 유지해야 합니다. 키에 대한 액세스 권한이 있는 공격자는 연결을 손상시킬 수 있습니다.
예를 들어, 인터셉트 또는 중단되는 제어 메시지의 위험을 최소화하여 보안을 강화하기 위해 데이터 트래픽과 제어 트래픽에 대해 별도의 연결을 구성할 수 있습니다. vpn RHEL 시스템 역할을 사용하면 별도의 데이터 및 컨트롤 플레인 및 PSK 인증을 사용하여 IPsec 호스트 간 연결 생성 프로세스를 자동화할 수 있습니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
호스트: < ;list>VPN을 구성하려는 호스트를 사용하여 YAML 사전을 정의합니다. 연결 이름은 <
name> - <IP_address_A> -to- <IP_address_B>입니다(예:control_plane_vpn-203.0.113.1-to-198.51.100.2).역할은 각 관리 노드에서 VPN 연결을 구성합니다. 역할은 외부(관리되지 않음) 노드에 Libreswan을 구성할 수 없습니다. 이러한 호스트에 구성을 수동으로 생성해야 합니다.
auth_method: psk-
호스트 간 PSK 인증을 활성화합니다. 역할은 제어 노드에서
openssl을 사용하여 사전 공유 키를 생성합니다. auto: < ;startup_method>-
연결의 시작 메서드를 지정합니다. 유효한 값은
add,ondemand,start및ignore입니다. 자세한 내용은 Libreswan이 설치된 시스템의ipsec.conf(5)도움말 페이지를 참조하십시오. 이 변수의 기본값은 null이며 자동 시작 작업이 없음을 의미합니다. vpn_manage_firewall: true-
역할이 관리 노드의
firewalld서비스에서 필요한 포트를 열도록 정의합니다. vpn_manage_selinux: true- 역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.vpn/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
연결이 성공적으로 시작되었는지 확인합니다. 예를 들면 다음과 같습니다.
ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "control_plane_vpn-203.0.113.1-to-198.51.100.2"' ... 006 #3: "control_plane_vpn-203.0.113.1-to-198.51.100.2", type=ESP, add_time=1741860073, inBytes=0, outBytes=0, maxBytes=2^63B, id='198.51.100.2'
# ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "control_plane_vpn-203.0.113.1-to-198.51.100.2"' ... 006 #3: "control_plane_vpn-203.0.113.1-to-198.51.100.2", type=ESP, add_time=1741860073, inBytes=0, outBytes=0, maxBytes=2^63B, id='198.51.100.2'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 VPN 연결이 활성화된 경우에만 성공합니다. 플레이북의
auto변수를start이외의 값으로 설정하는 경우 먼저 관리 노드에서 연결을 수동으로 활성화해야 할 수 있습니다.
7.13.3. vpn RHEL 시스템 역할을 사용하여 PSK 인증을 사용하여 IPsec 사이트 간 VPN 구성
사이트 간 VPN은 두 개의 개별 네트워크 간에 안전하고 암호화된 터널을 설정하여 인터넷과 같은 안전하지 않은 공용 네트워크에서 원활하게 연결합니다. 예를 들어 분기 사무실의 장치는 마치 모두 동일한 로컬 네트워크의 일부인 것처럼 회사 본사의 리소스에 액세스할 수 있습니다.
인증을 위해 PSK(사전 공유 키)는 두 피어에만 알려진 공유 시크릿을 사용하는 간단한 방법입니다. 이 접근 방식은 쉽게 배포가 가능한 우선 순위인 기본 설정에 적합합니다. 그러나 키를 엄격하게 기밀로 유지해야 합니다. 키에 대한 액세스 권한이 있는 공격자는 연결을 손상시킬 수 있습니다.
vpn RHEL 시스템 역할을 사용하면 PSK 인증을 사용하여 IPsec 사이트 간 연결 생성 프로세스를 자동화할 수 있습니다. 기본적으로 이 역할은 터널 기반 VPN을 생성합니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
호스트: < ;list>VPN을 구성하려는 게이트웨이로 YAML 사전을 정의합니다. 항목이 Ansible 관리 노드가 아닌 경우 FQDN(정규화된 도메인 이름) 또는 IP 주소를
hostname매개변수에 지정해야 합니다. 예를 들면 다음과 같습니다.... - hosts: ... external-host.example.com: hostname: 192.0.2.1... - hosts: ... external-host.example.com: hostname: 192.0.2.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 역할은 각 관리 노드에서 VPN 연결을 구성합니다. 연결 이름은
-to-입니다 (예:managed-node-01.example.com-to-managed-node-02.example.com). 역할은 외부(관리되지 않음) 노드에 Libreswan을 구성할 수 없습니다. 이러한 피어에 구성을 수동으로 생성해야 합니다.subnets: <yaml_list_of_subnets>- 터널을 통해 연결된 CIDR(Classless inter-domain routing) 형식으로 서브넷을 정의합니다.
auth_method: psk-
피어 간 PSK 인증을 활성화합니다. 역할은 제어 노드에서
openssl을 사용하여 PSK를 생성합니다. auto: < ;startup_method>-
연결의 시작 메서드를 지정합니다. 유효한 값은
add,ondemand,start및ignore입니다. 자세한 내용은 Libreswan이 설치된 시스템의ipsec.conf(5)도움말 페이지를 참조하십시오. 이 변수의 기본값은 null이며 자동 시작 작업이 없음을 의미합니다. vpn_manage_firewall: true-
역할이 관리 노드의
firewalld서비스에서 필요한 포트를 열도록 정의합니다. vpn_manage_selinux: true- 역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.vpn/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
연결이 성공적으로 시작되었는지 확인합니다. 예를 들면 다음과 같습니다.
ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "managed-node-01.example.com-to-managed-node-02.example.com"' ... 006 #3: "managed-node-01.example.com-to-managed-node-02.example.com", type=ESP, add_time=1741857153, inBytes=38622, outBytes=324626, maxBytes=2^63B, id='@managed-node-02.example.com'
# ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "managed-node-01.example.com-to-managed-node-02.example.com"' ... 006 #3: "managed-node-01.example.com-to-managed-node-02.example.com", type=ESP, add_time=1741857153, inBytes=38622, outBytes=324626, maxBytes=2^63B, id='@managed-node-02.example.com'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 VPN 연결이 활성화된 경우에만 성공합니다. 플레이북의
auto변수를start이외의 값으로 설정하는 경우 먼저 관리 노드에서 연결을 수동으로 활성화해야 할 수 있습니다.
7.13.4. vpn RHEL 시스템 역할을 사용하여 인증서 기반 인증을 사용하여 IPsec 메시 VPN 구성
IPsec 메시는 모든 서버가 다른 모든 서버와 안전하고 직접 통신할 수 있는 완전히 상호 연결된 네트워크를 생성합니다. 이는 여러 데이터 센터 또는 클라우드 공급자에 걸쳐 있는 분산 데이터베이스 클러스터 또는 고가용성 환경에 이상적입니다. 각 서버 쌍 간에 직접 암호화된 터널을 설정하면 중앙 병목 현상 없이 보안 통신을 수행할 수 있습니다.
인증의 경우 CA(인증 기관)에서 관리하는 디지털 인증서를 사용하면 안전하고 확장 가능한 솔루션이 제공됩니다. 메시의 각 호스트는 신뢰할 수 있는 CA에서 서명한 인증서를 제공합니다. 이 방법은 강력하고 검증 가능한 인증을 제공하고 사용자 관리를 단순화합니다. CA에서 액세스를 중앙에서 부여하거나 취소할 수 있으며 Libreswan은 인증서 해지 목록(CRL)에 대해 각 인증서를 확인하여 인증서가 목록에 표시되면 액세스를 거부하여 이를 시행합니다.
vpn RHEL 시스템 역할을 사용하면 관리형 노드 간의 인증서 기반 인증을 사용하여 VPN 메시 구성을 자동화할 수 있습니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다. 각 관리 노드에 대해 PKCS #12 파일을 준비합니다.
각 파일에는 다음이 포함됩니다.
- 서버의 개인 키
- 서버 인증서
- CA 인증서
- 필요한 경우 중간 인증서
-
파일의 이름은 <
managed_node_name_as_in_the_inventory > .p12입니다. - 파일은 플레이북과 동일한 디렉터리에 저장됩니다.
서버 인증서에는 다음 필드가 포함되어 있습니다.
-
EKU(Extended Key Usage)는
TLS 웹 서버 인증으로 설정됩니다. - CN(일반 이름) 또는 SAN(주체 대체 이름)은 호스트의 FQDN(정규화된 도메인 이름)으로 설정됩니다.
- X509v3 CRL 배포 지점에는 CRL(Certificate Revocation Lists)에 대한 URL이 포함되어 있습니다.
-
EKU(Extended Key Usage)는
프로세스
~/inventory파일을 편집하고cert_name변수를 추가합니다.managed-node-01.example.com cert_name=managed-node-01.example.com managed-node-02.example.com cert_name=managed-node-02.example.com managed-node-03.example.com cert_name=managed-node-03.example.com
managed-node-01.example.com cert_name=managed-node-01.example.com managed-node-02.example.com cert_name=managed-node-02.example.com managed-node-03.example.com cert_name=managed-node-03.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow cert_name변수를 각 호스트의 인증서에 사용된 CN(일반 이름) 필드 값으로 설정합니다. 일반적으로 CN 필드는 FQDN(정규화된 도메인 이름)으로 설정됩니다.중요한 변수를 암호화된 파일에 저장합니다.
자격 증명 모음을 생성합니다.
ansible-vault create ~/vault.yml New Vault password: <vault_password> Confirm New Vault password: <vault_password>
$ ansible-vault create ~/vault.yml New Vault password: <vault_password> Confirm New Vault password: <vault_password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow ansible-vault create명령이 편집기를 열고 <key > : < value> 형식으로 중요한 데이터를 입력합니다.pkcs12_pwd: <password>
pkcs12_pwd: <password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 변경 사항을 저장하고 편집기를 종료합니다. Ansible은 자격 증명 모음의 데이터를 암호화합니다.
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
opportunistic: true-
여러 호스트 간에 opportunistic 메시를 활성화합니다.
policies변수는 암호화해야 하거나 암호화할 수 있는 서브넷 및 호스트 트래픽에 대해 정의하며 그 중 어느 것이 일반 텍스트 연결을 계속 사용해야 하는지 정의합니다. auth_method: cert- 인증서 기반 인증을 활성화합니다. 이를 위해서는 인벤토리에서 각 관리 노드 인증서의 닉네임을 지정해야 합니다.
policies: <list_of_policies>YAML 목록 형식으로 Libreswan 정책을 정의합니다.
기본 정책은
private-or-clear입니다.개인으로 변경하기 위해 위의 플레이북에는 기본cidr항목에 대한 따라 정책이 포함되어 있습니다.Ansible 제어 노드가 관리형 노드와 동일한 IP 서브넷에 있는 경우 플레이북 실행 중에 SSH 연결이 손실되는 것을 방지하려면 제어 노드의 IP 주소에 대한
명확한정책을 추가합니다. 예를 들어, Mesh를192.0.2.0/24서브넷에 대해 구성하고 제어 노드에서 IP 주소192.0.2.1을 사용하는 경우 플레이북에 표시된 대로192.0.2.1/32에 대한명확한정책이 필요합니다.정책에 대한 자세한 내용은 Libreswan이 설치된 시스템의
ipsec.conf(5)도움말 페이지를 참조하십시오.vpn_manage_firewall: true-
역할이 관리 노드의
firewalld서비스에서 필요한 포트를 열도록 정의합니다. vpn_manage_selinux: true- 역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.vpn/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml
$ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook --ask-vault-pass ~/playbook.yml
$ ansible-playbook --ask-vault-pass ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
메시의 노드에서 다른 노드를 ping하여 연결을 활성화합니다.
ping managed-node-02.example.com
[root@managed-node-01]# ping managed-node-02.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 연결이 활성화되어 있는지 확인합니다.
ipsec trafficstatus 006 #2: "private#192.0.2.0/24"[1] ...192.0.2.2, type=ESP, add_time=1741938929, inBytes=372408, outBytes=545728, maxBytes=2^63B, id='CN=managed-node-02.example.com'
[root@managed-node-01]# ipsec trafficstatus 006 #2: "private#192.0.2.0/24"[1] ...192.0.2.2, type=ESP, add_time=1741938929, inBytes=372408, outBytes=545728, maxBytes=2^63B, id='CN=managed-node-02.example.com'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.14. 시스템 전체 암호화 정책에서 비활성화된 IPsec 연결 구성
연결에 대한 시스템 전체 암호화 정책 덮어쓰기
RHEL 시스템 전체 암호화 정책은 %default 라는 특수 연결을 생성합니다. 이 연결에는 the ikev2,esp 및 ike 옵션의 기본값이 포함되어 있습니다. 그러나 연결 구성 파일에 언급된 옵션을 지정하여 기본값을 재정의할 수 있습니다.
예를 들어 다음 구성에서는 AES 및 SHA-1 또는 SHA-2와 함께 IKEv1을 사용하고 IPsec(ESP)을 AES-GCM 또는 AES-CBC와 함께 사용하는 연결을 허용합니다.
AES-GCM은 IPsec (ESP) 및 IKEv2에서는 사용할 수 있지만 IKEv1에는 사용할 수 없습니다.
모든 연결에 대한 시스템 전체 암호화 정책 비활성화
모든 IPsec 연결에 대한 시스템 전체 암호화 정책을 비활성화하려면 /etc/ipsec.conf 파일에서 다음 행을 주석 처리하십시오.
include /etc/crypto-policies/back-ends/libreswan.config
include /etc/crypto-policies/back-ends/libreswan.config
그런 다음 연결 구성 파일에 ikev2=never 옵션을 추가합니다.
7.15. IPsec VPN 구성 문제 해결
IPsec VPN 구성과 관련된 문제는 여러 가지 주요 이유로 발생합니다. 이러한 문제가 발생하면 문제의 원인이 다음 시나리오에 해당하는지 확인하고 해당 솔루션을 적용할 수 있습니다.
기본 연결 문제 해결
VPN 연결에 대한 대부분의 문제는 관리자가 구성 옵션과 일치하지 않는 엔드포인트를 구성한 새로운 배포에서 발생합니다. 또한 작동 중인 구성은 새로 호환되지 않는 값 때문에 갑자기 작동을 중지할 수 있습니다. 이는 관리자가 구성을 변경한 결과일 수 있습니다. 또는 관리자가 암호화 알고리즘과 같은 특정 옵션에 대해 다양한 기본값을 사용하여 펌웨어 업데이트 또는 패키지 업데이트를 설치할 수 있습니다.
IPsec VPN 연결이 설정되었는지 확인하려면 다음을 수행하십시오.
ipsec trafficstatus 006 #8: "vpn.example.com"[1] 192.0.2.1, type=ESP, add_time=1595296930, inBytes=5999, outBytes=3231, id='@vpn.example.com', lease=100.64.13.5/32
# ipsec trafficstatus
006 #8: "vpn.example.com"[1] 192.0.2.1, type=ESP, add_time=1595296930, inBytes=5999, outBytes=3231, id='@vpn.example.com', lease=100.64.13.5/32출력이 비어 있거나 연결 이름이 인 항목이 표시되지 않으면 터널이 손상됩니다.
문제가 연결에 있는지 확인하려면 다음을 수행하십시오.
vpn.example.com 연결을 다시 로드합니다.
ipsec auto --add vpn.example.com 002 added connection description "vpn.example.com"
# ipsec auto --add vpn.example.com 002 added connection description "vpn.example.com"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음으로 VPN 연결을 시작합니다.
ipsec auto --up vpn.example.com
# ipsec auto --up vpn.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
방화벽 관련 문제
가장 일반적인 문제는 IPsec 엔드포인트 중 하나 또는 엔드포인트 간 라우터에 있는 방화벽은 모든 IKE(Internet Key Exchange) 패킷을 삭제하는 것입니다.
IKEv2의 경우 다음 예제와 유사한 출력은 방화벽에 문제가 있음을 나타냅니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow IKEv1의 경우 시작 명령의 출력은 다음과 같습니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
IPsec 설정에 사용되는 IKE 프로토콜은 암호화되므로 tcpdump 도구를 사용하여 제한된 문제 하위 집합만 해결할 수 있습니다. 방화벽이 IKE 또는 IPsec 패킷을 삭제하는 경우 tcpdump 유틸리티를 사용하여 원인을 찾을 수 있습니다. 그러나 tcpdump 는 IPsec VPN 연결의 다른 문제를 진단할 수 없습니다.
eth0인터페이스에서 VPN과 암호화된 모든 데이터의 협상을 캡처하려면 다음을 수행합니다.tcpdump -i eth0 -n -n esp or udp port 500 or udp port 4500 or tcp port 4500
# tcpdump -i eth0 -n -n esp or udp port 500 or udp port 4500 or tcp port 4500Copy to Clipboard Copied! Toggle word wrap Toggle overflow
일치하지 않는 알고리즘, 프로토콜 및 정책
VPN 연결에서는 엔드포인트에 IKE 알고리즘, IPsec 알고리즘 및 IP 주소 범위가 일치해야 합니다. 불일치가 발생하면 연결에 실패합니다. 다음 방법 중 하나를 사용하여 일치하지 않는 경우 알고리즘, 프로토콜 또는 정책을 조정하여 수정합니다.
원격 엔드포인트가 IKE/IPsec을 실행 중이 아닌 경우 이를 나타내는 ICMP 패킷이 표시됩니다. 예를 들면 다음과 같습니다.
ipsec auto --up vpn.example.com ... 000 "vpn.example.com"[1] 192.0.2.2 #16: ERROR: asynchronous network error report on wlp2s0 (192.0.2.2:500), complainant 198.51.100.1: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] ...
# ipsec auto --up vpn.example.com ... 000 "vpn.example.com"[1] 192.0.2.2 #16: ERROR: asynchronous network error report on wlp2s0 (192.0.2.2:500), complainant 198.51.100.1: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 일치하지 않는 알고리즘의 예:
ipsec auto --up vpn.example.com ... 003 "vpn.example.com"[1] 193.110.157.148 #3: dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni
# ipsec auto --up vpn.example.com ... 003 "vpn.example.com"[1] 193.110.157.148 #3: dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,NiCopy to Clipboard Copied! Toggle word wrap Toggle overflow 일치하지 않는 IPsec 알고리즘의 예:
ipsec auto --up vpn.example.com ... 182 "vpn.example.com"[1] 193.110.157.148 #5: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_256 group=MODP2048} 002 "vpn.example.com"[1] 193.110.157.148 #6: IKE_AUTH response contained the error notification NO_PROPOSAL_CHOSEN# ipsec auto --up vpn.example.com ... 182 "vpn.example.com"[1] 193.110.157.148 #5: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_256 group=MODP2048} 002 "vpn.example.com"[1] 193.110.157.148 #6: IKE_AUTH response contained the error notification NO_PROPOSAL_CHOSENCopy to Clipboard Copied! Toggle word wrap Toggle overflow 일치하지 않는 IKE 버전으로 인해 원격 끝점이 응답 없이 요청을 삭제할 수 있습니다. 이는 방화벽이 모든 IKE 패킷을 삭제하는 것과 동일합니다.
IKEv2에 대한 일치하지 않는 IP 주소 범위의 예(트래픽 선택기 - TS라고 함):
ipsec auto --up vpn.example.com ... 1v2 "vpn.example.com" #1: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=MODP2048} 002 "vpn.example.com" #2: IKE_AUTH response contained the error notification TS_UNACCEPTABLE# ipsec auto --up vpn.example.com ... 1v2 "vpn.example.com" #1: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=MODP2048} 002 "vpn.example.com" #2: IKE_AUTH response contained the error notification TS_UNACCEPTABLECopy to Clipboard Copied! Toggle word wrap Toggle overflow IKEv1에 대한 일치하지 않는 IP 주소 범위의 예:
ipsec auto --up vpn.example.com ... 031 "vpn.example.com" #2: STATE_QUICK_I1: 60 second timeout exceeded after 0 retransmits. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
# ipsec auto --up vpn.example.com ... 031 "vpn.example.com" #2: STATE_QUICK_I1: 60 second timeout exceeded after 0 retransmits. No acceptable response to our first Quick Mode message: perhaps peer likes no proposalCopy to Clipboard Copied! Toggle word wrap Toggle overflow IKEv1에서 PreSharedKeys (PSK)를 사용할 때 양측이 동일한 PSK에 배치하지 않으면 전체 IKE 메시지는 읽을 수 없게 됩니다.
ipsec auto --up vpn.example.com ... 003 "vpn.example.com" #1: received Hash Payload does not match computed value 223 "vpn.example.com" #1: sending notification INVALID_HASH_INFORMATION to 192.0.2.23:500
# ipsec auto --up vpn.example.com ... 003 "vpn.example.com" #1: received Hash Payload does not match computed value 223 "vpn.example.com" #1: sending notification INVALID_HASH_INFORMATION to 192.0.2.23:500Copy to Clipboard Copied! Toggle word wrap Toggle overflow IKEv2에서 mismatched-PSK 오류로 인해 AUTHENTICATION_FAILED 메시지가 표시됩니다.
ipsec auto --up vpn.example.com ... 002 "vpn.example.com" #1: IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED
# ipsec auto --up vpn.example.com ... 002 "vpn.example.com" #1: IKE SA authentication request rejected by peer: AUTHENTICATION_FAILEDCopy to Clipboard Copied! Toggle word wrap Toggle overflow
최대 전송 단위
IKE 또는 IPsec 패킷을 차단하는 방화벽 이외의 네트워킹 문제의 가장 일반적인 원인은 암호화된 패킷의 증가된 패킷 크기와 관련이 있습니다. 네트워크 하드웨어 조각은 최대 전송 단위(MTU)보다 큰 패킷(예: 1500바이트)입니다. 종종 조각이 손실되고 패킷을 다시 설정하지 못하는 경우가 많습니다. 이로 인해 크기가 작은 패킷을 사용하는 ping 테스트가 작동할 때 간헐적인 오류가 발생하지만 다른 트래픽은 실패합니다. 이 경우 SSH 세션을 설정할 수 있지만 원격 호스트에 'ls -al /usr' 명령을 입력하여 바로 터미널이 중지됩니다.
이 문제를 해결하려면 터널 구성 파일에 mtu=1400 옵션을 추가하여 MTU 크기를 줄입니다.
또는 TCP 연결의 경우 MSS 값을 변경하는 iptables 규칙을 활성화합니다.
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
이전 명령에서 시나리오의 문제를 해결하지 않으면 set-mss 매개변수에 더 작은 크기를 직접 지정합니다.
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380
# iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380NAT(네트워크 주소 변환)
IPsec 호스트가 NAT 라우터 역할을 할 때 실수로 패킷을 다시 매핑할 수 있습니다. 다음 예제 구성에서는 문제를 보여줍니다.
주소가 172.16.0.1인 시스템에는 NAT 규칙이 있습니다.
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE주소 10.0.2.33의 시스템이 패킷을 192.168.0.1로 보내는 경우 라우터는 IPsec 암호화를 적용하기 전에 소스 10.0.2.33을 172.16.0.1로 변환합니다.
그런 다음 소스 주소가 10.0.2.33인 패킷이 더 이상 conn myvpn 설정과 일치하지 않으며 IPsec은 이 패킷을 암호화하지 않습니다.
이 문제를 해결하려면 라우터의 대상 IPsec 서브넷 범위에 대해 NAT를 제외하는 규칙을 삽입합니다. 예를 들면 다음과 같습니다.
iptables -t nat -I POSTROUTING -s 10.0.2.0/24 -d 192.168.0.0/16 -j RETURN
iptables -t nat -I POSTROUTING -s 10.0.2.0/24 -d 192.168.0.0/16 -j RETURN커널 IPsec 하위 시스템 버그
예를 들어 버그로 인해 IKE 사용자 공간과 IPsec 커널이 동기화 해제되는 경우 커널 IPsec 하위 시스템이 실패할 수 있습니다. 이러한 문제를 확인하려면 다음을 수행합니다.
cat /proc/net/xfrm_stat XfrmInError 0 XfrmInBufferError 0 ...
$ cat /proc/net/xfrm_stat
XfrmInError 0
XfrmInBufferError 0
...이전 명령의 출력에 0이 아닌 값은 문제가 있음을 나타냅니다. 이 문제가 발생하면 새 지원 케이스를 열고 해당 IKE 로그와 함께 이전 명령의 출력을 연결합니다.
Libreswan 로그
기본적으로 syslog 프로토콜을 사용하는 Libreswan 로그입니다. journalctl 명령을 사용하여 IPsec과 관련된 로그 항목을 찾을 수 있습니다. 로그에 대한 해당 항목은 pluto IKE 데몬에 의해 전송되므로 "pluto" 키워드를 검색합니다. 예를 들면 다음과 같습니다.
journalctl -b | grep pluto
$ journalctl -b | grep pluto
ipsec 서비스의 실시간 로그를 표시하려면 다음을 수행합니다.
journalctl -f -u ipsec
$ journalctl -f -u ipsec
기본 수준의 로깅으로 구성 문제가 표시되지 않는 경우 /etc/ipsec.conf 파일의 config setup 섹션에 plutodebug=all 옵션을 추가하여 디버그 로그를 활성화합니다.
디버그 로깅은 많은 항목을 생성하며 journald 또는 syslogd 서비스 rate-limits the syslog 메시지를 제한할 수 있습니다. 전체 로그가 있는지 확인하려면 로깅을 파일로 리디렉션합니다. /etc/ipsec.conf를 편집하고 config setup 섹션에 logfile=/var/log/pluto.log를 추가합니다.
7.16. control-center를 사용하여 VPN 연결 구성
그래픽 인터페이스와 함께 Red Hat Enterprise Linux를 사용하는 경우 GNOME 제어 센터에서 VPN 연결을 구성할 수 있습니다.
사전 요구 사항
-
NetworkManager-libreswan-gnome패키지가 설치되어 있습니다.
프로세스
-
Super 키를 누른 상태에서
Settings를 입력하고 Enter 를 눌러control-center애플리케이션을 엽니다. -
왼쪽에서
Network항목을 선택합니다. - + 아이콘을 클릭합니다.
-
VPN을 선택합니다. ID메뉴 항목을 선택하여 기본 구성 옵션을 확인합니다.일반
gateway - 원격 VPN 게이트웨이의 이름 또는
IP주소입니다.인증
유형-
IKEv2 (Certificate)- 클라이언트는 인증서로 인증됩니다. 더 안전합니다(기본값). IKEv1(XAUTH)- 클라이언트는 사용자 이름 및 암호 또는 PSK(사전 공유 키)로 인증됩니다.다음 구성 설정은
고급섹션에서 사용할 수 있습니다.그림 7.1. VPN 연결의 고급 옵션
주의gnome-control-center애플리케이션을 사용하여 IPsec 기반 VPN 연결을 구성할 때고급대화 상자에 구성이 표시되지만 변경 사항은 허용하지 않습니다. 결과적으로 사용자는 고급 IPsec 옵션을 변경할 수 없습니다. 대신nm-connection-editor또는nmcli툴을 사용하여 고급 속성 구성을 수행합니다.식별
Domain- 필요한 경우 도메인 이름을 입력합니다.보안
-
Phase1 알고리즘- Libreswan 매개변수와 같이 - 암호화된 채널을 인증하고 설정하는 데 사용할 알고리즘을 입력합니다. Phase2 알고리즘-espLibreswan 매개변수에 해당합니다 -IPsec협상에 사용할 알고리즘을 입력합니다.PFS를 지원하지 않는 이전 서버와의 호환성을 확인하려면 PFS(Perfect Forward Secrecy)를 해제하려면 PFS 필드를 선택합니다.-
Phase1 Lifetime-ikelifetimeLibreswan 매개변수 - 트래픽을 암호화하는 데 사용되는 키의 유효 기간에 해당합니다. Phase2 Lifetime-salifetimeLibreswan 매개변수 - 만료되기 전에 특정 연결 인스턴스가 얼마나 오래되어야 하는지에 해당합니다.보안상의 이유로 암호화 키를 수시로 변경해야 합니다.
원격 네트워크-rightsubnetLibreswan 매개변수 - VPN을 통해 도달해야 하는 대상 프라이빗 원격 네트워크에 해당합니다.범위를 좁
힐수 있도록 좁은 필드를 확인합니다. IKEv2 협상에서만 효과가 있습니다.-
조각화 활성화- IKE 조각화를 허용할지 여부에 관계없이fragmentationLibreswan 매개변수에 해당합니다. 유효한 값은yes(기본값) 또는no입니다. -
Mobike 활성화-mobikeLibreswan 매개변수에 해당합니다. - Cryostat 및 Multihoming Protocol (MOBIKE, RFC 4555)을 허용할지 여부에 따라 연결을 처음부터 다시 시작할 필요없이 끝점을 마이그레이션할 수 있습니다. 이는 유선, 무선 또는 모바일 데이터 연결 간에 전환하는 모바일 장치에서 사용됩니다. 값은no(기본값) 또는yes입니다.
-
메뉴 항목을 선택합니다.
IPv4 방법
-
Automatic (DHCP)- 연결하는 네트워크가DHCP서버를 사용하여 동적IP주소를 할당하는 경우 이 옵션을 선택합니다. -
Link-Local Only- 연결된 네트워크에DHCP서버가 없고IP주소를 수동으로 할당하지 않는 경우 이 옵션을 선택합니다. 임의의 주소는 접두사169.254/16인 RFC 3927 에 따라 할당됩니다. -
수동-IP주소를 수동으로 할당하려는 경우 이 옵션을 선택합니다. disable-IPv4는 이 연결에 대해 비활성화되어 있습니다.DNS
DNS섹션에서Automatic이ON인 경우OFF로 전환하여 IP를 쉼표로 분리하는 데 사용할 DNS 서버의 IP 주소를 입력합니다.라우트
경로섹션에서Automatic이ON인 경우 DHCP의 경로가 사용되지만 정적 경로도 추가할 수 있습니다.OFF인 경우 정적 경로만 사용됩니다.-
address- 원격 네트워크 또는 호스트의IP주소를 입력합니다. -
넷마스크 -위에서 입력한IP주소의 넷마스크 또는 접두사 길이입니다. -
gateway - 위에서 입력한 원격 네트워크 또는 호스트로 이어지는 게이트웨이의
IP주소입니다. metric- 네트워크 비용, 이 경로에 제공할 기본 값입니다. 더 낮은 값이 더 높은 값보다 우선합니다.이 연결은 네트워크의 리소스에만 사용
연결이 기본 경로가 되지 않도록 하려면 이 확인란을 선택합니다. 이 옵션을 선택하면 연결을 통해 자동으로 학습되거나 여기에 입력된 경로로 특별히 예정된 트래픽만 연결을 통해 라우팅됩니다.
-
VPN연결에서IPv6설정을 구성하려면 메뉴 항목을 선택합니다.IPv6 방법
-
자동-IPv6SLAAC(상태 비저장 주소 자동 구성)를 사용하여 하드웨어 주소 및RA(라우터 알림)를 기반으로 자동, 상태 비저장 구성을 만들려면 이 옵션을 선택합니다. -
자동, DHCP만- 이 옵션을 선택하여 RA를 사용하지 않고DHCPv6에서 정보를 직접 요청하여 상태 저장 구성을 생성합니다. -
Link-Local Only- 연결된 네트워크에DHCP서버가 없고IP주소를 수동으로 할당하지 않는 경우 이 옵션을 선택합니다. 임의의 주소는FE80::0접두사를 사용하여 RFC 4862 에 따라 할당됩니다. -
수동-IP주소를 수동으로 할당하려는 경우 이 옵션을 선택합니다. disable- 이 연결에 대해IPv6가 비활성화되어 있습니다.DNS,경로,이 연결을 네트워크의 리소스에만 사용하는것은IPv4설정에 공통입니다.
-
-
VPN연결 편집을 완료하면 버튼을 클릭하여 구성을 사용자 지정하거나 버튼을 클릭하여 기존 연결을 위해 저장합니다. -
프로필을
ON으로 전환하여VPN연결을 활성화합니다. - DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.
7.17. nm-connection-editor를 사용하여 VPN 연결 구성
Red Hat Enterprise Linux를 그래픽 인터페이스와 함께 사용하는 경우 nm-connection-editor 애플리케이션에서 VPN 연결을 구성할 수 있습니다.
사전 요구 사항
-
NetworkManager-libreswan-gnome패키지가 설치되어 있습니다. IKEv2(Internet Key Exchange version 2) 연결을 구성하는 경우:
- 인증서를 IPsec 네트워크 보안 서비스(NSS) 데이터베이스로 가져옵니다.
- NSS 데이터베이스의 인증서는 잘 알려져 있습니다.
절차
터미널을 열고 다음을 입력합니다.
nm-connection-editor
$ nm-connection-editorCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 버튼을 클릭하여 새 연결을 추가합니다.
-
IPsec 기반 VPN연결 유형을 선택하고 를 클릭합니다. VPN탭에서 다음을 수행합니다.VPN 게이트웨이의 호스트 이름 또는 IP 주소를
게이트웨이필드에 입력하고 인증 유형을 선택합니다. 인증 유형에 따라 다른 추가 정보를 입력해야 합니다.-
IKEv2 (Certifiate)는 인증서를 사용하여 클라이언트를 인증하며 더 안전합니다. 이 설정을 사용하려면 IPsec NSS 데이터베이스의 인증서가 필요합니다. IKEv1(XAUTH)은 사용자 이름과 암호(이전 공유 키)를 사용하여 사용자를 인증합니다. 이 설정을 사용하려면 다음 값을 입력해야 합니다.- 사용자 이름
- 암호
- 그룹 이름
- Secret
-
원격 서버가 IKE 교환에 대한 로컬 식별자를 지정하는 경우
원격 ID필드에 정확한 문자열을 입력합니다. 원격 서버에서 Libreswan을 실행하면 이 값은 서버의leftid매개변수에 설정됩니다.
선택 사항: 버튼을 클릭하여 추가 설정을 구성합니다. 다음 설정을 구성할 수 있습니다.
ID
-
domain- 필요한 경우 도메인 이름을 입력합니다.
-
보안
-
1
단계 알고리즘은Libreswan 매개 변수에 해당합니다. 암호화된 채널을 인증하고 설정하는 데 사용할 알고리즘을 입력합니다. 2
단계 알고리즘은espLibreswan 매개 변수에 해당합니다.IPsec협상에 사용할 알고리즘을 입력합니다.Disable PFS(PFS 비활성화) 필드를 확인하여 PFS(PFS 전달)를 지원하지 않는 이전 서버와의 호환성을 확인하기 위해 PFS(전달 보안)를 해제합니다.-
1
단계 라이프사이클은ikelifetimeLibreswan 매개 변수에 해당합니다. 이 매개 변수는 트래픽을 암호화하는 데 사용되는 키가 유효한 기간을 정의합니다. -
2
단계 라이프타임은salifetimeLibreswan 매개변수에 해당합니다. 이 매개 변수는 보안 연결이 유효한 기간을 정의합니다.
-
1
연결
원격 네트워크는rightsubnetLibreswan 매개 변수에 해당하며 VPN을 통해 연결할 대상 사설 원격 네트워크를 정의합니다.좁히기를 활성화하려면 좁히는 필드를 확인합니다. IKEv2 협상에서만 유효합니다.-
조각화 활성화는fragmentationLibreswan 매개변수에 해당하며 IKE 조각화를 허용할지 여부를 정의합니다. 유효한 값은yes(기본값) 또는no입니다. -
Mobike는mobikeLibreswan 매개 변수에 해당합니다. 매개 변수는 MTU 및 Multihoming Protocol(RFC 4555)(RFC 4555)을 허용하여 연결을 처음부터 다시 시작할 필요 없이 끝점을 마이그레이션할지 여부를 정의합니다. 이는 유선, 무선 또는 모바일 데이터 연결을 전환하는 모바일 장치에서 사용됩니다. 값은no(기본값) 또는yes입니다.
IPv4 Settings탭에서 IP 할당 방법을 선택하고 선택적으로 추가 고정 주소, DNS 서버, 검색 도메인 및 경로를 설정합니다.
- 연결을 저장합니다.
-
nm-connection-editor를 종료합니다. - DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.
버튼을 클릭하여 새 연결을 추가하면 NetworkManager 가 해당 연결에 대한 새 구성 파일을 만든 다음 기존 연결을 편집하는 데 사용되는 동일한 대화 상자를 엽니다. 이러한 대화 상자의 차이점은 기존 연결 프로필에 Details 메뉴 항목이 있다는 것입니다.
7.18. 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당
DHCP 서버와 SLAAC(상태 비저장 주소 자동 구성) 모두 클라이언트의 라우팅 테이블에 경로를 추가할 수 있습니다. 예를 들어 악의적인 DHCP 서버는 이 기능을 사용하여 VPN 터널 대신 물리적 인터페이스를 통해 트래픽을 리디렉션하도록 VPN 연결이 있는 호스트를 강제 수행할 수 있습니다. 이 취약점은 tunnelVision이라고도 하며 CVE-2024-3661 취약점 문서에 설명되어 있습니다.
이 취약점을 완화하기 위해 전용 라우팅 테이블에 VPN 연결을 할당할 수 있습니다. 이렇게 하면 DHCP 구성 또는 SLAAC가 VPN 터널을 위해 의도된 네트워크 패킷의 라우팅 결정을 조작할 수 없습니다.
사용자 환경에 하나 이상의 조건이 적용되는 경우 단계를 따르십시오.
- 하나 이상의 네트워크 인터페이스에서 DHCP 또는 SLAAC를 사용합니다.
- 네트워크에서는 잘못된 DHCP 서버를 방지하는 DHCP 스누핑과 같은 메커니즘을 사용하지 않습니다.
VPN을 통해 전체 트래픽을 라우팅하면 호스트가 로컬 네트워크 리소스에 액세스할 수 없습니다.
사전 요구 사항
- NetworkManager 1.40.16-18 이상을 사용합니다.
프로세스
- 사용할 라우팅 테이블을 결정합니다. 다음 단계는 표 75을 사용합니다. 기본적으로 RHEL은 테이블 1-254를 사용하지 않으며 이 테이블 중 하나를 사용할 수 있습니다.
VPN 경로를 전용 라우팅 테이블에 배치하도록 VPN 연결 프로필을 구성합니다.
nmcli connection modify <vpn_connection_profile> ipv4.route-table 75 ipv6.route-table 75
# nmcli connection modify <vpn_connection_profile> ipv4.route-table 75 ipv6.route-table 75Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 명령에서 사용한 테이블에 대해 우선순위가 낮은 값을 설정합니다.
nmcli connection modify <vpn_connection_profile> ipv4.routing-rules "priority 32345 from all table 75" ipv6.routing-rules "priority 32345 from all table 75"
# nmcli connection modify <vpn_connection_profile> ipv4.routing-rules "priority 32345 from all table 75" ipv6.routing-rules "priority 32345 from all table 75"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 우선순위 값은 1에서 32766 사이의 모든 값일 수 있습니다. 값이 작을수록 우선순위가 높습니다.
VPN 연결을 다시 연결합니다.
nmcli connection down <vpn_connection_profile> nmcli connection up <vpn_connection_profile>
# nmcli connection down <vpn_connection_profile> # nmcli connection up <vpn_connection_profile>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
표 75에 IPv4 경로를 표시합니다.
ip route show table 75 ... 192.0.2.0/24 via 192.0.2.254 dev vpn_device proto static metric 50 default dev vpn_device proto static scope link metric 50
# ip route show table 75 ... 192.0.2.0/24 via 192.0.2.254 dev vpn_device proto static metric 50 default dev vpn_device proto static scope link metric 50Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력은 원격 네트워크에 대한 경로와 기본 게이트웨이가 라우팅 테이블 75에 할당되므로 모든 트래픽이 터널을 통해 라우팅되는지 확인합니다. VPN 연결 프로필에
ipv4.never-default true를 설정하면 기본 경로가 생성되지 않으므로 이 출력에 표시되지 않습니다.표 75에 IPv6 경로를 표시합니다.
ip -6 route show table 75 ... 2001:db8:1::/64 dev vpn_device proto kernel metric 50 pref medium default dev vpn_device proto static metric 50 pref medium
# ip -6 route show table 75 ... 2001:db8:1::/64 dev vpn_device proto kernel metric 50 pref medium default dev vpn_device proto static metric 50 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력은 원격 네트워크에 대한 경로와 기본 게이트웨이가 라우팅 테이블 75에 할당되므로 모든 트래픽이 터널을 통해 라우팅되는지 확인합니다. VPN 연결 프로필에
ipv4.never-default true를 설정하면 기본 경로가 생성되지 않으므로 이 출력에 표시되지 않습니다.
8장. IP 터널 구성
VPN과 유사하게 IP 터널은 인터넷과 같은 세 번째 네트워크를 통해 직접 연결합니다. 그러나 모든 터널 프로토콜이 암호화를 지원하는 것은 아닙니다.
터널을 설정하는 두 네트워크의 라우터에는 두 개 이상의 인터페이스가 필요합니다.
- 로컬 네트워크에 연결된 인터페이스 한 개
- 터널이 설정된 네트워크에 연결된 인터페이스 중 하나입니다.
터널을 설정하려면 원격 서브넷의 IP 주소가 있는 두 라우터에 가상 인터페이스를 만듭니다.
NetworkManager는 다음 IP 터널을 지원합니다.
- GRE(Generic Routing Encapsulation)
- IPv6(IP6GRE)를 통한 일반 라우팅 캡슐화
- GRETAP(Generic Routing Encapsulation Terminal Access Point)
- IPv6를 통한 일반 라우팅 캡슐화 터미널 액세스 지점(IP6GRETAP)
- IPv4 over IPv4 (IPIP)
- IPv4 over IPv6 (IPIP6)
- IPv6 over IPv6 (IP6IP6)
- 간단한 인터넷 전환 (SIT)
유형에 따라 이러한 터널은 OSI(Open Systems Interconnection) 모델의 계층 2 또는 3에서 작동합니다.
8.1. IPv4 패킷에서 IPv4 트래픽을 캡슐화하도록 IPIP 터널 구성
IP over IP(IPIP) 터널은 OSI 계층 3에서 작동하며 RFC 2003 에 설명된 대로 IPv4 패킷의 IPv4 트래픽을 캡슐화합니다.
IPIP 터널을 통해 전송되는 데이터는 암호화되지 않습니다. 보안상의 이유로, 예를 들어 HTTPS와 같은 다른 프로토콜에 의해 이미 암호화된 데이터에 대해서만 터널을 사용하십시오.
IPIP 터널은 유니캐스트 패킷만 지원합니다. 멀티 캐스트를 지원하는 IPv4 터널이 필요한 경우 IPv4 패킷에서 계층-3 트래픽을 캡슐화하기 위해 GRE 터널 구성 을 참조하십시오.
예를 들어 다음 다이어그램에 표시된 대로 두 RHEL 라우터 간에 IPIP 터널을 생성하여 인터넷을 통해 두 개의 내부 서브넷을 연결할 수 있습니다.
사전 요구 사항
- 각 RHEL 라우터에는 로컬 서브넷에 연결된 네트워크 인터페이스가 있습니다.
- 각 RHEL 라우터에는 인터넷에 연결된 네트워크 인터페이스가 있습니다.
- 터널을 통해 전송하려는 트래픽은 IPv4 유니캐스트입니다.
프로세스
네트워크 A의 RHEL 라우터에서 다음을 수행합니다.
tun0이라는 IPIP 터널 인터페이스를 만듭니다.nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 remote 198.51.100.5 local 203.0.113.10
# nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 remote 198.51.100.5 local 203.0.113.10Copy to Clipboard Copied! Toggle word wrap Toggle overflow 원격및로컬매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.IPv4 주소를
tun0장치로 설정합니다.nmcli connection modify tun0 ipv4.addresses '10.0.1.1/30'
# nmcli connection modify tun0 ipv4.addresses '10.0.1.1/30'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 두 개의 사용 가능한 IP 주소가 있는
/30서브넷으로는 터널에 충분합니다.수동 IPv4 구성을 사용하도록
tun0연결을 구성합니다.nmcli connection modify tun0 ipv4.method manual
# nmcli connection modify tun0 ipv4.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow 트래픽을
172.16.0.0/24네트워크로 라우팅하는 정적 경로를 라우터 B의 터널 IP로 추가합니다.nmcli connection modify tun0 +ipv4.routes "172.16.0.0/24 10.0.1.2"
# nmcli connection modify tun0 +ipv4.routes "172.16.0.0/24 10.0.1.2"Copy to Clipboard Copied! Toggle word wrap Toggle overflow tun0연결을 활성화합니다.nmcli connection up tun0
# nmcli connection up tun0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 패킷 전달을 활성화합니다.
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
# echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow
네트워크 B의 RHEL 라우터에서 다음을 수행합니다.
tun0이라는 IPIP 터널 인터페이스를 만듭니다.nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 remote 203.0.113.10 local 198.51.100.5
# nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 remote 203.0.113.10 local 198.51.100.5Copy to Clipboard Copied! Toggle word wrap Toggle overflow 원격및로컬매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.IPv4 주소를
tun0장치로 설정합니다.nmcli connection modify tun0 ipv4.addresses '10.0.1.2/30'
# nmcli connection modify tun0 ipv4.addresses '10.0.1.2/30'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 수동 IPv4 구성을 사용하도록
tun0연결을 구성합니다.nmcli connection modify tun0 ipv4.method manual
# nmcli connection modify tun0 ipv4.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow traffic을
192.0.2.0/24네트워크로 라우팅하는 정적 경로를 라우터 A의 터널 IP로 추가합니다.nmcli connection modify tun0 +ipv4.routes "192.0.2.0/24 10.0.1.1"
# nmcli connection modify tun0 +ipv4.routes "192.0.2.0/24 10.0.1.1"Copy to Clipboard Copied! Toggle word wrap Toggle overflow tun0연결을 활성화합니다.nmcli connection up tun0
# nmcli connection up tun0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 패킷 전달을 활성화합니다.
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
# echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
각 RHEL 라우터에서 다른 라우터의 내부 인터페이스의 IP 주소를 ping합니다.
라우터 A에서 ping
172.16.0.1:ping 172.16.0.1
# ping 172.16.0.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 라우터 B에서
192.0.2.1을 ping합니다.ping 192.0.2.1
# ping 192.0.2.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
8.2. IPv4 패킷에서 계층-3 트래픽을 캡슐화하도록 GRE 터널 구성
GRE(Generic Routing Encapsulation) 터널은 RFC 2784 에 설명된 대로 IPv4 패킷의 계층-3 트래픽을 캡슐화합니다. GRE 터널은 유효한 이더넷 유형을 사용하여 모든 계층 3 프로토콜을 캡슐화할 수 있습니다.
GRE 터널을 통해 전송되는 데이터는 암호화되지 않습니다. 보안상의 이유로, 예를 들어 HTTPS와 같은 다른 프로토콜에 의해 이미 암호화된 데이터에 대해서만 터널을 사용하십시오.
예를 들어 다음 다이어그램에 표시된 대로 두 RHEL 라우터 간에 GRE 터널을 생성하여 인터넷을 통해 두 개의 내부 서브넷을 연결할 수 있습니다.
사전 요구 사항
- 각 RHEL 라우터에는 로컬 서브넷에 연결된 네트워크 인터페이스가 있습니다.
- 각 RHEL 라우터에는 인터넷에 연결된 네트워크 인터페이스가 있습니다.
프로세스
네트워크 A의 RHEL 라우터에서 다음을 수행합니다.
gre1이라는 GRE 터널 인터페이스를 생성합니다.nmcli connection add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 remote 198.51.100.5 local 203.0.113.10
# nmcli connection add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 remote 198.51.100.5 local 203.0.113.10Copy to Clipboard Copied! Toggle word wrap Toggle overflow 원격및로컬매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.중요gre0장치 이름이 예약되어 있습니다.gre1또는 다른 이름을 장치에 사용합니다.IPv4 주소를
gre1장치로 설정합니다.nmcli connection modify gre1 ipv4.addresses '10.0.1.1/30'
# nmcli connection modify gre1 ipv4.addresses '10.0.1.1/30'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 두 개의 사용 가능한 IP 주소가 있는
/30서브넷으로는 터널에 충분합니다.수동 IPv4 구성을 사용하도록
gre1연결을 구성합니다.nmcli connection modify gre1 ipv4.method manual
# nmcli connection modify gre1 ipv4.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow 트래픽을
172.16.0.0/24네트워크로 라우팅하는 정적 경로를 라우터 B의 터널 IP로 추가합니다.nmcli connection modify gre1 +ipv4.routes "172.16.0.0/24 10.0.1.2"
# nmcli connection modify gre1 +ipv4.routes "172.16.0.0/24 10.0.1.2"Copy to Clipboard Copied! Toggle word wrap Toggle overflow gre1연결을 활성화합니다.nmcli connection up gre1
# nmcli connection up gre1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 패킷 전달을 활성화합니다.
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
# echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow
네트워크 B의 RHEL 라우터에서 다음을 수행합니다.
gre1이라는 GRE 터널 인터페이스를 생성합니다.nmcli connection add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 remote 203.0.113.10 local 198.51.100.5
# nmcli connection add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 remote 203.0.113.10 local 198.51.100.5Copy to Clipboard Copied! Toggle word wrap Toggle overflow 원격및로컬매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.IPv4 주소를
gre1장치로 설정합니다.nmcli connection modify gre1 ipv4.addresses '10.0.1.2/30'
# nmcli connection modify gre1 ipv4.addresses '10.0.1.2/30'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 수동 IPv4 구성을 사용하도록
gre1연결을 구성합니다.nmcli connection modify gre1 ipv4.method manual
# nmcli connection modify gre1 ipv4.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow traffic을
192.0.2.0/24네트워크로 라우팅하는 정적 경로를 라우터 A의 터널 IP로 추가합니다.nmcli connection modify gre1 +ipv4.routes "192.0.2.0/24 10.0.1.1"
# nmcli connection modify gre1 +ipv4.routes "192.0.2.0/24 10.0.1.1"Copy to Clipboard Copied! Toggle word wrap Toggle overflow gre1연결을 활성화합니다.nmcli connection up gre1
# nmcli connection up gre1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 패킷 전달을 활성화합니다.
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
# echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
각 RHEL 라우터에서 다른 라우터의 내부 인터페이스의 IP 주소를 ping합니다.
라우터 A에서 ping
172.16.0.1:ping 172.16.0.1
# ping 172.16.0.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 라우터 B에서
192.0.2.1을 ping합니다.ping 192.0.2.1
# ping 192.0.2.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
8.3. IPv4를 통해 이더넷 프레임을 전송하도록 GRETAP 터널 구성
GRETAP(Generic Routing Encapsulation Terminal Access Point) 터널은 OSI 수준 2에서 작동하며 RFC 2784 에 설명된 대로 IPv4 패킷으로 이더넷 트래픽을 캡슐화합니다.
GRETAP 터널을 통해 전송되는 데이터는 암호화되지 않습니다. 보안상의 이유로 VPN 또는 다른 암호화된 연결을 통해 터널을 설정합니다.
예를 들어 두 RHEL 라우터 간에 GRETAP 터널을 생성하여 다음 다이어그램에 표시된 대로 브리지를 사용하여 두 네트워크를 연결할 수 있습니다.
사전 요구 사항
- 각 RHEL 라우터에는 로컬 네트워크에 연결된 네트워크 인터페이스가 있으며 인터페이스에는 IP 구성이 할당되지 않습니다.
- 각 RHEL 라우터에는 인터넷에 연결된 네트워크 인터페이스가 있습니다.
프로세스
네트워크 A의 RHEL 라우터에서 다음을 수행합니다.
bridge0이라는 브리지 인터페이스를 만듭니다.nmcli connection add type bridge con-name bridge0 ifname bridge0
# nmcli connection add type bridge con-name bridge0 ifname bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 브리지의 IP 설정을 구성합니다.
nmcli connection modify bridge0 ipv4.addresses '192.0.2.1/24' nmcli connection modify bridge0 ipv4.method manual
# nmcli connection modify bridge0 ipv4.addresses '192.0.2.1/24' # nmcli connection modify bridge0 ipv4.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow 로컬 네트워크에 연결된 인터페이스에 대한 새 연결 프로필을 브리지에 추가합니다.
nmcli connection add type ethernet slave-type bridge con-name bridge0-port1 ifname enp1s0 master bridge0
# nmcli connection add type ethernet slave-type bridge con-name bridge0-port1 ifname enp1s0 master bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow GRETAP 터널 인터페이스의 새 연결 프로필을 브리지에 추가합니다.
nmcli connection add type ip-tunnel ip-tunnel.mode gretap slave-type bridge con-name bridge0-port2 ifname gretap1 remote 198.51.100.5 local 203.0.113.10 master bridge0
# nmcli connection add type ip-tunnel ip-tunnel.mode gretap slave-type bridge con-name bridge0-port2 ifname gretap1 remote 198.51.100.5 local 203.0.113.10 master bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 원격및로컬매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.중요gretap0장치 이름이 예약되어 있습니다.gretap1또는 장치에 다른 이름을 사용합니다.선택 사항: 필요하지 않은 경우 Spanning Tree Protocol (STP)을 비활성화합니다.
nmcli connection modify bridge0 bridge.stp no
# nmcli connection modify bridge0 bridge.stp noCopy to Clipboard Copied! Toggle word wrap Toggle overflow 기본적으로 STP는 활성화되어 연결을 사용하기 전에 지연이 발생합니다.
bridge0연결을 활성화하여 브리지 포트를 자동으로 활성화하도록 구성합니다.nmcli connection modify bridge0 connection.autoconnect-slaves 1
# nmcli connection modify bridge0 connection.autoconnect-slaves 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow bridge0연결을 활성화합니다.nmcli connection up bridge0
# nmcli connection up bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
네트워크 B의 RHEL 라우터에서 다음을 수행합니다.
bridge0이라는 브리지 인터페이스를 만듭니다.nmcli connection add type bridge con-name bridge0 ifname bridge0
# nmcli connection add type bridge con-name bridge0 ifname bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 브리지의 IP 설정을 구성합니다.
nmcli connection modify bridge0 ipv4.addresses '192.0.2.2/24' nmcli connection modify bridge0 ipv4.method manual
# nmcli connection modify bridge0 ipv4.addresses '192.0.2.2/24' # nmcli connection modify bridge0 ipv4.method manualCopy to Clipboard Copied! Toggle word wrap Toggle overflow 로컬 네트워크에 연결된 인터페이스에 대한 새 연결 프로필을 브리지에 추가합니다.
nmcli connection add type ethernet slave-type bridge con-name bridge0-port1 ifname enp1s0 master bridge0
# nmcli connection add type ethernet slave-type bridge con-name bridge0-port1 ifname enp1s0 master bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow GRETAP 터널 인터페이스의 새 연결 프로필을 브리지에 추가합니다.
nmcli connection add type ip-tunnel ip-tunnel.mode gretap slave-type bridge con-name bridge0-port2 ifname gretap1 remote 203.0.113.10 local 198.51.100.5 master bridge0
# nmcli connection add type ip-tunnel ip-tunnel.mode gretap slave-type bridge con-name bridge0-port2 ifname gretap1 remote 203.0.113.10 local 198.51.100.5 master bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 원격및로컬매개 변수는 원격 및 로컬 라우터의 공용 IP 주소를 설정합니다.선택 사항: 필요하지 않은 경우 Spanning Tree Protocol (STP)을 비활성화합니다.
nmcli connection modify bridge0 bridge.stp no
# nmcli connection modify bridge0 bridge.stp noCopy to Clipboard Copied! Toggle word wrap Toggle overflow bridge0연결을 활성화하여 브리지 포트를 자동으로 활성화하도록 구성합니다.nmcli connection modify bridge0 connection.autoconnect-slaves 1
# nmcli connection modify bridge0 connection.autoconnect-slaves 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow bridge0연결을 활성화합니다.nmcli connection up bridge0
# nmcli connection up bridge0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
두 라우터 모두에서
enp1s0및gretap1연결이 연결되고CONNECTION열에 포트의 연결 이름이 표시되는지 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 각 RHEL 라우터에서 다른 라우터의 내부 인터페이스의 IP 주소를 ping합니다.
라우터 A에서
192.0.2.2를 ping합니다.ping 192.0.2.2
# ping 192.0.2.2Copy to Clipboard Copied! Toggle word wrap Toggle overflow 라우터 B에서
192.0.2.1을 ping합니다.ping 192.0.2.1
# ping 192.0.2.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9장. VXLAN을 사용하여 VM용 가상 계층 2 도메인 생성
VXLAN(Virtual extensible LAN)은 UDP 프로토콜을 사용하여 IP 네트워크를 통해 계층 2 트래픽을 터널링하는 네트워킹 프로토콜입니다. 예를 들어 다른 호스트에서 실행 중인 특정 VM(가상 머신)은 VXLAN 터널을 통해 통신할 수 있습니다. 호스트는 다른 서브넷에 있거나 전 세계의 다른 데이터 센터에 있을 수 있습니다. VM의 관점에서 동일한 VXLAN의 다른 VM은 동일한 계층 2 도메인에 있습니다.
이 예에서 RHEL-host-A 및 RHEL-host-B는 브리지 br0 을 사용하여 각 호스트에서 VM의 가상 네트워크를 vxlan10 이라는 VXLAN과 연결합니다. 이 구성으로 인해 VXLAN은 VM에 표시되지 않으며 VM에는 특별한 구성이 필요하지 않습니다. 나중에 동일한 가상 네트워크에 더 많은 VM을 연결하면 VM이 동일한 가상 계층-2 도메인의 멤버가 됩니다.
일반 계층 2 트래픽과 마찬가지로 VXLAN의 데이터는 암호화되지 않습니다. 보안상의 이유로 VPN 또는 기타 유형의 암호화된 연결을 통해 VXLAN을 사용합니다.
9.1. VXLAN의 이점
VXLAN(가상 확장 LAN)은 다음과 같은 주요 이점을 제공합니다.
- VXLAN은 24비트 ID를 사용합니다. 따라서 16,777,216개의 격리된 네트워크를 생성할 수 있습니다. 예를 들어 VLAN(가상 LAN)은 4096개의 격리된 네트워크만 지원합니다.
- VXLAN은 IP 프로토콜을 사용합니다. 이를 통해 동일한 계층-2 도메인 내의 다른 네트워크 및 위치에서 트래픽을 라우팅하고 시스템을 가상으로 실행할 수 있습니다.
- 대부분의 터널 프로토콜과 달리 VXLAN은 지점 간 네트워크일 뿐만 아니라 VXLAN은 다른 끝점의 IP 주소를 동적으로 확인하거나 정적으로 구성된 전달 항목을 사용할 수 있습니다.
- 특정 네트워크 카드는 UDP 터널 관련 오프로드 기능을 지원합니다.
9.2. 호스트에서 이더넷 인터페이스 구성
RHEL VM 호스트를 이더넷에 연결하려면 네트워크 연결 프로필을 생성하고 IP 설정을 구성하고 프로필을 활성화합니다.
RHEL 호스트 모두에서 다음 절차를 실행하고 그에 따라 IP 주소 구성을 조정합니다.
사전 요구 사항
- 호스트가 이더넷에 연결되어 있습니다.
프로세스
NetworkManager에 새 이더넷 연결 프로필을 추가합니다.
nmcli connection add con-name Example ifname enp1s0 type ethernet
# nmcli connection add con-name Example ifname enp1s0 type ethernetCopy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 설정을 구성합니다.
nmcli connection modify Example ipv4.addresses 198.51.100.2/24 ipv4.method manual ipv4.gateway 198.51.100.254 ipv4.dns 198.51.100.200 ipv4.dns-search example.com
# nmcli connection modify Example ipv4.addresses 198.51.100.2/24 ipv4.method manual ipv4.gateway 198.51.100.254 ipv4.dns 198.51.100.200 ipv4.dns-search example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크에서 DHCP를 사용하는 경우 이 단계를 건너뜁니다.
예제연결을 활성화합니다.nmcli connection up Example
# nmcli connection up ExampleCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
장치 및 연결의 상태를 표시합니다.
nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet connected Example
# nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet connected ExampleCopy to Clipboard Copied! Toggle word wrap Toggle overflow 원격 네트워크에서 호스트를 ping하여 IP 설정을 확인합니다.
ping RHEL-host-B.example.com
# ping RHEL-host-B.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 해당 호스트에서 네트워크를 구성하기 전에 다른 VM 호스트를 ping할 수 없습니다.
9.3. VXLAN이 연결된 네트워크 브리지 만들기
VXLAN(가상 머신)이 VM(가상 머신)에 표시되지 않도록 하려면 호스트에 브리지를 만들고 VXLAN을 브리지에 연결합니다. NetworkManager를 사용하여 브리지와 VXLAN을 둘 다 만듭니다. 일반적으로 호스트의 vnet* 이라는 VM의 트래픽 액세스 포인트(TAP) 장치를 브리지에 추가하지 않습니다. libvirtd 서비스는 VM이 시작될 때 동적으로 추가합니다.
RHEL 호스트 모두에서 다음 절차를 실행하고 그에 따라 IP 주소를 조정합니다.
프로세스
br0브리지를 만듭니다.nmcli connection add type bridge con-name br0 ifname br0 ipv4.method disabled ipv6.method disabled
# nmcli connection add type bridge con-name br0 ifname br0 ipv4.method disabled ipv6.method disabledCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 이 브리지가 계층 2에서 작동하므로 브리지 장치에 IPv4 및 IPv6 주소를 설정하지 않습니다.
VXLAN 인터페이스를 만들고
br0에 연결합니다.nmcli connection add type vxlan slave-type bridge con-name br0-vxlan10 ifname vxlan10 id 10 local 198.51.100.2 remote 203.0.113.1 master br0
# nmcli connection add type vxlan slave-type bridge con-name br0-vxlan10 ifname vxlan10 id 10 local 198.51.100.2 remote 203.0.113.1 master br0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 다음 설정을 사용합니다.
-
id 10: VXLAN 식별자를 설정합니다. -
local 198.51.100.2: 발신 패킷의 소스 IP 주소를 설정합니다. -
remote 203.0.113.1: VXLAN 장치 전달 데이터베이스에서 대상 링크 계층 주소를 알 수 없는 경우 발신 패킷에서 사용할 유니캐스트 또는 멀티 캐스트 IP 주소를 설정합니다. -
마스터 br0:br0연결에서 이 VXLAN 연결을 포트로 만들도록 설정합니다. -
ipv4.method disabled및ipv6.method disabled: 브리지에서 IPv4 및 IPv6를 비활성화합니다.
기본적으로 NetworkManager는
8472를 대상 포트로 사용합니다. 대상 포트가 다른 경우 대상 포트 <port_number>옵션을 명령에 전달합니다.-
br0연결 프로필을 활성화합니다.nmcli connection up br0
# nmcli connection up br0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 로컬 방화벽에서 UDP 연결을 수신하도록 포트
8472를 엽니다.firewall-cmd --permanent --add-port=8472/udp firewall-cmd --reload
# firewall-cmd --permanent --add-port=8472/udp # firewall-cmd --reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
전달 테이블을 표시합니다.
bridge fdb show dev vxlan10 2a:53:bd:d5:b3:0a master br0 permanent 00:00:00:00:00:00 dst 203.0.113.1 self permanent ...
# bridge fdb show dev vxlan10 2a:53:bd:d5:b3:0a master br0 permanent 00:00:00:00:00:00 dst 203.0.113.1 self permanent ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.4. 기존 브리지를 사용하여 libvirt에서 가상 네트워크 생성
VM(가상 머신)이 연결된 VXLAN(가상 확장 가능 LAN)과 함께 br0 브리지를 사용하도록 하려면 먼저 이 브리지를 사용하는 libvirtd 서비스에 가상 네트워크를 추가합니다.
사전 요구 사항
-
libvirt패키지를 설치했습니다. -
libvirtd서비스를 시작하고 활성화했습니다. -
RHEL에서 VXLAN을 사용하여
br0장치를 구성했습니다.
프로세스
다음 콘텐츠를 사용하여
~/vxlan10-bridge.xml파일을 만듭니다.<network> <name>vxlan10-bridge</name> <forward mode="bridge" /> <bridge name="br0" /> </network>
<network> <name>vxlan10-bridge</name> <forward mode="bridge" /> <bridge name="br0" /> </network>Copy to Clipboard Copied! Toggle word wrap Toggle overflow ~/vxlan10-bridge.xml파일을 사용하여libvirt에 새 가상 네트워크를 생성합니다.virsh net-define ~/vxlan10-bridge.xml
# virsh net-define ~/vxlan10-bridge.xmlCopy to Clipboard Copied! Toggle word wrap Toggle overflow ~/vxlan10-bridge.xml파일을 제거합니다.rm ~/vxlan10-bridge.xml
# rm ~/vxlan10-bridge.xmlCopy to Clipboard Copied! Toggle word wrap Toggle overflow vxlan10-bridge가상 네트워크를 시작합니다.virsh net-start vxlan10-bridge
# virsh net-start vxlan10-bridgeCopy to Clipboard Copied! Toggle word wrap Toggle overflow libvirtd서비스가 시작될 때 자동으로 시작되도록vxlan10-bridge가상 네트워크를 구성합니다.virsh net-autostart vxlan10-bridge
# virsh net-autostart vxlan10-bridgeCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
가상 네트워크 목록을 표시합니다.
virsh net-list Name State Autostart Persistent ---------------------------------------------------- vxlan10-bridge active yes yes ...
# virsh net-list Name State Autostart Persistent ---------------------------------------------------- vxlan10-bridge active yes yes ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.5. VXLAN을 사용하도록 가상 머신 구성
호스트에서 가상 확장 가능 LAN(VXLAN)이 연결된 브리지 장치를 사용하도록 VM을 구성하려면 vxlan10-bridge 가상 네트워크를 사용하는 새 VM을 생성하거나 이 네트워크를 사용하도록 기존 VM의 설정을 업데이트합니다.
RHEL 호스트에서 다음 절차를 수행합니다.
사전 요구 사항
-
libvirtd에vxlan10-bridge가상 네트워크를 구성했습니다.
프로세스
새 VM을 생성하고
vxlan10-bridge네트워크를 사용하도록 구성하려면 VM을 생성할 때--network network:vxlan10-bridge옵션을virt-install명령에 전달합니다.virt-install ... --network network:vxlan10-bridge
# virt-install ... --network network:vxlan10-bridgeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 기존 VM의 네트워크 설정을 변경하려면 다음을 수행합니다.
VM의 네트워크 인터페이스를
vxlan10-bridge가상 네트워크에 연결합니다.virt-xml VM_name --edit --network network=vxlan10-bridge
# virt-xml VM_name --edit --network network=vxlan10-bridgeCopy to Clipboard Copied! Toggle word wrap Toggle overflow VM을 종료하고 다시 시작합니다.
virsh shutdown VM_name virsh start VM_name
# virsh shutdown VM_name # virsh start VM_nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
호스트에 VM의 가상 네트워크 인터페이스를 표시합니다.
virsh domiflist VM_name Interface Type Source Model MAC ------------------------------------------------------------------- vnet1 bridge vxlan10-bridge virtio 52:54:00:c5:98:1c
# virsh domiflist VM_name Interface Type Source Model MAC ------------------------------------------------------------------- vnet1 bridge vxlan10-bridge virtio 52:54:00:c5:98:1cCopy to Clipboard Copied! Toggle word wrap Toggle overflow vxlan10-bridge브리지에 연결된 인터페이스를 표시합니다.ip link show master vxlan10-bridge 18: vxlan10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UNKNOWN mode DEFAULT group default qlen 1000 link/ether 2a:53:bd:d5:b3:0a brd ff:ff:ff:ff:ff:ff 19: vnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UNKNOWN mode DEFAULT group default qlen 1000 link/ether 52:54:00:c5:98:1c brd ff:ff:ff:ff:ff:ff# ip link show master vxlan10-bridge 18: vxlan10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UNKNOWN mode DEFAULT group default qlen 1000 link/ether 2a:53:bd:d5:b3:0a brd ff:ff:ff:ff:ff:ff 19: vnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UNKNOWN mode DEFAULT group default qlen 1000 link/ether 52:54:00:c5:98:1c brd ff:ff:ff:ff:ff:ffCopy to Clipboard Copied! Toggle word wrap Toggle overflow libvirtd서비스는 브리지의 구성을 동적으로 업데이트합니다.vxlan10-bridge네트워크를 사용하는 VM을 시작하면 호스트의 해당vnet*장치가 브리지의 포트로 표시됩니다.ARP(Address Resolution Protocol) 요청을 사용하여 VM이 동일한 VXLAN에 있는지 확인합니다.
- 동일한 VXLAN에서 두 개 이상의 VM을 시작합니다.
하나의 VM에서 다른 VM으로 ARP 요청을 보냅니다.
arping -c 1 192.0.2.2 ARPING 192.0.2.2 from 192.0.2.1 enp1s0 Unicast reply from 192.0.2.2 [52:54:00:c5:98:1c] 1.450ms Sent 1 probe(s) (0 broadcast(s)) Received 1 response(s) (0 request(s), 0 broadcast(s))
# arping -c 1 192.0.2.2 ARPING 192.0.2.2 from 192.0.2.1 enp1s0 Unicast reply from 192.0.2.2 [52:54:00:c5:98:1c] 1.450ms Sent 1 probe(s) (0 broadcast(s)) Received 1 response(s) (0 request(s), 0 broadcast(s))Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령에서 응답을 표시하는 경우 VM은 동일한 계층 2 도메인에 있고 이 경우 동일한 VXLAN에 있습니다.
iputils패키지를 설치하여arping유틸리티를 사용합니다.
10장. Cryostat 연결 관리
RHEL은 Cryostat 네트워크를 구성하고 연결하는 여러 유틸리티 및 애플리케이션을 제공합니다. 예를 들면 다음과 같습니다.
-
nmcli유틸리티를 사용하여 명령줄을 사용하여 연결을 구성합니다. -
nmtui애플리케이션을 사용하여 텍스트 기반 사용자 인터페이스에서 연결을 구성합니다. - GNOME 시스템 메뉴를 사용하여 구성이 필요하지 않은 Cryostat 네트워크에 빠르게 연결합니다.
-
GNOME 애플리케이션을 사용하여 연결을 구성하려면 GNOME 설정애플리케이션을 사용합니다. -
nm-connection-editor애플리케이션을 사용하여 그래픽 사용자 인터페이스에서 연결을 구성합니다. -
네트워크RHEL 시스템 역할을 사용하여 하나 이상의 호스트에서 연결 구성을 자동화합니다.
10.1. 지원되는 Cryostat 보안 유형
internet 네트워크가 지원하는 보안 유형에 따라 데이터를 더 안전하게 전송할 수 있습니다.
암호화를 사용하지 않거나 안전하지 않은 WEP 또는 Cryostat 표준만 지원하는 Cryostat 네트워크에 연결하지 마십시오.
RHEL 8에서는 다음과 같은 security 유형을 지원합니다.
-
없음: 암호화는 비활성화되어 있으며 데이터는 네트워크를 통해 일반 텍스트로 전송됩니다. -
향상된 오픈 기능: OWE( opportunistic 무선 암호화)를 사용하면 장치가 인증 없이 무선 네트워크에서 연결을 암호화하도록 고유한 쌍별 마스터 키(PMK)를 협상합니다. -
WEP 40/128비트 키(Hex 또는 ASCII): 이 모드의 Wired Equivalent Privacy (WEP) 프로토콜은 16x 또는 ASCII 형식으로만 사전 공유 키를 사용합니다. WEP는 더 이상 사용되지 않으며 RHEL 9.1에서 제거됩니다. -
WEP 128비트 암호이 모드의 WEP 프로토콜은 암호의 MD5 해시를 사용하여 WEP 키를 파생합니다. WEP는 더 이상 사용되지 않으며 RHEL 9.1에서 제거됩니다. -
동적 WEP(802.1x): 동적 키와 WEP 프로토콜을 사용하는 802.1X 및 EAP의 조합입니다. WEP는 더 이상 사용되지 않으며 RHEL 9.1에서 제거됩니다. -
LEAP: Cisco에서 개발한 Lightweight Extensible Authentication Protocol은 EAP(확장된 인증 프로토콜)의 독점 버전입니다. -
WPA & WPA2 Personal: 개인 모드에서WPA(wi-FiProtected Access) 및 WWA2(wi-FiProtected Access 2) 인증 방법은 사전 공유 키를 사용합니다. -
WPA & WPA2 Enterprise: 엔터프라이즈 모드에서 Cryostat 및 Cryostat2는 EAP 프레임워크를 사용하여 원격 인증 유형인 사용자 서비스(RADIUS) 서버에 사용자를 인증합니다. -
WPA3 Personal: Wi-FiProtected Access 3 (WPA3) 개인은 사전 공격을 방지하기 위해 PSK (pre-shared keys) 대신 SAE (SHP)의 동시 인증을 사용합니다. Cryostat3는 완벽한 PFS(forward secrecy)를 사용합니다.
10.2. nmcli를 사용하여 internet network에 연결
nmcli 유틸리티를 사용하여 Cryostat 네트워크에 연결할 수 있습니다. 처음으로 네트워크에 연결하려고 하면 유틸리티에서 NetworkManager 연결 프로필을 자동으로 생성합니다. 네트워크에 고정 IP 주소와 같은 추가 설정이 필요한 경우 자동으로 생성된 후 프로필을 수정할 수 있습니다.
사전 요구 사항
- Cryostat 장치가 호스트에 설치되어 있습니다.
-
internet device가 활성화되어 있습니다. 확인하려면
nmcli radio명령을 사용합니다.
프로세스
NetworkManager에서 Cryostat 라디오가 비활성화된 경우 이 기능을 활성화합니다.
nmcli radio wifi on
# nmcli radio wifi onCopy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 사용 가능한 Cryostat 네트워크를 표시합니다.
nmcli device wifi list IN-USE BSSID SSID MODE CHAN RATE SIGNAL BARS SECURITY 00:53:00:2F:3B:08 Office Infra 44 270 Mbit/s 57 ▂▄▆_ WPA2 WPA3 00:53:00:15:03:BF -- Infra 1 130 Mbit/s 48 ▂▄__ WPA2 WPA3# nmcli device wifi list IN-USE BSSID SSID MODE CHAN RATE SIGNAL BARS SECURITY 00:53:00:2F:3B:08 Office Infra 44 270 Mbit/s 57 ▂▄▆_ WPA2 WPA3 00:53:00:15:03:BF -- Infra 1 130 Mbit/s 48 ▂▄__ WPA2 WPA3Copy to Clipboard Copied! Toggle word wrap Toggle overflow SSID(서비스 세트 식별자) 열에는 네트워크의 이름이 포함되어 있습니다. 열에--.가 표시되면 이 네트워크의 액세스 포인트가 SSID를 브로드캐스트하지 않습니다.internet network에 연결합니다.
nmcli device wifi connect Office --ask Password: wifi-password
# nmcli device wifi connect Office --ask Password: wifi-passwordCopy to Clipboard Copied! Toggle word wrap Toggle overflow 대화형으로 입력하는 대신 명령에 암호를 설정하려면
--ask: 대신 명령에 <wifi_password> 옵션을 사용합니다.nmcli device wifi connect Office password <wifi_password>
# nmcli device wifi connect Office password <wifi_password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크에 고정 IP 주소가 필요한 경우 이 시점에서 NetworkManager가 연결을 활성화하지 못합니다. 이후 단계에서 IP 주소를 구성할 수 있습니다.
네트워크에 고정 IP 주소가 필요한 경우:
IPv4 주소 설정을 구성합니다. 예를 들면 다음과 같습니다.
nmcli connection modify Office ipv4.method manual ipv4.addresses 192.0.2.1/24 ipv4.gateway 192.0.2.254 ipv4.dns 192.0.2.200 ipv4.dns-search example.com
# nmcli connection modify Office ipv4.method manual ipv4.addresses 192.0.2.1/24 ipv4.gateway 192.0.2.254 ipv4.dns 192.0.2.200 ipv4.dns-search example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 주소 설정을 구성합니다. 예를 들면 다음과 같습니다.
nmcli connection modify Office ipv6.method manual ipv6.addresses 2001:db8:1::1/64 ipv6.gateway 2001:db8:1::fffe ipv6.dns 2001:db8:1::ffbb ipv6.dns-search example.com
# nmcli connection modify Office ipv6.method manual ipv6.addresses 2001:db8:1::1/64 ipv6.gateway 2001:db8:1::fffe ipv6.dns 2001:db8:1::ffbb ipv6.dns-search example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
연결을 다시 활성화합니다.
nmcli connection up Office
# nmcli connection up OfficeCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
활성 연결을 표시합니다.
nmcli connection show --active NAME ID TYPE DEVICE Office 2501eb7e-7b16-4dc6-97ef-7cc460139a58 wifi wlp0s20f3
# nmcli connection show --active NAME ID TYPE DEVICE Office 2501eb7e-7b16-4dc6-97ef-7cc460139a58 wifi wlp0s20f3Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력에 생성된 Cryostat 연결이 나열되면 연결이 활성화됩니다.
호스트 이름 또는 IP 주소를 ping합니다.
ping -c 3 example.com
# ping -c 3 example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.3. GNOME 시스템 메뉴를 사용하여 Cryostat 네트워크에 연결
GNOME 시스템 메뉴를 사용하여 Cryostat 네트워크에 연결할 수 있습니다. 처음으로 네트워크에 연결하면 GNOME은 해당 네트워크에 대한 NetworkManager 연결 프로필을 생성합니다. 연결이 자동으로 연결되지 않도록 연결 프로필을 구성하는 경우 GNOME 시스템 메뉴를 사용하여 기존 NetworkManager 연결 프로필을 사용하여 수동으로 Cryostat 네트워크에 연결할 수도 있습니다.
GNOME 시스템 메뉴를 사용하여 처음으로 Cryostat 네트워크에 대한 연결을 설정하는 데에는 특정 제한 사항이 있습니다. 예를 들어 IP 주소 설정을 구성할 수 없습니다. 이 경우 먼저 연결을 구성합니다.
사전 요구 사항
- Cryostat 장치가 호스트에 설치되어 있습니다.
-
internet device가 활성화되어 있습니다. 확인하려면
nmcli radio명령을 사용합니다.
프로세스
- 상단 표시줄의 오른쪽에 있는 시스템 메뉴를 엽니다.
-
Wi-Fi Not Connected항목을 확장합니다. Select Network:를 클릭합니다.- 연결하려는 internet 네트워크를 선택합니다.
-
연결을 클릭합니다. -
이 네트워크에 처음 연결하는 경우 네트워크의 암호를 입력하고
연결을클릭합니다.
검증
상단 표시줄 오른쪽에 있는 시스템 메뉴를 열고 Cryostat 네트워크가 연결되어 있는지 확인합니다.
네트워크가 목록에 표시되면 연결됩니다.
호스트 이름 또는 IP 주소를 ping합니다.
ping -c 3 example.com
# ping -c 3 example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.4. GNOME 설정을 사용하여 internet network에 연결
gnome-control-center 라는 GNOME 설정 애플리케이션을 사용하여 Cryostat 네트워크에 연결하고 연결을 구성할 수 있습니다. 처음으로 네트워크에 연결하면 GNOME은 해당 프로필에 대한 NetworkManager 연결 프로필을 생성합니다.
GNOME 설정에서 RHEL에서 지원하는 모든 Cryostat 네트워크 보안 유형에 대한 Cryostat 연결을 구성할 수 있습니다.
사전 요구 사항
- Cryostat 장치가 호스트에 설치되어 있습니다.
-
internet device가 활성화되어 있습니다. 확인하려면
nmcli radio명령을 사용합니다.
프로세스
-
Super 키를 누른 후
Wi-Fi를 입력한 후 Enter 키를 누릅니다. - 연결할 네트워크의 이름을 클릭합니다.
-
네트워크의 암호를 입력하고
연결을클릭합니다. 네트워크에 고정 IP 주소 또는 Cryostat2 Personal 이외의 보안 유형과 같은 추가 설정이 필요한 경우:
- 네트워크 이름 옆에 있는 장비 아이콘을 클릭합니다.
선택 사항:
세부 정보탭에서 네트워크 프로필을 자동으로 연결하지 않도록 구성합니다.이 기능을 비활성화하는 경우 GNOME 설정 또는 GNOME 시스템 메뉴를 사용하여 항상 네트워크에 수동으로 연결해야 합니다.
-
IPv4 탭에서
IPv4설정을 구성하고 IPv6 탭에서IPv6설정을 구성합니다. Security탭에서 네트워크 인증(예: Cryostat3 Personal)을 선택하고 암호를 입력합니다.선택한 보안에 따라 애플리케이션에 추가 필드가 표시됩니다. 그에 따라 채우십시오. 자세한 내용은 Cryostat 네트워크 관리자에게 문의하십시오.
-
적용을클릭합니다.
검증
상단 표시줄 오른쪽에 있는 시스템 메뉴를 열고 Cryostat 네트워크가 연결되어 있는지 확인합니다.
네트워크가 목록에 표시되면 연결됩니다.
호스트 이름 또는 IP 주소를 ping합니다.
ping -c 3 example.com
# ping -c 3 example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5. nmtui를 사용하여 Cryostat 연결 구성
nmtui 애플리케이션은 NetworkManager에 대한 텍스트 기반 사용자 인터페이스를 제공합니다. nmtui 를 사용하여 Cryostat 네트워크에 연결할 수 있습니다.
nmtui 에서:
- 커서 키를 사용하여 이동합니다.
- 버튼을 선택하고 Enter 키를 눌러 합니다.
- Space 를 사용하여 확인란을 선택하고 지웁니다.
- 이전 화면으로 돌아가려면 ESC 를 사용합니다.
프로세스
start
nmtui:nmtui
# nmtuiCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
Edit a connection을 선택하고 Enter 를 누릅니다. -
Add(추가) 버튼을 누릅니다. -
네트워크 유형 목록에서
Wi-Fi를 선택하고 Enter 키를 누릅니다. 선택 사항: 생성할 NetworkManager 프로필의 이름을 입력합니다.
프로필이 여러 개인 호스트에서 의미 있는 이름을 사용하면 프로필의 용도를 쉽게 식별할 수 있습니다.
-
Wi-Fi 네트워크의 이름, 서비스 세트 식별자(SSID)를
SSID필드에 입력합니다. -
Mode필드를 기본값인Client로 설정된 상태로 둡니다. Security필드를 선택하고 Enter 를 누른 다음 목록에서 네트워크의 인증 유형을 설정합니다.선택한 인증 유형에 따라
nmtui는 다른 필드를 표시합니다.- 인증 유형 관련 필드를 작성합니다.
Wi-Fi 네트워크에 고정 IP 주소가 필요한 경우 다음을 수행합니다.
-
프로토콜 옆에 있는
자동버튼을 누른 후 표시된 목록에서Manual을 선택합니다. -
구성하려는 프로토콜 옆에 있는
Show버튼을 눌러 추가 필드를 표시하고 채웁니다.
-
프로토콜 옆에 있는
OK버튼을 눌러 새 연결을 만들고 자동으로 활성화합니다.-
뒤로버튼을 눌러 메인 메뉴로 돌아갑니다. -
Quit를 선택하고 Enter 를 눌러nmtui애플리케이션을 종료합니다.
검증
활성 연결을 표시합니다.
nmcli connection show --active NAME ID TYPE DEVICE Office 2501eb7e-7b16-4dc6-97ef-7cc460139a58 wifi wlp0s20f3
# nmcli connection show --active NAME ID TYPE DEVICE Office 2501eb7e-7b16-4dc6-97ef-7cc460139a58 wifi wlp0s20f3Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력에 생성된 Cryostat 연결이 나열되면 연결이 활성화됩니다.
호스트 이름 또는 IP 주소를 ping합니다.
ping -c 3 example.com
# ping -c 3 example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.6. nm-connection-editor를 사용하여 Cryostat 연결 구성
nm-connection-editor 애플리케이션을 사용하여 무선 네트워크에 대한 연결 프로필을 생성할 수 있습니다. 이 애플리케이션에서는 RHEL에서 지원하는 모든 Cryostat 네트워크 인증 유형을 구성할 수 있습니다.
기본적으로 NetworkManager는 연결 프로필에 자동 연결 기능을 활성화하고 사용 가능한 경우 저장된 네트워크에 자동으로 연결됩니다.
사전 요구 사항
- Cryostat 장치가 호스트에 설치되어 있습니다.
-
internet device가 활성화되어 있습니다. 확인하려면
nmcli radio명령을 사용합니다.
프로세스
터미널을 열고 다음을 입력합니다.
nm-connection-editor
# nm-connection-editorCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 버튼을 클릭하여 새 연결을 추가합니다.
-
Wi-Fi연결 유형을 선택하고 을 클릭합니다. - 선택 사항: 연결 프로필의 이름을 설정합니다.
선택 사항:
General(일반) 탭에서 네트워크 프로필을 자동으로 연결하지 않도록 구성합니다.이 기능을 비활성화하는 경우 GNOME 설정 또는 GNOME 시스템 메뉴를 사용하여 항상 네트워크에 수동으로 연결해야 합니다.
-
Wi-Fi탭에서SSID필드에 서비스 세트 식별자(SSID)를 입력합니다. Wi-Fi 보안탭에서 network(예: Cryostat3 Personal )의 인증 유형을 선택하고 암호를 입력합니다.선택한 보안에 따라 애플리케이션에 추가 필드가 표시됩니다. 그에 따라 채우십시오. 자세한 내용은 Cryostat 네트워크 관리자에게 문의하십시오.
-
IPv4 탭에서
IPv4설정을 구성하고 IPv6 탭에서IPv6설정을 구성합니다. -
저장을 클릭합니다. -
네트워크 연결창을 닫습니다.
검증
상단 표시줄 오른쪽에 있는 시스템 메뉴를 열고 Cryostat 네트워크가 연결되어 있는지 확인합니다.
네트워크가 목록에 표시되면 연결됩니다.
호스트 이름 또는 IP 주소를 ping합니다.
ping -c 3 example.com
# ping -c 3 example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.7. 네트워크 RHEL 시스템 역할을 사용하여 802.1X 네트워크 인증으로 Cryo stat 연결 구성
NAC(Network Access Control)는 권한이 없는 클라이언트로부터 네트워크를 보호합니다. NetworkManager 연결 프로필에서 인증에 필요한 세부 정보를 지정하여 클라이언트가 네트워크에 액세스할 수 있도록 할 수 있습니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
Ansible 플레이북을 사용하여 개인 키, 인증서 및 CA 인증서를 클라이언트에 복사한 다음 네트워크 RHEL 시스템 역할을 사용하여 802.1X 네트워크 인증으로 연결 프로필을 구성할 수 있습니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다. - 네트워크는 802.1X 네트워크 인증을 지원합니다.
-
관리 노드에
wpa_supplicant패키지가 설치되어 있어야 합니다. - DHCP는 관리 노드의 네트워크에서 사용할 수 있습니다.
제어 노드에 TLS 인증에 필요한 다음 파일이 있습니다.
-
클라이언트 키는
/srv/data/client.key파일에 저장됩니다. -
클라이언트 인증서는
/srv/data/client.crt파일에 저장됩니다. -
CA 인증서는
/srv/data/ca.crt파일에 저장됩니다.
-
클라이언트 키는
절차
중요한 변수를 암호화된 파일에 저장합니다.
자격 증명 모음을 생성합니다.
ansible-vault create ~/vault.yml New Vault password: <vault_password> Confirm New Vault password: <vault_password>
$ ansible-vault create ~/vault.yml New Vault password: <vault_password> Confirm New Vault password: <vault_password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow ansible-vault create명령이 편집기를 열고 <key > : < value> 형식으로 중요한 데이터를 입력합니다.pwd: <password>
pwd: <password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 변경 사항을 저장하고 편집기를 종료합니다. Ansible은 자격 증명 모음의 데이터를 암호화합니다.
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
ieee802_1x- 이 변수에는 802.1X 관련 설정이 포함되어 있습니다.
EAP: tls-
EAP(Extensible Authentication Protocol)에 대한 인증서 기반
TLS인증 방법을 사용하도록 프로필을 구성합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml
$ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook --ask-vault-pass ~/playbook.yml
$ ansible-playbook --ask-vault-pass ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.8. nmcli를 사용하여 기존 프로필에서 802.1X 네트워크 인증으로 Cryostat 연결 구성
nmcli 유틸리티를 사용하여 네트워크에 자신을 인증하도록 클라이언트를 구성할 수 있습니다. 예를 들어 wlp1s0 이라는 기존 NetworkManager Cryostat 연결 프로필에서 Microsoft Challenge-Handshake Authentication Protocol 버전 2(MSCHAPv2)를 사용하여 PEAP(Extensible Authentication Protocol) 인증을 구성할 수 있습니다.
사전 요구 사항
- 네트워크에는 802.1X 네트워크 인증이 있어야 합니다.
- Cryostat 연결 프로파일은 NetworkManager에 존재하며 유효한 IP 구성이 있습니다.
-
인증자 인증서를 확인하는 데 클라이언트가 필요한 경우 CA(인증 기관) 인증서를
/etc/pki/ca-trust/source/anchors/디렉터리에 저장해야 합니다. -
wpa_supplicant패키지가 설치됩니다.
프로세스
Cryostat 보안 모드를
wpa-eap로 설정하고 EAP(Extensible Authentication Protocol)를peap로, 내부 인증 프로토콜을mschapv2, 사용자 이름으로 설정합니다.nmcli connection modify wlp1s0 wireless-security.key-mgmt wpa-eap 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_name
# nmcli connection modify wlp1s0 wireless-security.key-mgmt wpa-eap 802-1x.eap peap 802-1x.phase2-auth mschapv2 802-1x.identity user_nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow 단일 명령으로
wireless-security.key-mgmt,802-1x.eap,802-1x.phase2-auth,802-1x.identity매개변수를 설정해야 합니다.선택 사항: 구성에 암호를 저장합니다.
nmcli connection modify wlp1s0 802-1x.password password
# nmcli connection modify wlp1s0 802-1x.password passwordCopy to Clipboard Copied! Toggle word wrap Toggle overflow 중요기본적으로 NetworkManager는 암호를 일반 텍스트에
/etc/sysconfig/network-scripts/keys-connection_name파일에 저장합니다. 이 파일은root사용자만 읽을 수 있습니다. 그러나 구성 파일의 일반 텍스트 암호는 보안 위험이 될 수 있습니다.보안을 강화하려면
802-1x.password-flags매개변수를에이전트 소유로 설정합니다. 이 설정을 사용하면 먼저 인증 키를 잠금 해제한 후 NetworkManager가 이러한 서비스에서 암호를 검색하는 GNOME 데스크탑 환경 또는nm-applet이 있는 서버에서 암호를 검색합니다. 다른 경우에는 NetworkManager에서 암호를 입력하라는 메시지를 표시합니다.클라이언트가 인증자의 인증서를 확인해야 하는 경우 연결 프로필의
802-1x.ca-cert매개변수를 CA 인증서 경로로 설정합니다.nmcli connection modify wlp1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crt
# nmcli connection modify wlp1s0 802-1x.ca-cert /etc/pki/ca-trust/source/anchors/ca.crtCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고보안상의 이유로 클라이언트는 인증자의 인증을 확인해야 합니다.
연결 프로필을 활성화합니다.
nmcli connection up wlp1s0
# nmcli connection up wlp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
- 네트워크 인증이 필요한 네트워크의 리소스에 액세스합니다.
10.9. 무선 규제 도메인 수동 설정
RHEL에서 udev 규칙은 setregdomain 유틸리티를 실행하여 무선 규제 도메인을 설정합니다. 그런 다음 유틸리티는 이 정보를 커널에 제공합니다.
기본적으로 setregdomain 은 국가 코드를 자동으로 확인하려고 시도합니다. 이 오류가 발생하면 무선 규제 도메인 설정이 잘못되었을 수 있습니다. 이 문제를 해결하려면 국가 코드를 수동으로 설정할 수 있습니다.
규제 도메인을 수동으로 설정하면 자동 탐지가 비활성화됩니다. 따라서 나중에 다른 국가에서 컴퓨터를 사용하는 경우 이전에 구성된 설정이 더 이상 올바르지 않을 수 있습니다. 이 경우 /etc/sysconfig/regdomain 파일을 제거하여 자동 탐지로 다시 전환하거나 이 절차를 사용하여 규제 도메인 설정을 다시 수동으로 업데이트합니다.
사전 요구 사항
- Cryostat 장치의 드라이버는 규제 도메인 변경을 지원합니다.
프로세스
선택 사항: 현재 규제 도메인 설정을 표시합니다.
iw reg get global country US: DFS-FCC ...
# iw reg get global country US: DFS-FCC ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 콘텐츠를 사용하여
/etc/sysconfig/regdomain파일을 만듭니다.COUNTRY=<country_code>
COUNTRY=<country_code>Copy to Clipboard Copied! Toggle word wrap Toggle overflow COUNTRY변수를 미국 미국용DE또는US와 같은 ISO 3166-1 alpha2 국가 코드로 설정합니다.규제 도메인을 설정합니다.
setregdomain
# setregdomainCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
규제 도메인 설정을 표시합니다.
iw reg get global country DE: DFS-ETSI ...
# iw reg get global country DE: DFS-ETSI ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
11장. RHEL을 Cryostat2 또는 Cryostat3 개인 액세스 지점으로 구성
Cryostat 장치가 있는 호스트에서 NetworkManager를 사용하여 이 호스트를 액세스 지점으로 구성할 수 있습니다. Wi-FiProtected Access 2 (WPA2) 및 Wi-FiProtected Access 3 (WPA3) 개인 인증 방법을 제공하며 무선 클라이언트는 사전 공유 키 (PSK)를 사용하여 액세스 포인트에 연결하고 RHEL 호스트 및 네트워크에서 서비스를 사용할 수 있습니다.
액세스 지점을 구성하면 NetworkManager가 자동으로 수행됩니다.
-
클라이언트에 DHCP 및 DNS 서비스를 제공하도록
dnsmasq서비스 구성 - IP 전달 활성화
-
Cryostat 장치에서 트래픽을 마스커레이드에
nftables방화벽 규칙을 추가하고 IP 전달을 구성합니다.
사전 요구 사항
- Cryostat 장치는 액세스 포인트 모드에서 실행을 지원합니다.
- internet device가 사용되지 않습니다.
- 호스트는 인터넷에 액세스할 수 있습니다.
프로세스
Cryostat 장치를 나열하여 액세스 지점을 제공해야 하는 장치를 식별합니다.
nmcli device status | grep wifi wlp0s20f3 wifi disconnected --
# nmcli device status | grep wifi wlp0s20f3 wifi disconnected --Copy to Clipboard Copied! Toggle word wrap Toggle overflow 장치가 액세스 포인트 모드를 지원하는지 확인합니다.
nmcli -f WIFI-PROPERTIES.AP device show wlp0s20f3 WIFI-PROPERTIES.AP: yes
# nmcli -f WIFI-PROPERTIES.AP device show wlp0s20f3 WIFI-PROPERTIES.AP: yesCopy to Clipboard Copied! Toggle word wrap Toggle overflow internet device를 액세스 포인트로 사용하려면 장치가 이 기능을 지원해야 합니다.
dnsmasq및NetworkManager-wifi패키지를 설치합니다.yum install dnsmasq NetworkManager-wifi
# yum install dnsmasq NetworkManager-wifiCopy to Clipboard Copied! Toggle word wrap Toggle overflow NetworkManager는
dnsmasq서비스를 사용하여 액세스 지점의 클라이언트에 DHCP 및 DNS 서비스를 제공합니다.초기 액세스 지점 구성을 생성합니다.
nmcli device wifi hotspot ifname wlp0s20f3 con-name Example-Hotspot ssid Example-Hotspot password "password"
# nmcli device wifi hotspot ifname wlp0s20f3 con-name Example-Hotspot ssid Example-Hotspot password "password"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 Cryostat2 및 Cryostat3 개인 인증을 제공하는
wlp0s20f3장치의 액세스 지점에 대한 연결 프로필을 생성합니다. 무선 네트워크의 이름, 서비스 세트 식별자(SSID)는Example-Hotspot이며 사전 공유 키암호를사용합니다.선택 사항: Cryostat3만 지원하도록 액세스 지점을 구성합니다.
nmcli connection modify Example-Hotspot 802-11-wireless-security.key-mgmt sae
# nmcli connection modify Example-Hotspot 802-11-wireless-security.key-mgmt saeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 기본적으로 NetworkManager는 Cryostat 장치에 IP 주소
10.42.0.1을 사용하고 나머지10.42.0.0/24서브넷의 IP 주소를 클라이언트에 할당합니다. 다른 서브넷 및 IP 주소를 구성하려면 다음을 입력합니다.nmcli connection modify Example-Hotspot ipv4.addresses 192.0.2.254/24
# nmcli connection modify Example-Hotspot ipv4.addresses 192.0.2.254/24Copy to Clipboard Copied! Toggle word wrap Toggle overflow 설정한 IP 주소(이 경우
192.0.2.254)는 NetworkManager가 Cryostat 장치에 할당하는 주소입니다. 클라이언트는 이 IP 주소를 기본 게이트웨이 및 DNS 서버로 사용합니다.연결 프로필을 활성화합니다.
nmcli connection up Example-Hotspot
# nmcli connection up Example-HotspotCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
서버에서 다음을 수행합니다.
NetworkManager가
dnsmasq서비스를 시작했으며 서비스가 포트 67(DHCP) 및 53(DNS)에서 수신 대기 중인지 확인합니다.ss -tulpn | grep -E ":53|:67" udp UNCONN 0 0 10.42.0.1:53 0.0.0.0:* users:(("dnsmasq",pid=55905,fd=6)) udp UNCONN 0 0 0.0.0.0:67 0.0.0.0:* users:(("dnsmasq",pid=55905,fd=4)) tcp LISTEN 0 32 10.42.0.1:53 0.0.0.0:* users:(("dnsmasq",pid=55905,fd=7))# ss -tulpn | grep -E ":53|:67" udp UNCONN 0 0 10.42.0.1:53 0.0.0.0:* users:(("dnsmasq",pid=55905,fd=6)) udp UNCONN 0 0 0.0.0.0:67 0.0.0.0:* users:(("dnsmasq",pid=55905,fd=4)) tcp LISTEN 0 32 10.42.0.1:53 0.0.0.0:* users:(("dnsmasq",pid=55905,fd=7))Copy to Clipboard Copied! Toggle word wrap Toggle overflow nftables규칙 세트를 표시하여 NetworkManager가10.42.0.0/24서브넷의 트래픽에 대해 전달 및 마스커레이딩을 활성화했는지 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Cryostat 어댑터가 있는 클라이언트에서 다음을 수행합니다.
사용 가능한 네트워크 목록을 표시합니다.
nmcli device wifi IN-USE BSSID SSID MODE CHAN RATE SIGNAL BARS SECURITY 00:53:00:88:29:04 Example-Hotspot Infra 11 130 Mbit/s 62 ▂▄▆_ WPA3 ...# nmcli device wifi IN-USE BSSID SSID MODE CHAN RATE SIGNAL BARS SECURITY 00:53:00:88:29:04 Example-Hotspot Infra 11 130 Mbit/s 62 ▂▄▆_ WPA3 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
Example-Hotspot무선 네트워크에 연결합니다. Wi-Fi 연결 관리를 참조하십시오. 원격 네트워크 또는 인터넷에서 호스트를 ping하여 연결이 작동하는지 확인합니다.
ping -c 3 www.redhat.com
# ping -c 3 www.redhat.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
12장. MACsec을 사용하여 동일한 물리적 네트워크에서 계층 2 트래픽 암호화
MACsec을 사용하여 두 장치(포인트 간) 간의 통신을 보호할 수 있습니다. 예를 들어 분기 사무실은 중앙 사무실과 Metro-Ethernet 연결을 통해 연결되어 있으므로 사무실을 연결하는 두 호스트에서 MACsec을 구성하여 보안을 강화할 수 있습니다.
12.1. MACsec을 통한 보안 향상 방법
MACsec(Media Access Control Security)은 다음과 같이 이더넷 링크를 통해 다양한 트래픽 유형을 보호하는 계층 2 프로토콜입니다.
- DHCP(Dynamic Host Configuration Protocol)
- 주소 확인 프로토콜(ARP)
- IPv4 및 IPv6 트래픽
- TCP 또는 UDP와 같은 IP를 통한 모든 트래픽
MACsec은 기본적으로 Cryostat-AES-128 알고리즘을 사용하여 LAN의 모든 트래픽을 암호화하고 인증하며 사전 공유 키를 사용하여 참가자 호스트 간 연결을 설정합니다. 사전 공유 키를 변경하려면 MACsec을 사용하는 모든 네트워크 호스트에서 NM 구성을 업데이트해야 합니다.
MACsec 연결은 이더넷 네트워크 카드, VLAN 또는 터널 장치와 같은 이더넷 장치를 상위로 사용합니다. 암호화된 연결을 사용하여 다른 호스트와만 통신하도록 MACsec 장치에서만 IP 구성을 설정하거나 상위 장치에 IP 구성을 설정할 수도 있습니다. 후자의 경우 상위 장치를 사용하여 암호화되지 않은 연결 및 암호화된 연결에 MACsec 장치를 사용하여 다른 호스트와 통신할 수 있습니다.
MACsec은 특별한 하드웨어가 필요하지 않습니다. 예를 들어 호스트와 스위치 간의 트래픽만 암호화하려는 경우를 제외하고 모든 스위치를 사용할 수 있습니다. 이 시나리오에서는 스위치도 MACsec을 지원해야 합니다.
즉, 두 가지 일반적인 시나리오에 대해 MACsec을 구성할 수 있습니다.
- host-to-host
- host-to-switch 및 switch-to-other-hosts
MACsec은 동일한 물리적 LAN 또는 가상 LAN에 있는 호스트 간에만 사용할 수 있습니다.
OSI(Open Systems Interconnection) 모델의 계층 2라고도 하는 링크 계층에서 통신 보안을 위해 MACsec 보안 표준을 사용하면 다음과 같은 주요 이점이 있습니다.
- 계층 2에서 암호화하면 계층 7에서 개별 서비스를 암호화할 필요가 없습니다. 이렇게 하면 각 호스트의 각 끝점에 대해 많은 수의 인증서를 관리하는 것과 관련된 오버헤드가 줄어듭니다.
- 라우터 및 스위치와 같이 직접 연결된 네트워크 장치 간의 지점 간 보안입니다.
- 애플리케이션 및 상위 계층 프로토콜에 필요한 변경 사항이 없습니다.
12.2. nmcli를 사용하여 MACsec 연결 구성
nmcli 유틸리티를 사용하여 MACsec을 사용하도록 이더넷 인터페이스를 구성할 수 있습니다. 예를 들어 이더넷을 통해 연결된 두 호스트 간에 MACsec 연결을 생성할 수 있습니다.
프로세스
MACsec을 구성하는 첫 번째 호스트에서 다음을 수행합니다.
사전 공유 키에 대한 연결 연결 키(CAK) 및 연결 키 이름(CKN)을 생성합니다.
16바이트 16진수 CAK를 생성합니다.
dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"' 50b71a8ef0bd5751ea76de6d6c98c03a
# dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"' 50b71a8ef0bd5751ea76de6d6c98c03aCopy to Clipboard Copied! Toggle word wrap Toggle overflow 32바이트 16진수 CKN을 만듭니다.
dd if=/dev/urandom count=32 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"' f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
# dd if=/dev/urandom count=32 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"' f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550Copy to Clipboard Copied! Toggle word wrap Toggle overflow
- MACsec 연결을 통해 연결하려는 두 호스트 모두에서 다음을 수행합니다.
MACsec 연결을 생성합니다.
nmcli connection add type macsec con-name macsec0 ifname macsec0 connection.autoconnect yes macsec.parent enp1s0 macsec.mode psk macsec.mka-cak 50b71a8ef0bd5751ea76de6d6c98c03a macsec.mka-ckn f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
# nmcli connection add type macsec con-name macsec0 ifname macsec0 connection.autoconnect yes macsec.parent enp1s0 macsec.mode psk macsec.mka-cak 50b71a8ef0bd5751ea76de6d6c98c03a macsec.mka-ckn f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550Copy to Clipboard Copied! Toggle word wrap Toggle overflow macsec.mka-cak및macsec.mka-ckn매개변수의 이전 단계에서 생성된 CAK 및 CKN을 사용합니다. 이 값은 MACsec 보호 네트워크의 모든 호스트에서 동일해야 합니다.MACsec 연결에서 IP 설정을 구성합니다.
IPv4설정을 구성합니다. 예를 들어 정적IPv4주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를macsec0연결로 설정하려면 다음을 입력합니다.nmcli connection modify macsec0 ipv4.method manual ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253'
# nmcli connection modify macsec0 ipv4.method manual ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253'Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6설정을 구성합니다. 예를 들어 정적IPv6주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를macsec0연결로 설정하려면 다음을 입력합니다.nmcli connection modify macsec0 ipv6.method manual ipv6.addresses '2001:db8:1::1/32' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd'
# nmcli connection modify macsec0 ipv6.method manual ipv6.addresses '2001:db8:1::1/32' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
연결을 활성화합니다.
nmcli connection up macsec0
# nmcli connection up macsec0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
트래픽이 암호화되었는지 확인합니다.
tcpdump -nn -i enp1s0
# tcpdump -nn -i enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 암호화되지 않은 트래픽을 표시합니다.
tcpdump -nn -i macsec0
# tcpdump -nn -i macsec0Copy to Clipboard Copied! Toggle word wrap Toggle overflow MACsec 통계를 표시합니다.
ip macsec show
# ip macsec showCopy to Clipboard Copied! Toggle word wrap Toggle overflow 각 유형의 보호에 대한 개별 카운터 표시: 무결성 전용(암호화 해제) 및 암호화(암호화)
ip -s macsec show
# ip -s macsec showCopy to Clipboard Copied! Toggle word wrap Toggle overflow
13장. IPVLAN 시작하기
IPVLAN은 컨테이너 환경에서 호스트 네트워크에 액세스하는 데 사용할 수 있는 가상 네트워크 장치의 드라이버입니다. IPVLAN은 호스트 네트워크 내에서 생성된 IPVLAN 장치 수에 관계없이 단일 MAC 주소를 외부 네트워크에 노출합니다. 즉, 사용자가 여러 컨테이너에 여러 IPVLAN 장치를 가질 수 있으며 해당 스위치는 단일 MAC 주소를 읽습니다. IPVLAN 드라이버는 로컬 스위치에서 관리할 수 있는 총 MAC 주소 수에 제약 조건을 적용할 때 유용합니다.
13.1. IPVLAN 모드
다음 모드를 IPVLAN에 사용할 수 있습니다.
L2 모드
IPVLAN L2 모드에서 가상 장치는ARP(Address Resolution Protocol) 요청을 수신하고 응답합니다.
netfilter프레임워크는 가상 장치를 소유한 컨테이너 내에서만 실행됩니다. 컨테이너화된 트래픽의 기본 네임스페이스에서netfilter체인이 실행되지 않습니다. L2 모드를 사용하면 좋은 성능이지만 네트워크 트래픽을 제어할 수 없습니다.L3 모드
L3 모드에서 가상 장치는 L3 트래픽만 처리합니다. 가상 장치는 ARP 요청에 응답하지 않으며 사용자는 관련 피어에서 IPVLAN IP 주소에 대한 항목을 수동으로 구성해야 합니다. 관련 컨테이너의 송신 트래픽은 기본 네임스페이스의
netfilterPOSTROUTING 및 OUTPUT 체인에 배치되며 수신 트래픽이 L2 모드와 동일한 방식으로 스레드됩니다. L3 모드를 사용하면 양호한 제어 기능이 제공되지만 네트워크 트래픽 성능이 저하됩니다.L3S 모드
L3S 모드에서 가상 장치는 L3 모드에서 와 동일한 방식으로 처리합니다. 단, 관련 컨테이너의 송신 및 수신 트래픽은 기본 네임스페이스의
netfilter체인에 배치됩니다. L3S 모드는 L3 모드와 유사한 방식으로 작동하지만 네트워크를 더 잘 제어합니다.
IPVLAN 가상 장치는 L3 및 L3 S 모드의 경우 브로드캐스트 및 멀티 캐스트 트래픽을 수신하지 않습니다.
13.2. IPVLAN 및 MACVLAN 비교
다음 표에서는 MACVLAN과 IPVLAN의 주요 차이점을 보여줍니다.
| MACVLAN | IPVLAN |
|---|---|
| 각 MACVLAN 장치에 MAC 주소를 사용합니다. 스위치가 MAC 테이블에 저장할 수 있는 최대 MAC 주소 수에 도달하면 연결이 끊어질 수 있습니다. | IPVLAN 장치의 수를 제한하지 않는 단일 MAC 주소를 사용합니다. |
| 글로벌 네임스페이스의 Netfilter 규칙은 하위 네임스페이스의 MACVLAN 장치 또는 MACVLAN 장치에 대한 트래픽에 영향을 미칠 수 없습니다. | L3 모드 및 L3S 모드에서 IPVLAN 장치에 대한 트래픽 또는 트래픽을 제어할 수 있습니다. |
IPVLAN 및 MACVLAN 모두 수준의 캡슐화가 필요하지 않습니다.
13.3. iproute2를 사용하여 IPVLAN 장치 생성 및 구성
다음 절차에서는 iproute2 를 사용하여 IPVLAN 장치를 설정하는 방법을 보여줍니다.
프로세스
IPVLAN 장치를 생성하려면 다음 명령을 입력합니다.
ip link add link real_NIC_device name IPVLAN_device type ipvlan mode l2
# ip link add link real_NIC_device name IPVLAN_device type ipvlan mode l2Copy to Clipboard Copied! Toggle word wrap Toggle overflow NIC(네트워크 인터페이스 컨트롤러)는 컴퓨터를 네트워크에 연결하는 하드웨어 구성 요소입니다.
예 13.1. IPVLAN 장치 생성
ip link add link enp0s31f6 name my_ipvlan type ipvlan mode l2 ip link 47: my_ipvlan@enp0s31f6: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/ether e8:6a:6e:8a:a2:44 brd ff:ff:ff:ff:ff:ff
# ip link add link enp0s31f6 name my_ipvlan type ipvlan mode l2 # ip link 47: my_ipvlan@enp0s31f6: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/ether e8:6a:6e:8a:a2:44 brd ff:ff:ff:ff:ff:ffCopy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4또는IPv6주소를 인터페이스에 할당하려면 다음 명령을 입력합니다.ip addr add dev IPVLAN_device IP_address/subnet_mask_prefix
# ip addr add dev IPVLAN_device IP_address/subnet_mask_prefixCopy to Clipboard Copied! Toggle word wrap Toggle overflow L3 모드 또는 L3S 모드에서 IPVLAN 장치를 구성하는 경우 다음과 같이 설정합니다.
원격 호스트에서 원격 피어에 대한 인접 설정을 구성합니다.
ip neigh add dev peer_device IPVLAN_device_IP_address lladdr MAC_address
# ip neigh add dev peer_device IPVLAN_device_IP_address lladdr MAC_addressCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여기서 MAC_address 는 IPVLAN 장치를 기반으로 하는 실제 NIC의 MAC 주소입니다.
다음 명령을 사용하여 L3 모드 의 IPVLAN 장치를 구성합니다.
ip route add dev <real_NIC_device> <peer_IP_address/32>
# ip route add dev <real_NIC_device> <peer_IP_address/32>Copy to Clipboard Copied! Toggle word wrap Toggle overflow L3S 모드 의 경우:
ip route add dev real_NIC_device peer_IP_address/32
# ip route add dev real_NIC_device peer_IP_address/32Copy to Clipboard Copied! Toggle word wrap Toggle overflow 여기서 IP-address는 원격 피어의 주소를 나타냅니다.
IPVLAN 장치를 활성으로 설정하려면 다음 명령을 입력합니다.
ip link set dev IPVLAN_device up
# ip link set dev IPVLAN_device upCopy to Clipboard Copied! Toggle word wrap Toggle overflow IPVLAN 장치가 활성화되어 있는지 확인하려면 원격 호스트에서 다음 명령을 실행합니다.
ping IP_address
# ping IP_addressCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여기서 IP_address 는 IPVLAN 장치의 IP 주소를 사용합니다.
14장. 특정 장치를 무시하도록 NetworkManager 구성
기본적으로 NetworkManager는 /usr/lib/udev/rules.d/85-nm-unmanaged.rules 파일에 설명된 장치를 제외한 모든 장치를 관리합니다. 다른 장치를 무시하려면 NetworkManager에서 관리되지 않는 장치로 구성할 수 있습니다.
14.1. NetworkManager에서 장치를 관리되지 않음으로 영구적으로 구성
인터페이스 이름, MAC 주소 또는 장치 유형과 같은 여러 기준을 기반으로 장치를 Unmanaged 로 구성할 수 있습니다. 구성의 device 섹션을 사용하여 장치를 관리되지 않음으로 설정하는 경우 연결 프로필에서 사용하기 시작할 때까지 NetworkManager는 장치를 관리하지 않습니다.
프로세스
선택 사항:
Unmanaged로 설정할 장치 또는 MAC 주소를 식별하는 장치 목록을 표시합니다.ip link show ... 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:74:79:56 brd ff:ff:ff:ff:ff:ff ...# ip link show ... 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:74:79:56 brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
/etc/NetworkManager/conf.d/디렉터리에*.conf파일을 만듭니다(예:/etc/NetworkManager/conf.d/99-unmanaged-devices.conf). 비관리형으로 구성할 각 장치에 대해 고유한 이름이 있는 섹션을 파일에 추가합니다.
중요섹션 이름은
device-로 시작해야 합니다.특정 인터페이스를 Unmanaged로 구성하려면 다음을 추가합니다.
[device-enp1s0-unmanaged] match-device=interface-name:enp1s0 managed=0
[device-enp1s0-unmanaged] match-device=interface-name:enp1s0 managed=0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 MAC 주소를 비관리형으로 사용하여 장치를 구성하려면 다음을 추가합니다.
[device-mac525400747956-unmanaged] match-device=mac:52:54:00:74:79:56 managed=0
[device-mac525400747956-unmanaged] match-device=mac:52:54:00:74:79:56 managed=0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 유형의 모든 장치를 Unmanaged로 구성하려면 다음을 추가합니다.
[device-ethernet-unmanaged] match-device=type:ethernet managed=0
[device-ethernet-unmanaged] match-device=type:ethernet managed=0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 여러 장치를 Unmanaged로 설정하려면
unmanaged-devices매개변수의 항목을 분리합니다. 예를 들면 다음과 같습니다.[device-multiple-devices-unmanaged] match-device=interface-name:enp1s0;interface-name:enp7s0 managed=0
[device-multiple-devices-unmanaged] match-device=interface-name:enp1s0;interface-name:enp7s0 managed=0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 또는 이 파일의 각 장치에 대해 별도의 섹션을 추가하거나
/etc/NetworkManager/conf.d/디렉터리에*.conf파일을 추가로 생성할 수 있습니다.
호스트 시스템을 다시 시작하십시오.
reboot
# rebootCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
장치 목록을 표시합니다.
nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet unmanaged -- ...
# nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet unmanaged -- ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow enp1s0장치 옆에 있는관리되지 않는상태는 NetworkManager가 이 장치를 관리하지 않음을 나타냅니다.
문제 해결
nmcli device status명령의 출력이 장치를Unmanaged로 나열하지 않으면 NetworkManager 구성을 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력이 구성한 설정과 일치하지 않는 경우 우선 순위가 높은 구성 파일이 설정을 재정의하지 않아야 합니다. NetworkManager가 여러 구성 파일을 병합하는 방법에 대한 자세한 내용은 시스템의
NetworkManager.conf(5)도움말 페이지를 참조하십시오.
14.2. NetworkManager에서 장치를 관리되지 않음으로 일시적으로 구성
예를 들어 테스트를 위해 장치를 관리되지 않는 (예: 테스트)로 일시적으로 구성할 수 있습니다. 이 변경 사항은 시스템을 재부팅하지 않고 NetworkManager systemd 서비스를 다시 로드하고 다시 시작하지 않습니다.
프로세스
선택 사항:
Unmanaged로 설정할 장치를 식별할 장치 목록을 표시합니다.nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet disconnected -- ...
# nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet disconnected -- ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow enp1s0장치를Unmanaged상태로 설정합니다.nmcli device set enp1s0 managed no
# nmcli device set enp1s0 managed noCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
장치 목록을 표시합니다.
nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet unmanaged -- ...
# nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet unmanaged -- ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow enp1s0장치 옆에 있는관리되지 않는상태는 NetworkManager가 이 장치를 관리하지 않음을 나타냅니다.
15장. nmcli를 사용하여 루프백 인터페이스 구성
기본적으로 NetworkManager는 루프백(lo) 인터페이스를 관리하지 않습니다. lo 인터페이스에 대한 연결 프로필을 만든 후 NetworkManager를 사용하여 이 장치를 구성할 수 있습니다. 예제 중 일부는 다음과 같습니다.
-
lo인터페이스에 추가 IP 주소 할당 - DNS 주소 정의
-
lo인터페이스의 최대 전송 단위(MTU) 크기 변경
프로세스
루프백유형의 새 연결을 만듭니다.nmcli connection add con-name example-loopback type loopback
# nmcli connection add con-name example-loopback type loopbackCopy to Clipboard Copied! Toggle word wrap Toggle overflow 사용자 지정 연결 설정을 구성합니다. 예를 들면 다음과 같습니다.
인터페이스에 추가 IP 주소를 할당하려면 다음을 입력합니다.
nmcli connection modify example-loopback +ipv4.addresses 192.0.2.1/24
# nmcli connection modify example-loopback +ipv4.addresses 192.0.2.1/24Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고NetworkManager는 재부팅 시 지속되는 IP 주소
127.0.0.1및::1을 항상 할당하여lo인터페이스를 관리합니다.127.0.0.1및::1을 재정의할 수 없습니다. 그러나 인터페이스에 추가 IP 주소를 할당할 수 있습니다.사용자 정의 최대 전송 단위(MTU)를 설정하려면 다음을 입력합니다.
nmcli con mod example-loopback loopback.mtu 16384
# nmcli con mod example-loopback loopback.mtu 16384Copy to Clipboard Copied! Toggle word wrap Toggle overflow IP 주소를 DNS 서버로 설정하려면 다음을 입력합니다.
nmcli connection modify example-loopback ipv4.dns 192.0.2.0
# nmcli connection modify example-loopback ipv4.dns 192.0.2.0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 루프백 연결 프로필에 DNS 서버를 설정하면 이 항목을 항상
/etc/resolv.conf파일에서 사용할 수 있습니다. DNS 서버 항목은 서로 다른 네트워크 간 호스트 로밍 여부와는 독립적입니다.
연결을 활성화합니다.
nmcli connection up example-loopback
# nmcli connection up example-loopbackCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
lo인터페이스의 설정을 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow DNS 주소를 확인합니다.
cat /etc/resolv.conf ... nameserver 192.0.2.0 ...
# cat /etc/resolv.conf ... nameserver 192.0.2.0 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
16장. 더미 인터페이스 만들기
Red Hat Enterprise Linux 사용자는 디버깅 및 테스트 목적으로 dummy 네트워크 인터페이스를 생성하고 사용할 수 있습니다. 더미 인터페이스는 실제로 패킷을 전송하지 않고 패킷을 라우팅하는 장치를 제공합니다. 이를 통해 NetworkManager에서 관리하는 추가 루프백과 같은 장치를 만들 수 있으며 비활성 SLIP(Serial Line Internet Protocol) 주소를 로컬 프로그램의 실제 주소처럼 만들 수 있습니다.
16.1. nmcli를 사용하여 IPv4 및 IPv6 주소를 모두 사용하여 더미 인터페이스 만들기
IPv4 및 IPv6 주소와 같은 다양한 설정을 사용하여 더미 인터페이스를 만들 수 있습니다. 인터페이스를 생성한 후 NetworkManager는 기본 공용 firewalld 영역에 자동으로 할당합니다.
프로세스
정적 IPv4 및 IPv6 주소를 사용하여
dummy0이라는 dummy 인터페이스를 만듭니다.nmcli connection add type dummy ifname dummy0 ipv4.method manual ipv4.addresses 192.0.2.1/24 ipv6.method manual ipv6.addresses 2001:db8:2::1/64
# nmcli connection add type dummy ifname dummy0 ipv4.method manual ipv4.addresses 192.0.2.1/24 ipv6.method manual ipv6.addresses 2001:db8:2::1/64Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고IPv4 및 IPv6 주소 없이 더미 인터페이스를 구성하려면
ipv4.method및ipv6.method매개변수를 모두disabled로 설정합니다. 그렇지 않으면 IP 자동 구성이 실패하고 NetworkManager는 연결을 비활성화하고 장치를 제거합니다.
검증
연결 프로필을 나열합니다.
nmcli connection show NAME UUID TYPE DEVICE dummy-dummy0 aaf6eb56-73e5-4746-9037-eed42caa8a65 dummy dummy0
# nmcli connection show NAME UUID TYPE DEVICE dummy-dummy0 aaf6eb56-73e5-4746-9037-eed42caa8a65 dummy dummy0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
17장. NetworkManager를 사용하여 특정 연결에 대해 IPv6 비활성화
NetworkManager를 사용하여 네트워크 인터페이스를 관리하는 시스템에서 IPv4만 사용하는 경우 IPv6 프로토콜을 비활성화할 수 있습니다. IPv6 를 비활성화하면 NetworkManager가 커널에서 해당 sysctl 값을 자동으로 설정합니다.
커널 튜닝 가능 항목 또는 커널 부팅 매개 변수를 사용하여 IPv6를 비활성화하는 경우 시스템 구성에 추가 고려해야 합니다. 자세한 내용은 Red Hat Knowledgebase 솔루션 RHEL에서 IPv6 프로토콜을 비활성화하거나 활성화하는 방법을 참조하십시오.
17.1. nmcli를 사용하여 연결에서 IPv6 비활성화
nmcli 유틸리티를 사용하여 명령줄에서 IPv6 프로토콜을 비활성화할 수 있습니다.
사전 요구 사항
- 시스템은 NetworkManager를 사용하여 네트워크 인터페이스를 관리합니다.
프로세스
선택 사항: 네트워크 연결 목록을 표시합니다.
nmcli connection show NAME UUID TYPE DEVICE Example 7a7e0151-9c18-4e6f-89ee-65bb2d64d365 ethernet enp1s0 ...
# nmcli connection show NAME UUID TYPE DEVICE Example 7a7e0151-9c18-4e6f-89ee-65bb2d64d365 ethernet enp1s0 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결의
ipv6.method매개 변수를disabled:로 설정합니다.nmcli connection modify Example ipv6.method "disabled"
# nmcli connection modify Example ipv6.method "disabled"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크 연결을 다시 시작합니다.
nmcli connection up Example
# nmcli connection up ExampleCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
장치의 IP 설정을 표시합니다.
ip address show enp1s0 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 52:54:00:6b:74:be brd ff:ff:ff:ff:ff:ff inet 192.0.2.1/24 brd 192.10.2.255 scope global noprefixroute enp1s0 valid_lft forever preferred_lft forever# ip address show enp1s0 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 52:54:00:6b:74:be brd ff:ff:ff:ff:ff:ff inet 192.0.2.1/24 brd 192.10.2.255 scope global noprefixroute enp1s0 valid_lft forever preferred_lft foreverCopy to Clipboard Copied! Toggle word wrap Toggle overflow inet6항목이 표시되지 않으면 장치에서IPv6가 비활성화됩니다./proc/sys/net/ipv6/conf/enp1s0/disable_ipv6파일에 이제1: 값이 포함되어 있는지 확인합니다.cat /proc/sys/net/ipv6/conf/enp1s0/disable_ipv6 1
# cat /proc/sys/net/ipv6/conf/enp1s0/disable_ipv6 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 값
1은 장치에 대해IPv6가 비활성화되어 있음을 나타냅니다.
18장. 호스트 이름 변경
시스템의 호스트 이름은 시스템 자체의 이름입니다. RHEL을 설치할 때 이름을 설정할 수 있으며 나중에 변경할 수 있습니다.
18.1. nmcli를 사용하여 호스트 이름 변경
nmcli 유틸리티를 사용하여 시스템 호스트 이름을 업데이트할 수 있습니다. 다른 유틸리티는 정적 또는 영구 호스트 이름과 같은 다른 용어를 사용할 수 있습니다.
프로세스
선택 사항: 현재 호스트 이름 설정을 표시합니다.
nmcli general hostname old-hostname.example.com
# nmcli general hostname old-hostname.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새 호스트 이름을 설정합니다.
nmcli general hostname new-hostname.example.com
# nmcli general hostname new-hostname.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow NetworkManager는 새 이름을 활성화하기 위해
systemd-hostnamed를 자동으로 다시 시작합니다. 변경 사항을 적용하려면 호스트를 재부팅합니다.reboot
# rebootCopy to Clipboard Copied! Toggle word wrap Toggle overflow 또는 호스트 이름을 사용하는 서비스를 알고 있는 경우 다음을 수행합니다.
서비스가 시작될 때 호스트 이름만 읽는 모든 서비스를 다시 시작합니다.
systemctl restart <service_name>
# systemctl restart <service_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 변경 사항을 적용하려면 활성 쉘 사용자가 다시 로그인해야 합니다.
검증
호스트 이름을 표시합니다.
nmcli general hostname new-hostname.example.com
# nmcli general hostname new-hostname.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
18.2. hostnamectl을 사용하여 호스트 이름 변경
hostnamectl 유틸리티를 사용하여 호스트 이름을 업데이트할 수 있습니다. 기본적으로 이 유틸리티는 다음 호스트 이름 유형을 설정합니다.
-
정적 호스트 이름:
/etc/hostname파일에 저장됩니다. 일반적으로 서비스는 이 이름을 호스트 이름으로 사용합니다. -
호스트 이름:
데이터 센터 A의 Proxy 서버와같은 설명적인 이름입니다. - 임시 호스트 이름: 일반적으로 네트워크 구성에서 수신되는 fall-back 값입니다.
프로세스
선택 사항: 현재 호스트 이름 설정을 표시합니다.
hostnamectl status --static old-hostname.example.com
# hostnamectl status --static old-hostname.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새 호스트 이름을 설정합니다.
hostnamectl set-hostname new-hostname.example.com
# hostnamectl set-hostname new-hostname.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 정적 및 일시적인 호스트 이름을 새 값으로 설정합니다. 특정 유형만 설정하려면
--static,--pretty또는--transient옵션을 명령에 전달합니다.hostnamectl유틸리티는 새 이름을 활성화하기 위해systemd-hostnamed를 자동으로 다시 시작합니다. 변경 사항을 적용하려면 호스트를 재부팅합니다.reboot
# rebootCopy to Clipboard Copied! Toggle word wrap Toggle overflow 또는 호스트 이름을 사용하는 서비스를 알고 있는 경우 다음을 수행합니다.
서비스가 시작될 때 호스트 이름만 읽는 모든 서비스를 다시 시작합니다.
systemctl restart <service_name>
# systemctl restart <service_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 변경 사항을 적용하려면 활성 쉘 사용자가 다시 로그인해야 합니다.
검증
호스트 이름을 표시합니다.
hostnamectl status --static new-hostname.example.com
# hostnamectl status --static new-hostname.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow
19장. NetworkManager DHCP 설정 구성
NetworkManager는 DHCP와 관련된 다양한 구성 옵션을 제공합니다. 예를 들어 build-in DHCP 클라이언트(기본값) 또는 외부 클라이언트를 사용하도록 NetworkManager를 구성하고 개별 프로필의 DHCP 설정에 영향을 줄 수 있습니다.
19.1. NetworkManager의 DHCP 클라이언트 변경
기본적으로 NetworkManager는 내부 DHCP 클라이언트를 사용합니다. 그러나 기본 제공 클라이언트가 제공하지 않는 기능이 있는 DHCP 클라이언트가 필요한 경우 dhclient 를 사용하도록 NetworkManager를 구성할 수 있습니다.
RHEL은 dhcpcd 를 제공하지 않으므로 NetworkManager는 이 클라이언트를 사용할 수 없습니다.
프로세스
다음 콘텐츠를 사용하여
/etc/NetworkManager/conf.d/dhcp-client.conf파일을 만듭니다.[main] dhcp=dhclient
[main] dhcp=dhclientCopy to Clipboard Copied! Toggle word wrap Toggle overflow dhcp매개변수를internal(기본값) 또는dhclient로 설정할 수 있습니다.dhcp매개변수를dhclient로 설정하는 경우dhcp-client패키지를 설치합니다.yum install dhcp-client
# yum install dhcp-clientCopy to Clipboard Copied! Toggle word wrap Toggle overflow NetworkManager를 다시 시작하십시오.
systemctl restart NetworkManager
# systemctl restart NetworkManagerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 재시작은 모든 네트워크 연결을 일시적으로 중단합니다.
검증
/var/log/messages로그 파일에서 다음과 유사한 항목을 검색합니다.Apr 26 09:54:19 server NetworkManager[27748]: <info> [1650959659.8483] dhcp-init: Using DHCP client 'dhclient'
Apr 26 09:54:19 server NetworkManager[27748]: <info> [1650959659.8483] dhcp-init: Using DHCP client 'dhclient'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 로그 항목은 NetworkManager가
dhclient를 DHCP 클라이언트로 사용하는지 확인합니다.
19.2. NetworkManager 연결의 DHCP 시간 제한 동작 구성
DHCP(Dynamic Host Configuration Protocol) 클라이언트는 클라이언트가 네트워크에 연결할 때마다 DHCP 서버에서 동적 IP 주소 및 해당 구성 정보를 요청합니다.
연결 프로필에서 DHCP를 활성화하면 NetworkManager는 기본적으로 이 요청이 완료될 때까지 45초 동안 기다립니다.
사전 요구 사항
- DHCP를 사용하는 연결은 호스트에 구성됩니다.
프로세스
선택 사항:
ipv4.dhcp-timeout및ipv6.dhcp-timeout속성을 설정합니다. 예를 들어 두 옵션을 모두30초로 설정하려면 다음을 입력합니다.nmcli connection modify <connection_name> ipv4.dhcp-timeout 30 ipv6.dhcp-timeout 30
# nmcli connection modify <connection_name> ipv4.dhcp-timeout 30 ipv6.dhcp-timeout 30Copy to Clipboard Copied! Toggle word wrap Toggle overflow 또는 NetworkManager가 성공할 때까지 IP 주소를 요청 및 갱신하지 않도록 구성하려면 매개 변수를
infinity로 설정합니다.선택 사항: NetworkManager가 시간 초과 전에 IPv4 주소를 수신하지 못하는 경우 동작을 구성합니다.
nmcli connection modify <connection_name> ipv4.may-fail <value>
# nmcli connection modify <connection_name> ipv4.may-fail <value>Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipv4.may-fail옵션을 다음과 같이 설정하는 경우:예, 연결 상태는 IPv6 구성에 따라 다릅니다.- IPv6 구성이 활성화되어 성공하면 NetworkManager는 IPv6 연결을 활성화하고 더 이상 IPv4 연결을 활성화하지 않습니다.
- IPv6 구성이 비활성화되었거나 구성되지 않은 경우 연결에 실패합니다.
아니요, 연결이 비활성화됩니다. 이 경우 다음을 수행합니다.-
연결의
autoconnect속성이 활성화된 경우 NetworkManager는autoconnect-retries속성에 설정된 대로 연결을 여러 번 활성화하려고 합니다. 기본값은4입니다. - 연결이 여전히 DHCP 주소를 얻을 수 없는 경우 자동 활성화가 실패합니다. 5분 후에 자동 연결 프로세스가 다시 시작되어 DHCP 서버에서 IP 주소를 가져옵니다.
-
연결의
선택 사항: NetworkManager가 시간 초과 전에 IPv6 주소를 수신하지 못하는 경우 동작을 구성합니다.
nmcli connection modify <connection_name> ipv6.may-fail <value>
# nmcli connection modify <connection_name> ipv6.may-fail <value>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
20장. NetworkManager를 디스패치 스크립트를 사용하여 dhclient 종료 후크 실행
NetworkManager 디스패처 스크립트를 사용하여 dhclient 종료 후크를 실행할 수 있습니다.
20.1. NetworkManager 디스패처 스크립트의 개념
네트워크 이벤트가 발생할 때 NetworkManager-dispatcher 서비스는 사용자 제공 스크립트를 알파벳순으로 실행합니다. 이러한 스크립트는 일반적으로 쉘 스크립트이지만 실행 가능한 스크립트 또는 애플리케이션일 수 있습니다. 예를 들어 디스패치 스크립트를 사용하여 NetworkManager로 관리할 수 없는 네트워크 관련 설정을 조정할 수 있습니다.
디스패치 스크립트를 다음 디렉터리에 저장할 수 있습니다.
-
/etc/NetworkManager/dispatcher.d/:root사용자가 편집할 수 있는 디스패처 스크립트의 일반 위치입니다. -
/usr/lib/NetworkManager/dispatcher.d/: 사전 배포된 변경 불가능한 디스패처 스크립트의 경우
보안상의 이유로 NetworkManager-dispatcher 서비스는 다음 조건이 충족되는 경우에만 스크립트를 실행합니다.
-
이 스크립트는
root사용자가 소유합니다. -
이 스크립트는
root에서만 읽고 쓸 수 있습니다. -
스크립트에
setuid비트가 설정되어 있지 않습니다.
NetworkManager-dispatcher 서비스는 각 스크립트를 두 개의 인수로 실행합니다.
- 작업이 발생한 장치의 인터페이스 이름입니다.
-
인터페이스가 활성화된 경우
up과 같은 작업입니다.
NetworkManager(8) 도움말 페이지의 Dispatcher scripts 섹션은 스크립트에서 사용할 수 있는 작업 및 환경 변수에 대한 개요를 제공합니다.
NetworkManager-dispatcher 서비스는 한 번에 하나의 스크립트를 실행하지만 기본 NetworkManager 프로세스에서 비동기적으로 실행합니다. 스크립트가 대기열에 추가되면 이후 이벤트로 인해 더 이상 사용되지 않는 경우에도 서비스는 항상 해당 스크립트를 실행합니다. 그러나 NetworkManager-dispatcher 서비스는 이전 스크립트의 종료를 기다리지 않고 즉시 /etc/NetworkManager/dispatcher.d/no-wait.d/ 의 파일을 참조하는 심볼릭 링크인 스크립트를 실행합니다.
20.2. dhclient 종료 후크를 실행하는 NetworkManager 디스패처 스크립트 생성
DHCP 서버에서 IPv4 주소를 할당하거나 업데이트할 때 NetworkManager는 /etc/dhcp/dhclient-exit-hooks.d/ 디렉터리에 저장된 디스패치 스크립트를 실행할 수 있습니다. 그러면 이 디스패치 스크립트는 예를 들어 dhclient 종료 후크를 실행할 수 있습니다.
사전 요구 사항
-
dhclient종료 후크는/etc/dhcp/dhclient-exit-hooks.d/디렉터리에 저장됩니다.
프로세스
다음 콘텐츠를 사용하여
/etc/NetworkManager/dispatcher.d/12-dhclient-down파일을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow root사용자를 파일의 소유자로 설정합니다.chown root:root /etc/NetworkManager/dispatcher.d/12-dhclient-down
# chown root:root /etc/NetworkManager/dispatcher.d/12-dhclient-downCopy to Clipboard Copied! Toggle word wrap Toggle overflow root 사용자만 실행할 수 있도록 권한을 설정합니다.
chmod 0700 /etc/NetworkManager/dispatcher.d/12-dhclient-down
# chmod 0700 /etc/NetworkManager/dispatcher.d/12-dhclient-downCopy to Clipboard Copied! Toggle word wrap Toggle overflow SELinux 컨텍스트를 복원합니다.
restorecon /etc/NetworkManager/dispatcher.d/12-dhclient-down
# restorecon /etc/NetworkManager/dispatcher.d/12-dhclient-downCopy to Clipboard Copied! Toggle word wrap Toggle overflow
21장. 수동으로 /etc/resolv.conf 파일 구성
기본적으로 NetworkManager는 활성 NetworkManager 연결 프로필의 DNS 설정으로 /etc/resolv.conf 파일을 동적으로 업데이트합니다. 그러나 이 동작을 비활성화하고 /etc/resolv.conf 에서 DNS 설정을 수동으로 구성할 수 있습니다.
또는 /etc/resolv.conf 에 특정 DNS 서버 순서가 필요한 경우 DNS 서버 순서 구성을 참조하십시오.
21.1. NetworkManager 구성에서 DNS 처리 비활성화
기본적으로 NetworkManager는 /etc/resolv.conf 파일에서 DNS 설정을 관리하고 DNS 서버 순서를 구성할 수 있습니다. 또는 /etc/resolv.conf 에서 DNS 설정을 수동으로 구성하려는 경우 NetworkManager에서 DNS 처리를 비활성화할 수 있습니다.
프로세스
root 사용자로 텍스트 편집기를 사용하여 다음 콘텐츠를 사용하여
/etc/NetworkManager/conf.d/90-dns-none.conf파일을 만듭니다.[main] dns=none
[main] dns=noneCopy to Clipboard Copied! Toggle word wrap Toggle overflow NetworkManager서비스를 다시 로드합니다.systemctl reload NetworkManager
# systemctl reload NetworkManagerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고서비스를 다시 로드한 후 NetworkManager에서 더 이상
/etc/resolv.conf파일을 업데이트하지 않습니다. 그러나 파일의 마지막 내용은 유지됩니다.-
선택 사항: 혼동을
방지하려면 NetworkManager 주석에 의해 생성됨을/etc/resolv.conf에서 제거합니다.
검증
-
/etc/resolv.conf파일을 편집하고 구성을 수동으로 업데이트합니다. NetworkManager서비스를 다시 로드합니다.systemctl reload NetworkManager
# systemctl reload NetworkManagerCopy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/resolv.conf파일을 표시합니다.cat /etc/resolv.conf
# cat /etc/resolv.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow DNS 처리를 성공적으로 비활성화한 경우 NetworkManager에서 수동으로 구성된 설정을 재정의하지 않았습니다.
문제 해결
우선 순위가 높은 다른 구성 파일이 설정을 덮어쓰지 않도록 NetworkManager 구성을 표시합니다.
# NetworkManager --print-config ... dns=none ...
# NetworkManager --print-config ... dns=none ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
21.2. /etc/resolv.conf를 수동으로 DNS 설정을 구성하기 위한 심볼릭 링크로 교체
기본적으로 NetworkManager는 /etc/resolv.conf 파일에서 DNS 설정을 관리하고 DNS 서버 순서를 구성할 수 있습니다. 또는 /etc/resolv.conf 에서 DNS 설정을 수동으로 구성하려는 경우 NetworkManager에서 DNS 처리를 비활성화할 수 있습니다. 예를 들어 /etc/resolv.conf 가 심볼릭 링크인 경우 NetworkManager는 DNS 구성을 자동으로 업데이트하지 않습니다.
사전 요구 사항
-
NetworkManager
rc-manager구성 옵션은file로 설정되지 않습니다. 확인하려면NetworkManager --print-config명령을 사용합니다.
프로세스
-
/etc/resolv.conf.manually-configured와 같은 파일을 만들고 환경에 대한 DNS 구성을 추가합니다. 원래/etc/resolv.conf와 동일한 매개변수 및 구문을 사용합니다. /etc/resolv.conf파일을 제거합니다.rm /etc/resolv.conf
# rm /etc/resolv.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/resolv.conf.manually-configured를 참조하는 /etc/resolv.conf라는 심볼릭 링크를 만듭니다.ln -s /etc/resolv.conf.manually-configured /etc/resolv.conf
# ln -s /etc/resolv.conf.manually-configured /etc/resolv.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow
22장. DNS 서버 순서 구성
대부분의 애플리케이션은 glibc 라이브러리의 getaddrinfo() 함수를 사용하여 DNS의 이름을 확인합니다. 기본적으로 glibc 는 모든 DNS 요청을 /etc/resolv.conf 파일에 지정된 첫 번째 DNS 서버로 보냅니다. 이 서버가 응답하지 않으면 RHEL은 이 파일에 있는 다른 모든 이름 서버를 시도합니다. NetworkManager를 사용하면 /etc/resolv.conf 의 DNS 서버 순서에 영향을 줄 수 있습니다.
22.1. NetworkManager가 /etc/resolv.conf의 DNS 서버를 주문하는 방법
NetworkManager는 다음 규칙에 따라 /etc/resolv.conf 파일의 DNS 서버를 주문합니다.
- 하나의 연결 프로필만 존재하는 경우 NetworkManager는 해당 연결에 지정된 IPv4 및 IPv6 DNS 서버의 순서를 사용합니다.
여러 연결 프로필이 활성화되면 NetworkManager는 DNS 우선 순위 값을 기반으로 DNS 서버를 주문합니다. DNS 우선순위를 설정하면 NetworkManager의 동작은
dns매개변수에 설정된 값에 따라 달라집니다./etc/NetworkManager/NetworkManager.conf파일의[main]섹션에서 이 매개변수를 설정할 수 있습니다.DNS=default또는dns매개변수가 설정되지 않은 경우:NetworkManager는 각 연결에서
ipv4.dns-priority및ipv6.dns-priority매개변수를 기반으로 다양한 연결에서 DNS 서버를 정렬합니다.값을 설정하지 않거나
ipv4.dns-priority및ipv6.dns-priority를0으로 설정하면 NetworkManager는 글로벌 기본값을 사용합니다. DNS 우선순위 매개변수의 기본값 을 참조하십시오.DNS=dnsmasq또는dns=systemd-resolved:이러한 설정 중 하나를 사용하는 경우 NetworkManager는
dnsmasq의127.0.0.1또는127.0.0.53을/etc/resolv.conf파일의nameserver항목으로 설정합니다.dnsmasq및systemd-resolved서비스는 모두 NetworkManager 연결에 지정된 DNS 서버로 검색 도메인 집합에 대한 쿼리를 전달하며 기본 경로를 사용한 연결로 쿼리를 다른 도메인에 전달합니다. 여러 연결에 동일한 검색 도메인 집합이 있는 경우dnsmasq및systemd-resolvedforward queries for this domain to the DNS server set in the connection with the lowest priority value.
DNS 우선순위 매개변수의 기본값
NetworkManager는 연결에 다음 기본값을 사용합니다.
-
VPN 연결의 경우
50 -
100다른 연결
유효한 DNS 우선순위 값:
글로벌 기본값 및 연결별 ipv4.dns-priority 및 ipv6.dns-priority 매개변수를 -2147483647 과 2147483647 사이의 값으로 설정할 수 있습니다.
- 더 낮은 값은 우선순위가 높습니다.
- 음수 값은 값이 더 큰 다른 구성을 제외하는 특수 효과가 있습니다. 예를 들어 음수 우선 순위 값을 사용한 연결이 하나 이상 있는 경우 NetworkManager는 우선 순위가 가장 낮은 연결 프로필에 지정된 DNS 서버만 사용합니다.
여러 연결에 동일한 DNS 우선 순위가 있는 경우 NetworkManager는 다음 순서로 DNS에 우선 순위를 지정합니다.
- VPN 연결
- 활성 기본 경로와 연결됩니다. 활성 기본 경로는 가장 낮은 메트릭이 있는 기본 경로입니다.
22.2. NetworkManager 전체 기본 DNS 서버 우선순위 값 설정
NetworkManager는 연결에 다음 DNS 우선 순위 기본값을 사용합니다.
-
VPN 연결의 경우
50 -
100다른 연결
이러한 시스템 전체 기본값을 IPv4 및 IPv6 연결에 대한 사용자 지정 기본값으로 덮어쓸 수 있습니다.
프로세스
/etc/NetworkManager/NetworkManager.conf파일을 편집합니다.[connection]섹션이 없는 경우 추가합니다.[connection]
[connection]Copy to Clipboard Copied! Toggle word wrap Toggle overflow 사용자 지정 기본값을
[connection]섹션에 추가합니다. 예를 들어 IPv4 및 IPv6의 새 기본값을200으로 설정하려면 다음을 추가합니다.ipv4.dns-priority=200 ipv6.dns-priority=200
ipv4.dns-priority=200 ipv6.dns-priority=200Copy to Clipboard Copied! Toggle word wrap Toggle overflow 매개변수는
-2147483647과2147483647사이의 값으로 설정할 수 있습니다. 매개변수를0으로 설정하면 기본 제공 기본값이 활성화됩니다( VPN 연결의 경우50개 및 다른 연결의 경우100).
NetworkManager서비스를 다시 로드합니다.systemctl reload NetworkManager
# systemctl reload NetworkManagerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
22.3. NetworkManager 연결의 DNS 우선 순위 설정
특정 DNS 서버 순서가 필요한 경우 연결 프로필에서 우선순위 값을 설정할 수 있습니다. NetworkManager는 서비스가 /etc/resolv.conf 파일을 생성하거나 업데이트할 때 이러한 값을 사용하여 서버를 정렬합니다.
DNS 우선순위 설정은 서로 다른 DNS 서버가 구성된 여러 연결이 있는 경우에만 의미가 있습니다. 여러 DNS 서버가 구성된 연결만 있는 경우 연결 프로필에서 DNS 서버를 선호하는 순서로 수동으로 설정합니다.
사전 요구 사항
- 시스템에는 여러 개의 NetworkManager 연결이 구성되어 있습니다.
-
/etc/NetworkManager/NetworkManager.conf파일에dns매개 변수가 설정되지 않았거나 매개 변수가기본값으로설정되어 있습니다.
절차
선택 사항: 사용 가능한 연결을 표시합니다.
nmcli connection show NAME UUID TYPE DEVICE Example_con_1 d17ee488-4665-4de2-b28a-48befab0cd43 ethernet enp1s0 Example_con_2 916e4f67-7145-3ffa-9f7b-e7cada8f6bf7 ethernet enp7s0 ...
# nmcli connection show NAME UUID TYPE DEVICE Example_con_1 d17ee488-4665-4de2-b28a-48befab0cd43 ethernet enp1s0 Example_con_2 916e4f67-7145-3ffa-9f7b-e7cada8f6bf7 ethernet enp7s0 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipv4.dns-priority및ipv6.dns-priority매개변수를 설정합니다. 예를 들어 두 매개변수를 모두10으로 설정하려면 다음을 입력합니다.nmcli connection modify <connection_name> ipv4.dns-priority 10 ipv6.dns-priority 10
# nmcli connection modify <connection_name> ipv4.dns-priority 10 ipv6.dns-priority 10Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 선택 사항: 다른 연결에 대해 이전 단계를 반복합니다.
업데이트한 연결을 다시 활성화합니다.
nmcli connection up <connection_name>
# nmcli connection up <connection_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
/etc/resolv.conf파일의 내용을 표시하여 DNS 서버 순서가 올바른지 확인합니다.cat /etc/resolv.conf
# cat /etc/resolv.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow
23장. 다른 도메인에 다른 DNS 서버 사용
기본적으로 RHEL(Red Hat Enterprise Linux)은 모든 DNS 요청을 /etc/resolv.conf 파일에 지정된 첫 번째 DNS 서버로 보냅니다. 이 서버에 응답하지 않는 경우 RHEL은 작동 중인 서버를 찾을 때까지 이 파일의 다음 서버를 시도합니다. 하나의 DNS 서버가 모든 도메인을 확인할 수 없는 환경에서 관리자는 RHEL을 구성하여 특정 도메인에 대한 DNS 요청을 선택한 DNS 서버로 보낼 수 있습니다.
예를 들어 서버를 VPN(Virtual Private Network)에 연결하고 VPN의 호스트는 example.com 도메인을 사용합니다. 이 경우 다음과 같은 방식으로 DNS 쿼리를 처리하도록 RHEL을 구성할 수 있습니다.
-
example.com에 대한 DNS 요청만 VPN 네트워크의 DNS 서버로 보냅니다. - 다른 모든 요청을 기본 게이트웨이를 사용하여 연결 프로필에 구성된 DNS 서버로 보냅니다.
23.1. NetworkManager에서 dnsmasq를 사용하여 특정 도메인에 대한 DNS 요청을 선택한 DNS 서버로 전송
dnsmasq 인스턴스를 시작하도록 NetworkManager를 구성할 수 있습니다. 그런 다음 이 DNS 캐싱 서버는 루프백 장치의 포트 53 에서 수신 대기합니다. 결과적으로 이 서비스는 네트워크가 아닌 로컬 시스템에서만 연결할 수 있습니다.
이 구성을 통해 NetworkManager는 nameserver 127.0.0.1 항목을 /etc/resolv.conf 파일에 추가하고 dnsmasq 는 DNS 요청을 NetworkManager 연결 프로필에 지정된 해당 DNS 서버로 동적으로 라우팅합니다.
사전 요구 사항
- 시스템에 여러 NetworkManager 연결이 구성되어 있습니다.
DNS 서버 및 검색 도메인은 특정 도메인을 확인하는 연결을 위해 구성됩니다.
예를 들어 VPN 연결에 지정된 DNS 서버가
example.com도메인에 대한 쿼리를 확인하려면 다음 설정을 사용할 수 있어야 합니다.-
example.com을 확인할 수 있는 DNS 서버 . DHCP 서버는 이 정보를 동적으로 제공하거나 VPN 연결 프로필에서ipv4.dns및ipv6.dns매개변수를 설정할 수 있습니다. -
example.com으로 설정된 검색 도메인 . DHCP 서버는 이 정보를 동적으로 제공하거나 VPN 연결 프로필에ipv4.dns-search및ipv6.dns-search매개변수를 설정할 수 있습니다.
-
-
dnsmasq서비스는localhost와 다른 인터페이스에서 수신 대기하도록 구성되지 않았거나 실행되고 있지 않습니다.
프로세스
dnsmasq패키지를 설치합니다.yum install dnsmasq
# yum install dnsmasqCopy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/NetworkManager/NetworkManager.conf파일을 편집하고[main]섹션에 다음 항목을 설정합니다.dns=dnsmasq
dns=dnsmasqCopy to Clipboard Copied! Toggle word wrap Toggle overflow NetworkManager서비스를 다시 로드합니다.systemctl reload NetworkManager
# systemctl reload NetworkManagerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
서비스에서 다른 DNS 서버를 사용하는 도메인의
NetworkManager장치의systemd저널을 검색합니다.journalctl -xeu NetworkManager ... Jun 02 13:30:17 <client_hostname>_ dnsmasq[5298]: using nameserver 198.51.100.7#53 for domain example.com ...
# journalctl -xeu NetworkManager ... Jun 02 13:30:17 <client_hostname>_ dnsmasq[5298]: using nameserver 198.51.100.7#53 for domain example.com ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow tcpdump패킷 스니퍼를 사용하여 DNS 요청의 올바른 경로를 확인합니다.tcpdump패키지를 설치합니다.yum install tcpdump
# yum install tcpdumpCopy to Clipboard Copied! Toggle word wrap Toggle overflow 한 터미널에서
tcpdump를 시작하여 모든 인터페이스에서 DNS 트래픽을 캡처합니다.tcpdump -i any port 53
# tcpdump -i any port 53Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다른 터미널에서 예외와 다른 도메인이 존재하는 도메인의 호스트 이름을 확인합니다. 예를 들면 다음과 같습니다.
host -t A www.example.com host -t A www.redhat.com
# host -t A www.example.com # host -t A www.redhat.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow tcpdump출력에서 Red Hat Enterprise Linux가example.com도메인에 대한 DNS 쿼리만 지정된 DNS 서버와 해당 인터페이스를 통해 전송하는지 확인합니다.... 13:52:42.234533 IP server.43534 > 198.51.100.7.domain: 50121+ [1au] A? www.example.com. (33) ... 13:52:57.753235 IP server.40864 > 192.0.2.1.domain: 6906+ A? www.redhat.com. (33) ...
... 13:52:42.234533 IP server.43534 > 198.51.100.7.domain: 50121+ [1au] A? www.example.com. (33) ... 13:52:57.753235 IP server.40864 > 192.0.2.1.domain: 6906+ A? www.redhat.com. (33) ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow Red Hat Enterprise Linux는
www.example.com의 DNS 쿼리를198.51.100.7의 DNS 서버에 전송하고www.redhat.com에 대한 쿼리를192.0.2.1로 보냅니다.
문제 해결
/etc/resolv.conf파일의nameserver항목이127.0.0.1:을 참조하는지 확인합니다.cat /etc/resolv.conf nameserver 127.0.0.1
# cat /etc/resolv.conf nameserver 127.0.0.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 항목이 없는 경우
/etc/NetworkManager/NetworkManager.conf파일에서dns매개변수를 확인합니다.dnsmasq서비스가루프백장치의 포트53에서 수신 대기하는지 확인합니다.ss -tulpn | grep "127.0.0.1:53" udp UNCONN 0 0 127.0.0.1:53 0.0.0.0:* users:(("dnsmasq",pid=7340,fd=18)) tcp LISTEN 0 32 127.0.0.1:53 0.0.0.0:* users:(("dnsmasq",pid=7340,fd=19))# ss -tulpn | grep "127.0.0.1:53" udp UNCONN 0 0 127.0.0.1:53 0.0.0.0:* users:(("dnsmasq",pid=7340,fd=18)) tcp LISTEN 0 32 127.0.0.1:53 0.0.0.0:* users:(("dnsmasq",pid=7340,fd=19))Copy to Clipboard Copied! Toggle word wrap Toggle overflow 서비스가
127.0.0.1:53에서 수신 대기하지 않으면NetworkManager장치의 저널 항목을 확인합니다.journalctl -u NetworkManager
# journalctl -u NetworkManagerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
23.2. NetworkManager에서 systemd-resolved를 사용하여 특정 도메인에 대한 DNS 요청을 선택한 DNS 서버로 전송
systemd-resolved 인스턴스를 시작하도록 NetworkManager를 구성할 수 있습니다. 그런 다음 이 DNS 스텁 확인기에서 IP 주소 127.0.0. 의 포트 53에서 수신 대기합니다. 결과적으로 이 스텁 확인자는 네트워크가 아닌 로컬 시스템에서만 연결할 수 있습니다.
53
이 구성을 통해 NetworkManager는 이름 서버 127.0.0.53 항목을 /etc/resolv.conf 파일에 추가하고 systemd-resolved 는 DNS 요청을 NetworkManager 연결 프로필에 지정된 해당 DNS 서버로 동적으로 라우팅합니다.
systemd-resolved 서비스는 기술 프리뷰로만 제공됩니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있으며 Red Hat은 해당 기능을 프로덕션에 사용하지 않는 것이 좋습니다. 이러한 프리뷰를 통해 향후 제품 기능에 조기 액세스할 수 있어 개발 프로세스 중에 기능을 테스트하고 피드백을 제공할 수 있습니다.
기술 프리뷰 기능에 대한 지원 범위에 대한 정보는 Red Hat 고객 포털에서 기술 프리뷰 기능 지원 범위를 참조하십시오.
지원되는 솔루션은 NetworkManager에서 dnsmasq를 사용하여 특정 도메인에 대한 DNS 요청을 선택한 DNS 서버로 보내는 것을 참조하십시오.
사전 요구 사항
- 시스템에 여러 NetworkManager 연결이 구성되어 있습니다.
DNS 서버 및 검색 도메인은 특정 도메인을 확인하는 연결을 위해 구성됩니다.
예를 들어 VPN 연결에 지정된 DNS 서버가
example.com도메인에 대한 쿼리를 확인하려면 다음 설정을 사용할 수 있어야 합니다.-
example.com을 확인할 수 있는 DNS 서버 . DHCP 서버는 이 정보를 동적으로 제공하거나 VPN 연결 프로필에서ipv4.dns및ipv6.dns매개변수를 설정할 수 있습니다. -
example.com으로 설정된 검색 도메인 . DHCP 서버는 이 정보를 동적으로 제공하거나 VPN 연결 프로필에ipv4.dns-search및ipv6.dns-search매개변수를 설정할 수 있습니다.
-
프로세스
systemd-resolved패키지를 설치합니다.dnf install systemd-resolved
# dnf install systemd-resolvedCopy to Clipboard Copied! Toggle word wrap Toggle overflow systemd-resolved서비스를 활성화하고 시작합니다.systemctl --now enable systemd-resolved
# systemctl --now enable systemd-resolvedCopy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/NetworkManager/NetworkManager.conf파일을 편집하고[main]섹션에 다음 항목을 설정합니다.dns=systemd-resolved
dns=systemd-resolvedCopy to Clipboard Copied! Toggle word wrap Toggle overflow NetworkManager서비스를 다시 로드합니다.systemctl reload NetworkManager
# systemctl reload NetworkManagerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
서비스에서 다른 DNS 서버를 사용하는 도메인과
systemd-resolved의 사용을 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow systemd-resolved가example.com도메인에 다른 DNS 서버를 사용하는 것을 출력에서 확인합니다.tcpdump패킷 스니퍼를 사용하여 DNS 요청의 올바른 경로를 확인합니다.tcpdump패키지를 설치합니다.yum install tcpdump
# yum install tcpdumpCopy to Clipboard Copied! Toggle word wrap Toggle overflow 한 터미널에서
tcpdump를 시작하여 모든 인터페이스에서 DNS 트래픽을 캡처합니다.tcpdump -i any port 53
# tcpdump -i any port 53Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다른 터미널에서 예외와 다른 도메인이 존재하는 도메인의 호스트 이름을 확인합니다. 예를 들면 다음과 같습니다.
host -t A www.example.com host -t A www.redhat.com
# host -t A www.example.com # host -t A www.redhat.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow tcpdump출력에서 Red Hat Enterprise Linux가example.com도메인에 대한 DNS 쿼리만 지정된 DNS 서버와 해당 인터페이스를 통해 전송하는지 확인합니다.... 13:52:42.234533 IP server.43534 > 198.51.100.7.domain: 50121+ [1au] A? www.example.com. (33) ... 13:52:57.753235 IP server.40864 > 192.0.2.1.domain: 6906+ A? www.redhat.com. (33) ...
... 13:52:42.234533 IP server.43534 > 198.51.100.7.domain: 50121+ [1au] A? www.example.com. (33) ... 13:52:57.753235 IP server.40864 > 192.0.2.1.domain: 6906+ A? www.redhat.com. (33) ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow Red Hat Enterprise Linux는
www.example.com의 DNS 쿼리를198.51.100.7의 DNS 서버에 전송하고www.redhat.com에 대한 쿼리를192.0.2.1로 보냅니다.
문제 해결
/etc/resolv.conf파일의nameserver항목이127.0.0.53을 참조하는지 확인합니다.cat /etc/resolv.conf nameserver 127.0.0.53
# cat /etc/resolv.conf nameserver 127.0.0.53Copy to Clipboard Copied! Toggle word wrap Toggle overflow 항목이 없는 경우
/etc/NetworkManager/NetworkManager.conf파일에서dns매개변수를 확인합니다.systemd-resolved서비스가 로컬 IP 주소127.0.0.53의 포트 53에서 수신 대기하는지 확인합니다.ss -tulpn | grep "127.0.0.53" udp UNCONN 0 0 127.0.0.53%lo:53 0.0.0.0:* users:(("systemd-resolve",pid=1050,fd=12)) tcp LISTEN 0 4096 127.0.0.53%lo:53 0.0.0.0:* users:(("systemd-resolve",pid=1050,fd=13))# ss -tulpn | grep "127.0.0.53" udp UNCONN 0 0 127.0.0.53%lo:53 0.0.0.0:* users:(("systemd-resolve",pid=1050,fd=12)) tcp LISTEN 0 4096 127.0.0.53%lo:53 0.0.0.0:* users:(("systemd-resolve",pid=1050,fd=13))Copy to Clipboard Copied! Toggle word wrap Toggle overflow 서비스가
127.0.0.53:53에서 수신 대기하지 않으면systemd-resolved서비스가 실행 중인지 확인합니다.
24장. 기본 게이트웨이 설정 관리
기본 게이트웨이는 다른 경로가 패킷의 대상과 일치하지 않을 때 네트워크 패킷을 전달하는 라우터입니다. 로컬 네트워크에서 기본 게이트웨이는 일반적으로 인터넷에 더 가까운 호스트입니다.
24.1. nmcli를 사용하여 기존 연결에 기본 게이트웨이 설정
대부분의 경우 관리자는 연결을 만들 때 기본 게이트웨이를 설정합니다. 그러나 nmcli 유틸리티를 사용하여 이전에 생성된 연결에서 기본 게이트웨이 설정을 설정하거나 업데이트할 수도 있습니다.
사전 요구 사항
- 기본 게이트웨이가 설정될 연결에서 하나 이상의 고정 IP 주소를 구성해야 합니다.
-
사용자가 물리적 콘솔에 로그인한 경우 사용자 권한만으로도 충분합니다. 그러지 않으면 사용자에게
root권한이 있어야 합니다.
프로세스
기본 게이트웨이의 IP 주소를 설정합니다.
IPv4 기본 게이트웨이를 설정하려면 다음을 입력합니다.
nmcli connection modify <connection_name> ipv4.gateway "<IPv4_gateway_address>"
# nmcli connection modify <connection_name> ipv4.gateway "<IPv4_gateway_address>"Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 설정하려면 다음을 입력합니다.
nmcli connection modify <connection_name> ipv6.gateway "<IPv6_gateway_address>"
# nmcli connection modify <connection_name> ipv6.gateway "<IPv6_gateway_address>"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 변경 사항을 적용하려면 네트워크 연결을 다시 시작하십시오.
nmcli connection up <connection_name>
# nmcli connection up <connection_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 주의이 네트워크 연결을 현재 사용하는 모든 연결은 재시작 중에 일시적으로 중단됩니다.
검증
경로가 활성 상태인지 확인합니다.
IPv4 기본 게이트웨이를 표시하려면 다음을 입력합니다.
ip -4 route default via 192.0.2.1 dev example proto static metric 100
# ip -4 route default via 192.0.2.1 dev example proto static metric 100Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 표시하려면 다음을 입력합니다.
ip -6 route default via 2001:db8:1::1 dev example proto static metric 100 pref medium
# ip -6 route default via 2001:db8:1::1 dev example proto static metric 100 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow
24.2. nmcli 대화형 모드를 사용하여 기존 연결에 기본 게이트웨이 설정
대부분의 경우 관리자는 연결을 만들 때 기본 게이트웨이를 설정합니다. 그러나 nmcli 유틸리티의 대화형 모드를 사용하여 이전에 생성된 연결에 기본 게이트웨이 설정을 설정하거나 업데이트할 수도 있습니다.
사전 요구 사항
- 기본 게이트웨이가 설정될 연결에서 하나 이상의 고정 IP 주소를 구성해야 합니다.
-
사용자가 물리적 콘솔에 로그인한 경우 사용자 권한만으로도 충분합니다. 그러지 않으면 사용자에게
root권한이 있어야 합니다.
프로세스
필요한 연결에 대해
nmcli대화형 모드를 엽니다.nmcli connection edit <connection_name>
# nmcli connection edit <connection_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본 게이트웨이 설정
IPv4 기본 게이트웨이를 설정하려면 다음을 입력합니다.
nmcli> set ipv4.gateway "<IPv4_gateway_address>"
nmcli> set ipv4.gateway "<IPv4_gateway_address>"Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 설정하려면 다음을 입력합니다.
nmcli> set ipv6.gateway "<IPv6_gateway_address>"
nmcli> set ipv6.gateway "<IPv6_gateway_address>"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 기본 게이트웨이가 올바르게 설정되었는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 구성을 저장합니다.
nmcli> save persistent
nmcli> save persistentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 변경 사항을 적용하려면 네트워크 연결을 다시 시작하십시오.
nmcli> activate <connection_name>
nmcli> activate <connection_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 주의이 네트워크 연결을 현재 사용하는 모든 연결은 재시작 중에 일시적으로 중단됩니다.
nmcli대화형 모드를 그대로 둡니다.nmcli> quit
nmcli> quitCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
경로가 활성 상태인지 확인합니다.
IPv4 기본 게이트웨이를 표시하려면 다음을 입력합니다.
ip -4 route default via 192.0.2.1 dev example proto static metric 100
# ip -4 route default via 192.0.2.1 dev example proto static metric 100Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 표시하려면 다음을 입력합니다.
ip -6 route default via 2001:db8:1::1 dev example proto static metric 100 pref medium
# ip -6 route default via 2001:db8:1::1 dev example proto static metric 100 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow
24.3. nm-connection-editor를 사용하여 기존 연결에서 기본 게이트웨이 설정
대부분의 경우 관리자는 연결을 만들 때 기본 게이트웨이를 설정합니다. 그러나 nm-connection-editor 애플리케이션을 사용하여 이전에 생성한 연결에서 기본 게이트웨이 설정을 설정하거나 업데이트할 수도 있습니다.
사전 요구 사항
- 기본 게이트웨이가 설정될 연결에서 하나 이상의 고정 IP 주소를 구성해야 합니다.
프로세스
터미널을 열고
nm-connection-editor를 입력합니다.nm-connection-editor
# nm-connection-editorCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 수정할 연결을 선택하고 툴바꿈 아이콘을 클릭하여 기존 연결을 편집합니다.
IPv4 기본 게이트웨이를 설정합니다. 예를 들어
192.0.2.1연결에 대한 기본 게이트웨이의 IPv4 주소를 설정하려면 다음을 수행합니다.-
IPv4 설정탭을 엽니다. 게이트웨이주소가 있는 IP 범위 옆에 있는 gateway 필드에 주소를 입력합니다.
-
IPv6 기본 게이트웨이를 설정합니다. 예를 들어
2001:db8:1::1에 대한 연결에 기본 게이트웨이의 IPv6 주소를 설정하려면 다음을 수행합니다.-
IPv6탭을 엽니다. 게이트웨이주소가 있는 IP 범위 옆에 있는 gateway 필드에 주소를 입력합니다.
-
- 를 클릭합니다.
- 을 클릭합니다.
변경 사항을 적용하려면 네트워크 연결을 다시 시작합니다. 예를 들어 명령줄을 사용하여
예제연결을 다시 시작하려면 다음을 수행합니다.nmcli connection up example
# nmcli connection up exampleCopy to Clipboard Copied! Toggle word wrap Toggle overflow 주의이 네트워크 연결을 현재 사용하는 모든 연결은 재시작 중에 일시적으로 중단됩니다.
검증
경로가 활성 상태인지 확인합니다.
IPv4 기본 게이트웨이를 표시하려면 다음을 수행합니다.
ip -4 route default via 192.0.2.1 dev example proto static metric 100
# ip -4 route default via 192.0.2.1 dev example proto static metric 100Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 표시하려면 다음을 수행합니다.
ip -6 route default via 2001:db8:1::1 dev example proto static metric 100 pref medium
# ip -6 route default via 2001:db8:1::1 dev example proto static metric 100 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow
24.4. control-center를 사용하여 기존 연결에서 기본 게이트웨이 설정
대부분의 경우 관리자는 연결을 만들 때 기본 게이트웨이를 설정합니다. 그러나 control-center 애플리케이션을 사용하여 이전에 생성한 연결에서 기본 게이트웨이 설정을 설정하거나 업데이트할 수도 있습니다.
사전 요구 사항
- 기본 게이트웨이가 설정될 연결에서 하나 이상의 고정 IP 주소를 구성해야 합니다.
-
연결 네트워크 구성은
control-center애플리케이션에서 열립니다.
프로세스
IPv4 기본 게이트웨이를 설정합니다. 예를 들어
192.0.2.1연결에 대한 기본 게이트웨이의 IPv4 주소를 설정하려면 다음을 수행합니다.-
IPv4탭을 엽니다. 게이트웨이주소가 있는 IP 범위 옆에 있는 gateway 필드에 주소를 입력합니다.
-
IPv6 기본 게이트웨이를 설정합니다. 예를 들어
2001:db8:1::1에 대한 연결에 기본 게이트웨이의 IPv6 주소를 설정하려면 다음을 수행합니다.-
IPv6탭을 엽니다. 게이트웨이주소가 있는 IP 범위 옆에 있는 gateway 필드에 주소를 입력합니다.
-
- 클릭합니다.
네트워크창에서 연결 해제 및 변경 사항이 적용되도록 하려면 연결 버튼을 전환하여 연결을 비활성화 및 다시 활성화합니다.주의이 네트워크 연결을 현재 사용하는 모든 연결은 재시작 중에 일시적으로 중단됩니다.
검증
경로가 활성 상태인지 확인합니다.
IPv4 기본 게이트웨이를 표시하려면 다음을 수행합니다.
ip -4 route default via 192.0.2.1 dev example proto static metric 100
$ ip -4 route default via 192.0.2.1 dev example proto static metric 100Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 기본 게이트웨이를 표시하려면 다음을 수행합니다.
ip -6 route default via 2001:db8:1::1 dev example proto static metric 100 pref medium
$ ip -6 route default via 2001:db8:1::1 dev example proto static metric 100 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow
24.5. nmstatectl을 사용하여 기존 연결에 기본 게이트웨이 설정
대부분의 경우 관리자는 연결을 만들 때 기본 게이트웨이를 설정합니다. 그러나 nmstatectl 유틸리티를 사용하여 이전에 생성된 연결에서 기본 게이트웨이 설정을 설정하거나 업데이트할 수도 있습니다.
nmstatectl 유틸리티를 사용하여 Nmstate API를 통해 기본 게이트웨이를 설정합니다. Nmstate API는 구성을 설정한 후 결과가 구성 파일과 일치하는지 확인합니다. 문제가 발생하면 nmstatectl 이 변경 사항을 자동으로 롤백하여 시스템을 잘못된 상태로 두지 않습니다.
사전 요구 사항
- 기본 게이트웨이가 설정될 연결에서 하나 이상의 고정 IP 주소를 구성해야 합니다.
-
enp1s0인터페이스가 구성되고 기본 게이트웨이의 IP 주소는 이 인터페이스의 IP 구성 서브넷에 있습니다. -
nmstate패키지가 설치되어 있습니다.
프로세스
다음 콘텐츠를 사용하여 YAML 파일(예:
~/set-default-gateway.yml)을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 설정은
192.0.2.1을 기본 게이트웨이로 정의하고 기본 게이트웨이는enp1s0인터페이스를 통해 연결할 수 있습니다.시스템에 설정을 적용합니다.
nmstatectl apply ~/set-default-gateway.yml
# nmstatectl apply ~/set-default-gateway.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
24.6. 네트워크 RHEL 시스템 역할을 사용하여 기존 연결에 기본 게이트웨이 설정
패킷은 직접 연결된 네트워크를 통해 또는 호스트에 구성된 경로를 통해 도달할 수 없는 경우 호스트는 네트워크 패킷을 기본 게이트웨이로 전달합니다. 호스트의 기본 게이트웨이를 구성하려면 기본 게이트웨이와 동일한 네트워크에 연결된 인터페이스의 NetworkManager 연결 프로필에 설정합니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
대부분의 경우 관리자는 연결을 만들 때 기본 게이트웨이를 설정합니다. 그러나 이전에 생성한 연결에서 기본 게이트웨이 설정을 설정하거나 업데이트할 수도 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 기존 연결 프로필의 특정 값만 업데이트할 수 없습니다. 이 역할은 연결 프로필이 플레이북의 설정과 정확히 일치하는지 확인합니다. 동일한 이름의 연결 프로필이 이미 존재하는 경우 역할은 플레이북의 설정을 적용하고 프로필의 다른 모든 설정을 기본값으로 재설정합니다. 값을 재설정하지 않으려면 변경하려는 설정을 포함하여 플레이북에서 네트워크 연결 프로필의 전체 구성을 항상 지정합니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
관리 노드의 Ansible 팩트를 쿼리하고 활성 네트워크 설정을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
24.7. 레거시 네트워크 스크립트를 사용할 때 기존 연결에서 기본 게이트웨이 설정
대부분의 경우 관리자는 연결을 만들 때 기본 게이트웨이를 설정합니다. 그러나 레거시 네트워크 스크립트를 사용할 때 이전에 생성된 연결에서 기본 게이트웨이 설정을 설정하거나 업데이트할 수도 있습니다.
사전 요구 사항
-
NetworkManager패키지가 설치되지 않았거나NetworkManager서비스가 비활성화되어 있습니다. -
network-scripts패키지가 설치되어 있습니다.
프로세스
/etc/sysconfig/network-scripts/ifcfg-enp1s0파일에서GATEWAY매개변수를192.0.2.1로 설정합니다.GATEWAY=192.0.2.1
GATEWAY=192.0.2.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/sysconfig/network-scripts/route-enp0s1파일에default항목을 추가합니다.default via 192.0.2.1
default via 192.0.2.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크를 재시작합니다.
systemctl restart network
# systemctl restart networkCopy to Clipboard Copied! Toggle word wrap Toggle overflow
24.8. NetworkManager가 여러 기본 게이트웨이를 관리하는 방법
예를 들어 대체 이유로 특정 상황에서는 호스트에서 여러 기본 게이트웨이를 설정합니다. 그러나 비동기 라우팅 문제를 방지하려면 동일한 프로토콜의 각 기본 게이트웨이에 별도의 메트릭 값이 필요합니다. RHEL은 가장 낮은 지표가 설정된 기본 게이트웨이에 대한 연결만 사용합니다.
다음 명령을 사용하여 연결의 IPv4 및 IPv6 게이트웨이 모두에 대한 지표를 설정할 수 있습니다.
nmcli connection modify <connection_name> ipv4.route-metric <value> ipv6.route-metric <value>
# nmcli connection modify <connection_name> ipv4.route-metric <value> ipv6.route-metric <value>라우팅 문제를 방지하기 위해 여러 연결 프로필에서 동일한 프로토콜에 대해 동일한 메트릭 값을 설정하지 마십시오.
지표 값 없이 기본 게이트웨이를 설정하면 NetworkManager가 인터페이스 유형에 따라 지표 값을 자동으로 설정합니다. 이를 위해 NetworkManager는 이 네트워크 유형의 기본값을 활성화된 첫 번째 연결에 할당하고, 활성화 순서에 따라 동일한 유형의 서로 연결된 증분 값을 설정합니다. 예를 들어 기본 게이트웨이가 있는 두 개의 이더넷 연결이 있는 경우 NetworkManager는 경로에 100 의 지표를 먼저 활성화하는 연결의 기본 게이트웨이로 설정합니다. 두 번째 연결의 경우 NetworkManager는 101 을 설정합니다.
다음은 자주 사용되는 네트워크 유형 및 기본 메트릭에 대한 개요입니다.
| 연결 유형 | 기본 메트릭 값 |
|---|---|
| VPN | 50 |
| 이더넷 | 100 |
| MACsec | 125 |
| InfiniBand | 150 |
| 본딩 | 300 |
| 팀 | 350 |
| VLAN | 400 |
| Bridge | 425 |
| TUN | 450 |
| Wi-Fi | 600 |
| IP 터널 | 675 |
24.9. 기본 게이트웨이를 제공하기 위해 특정 프로필을 사용하지 않도록 NetworkManager 구성
NetworkManager에서 특정 프로필을 사용하지 않도록 설정하여 기본 게이트웨이를 제공하도록 구성할 수 있습니다. 기본 게이트웨이에 연결되지 않은 연결 프로필은 다음 절차를 따르십시오.
사전 요구 사항
- 기본 게이트웨이에 연결되지 않은 연결에 대한 NetworkManager 연결 프로필이 있습니다.
프로세스
연결에서 동적 IP 구성을 사용하는 경우 NetworkManager에서 이 연결을 해당 IP 유형의 기본 연결로 사용하지 않도록 구성하십시오. 즉 NetworkManager는 기본 경로를 할당하지 않습니다.
nmcli connection modify <connection_name> ipv4.never-default yes ipv6.never-default yes
# nmcli connection modify <connection_name> ipv4.never-default yes ipv6.never-default yesCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipv4.never-default및ipv6.never-default를yes로 설정하면 연결 프로필에서 해당 프로토콜에 대한 기본 게이트웨이의 IP 주소가 자동으로 제거됩니다.연결을 활성화합니다.
nmcli connection up <connection_name>
# nmcli connection up <connection_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
-
ip -4 route및ip -6 route명령을 사용하여 RHEL이 IPv4 및 IPv6 프로토콜의 기본 경로에 네트워크 인터페이스를 사용하지 않는지 확인합니다.
24.10. 여러 기본 게이트웨이로 인한 예기치 않은 라우팅 동작 수정
Multipath TCP를 사용하는 경우와 같이 호스트에 여러 기본 게이트웨이가 필요한 몇 가지 시나리오만 있습니다. 대부분의 경우 예기치 않은 라우팅 동작 또는 비동기 라우팅 문제를 방지하기 위해 단일 기본 게이트웨이만 구성합니다.
트래픽을 다른 인터넷 공급자로 라우팅하려면 여러 기본 게이트웨이 대신 정책 기반 라우팅을 사용합니다.
사전 요구 사항
- 호스트는 NetworkManager를 사용하여 기본값인 네트워크 연결을 관리합니다.
- 호스트에는 여러 네트워크 인터페이스가 있습니다.
- 호스트에는 여러 기본 게이트웨이가 구성되어 있습니다.
프로세스
라우팅 테이블을 표시합니다.
IPv4의 경우 다음을 입력합니다.
ip -4 route default via 192.0.2.1 dev enp1s0 proto dhcp metric 101 default via 198.51.100.1 dev enp7s0 proto dhcp metric 102 ...
# ip -4 route default via 192.0.2.1 dev enp1s0 proto dhcp metric 101 default via 198.51.100.1 dev enp7s0 proto dhcp metric 102 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6의 경우 다음을 입력합니다.
ip -6 route default via 2001:db8:1::1 dev enp1s0 proto static ra 101 pref medium default via 2001:db8:2::1 dev enp7s0 proto static ra 102 pref medium ...
# ip -6 route default via 2001:db8:1::1 dev enp1s0 proto static ra 101 pref medium default via 2001:db8:2::1 dev enp7s0 proto static ra 102 pref medium ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
기본값으로 시작하는 항목은 기본 경로를 나타냅니다.dev옆에 표시되는 이러한 항목의 인터페이스 이름을 확인합니다.다음 명령을 사용하여 이전 단계에서 식별한 인터페이스를 사용하는 NetworkManager 연결을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 예제에서
Corporate-LAN및Internet-Provider라는 프로필에는 기본 게이트웨이가 설정되어 있습니다. 로컬 네트워크에서 기본 게이트웨이는 일반적으로 인터넷에 더 가까운 호스트이므로 이 절차의 나머지 부분에서는Corporate-LAN의 기본 게이트웨이가 올바르지 않다고 가정합니다.NetworkManager가
Corporate-LAN연결을 IPv4 및 IPv6 연결의 기본 경로로 사용하지 않도록 구성합니다.nmcli connection modify Corporate-LAN ipv4.never-default yes ipv6.never-default yes
# nmcli connection modify Corporate-LAN ipv4.never-default yes ipv6.never-default yesCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipv4.never-default및ipv6.never-default를yes로 설정하면 연결 프로필에서 해당 프로토콜에 대한 기본 게이트웨이의 IP 주소가 자동으로 제거됩니다.Corporate-LAN연결을 활성화합니다.nmcli connection up Corporate-LAN
# nmcli connection up Corporate-LANCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
IPv4 및 IPv6 라우팅 테이블을 표시하고 각 프로토콜에 하나의 기본 게이트웨이만 사용할 수 있는지 확인합니다.
IPv4의 경우 다음을 입력합니다.
ip -4 route default via 198.51.100.1 dev enp7s0 proto dhcp metric 102 ...
# ip -4 route default via 198.51.100.1 dev enp7s0 proto dhcp metric 102 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6의 경우 다음을 입력합니다.
ip -6 route default via 2001:db8:2::1 dev enp7s0 proto ra metric 102 pref medium ...
# ip -6 route default via 2001:db8:2::1 dev enp7s0 proto ra metric 102 pref medium ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
25장. 정적 경로 구성
라우팅을 사용하면 상호 연결된 네트워크 간에 트래픽을 전송하고 수신할 수 있습니다. 대규모 환경에서는 일반적으로 라우터가 다른 라우터에 대해 동적으로 배울 수 있도록 서비스를 구성합니다. 소규모 환경에서는 관리자가 트래픽이 한 네트워크에서 다음 네트워크로 연결할 수 있도록 정적 경로를 구성하는 경우가 많습니다.
다음 조건이 모두 적용되는 경우 여러 네트워크 간에 작동하는 통신을 얻으려면 정적 경로가 필요합니다.
- 트래픽은 여러 네트워크를 전달해야 합니다.
- 기본 게이트웨이를 통한 배타적 트래픽 흐름으로는 충분하지 않습니다.
정적 경로 섹션이 필요한 네트워크의 예는 시나리오와 정적 경로를 구성하지 않을 때 다른 네트워크 간에 트래픽이 이동하는 방법을 설명합니다.
25.1. 정적 경로가 필요한 네트워크의 예
모든 IP 네트워크가 하나의 라우터를 통해 직접 연결되어 있지 않기 때문에 이 예에서는 정적 경로가 필요합니다. 정적 경로가 없으면 일부 네트워크는 서로 통신할 수 없습니다. 또한 일부 네트워크의 트래픽은 한 방향으로만 이동합니다.
이 예제의 네트워크 토폴로지는 인공이며 정적 라우팅의 개념을 설명하는 데만 사용됩니다. 프로덕션 환경에서는 권장되는 토폴로지가 아닙니다.
이 예제의 모든 네트워크 간에 작동하는 통신의 경우 홉 라우터 2(203.0.113.10)를 사용하여 Raleigh (198.51.100.0/24)로 정적 경로를 구성합니다. 다음 홉의 IP 주소는 데이터 센터 네트워크의 라우터 2 중 하나입니다(203.0.113.0/24).
다음과 같이 정적 경로를 구성할 수 있습니다.
-
간소화된 구성의 경우 라우터 1에서만 이 정적 경로를 설정합니다. 그러나 데이터 센터 (
203.0.113.0/24)의 호스트가 라우터 1을 통해 항상 라우터 1을 통해 Raleigh (198.51.100.0/24)로 트래픽을 전송하므로 라우터 1의 트래픽이 증가합니다. -
보다 복잡한 구성을 위해 데이터 센터의 모든 호스트에 이 정적 경로를 구성합니다(
203.0.113.0/24). 그런 다음 이 서브넷의 모든 호스트는 Raleigh (198.51.100.0/24)에 더 가까운 라우터 2 (203.0.113.10)로 직접 트래픽을 보냅니다.
트래픽이 이동하는 네트워크 간의 자세한 내용은 다이어그램 아래의 설명을 참조하십시오.
필요한 정적 경로가 구성되지 않은 경우 다음과 같이 통신이 작동하는 상황과 그렇지 않은 경우입니다.
도달 네트워크(
192.0.2.0/24)의 호스트:- 직접 연결되어 있기 때문에 동일한 서브넷의 다른 호스트와 통신할 수 있습니다.
-
라우터 1이 192.0.2. 네트워크(
192.0.2.0/24)에 있고 인터넷으로 이어지는 기본 게이트웨이가 있기 때문에 인터넷과 통신할 수 있습니다. -
라우터 1의 인터페이스(
192.0.2.0/24)와 데이터 센터(203.0.113.0/24) 네트워크 모두에 인터페이스가 있으므로 데이터 센터 네트워크(203.0.113.0/24)와 통신할 수 있습니다. -
라우터 1에 이 네트워크에 인터페이스가 없으므로 Raleigh 네트워크(
198.51.100.0/24)와 통신할 수 없습니다. 따라서 라우터 1은 트래픽을 자체 기본 게이트웨이(인터넷)로 보냅니다.
데이터 센터 네트워크의 호스트 (
203.0.113.0/24):- 직접 연결되어 있기 때문에 동일한 서브넷의 다른 호스트와 통신할 수 있습니다.
-
기본 게이트웨이가 Router 1로 설정되어 있으므로 인터넷과 통신할 수 있으며 Router 1에는 네트워크, 데이터 센터(
203.0.113.0/24) 및 인터넷 모두에 인터페이스가 있기 때문입니다. -
기본 게이트웨이가 Router 1로 설정되어 있고 Router 1은 데이터 센터(
203.0.113.0/24)와 인터페이스(192.0.2.0/24) 네트워크 둘 다에 인터페이스가 있기 때문에kafka 네트워크(192.0.2.0/24)와 통신할 수 있습니다. -
데이터 센터 네트워크에 이 네트워크에 인터페이스가 없으므로 Raleigh 네트워크(
198.51.100.0/24)와 통신할 수 없습니다. 따라서 데이터 센터(203.0.113.0/24)의 호스트는 트래픽을 기본 게이트웨이(Router 1)로 보냅니다. 라우터 1에는 Raleigh 네트워크(198.51.100.0/24)에 인터페이스가 없으며 결과적으로 라우터 1은 이 트래픽을 자체 기본 게이트웨이(internet)로 보냅니다.
Raleigh 네트워크의 호스트 (
198.51.100.0/24)- 직접 연결되어 있기 때문에 동일한 서브넷의 다른 호스트와 통신할 수 있습니다.
-
인터넷상의 호스트와 통신할 수 없습니다. 라우터 2는 기본 게이트웨이 설정으로 인해 트래픽을 Router 1로 보냅니다. 라우터 1의 실제 동작은 역방향 경로 필터(
rp_filter) 시스템 제어(sysctl) 설정에 따라 다릅니다. 기본적으로 RHEL에서 라우터 1은 인터넷으로 라우팅하는 대신 발신 트래픽을 삭제합니다. 그러나 구성된 동작과 관계없이 정적 경로 없이는 통신이 불가능합니다. -
데이터 센터 네트워크와 통신할 수 없습니다(
203.0.113.0/24). 기본 게이트웨이 설정으로 인해 나가는 트래픽은 Router 2를 통해 대상에 도달합니다. 그러나 데이터 센터 네트워크(203.0.113.0/24)의 호스트가 기본 게이트웨이(Router 1)에 응답을 전송하므로 패킷에 대한 응답이 발신자에 도달하지 않습니다. 그런 다음 라우터 1은 트래픽을 인터넷으로 전송합니다. -
192.0.2. 네트워크와 통신할 수 없습니다(
192.0.2.0/24). 라우터 2는 기본 게이트웨이 설정으로 인해 트래픽을 Router 1로 보냅니다. 라우터 1의 실제 동작은sysctl설정rp_filter에 따라 다릅니다. 기본적으로 RHEL에서 Router 1은 192.0.2. 네트워크(192.0.2.0/24)로 보내는 대신 발신 트래픽을 삭제합니다. 그러나 구성된 동작과 관계없이 정적 경로 없이는 통신이 불가능합니다.
정적 경로를 구성하는 것 외에도 두 라우터 모두에서 IP 전달을 활성화해야 합니다.
25.2. nmcli 유틸리티를 사용하여 정적 경로를 구성하는 방법
정적 경로를 구성하려면 다음 구문과 함께 nmcli 유틸리티를 사용합니다.
nmcli connection modify connection_name ipv4.routes "ip[/prefix] [next_hop] [metric] [attribute=value] [attribute=value] ..."
$ nmcli connection modify connection_name ipv4.routes "ip[/prefix] [next_hop] [metric] [attribute=value] [attribute=value] ..."명령은 다음 경로 속성을 지원합니다.
-
cwnd=n: 패킷 수에 정의된 혼잡 창(CWND) 크기를 설정합니다. -
lock-cwnd=true|false: 커널이 CWND 값을 업데이트할 수 있는지 여부를 정의합니다. -
lock-mtu=true|false: 커널이 MTU 검색을 라우팅하도록 MTU를 업데이트할 수 있는지 여부를 정의합니다. -
lock-window=true|false: 커널이 TCP 패킷의 최대 창 크기를 업데이트할 수 있는지 여부를 정의합니다. -
mtu=<mtu_value>: 대상 경로에 사용할 최대 전송 단위(MTU)를 설정합니다. -
onlink=true|false: 인터페이스 접두사와 일치하지 않는 경우에도 다음 홉이 이 링크에 직접 연결되었는지 여부를 정의합니다. -
scope=<scope>: IPv4 경로의 경우 이 속성은 경로 접두사에서 다루는 대상의 범위를 설정합니다. 값을 정수 (0-255)로 설정합니다. -
src=<source_address>: 경로 접두사가 적용되는 대상으로 트래픽을 보낼 때 선호하는 소스 주소를 설정합니다. -
table=<table_id>: 경로가 추가해야 하는 테이블의 ID를 설정합니다. 이 매개변수를 생략하면 NetworkManager는기본테이블을 사용합니다. -
tos=<type_of_service_key>: 서비스 유형 (TOS) 키를 설정합니다. 값을 정수 (0-255)로 설정합니다. -
type=<route_type>: 경로 유형을 설정합니다. NetworkManager는unicast,local,blackhole,unreachable,prohibit및throw경로 유형을 지원합니다. 기본값은unicast입니다. -
window=<window_size>: 바이트 단위로 측정된 이러한 대상에 알리기 위해 TCP의 최대 창 크기를 설정합니다.
이전 + 기호 없이 ipv4.routes 옵션을 사용하는 경우 nmcli 는 이 매개변수의 모든 현재 설정을 덮어씁니다.
추가 경로를 생성하려면 다음을 입력합니다.
nmcli connection modify connection_name +ipv4.routes "<route>"
$ nmcli connection modify connection_name +ipv4.routes "<route>"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 경로를 제거하려면 다음을 입력합니다.
nmcli connection modify connection_name -ipv4.routes "<route>"
$ nmcli connection modify connection_name -ipv4.routes "<route>"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
25.3. nmcli를 사용하여 정적 경로 구성
nmcli connection modify 명령을 사용하여 기존 NetworkManager 연결 프로필에 정적 경로를 추가할 수 있습니다.
다음 절차에서는 다음 경로를 구성합니다.
-
원격
198.51.100.0/24네트워크로 연결되는 IPv4 경로입니다. IP 주소192.0.2.10이 있는 해당 게이트웨이는LAN연결 프로필을 통해 연결할 수 있습니다. -
원격
2001:db8:2::/64네트워크로의 IPv6 경로입니다. IP 주소2001:db8:1::10이 있는 해당 게이트웨이는LAN연결 프로필을 통해 연결할 수 있습니다.
사전 요구 사항
-
LAN연결 프로필이 존재하고 게이트웨이와 동일한 IP 서브넷에 이 호스트를 구성합니다.
프로세스
LAN연결 프로필에 정적 IPv4 경로를 추가합니다.nmcli connection modify LAN +ipv4.routes "198.51.100.0/24 192.0.2.10"
# nmcli connection modify LAN +ipv4.routes "198.51.100.0/24 192.0.2.10"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 한 단계로 여러 경로를 설정하려면 쉼표로 구분된 개별 경로를 명령에 전달합니다.
nmcli connection modify <connection_profile> +ipv4.routes "<remote_network_1>/<subnet_mask_1> <gateway_1>, <remote_network_n>/<subnet_mask_n> <gateway_n>, ..."
# nmcli connection modify <connection_profile> +ipv4.routes "<remote_network_1>/<subnet_mask_1> <gateway_1>, <remote_network_n>/<subnet_mask_n> <gateway_n>, ..."Copy to Clipboard Copied! Toggle word wrap Toggle overflow LAN연결 프로필에 정적 IPv6 경로를 추가합니다.nmcli connection modify LAN +ipv6.routes "2001:db8:2::/64 2001:db8:1::10"
# nmcli connection modify LAN +ipv6.routes "2001:db8:2::/64 2001:db8:1::10"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결을 다시 활성화합니다.
nmcli connection up LAN
# nmcli connection up LANCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
IPv4 경로를 표시합니다.
ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0
# ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 경로를 표시합니다.
ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref medium
# ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow
25.4. nmtui를 사용하여 정적 경로 구성
nmtui 애플리케이션은 NetworkManager에 대한 텍스트 기반 사용자 인터페이스를 제공합니다. nmtui 를 사용하여 그래픽 인터페이스 없이 호스트에서 정적 경로를 구성할 수 있습니다.
예를 들어 아래 절차에서는 기존 연결 프로필을 통해 연결할 수 있는 198.51.100.1 에서 실행되는 게이트웨이를 사용하는 192.0.2.0/24 네트워크에 경로를 추가합니다.
nmtui 에서:
- 커서 키를 사용하여 이동합니다.
- 버튼을 선택하고 Enter 키를 눌러 합니다.
- Space 를 사용하여 확인란을 선택하고 지웁니다.
- 이전 화면으로 돌아가려면 ESC 를 사용합니다.
사전 요구 사항
- 네트워크가 구성되어 있습니다.
- 정적 경로의 게이트웨이는 인터페이스에서 직접 연결할 수 있어야 합니다.
- 사용자가 물리적 콘솔에 로그인한 경우 사용자 권한만으로도 충분합니다. 그러지 않으면 명령에 root 권한이 필요합니다.
프로세스
start
nmtui:nmtui
# nmtuiCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Edit a connection 을 선택하고 Enter 를 누릅니다.
- 대상 네트워크의 다음 홉에 도달할 수 있는 연결 프로필을 선택하고 Enter 키를 누릅니다.
- IPv4 또는 IPv6 경로인지 여부에 따라 프로토콜의 구성 영역 옆에 있는 Show 버튼을 누릅니다.
라우팅 옆에 있는 편집 버튼을 누릅니다. 그러면 정적 경로를 구성하는 새 창이 열립니다.
추가 버튼을 누른 후 다음을 작성합니다.
- CIDR(Classless Inter-Domain Routing) 형식의 접두사를 포함한 대상 네트워크
- 다음 홉의 IP 주소
- 메트릭 값: 동일한 네트워크에 여러 경로를 추가하고 효율성에 따라 경로 우선 순위를 지정하려는 경우
- 추가할 모든 경로에 대해 이전 단계를 반복하고 이 연결 프로필을 통해 연결할 수 있습니다.
확인 버튼을 눌러 연결 설정으로 창으로 돌아갑니다.
그림 25.1. 메트릭이 없는 정적 경로의 예
-
OK 버튼을 눌러
nmtui메인 메뉴로 돌아갑니다. - 연결 활성화를 선택하고 Enter 를 누릅니다.
편집한 연결 프로필을 선택하고 Enter 를 두 번 눌러 비활성화한 후 다시 활성화합니다.
중요다시 활성화하려는 연결 프로필을 사용하는 SSH와 같은 원격 연결을 통해
nmtui를 실행하는 경우 이 단계를 건너뜁니다. 이 경우nmtui에서 비활성화하면 연결이 종료되고 결과적으로 다시 활성화할 수 없습니다. 이 문제를 방지하려면nmcli connection < connection_profile > up명령을 사용하여 언급된 시나리오에서 연결을 다시 활성화합니다.- 뒤로 버튼을 눌러 메인 메뉴로 돌아갑니다.
-
Quit 를 선택하고 Enter 를 눌러
nmtui애플리케이션을 종료합니다.
검증
경로가 활성 상태인지 확인합니다.
ip route ... 192.0.2.0/24 via 198.51.100.1 dev example proto static metric 100
$ ip route ... 192.0.2.0/24 via 198.51.100.1 dev example proto static metric 100Copy to Clipboard Copied! Toggle word wrap Toggle overflow
25.5. control-center를 사용하여 정적 경로 구성
GNOME의 control-center 를 사용하여 네트워크 연결 구성에 정적 경로를 추가할 수 있습니다.
다음 절차에서는 다음 경로를 구성합니다.
-
원격
198.51.100.0/24네트워크로 연결되는 IPv4 경로입니다. 해당 게이트웨이에는 IP 주소192.0.2.10이 있습니다. -
원격
2001:db8:2::/64네트워크로의 IPv6 경로입니다. 해당 게이트웨이에는 IP 주소2001:db8:1::10이 있습니다.
사전 요구 사항
- 네트워크가 구성되어 있습니다.
- 이 호스트는 게이트웨이와 동일한 IP 서브넷에 있습니다.
-
연결 네트워크 구성이
control-center애플리케이션에서 열립니다. nm-connection-editor를 사용하여 이더넷 연결 구성 을 참조하십시오.
프로세스
IPv4탭에서 다음을 수행합니다.-
선택 사항: 정적 경로만 사용하도록
IPv4탭의경로섹션에서 버튼을 클릭하여 자동 경로를 비활성화합니다. 자동 경로가 활성화된 경우 Red Hat Enterprise Linux는 DHCP 서버에서 수신한 정적 경로와 경로를 사용합니다. 주소, 넷마스크, 게이트웨이, 선택적으로 IPv4 경로의 메트릭 값을 입력합니다.
-
선택 사항: 정적 경로만 사용하도록
IPv6탭에서 다음을 수행합니다.-
선택 사항: 버튼(켜기 버튼)을 클릭하여 자동 경로를 비활성화합니다. i the
Routesof theIPv4tab to use only static routes. address, 넷마스크, 게이트웨이 및 선택적으로 IPv6 경로의 메트릭 값을 입력합니다.
-
선택 사항: 버튼(켜기 버튼)을 클릭하여 자동 경로를 비활성화합니다. i the
- 클릭합니다.
네트워크창으로 돌아가 연결의 버튼을 전환하여 연결을 비활성화 및 다시 활성화한 후 변경 사항을 적용하려면 연결을 다시 시작합니다.주의연결을 다시 시작하면 해당 인터페이스에서 연결이 잠시 중단됩니다.
검증
IPv4 경로를 표시합니다.
ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0
# ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 경로를 표시합니다.
ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref medium
# ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow
25.6. nm-connection-editor를 사용하여 정적 경로 구성
nm-connection-editor 애플리케이션을 사용하여 네트워크 연결 구성에 정적 경로를 추가할 수 있습니다.
아래 절차에서는 다음 경로를 구성합니다.
-
원격
198.51.100.0/24네트워크로의 IPv4 경로입니다. IP 주소192.0.2.10을 사용하는 해당 게이트웨이는예제연결을 통해 연결할 수 있습니다. -
원격
2001:db8:2::/64네트워크에 대한 IPv6 경로입니다. IP 주소가2001:db8:1::10인 해당 게이트웨이는예제연결을 통해 연결할 수 있습니다.
사전 요구 사항
- 네트워크가 구성되어 있습니다.
- 이 호스트는 게이트웨이와 동일한 IP 서브넷에 있습니다.
절차
터미널을 열고
nm-connection-editor를 입력합니다.nm-connection-editor
$ nm-connection-editorCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
연결 프로파일
예제를 선택하고, 기존 연결을 편집하기 위해 톱니바퀴 아이콘을 클릭합니다. IPv4 설정탭에서 다음을 수행합니다.- 버튼을 클릭합니다.
) 버튼을 클릭하고 주소, 넷마스크, 게이트웨이 및 지표 값을 선택적으로 입력합니다.
- 클릭합니다.
IPv6 설정탭에서 다음을 수행합니다.- 버튼을 클릭합니다.
) 버튼을 클릭하고 주소, 넷마스크, 게이트웨이 및 지표 값을 선택적으로 입력합니다.
- 클릭합니다.
- 을 클릭합니다.
변경 사항을 적용하려면 네트워크 연결을 다시 시작합니다. 예를 들어 명령줄을 사용하여
예제연결을 다시 시작하려면 다음을 수행합니다.nmcli connection up example
# nmcli connection up exampleCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
IPv4 경로를 표시합니다.
ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0
# ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 경로를 표시합니다.
ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref medium
# ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow
25.7. nmcli 대화형 모드를 사용하여 정적 경로 구성
nmcli 유틸리티의 대화형 모드를 사용하여 네트워크 연결 구성에 정적 경로를 추가할 수 있습니다.
아래 절차에서는 다음 경로를 구성합니다.
-
원격
198.51.100.0/24네트워크로의 IPv4 경로입니다. IP 주소192.0.2.10을 사용하는 해당 게이트웨이는예제연결을 통해 연결할 수 있습니다. -
원격
2001:db8:2::/64네트워크에 대한 IPv6 경로입니다. IP 주소가2001:db8:1::10인 해당 게이트웨이는예제연결을 통해 연결할 수 있습니다.
사전 요구 사항
-
예제연결 프로파일이 존재하고 이 호스트가 게이트웨이와 동일한 IP 서브넷에 있도록 구성합니다.
절차
예제연결에 사용할nmcli대화형 모드를 엽니다.nmcli connection edit example
# nmcli connection edit exampleCopy to Clipboard Copied! Toggle word wrap Toggle overflow 정적 IPv4 경로를 추가합니다.
nmcli> set ipv4.routes 198.51.100.0/24 192.0.2.10
nmcli> set ipv4.routes 198.51.100.0/24 192.0.2.10Copy to Clipboard Copied! Toggle word wrap Toggle overflow 정적 IPv6 경로를 추가합니다.
nmcli> set ipv6.routes 2001:db8:2::/64 2001:db8:1::10
nmcli> set ipv6.routes 2001:db8:2::/64 2001:db8:1::10Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 경로가 구성에 올바르게 추가되었는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ip속성은 라우팅할 네트워크와 게이트웨이(다음 홉)를 표시합니다.설정을 저장합니다.
nmcli> save persistent
nmcli> save persistentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크 연결을 다시 시작합니다.
nmcli> activate example
nmcli> activate exampleCopy to Clipboard Copied! Toggle word wrap Toggle overflow nmcli대화형 모드를 종료합니다.nmcli> quit
nmcli> quitCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
IPv4 경로를 표시합니다.
ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0
# ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 경로를 표시합니다.
ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref medium
# ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow
25.8. nmstatectl을 사용하여 정적 경로 구성
nmstatectl 유틸리티를 사용하여 Nmstate API를 통해 정적 경로를 구성합니다. Nmstate API는 구성을 설정한 후 결과가 구성 파일과 일치하는지 확인합니다. 아무것도 실패하면 nmstatectl 에서 시스템을 잘못된 상태로 두지 않도록 변경 사항을 자동으로 롤백합니다.
사전 요구 사항
-
enp1s0네트워크 인터페이스가 구성되어 게이트웨이와 동일한 IP 서브넷에 있습니다. -
nmstate패키지가 설치되어 있습니다.
절차
다음 콘텐츠를 사용하여 YAML 파일(예:
~/add-static-route-to-enp1s0.yml)을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 설정은 다음 정적 경로를 정의합니다.
-
원격
198.51.100.0/24네트워크로의 IPv4 경로입니다. IP 주소192.0.2.10을 사용하는 해당 게이트웨이는enp1s0인터페이스를 통해 연결할 수 있습니다. -
원격
2001:db8:2::/64네트워크에 대한 IPv6 경로입니다. IP 주소가2001:db8:1::10인 해당 게이트웨이는enp1s0인터페이스를 통해 연결할 수 있습니다.
-
원격
시스템에 설정을 적용합니다.
nmstatectl apply ~/add-static-route-to-enp1s0.yml
# nmstatectl apply ~/add-static-route-to-enp1s0.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
IPv4 경로를 표시합니다.
ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0
# ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 경로를 표시합니다.
ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref medium
# ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow
25.9. 네트워크 RHEL 시스템 역할을 사용하여 정적 경로 구성
정적 경로를 사용하면 기본 게이트웨이를 통해 연결할 수 없는 대상으로 트래픽을 보낼 수 있습니다. 다음 홉과 동일한 네트워크에 연결된 인터페이스의 NetworkManager 연결 프로필에 정적 경로를 구성합니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 기존 연결 프로필의 특정 값만 업데이트할 수 없습니다. 이 역할은 연결 프로필이 플레이북의 설정과 정확히 일치하는지 확인합니다. 동일한 이름의 연결 프로필이 이미 존재하는 경우 역할은 플레이북의 설정을 적용하고 프로필의 다른 모든 설정을 기본값으로 재설정합니다. 값을 재설정하지 않으려면 변경하려는 설정을 포함하여 플레이북에서 네트워크 연결 프로필의 전체 구성을 항상 지정합니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리형 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
절차
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
플레이북을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
IPv4 경로를 표시합니다.
ansible managed-node-01.example.com -m command -a 'ip -4 route' managed-node-01.example.com | CHANGED | rc=0 >> ... 198.51.100.0/24 via 192.0.2.10 dev enp7s0
# ansible managed-node-01.example.com -m command -a 'ip -4 route' managed-node-01.example.com | CHANGED | rc=0 >> ... 198.51.100.0/24 via 192.0.2.10 dev enp7s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 경로를 표시합니다.
ansible managed-node-01.example.com -m command -a 'ip -6 route' managed-node-01.example.com | CHANGED | rc=0 >> ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp7s0 metric 1024 pref medium
# ansible managed-node-01.example.com -m command -a 'ip -6 route' managed-node-01.example.com | CHANGED | rc=0 >> ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp7s0 metric 1024 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow
25.10. 레거시 네트워크 스크립트를 사용하는 경우 키-값 형식으로 정적 경로 구성 파일 생성
레거시 네트워크 스크립트는 키-값 형식으로 statics 경로를 설정할 수 있도록 지원합니다.
아래 절차에서는 원격 198.51.100.0/24 네트워크에 대한 IPv4 경로를 구성합니다. IP 주소 192.0.2.10 을 사용하는 해당 게이트웨이는 enp1s0 인터페이스를 통해 연결할 수 있습니다.
레거시 네트워크 스크립트는 정적 IPv4 경로에 대해서만 키-값 형식을 지원합니다. IPv6 경로의 경우 ip-command 형식을 사용합니다. 레거시 네트워크 스크립트를 사용하는 경우 ip-command 형식으로 정적 경로 구성 파일 생성을 참조하십시오.
사전 요구 사항
- 정적 경로의 게이트웨이는 인터페이스에서 직접 연결할 수 있어야 합니다.
-
NetworkManager패키지가 설치되지 않았거나NetworkManager서비스가 비활성화되어 있습니다. -
network-scripts패키지가 설치되어 있습니다. -
네트워크서비스가 활성화되어 있습니다.
절차
정적 IPv4 경로를
/etc/sysconfig/network-scripts/route-enp0s1파일에 추가합니다.ADDRESS0=198.51.100.0 NETMASK0=255.255.255.0 GATEWAY0=192.0.2.10
ADDRESS0=198.51.100.0 NETMASK0=255.255.255.0 GATEWAY0=192.0.2.10Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
ADDRESS0변수는 첫 번째 라우팅 항목의 네트워크를 정의합니다. -
NETECDHEK0변수는 첫 번째 라우팅 항목의 넷마스크를 정의합니다. GATEWAY0변수는 첫 번째 라우팅 항목에 대한 원격 네트워크 또는 호스트에 대한 게이트웨이의 IP 주소를 정의합니다.정적 경로를 여러 개 추가하는 경우 변수 이름의 수를 늘립니다. 각 경로의 변수는 순차적으로 번호가 지정되어야 합니다. 예를 들어
ADDRESS0,ADDRESS1,ADDRESS3등입니다.
-
네트워크를 재시작합니다.
systemctl restart network
# systemctl restart networkCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
IPv4 경로를 표시합니다.
ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0
# ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
문제 해결
네트워크단위의 저널 항목을 표시합니다.journalctl -u network
# journalctl -u networkCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음은 가능한 오류 메시지와 그 원인입니다.
-
오류: NextECDHE에는 잘못된 게이트웨이가 있습니다. 이 라우터와 동일한 서브넷에 없는route-enp1s0파일에 IPv4 게이트웨이 주소를 지정하셨습니다. -
RTNETLINK 응답: 호스트경로 없음: 이 라우터와 동일한 서브넷에 없는route6-enp1s0파일에 IPv6 게이트웨이 주소를 지정하셨습니다. -
오류: 지정된 접두사 길이의 접두사가 유효하지 않습니다. 네트워크 주소가 아닌 원격 네트워크 내의 IP 주소를 사용하여route-enp1s0파일에 원격 네트워크를 지정했습니다.
-
25.11. 레거시 네트워크 스크립트를 사용하는 경우 ip-command 형식으로 정적 경로 구성 파일 생성
레거시 네트워크 스크립트는 정적 경로 설정을 지원합니다.
아래 절차에서는 다음 경로를 구성합니다.
-
원격
198.51.100.0/24네트워크로의 IPv4 경로입니다. IP 주소192.0.2.10을 사용하는 해당 게이트웨이는enp1s0인터페이스를 통해 연결할 수 있습니다. -
원격
2001:db8:2::/64네트워크에 대한 IPv6 경로입니다. IP 주소가2001:db8:1::10인 해당 게이트웨이는enp1s0인터페이스를 통해 연결할 수 있습니다.
게이트웨이의 IP 주소(다음 홉)는 고정 경로를 구성하는 호스트와 동일한 IP 서브넷에 있어야 합니다.
이 절차의 예제에서는 ip-command 형식의 구성 항목을 사용합니다.
사전 요구 사항
- 정적 경로의 게이트웨이는 인터페이스에서 직접 연결할 수 있어야 합니다.
-
NetworkManager패키지가 설치되지 않았거나NetworkManager서비스가 비활성화되어 있습니다. -
network-scripts패키지가 설치되어 있습니다. -
네트워크서비스가 활성화되어 있습니다.
절차
정적 IPv4 경로를
/etc/sysconfig/network-scripts/route-enp1s0파일에 추가합니다.198.51.100.0/24 via 192.0.2.10 dev enp1s0
198.51.100.0/24 via 192.0.2.10 dev enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 항상 원격 네트워크의 네트워크 주소를 지정합니다(예:
198.51.100.0).198.51.100.1과 같이 원격 네트워크 내에 IP 주소를 설정하면 네트워크 스크립트가 이 경로를 추가하지 못합니다.정적 IPv6 경로를
/etc/sysconfig/network-scripts/route6-enp1s0파일에 추가합니다.2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0
2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크서비스를 다시 시작합니다.systemctl restart network
# systemctl restart networkCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
IPv4 경로를 표시합니다.
ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0
# ip -4 route ... 198.51.100.0/24 via 192.0.2.10 dev enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6 경로를 표시합니다.
ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref medium
# ip -6 route ... 2001:db8:2::/64 via 2001:db8:1::10 dev enp1s0 metric 1024 pref mediumCopy to Clipboard Copied! Toggle word wrap Toggle overflow
문제 해결
네트워크단위의 저널 항목을 표시합니다.journalctl -u network
# journalctl -u networkCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음은 가능한 오류 메시지와 그 원인입니다.
-
오류: NextECDHE에는 잘못된 게이트웨이가 있습니다. 이 라우터와 동일한 서브넷에 없는route-enp1s0파일에 IPv4 게이트웨이 주소를 지정하셨습니다. -
RTNETLINK 응답: 호스트경로 없음: 이 라우터와 동일한 서브넷에 없는route6-enp1s0파일에 IPv6 게이트웨이 주소를 지정하셨습니다. -
오류: 지정된 접두사 길이의 접두사가 유효하지 않습니다. 네트워크 주소가 아닌 원격 네트워크 내의 IP 주소를 사용하여route-enp1s0파일에 원격 네트워크를 지정했습니다.
-
26장. 대체 경로를 정의하도록 정책 기반 라우팅 구성
기본적으로 RHEL의 커널은 라우팅 테이블을 사용하여 대상 주소를 기반으로 네트워크 패킷을 전달할 위치를 결정합니다. 정책 기반 라우팅을 사용하면 복잡한 라우팅 시나리오를 구성할 수 있습니다. 예를 들어 소스 주소, 패킷 메타데이터 또는 프로토콜과 같은 다양한 기준에 따라 패킷을 라우팅할 수 있습니다.
26.1. nmcli를 사용하여 특정 서브넷에서 다른 기본 게이트웨이로 트래픽 라우팅
정책 기반 라우팅을 사용하여 특정 서브넷의 트래픽에 대해 다른 기본 게이트웨이를 구성할 수 있습니다. 예를 들어 기본적으로 기본 경로를 사용하여 모든 트래픽을 인터넷 공급자 A로 라우팅하는 라우터로 RHEL을 구성할 수 있습니다. 그러나 내부 워크스테이션 서브넷에서 수신되는 트래픽은 공급자 B로 라우팅됩니다.
이 절차에서는 다음 네트워크 토폴로지를 가정합니다.
사전 요구 사항
-
시스템은
NetworkManager를 사용하여 네트워크를 구성합니다(기본값). 프로시저에서 설정할 RHEL 라우터에는 네 개의 네트워크 인터페이스가 있습니다.
-
enp7s0인터페이스는 공급자 A의 네트워크에 연결되어 있습니다. 공급자 네트워크의 게이트웨이 IP는198.51.100.2이며 네트워크는/30네트워크 마스크를 사용합니다. -
enp1s0인터페이스는 공급자 B의 네트워크에 연결되어 있습니다. 공급자 네트워크의 게이트웨이 IP는192.0.2.2이며 네트워크는/30네트워크 마스크를 사용합니다. -
enp8s0인터페이스는 내부 워크스테이션이 있는10.0.0.0/24서브넷에 연결되어 있습니다. -
enp9s0인터페이스는 회사 서버를 사용하여203.0.113.0/24서브넷에 연결됩니다.
-
-
내부 워크스테이션 서브넷의 호스트는 기본 게이트웨이로
10.0.0.1을 사용합니다. 이 절차에서는 이 IP 주소를 라우터의enp8s0네트워크 인터페이스에 할당합니다. -
서버 서브넷의 호스트는 기본 게이트웨이로
203.0.113.1을 사용합니다. 이 절차에서는 이 IP 주소를 라우터의enp9s0네트워크 인터페이스에 할당합니다. -
firewalld서비스가 활성화되어 있고 활성화됩니다.
프로세스
A를 공급자로 네트워크 인터페이스를 구성합니다.
nmcli connection add type ethernet con-name Provider-A ifname enp7s0 ipv4.method manual ipv4.addresses 198.51.100.1/30 ipv4.gateway 198.51.100.2 ipv4.dns 198.51.100.200 connection.zone external
# nmcli connection add type ethernet con-name Provider-A ifname enp7s0 ipv4.method manual ipv4.addresses 198.51.100.1/30 ipv4.gateway 198.51.100.2 ipv4.dns 198.51.100.200 connection.zone externalCopy to Clipboard Copied! Toggle word wrap Toggle overflow nmcli connection add명령은 NetworkManager 연결 프로필을 생성합니다. 명령은 다음 옵션을 사용합니다.-
유형 ethernet: 연결 유형이 이더넷임을 정의합니다. -
con-name <connection_name>: 프로필 이름을 설정합니다. 혼동을 피하기 위해 의미 있는 이름을 사용하십시오. -
ifname <network_device>: 네트워크 인터페이스를 설정합니다. -
ipv4.method manual: 고정 IP 주소를 구성할 수 있습니다. -
ipv4.addresses <IP_address>/<subnet_mask>: IPv4 주소 및 서브넷 마스크를 설정합니다. -
ipv4.gateway <IP_address>: 기본 게이트웨이 주소를 설정합니다. -
ipv4.dns <IP_of_DNS_server>: DNS 서버의 IPv4 주소를 설정합니다. -
connection.zone <firewalld_zone>: 정의된firewalld영역에 네트워크 인터페이스를 할당합니다.firewalld는외부영역에 할당된 인터페이스에 대해 자동으로 마스커레이딩을 활성화합니다.
-
네트워크 인터페이스를 공급자 B로 구성합니다.
nmcli connection add type ethernet con-name Provider-B ifname enp1s0 ipv4.method manual ipv4.addresses 192.0.2.1/30 ipv4.routes "0.0.0.0/0 192.0.2.2 table=5000" connection.zone external
# nmcli connection add type ethernet con-name Provider-B ifname enp1s0 ipv4.method manual ipv4.addresses 192.0.2.1/30 ipv4.routes "0.0.0.0/0 192.0.2.2 table=5000" connection.zone externalCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은
ipv4.gateway대신ipv4.routes매개변수를 사용하여 기본 게이트웨이를 설정합니다. 이 연결의 기본 게이트웨이를 기본값과 다른 라우팅 테이블(5000)에 할당해야 합니다. 연결이 활성화되면 NetworkManager가 이 새 라우팅 테이블을 자동으로 생성합니다.네트워크 인터페이스를 내부 워크스테이션 서브넷으로 구성합니다.
nmcli connection add type ethernet con-name Internal-Workstations ifname enp8s0 ipv4.method manual ipv4.addresses 10.0.0.1/24 ipv4.routes "10.0.0.0/24 table=5000" ipv4.routing-rules "priority 5 from 10.0.0.0/24 table 5000" connection.zone trusted
# nmcli connection add type ethernet con-name Internal-Workstations ifname enp8s0 ipv4.method manual ipv4.addresses 10.0.0.1/24 ipv4.routes "10.0.0.0/24 table=5000" ipv4.routing-rules "priority 5 from 10.0.0.0/24 table 5000" connection.zone trustedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은
ipv4.routes매개변수를 사용하여 ID5000이 있는 라우팅 테이블에 정적 경로를 추가합니다.10.0.0.0/24서브넷의 이 정적 경로는 로컬 네트워크 인터페이스의 IP를 사용하여 다음 홉으로 공급자 B(192.0.2.1)를 제공합니다.또한 명령에서는
ipv4.routing-rules매개변수를 사용하여10.0.0.0/24서브넷에서 테이블5000으로 트래픽을 라우팅하는 우선순위5가 있는 라우팅 규칙을 추가합니다. 낮은 값은 높은 우선 순위를 갖습니다.ipv4.routing-rulesip rule add명령과 동일합니다.네트워크 인터페이스를 서버 서브넷으로 구성합니다.
nmcli connection add type ethernet con-name Servers ifname enp9s0 ipv4.method manual ipv4.addresses 203.0.113.1/24 connection.zone trusted
# nmcli connection add type ethernet con-name Servers ifname enp9s0 ipv4.method manual ipv4.addresses 203.0.113.1/24 connection.zone trustedCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
내부 워크스테이션 서브넷의 RHEL 호스트에서 다음을 수행합니다.
traceroute패키지를 설치합니다.yum install traceroute
# yum install tracerouteCopy to Clipboard Copied! Toggle word wrap Toggle overflow traceroute유틸리티를 사용하여 인터넷의 호스트에 대한 경로를 표시합니다.traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 10.0.0.1 (10.0.0.1) 0.337 ms 0.260 ms 0.223 ms 2 192.0.2.2 (192.0.2.2) 0.884 ms 1.066 ms 1.248 ms ...
# traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 10.0.0.1 (10.0.0.1) 0.337 ms 0.260 ms 0.223 ms 2 192.0.2.2 (192.0.2.2) 0.884 ms 1.066 ms 1.248 ms ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령의 출력은 라우터가 공급자 B의 네트워크인
192.0.2.1을 통해 패킷을 보내는 것을 표시합니다.
서버 서브넷의 RHEL 호스트에서 다음을 수행합니다.
traceroute패키지를 설치합니다.yum install traceroute
# yum install tracerouteCopy to Clipboard Copied! Toggle word wrap Toggle overflow traceroute유틸리티를 사용하여 인터넷의 호스트에 대한 경로를 표시합니다.traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 203.0.113.1 (203.0.113.1) 2.179 ms 2.073 ms 1.944 ms 2 198.51.100.2 (198.51.100.2) 1.868 ms 1.798 ms 1.549 ms ...
# traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 203.0.113.1 (203.0.113.1) 2.179 ms 2.073 ms 1.944 ms 2 198.51.100.2 (198.51.100.2) 1.868 ms 1.798 ms 1.549 ms ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령의 출력은 라우터가 공급자 A의 네트워크인
198.51.100.2를 통해 패킷을 전송한다는 것을 표시합니다.
문제 해결 단계
RHEL 라우터에서 다음을 수행합니다.
규칙 목록을 표시합니다.
ip rule list 0: from all lookup local 5: from 10.0.0.0/24 lookup 5000 32766: from all lookup main 32767: from all lookup default
# ip rule list 0: from all lookup local 5: from 10.0.0.0/24 lookup 5000 32766: from all lookup main 32767: from all lookup defaultCopy to Clipboard Copied! Toggle word wrap Toggle overflow 기본적으로 RHEL에는
로컬테이블, 기본 ,기본값에 대한 규칙이 포함되어 있습니다.표
5000에 경로를 표시합니다.ip route list table 5000 0.0.0.0/0 via 192.0.2.2 dev enp1s0 proto static metric 100 10.0.0.0/24 dev enp8s0 proto static scope link src 192.0.2.1 metric 102
# ip route list table 5000 0.0.0.0/0 via 192.0.2.2 dev enp1s0 proto static metric 100 10.0.0.0/24 dev enp8s0 proto static scope link src 192.0.2.1 metric 102Copy to Clipboard Copied! Toggle word wrap Toggle overflow 인터페이스 및 방화벽 영역을 표시합니다.
firewall-cmd --get-active-zones external interfaces: enp1s0 enp7s0 trusted interfaces: enp8s0 enp9s0
# firewall-cmd --get-active-zones external interfaces: enp1s0 enp7s0 trusted interfaces: enp8s0 enp9s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 외부영역에 masquerading이 활성화되어 있는지 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
26.2. 네트워크 RHEL 시스템 역할을 사용하여 특정 서브넷에서 다른 기본 게이트웨이로 트래픽 라우팅
정책 기반 라우팅을 사용하여 특정 서브넷의 트래픽에 대해 다른 기본 게이트웨이를 구성할 수 있습니다. 예를 들어 기본적으로 기본 경로를 사용하여 모든 트래픽을 인터넷 공급자 A로 라우팅하는 라우터로 RHEL을 구성할 수 있습니다. 그러나 내부 워크스테이션 서브넷에서 수신된 트래픽은 공급자 B로 라우팅됩니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 라우팅 테이블 및 규칙을 포함하여 연결 프로필을 구성할 수 있습니다.
이 절차에서는 다음 네트워크 토폴로지를 가정합니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다. -
관리형 노드는 NetworkManager 및
firewalld서비스를 사용합니다. 구성하려는 관리형 노드에는 4개의 네트워크 인터페이스가 있습니다.
-
enp7s0인터페이스는 공급자 A의 네트워크에 연결되어 있습니다. 공급자의 네트워크의 게이트웨이 IP는198.51.100.2이며 네트워크는/30네트워크 마스크를 사용합니다. -
enp1s0인터페이스는 공급자 B의 네트워크에 연결되어 있습니다. 공급자의 네트워크의 게이트웨이 IP는192.0.2.2이며 네트워크는/30네트워크 마스크를 사용합니다. -
enp8s0인터페이스는 내부 워크스테이션이 있는10.0.0.0/24서브넷에 연결되어 있습니다. -
enp9s0인터페이스는 회사의 서버가 있는203.0.113.0/24서브넷에 연결되어 있습니다.
-
-
내부 워크스테이션 서브넷의 호스트는
10.0.0.1을 기본 게이트웨이로 사용합니다. 이 절차에서는 이 IP 주소를 라우터의enp8s0네트워크 인터페이스에 할당합니다. -
서버 서브넷의 호스트는
203.0.113.1을 기본 게이트웨이로 사용합니다. 이 절차에서는 라우터의enp9s0네트워크 인터페이스에 이 IP 주소를 할당합니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
표: < ;value>-
table변수와 동일한 목록 항목의 경로를 지정된 라우팅 테이블에 할당합니다. routing_rule: < list>- 지정된 라우팅 규칙의 우선 순위와 규칙이 할당되는 라우팅 테이블을 연결하는 연결 프로필에서 정의합니다.
zone: <zone_name>-
연결 프로필의 네트워크 인터페이스를 지정된
firewalld영역에 할당합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
내부 워크스테이션 서브넷의 RHEL 호스트에서 다음을 수행합니다.
traceroute패키지를 설치합니다.yum install traceroute
# yum install tracerouteCopy to Clipboard Copied! Toggle word wrap Toggle overflow traceroute유틸리티를 사용하여 인터넷의 호스트에 대한 경로를 표시합니다.traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 10.0.0.1 (10.0.0.1) 0.337 ms 0.260 ms 0.223 ms 2 192.0.2.2 (192.0.2.2) 0.884 ms 1.066 ms 1.248 ms ...
# traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 10.0.0.1 (10.0.0.1) 0.337 ms 0.260 ms 0.223 ms 2 192.0.2.2 (192.0.2.2) 0.884 ms 1.066 ms 1.248 ms ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령의 출력은 라우터가 공급자 B의 네트워크인
192.0.2.1을 통해 패킷을 보내는 것을 표시합니다.
서버 서브넷의 RHEL 호스트에서 다음을 수행합니다.
traceroute패키지를 설치합니다.yum install traceroute
# yum install tracerouteCopy to Clipboard Copied! Toggle word wrap Toggle overflow traceroute유틸리티를 사용하여 인터넷의 호스트에 대한 경로를 표시합니다.traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 203.0.113.1 (203.0.113.1) 2.179 ms 2.073 ms 1.944 ms 2 198.51.100.2 (198.51.100.2) 1.868 ms 1.798 ms 1.549 ms ...
# traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 203.0.113.1 (203.0.113.1) 2.179 ms 2.073 ms 1.944 ms 2 198.51.100.2 (198.51.100.2) 1.868 ms 1.798 ms 1.549 ms ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령의 출력은 라우터가 공급자 A의 네트워크인
198.51.100.2를 통해 패킷을 전송한다는 것을 표시합니다.
RHEL 시스템 역할을 사용하여 구성한 RHEL 라우터에서 다음을 수행합니다.
규칙 목록을 표시합니다.
ip rule list 0: from all lookup local 5: from 10.0.0.0/24 lookup 5000 32766: from all lookup main 32767: from all lookup default
# ip rule list 0: from all lookup local 5: from 10.0.0.0/24 lookup 5000 32766: from all lookup main 32767: from all lookup defaultCopy to Clipboard Copied! Toggle word wrap Toggle overflow 기본적으로 RHEL에는
로컬테이블, 기본 ,기본값에 대한 규칙이 포함되어 있습니다.표
5000에 경로를 표시합니다.ip route list table 5000 0.0.0.0/0 via 192.0.2.2 dev enp1s0 proto static metric 100 10.0.0.0/24 dev enp8s0 proto static scope link src 192.0.2.1 metric 102
# ip route list table 5000 0.0.0.0/0 via 192.0.2.2 dev enp1s0 proto static metric 100 10.0.0.0/24 dev enp8s0 proto static scope link src 192.0.2.1 metric 102Copy to Clipboard Copied! Toggle word wrap Toggle overflow 인터페이스 및 방화벽 영역을 표시합니다.
firewall-cmd --get-active-zones external interfaces: enp1s0 enp7s0 trusted interfaces: enp8s0 enp9s0
# firewall-cmd --get-active-zones external interfaces: enp1s0 enp7s0 trusted interfaces: enp8s0 enp9s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 외부영역에 masquerading이 활성화되어 있는지 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
26.3. 레거시 네트워크 스크립트를 사용할 때 정책 기반 라우팅과 관련된 구성 파일 개요
NetworkManager 대신 레거시 네트워크 스크립트를 사용하여 네트워크를 구성하는 경우 정책 기반 라우팅을 구성할 수도 있습니다.
network-scripts 패키지에서 제공하는 레거시 네트워크 스크립트를 사용하여 네트워크를 구성하는 것은 RHEL 8에서 더 이상 사용되지 않습니다. NetworkManager를 사용하여 정책 기반 라우팅을 구성합니다. 예를 들어 nmcli 를 사용하여 특정 서브넷에서 다른 기본 게이트웨이로 트래픽 라우팅을 참조하십시오.
다음 구성 파일은 레거시 네트워크 스크립트를 사용할 때 정책 기반 라우팅에 포함됩니다.
/etc/sysconfig/network-scripts/route-interface: 이 파일은 IPv4 경로를 정의합니다.테이블옵션을 사용하여 라우팅 테이블을 지정합니다. 예를 들면 다음과 같습니다.192.0.2.0/24 via 198.51.100.1 table 1 203.0.113.0/24 via 198.51.100.2 table 2
192.0.2.0/24 via 198.51.100.1 table 1 203.0.113.0/24 via 198.51.100.2 table 2Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
/etc/sysconfig/network-scripts/route6-interface: 이 파일은 IPv6 경로를 정의합니다. /etc/sysconfig/network-scripts/rule-interface: 이 파일은 커널이 트래픽을 특정 라우팅 테이블로 라우팅하는 IPv4 소스 네트워크에 대한 규칙을 정의합니다. 예를 들면 다음과 같습니다.from 192.0.2.0/24 lookup 1 from 203.0.113.0/24 lookup 2
from 192.0.2.0/24 lookup 1 from 203.0.113.0/24 lookup 2Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
/etc/sysconfig/network-scripts/rule6-interface: 이 파일은 커널이 트래픽을 특정 라우팅 테이블로 라우팅하는 IPv6 소스 네트워크에 대한 규칙을 정의합니다. /etc/iproute2/rt_tables: 이 파일은 특정 라우팅 테이블을 참조하기 위해 숫자 대신 이름을 사용하려는 경우 매핑을 정의합니다. 예를 들면 다음과 같습니다.1 Provider_A 2 Provider_B
1 Provider_A 2 Provider_BCopy to Clipboard Copied! Toggle word wrap Toggle overflow
26.4. 레거시 네트워크 스크립트를 사용하여 특정 서브넷에서 다른 기본 게이트웨이로 트래픽 라우팅
정책 기반 라우팅을 사용하여 특정 서브넷의 트래픽에 대해 다른 기본 게이트웨이를 구성할 수 있습니다. 예를 들어 기본적으로 기본 경로를 사용하여 모든 트래픽을 인터넷 공급자 A로 라우팅하는 라우터로 RHEL을 구성할 수 있습니다. 그러나 내부 워크스테이션 서브넷에서 수신된 트래픽은 공급자 B로 라우팅됩니다.
network-scripts 패키지에서 제공하는 레거시 네트워크 스크립트를 사용하여 네트워크를 구성하는 것은 RHEL 8에서 더 이상 사용되지 않습니다. 호스트에서 NetworkManager 대신 레거시 네트워크 스크립트를 사용하는 경우에만 절차를 따르십시오. NetworkManager를 사용하여 네트워크 설정을 관리하는 경우 nmcli 를 사용하여 특정 서브넷에서 다른 기본 게이트웨이로 라우팅 트래픽을 참조하십시오.
이 절차에서는 다음 네트워크 토폴로지를 가정합니다.
레거시 네트워크 스크립트는 구성 파일을 알파벳순으로 처리합니다. 따라서 다른 인터페이스의 규칙과 경로에 사용되는 인터페이스가 종속 인터페이스에 필요한 경우 해당 인터페이스의 이름을 지정하는 방식으로 구성 파일의 이름을 지정해야 합니다. 올바른 순서를 수행하기 위해 이 절차에서는 ifcfg-*, route-* 및 rules-* 파일의 번호를 사용합니다.
사전 요구 사항
-
NetworkManager패키지가 설치되지 않았거나NetworkManager서비스가 비활성화되어 있습니다. -
network-scripts패키지가 설치되어 있습니다. 절차에서 설정하려는 RHEL 라우터에는 다음 네 가지 네트워크 인터페이스가 있습니다.
-
enp7s0인터페이스는 공급자 A의 네트워크에 연결되어 있습니다. 공급자의 네트워크의 게이트웨이 IP는198.51.100.2이며 네트워크는/30네트워크 마스크를 사용합니다. -
enp1s0인터페이스는 공급자 B의 네트워크에 연결되어 있습니다. 공급자의 네트워크의 게이트웨이 IP는192.0.2.2이며 네트워크는/30네트워크 마스크를 사용합니다. -
enp8s0인터페이스는 내부 워크스테이션이 있는10.0.0.0/24서브넷에 연결되어 있습니다. -
enp9s0인터페이스는 회사의 서버가 있는203.0.113.0/24서브넷에 연결되어 있습니다.
-
-
내부 워크스테이션 서브넷의 호스트는
10.0.0.1을 기본 게이트웨이로 사용합니다. 이 절차에서는 이 IP 주소를 라우터의enp8s0네트워크 인터페이스에 할당합니다. -
서버 서브넷의 호스트는
203.0.113.1을 기본 게이트웨이로 사용합니다. 이 절차에서는 라우터의enp9s0네트워크 인터페이스에 이 IP 주소를 할당합니다. -
firewalld서비스가 활성화 및 활성화됩니다.
프로세스
다음 내용으로
/etc/sysconfig/network-scripts/ifcfg-1_Provider-A파일을 만들어 네트워크 인터페이스의 구성을 공급자 A에 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 구성 파일은 다음 매개 변수를 사용합니다.
-
TYPE=Ethernet: 연결 유형이 이더넷임을 정의합니다. -
IPADDR=IP_address: IPv4 주소를 설정합니다. -
PREFIX=subnet_mask: 서브넷 마스크를 설정합니다. -
GATEWAY=IP_address: 기본 게이트웨이 주소를 설정합니다. -
DNS1=IP_of_DNS_server: DNS 서버의 IPv4 주소를 설정합니다. -
DEFROUTE=yes|no: 연결이 기본 경로인지 여부를 정의합니다. -
NAME=connection_name: 연결 프로필의 이름을 설정합니다. 혼동을 피하기 위해 의미 있는 이름을 사용하십시오. -
DEVICE=network_device: 네트워크 인터페이스를 설정합니다. -
ONBOOT=yes: 시스템이 부팅될 때 RHEL이 이 연결을 시작하도록 정의합니다. -
ZONE=firewalld_zone: 정의된firewalld영역에 네트워크 인터페이스를 할당합니다.firewalld는외부영역에 할당된 인터페이스에 대해 자동으로 마스커레이딩을 활성화합니다.
-
네트워크 인터페이스의 구성을 공급자 B에 추가합니다.
다음 콘텐츠를 사용하여
/etc/sysconfig/network-scripts/ifcfg-2_Provider-B파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 인터페이스의 구성 파일에는 기본 게이트웨이 설정이 포함되어 있지 않습니다.
2_Provider-B연결의 게이트웨이를 별도의 라우팅 테이블에 할당합니다. 따라서 다음 콘텐츠를 사용하여/etc/sysconfig/network-scripts/route-2_Provider-B파일을 만듭니다.0.0.0.0/0 via 192.0.2.2 table 5000
0.0.0.0/0 via 192.0.2.2 table 5000Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 항목은 이 게이트웨이를 통해 라우팅되는 모든 서브넷의 게이트웨이 및 트래픽을 표
5000에 할당합니다.
내부 워크스테이션 서브넷에 대한 네트워크 인터페이스에 대한 구성을 생성합니다.
다음 콘텐츠를 사용하여
/etc/sysconfig/network-scripts/ifcfg-3_Internal-Workstations파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 내부 워크스테이션 서브넷에 대한 라우팅 규칙 구성을 추가합니다. 따라서 다음 콘텐츠를 사용하여
/etc/sysconfig/network-scripts/rule-3_Internal-Workstations파일을 만듭니다.pri 5 from 10.0.0.0/24 table 5000
pri 5 from 10.0.0.0/24 table 5000Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 구성은 모든 트래픽을
10.0.0.0/24서브넷에서 표5000으로 라우팅하는 우선순위5가 있는 라우팅 규칙을 정의합니다. 낮은 값은 높은 우선 순위를 갖습니다.다음 내용으로
/etc/sysconfig/network-scripts/route-3_Internal-Workstations파일을 생성하여 ID5000이 있는 라우팅 테이블에 정적 경로를 추가합니다.10.0.0.0/24 via 192.0.2.1 table 5000
10.0.0.0/24 via 192.0.2.1 table 5000Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 정적 경로는 RHEL이
10.0.0.0/24서브넷에서 로컬 네트워크 인터페이스의 IP로 트래픽을 공급자 B(192.0.2.1)로 전송하도록 정의합니다. 이 인터페이스는 테이블5000을 라우팅하고 다음 홉으로 사용됩니다.
다음 내용으로
/etc/sysconfig/network-scripts/ifcfg-4_Servers파일을 만들어 네트워크 인터페이스의 구성을 서버 서브넷에 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크를 재시작합니다.
systemctl restart network
# systemctl restart networkCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
내부 워크스테이션 서브넷의 RHEL 호스트에서 다음을 수행합니다.
traceroute패키지를 설치합니다.yum install traceroute
# yum install tracerouteCopy to Clipboard Copied! Toggle word wrap Toggle overflow traceroute유틸리티를 사용하여 인터넷의 호스트에 대한 경로를 표시합니다.traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 10.0.0.1 (10.0.0.1) 0.337 ms 0.260 ms 0.223 ms 2 192.0.2.2 (192.0.2.2) 0.884 ms 1.066 ms 1.248 ms ...
# traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 10.0.0.1 (10.0.0.1) 0.337 ms 0.260 ms 0.223 ms 2 192.0.2.2 (192.0.2.2) 0.884 ms 1.066 ms 1.248 ms ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령의 출력은 라우터가 공급자 B의 네트워크인
192.0.2.1을 통해 패킷을 보내는 것을 표시합니다.
서버 서브넷의 RHEL 호스트에서 다음을 수행합니다.
traceroute패키지를 설치합니다.yum install traceroute
# yum install tracerouteCopy to Clipboard Copied! Toggle word wrap Toggle overflow traceroute유틸리티를 사용하여 인터넷의 호스트에 대한 경로를 표시합니다.traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 203.0.113.1 (203.0.113.1) 2.179 ms 2.073 ms 1.944 ms 2 198.51.100.2 (198.51.100.2) 1.868 ms 1.798 ms 1.549 ms ...
# traceroute redhat.com traceroute to redhat.com (209.132.183.105), 30 hops max, 60 byte packets 1 203.0.113.1 (203.0.113.1) 2.179 ms 2.073 ms 1.944 ms 2 198.51.100.2 (198.51.100.2) 1.868 ms 1.798 ms 1.549 ms ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령의 출력은 라우터가 공급자 A의 네트워크인
198.51.100.2를 통해 패킷을 전송한다는 것을 표시합니다.
문제 해결 단계
RHEL 라우터에서 다음을 수행합니다.
규칙 목록을 표시합니다.
ip rule list 0: from all lookup local 5: from 10.0.0.0/24 lookup 5000 32766: from all lookup main 32767: from all lookup default
# ip rule list 0: from all lookup local 5: from 10.0.0.0/24 lookup 5000 32766: from all lookup main 32767: from all lookup defaultCopy to Clipboard Copied! Toggle word wrap Toggle overflow 기본적으로 RHEL에는
로컬테이블, 기본 ,기본값에 대한 규칙이 포함되어 있습니다.표
5000에 경로를 표시합니다.ip route list table 5000 default via 192.0.2.2 dev enp1s0 10.0.0.0/24 via 192.0.2.1 dev enp1s0
# ip route list table 5000 default via 192.0.2.2 dev enp1s0 10.0.0.0/24 via 192.0.2.1 dev enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 인터페이스 및 방화벽 영역을 표시합니다.
firewall-cmd --get-active-zones external interfaces: enp1s0 enp7s0 internal interfaces: enp8s0 enp9s0
# firewall-cmd --get-active-zones external interfaces: enp1s0 enp7s0 internal interfaces: enp8s0 enp9s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 외부영역에 masquerading이 활성화되어 있는지 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
27장. 다른 인터페이스에서 동일한 IP 주소 재사용
가상 라우팅 및 전달(VRF)을 사용하면 관리자가 동일한 호스트에서 여러 라우팅 테이블을 동시에 사용할 수 있습니다. 이를 위해 VRF는 계층 3에서 네트워크를 분할합니다. 이를 통해 관리자는 VRF 도메인당 별도의 독립 경로 테이블을 사용하여 트래픽을 분리할 수 있습니다. 이 기술은 계층 2에서 네트워크를 분할하는 VLAN(가상 LAN)과 유사합니다. 운영 체제가 다른 VLAN 태그를 사용하여 동일한 물리적 미디어를 공유하는 트래픽을 분리합니다.
계층 2에서 VRF 파티셔닝을 통해 VRF의 한 가지 장점은 관련 동료 수를 고려하면 라우팅이 더 잘 확장된다는 것입니다.
Red Hat Enterprise Linux는 각 VRF 도메인에 대해 가상 vrt 장치를 사용하고 기존 네트워크 장치를 VRF 장치에 추가하여 VRF 도메인에 경로를 추가합니다. 원래 장치에 이전에 연결된 주소와 경로는 VRF 도메인 내에서 이동합니다.
각 VRF 도메인은 서로 격리됩니다.
27.1. 다른 인터페이스에서 동일한 IP 주소를 영구적으로 재사용
VRF(가상 라우팅 및 전달) 기능을 사용하여 하나의 서버에서 다른 인터페이스에서 동일한 IP 주소를 영구적으로 사용할 수 있습니다.
원격 피어가 동일한 IP 주소를 재사용하는 동안 두 VRF 인터페이스에 연결할 수 있도록 하려면 네트워크 인터페이스가 다른 브로드캐스트 도메인에 속해야 합니다. 네트워크의 브로드캐스트 도메인은 노드 세트로, 해당 노드에서 전송된 브로드캐스트 트래픽을 수신합니다. 대부분의 구성에서 동일한 스위치에 연결된 모든 노드는 동일한 브로드캐스트 도메인에 속합니다.
사전 요구 사항
-
root사용자로 로그인합니다. - 네트워크 인터페이스가 구성되지 않았습니다.
프로세스
첫 번째 VRF 장치를 생성하고 구성합니다.
VRF 장치에 대한 연결을 생성하고 라우팅 테이블에 할당합니다. 예를 들어
1001라우팅 테이블에 할당된vrf0이라는 VRF 장치를 생성하려면 다음을 수행합니다.nmcli connection add type vrf ifname vrf0 con-name vrf0 table 1001 ipv4.method disabled ipv6.method disabled
# nmcli connection add type vrf ifname vrf0 con-name vrf0 table 1001 ipv4.method disabled ipv6.method disabledCopy to Clipboard Copied! Toggle word wrap Toggle overflow vrf0장치를 활성화합니다.nmcli connection up vrf0
# nmcli connection up vrf0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 방금 생성된 VRF에 네트워크 장치를 할당합니다. 예를 들어
enp1s0이더넷 장치를vrf0VRF 장치에 추가하고 IP 주소와 서브넷 마스크를enp1s0에 할당하려면 다음을 입력합니다.nmcli connection add type ethernet con-name vrf.enp1s0 ifname enp1s0 master vrf0 ipv4.method manual ipv4.address 192.0.2.1/24
# nmcli connection add type ethernet con-name vrf.enp1s0 ifname enp1s0 master vrf0 ipv4.method manual ipv4.address 192.0.2.1/24Copy to Clipboard Copied! Toggle word wrap Toggle overflow vrf.enp1s0연결을 활성화합니다.nmcli connection up vrf.enp1s0
# nmcli connection up vrf.enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
다음 VRF 장치를 생성하고 구성합니다.
VRF 장치를 생성하고 라우팅 테이블에 할당합니다. 예를 들어
1002라우팅 테이블에 할당된vrf1이라는 VRF 장치를 생성하려면 다음을 입력합니다.nmcli connection add type vrf ifname vrf1 con-name vrf1 table 1002 ipv4.method disabled ipv6.method disabled
# nmcli connection add type vrf ifname vrf1 con-name vrf1 table 1002 ipv4.method disabled ipv6.method disabledCopy to Clipboard Copied! Toggle word wrap Toggle overflow vrf1장치를 활성화합니다.nmcli connection up vrf1
# nmcli connection up vrf1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 방금 생성된 VRF에 네트워크 장치를 할당합니다. 예를 들어,
enp7s0이더넷 장치를vrf1VRF 장치에 추가하고 IP 주소와 서브넷 마스크를enp7s0에 할당하려면 다음을 입력합니다.nmcli connection add type ethernet con-name vrf.enp7s0 ifname enp7s0 master vrf1 ipv4.method manual ipv4.address 192.0.2.1/24
# nmcli connection add type ethernet con-name vrf.enp7s0 ifname enp7s0 master vrf1 ipv4.method manual ipv4.address 192.0.2.1/24Copy to Clipboard Copied! Toggle word wrap Toggle overflow vrf.enp7s0장치를 활성화합니다.nmcli connection up vrf.enp7s0
# nmcli connection up vrf.enp7s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
27.2. 다른 인터페이스에서 동일한 IP 주소를 일시적으로 재사용
VRF(가상 라우팅 및 전달) 기능을 사용하여 하나의 서버에서 다른 인터페이스에서 동일한 IP 주소를 일시적으로 사용할 수 있습니다. 시스템을 재부팅한 후 구성이 임시적이고 손실되므로 테스트 목적으로만 이 절차를 사용하십시오.
원격 피어가 동일한 IP 주소를 재사용하는 동안 두 VRF 인터페이스에 연결할 수 있도록 하려면 네트워크 인터페이스가 다른 브로드캐스트 도메인에 속해야 합니다. 네트워크의 브로드캐스트 도메인은 해당 도메인에서 보낸 브로드캐스트 트래픽을 수신하는 노드 집합입니다. 대부분의 구성에서 동일한 스위치에 연결된 모든 노드는 동일한 브로드캐스트 도메인에 속합니다.
사전 요구 사항
-
root사용자로 로그인합니다. - 네트워크 인터페이스가 구성되지 않았습니다.
프로세스
첫 번째 VRF 장치를 생성하고 구성합니다.
VRF 장치를 생성하고 라우팅 테이블에 할당합니다. 예를 들어
1001라우팅 테이블에 할당된blue라는 VRF 장치를 생성하려면 다음을 수행합니다.ip link add dev blue type vrf table 1001
# ip link add dev blue type vrf table 1001Copy to Clipboard Copied! Toggle word wrap Toggle overflow 파란색장치를 활성화합니다.ip link set dev blue up
# ip link set dev blue upCopy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크 장치를 VRF 장치에 할당합니다. 예를 들어,
enp1s0이더넷 장치를blueVRF 장치에 추가하려면 다음을 수행합니다.ip link set dev enp1s0 master blue
# ip link set dev enp1s0 master blueCopy to Clipboard Copied! Toggle word wrap Toggle overflow enp1s0장치를 활성화합니다.ip link set dev enp1s0 up
# ip link set dev enp1s0 upCopy to Clipboard Copied! Toggle word wrap Toggle overflow enp1s0장치에 IP 주소 및 서브넷 마스크를 할당합니다. 예를 들어192.0.2.1/24로 설정하려면 다음을 수행합니다.ip addr add dev enp1s0 192.0.2.1/24
# ip addr add dev enp1s0 192.0.2.1/24Copy to Clipboard Copied! Toggle word wrap Toggle overflow
다음 VRF 장치를 생성하고 구성합니다.
VRF 장치를 생성하고 라우팅 테이블에 할당합니다. 예를 들어
1002라우팅 테이블에 할당된빨간색이라는 VRF 장치를 생성하려면 다음을 수행합니다.ip link add dev red type vrf table 1002
# ip link add dev red type vrf table 1002Copy to Clipboard Copied! Toggle word wrap Toggle overflow 빨간색장치를 활성화합니다.ip link set dev red up
# ip link set dev red upCopy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크 장치를 VRF 장치에 할당합니다. 예를 들어
enp7s0이더넷 장치를빨간색VRF 장치에 추가하려면 다음을 수행합니다.ip link set dev enp7s0 master red
# ip link set dev enp7s0 master redCopy to Clipboard Copied! Toggle word wrap Toggle overflow enp7s0장치를 활성화합니다.ip link set dev enp7s0 up
# ip link set dev enp7s0 upCopy to Clipboard Copied! Toggle word wrap Toggle overflow blueVRF 도메인에서enp1s0에 사용한 것과 동일한 IP 주소 및 서브넷 마스크를enp7s0장치에 할당합니다.ip addr add dev enp7s0 192.0.2.1/24
# ip addr add dev enp7s0 192.0.2.1/24Copy to Clipboard Copied! Toggle word wrap Toggle overflow
- 선택 사항: 위에서 설명한 대로 추가 VRF 장치를 생성합니다.
28장. 격리된 VRF 네트워크 내에서 서비스 시작
VRF(가상 라우팅 및 전달)를 사용하면 운영 체제의 기본 라우팅 테이블과 다른 라우팅 테이블을 사용하여 격리된 네트워크를 생성할 수 있습니다. 그런 다음 해당 라우팅 테이블에 정의된 네트워크에만 액세스할 수 있도록 서비스 및 애플리케이션을 시작할 수 있습니다.
28.1. VRF 장치 구성
VRF(가상 라우팅 및 전달)를 사용하려면 VRF 장치를 생성하고 물리적 또는 가상 네트워크 인터페이스와 라우팅 정보를 연결합니다.
원격으로 잠길 수 없도록 하려면 로컬 콘솔에서 또는 VRF 장치에 할당하지 않으려는 네트워크 인터페이스를 통해 원격으로 이 절차를 수행합니다.
사전 요구 사항
- 로컬로 로그인하거나 VRF 장치에 할당하려는 네트워크와 다른 네트워크 인터페이스를 사용합니다.
프로세스
동일한 이름의 가상 장치를 사용하여
vrf0연결을 생성하고 라우팅 테이블1000에 연결합니다.nmcli connection add type vrf ifname vrf0 con-name vrf0 table 1000 ipv4.method disabled ipv6.method disabled
# nmcli connection add type vrf ifname vrf0 con-name vrf0 table 1000 ipv4.method disabled ipv6.method disabledCopy to Clipboard Copied! Toggle word wrap Toggle overflow enp1s0장치를vrf0연결에 추가하고 IP 설정을 구성합니다.nmcli connection add type ethernet con-name enp1s0 ifname enp1s0 master vrf0 ipv4.method manual ipv4.address 192.0.2.1/24 ipv4.gateway 192.0.2.254
# nmcli connection add type ethernet con-name enp1s0 ifname enp1s0 master vrf0 ipv4.method manual ipv4.address 192.0.2.1/24 ipv4.gateway 192.0.2.254Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은
enp1s0연결을vrf0연결의 포트로 생성합니다. 이 구성으로 인해 라우팅 정보는vrf0장치와 연결된 라우팅 테이블1000에 자동으로 할당됩니다.격리된 네트워크에 정적 경로가 필요한 경우:
정적 경로를 추가합니다.
nmcli connection modify enp1s0 +ipv4.routes "198.51.100.0/24 192.0.2.2"
# nmcli connection modify enp1s0 +ipv4.routes "198.51.100.0/24 192.0.2.2"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 그러면
192.0.2.2를 라우터로 사용하는198.51.100.0/24네트워크에 경로가 추가됩니다.연결을 활성화합니다.
nmcli connection up enp1s0
# nmcli connection up enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
vrf0:과 연결된 장치의 IP 설정을 표시합니다.ip -br addr show vrf vrf0 enp1s0 UP 192.0.2.1/24
# ip -br addr show vrf vrf0 enp1s0 UP 192.0.2.1/24Copy to Clipboard Copied! Toggle word wrap Toggle overflow VRF 장치 및 관련 라우팅 테이블을 표시합니다.
ip vrf show Name Table ----------------------- vrf0 1000
# ip vrf show Name Table ----------------------- vrf0 1000Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본 라우팅 테이블을 표시합니다.
ip route show default via 203.0.113.0/24 dev enp7s0 proto static metric 100
# ip route show default via 203.0.113.0/24 dev enp7s0 proto static metric 100Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본 라우팅 테이블은 장치
enp1s0장치 또는192.0.2.1/24서브넷과 연결된 경로를 언급하지 않습니다.라우팅 테이블
1000을 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본항목은 이 라우팅 테이블을 사용하는 서비스가 기본 라우팅 테이블의 기본 게이트웨이가 아닌 기본 게이트웨이로192.0.2.254를 사용한다는 것을 나타냅니다.vrf0과 연결된 네트워크에서traceroute유틸리티를 실행하여 유틸리티가 표1000의 경로를 사용하는지 확인합니다.ip vrf exec vrf0 traceroute 203.0.113.1 traceroute to 203.0.113.1 (203.0.113.1), 30 hops max, 60 byte packets 1 192.0.2.254 (192.0.2.254) 0.516 ms 0.459 ms 0.430 ms ...
# ip vrf exec vrf0 traceroute 203.0.113.1 traceroute to 203.0.113.1 (203.0.113.1), 30 hops max, 60 byte packets 1 192.0.2.254 (192.0.2.254) 0.516 ms 0.459 ms 0.430 ms ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 첫 번째 홉은 시스템 기본 라우팅 테이블의 기본 게이트웨이가 아닌 라우팅 테이블
1000에 할당된 기본 게이트웨이입니다.
28.2. 분리된 VRF 네트워크 내에서 서비스 시작
분리된 가상 라우팅 및 전달(VRF) 네트워크 내에서 시작하도록 Apache HTTP 서버와 같은 서비스를 구성할 수 있습니다.
서비스는 동일한 VRF 네트워크에 있는 로컬 IP 주소에만 바인딩할 수 있습니다.
사전 요구 사항
-
vrf0장치를 구성하셨습니다. -
vrf0장치와 연결된 인터페이스에 할당된 IP 주소에서만 수신 대기하도록 Apache HTTP 서버를 구성했습니다.
절차
httpdsystemd 서비스의 콘텐츠를 표시합니다.systemctl cat httpd ... [Service] ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND ...
# systemctl cat httpd ... [Service] ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이후 단계에서 VRF 네트워크 내에서 동일한 명령을 실행하려면
ExecStart매개변수의 콘텐츠가 필요합니다./etc/systemd/system/httpd.service.d/디렉터리를 만듭니다.mkdir /etc/systemd/system/httpd.service.d/
# mkdir /etc/systemd/system/httpd.service.d/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 콘텐츠를 사용하여
/etc/systemd/system/httpd.service.d/override.conf파일을 생성합니다.[Service] ExecStart= ExecStart=/usr/sbin/ip vrf exec vrf0 /usr/sbin/httpd $OPTIONS -DFOREGROUND
[Service] ExecStart= ExecStart=/usr/sbin/ip vrf exec vrf0 /usr/sbin/httpd $OPTIONS -DFOREGROUNDCopy to Clipboard Copied! Toggle word wrap Toggle overflow ExecStart매개변수를 재정의하려면 먼저 설정을 설정 해제한 다음 다음과 같이 새 값으로 설정해야 합니다.systemd를 다시 로드합니다.
systemctl daemon-reload
# systemctl daemon-reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow httpd서비스를 다시 시작합니다.systemctl restart httpd
# systemctl restart httpdCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
httpd프로세스의 PID(프로세스 ID)를 표시합니다.pidof -c httpd 1904 ...
# pidof -c httpd 1904 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow PID에 대한 VRF 연결을 표시합니다. 예를 들면 다음과 같습니다.
ip vrf identify 1904 vrf0
# ip vrf identify 1904 vrf0Copy to Clipboard Copied! Toggle word wrap Toggle overflow vrf0장치와 연결된 모든 PID를 표시합니다.ip vrf pids vrf0 1904 httpd ...
# ip vrf pids vrf0 1904 httpd ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
29장. NetworkManager 연결 프로필에서 ethtool 설정 구성
NetworkManager는 특정 네트워크 드라이버 및 하드웨어 설정을 영구적으로 구성할 수 있습니다. ethtool 유틸리티를 사용하여 이러한 설정을 관리하는 것과 비교하여 재부팅 후 설정을 손실하지 않는 이점이 있습니다.
NetworkManager 연결 프로필에서 다음 ethtool 설정을 설정할 수 있습니다.
- 오프로드 기능
- 네트워크 인터페이스 컨트롤러는 TOE(TCP 오프로드 엔진)를 사용하여 특정 작업을 네트워크 컨트롤러에 오프로드할 수 있습니다. 이렇게 하면 네트워크 처리량이 향상됩니다.
- 병합 설정 중단
- 인터럽트 병합을 사용하면 시스템은 네트워크 패킷을 수집하고 여러 패킷에 대한 단일 인터럽트를 생성합니다. 이는 하나의 하드웨어 인터럽트를 사용하여 커널에 전송되는 데이터의 양을 증가시켜 인터럽트 부하를 줄이고 처리량을 극대화합니다.
- 링 버퍼
- 이러한 버퍼는 수신 및 발신 네트워크 패킷을 저장합니다. 링 버퍼 크기를 늘리면 패킷 드롭 속도를 줄일 수 있습니다.
29.1. nmcli를 사용하여 ethtool 오프로드 기능 구성
NetworkManager를 사용하여 연결 프로필에서 ethtool 오프로드 기능을 활성화 및 비활성화할 수 있습니다.
절차
예를 들어, RX 오프로드 기능을 활성화하고
enp1s0연결 프로파일에서 TX 오프로드를 비활성화하려면 다음을 입력합니다.nmcli con modify enp1s0 ethtool.feature-rx on ethtool.feature-tx off
# nmcli con modify enp1s0 ethtool.feature-rx on ethtool.feature-tx offCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 RX 오프로드를 명시적으로 활성화하고 TX 오프로드를 비활성화합니다.
이전에 활성화 또는 비활성화한 오프로드 기능의 설정을 제거하려면 기능의 매개변수를 null 값으로 설정합니다. 예를 들어 TX 오프로드의 구성을 제거하려면 다음을 입력합니다.
nmcli con modify enp1s0 ethtool.feature-tx ""
# nmcli con modify enp1s0 ethtool.feature-tx ""Copy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크 프로필을 다시 활성화합니다.
nmcli connection up enp1s0
# nmcli connection up enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
ethtool -k명령을 사용하여 네트워크 장치의 현재 오프로드 기능을 표시합니다.ethtool -k network_device
# ethtool -k network_deviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
29.2. 네트워크 RHEL 시스템 역할을 사용하여 ethtool 오프로드 기능 구성
네트워크 인터페이스 컨트롤러는 TOE(TCP 오프로드 엔진)를 사용하여 특정 작업을 네트워크 컨트롤러에 오프로드할 수 있습니다. 이렇게 하면 네트워크 처리량이 향상됩니다. 네트워크 인터페이스의 연결 프로필에서 오프로드 기능을 구성합니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 기존 연결 프로필의 특정 값만 업데이트할 수 없습니다. 이 역할은 연결 프로필이 플레이북의 설정과 정확히 일치하는지 확인합니다. 동일한 이름의 연결 프로필이 이미 존재하는 경우 역할은 플레이북의 설정을 적용하고 프로필의 다른 모든 설정을 기본값으로 재설정합니다. 값을 재설정하지 않으려면 변경하려는 설정을 포함하여 플레이북에서 네트워크 연결 프로필의 전체 구성을 항상 지정합니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리형 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
절차
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
Gro: no- 일반 수신 오프로드(GRO)를 비활성화합니다.
GSO: yes- GSO(Generic segmentation Off)를 활성화합니다.
tx_sctp_segmentation: no- TX 스트림 제어 전송 프로토콜(SCTP) 분할을 비활성화합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
관리 노드의 Ansible 팩트를 쿼리하고 오프로드 설정을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
29.3. nmcli를 사용하여 ethtool 병합 설정 구성
NetworkManager를 사용하여 연결 프로필에서 ethtool 병합 설정을 설정할 수 있습니다.
프로세스
예를 들어
enp1s0연결 프로필에서 지연할 수신 패킷의 최대 수를128으로 설정하려면 다음을 입력합니다.nmcli connection modify enp1s0 ethtool.coalesce-rx-frames 128
# nmcli connection modify enp1s0 ethtool.coalesce-rx-frames 128Copy to Clipboard Copied! Toggle word wrap Toggle overflow 병합 설정을 제거하려면 이를 null 값으로 설정합니다. 예를 들어
ethtool.coalesce-rx-frames설정을 제거하려면 다음을 입력합니다.nmcli connection modify enp1s0 ethtool.coalesce-rx-frames ""
# nmcli connection modify enp1s0 ethtool.coalesce-rx-frames ""Copy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크 프로필을 다시 활성화하려면 다음을 수행합니다.
nmcli connection up enp1s0
# nmcli connection up enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
ethtool -c명령을 사용하여 네트워크 장치의 현재 오프로드 기능을 표시합니다.ethtool -c network_device
# ethtool -c network_deviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
29.4. 네트워크 RHEL 시스템 역할을 사용하여 ethtool 병합 설정 구성
인터럽트 병합을 사용하면 시스템은 네트워크 패킷을 수집하고 여러 패킷에 대한 단일 인터럽트를 생성합니다. 이는 하나의 하드웨어 인터럽트를 사용하여 커널에 전송되는 데이터의 양을 증가시켜 인터럽트 부하를 줄이고 처리량을 극대화합니다. 네트워크 인터페이스의 연결 프로필에서 병합 설정을 구성합니다. Ansible 및 네트워크 RHEL 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 기존 연결 프로필의 특정 값만 업데이트할 수 없습니다. 이 역할은 연결 프로필이 플레이북의 설정과 정확히 일치하는지 확인합니다. 동일한 이름의 연결 프로필이 이미 존재하는 경우 역할은 플레이북의 설정을 적용하고 프로필의 다른 모든 설정을 기본값으로 재설정합니다. 값을 재설정하지 않으려면 변경하려는 설정을 포함하여 플레이북에서 네트워크 연결 프로필의 전체 구성을 항상 지정합니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
rx_frames: <value>- RX 프레임 수를 설정합니다.
gso: <value>- TX 프레임 수를 설정합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
네트워크 장치의 현재 오프로드 기능을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
29.5. nmcli를 사용하여 높은 패킷 드롭 속도를 줄이기 위해 링 버퍼 크기를 늘리십시오.
패킷 삭제 속도가 발생하면 이더넷 장치의 링 버퍼 크기를 늘리면 애플리케이션이 데이터 손실, 시간 초과 또는 기타 문제가 보고됩니다.
수신 링 버퍼는 장치 드라이버와 NIC(네트워크 인터페이스 컨트롤러) 간에 공유됩니다. 카드는 전송(TX)을 할당하고(RX) 링 버퍼를 수신합니다. 이름에서 알 수 있듯이 링 버퍼는 오버플로가 기존 데이터를 덮어쓰는 순환 버퍼입니다. NIC에서 커널로 데이터를 이동하는 두 가지 방법, 하드웨어 인터럽트 및 소프트웨어 인터럽트( softIRQs라고도 함)가 있습니다.
커널은 장치 드라이버가 이를 처리할 수 있을 때까지 RX 링 버퍼를 사용하여 들어오는 패킷을 저장합니다. 장치 드라이버는 일반적으로 SoftIRQs를 사용하여 RX 링을 드레이닝하여 들어오는 패킷을 sk_buff 또는 skb 라는 커널 데이터 구조에 배치하여 커널과 관련 소켓을 소유하는 애플리케이션까지 이동합니다.
커널은 TX 링 버퍼를 사용하여 네트워크로 전송해야 하는 발신 패킷을 보관합니다. 이러한 링 버퍼는 스택 하단에 있으며 패킷 드롭이 발생할 수 있는 중요한 지점이며 네트워크 성능에 부정적인 영향을 미칩니다.
프로세스
인터페이스의 패킷 삭제 통계를 표시합니다.
ethtool -S enp1s0 ... rx_queue_0_drops: 97326 rx_queue_1_drops: 63783 ...# ethtool -S enp1s0 ... rx_queue_0_drops: 97326 rx_queue_1_drops: 63783 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령 출력은 네트워크 카드 및 드라이버에 따라 다릅니다.
카운터
삭제 또는카운터의 값이 높으면 사용 가능한 버퍼가 커널에서 패킷을 처리할 수 있는 것보다 더 빠르게 채워지는 것을 나타냅니다. 링 버퍼를 늘리면 이러한 손실을 방지하는 데 도움이 될 수 있습니다.삭제최대 링 버퍼 크기를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 사전 설정 최대값섹션의 값이현재 하드웨어 설정섹션보다 크면 다음 단계의 설정을 변경할 수 있습니다.인터페이스를 사용하는 NetworkManager 연결 프로필을 확인합니다.
nmcli connection show NAME UUID TYPE DEVICE Example-Connection a5eb6490-cc20-3668-81f8-0314a27f3f75 ethernet enp1s0
# nmcli connection show NAME UUID TYPE DEVICE Example-Connection a5eb6490-cc20-3668-81f8-0314a27f3f75 ethernet enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 프로필을 업데이트하고 링 버퍼를 늘립니다.
RX 링 버퍼를 늘리려면 다음을 입력합니다.
nmcli connection modify Example-Connection ethtool.ring-rx 4096
# nmcli connection modify Example-Connection ethtool.ring-rx 4096Copy to Clipboard Copied! Toggle word wrap Toggle overflow TX 링 버퍼를 늘리려면 다음을 입력합니다.
nmcli connection modify Example-Connection ethtool.ring-tx 4096
# nmcli connection modify Example-Connection ethtool.ring-tx 4096Copy to Clipboard Copied! Toggle word wrap Toggle overflow
NetworkManager 연결을 다시 로드합니다.
nmcli connection up Example-Connection
# nmcli connection up Example-ConnectionCopy to Clipboard Copied! Toggle word wrap Toggle overflow 중요NIC가 사용하는 드라이버에 따라 링 버퍼에서 변경하면 곧 네트워크 연결이 중단될 수 있습니다.
29.6. 네트워크 RHEL 시스템 역할을 사용하여 높은 패킷 드롭 속도를 줄이기 위해 링 버퍼 크기 증가
패킷 삭제 속도가 발생하면 이더넷 장치의 링 버퍼 크기를 늘리면 애플리케이션이 데이터 손실, 시간 초과 또는 기타 문제가 보고됩니다.
링 버퍼는 오버플로가 기존 데이터를 덮어쓰는 순환 버퍼입니다. 네트워크 카드는 전송(TX)을 할당하고(RX) 링 버퍼를 수신합니다. 수신 링 버퍼는 장치 드라이버와 NIC(네트워크 인터페이스 컨트롤러) 간에 공유됩니다. 데이터는 SoftIRQs라고도 하는 하드웨어 인터럽트 또는 소프트웨어 인터럽트를 통해 NIC에서 커널로 이동할 수 있습니다.
커널은 장치 드라이버가 이를 처리할 수 있을 때까지 RX 링 버퍼를 사용하여 들어오는 패킷을 저장합니다. 장치 드라이버는 일반적으로 SoftIRQs를 사용하여 RX 링을 드레이닝하여 들어오는 패킷을 sk_buff 또는 skb 라는 커널 데이터 구조에 배치하여 커널과 관련 소켓을 소유하는 애플리케이션까지 이동합니다.
커널은 TX 링 버퍼를 사용하여 네트워크로 전송해야 하는 발신 패킷을 보관합니다. 이러한 링 버퍼는 스택 하단에 있으며 패킷 드롭이 발생할 수 있는 중요한 지점이며 네트워크 성능에 부정적인 영향을 미칩니다.
NetworkManager 연결 프로필에서 링 버퍼 설정을 구성합니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
네트워크 RHEL 시스템 역할을 사용하여 기존 연결 프로필의 특정 값만 업데이트할 수 없습니다. 이 역할은 연결 프로필이 플레이북의 설정과 정확히 일치하는지 확인합니다. 동일한 이름의 연결 프로필이 이미 존재하는 경우 역할은 플레이북의 설정을 적용하고 프로필의 다른 모든 설정을 기본값으로 재설정합니다. 값을 재설정하지 않으려면 변경하려는 설정을 포함하여 플레이북에서 네트워크 연결 프로필의 전체 구성을 항상 지정합니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다. - 장치가 지원하는 최대 링 버퍼 크기를 알고 있습니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
rx: <value>- 수신된 최대 링 버퍼 항목 수를 설정합니다.
TX: < ;value>- 전송된 최대 링 버퍼 항목 수를 설정합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
최대 링 버퍼 크기를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
30장. NetworkManager 디버깅 소개
모든 또는 특정 도메인의 로그 수준을 늘리면 NetworkManager가 수행하는 작업에 대한 자세한 정보를 기록하는 데 도움이 됩니다. 이 정보를 사용하여 문제를 해결할 수 있습니다. NetworkManager는 로깅 정보를 생성하기 위해 다양한 수준과 도메인을 제공합니다. /etc/NetworkManager/NetworkManager.conf 파일은 NetworkManager의 기본 구성 파일입니다. 로그는 저널에 저장됩니다.
30.1. NetworkManager 다시 적용 방법 소개
NetworkManager 서비스는 프로필을 사용하여 장치의 연결 설정을 관리합니다. 데스크탑 버스(D-Bus) API는 이러한 연결 설정을 생성, 수정 및 삭제할 수 있습니다. 프로필 변경에 대해 D-Bus API는 기존 설정을 연결의 수정된 설정에 복제합니다. 복제에도 불구하고 수정된 설정에 변경 사항이 적용되지 않습니다. 이를 적용하려면 연결의 기존 설정을 다시 활성화하거나 reapply() 메서드를 사용합니다.
reapply() 메서드에는 다음과 같은 기능이 있습니다.
- 네트워크 인터페이스를 비활성화하거나 다시 시작하지 않고 수정된 연결 설정을 업데이트합니다.
-
수정된 연결 설정에서 보류 중인 변경 사항 제거.
NetworkManager는 수동 변경 사항을 되돌리지 않으므로 장치를 재구성하고 외부 또는 수동 매개 변수를 되돌릴 수 있습니다. - 기존 연결 설정과 다른 수정된 연결 설정 생성.
또한 reapply() 메서드는 다음 특성을 지원합니다.
-
bridge.ageing-time -
bridge.forward-delay -
bridge.group-address -
bridge.group-forward-mask -
bridge.hello-time -
bridge.max-age -
bridge.multicast-hash-max -
bridge.multicast-last-member-count -
bridge.multicast-last-member-interval -
bridge.multicast-membership-interval -
bridge.multicast-querier -
bridge.multicast-querier-interval -
bridge.multicast-query-interval -
bridge.multicast-query-response-interval -
bridge.multicast-query-use-ifaddr -
bridge.multicast-router -
bridge.multicast-snooping -
bridge.multicast-startup-query-count -
bridge.multicast-startup-query-interval -
bridge.priority -
bridge.stp -
bridge.VLAN-filtering -
bridge.VLAN-protocol -
bridge.VLANs -
802-3-ethernet.accept-all-mac-addresses -
802-3-ethernet.cloned-mac-address -
IPv4.addresses -
IPv4.dhcp-client-id -
IPv4.dhcp-iaid -
IPv4.dhcp-timeout -
IPv4.DNS -
IPv4.DNS-priority -
IPv4.DNS-search -
IPv4.gateway -
IPv4.ignore-auto-DNS -
IPv4.ignore-auto-routes -
IPv4.may-fail -
IPv4.method -
IPv4.never-default -
IPv4.route-table -
IPv4.routes -
IPv4.routing-rules -
IPv6.addr-gen-mode -
IPv6.addresses -
IPv6.dhcp-duid -
IPv6.dhcp-iaid -
IPv6.dhcp-timeout -
IPv6.DNS -
IPv6.DNS-priority -
IPv6.DNS-search -
IPv6.gateway -
IPv6.ignore-auto-DNS -
IPv6.may-fail -
IPv6.method -
IPv6.never-default -
IPv6.ra-timeout -
IPv6.route-metric -
IPv6.route-table -
IPv6.routes -
IPv6.routing-rules
30.2. NetworkManager 로그 수준 설정
기본적으로 모든 로그 도메인은 INFO 로그 수준을 기록하도록 설정됩니다. 디버그 로그를 수집하기 전에 속도 제한을 비활성화합니다. rate-limiting을 사용하면 짧은 시간에 너무 많은 메시지가 표시되면 systemd-journald 가 메시지를 삭제합니다. 이는 로그 수준이 TRACE 인 경우 발생할 수 있습니다.
이 절차에서는 rate-limiting을 비활성화하고 all (ALL) 도메인에 대해 디버그 로그를 기록할 수 있습니다.
프로세스
rate-limiting을 비활성화하려면
/etc/systemd/journald.conf파일을 편집하고[Journal]섹션에서RateLimitBurst매개변수의 주석을 제거하고 해당 값을0:로 설정합니다.RateLimitBurst=0
RateLimitBurst=0Copy to Clipboard Copied! Toggle word wrap Toggle overflow systemd-journald서비스를 다시 시작합니다.systemctl restart systemd-journald
# systemctl restart systemd-journaldCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 콘텐츠를 사용하여
/etc/NetworkManager/conf.d/95-nm-debug.conf파일을 만듭니다.[logging] domains=ALL:TRACE
[logging] domains=ALL:TRACECopy to Clipboard Copied! Toggle word wrap Toggle overflow domain
매개변수는쉼표로 구분된 여러domain:level쌍을 포함할 수 있습니다.NetworkManager 서비스를 다시 시작합니다.
systemctl restart NetworkManager
# systemctl restart NetworkManagerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
systemd저널을 쿼리하여NetworkManager장치의 저널 항목을 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
30.3. nmcli를 사용하여 런타임 시 로그 수준 임시 설정
nmcli 를 사용하여 런타임에 로그 수준을 변경할 수 있습니다.
프로세스
선택 사항: 현재 로깅 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 로깅 수준 및 도메인을 수정하려면 다음 옵션을 사용합니다.
모든 도메인의 로그 수준을 동일한
LEVEL으로 설정하려면 다음을 입력합니다.nmcli general logging level LEVEL domains ALL
# nmcli general logging level LEVEL domains ALLCopy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 도메인의 수준을 변경하려면 다음을 입력합니다.
nmcli general logging level LEVEL domains DOMAINS
# nmcli general logging level LEVEL domains DOMAINSCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령을 사용하여 로깅 수준을 업데이트하면 다른 모든 도메인에 대한 로깅이 비활성화됩니다.
특정 도메인의 수준을 변경하고 다른 모든 도메인의 수준을 유지하려면 다음을 입력합니다.
nmcli general logging level KEEP domains DOMAIN:LEVEL,DOMAIN:LEVEL
# nmcli general logging level KEEP domains DOMAIN:LEVEL,DOMAIN:LEVELCopy to Clipboard Copied! Toggle word wrap Toggle overflow
30.4. NetworkManager 로그 보기
문제 해결을 위해 NetworkManager 로그를 볼 수 있습니다.
프로세스
로그를 보려면 다음을 입력합니다.
journalctl -u NetworkManager -b
# journalctl -u NetworkManager -bCopy to Clipboard Copied! Toggle word wrap Toggle overflow
30.5. 디버깅 수준 및 도메인
levels 및 domain 매개변수를 사용하여 NetworkManager에 대한 디버깅을 관리할 수 있습니다. 수준은 상세 정보 수준을 정의하는 반면, 도메인은 심각도가 지정된 (level) 로그를 기록할 메시지의 범주를 정의합니다.
| 로그 수준 | 설명 |
|---|---|
|
| NetworkManager에 대한 메시지를 기록하지 않음 |
|
| 심각한 오류만 로그 |
|
| 작업을 반영할 수 있는 경고 로그 |
|
| 상태 및 작업 추적에 유용한 다양한 정보 메시지를 기록합니다. |
|
| 디버깅을 위해 상세 로깅 활성화 |
|
|
|
후속 수준은 이전 수준의 모든 메시지를 기록합니다. 예를 들어 로그 수준을 INFO 로 설정하면 ERR 및 WARN 로그 수준에 포함된 메시지도 로깅됩니다.
31장. LLDP를 사용하여 네트워크 구성 문제 디버그
LLDP(Link Layer Discovery Protocol)를 사용하여 토폴로지의 네트워크 구성 문제를 디버그할 수 있습니다. 즉, LLDP는 다른 호스트 또는 라우터 및 스위치와 구성 불일치를 보고할 수 있습니다.
31.1. LLDP 정보를 사용하여 잘못된 VLAN 구성 디버깅
특정 VLAN을 사용하도록 스위치 포트를 구성하고 호스트에서 이러한 VLAN 패킷을 수신하지 않으면 LLDP(Link Layer Discovery Protocol)를 사용하여 문제를 디버깅할 수 있습니다. 패킷을 수신하지 않는 호스트에서 다음 절차를 수행합니다.
사전 요구 사항
-
nmstate패키지가 설치되어 있습니다. - 스위치는 LLDP를 지원합니다.
- LLDP는 인접한 장치에서 사용할 수 있습니다.
프로세스
다음 콘텐츠를 사용하여
~/enable-LLDP-enp1s0.yml파일을 만듭니다.interfaces: - name: enp1s0 type: ethernet lldp: enabled: trueinterfaces: - name: enp1s0 type: ethernet lldp: enabled: trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow ~/enable-LLDP-enp1s0.yml파일을 사용하여enp1s0인터페이스에서 LLDP를 활성화합니다.nmstatectl apply ~/enable-LLDP-enp1s0.yml
# nmstatectl apply ~/enable-LLDP-enp1s0.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow LLDP 정보를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력을 확인하여 설정이 예상 구성과 일치하는지 확인합니다. 예를 들어 스위치에 연결된 인터페이스의 LLDP 정보는 이 호스트가 연결된 스위치 포트가 VLAN ID
448을 사용하도록 연결되어 있음을 보여줍니다.- type: 127 ieee-802-1-vlans: - name: v2-0488-03-0505 vid: 488- type: 127 ieee-802-1-vlans: - name: v2-0488-03-0505 vid: 488Copy to Clipboard Copied! Toggle word wrap Toggle overflow enp1s0인터페이스의 네트워크 구성에서 다른 VLAN ID를 사용하는 경우 그에 따라 변경합니다.
32장. Linux 트래픽 제어
Linux는 패킷 전송을 관리하고 조작하기 위한 툴을 제공합니다. Linux 트래픽 제어(TC) 하위 시스템은 네트워크 트래픽의 보관, 분류, 형성 및 스케줄링에 도움이 됩니다. 또한 TC는 필터 및 작업을 사용하여 분류 중에 패킷 콘텐츠를 생성합니다. TC 하위 시스템은 TC 아키텍처의 기본 요소인 큐링 규율(qdisc)을 사용하여 이를 달성합니다.
스케줄링 메커니즘은 다른 큐에 입력하거나 종료하기 전에 패킷을 준비하거나 다시 정렬합니다. 가장 일반적인 스케줄러는 FIFO(First-In-First-Out) 스케줄러입니다. tc 유틸리티를 사용하거나 NetworkManager를 사용하여 영구적으로 qdiscs 작업을 수행할 수 있습니다.
Red Hat Enterprise Linux에서는 네트워크 인터페이스에서 트래픽을 관리하는 다양한 방법으로 기본 대기열 구성 요소를 구성할 수 있습니다.
32.1. 자주하는 질문
큐잉(qdiscs)은 네트워크 인터페이스에 의해 트래픽 전송 스케줄링을 대기하는 데 도움이 됩니다. qdisc 에는 두 가지 작업이 있습니다.
- 이후 전송을 위해 패킷을 큐에 추가할 수 있도록 요청을 큐에 넣습니다.
- 즉시 전송을 위해 대기 중인 패킷 중 하나를 선택할 수 있도록 큐를 요청합니다.
모든 qdisc 에는 소켓이라는 16비트 16진수 식별 번호가 있으며, 연결된 콜론(예: 1: 또는 abcd: )이 있습니다. 이 수를 qdisc 주요 번호라고 합니다. qdisc 에 클래스가 있는 경우 식별자는 마이너 이전의 메이저 숫자가 있는 두 숫자의 쌍으로 구성됩니다(예 : abcd:1 ). 마이너 번호의 번호 지정 스키마는 qdisc 유형에 따라 다릅니다. 1 클래스의 ID < major>:1, 두 번째 < major>:2 가 있는 경우가 있습니다. 일부 qdiscs 를 사용하면 클래스를 생성할 때 사용자가 클래스 마이너 번호를 임의로 설정할 수 있습니다.
- 클래스적
qdiscs 다양한 유형의
qdiscs가 존재하며 네트워크 인터페이스로 패킷을 전송하는 데 도움이 됩니다. root, parent 또는 하위 클래스를 사용하여qdiscs를 구성할 수 있습니다. 자식을 연결할 수 있는 지점을 클래스라고 합니다.qdisc의 클래스는 유연하며 항상 여러 개의 하위 클래스 또는 단일 자식인qdisc를 포함할 수 있습니다. 클래스qdisc자체를 포함하는 클래스에 대한 금지는 없으므로 복잡한 트래픽 제어 시나리오를 용이하게 합니다.클래스적
qdiscs는 패킷을 자체적으로 저장하지 않습니다. 대신qdisc와 관련된 기준에 따라 요청을 큐에 추가 및 큐에 추가합니다. 결국 이 재귀 패킷 전달은 패킷이 저장되는 위치(또는 데크립션의 경우 선택)로 끝납니다.- 클래스리스
qdiscs -
일부
qdiscs에는 하위 클래스가 포함되어 있지 않으며 클래스가 없는qdiscs라고 합니다. 클래스리스qdiscs는 classfulqdiscs에 비해 사용자 지정이 줄어듭니다. 일반적으로 인터페이스에 연결하는 것으로 충분합니다.
32.2. tc 유틸리티를 사용하여 네트워크 인터페이스의 qdiscs 검사
기본적으로 Red Hat Enterprise Linux 시스템은 fq_codel qdisc 를 사용합니다. tc 유틸리티를 사용하여 qdisc 카운터를 검사할 수 있습니다.
프로세스
선택 사항: 현재
qdisc보기:tc qdisc show dev enp0s1
# tc qdisc show dev enp0s1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 현재
qdisc카운터를 검사합니다.tc -s qdisc show dev enp0s1 qdisc fq_codel 0: root refcnt 2 limit 10240p flows 1024 quantum 1514 target 5.0ms interval 100.0ms memory_limit 32Mb ecn Sent 1008193 bytes 5559 pkt (dropped 233, overlimits 55 requeues 77) backlog 0b 0p requeues 0
# tc -s qdisc show dev enp0s1 qdisc fq_codel 0: root refcnt 2 limit 10240p flows 1024 quantum 1514 target 5.0ms interval 100.0ms memory_limit 32Mb ecn Sent 1008193 bytes 5559 pkt (dropped 233, overlimits 55 requeues 77) backlog 0b 0p requeues 0Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
삭제됨- 모든 대기열이 가득 차 있기 때문에 패킷이 삭제되는 횟수 -
overlimits- 구성된 링크 용량이 채워진 횟수 -
sent- 큐 수
-
32.3. 기본 qdisc 업데이트
현재 qdisc 를 사용하여 네트워킹 패킷 손실을 관찰하면 네트워크 요구 사항에 따라 qdisc 를 변경할 수 있습니다.
프로세스
현재 기본
qdisc보기:sysctl -a | grep qdisc net.core.default_qdisc = fq_codel
# sysctl -a | grep qdisc net.core.default_qdisc = fq_codelCopy to Clipboard Copied! Toggle word wrap Toggle overflow 현재 이더넷 연결의
qdisc를 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기존
qdisc를 업데이트합니다.sysctl -w net.core.default_qdisc=pfifo_fast
# sysctl -w net.core.default_qdisc=pfifo_fastCopy to Clipboard Copied! Toggle word wrap Toggle overflow 변경 사항을 적용하려면 네트워크 드라이버를 다시 로드합니다.
modprobe -r NETWORKDRIVERNAME modprobe NETWORKDRIVERNAME
# modprobe -r NETWORKDRIVERNAME # modprobe NETWORKDRIVERNAMECopy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크 인터페이스를 시작합니다.
ip link set enp0s1 up
# ip link set enp0s1 upCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
이더넷 연결의
qdisc를 확인합니다.tc -s qdisc show dev enp0s1 qdisc pfifo_fast 0: root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 Sent 373186 bytes 5333 pkt (dropped 0, overlimits 0 requeues 0) backlog 0b 0p requeues 0 ....
# tc -s qdisc show dev enp0s1 qdisc pfifo_fast 0: root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 Sent 373186 bytes 5333 pkt (dropped 0, overlimits 0 requeues 0) backlog 0b 0p requeues 0 ....Copy to Clipboard Copied! Toggle word wrap Toggle overflow
32.4. tc 유틸리티를 사용하여 네트워크 인터페이스의 현재 qdisc를 일시적으로 설정
기본 값을 변경하지 않고 현재 qdisc 를 업데이트할 수 있습니다.
프로세스
선택 사항: 현재
qdisc보기:tc -s qdisc show dev enp0s1
# tc -s qdisc show dev enp0s1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 현재
qdisc를 업데이트합니다.tc qdisc replace dev enp0s1 root htb
# tc qdisc replace dev enp0s1 root htbCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
업데이트된 현재
qdisc보기:tc -s qdisc show dev enp0s1 qdisc htb 8001: root refcnt 2 r2q 10 default 0 direct_packets_stat 0 direct_qlen 1000 Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0) backlog 0b 0p requeues 0
# tc -s qdisc show dev enp0s1 qdisc htb 8001: root refcnt 2 r2q 10 default 0 direct_packets_stat 0 direct_qlen 1000 Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0) backlog 0b 0p requeues 0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
32.5. NetworkManager를 사용하여 네트워크 인터페이스의 현재 qdisc를 영구적으로 설정
NetworkManager 연결의 현재 qdisc 값을 업데이트할 수 있습니다.
프로세스
선택 사항: 현재
qdisc보기:tc qdisc show dev enp0s1 qdisc fq_codel 0: root refcnt 2
# tc qdisc show dev enp0s1 qdisc fq_codel 0: root refcnt 2Copy to Clipboard Copied! Toggle word wrap Toggle overflow 현재
qdisc를 업데이트합니다.nmcli connection modify enp0s1 tc.qdiscs 'root pfifo_fast'
# nmcli connection modify enp0s1 tc.qdiscs 'root pfifo_fast'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 기존
qdisc에 다른qdisc를 추가하려면+tc.qdisc옵션을 사용합니다.nmcli connection modify enp0s1 +tc.qdisc 'ingress handle ffff:'
# nmcli connection modify enp0s1 +tc.qdisc 'ingress handle ffff:'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 변경 사항을 활성화합니다.
nmcli connection up enp0s1
# nmcli connection up enp0s1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
현재
qdisc네트워크 인터페이스를 확인합니다.tc qdisc show dev enp0s1 qdisc pfifo_fast 8001: root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc ingress ffff: parent ffff:fff1 ----------------
# tc qdisc show dev enp0s1 qdisc pfifo_fast 8001: root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc ingress ffff: parent ffff:fff1 ----------------Copy to Clipboard Copied! Toggle word wrap Toggle overflow
32.6. RHEL에서 사용 가능한 qdiscs
각 qdisc 는 고유한 네트워킹 관련 문제를 해결합니다. 다음은 RHEL에서 사용할 수 있는 qdiscs 목록입니다. 다음 qdisc 중 하나를 사용하여 네트워킹 요구 사항에 따라 네트워크 트래픽을 형성할 수 있습니다.
qdisc 이름 | 포함됨 | 오프로드 지원 |
|---|---|---|
| 비동기 전송 모드(ATM) |
| |
| 신용 기반 셰이퍼 |
| 제공됨 |
| 반응형 흐름, CHOose 및 Kill에 대해 응답하지 않는 흐름(CHOKE)을 선택하고 유지합니다. |
| |
| 제어 지연 (CoDel) |
| |
| 향상된 전송 선택 (ETS) |
| 제공됨 |
| 공정 대기열(FQ) |
| |
| Fair Queuing Controlled Delay (FQ_CODel) |
| |
| Generalized Random Early Detection (GRED) |
| |
| hierarchical Fair Service Curve (HSFC) |
| |
| HHF (Hitter Filter) |
| |
| 계층 토큰 버킷(HTB) |
| 제공됨 |
| INGRESS |
| 제공됨 |
| Multi Queue Priority(MQPRIO) |
| 제공됨 |
| 멀티 큐(MULTIQ) |
| 제공됨 |
| 네트워크 에뮬레이터(NETEM) |
| |
| proportional Integral-controller Enhanced (PIE) |
| |
| PLUG |
| |
| 빠른 처리 대기열(QFQ) |
| |
| 임의 초기 탐지(RED) |
| 제공됨 |
| Stochastic Fair Blue (SFB) |
| |
| SFQ(Stochastic Fairness Queueing) |
| |
| 토큰 버킷 필터(TBF) |
| 제공됨 |
| trivial Link Equalizer (TEQL) |
|
qdisc 오프로드를 사용하려면 NIC에서 하드웨어 및 드라이버 지원이 필요합니다.
33장. 파일 시스템에 저장된 인증서와 함께 802.1X 표준을 사용하여 RHEL 클라이언트를 네트워크에 인증
관리자는 IEEE 802.1X 표준을 기반으로 포트 기반 NAC(Network Access Control)를 사용하여 무단 LAN 및 Wi-Fi 클라이언트로부터 네트워크를 보호하는 경우가 많습니다. 네트워크에서 EAP-TLS(Extensible Authentication Protocol Transport Layer Security) 메커니즘을 사용하는 경우 이 네트워크에 대한 클라이언트를 인증하는 인증서가 필요합니다.
33.1. nmcli를 사용하여 기존 이더넷 연결에서 802.1X 네트워크 인증 구성
nmcli 유틸리티를 사용하여 명령줄에서 802.1X 네트워크 인증을 사용하여 이더넷 연결을 구성할 수 있습니다.
사전 요구 사항
- 네트워크는 802.1X 네트워크 인증을 지원합니다.
- 이더넷 연결 프로필은 NetworkManager에 있으며 유효한 IP 구성이 있습니다.
클라이언트에는 TLS 인증에 필요한 다음 파일이 있습니다.
-
저장된 클라이언트 키는
/etc/pki/tls/private/client.key파일에 있으며 파일은root사용자만 소유하고 읽을 수 있습니다. -
클라이언트 인증서는
/etc/pki/tls/certs/client.crt파일에 저장됩니다. -
CA(인증 기관) 인증서는
/etc/pki/tls/certs/ca.crt파일에 저장됩니다.
-
저장된 클라이언트 키는
-
wpa_supplicant패키지가 설치되어 있어야 합니다.
절차
EAP(Extensible Authentication Protocol)를
tls로 설정하고 클라이언트 인증서 및 키 파일에 대한 경로를 설정합니다.nmcli connection modify enp1s0 802-1x.eap tls 802-1x.client-cert /etc/pki/tls/certs/client.crt 802-1x.private-key /etc/pki/tls/certs/certs/client.key
# nmcli connection modify enp1s0 802-1x.eap tls 802-1x.client-cert /etc/pki/tls/certs/client.crt 802-1x.private-key /etc/pki/tls/certs/certs/client.keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 단일 명령에
802-1x.eap,802-1x.client-cert,802-1x.private-key매개변수를 설정해야 합니다.CA 인증서의 경로를 설정합니다.
nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/tls/certs/ca.crt
# nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/tls/certs/ca.crtCopy to Clipboard Copied! Toggle word wrap Toggle overflow 인증서에 사용된 사용자의 ID를 설정합니다.
nmcli connection modify enp1s0 802-1x.identity user@example.com
# nmcli connection modify enp1s0 802-1x.identity user@example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 구성에 암호를 저장합니다.
nmcli connection modify enp1s0 802-1x.private-key-password password
# nmcli connection modify enp1s0 802-1x.private-key-password passwordCopy to Clipboard Copied! Toggle word wrap Toggle overflow 중요기본적으로 NetworkManager는 암호를 디스크의 연결 프로필에 일반 텍스트로 저장하지만
root사용자만 파일을 읽을 수 있습니다. 그러나 구성 파일의 일반 텍스트 암호는 보안 위험이 될 수 있습니다.보안을 강화하려면
802-1x.password-flags매개변수를에이전트 소유로 설정합니다. 이 설정을 사용하면 인증 키를 잠금 해제한 후 NetworkManager가 이러한 서비스에서 암호를 검색하는 GNOME 데스크탑 환경 또는nm-applet이 있는 서버에서 암호를 검색합니다. 다른 경우에는 NetworkManager에서 암호를 입력하라는 메시지를 표시합니다.연결 프로필을 활성화합니다.
nmcli connection up enp1s0
# nmcli connection up enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
- 네트워크 인증이 필요한 네트워크의 리소스에 액세스합니다.
33.2. nmstatectl을 사용하여 802.1X 네트워크 인증을 사용하여 정적 이더넷 연결 구성
nmstatectl 유틸리티를 사용하여 Nmstate API를 통해 802.1X 네트워크 인증으로 이더넷 연결을 구성합니다. Nmstate API는 구성을 설정한 후 결과가 구성 파일과 일치하는지 확인합니다. 문제가 발생하면 nmstatectl 이 변경 사항을 자동으로 롤백하여 시스템을 잘못된 상태로 두지 않습니다.
nmstate 라이브러리는 TLS EAP(Extensible Authentication Protocol) 메서드만 지원합니다.
사전 요구 사항
- 네트워크는 802.1X 네트워크 인증을 지원합니다.
- 관리 노드는 NetworkManager를 사용합니다.
TLS 인증에 필요한 다음 파일이 클라이언트에 있습니다.
-
저장된 클라이언트 키는
/etc/pki/tls/private/client.key파일에 있으며root사용자만 파일을 소유할 수 있습니다. -
클라이언트 인증서는
/etc/pki/tls/certs/client.crt파일에 저장됩니다. -
CA(인증 기관) 인증서는
/etc/pki/tls/certs/ca.crt파일에 저장됩니다.
-
저장된 클라이언트 키는
프로세스
다음 콘텐츠를 사용하여 YAML 파일(예:
~/create-ethernet-profile.yml)을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 설정은 다음 설정을 사용하여
enp1s0장치에 대한 이더넷 연결 프로필을 정의합니다.-
정적 IPv4 주소 -
192.0.2.1에/24서브넷 마스크 -
/64서브넷 마스크가 있는 정적 IPv6 주소2001:db8:1::1 -
IPv4 기본 게이트웨이 -
192.0.2.254 -
IPv6 기본 게이트웨이 -
2001:db8:1::fffe -
IPv4 DNS 서버 -
192.0.2.200 -
IPv6 DNS 서버 -
2001:db8:1::ffbb -
DNS 검색 도메인 -
example.com -
TLSEAP 프로토콜을 사용한 802.1x 네트워크 인증
-
정적 IPv4 주소 -
시스템에 설정을 적용합니다.
nmstatectl apply ~/create-ethernet-profile.yml
# nmstatectl apply ~/create-ethernet-profile.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
- 네트워크 인증이 필요한 네트워크의 리소스에 액세스합니다.
33.3. 네트워크 RHEL 시스템 역할을 사용하여 802.1X 네트워크 인증으로 정적 이더넷 연결 구성
NAC(Network Access Control)는 권한이 없는 클라이언트로부터 네트워크를 보호합니다. NetworkManager 연결 프로필에서 인증에 필요한 세부 정보를 지정하여 클라이언트가 네트워크에 액세스할 수 있도록 할 수 있습니다. Ansible 및 네트워크 RHEL 시스템 역할을 사용하면 이 프로세스를 자동화하고 플레이북에 정의된 호스트에서 연결 프로필을 원격으로 구성할 수 있습니다.
Ansible 플레이북을 사용하여 개인 키, 인증서 및 CA 인증서를 클라이언트에 복사한 다음 네트워크 RHEL 시스템 역할을 사용하여 802.1X 네트워크 인증으로 연결 프로필을 구성할 수 있습니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다. - 네트워크는 802.1X 네트워크 인증을 지원합니다.
- 관리형 노드는 NetworkManager를 사용합니다.
TLS 인증에 필요한 다음 파일이 제어 노드에 있습니다.
-
클라이언트 키는
/srv/data/client.key파일에 저장됩니다. -
클라이언트 인증서는
/srv/data/client.crt파일에 저장됩니다. -
CA(인증 기관) 인증서는
/srv/data/ca.crt파일에 저장됩니다.
-
클라이언트 키는
프로세스
중요한 변수를 암호화된 파일에 저장합니다.
자격 증명 모음을 생성합니다.
ansible-vault create ~/vault.yml New Vault password: <vault_password> Confirm New Vault password: <vault_password>
$ ansible-vault create ~/vault.yml New Vault password: <vault_password> Confirm New Vault password: <vault_password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow ansible-vault create명령이 편집기를 열고 <key > : < value> 형식으로 중요한 데이터를 입력합니다.pwd: <password>
pwd: <password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 변경 사항을 저장하고 편집기를 종료합니다. Ansible은 자격 증명 모음의 데이터를 암호화합니다.
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
ieee802_1x- 이 변수에는 802.1X 관련 설정이 포함되어 있습니다.
EAP: tls-
EAP(Extensible Authentication Protocol)에 대한 인증서 기반
TLS인증 방법을 사용하도록 프로필을 구성합니다.
플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.network/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml
$ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook --ask-vault-pass ~/playbook.yml
$ ansible-playbook --ask-vault-pass ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
- 네트워크 인증이 필요한 네트워크의 리소스에 액세스합니다.
34장. FreeRADIUS 백엔드와 함께 hostapd 를 사용하여 LAN 클라이언트에 대한 802.1x 네트워크 인증 서비스 설정
IEEE 802.1X 표준은 권한이 없는 클라이언트로부터 네트워크를 보호하기 위한 보안 인증 및 권한 부여 방법을 정의합니다. hostapd 서비스 및 FreeRADIUS를 사용하면 네트워크에서 NAC(Network Access Control)를 제공할 수 있습니다.
Red Hat은 Red Hat IdM(Identity Management)이 있는 FreeRADIUS만 인증 백엔드 소스로 지원합니다.
이 설명서에서 RHEL 호스트는 기존 네트워크와 다른 클라이언트를 연결하는 브리지 역할을 합니다. 그러나 RHEL 호스트는 인증된 클라이언트만 네트워크에 액세스할 수 있습니다.
34.1. 사전 요구 사항
freeradius및freeradius-ldap패키지를 새로 설치합니다.패키지가 이미 설치된 경우
/etc/raddb/디렉터리를 제거한 다음 패키지를 다시 설치합니다./etc/raddb/디렉터리의 권한 및 심볼릭 링크가 다르므로yum reinstall명령을 사용하여 패키지를 다시 설치하지 마십시오.- FreeRADIUS를 구성하려는 호스트 는 IdM 도메인의 클라이언트 입니다.
34.2. 인증자에서 브리지 설정
네트워크 브리지는 MAC 주소 테이블을 기반으로 호스트와 네트워크 간에 트래픽을 전달하는 링크 계층 장치입니다. RHEL을 802.1X 인증기로 설정하는 경우 인증을 수행할 인터페이스와 LAN 인터페이스를 브리지에 추가합니다.
사전 요구 사항
- 서버에는 여러 이더넷 인터페이스가 있습니다.
프로세스
브리지 인터페이스가 없는 경우 이를 생성합니다.
nmcli connection add type bridge con-name br0 ifname br0
# nmcli connection add type bridge con-name br0 ifname br0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 브릿지에 이더넷 인터페이스를 할당합니다.
nmcli connection add type ethernet slave-type bridge con-name br0-port1 ifname enp1s0 master br0 nmcli connection add type ethernet slave-type bridge con-name br0-port2 ifname enp7s0 master br0 nmcli connection add type ethernet slave-type bridge con-name br0-port3 ifname enp8s0 master br0 nmcli connection add type ethernet slave-type bridge con-name br0-port4 ifname enp9s0 master br0
# nmcli connection add type ethernet slave-type bridge con-name br0-port1 ifname enp1s0 master br0 # nmcli connection add type ethernet slave-type bridge con-name br0-port2 ifname enp7s0 master br0 # nmcli connection add type ethernet slave-type bridge con-name br0-port3 ifname enp8s0 master br0 # nmcli connection add type ethernet slave-type bridge con-name br0-port4 ifname enp9s0 master br0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 브리지를 활성화하여 LAN(EAPOL) 패킷을 통해 확장 가능한 인증 프로토콜을 전달합니다.
nmcli connection modify br0 group-forward-mask 8
# nmcli connection modify br0 group-forward-mask 8Copy to Clipboard Copied! Toggle word wrap Toggle overflow 브리지 장치에서 Spanning Tree Protocol (STP)을 비활성화합니다.
*nmcli connection modify br0 stp off"
# *nmcli connection modify br0 stp off"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 포트를 자동으로 활성화하도록 연결을 구성합니다.
nmcli connection modify br0 connection.autoconnect-slaves 1
# nmcli connection modify br0 connection.autoconnect-slaves 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결을 활성화합니다.
nmcli connection up br0
# nmcli connection up br0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
특정 브리지의 포트인 이더넷 장치의 링크 상태를 표시합니다.
ip link show master br0 3: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master br0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff ...# ip link show master br0 3: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master br0 state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:62:61:0e brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow br0장치에서 EAPOL 패킷의 전달이 활성화되었는지 확인합니다.cat /sys/class/net/br0/bridge/group_fwd_mask 0x8
# cat /sys/class/net/br0/bridge/group_fwd_mask 0x8Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령이
0x8을 반환하면 전달이 활성화됩니다.
34.3. EAP를 사용하여 네트워크 클라이언트를 안전하게 인증하도록 FreeRADIUS 구성
Freeradius는 EAP(Extensible Authentication Protocol)의 다양한 방법을 지원합니다. 그러나 지원되는 보안 시나리오의 경우 EAP-TTLS(tunneled transport layer security)를 사용합니다.
EAP-TTLS를 사용하면 클라이언트는 보안 TLS 연결을 외부 인증 프로토콜로 사용하여 터널을 설정합니다. 그런 다음 내부 인증은 LDAP를 사용하여 Identity Management에 인증합니다. EAP-TTLS를 사용하려면 TLS 서버 인증서가 필요합니다.
기본 FreeRADIUS 구성 파일은 문서 역할을 하며 모든 매개변수 및 지시문을 설명합니다. 특정 기능을 비활성화하려면 구성 파일에서 해당 부분을 제거하는 대신 주석 처리하십시오. 이를 통해 구성 파일 및 포함된 문서의 구조를 유지할 수 있습니다.
사전 요구 사항
-
freeradius및freeradius-ldap패키지를 설치했습니다. -
/etc/raddb/디렉토리의 구성 파일은 변경되지 않고freeradius패키지에서 제공하는 대로 설정됩니다. - 호스트는 Red Hat Enterprise Linux IdM(Identity Management) 도메인에 등록되어 있습니다.
프로세스
개인 키를 생성하고 IdM에서 인증서를 요청합니다.
ipa-getcert request -w -k /etc/pki/tls/private/radius.key -f /etc/pki/tls/certs/radius.pem -o "root:radiusd" -m 640 -O "root:radiusd" -M 640 -T caIPAserviceCert -C 'systemctl restart radiusd.service' -N freeradius.idm.example.com -D freeradius.idm.example.com -K radius/freeradius.idm.example.com
# ipa-getcert request -w -k /etc/pki/tls/private/radius.key -f /etc/pki/tls/certs/radius.pem -o "root:radiusd" -m 640 -O "root:radiusd" -M 640 -T caIPAserviceCert -C 'systemctl restart radiusd.service' -N freeradius.idm.example.com -D freeradius.idm.example.com -K radius/freeradius.idm.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow certmonger서비스는 개인 키를/etc/pki/tls/private/radius.key파일에 저장하고/etc/pki/tls/certs/radius.pem파일에 인증서를 저장하고 보안 권한을 설정합니다. 또한certmonger는 인증서를 모니터링하고 만료되기 전에 갱신한 후 인증서가 갱신된 후반경된서비스를 다시 시작합니다.CA에서 인증서를 발급했는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Diffie-Hellman(DH) 매개변수를 사용하여
/etc/raddb/certs/dh파일을 만듭니다. 예를 들어 2048비트 소수를 사용하여 DH 파일을 만들려면 다음을 입력합니다.openssl dhparam -out /etc/raddb/certs/dh 2048
# openssl dhparam -out /etc/raddb/certs/dh 2048Copy to Clipboard Copied! Toggle word wrap Toggle overflow 보안상의 이유로 2048비트 소수가 있는 DH 파일을 사용하지 마십시오. 비트 수에 따라 파일 생성에 몇 분이 걸릴 수 있습니다.
/etc/raddb/mods-available/eap파일을 편집합니다.tls-config tls-common지시문에서 TLS 관련 설정을 구성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow Cryostat 지시문에서
default_eap_type매개변수를ttls:로 설정합니다.eap { ... default_eap_type = ttls ... }eap { ... default_eap_type = ttls ... }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 비보안 EAP-MD5 인증 방법을 비활성화하려면
md5지시문을 주석 처리합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본 구성 파일에서 다른 비보안 EAP 인증 방법은 기본적으로 주석 처리됩니다.
/etc/raddb/sites-available/default파일을 편집하고 Cryostat 이외의 모든 인증 방법을 주석처리합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이렇게 하면 외부 인증에 대해 EAP만 활성화되고 일반 텍스트 인증 방법을 비활성화합니다.
/etc/raddb/sites-available/inner-tunnel파일을 편집하고 다음과 같이 변경합니다.-ldap항목을 주석 처리하고ldap모듈 구성을authorize지시문에 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow authenticate지시문에서 LDAP 인증 유형의 주석을 제거합니다.authenticate { Auth-Type LDAP { ldap } }authenticate { Auth-Type LDAP { ldap } }Copy to Clipboard Copied! Toggle word wrap Toggle overflow
ldap모듈을 활성화합니다.ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
# ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapCopy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/raddb/mods-available/ldap파일을 편집하고 다음과 같이 변경합니다.ldap지시문에서 IdM LDAP 서버 URL과 기본 고유 이름(DN)을 설정합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow FreeRADIUS 호스트와 IdM 서버 간에 TLS 암호화 연결을 사용하도록 서버 URL에서
ldaps프로토콜을 지정합니다.ldap지시문에서 IdM LDAP 서버의 TLS 인증서 유효성 검사를 활성화합니다.tls { ... require_cert = 'demand' ... }tls { ... require_cert = 'demand' ... }Copy to Clipboard Copied! Toggle word wrap Toggle overflow
/etc/raddb/clients.conf파일을 편집합니다.localhost및localhost_ipv6클라이언트 지시문에 보안 암호를 설정합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 네트워크 인증자의 클라이언트 지시문을 추가합니다.
client hostapd.example.org { ipaddr = 192.0.2.2/32 secret = hostapd_client_password }client hostapd.example.org { ipaddr = 192.0.2.2/32 secret = hostapd_client_password }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 다른 호스트도 FreeRADIUS 서비스에 액세스할 수 있어야 하는 경우 다음과 같이 클라이언트 지시문을 추가합니다.
client <hostname_or_description> { ipaddr = <IP_address_or_range> secret = <client_password> }client <hostname_or_description> { ipaddr = <IP_address_or_range> secret = <client_password> }Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipaddr매개변수는 IPv4 및 IPv6 주소를 허용하고, 선택적 CIDR(Classless inter-domain routing) 표기법을 사용하여 범위를 지정할 수 있습니다. 그러나 이 매개변수에서 하나의 값만 설정할 수 있습니다. 예를 들어 IPv4 및 IPv6 주소에 대한 액세스 권한을 부여하려면 두 개의 클라이언트 지시문을 추가해야 합니다.클라이언트 지시문에 설명이 포함된 이름(예: 호스트 이름 또는 IP 범위가 사용되는 위치를 설명하는 단어)을 사용합니다.
구성 파일을 확인합니다.
radiusd -XC ... Configuration appears to be OK
# radiusd -XC ... Configuration appears to be OKCopy to Clipboard Copied! Toggle word wrap Toggle overflow firewalld서비스에서 RADIUS 포트를 엽니다.firewall-cmd --permanent --add-service=radius firewall-cmd --reload
# firewall-cmd --permanent --add-service=radius # firewall-cmd --reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow 반경된서비스를 활성화하고 시작합니다.systemctl enable --now radiusd
# systemctl enable --now radiusdCopy to Clipboard Copied! Toggle word wrap Toggle overflow
문제 해결
반경서비스가 시작되지 않으면 IdM 서버 호스트 이름을 확인할 수 있는지 확인합니다.host -v idm_server.idm.example.com
# host -v idm_server.idm.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다른 문제의 경우 디버그 모드에서
반경을실행하십시오.반경된서비스를 중지합니다.systemctl stop radiusd
# systemctl stop radiusdCopy to Clipboard Copied! Toggle word wrap Toggle overflow 디버그 모드에서 서비스를 시작합니다.
radiusd -X ... Ready to process requests
# radiusd -X ... Ready to process requestsCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
확인섹션에서 참조된 FreeRADIUS 호스트에서 인증 테스트를 수행합니다.
다음 단계
- 더 이상 필수 인증 방법 및 사용하지 않는 기타 기능을 비활성화합니다.
34.4. 유선 네트워크에서 hostapd 를 인증자로 구성
호스트 액세스 포인트 데몬(hostapd) 서비스는 802.1X 인증을 제공하기 위해 유선 네트워크에서 인증자 역할을 할 수 있습니다. 이를 위해 hostapd 서비스에는 클라이언트를 인증하는 RADIUS 서버가 필요합니다.
hostapd 서비스는 통합된 RADIUS 서버를 제공합니다. 그러나 통합 RADIUS 서버는 테스트 목적으로만 사용합니다. 프로덕션 환경의 경우 다양한 인증 방법 및 액세스 제어와 같은 추가 기능을 지원하는 FreeRADIUS 서버를 사용합니다.
hostapd 서비스는 트래픽 플레인과 상호 작용하지 않습니다. 서비스는 인증자 역할을만 합니다. 예를 들어 hostapd 제어 인터페이스를 사용하여 인증 이벤트 결과에 따라 트래픽을 허용하거나 거부하는 스크립트 또는 서비스를 사용합니다.
사전 요구 사항
-
hostapd패키지를 설치했습니다. - FreeRADIUS 서버가 구성되었으며 클라이언트를 인증할 준비가 되었습니다.
프로세스
다음 콘텐츠를 사용하여
/etc/hostapd/hostapd.conf파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 구성에 사용된 매개변수에 대한 자세한 내용은
/usr/share/doc/hostapd/hostapd.conf예제 구성 파일에서 설명을 참조하십시오.hostapd서비스를 활성화하고 시작합니다.systemctl enable --now hostapd
# systemctl enable --now hostapdCopy to Clipboard Copied! Toggle word wrap Toggle overflow
문제 해결
hostapd서비스가 시작되지 않으면/etc/hostapd/hostapd.conf파일에서 사용하는 브리지 인터페이스가 시스템에 있는지 확인합니다.ip link show br0
# ip link show br0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다른 문제의 경우 디버그 모드에서
hostapd를 실행합니다.hostapd서비스를 중지합니다.systemctl stop hostapd
# systemctl stop hostapdCopy to Clipboard Copied! Toggle word wrap Toggle overflow 디버그 모드에서 서비스를 시작합니다.
hostapd -d /etc/hostapd/hostapd.conf
# hostapd -d /etc/hostapd/hostapd.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
확인섹션에서 참조된 FreeRADIUS 호스트에서 인증 테스트를 수행합니다.
34.5. FreeRADIUS 서버 또는 인증자에 대한 EAP-TTLS 인증 테스트
터널링된 전송 계층 보안(EAP-TTLS)에서 EAP(확장된 인증 프로토콜)를 사용하여 인증이 작동하는지 테스트하려면 다음 절차를 실행하십시오.
- FreeRADIUS 서버를 설정한 후
-
hostapd서비스를 802.1X 네트워크 인증을 위한 인증기로 설정한 후
이 절차에서 사용되는 테스트 유틸리티의 출력은 EAP 통신에 대한 추가 정보를 제공하고 문제를 디버깅하는 데 도움이 됩니다.
사전 요구 사항
인증하려는 경우 다음을 수행합니다.
FreeRADIUS 서버:
-
hostapd패키지에서 제공하는 Cryostatol_test유틸리티가 설치됩니다. - 이 절차를 실행하는 클라이언트는 FreeRADIUS 서버의 클라이언트 데이터베이스에서 인증되었습니다.
-
-
동일한 이름의 패키지에서 제공하는
wpa_supplicant유틸리티인 Authenticator가 설치됩니다.
-
CA(인증 기관) 인증서를
/etc/ipa/ca.cert파일에 저장했습니다.
프로세스
선택 사항: IdM(Identity Management)에서 사용자를 생성합니다.
ipa user-add --first "Test" --last "User" idm_user --password
# ipa user-add --first "Test" --last "User" idm_user --passwordCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 콘텐츠를 사용하여
/etc/wpa_supplicant/wpa_supplicant-TTLS.conf파일을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 인증하려면 다음을 수행합니다.
FreeRADIUS 서버는 다음을 입력합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow a옵션은 FreeRADIUS 서버의 IP 주소를 정의하고-s옵션은 FreeRADIUS 서버의 클라이언트 구성에서 명령을 실행하는 호스트의 암호를 지정합니다.인증기를 입력하면 다음을 입력합니다.
wpa_supplicant -c /etc/wpa_supplicant/wpa_supplicant-TTLS.conf -D wired -i enp0s31f6 ... enp0s31f6: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully ...
# wpa_supplicant -c /etc/wpa_supplicant/wpa_supplicant-TTLS.conf -D wired -i enp0s31f6 ... enp0s31f6: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow i옵션은wpa_supplicant가 LAN(EAPOL) 패킷을 통해 확장 인증 프로토콜을 전송하는 네트워크 인터페이스 이름을 지정합니다.자세한 디버깅 정보를 보려면
-d옵션을 명령에 전달합니다.
34.6. 호스트된 인증 이벤트를 기반으로 트래픽 차단 및 허용
hostapd 서비스는 트래픽 플레인과 상호 작용하지 않습니다. 서비스는 인증자 역할을만 합니다. 그러나 인증 이벤트 결과에 따라 트래픽을 허용 및 거부하는 스크립트를 작성할 수 있습니다.
이 절차는 지원되지 않으며 엔터프라이즈급 솔루션이 아닙니다. hostapd_cli 에서 검색한 이벤트를 평가하여 트래픽을 차단하거나 허용하는 방법만 보여줍니다.
802-1x-tr-mgmt systemd 서비스가 시작되면 RHEL은 EAPOL(Extensible Authentication Protocol over LAN) 패킷을 제외하고 hostapd 의 수신 포트에서 모든 트래픽을 차단하고 hostapd_cli 유틸리티를 사용하여 hostapd 제어 인터페이스에 연결합니다. 그런 다음 /usr/local/bin/802-1x-tr-mgmt 스크립트를 사용하여 이벤트를 평가합니다. hostapd_cli 에서 수신한 다양한 이벤트에 따라 스크립트는 MAC 주소에 대한 트래픽을 허용하거나 차단합니다. 802-1x-tr-mgmt 서비스가 중지되면 모든 트래픽이 자동으로 다시 허용됩니다.
hostapd 서버에서 이 절차를 수행합니다.
사전 요구 사항
-
hostapd서비스가 구성되었으며 서비스는 클라이언트를 인증할 준비가 되었습니다.
프로세스
다음 콘텐츠를 사용하여
/usr/local/bin/802-1x-tr-mgmt파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 콘텐츠를 사용하여
/etc/systemd/system/802-1x-tr-mgmt@.servicesystemd 서비스 파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow systemd를 다시 로드합니다.
systemctl daemon-reload
# systemctl daemon-reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow 인터페이스 이름
hostapd를 사용하여802-1x-tr-mgmt서비스를 활성화하고 시작합니다.systemctl enable --now 802-1x-tr-mgmt@br0.service
# systemctl enable --now 802-1x-tr-mgmt@br0.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
- 네트워크에 대한 클라이언트로 인증합니다. FreeRADIUS 서버 또는 인증자에 대한 EAP-TTLS 인증 테스트를 참조하십시오.
35장. Multipath TCP 시작하기
TCP(Transmission Control Protocol)는 인터넷을 통해 데이터를 안정적으로 제공하고 네트워크 로드에 대한 응답으로 대역폭을 자동으로 조정합니다. 다중 경로 TCP(MPTCP)는 원래 TCP 프로토콜(single-path)의 확장입니다. MPTCP를 사용하면 전송 연결이 여러 경로에서 동시에 작동할 수 있으며 사용자 엔드포인트 장치에 네트워크 연결 중복성을 제공합니다.
35.1. MPTCP 이해
Multipath TCP(MPTCP) 프로토콜을 사용하면 연결 끝점 간에 여러 경로를 동시에 사용할 수 있습니다. 프로토콜 설계는 연결 안정성을 개선하고 단일 경로 TCP에 비해 다른 이점도 제공합니다.
MPTCP 용어에서 링크는 경로로 간주됩니다.
다음은 MPTCP 사용의 몇 가지 이점입니다.
- 이를 통해 연결은 여러 네트워크 인터페이스를 동시에 사용할 수 있습니다.
- 연결이 링크 속도에 바인딩되는 경우 여러 링크를 사용하면 연결 처리량이 증가할 수 있습니다. 참고: 연결이 CPU에 바인딩되는 경우 여러 링크를 사용하면 연결 속도가 느려집니다.
- 이로 인해 오류 연결에 대한 복원력이 증가합니다.
MPTCP에 대한 자세한 내용은 추가 리소스를 참조하십시오.
35.2. MPTCP 지원을 활성화하기 위해 RHEL 준비
기본적으로 RHEL에서는 MPTCP 지원이 비활성화됩니다. 이 기능을 지원하는 애플리케이션에서 사용할 수 있도록 MPTCP를 활성화합니다. 또한 이러한 애플리케이션에 기본적으로 TCP 소켓이 있는 경우 MPTCP 소켓을 강제로 사용하도록 사용자 공간 애플리케이션을 구성해야 합니다.
sysctl 유틸리티를 사용하여 MPTCP 지원을 활성화하고 SystemTap 스크립트를 사용하여 시스템 전체에 대해 MPTCP를 사용하도록 RHEL을 준비할 수 있습니다.
사전 요구 사항
다음 패키지가 설치됩니다.
-
SystemTap -
iperf3
프로세스
커널에서 MPTCP 소켓을 활성화합니다.
echo "net.mptcp.enabled=1" > /etc/sysctl.d/90-enable-MPTCP.conf sysctl -p /etc/sysctl.d/90-enable-MPTCP.conf
# echo "net.mptcp.enabled=1" > /etc/sysctl.d/90-enable-MPTCP.conf # sysctl -p /etc/sysctl.d/90-enable-MPTCP.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow 커널에서 MPTCP가 활성화되어 있는지 확인합니다.
sysctl -a | grep mptcp.enabled net.mptcp.enabled = 1
# sysctl -a | grep mptcp.enabled net.mptcp.enabled = 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 콘텐츠를 사용하여
mptcp-app.stap파일을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 사용자 공간 애플리케이션에서 TCP 대신 MPTCP 소켓을 생성하도록 강제 적용합니다.
stap -vg mptcp-app.stap
# stap -vg mptcp-app.stapCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고: 이 작업은 명령 다음에 시작되는 모든 TCP 소켓에 영향을 미칩니다. 위의 명령을 Ctrl+C 를 사용하여 중단한 후에도 애플리케이션은 TCP 소켓을 계속 사용합니다.
또는 특정 애플리케이션으로 MPTCP 사용을 허용하려면 다음 콘텐츠를 사용하여
mptcp-app.stap파일을 수정할 수 있습니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다른 선택 사항이 있는 경우
iperf3툴에서 TCP 대신 MPTCP를 사용하도록 강제 적용하려고 합니다. 이렇게 하려면 다음 명령을 입력합니다.stap -vg mptcp-app.stap iperf3
# stap -vg mptcp-app.stap iperf3Copy to Clipboard Copied! Toggle word wrap Toggle overflow mptcp-app.stap스크립트가 커널 프로브를 설치한 후 커널dmesg출력에 다음 경고가 표시됩니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow iperf3서버를 시작합니다.iperf3 -s Server listening on 5201
# iperf3 -s Server listening on 5201Copy to Clipboard Copied! Toggle word wrap Toggle overflow 클라이언트를 서버에 연결합니다.
iperf3 -c 127.0.0.1 -t 3
# iperf3 -c 127.0.0.1 -t 3Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결이 설정된 후
ss출력을 확인하여 하위 흐름 관련 상태를 확인합니다.ss -nti '( dport :5201 )' State Recv-Q Send-Q Local Address:Port Peer Address:Port Process ESTAB 0 0 127.0.0.1:41842 127.0.0.1:5201 cubic wscale:7,7 rto:205 rtt:4.455/8.878 ato:40 mss:21888 pmtu:65535 rcvmss:536 advmss:65483 cwnd:10 bytes_sent:141 bytes_acked:142 bytes_received:4 segs_out:8 segs_in:7 data_segs_out:3 data_segs_in:3 send 393050505bps lastsnd:2813 lastrcv:2772 lastack:2772 pacing_rate 785946640bps delivery_rate 10944000000bps delivered:4 busy:41ms rcv_space:43690 rcv_ssthresh:43690 minrtt:0.008 tcp-ulp-mptcp flags:Mmec token:0000(id:0)/2ff053ec(id:0) seq:3e2cbea12d7673d4 sfseq:3 ssnoff:ad3d00f4 maplen:2
# ss -nti '( dport :5201 )' State Recv-Q Send-Q Local Address:Port Peer Address:Port Process ESTAB 0 0 127.0.0.1:41842 127.0.0.1:5201 cubic wscale:7,7 rto:205 rtt:4.455/8.878 ato:40 mss:21888 pmtu:65535 rcvmss:536 advmss:65483 cwnd:10 bytes_sent:141 bytes_acked:142 bytes_received:4 segs_out:8 segs_in:7 data_segs_out:3 data_segs_in:3 send 393050505bps lastsnd:2813 lastrcv:2772 lastack:2772 pacing_rate 785946640bps delivery_rate 10944000000bps delivered:4 busy:41ms rcv_space:43690 rcv_ssthresh:43690 minrtt:0.008 tcp-ulp-mptcp flags:Mmec token:0000(id:0)/2ff053ec(id:0) seq:3e2cbea12d7673d4 sfseq:3 ssnoff:ad3d00f4 maplen:2Copy to Clipboard Copied! Toggle word wrap Toggle overflow MPTCP 카운터를 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
35.3. iproute2를 사용하여 MPTCP 애플리케이션에 대해 여러 경로를 일시적으로 구성하고 활성화
각 MPTCP 연결은 일반 TCP와 유사한 단일 하위 흐름을 사용합니다. MPTCP 이점을 얻으려면 각 MPTCP 연결에 대한 최대 하위 흐름 수에 더 높은 제한을 지정합니다. 그런 다음 추가 엔드포인트를 구성하여 해당 하위 흐름을 생성합니다.
이 절차의 구성은 시스템을 재부팅한 후 유지되지 않습니다.
MPTCP는 동일한 소켓에 대해 혼합 IPv6 및 IPv4 끝점을 아직 지원하지 않습니다. 동일한 주소 제품군에 속하는 엔드포인트를 사용합니다.
사전 요구 사항
-
iperf3패키지가 설치되어 있습니다. 서버 네트워크 인터페이스 설정:
-
enp4s0:
192.0.2.1/24 -
enp1s0:
198.51.100.1/24
-
enp4s0:
클라이언트 네트워크 인터페이스 설정:
-
enp4s0f0:
192.0.2.2/24 -
enp4s0f1:
198.51.100.2/24
-
enp4s0f0:
프로세스
서버에서 제공하는 대로 최대 1개의 추가 원격 주소를 수락하도록 클라이언트를 구성합니다.
ip mptcp limits set add_addr_accepted 1
# ip mptcp limits set add_addr_accepted 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 서버의 새 MPTCP 엔드포인트로 IP 주소
198.51.100.1을 추가합니다.ip mptcp endpoint add 198.51.100.1 dev enp1s0 signal
# ip mptcp endpoint add 198.51.100.1 dev enp1s0 signalCopy to Clipboard Copied! Toggle word wrap Toggle overflow 신호옵션을 사용하면ADD_ADDR패킷이 3방향 핸드셰이크 후에 전송됩니다.iperf3서버를 시작합니다.iperf3 -s Server listening on 5201
# iperf3 -s Server listening on 5201Copy to Clipboard Copied! Toggle word wrap Toggle overflow 클라이언트를 서버에 연결합니다.
iperf3 -c 192.0.2.1 -t 3
# iperf3 -c 192.0.2.1 -t 3Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
연결이 설정되었는지 확인합니다.
ss -nti '( sport :5201 )'
# ss -nti '( sport :5201 )'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 및 IP 주소 제한을 확인합니다.
ip mptcp limit show
# ip mptcp limit showCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새로 추가된 엔드포인트를 확인합니다.
ip mptcp endpoint show
# ip mptcp endpoint showCopy to Clipboard Copied! Toggle word wrap Toggle overflow 서버에서
nstat MPTcp*명령을 사용하여 MPTCP 카운터를 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
35.4. MPTCP 애플리케이션에 대한 여러 경로 영구적으로 구성
nmcli 명령을 사용하여 소스와 대상 시스템 간에 여러 하위 흐름을 영구적으로 설정하도록 MPTCP(MultiPath TCP)를 구성할 수 있습니다. 하위 흐름은 다른 리소스, 대상에 대한 다른 경로 및 다른 네트워크를 사용할 수 있습니다. 예를 들어, 이더넷, MMY, Cryostat 등 결과적으로 결합된 연결을 통해 네트워크 탄력성 및 처리량이 증가합니다.
서버는 예제에서 다음 네트워크 인터페이스를 사용합니다.
-
enp4s0:
192.0.2.1/24 -
enp1s0:
198.51.100.1/24 -
enp7s0:
192.0.2.3/24
클라이언트는 예제에서 다음 네트워크 인터페이스를 사용합니다.
-
enp4s0f0:
192.0.2.2/24 -
enp4s0f1:
198.51.100.2/24 -
enp6s0:
192.0.2.5/24
사전 요구 사항
- 관련 인터페이스에 기본 게이트웨이를 구성했습니다.
프로세스
커널에서 MPTCP 소켓을 활성화합니다.
echo "net.mptcp.enabled=1" > /etc/sysctl.d/90-enable-MPTCP.conf sysctl -p /etc/sysctl.d/90-enable-MPTCP.conf
# echo "net.mptcp.enabled=1" > /etc/sysctl.d/90-enable-MPTCP.conf # sysctl -p /etc/sysctl.d/90-enable-MPTCP.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: subflow 제한의 RHEL 커널 기본값은 2입니다. 더 많은 정보가 필요한 경우:
다음 콘텐츠를 사용하여
/etc/systemd/system/set_mptcp_limit.service파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow oneshot 장치는 모든 부팅 프로세스 중에 네트워크(
network.target)가 작동하는 후ip mptcp 제한 설정 하위 흐름 3명령을 실행합니다.ip mptcp limits set subflows 3명령은 각 연결에 대한 최대 하위 흐름 수를 설정하므로 총 4개입니다. 최대 3 개의 하위 흐름을 추가할 수 있습니다.set_mptcp_limit서비스를 활성화합니다.systemctl enable --now set_mptcp_limit
# systemctl enable --now set_mptcp_limitCopy to Clipboard Copied! Toggle word wrap Toggle overflow
연결 집계에 사용할 모든 연결 프로필에서 MPTCP를 활성화합니다.
nmcli connection modify <profile_name> connection.mptcp-flags signal,subflow,also-without-default-route
# nmcli connection modify <profile_name> connection.mptcp-flags signal,subflow,also-without-default-routeCopy to Clipboard Copied! Toggle word wrap Toggle overflow connection.mptcp-flags매개변수는 MPTCP 끝점 및 IP 주소 플래그를 구성합니다. NetworkManager 연결 프로필에서 MPTCP가 활성화된 경우 설정은 관련 네트워크 인터페이스의 IP 주소를 MPTCP 엔드포인트로 구성합니다.기본 게이트웨이가 없는 경우 기본적으로 NetworkManager는 IP 주소에 MPTCP 플래그를 추가하지 않습니다. 해당 검사를 바이패스하려면
also-without-default-route플래그를 사용해야 합니다.
검증
MPTCP 커널 매개변수를 활성화했는지 확인합니다.
sysctl net.mptcp.enabled net.mptcp.enabled = 1
# sysctl net.mptcp.enabled net.mptcp.enabled = 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본값이 충분하지 않은 경우 하위 흐름 제한을 올바르게 설정했는지 확인합니다.
ip mptcp limit show add_addr_accepted 2 subflows 3
# ip mptcp limit show add_addr_accepted 2 subflows 3Copy to Clipboard Copied! Toggle word wrap Toggle overflow 주소별 MPTCP 설정을 올바르게 구성했는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
35.5. 모니터링 MPTCP 하위 흐름
다중 경로 TCP(MPTCP) 소켓의 라이프 사이클은 복잡할 수 있습니다. 기본 MPTCP 소켓이 생성되고, MPTCP 경로가 검증되고, 하나 이상의 하위 흐름이 생성되고 결국 제거됩니다. 마지막으로 MPTCP 소켓이 종료됩니다.
MPTCP 프로토콜을 사용하면 iproute 패키지에서 제공하는 ip 유틸리티를 사용하여 소켓 및 하위 흐름 생성 및 삭제와 관련된 MPTCP별 이벤트를 모니터링할 수 있습니다. 이 유틸리티는 netlink 인터페이스를 사용하여 MPTCP 이벤트를 모니터링합니다.
이 절차에서는 MPTCP 이벤트를 모니터링하는 방법을 설명합니다. 이를 위해 MPTCP 서버 애플리케이션을 시뮬레이션하고 클라이언트가 이 서비스에 연결됩니다. 이 예에서 관련 클라이언트는 다음 인터페이스 및 IP 주소를 사용합니다.
-
서버:
192.0.2.1 -
클라이언트(Ethernet 연결):
192.0.2.2 -
클라이언트(WiFi 연결):
192.0.2.3
이 예제를 단순화하기 위해 모든 인터페이스는 동일한 서브넷에 있습니다. 이는 요구 사항이 아닙니다. 그러나 라우팅이 올바르게 구성되어 있으며 클라이언트는 두 인터페이스를 통해 서버에 연결할 수 있습니다.
사전 요구 사항
- 두 개의 네트워크 인터페이스가 있는 RHEL 클라이언트(예: 이더넷 및 everyone가 있는 랩탑)
- 클라이언트는 두 인터페이스를 통해 서버에 연결할 수 있습니다.
- RHEL 서버
- 클라이언트와 서버 모두 RHEL 8.6 이상을 실행합니다.
프로세스
클라이언트와 서버 모두에서 연결별 추가 하위 흐름 제한을
1로 설정합니다.ip mptcp limits set add_addr_accepted 0 subflows 1
# ip mptcp limits set add_addr_accepted 0 subflows 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 서버에서 MPTCP 서버 애플리케이션을 시뮬레이션하려면 TCP 소켓 대신 강제 MPTCP 소켓을 사용하여 수신 대기 모드에서
netcat(nc)을 시작합니다.nc -l -k -p 12345
# nc -l -k -p 12345Copy to Clipboard Copied! Toggle word wrap Toggle overflow -k옵션을 사용하면 첫 번째 수락된 연결 후 해당nc가 리스너를 닫지 않습니다. 하위 흐름의 모니터링을 보여주는 데 필요합니다.클라이언트에서 다음을 수행합니다.
가장 낮은 메트릭으로 인터페이스를 식별합니다.
ip -4 route 192.0.2.0/24 dev enp1s0 proto kernel scope link src 192.0.2.2 metric 100 192.0.2.0/24 dev wlp1s0 proto kernel scope link src 192.0.2.3 metric 600
# ip -4 route 192.0.2.0/24 dev enp1s0 proto kernel scope link src 192.0.2.2 metric 100 192.0.2.0/24 dev wlp1s0 proto kernel scope link src 192.0.2.3 metric 600Copy to Clipboard Copied! Toggle word wrap Toggle overflow enp1s0인터페이스에는wlp1s0보다 낮은 메트릭이 있습니다. 따라서 RHEL은 기본적으로enp1s0을 사용합니다.첫 번째 터미널에서 모니터링을 시작합니다.
ip mptcp monitor
# ip mptcp monitorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 두 번째 터미널에서 서버에 대한 MPTCP 연결을 시작합니다.
nc 192.0.2.1 12345
# nc 192.0.2.1 12345Copy to Clipboard Copied! Toggle word wrap Toggle overflow RHEL은
enp1s0인터페이스와 관련 IP 주소를 이 연결의 소스로 사용합니다.모니터링 터미널에서
ip mptcp 모니터명령이 다음을 기록합니다.[ CREATED] token=63c070d2 remid=0 locid=0 saddr4=192.0.2.2 daddr4=192.0.2.1 sport=36444 dport=12345
[ CREATED] token=63c070d2 remid=0 locid=0 saddr4=192.0.2.2 daddr4=192.0.2.1 sport=36444 dport=12345Copy to Clipboard Copied! Toggle word wrap Toggle overflow 토큰은 MPTCP 소켓을 고유 ID로 식별하고 나중에 동일한 소켓에서 MPTCP 이벤트의 상관 관계를 지정할 수 있습니다.
서버에 대한 실행 중인
nc연결이 있는 터미널에서 Enter 를 누릅니다. 이 첫 번째 데이터 패킷은 연결을 완전히 설정합니다. 데이터가 전송되지 않은 한 연결이 설정되지 않습니다.모니터링 터미널에서
ip mptcp 모니터는 다음을 기록합니다.[ ESTABLISHED] token=63c070d2 remid=0 locid=0 saddr4=192.0.2.2 daddr4=192.0.2.1 sport=36444 dport=12345
[ ESTABLISHED] token=63c070d2 remid=0 locid=0 saddr4=192.0.2.2 daddr4=192.0.2.1 sport=36444 dport=12345Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 서버의 포트
12345에 대한 연결을 표시합니다.ss -taunp | grep ":12345" tcp ESTAB 0 0 192.0.2.2:36444 192.0.2.1:12345
# ss -taunp | grep ":12345" tcp ESTAB 0 0 192.0.2.2:36444 192.0.2.1:12345Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 시점에서 서버에 대한 하나의 연결만 설정되었습니다.
세 번째 터미널에서 다른 끝점을 생성합니다.
ip mptcp endpoint add dev wlp1s0 192.0.2.3 subflow
# ip mptcp endpoint add dev wlp1s0 192.0.2.3 subflowCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 이 명령에서 클라이언트의 everyone 인터페이스의 이름과 IP 주소를 설정합니다.
모니터링 터미널에서
ip mptcp 모니터는 다음을 기록합니다.[SF_ESTABLISHED] token=63c070d2 remid=0 locid=2 saddr4=192.0.2.3 daddr4=192.0.2.1 sport=53345 dport=12345 backup=0 ifindex=3
[SF_ESTABLISHED] token=63c070d2 remid=0 locid=2 saddr4=192.0.2.3 daddr4=192.0.2.1 sport=53345 dport=12345 backup=0 ifindex=3Copy to Clipboard Copied! Toggle word wrap Toggle overflow locid필드는 새 하위 흐름의 로컬 주소 ID를 표시하고 연결이 NAT(네트워크 주소 변환)를 사용하는 경우에도 이 하위 흐름을 식별합니다.saddr4필드는ip mptcp endpoint add명령의 끝점 IP 주소와 일치합니다.선택 사항: 서버의 포트
12345에 대한 연결을 표시합니다.ss -taunp | grep ":12345" tcp ESTAB 0 0 192.0.2.2:36444 192.0.2.1:12345 tcp ESTAB 0 0 192.0.2.3%wlp1s0:53345 192.0.2.1:12345
# ss -taunp | grep ":12345" tcp ESTAB 0 0 192.0.2.2:36444 192.0.2.1:12345 tcp ESTAB 0 0 192.0.2.3%wlp1s0:53345 192.0.2.1:12345Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이제 명령에서 두 개의 연결을 표시합니다.
-
소스 주소
192.0.2.2와의 연결은 이전에 설정한 첫 번째 MPTCP 하위 흐름에 해당합니다. -
소스 주소
192.0.2.3을 사용하여wlp1s0인터페이스를 통해 하위 흐름에서 연결합니다.
-
소스 주소
세 번째 터미널에서 끝점을 삭제합니다.
ip mptcp endpoint delete id 2
# ip mptcp endpoint delete id 2Copy to Clipboard Copied! Toggle word wrap Toggle overflow ip mptcp 모니터 출력의명령을 사용하여 끝점 ID를 검색합니다.locid필드의 ID를 사용하거나ip mptcpendpoint show모니터링 터미널에서
ip mptcp 모니터는 다음을 기록합니다.[ SF_CLOSED] token=63c070d2 remid=0 locid=2 saddr4=192.0.2.3 daddr4=192.0.2.1 sport=53345 dport=12345 backup=0 ifindex=3
[ SF_CLOSED] token=63c070d2 remid=0 locid=2 saddr4=192.0.2.3 daddr4=192.0.2.1 sport=53345 dport=12345 backup=0 ifindex=3Copy to Clipboard Copied! Toggle word wrap Toggle overflow nc클라이언트가 있는 첫 번째 터미널에서 Ctrl+C 눌러 세션을 종료합니다.모니터링 터미널에서
ip mptcp 모니터는 다음을 기록합니다.[ CLOSED] token=63c070d2
[ CLOSED] token=63c070d2Copy to Clipboard Copied! Toggle word wrap Toggle overflow
35.6. 커널에서 다중 경로 TCP 비활성화
커널에서 MPTCP 옵션을 명시적으로 비활성화할 수 있습니다.
프로세스
mptcp.enabled옵션을 비활성화합니다.echo "net.mptcp.enabled=0" > /etc/sysctl.d/90-enable-MPTCP.conf sysctl -p /etc/sysctl.d/90-enable-MPTCP.conf
# echo "net.mptcp.enabled=0" > /etc/sysctl.d/90-enable-MPTCP.conf # sysctl -p /etc/sysctl.d/90-enable-MPTCP.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
커널에서
mptcp.enabled가 비활성화되어 있는지 확인합니다.sysctl -a | grep mptcp.enabled net.mptcp.enabled = 0
# sysctl -a | grep mptcp.enabled net.mptcp.enabled = 0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
36장. RHEL에서 레거시 네트워크 스크립트 지원
기본적으로 RHEL은 NetworkManager를 사용하여 네트워크 연결을 구성 및 관리하고, /usr/sbin/ifup 및 /usr/sbin/ifdown 스크립트는 NetworkManager를 사용하여 /etc/sysconfig/network-scripts/ 디렉터리에 있는 ifcfg 파일을 처리합니다.
레거시 스크립트는 RHEL 8에서 더 이상 사용되지 않으며 향후 주요 RHEL 버전에서 제거됩니다. 이전 버전에서 RHEL 8로 업그레이드했기 때문에 레거시 네트워크 스크립트를 계속 사용하는 경우 구성을 NetworkManager로 마이그레이션하는 것이 좋습니다.
36.1. 레거시 네트워크 스크립트 설치
NetworkManager를 사용하지 않고 네트워크 구성을 처리하는 더 이상 사용되지 않는 네트워크 스크립트가 필요한 경우 이를 설치할 수 있습니다. 이 경우 /usr/sbin/ifup 및 /usr/sbin/ifdown 스크립트는 네트워크 구성을 관리하는 더 이상 사용되지 않는 쉘 스크립트에 연결됩니다.
프로세스
network-scripts패키지를 설치합니다.yum install network-scripts
# yum install network-scriptsCopy to Clipboard Copied! Toggle word wrap Toggle overflow
37장. ifcfg 파일을 사용하여 ip 네트워킹 구성
인터페이스 구성(ifcfg) 파일은 개별 네트워크 장치에 대한 소프트웨어 인터페이스를 제어합니다. 시스템이 부팅되면 이러한 파일을 사용하여 가져올 인터페이스와 구성 방법을 결정합니다. 이러한 파일의 이름은 ifcfg- name_pass 입니다. 여기서 접미사 이름은 구성 파일이 제어하는 장치의 이름을 나타냅니다. 규칙에 따라 ifcfg 파일의 접미사는 구성 파일 자체의 DEVICE 지시문에서 제공하는 문자열과 동일합니다.
NetworkManager는 키 파일 형식으로 저장된 프로필을 지원합니다. 그러나 NetworkManager API를 사용하여 프로필을 생성하거나 업데이트할 때 기본적으로 NetworkManager는 ifcfg 형식을 사용합니다.
향후 주요 RHEL 릴리스에서는 키 파일 형식이 기본값입니다. 구성 파일을 수동으로 생성하고 관리하려면 keyfile 형식을 사용하는 것이 좋습니다. 자세한 내용은 키 파일 형식의 NetworkManager 연결 프로필을 참조하십시오.
37.1. ifcfg 파일을 사용하여 정적 네트워크 설정으로 인터페이스 구성
NetworkManager 유틸리티 및 애플리케이션을 사용하지 않는 경우 ifcfg 파일을 생성하여 네트워크 인터페이스를 수동으로 구성할 수 있습니다.
프로세스
ifcfg파일을 사용하여 정적 네트워크 설정으로 인터페이스를 구성하려면enp1s0이라는 이름의 인터페이스를 위해 다음을 포함하는/etc/sysconfig/network-scripts/디렉터리에ifcfg-enp1s0이라는 이름의 파일을 만듭니다.IPv4구성의 경우:Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv6구성의 경우:DEVICE=enp1s0 BOOTPROTO=none ONBOOT=yes IPV6INIT=yes IPV6ADDR=2001:db8:1::2/64
DEVICE=enp1s0 BOOTPROTO=none ONBOOT=yes IPV6INIT=yes IPV6ADDR=2001:db8:1::2/64Copy to Clipboard Copied! Toggle word wrap Toggle overflow
37.2. ifcfg 파일을 사용하여 동적 네트워크 설정으로 인터페이스 구성
NetworkManager 유틸리티 및 애플리케이션을 사용하지 않는 경우 ifcfg 파일을 생성하여 네트워크 인터페이스를 수동으로 구성할 수 있습니다.
프로세스
ifcfg파일을 사용하여 동적 네트워크 설정으로 em1 이라는 인터페이스를 구성하려면 다음을 포함하는/etc/sysconfig/network-scripts/디렉터리에ifcfg-em1이라는 이름의 파일을 만듭니다.DEVICE=em1 BOOTPROTO=dhcp ONBOOT=yes
DEVICE=em1 BOOTPROTO=dhcp ONBOOT=yesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 전송할 인터페이스를 구성하려면 다음을 수행합니다.
DHCP서버와 다른 호스트 이름을 사용하여ifcfg파일에 다음 행을 추가합니다.DHCP_HOSTNAME=hostname
DHCP_HOSTNAME=hostnameCopy to Clipboard Copied! Toggle word wrap Toggle overflow DHCP서버에 대한 다른 정규화된 도메인 이름(FQDN)으로 다음 행을ifcfg파일에 추가합니다.DHCP_FQDN=fully.qualified.domain.name
DHCP_FQDN=fully.qualified.domain.nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow
참고이러한 설정 중 하나만 사용할 수 있습니다.
DHCP_HOSTNAME및DHCP_FQDN을 둘 다 지정하면DHCP_FQDN만 사용됩니다.특정
DNS서버를 사용하도록 인터페이스를 구성하려면 다음 행을ifcfg파일에 추가합니다.PEERDNS=no DNS1=ip-address DNS2=ip-address
PEERDNS=no DNS1=ip-address DNS2=ip-addressCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여기서 ip-address 는
DNS서버의 주소입니다. 이렇게 하면 네트워크 서비스가 지정된 지정된DNS서버로/etc/resolv.conf를 업데이트합니다. 하나의DNS서버 주소만 필요하며 다른 하나는 선택 사항입니다.
37.3. ifcfg 파일을 사용하여 시스템 전체 및 개인 연결 프로필 관리
기본적으로 호스트의 모든 사용자는 ifcfg 파일에 정의된 연결을 사용할 수 있습니다. ifcfg 파일에 USERS 매개 변수를 추가하여 이 동작을 특정 사용자로 제한할 수 있습니다.
사전 요구 사항
-
ifcfg파일이 이미 존재합니다.
프로세스
특정 사용자로 제한하려는
/etc/sysconfig/network-scripts/디렉터리에서ifcfg파일을 편집하고 다음을 추가합니다.USERS="username1 username2 ..."
USERS="username1 username2 ..."Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결을 다시 활동합니다.
nmcli connection up connection_name
# nmcli connection up connection_nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow
38장. 키 파일 형식의 NetworkManager 연결 프로필
기본적으로 NetworkManager는 연결 프로필을 ifcfg 형식으로 저장하지만 키 파일 형식으로 프로필을 사용할 수도 있습니다. 더 이상 사용되지 않는 ifcfg 형식과 달리 키 파일 형식은 NetworkManager가 제공하는 모든 연결 설정을 지원합니다.
Red Hat Enterprise Linux 9에서는 키 파일 형식이 기본값입니다.
38.1. NetworkManager 프로필의 키 파일 형식
keyfile 형식은 INI 형식과 유사합니다. 예를 들어 다음은 키 파일 형식의 이더넷 연결 프로필입니다.
매개 변수의 오타 또는 잘못된 배치로 인해 예기치 않은 동작이 발생할 수 있습니다. 따라서 NetworkManager 프로필을 수동으로 편집하거나 생성하지 마십시오.
nmcli 유틸리티, 네트워크 RHEL 시스템 역할 또는 nmstate API를 사용하여 NetworkManager 연결을 관리합니다. 예를 들어 nmcli 유틸리티를 오프라인 모드에서 사용하여 연결 프로필을 만들 수 있습니다.
각 섹션은 nm-settings(5) 도움말 페이지에 설명된 대로 NetworkManager 설정 이름에 해당합니다. 섹션의 각 키-값 쌍은 도움말 페이지의 설정 사양에 나열된 속성 중 하나입니다.
NetworkManager 키 파일의 대부분의 변수에는 일대일 매핑이 있습니다. 즉 NetworkManager 속성은 동일한 이름의 변수와 동일한 형식으로 키 파일에 저장됩니다. 그러나 주로 키 파일 구문을 더 쉽게 읽을 수 있도록 하는 예외가 있습니다. 이러한 예외 목록은 시스템의 nm-settings-keyfile(5) 매뉴얼 페이지를 참조하십시오.
보안상의 이유로 연결 프로필에 개인 키 및 암호와 같은 중요한 정보를 포함할 수 있으므로 NetworkManager는 사용자만 읽고 쓸 수 있는 구성 파일만 사용합니다.
root
/etc/NetworkManager/system-connections/ 디렉터리에 .nmconnection 접미사를 사용하여 연결 프로필을 저장합니다. 이 디렉터리에는 영구 프로필이 포함되어 있습니다. NetworkManager API를 사용하여 영구 프로필을 수정하는 경우 NetworkManager는 이 디렉터리의 파일을 쓰고 덮어씁니다.
NetworkManager는 디스크에서 프로파일을 자동으로 다시 로드하지 않습니다. 키 파일 형식으로 연결 프로필을 생성하거나 업데이트할 때 nmcli connection reload 명령을 사용하여 NetworkManager에 변경 사항을 알립니다.
38.2. nmcli 를 사용하여 오프라인 모드에서 키 파일 연결 프로필 생성
nmcli, network RHEL 시스템 역할 또는 nmstate API와 같은 NetworkManager 유틸리티를 사용하여 NetworkManager 연결을 관리하고 구성 파일을 만들고 업데이트합니다. 그러나 nmcli --offline connection add 명령을 사용하여 오프라인 모드에서 키 파일 형식으로 다양한 연결 프로필을 만들 수도 있습니다.
오프라인 모드를 사용하면 nmcli 가 NetworkManager 서비스 없이 작동하여 표준 출력을 통해 키 파일 연결 프로필을 생성할 수 있습니다. 이 기능은 다음 시나리오에서 유용할 수 있습니다.
- 다른 위치에서 사전 배포해야 하는 연결 프로필을 생성하려고 합니다. 예를 들어 컨테이너 이미지의 경우 또는 RPM 패키지로 사용할 수 있습니다.
-
chroot유틸리티를 사용하려는 경우와 같이NetworkManager서비스를 사용할 수 없는 환경에서 연결 프로필을 생성하려고 합니다. 또는 Kickstart%post스크립트를 통해 설치할 RHEL 시스템의 네트워크 구성을 생성하거나 수정하려면 다음을 수행합니다.
절차
키 파일 형식으로 새 연결 프로필을 생성합니다. 예를 들어 DHCP를 사용하지 않는 이더넷 장치의 연결 프로필의 경우 유사한
nmcli명령을 실행합니다.nmcli --offline connection add type ethernet con-name Example-Connection ipv4.addresses 192.0.2.1/24 ipv4.dns 192.0.2.200 ipv4.method manual > /etc/NetworkManager/system-connections/example.nmconnection
# nmcli --offline connection add type ethernet con-name Example-Connection ipv4.addresses 192.0.2.1/24 ipv4.dns 192.0.2.200 ipv4.method manual > /etc/NetworkManager/system-connections/example.nmconnectionCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고con-name키로 지정한 연결 이름은 생성된 프로필의id변수에 저장됩니다.nmcli명령을 사용하여 나중에 이 연결을 관리하는 경우 다음과 같이 연결을 지정합니다.-
id변수를 생략하지 않으면 연결 이름(예:Example-Connection)을 사용합니다. -
id변수가 생략되면.nmconnection접미사 없이 파일 이름을 사용합니다(예:output).
-
root사용자만 읽고 업데이트할 수 있도록 권한을 구성 파일에 설정합니다.chmod 600 /etc/NetworkManager/system-connections/example.nmconnection chown root:root /etc/NetworkManager/system-connections/example.nmconnection
# chmod 600 /etc/NetworkManager/system-connections/example.nmconnection # chown root:root /etc/NetworkManager/system-connections/example.nmconnectionCopy to Clipboard Copied! Toggle word wrap Toggle overflow NetworkManager서비스를 시작합니다.systemctl start NetworkManager.service
# systemctl start NetworkManager.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 프로필의
autoconnect변수를false로 설정하면 연결을 활성화합니다.nmcli connection up Example-Connection
# nmcli connection up Example-ConnectionCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
NetworkManager서비스가 실행 중인지 확인합니다.systemctl status NetworkManager.service ● NetworkManager.service - Network Manager Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; enabled; vendor preset: enabled) Active: active (running) since Wed 2022-08-03 13:08:32 CEST; 1min 40s ago ...
# systemctl status NetworkManager.service ● NetworkManager.service - Network Manager Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; enabled; vendor preset: enabled) Active: active (running) since Wed 2022-08-03 13:08:32 CEST; 1min 40s ago ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow NetworkManager가 구성 파일에서 프로필을 읽을 수 있는지 확인합니다.
nmcli -f TYPE,FILENAME,NAME connection TYPE FILENAME NAME ethernet /etc/NetworkManager/system-connections/examaple.nmconnection Example-Connection ethernet /etc/sysconfig/network-scripts/ifcfg-enp1s0 enp1s0 ...
# nmcli -f TYPE,FILENAME,NAME connection TYPE FILENAME NAME ethernet /etc/NetworkManager/system-connections/examaple.nmconnection Example-Connection ethernet /etc/sysconfig/network-scripts/ifcfg-enp1s0 enp1s0 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력에 새로 생성된 연결이 표시되지 않으면 keyfile 권한과 사용한 구문이 올바른지 확인합니다.
연결 프로필을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
38.3. 키 파일 형식으로 NetworkManager 프로필을 수동으로 생성
키 파일 형식으로 NetworkManager 연결 프로필을 수동으로 만들 수 있습니다.
구성 파일을 수동으로 생성하거나 업데이트하면 예기치 않은 네트워크 구성이 발생할 수 있습니다. 또는 offline 모드에서 nmcli 를 사용할 수 있습니다. nmcli를 사용하여 오프라인 모드에서 키 파일 연결 프로필 만들기를참조하십시오.
프로세스
연결 프로필을 생성합니다. 예를 들어 DHCP를 사용하는
enp1s0이더넷 장치에 대한 연결 프로필의 경우 다음 콘텐츠를 사용하여/etc/NetworkManager/system-connections/example.nmconnection파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고모든 파일 이름을
.nmconnection접미사와 함께 사용할 수 있습니다. 그러나 나중에nmcli명령을 사용하여 연결을 관리하는 경우 이 연결을 참조할 때id변수에 설정된 연결 이름을 사용해야 합니다.id변수를 생략하면.nmconnection없이 파일 이름을 사용하여 이 연결을 참조합니다.root사용자만 읽고 업데이트할 수 있도록 구성 파일에 대한 권한을 설정합니다.chown root:root /etc/NetworkManager/system-connections/example.nmconnection chmod 600 /etc/NetworkManager/system-connections/example.nmconnection
# chown root:root /etc/NetworkManager/system-connections/example.nmconnection # chmod 600 /etc/NetworkManager/system-connections/example.nmconnectionCopy to Clipboard Copied! Toggle word wrap Toggle overflow 연결 프로필을 다시 로드합니다.
nmcli connection reload
# nmcli connection reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow NetworkManager가 구성 파일에서 프로필을 읽는지 확인합니다.
nmcli -f NAME,UUID,FILENAME connection NAME UUID FILENAME Example-Connection 86da2486-068d-4d05-9ac7-957ec118afba /etc/NetworkManager/system-connections/example.nmconnection ...
# nmcli -f NAME,UUID,FILENAME connection NAME UUID FILENAME Example-Connection 86da2486-068d-4d05-9ac7-957ec118afba /etc/NetworkManager/system-connections/example.nmconnection ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령에서 새로 추가된 연결을 표시하지 않으면 파일에서 사용한 파일 권한 및 구문이 올바른지 확인합니다.
프로필의
autoconnect변수를false로 설정하면 연결을 활성화합니다.nmcli connection up example_connection
# nmcli connection up example_connectionCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
연결 프로필을 표시합니다.
nmcli connection show example_connection
# nmcli connection show example_connectionCopy to Clipboard Copied! Toggle word wrap Toggle overflow
38.4. ifcfg 및 키 파일 형식의 프로필과 인터페이스 이름 변경의 차이점
provider 또는 lan 과 같은 사용자 지정 네트워크 인터페이스 이름을 정의하여 인터페이스 이름을 보다 설명적으로 만들 수 있습니다. 이 경우 udev 서비스는 인터페이스의 이름을 바꿉니다. 이름 변경 프로세스는 ifcfg 또는 키 파일 형식으로 연결 프로필을 사용하는지 여부에 따라 다르게 작동합니다.
ifcfg형식으로 프로필을 사용할 때 인터페이스 이름 변경 프로세스-
udev규칙 파일/usr/lib/udev/rules.d/60-net.rules는/lib/udev/rename_device도우미 유틸리티를 호출합니다. -
도우미 유틸리티는
/etc/sysconfig/network-scripts/ifcfg-*파일에서HWADDR매개변수를 검색합니다. -
변수에 설정된 값이 인터페이스의 MAC 주소와 일치하는 경우 도우미 유틸리티는 인터페이스의 이름을 파일의
DEVICE매개변수에 설정된 이름으로 변경합니다.
-
- 키 파일 형식으로 프로필을 사용할 때 인터페이스 이름 변경 프로세스
- 인터페이스 이름을 변경할 systemd 링크 파일 또는 udev 규칙을 생성합니다.
-
NetworkManager 연결 프로필의
interface-name속성에 사용자 지정 인터페이스 이름을 사용합니다.
38.5. NetworkManager 프로필을 ifcfg에서 키 파일 형식으로 마이그레이션
ifcfg 형식으로 연결 프로필을 사용하는 경우 기본 형식과 한 위치에 모든 프로필을 갖도록 키 파일 형식으로 변환할 수 있습니다.
ifcfg 파일에 NM_CONTROLLED=no 설정이 포함된 경우 NetworkManager는 이 프로필을 제어하지 않으므로 마이그레이션 프로세스에서 해당 프로필을 무시합니다.
사전 요구 사항
-
/etc/sysconfig/network-scripts/디렉터리에 있는ifcfg형식의 연결 프로필이 있습니다. -
연결 프로필에
provider또는lan과 같은 사용자 지정 장치 이름으로 설정된DEVICE변수가 포함된 경우 각 사용자 지정 장치 이름에 대한 systemd 링크 파일 또는 udev 규칙을 생성했습니다.
프로세스
연결 프로필을 마이그레이션합니다.
nmcli connection migrate Connection 'enp1s0' (43ed18ab-f0c4-4934-af3d-2b3333948e45) successfully migrated. Connection 'enp2s0' (883333e8-1b87-4947-8ceb-1f8812a80a9b) successfully migrated. ...
# nmcli connection migrate Connection 'enp1s0' (43ed18ab-f0c4-4934-af3d-2b3333948e45) successfully migrated. Connection 'enp2s0' (883333e8-1b87-4947-8ceb-1f8812a80a9b) successfully migrated. ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
선택적으로 모든 연결 프로필을 성공적으로 마이그레이션했는지 확인할 수 있습니다.
nmcli -f TYPE,FILENAME,NAME connection TYPE FILENAME NAME ethernet /etc/NetworkManager/system-connections/enp1s0.nmconnection enp1s0 ethernet /etc/NetworkManager/system-connections/enp2s0.nmconnection enp2s0 ...
# nmcli -f TYPE,FILENAME,NAME connection TYPE FILENAME NAME ethernet /etc/NetworkManager/system-connections/enp1s0.nmconnection enp1s0 ethernet /etc/NetworkManager/system-connections/enp2s0.nmconnection enp2s0 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
39장. systemd 네트워크 대상 및 서비스
RHEL은 네트워크 설정을 적용하는 동안 네트워크 및 네트워크 온라인 대상과 NetworkManager-wait-online 서비스를 사용합니다. 또한 해당 서비스가 네트워크를 가동할 것으로 예상하고 네트워크 상태 변경에 동적으로 응답할 수 없는 경우 네트워크를 완전히 사용할 수 있는 systemd 서비스를 구성할 수 있습니다.
39.1. 네트워크 및 네트워크 온라인 systemd 대상 간의 차이점
systemd는 네트워크 및 대상 장치를 유지 관리합니다. 네트워크 온라인NetworkManager-wait-online.service 와 같은 특수 단위에는 WantedBy=network-online.target 및 Before=network-online.target 매개변수가 있습니다. 활성화하면 이러한 단위는 network-online.target 으로 시작하고 일부 형태의 네트워크 연결이 설정될 때까지 도달할 대상을 지연합니다. 네트워크가 연결될 때까지 네트워크 온라인 대상을 지연합니다.
네트워크 온라인 대상은 서비스를 시작하여 추가 실행에 상당한 지연을 추가합니다. systemd는 $network 기능을 참조하는 LSB(Linux Standard Base) 헤더를 사용하여 이 대상 유닛의 모든 시스템 V(SysV) init 스크립트 서비스 단위에 Wants 및 After 매개 변수를 자동으로 추가합니다. LSB 헤더는 init 스크립트의 메타데이터입니다. 종속성을 지정하는 데 사용할 수 있습니다. systemd 대상과 유사합니다.
네트워크 대상은 부팅 프로세스의 실행을 크게 지연하지 않습니다. 네트워크 대상에 도달하는 것은 네트워크 설정을 담당하는 서비스가 시작되었음을 의미합니다. 그러나 네트워크 장치가 구성되었음을 의미하지는 않습니다. 이 대상은 시스템을 종료하는 동안 중요합니다. 예를 들어 부팅 중에 네트워크 대상 뒤에 정렬된 서비스가 있는 경우 이 종속성은 종료 중에 역방향으로 설정됩니다. 서비스가 중지될 때까지 네트워크의 연결이 끊어지지 않습니다. 원격 네트워크 파일 시스템의 모든 마운트 단위는 네트워크 온라인 대상 장치를 자동으로 시작하고 이후에 직접 주문합니다.
네트워크 온라인 대상 장치는 시스템을 시작하는 동안에만 유용합니다. 시스템 부팅이 완료되면 이 대상이 네트워크의 온라인 상태를 추적하지 않습니다. 따라서 network-online 을 사용하여 네트워크 연결을 모니터링할 수 없습니다. 이 대상은 일회성 시스템 시작 개념을 제공합니다.
39.2. NetworkManager-wait-online개요
NetworkManager-wait-online 서비스가 NetworkManager에서 시작이 완료되었다고 보고할 때까지 network-online 대상에 도달할 때까지 지연됩니다. 부팅 중에 NetworkManager는 connection.autoconnect 매개 변수가 yes 로 설정된 모든 프로필을 활성화합니다. 그러나 NetworkManager 프로필이 활성화 상태에 있는 한 프로필 활성화는 완료되지 않습니다. 활성화에 실패하면 NetworkManager는 connection.autoconnect-retries 의 값에 따라 활성화를 다시 시도합니다.
장치가 활성화된 상태에 도달하면 구성에 따라 다릅니다. 예를 들어 프로필에 IPv4 및 IPv6 구성이 모두 포함된 경우 NetworkManager는 기본적으로 Address 제품군 중 하나만 준비되었을 때 장치를 완전히 활성화한 것으로 간주합니다. 연결 프로필의 ipv4.may-fail 및 ipv6.may-fail 매개 변수는 이 동작을 제어합니다.
이더넷 장치의 경우 NetworkManager는 시간 초과가 있는 캐리어를 기다립니다. 결과적으로 이더넷 케이블이 연결되지 않은 경우 NetworkManager-wait-online.service 를 추가로 지연시킬 수 있습니다.
시작이 완료되면 모든 프로필이 연결이 끊긴 상태이거나 성공적으로 활성화됩니다. 자동으로 연결되도록 프로필을 구성할 수 있습니다. 다음은 시간 초과를 설정하거나 연결이 활성화된 것으로 간주될 시기를 정의하는 매개변수의 몇 가지 예입니다.
-
connection.wait-device-timeout: 드라이버에서 장치를 감지할 시간 초과를 설정합니다. -
ipv4.may-fail및ipv6.may-fail: 하나의 IP 주소 제품군이 준비되거나 특정 주소 제품군이 구성을 완료해야 하는지 여부를 사용하여 활성화를 설정합니다. -
ipv4.gateway-ping-timeout: NetworkManager가 IPv4 게이트웨이에서 ping 응답을 수신할 때까지 네트워크 활성화를 지연합니다. 시스템은 진행하기 전에 지정된 시간(초)까지 대기합니다.
39.3. 네트워크를 시작한 후 시작되도록 systemd 서비스 구성
Red Hat Enterprise Linux는 /usr/lib/ 디렉터리에 systemd 서비스 파일을 설치합니다. 이 절차에서는 /usr/lib/ systemd /system/systemd/system/ <service_name> .service.d/ 에 있는 서비스 파일에 대한 드롭인 스니펫을 생성하여 /usr/lib/systemd/system/ 의 서비스 파일과 함께 사용하여 네트워크가 온라인 상태가 된 후 특정 서비스를 시작합니다. 드롭인 스니펫의 설정이 /usr/lib/systemd/system/ 의 서비스 파일의 설정과 겹치는 경우 우선 순위가 높습니다.
프로세스
편집기에서 서비스 파일을 엽니다.
systemctl edit <service_name>
# systemctl edit <service_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음을 입력하고 변경 사항을 저장합니다.
[Unit] After=network-online.target
[Unit] After=network-online.targetCopy to Clipboard Copied! Toggle word wrap Toggle overflow systemd서비스를 다시 로드합니다.systemctl daemon-reload
# systemctl daemon-reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow
40장. Nmstate 소개
NMState는 선언적 네트워크 관리자 API입니다. Nmstate를 사용하는 경우 YAML 또는 JSON 형식의 지침을 사용하여 예상되는 네트워킹 상태를 설명합니다.
NMState에는 많은 이점이 있습니다. 예를 들면 다음과 같습니다.
- RHEL 네트워크 기능을 관리할 수 있는 안정적이고 확장 가능한 인터페이스 제공
- 호스트 및 클러스터 수준에서 원자 및 트랜잭션 작업 지원
- 대부분의 속성의 부분 편집을 지원하고 지침에 지정되지 않은 기존 설정을 유지합니다.
- 관리자가 자체 플러그인을 사용할 수 있도록 플러그인 지원 제공
NMState는 다음 패키지로 구성됩니다.
| 패키지 | 내용 |
|---|---|
|
|
|
|
|
|
|
| Nmstate C 라이브러리 |
|
| Nmstate C 라이브러리 헤더 |
40.1. Python 애플리케이션에서 libnmstate 라이브러리 사용
libnmstate Python 라이브러리를 사용하면 개발자가 자체 애플리케이션에서 Nmstate를 사용할 수 있습니다.
라이브러리를 사용하려면 소스 코드로 가져옵니다.
import libnmstate
import libnmstate
이 라이브러리를 사용하려면 nmstate 및 python3-libnmstate 패키지를 설치해야 합니다.
예 40.1. libnmstate 라이브러리를 사용하여 네트워크 상태 쿼리
다음 Python 코드는 libnmstate 라이브러리를 가져와서 사용 가능한 네트워크 인터페이스와 해당 상태를 표시합니다.
40.2. nmstatectl을 사용하여 현재 네트워크 구성 업데이트
nmstatectl 유틸리티를 사용하여 하나 또는 모든 인터페이스의 현재 네트워크 구성을 파일에 저장할 수 있습니다. 그런 다음 이 파일을 사용하여 다음을 수행할 수 있습니다.
- 구성을 수정하고 동일한 시스템에 적용합니다.
- 파일을 다른 호스트에 복사하고 동일하거나 수정된 설정으로 호스트를 구성합니다.
예를 들어 enp1s0 인터페이스의 설정을 파일로 내보내고 구성을 수정하고 설정을 호스트에 적용할 수 있습니다.
사전 요구 사항
-
nmstate패키지가 설치되어 있습니다.
프로세스
enp1s0인터페이스의 설정을~/network-config.yml파일로 내보냅니다.nmstatectl show enp1s0 > ~/network-config.yml
# nmstatectl show enp1s0 > ~/network-config.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은
enp1s0의 구성을 YAML 형식으로 저장합니다. 출력을 JSON 형식으로 저장하려면--json옵션을 명령에 전달합니다.인터페이스 이름을 지정하지 않으면
nmstatectl은 모든 인터페이스의 구성을 내보냅니다.-
구성을 업데이트하기 위해 텍스트 편집기를 사용하여
~/network-config.yml파일을 수정합니다. ~/network-config.yml파일의 설정을 적용합니다.nmstatectl apply ~/network-config.yml
# nmstatectl apply ~/network-config.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 설정을 JSON 형식으로 내보낸 경우
--json옵션을 명령에 전달합니다.
40.3. 네트워크 RHEL 시스템 역할의 네트워크 상태
네트워크 RHEL 시스템 역할은 플레이북의 상태 구성을 지원하여 장치를 구성합니다. 이 경우 network_state 변수 뒤에 상태 구성을 사용합니다.
플레이북에서 network_state 변수를 사용할 때의 이점:
- 선언적 방법을 상태 구성과 함께 사용하면 인터페이스를 구성할 수 있으며 NetworkManager는 백그라운드에서 이러한 인터페이스에 대한 프로필을 만듭니다.
-
network_state변수를 사용하면 변경해야 하는 옵션을 지정할 수 있으며 다른 모든 옵션은 그대로 유지됩니다. 그러나network_connections변수를 사용하면 네트워크 연결 프로필을 변경할 모든 설정을 지정해야 합니다.
network_state 에서는 Nmstate YAML 명령만 설정할 수 있습니다. 이 명령은 network_connections 에서 설정할 수 있는 변수와 다릅니다.
예를 들어 동적 IP 주소 설정으로 이더넷 연결을 생성하려면 플레이북에서 다음 vars 블록을 사용합니다.
| 상태 구성이 있는 플레이북 | 일반 플레이북 |
|
|
|
예를 들어 위에서 생성한 동적 IP 주소 설정의 연결 상태만 변경하려면 플레이북에서 다음 vars 블록을 사용합니다.
| 상태 구성이 있는 플레이북 | 일반 플레이북 |
|
|
|
41장. firewalld 사용 및 구성
방화벽은 외부에서 원하지 않는 트래픽으로부터 시스템을 보호하는 방법입니다. 사용자는 방화벽 규칙 집합을 정의하여 호스트 시스템에서 들어오는 네트워크 트래픽을 제어할 수 있습니다. 이러한 규칙은 들어오는 트래픽을 정렬하고 차단하거나 통과하는 데 사용됩니다.
firewalld 는 D-Bus 인터페이스를 사용하여 사용자 지정 가능한 동적 방화벽을 제공하는 방화벽 서비스 데몬입니다. 동적이므로 규칙이 변경될 때마다 방화벽 데몬을 다시 시작할 필요 없이 규칙을 생성, 변경 및 삭제할 수 있습니다.
firewalld 를 사용하여 대부분의 일반적인 경우에 필요한 패킷 필터링을 구성할 수 있습니다. firewalld 가 시나리오를 다루지 않거나 규칙을 완전히 제어하려면 nftables 프레임워크를 사용합니다.
firewalld 는 영역, 정책 및 서비스의 개념을 사용하여 트래픽 관리를 단순화합니다. 영역은 네트워크를 논리적으로 분리합니다. 네트워크 인터페이스 및 소스를 영역에 할당할 수 있습니다. 정책은 영역 간 트래픽 흐름을 거부하거나 허용하는 데 사용됩니다. 방화벽 서비스는 들어오는 트래픽을 특정 서비스에 대해 허용하는 데 필요한 모든 설정을 처리하는 사전 정의된 규칙이며 영역 내에 적용됩니다.
서비스는 네트워크 통신에 하나 이상의 포트 또는 주소를 사용합니다. 방화벽은 포트를 기반으로 통신을 필터링합니다. 서비스에 대한 네트워크 트래픽을 허용하려면 해당 포트가 열려 있어야 합니다. firewalld 는 명시적으로 open로 설정되지 않은 포트의 모든 트래픽을 차단합니다. trusted와 같은 일부 영역에서는 기본적으로 모든 트래픽을 허용합니다.
firewalld 는 별도의 런타임 및 영구 구성을 유지 관리합니다. 이를 통해 런타임 전용 변경 사항이 허용됩니다. firewalld 를 다시 로드하거나 다시 시작한 후에는 런타임 구성이 유지되지 않습니다. 시작 시 영구 구성에서 채워집니다.
nftables 백엔드가 있는 firewalld 는 --direct 옵션을 사용하여 사용자 정의 nftables 규칙을 firewalld 에 전달하는 것을 지원하지 않습니다.
41.1. firewalld, nftables 또는 iptables 사용 시기
RHEL 8에서는 시나리오에 따라 다음 패킷 필터링 유틸리티를 사용할 수 있습니다.
-
firewalld:firewalld유틸리티는 일반적인 사용 사례에 대한 방화벽 구성을 간소화합니다. -
nftables:nftables유틸리티를 사용하여 전체 네트워크에 대해 복잡하고 성능에 중요한 방화벽을 설정합니다. -
iptables: Red Hat Enterprise Linux의iptables유틸리티는레거시백엔드 대신nf_tables커널 API를 사용합니다.nf_tablesAPI는 이전 버전과의 호환성을 제공하므로iptables명령을 사용하는 스크립트는 Red Hat Enterprise Linux에서 계속 작동합니다. 새 방화벽 스크립트의 경우nftables를 사용합니다.
다른 방화벽 관련 서비스(firewalld,nftables 또는 iptables)가 서로 영향을 미치지 않도록 하려면 RHEL 호스트에서 해당 서비스 중 하나만 실행하고 다른 서비스를 비활성화합니다.
41.2. 방화벽 영역
firewalld 유틸리티를 사용하여 해당 네트워크 내의 인터페이스 및 트래픽과 함께 있는 신뢰 수준에 따라 네트워크를 다른 영역으로 분리할 수 있습니다. 연결은 하나의 영역의 일부일 수 있지만 많은 네트워크 연결에 해당 영역을 사용할 수 있습니다.
firewalld 는 영역과 관련하여 엄격한 원칙을 따릅니다.
- 트래픽 수신은 하나의 영역만 포함됩니다.
- 트래픽은 하나의 영역만 송신합니다.
- 영역은 신뢰 수준을 정의합니다.
- 기본적으로 Intrazone 트래픽(동일한 영역 내)이 허용됩니다.
- 영역 간 트래픽은 기본적으로 거부됩니다.
규칙 4와 5는 원칙 3의 결과입니다.
원칙 4는 영역 옵션 --remove-forward 를 통해 구성할 수 있습니다. 원칙 5는 새로운 정책을 추가하여 구성할 수 있습니다.
NetworkManager 는 인터페이스 영역을 firewalld 에 알립니다. 다음 유틸리티를 사용하여 인터페이스에 영역을 할당할 수 있습니다.
-
NetworkManager -
firewall-config유틸리티 -
firewall-cmd유틸리티 - RHEL 웹 콘솔
RHEL 웹 콘솔, firewall-config 및 firewall-cmd 는 적절한 NetworkManager 구성 파일만 편집할 수 있습니다. 웹 콘솔, firewall-cmd 또는 firewall-config 를 사용하여 인터페이스 영역을 변경하면 요청이 NetworkManager 로 전달되고firewalld 에서 처리되지 않습니다.
/usr/lib/firewalld/zones/ 디렉터리는 사전 정의된 영역을 저장하고 사용 가능한 네트워크 인터페이스에 즉시 적용할 수 있습니다. 이러한 파일은 수정 후 /etc/firewalld/zones/ 디렉터리에 복사됩니다. 사전 정의된 영역의 기본 설정은 다음과 같습니다.
블록-
적합한 대상: 들어오는 모든 네트워크 연결은
IPv4의 icmp-host-prohibited 메시지 및IPv6용으로 icmp6-adm-prohibited로 거부됩니다. - 허용: 시스템 내에서 시작된 네트워크 연결만 수행합니다.
-
적합한 대상: 들어오는 모든 네트워크 연결은
dmz- 적합한 대상: DMZ의 컴퓨터는 내부 네트워크에 대한 액세스 제한으로 공개적으로 액세스할 수 있습니다.
- 허용: 선택한 연결만 제공됩니다.
drop적합한 대상: 들어오는 네트워크 패킷은 알림 없이 삭제됩니다.
- 허용: 나가는 네트워크 연결만 가능합니다.
external- 적합한 대상: 특히 라우터에 대해 마스커레이딩이 활성화된 외부 네트워크입니다. 네트워크에서 다른 컴퓨터를 신뢰하지 않는 경우입니다.
- 허용: 선택한 연결만 제공됩니다.
홈- 적합한 대상: 네트워크상의 다른 컴퓨터를 주로 신뢰하는 홈 환경.
- 허용: 선택한 연결만 제공됩니다.
internal- 적합한 대상: 네트워크에 있는 다른 컴퓨터를 주로 신뢰하는 내부 네트워크입니다.
- 허용: 선택한 연결만 제공됩니다.
public- 적합한 대상: 네트워크에서 다른 컴퓨터를 신뢰하지 않는 공용 영역입니다.
- 허용: 선택한 연결만 제공됩니다.
신뢰할 수 있음- 허용: 모든 네트워크 연결
work적합한 대상: 네트워크에 있는 다른 컴퓨터를 주로 신뢰하는 작업 환경.
- 허용: 선택한 연결만 제공됩니다.
이러한 영역 중 하나는 기본 영역으로 설정됩니다. NetworkManager 에 인터페이스 연결이 추가되면 기본 영역에 할당됩니다. 설치 시 firewalld 의 기본 영역은 퍼블릭 영역입니다. 기본 영역을 변경할 수 있습니다.
네트워크 영역 이름을 자체 설명하여 사용자가 신속하게 이해할 수 있도록 합니다.
보안 문제를 방지하려면 기본 영역 구성을 검토하고 요구 사항 및 위험 평가에 따라 불필요한 서비스를 비활성화합니다.
41.3. 방화벽 정책
방화벽 정책은 원하는 네트워크 보안 상태를 지정합니다. 다양한 유형의 트래픽에 대해 수행할 규칙과 작업을 간략하게 설명합니다. 일반적으로 정책에는 다음 유형의 트래픽에 대한 규칙이 포함됩니다.
- 들어오는 트래픽
- 나가는 트래픽
- 전송 트래픽
- 특정 서비스 및 애플리케이션
- NAT(네트워크 주소 변환)
방화벽 정책은 방화벽 영역의 개념을 사용합니다. 각 영역은 허용되는 트래픽을 결정하는 특정 방화벽 규칙 세트와 연결됩니다. 정책은 상태 저장되지 않은 방식으로 방화벽 규칙을 적용합니다. 즉, 트래픽의 한 방향만 고려합니다. firewalld 의 상태 저장 필터링으로 인해 트래픽 반환 경로는 암시적으로 허용됩니다.
정책은 Ingress 영역 및 송신 영역과 연결됩니다. Ingress 영역은 트래픽이 시작된 위치(received)입니다. 송신 영역은 트래픽이 떠나는 위치입니다(sent).
정책에 정의된 방화벽 규칙은 방화벽 영역을 참조하여 여러 네트워크 인터페이스에 일관된 구성을 적용할 수 있습니다.
41.4. 방화벽 규칙
방화벽 규칙을 사용하여 네트워크 트래픽을 허용하거나 차단하는 특정 구성을 구현할 수 있습니다. 따라서 네트워크 트래픽 흐름을 제어하여 시스템을 보안 위협으로부터 보호할 수 있습니다.
방화벽 규칙은 일반적으로 다양한 속성을 기반으로 특정 기준을 정의합니다. 속성은 다음과 같습니다.
- 소스 IP 주소
- 대상 IP 주소
- 전송 프로토콜 (TCP, UDP, …)
- 포트
- 네트워크 인터페이스
firewalld 유틸리티는 방화벽 규칙을 영역(예: 공용,내부 및 기타) 및 정책으로 구성합니다. 각 영역에는 특정 영역과 연결된 네트워크 인터페이스에 대한 트래픽 자유 수준을 결정하는 자체 규칙 세트가 있습니다.
41.5. 방화벽 직접 규칙
firewalld 서비스는 다음을 포함하여 규칙을 구성하는 여러 방법을 제공합니다.
- 일반 규칙
- 직접 규칙
이러한 차이점 중 하나는 각 방법이 기본 백엔드(iptables 또는 nftables)와 상호 작용하는 방법입니다.
직접 규칙은 iptables 와 직접 상호 작용을 허용하는 고급 하위 수준 규칙입니다. firewalld 의 구조화된 영역 기반 관리를 바이패스하여 더 많은 제어 권한을 부여합니다. raw iptables 구문을 사용하여 firewall-cmd 명령을 사용하여 직접 규칙을 수동으로 정의합니다. 예를 들어 firewall-cmd --direct --add-rule ipv4는 INPUT 0 -s 198.51.100.1 -j DROP. 이 명령은 198.51.100.1 소스 IP 주소에서 트래픽을 삭제하는 iptables 규칙을 추가합니다.
그러나 직접 규칙을 사용하면 단점도 있습니다. 특히 nftables 가 기본 방화벽 백엔드인 경우입니다. 예를 들면 다음과 같습니다.
-
직접 규칙은 유지 관리하기가 더 어렵고
nftables기반firewalld구성과 충돌할 수 있습니다. -
직접 규칙은 원시 표현식 및 stateful 오브젝트와 같은
nftables에서 찾을 수 있는 고급 기능을 지원하지 않습니다. -
직접적인 규칙은 미래 지향적인 것이 아닙니다.
iptables구성 요소는 더 이상 사용되지 않으며 결국 RHEL에서 제거됩니다.
이전 이유로 firewalld 직접 규칙을 nftables 로 교체할 수 있습니다. 자세한 내용을 보려면 Knowledgebase 솔루션에서 firewalld 직접 규칙을 nftables로 교체하는 방법을 검토하십시오.
41.6. 사전 정의된 firewalld 서비스
사전 정의된 firewalld 서비스는 하위 수준 방화벽 규칙에 대해 기본 추상화 계층을 제공합니다. SSH 또는 HTTP와 같은 일반적으로 사용되는 네트워크 서비스를 해당 포트 및 프로토콜에 매핑하여 수행할 수 있습니다. 매번 수동으로 지정하는 대신 이름이 사전 정의된 서비스를 참조할 수 있습니다. 이를 통해 방화벽 관리가 간소화되고 오류가 발생하기 쉽고 직관적입니다.
사용 가능한 사전 정의된 서비스를 보려면 다음을 수행합니다.
firewall-cmd --get-services RH-Satellite-6 RH-Satellite-6-capsule afp amanda-client amanda-k5-client amqp amqps apcupsd audit ausweisapp2 bacula bacula-client bareos-director bareos-filedaemon bareos-storage bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-exporter ceph-mon cfengine checkmk-agent cockpit collectd condor-collector cratedb ctdb dds...
# firewall-cmd --get-services RH-Satellite-6 RH-Satellite-6-capsule afp amanda-client amanda-k5-client amqp amqps apcupsd audit ausweisapp2 bacula bacula-client bareos-director bareos-filedaemon bareos-storage bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-exporter ceph-mon cfengine checkmk-agent cockpit collectd condor-collector cratedb ctdb dds...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 사전 정의된 특정 서비스를 추가로 검사하려면 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 출력은
RH-Satellite-6사전 정의된 서비스가 포트 5000/tcp 5646-5647/tcp 5671/tcp 8000/tcp 8080/tcp 9090/tcp에서 수신 대기함을 보여줍니다. 또한RH-Satellite-6는 사전 정의된 다른 서비스의 규칙을 상속합니다. 이 경우에는foreman입니다.
사전 정의된 각 서비스는 /usr/lib/firewalld/services/ 디렉터리에 이름이 동일한 XML 파일로 저장됩니다.
41.7. firewalld 영역 작업
영역은 들어오는 트래픽을 보다 투명하게 관리하는 개념을 나타냅니다. 영역은 네트워킹 인터페이스에 연결되거나 다양한 소스 주소가 할당됩니다. 각 영역에 대한 방화벽 규칙을 독립적으로 관리하므로 복잡한 방화벽 설정을 정의하고 트래픽에 적용할 수 있습니다.
41.7.1. 보안을 강화하기 위해 특정 영역에 대한 방화벽 설정 사용자 정의
방화벽 설정을 수정하고 특정 네트워크 인터페이스 또는 특정 방화벽 영역과 연결하여 네트워크 보안을 강화할 수 있습니다. 영역에 대한 세분화된 규칙 및 제한을 정의하면 원하는 보안 수준에 따라 인바운드 및 아웃바운드 트래픽을 제어할 수 있습니다.
예를 들어 다음과 같은 이점을 얻을 수 있습니다.
- 민감한 데이터 보호
- 무단 액세스 방지
- 잠재적인 네트워크 위협 완화
사전 요구 사항
-
firewalld서비스가 실행 중입니다.
프로세스
사용 가능한 방화벽 영역을 나열합니다.
firewall-cmd --get-zones
# firewall-cmd --get-zonesCopy to Clipboard Copied! Toggle word wrap Toggle overflow firewall-cmd --get-zones명령은 시스템에서 사용 가능한 모든 영역을 표시하지만 특정 영역에 대한 세부 정보는 표시되지 않습니다. 모든 영역에 대한 자세한 정보를 보려면firewall-cmd --list-all-zones명령을 사용합니다.- 이 구성에 사용할 영역을 선택합니다.
선택한 영역에 대한 방화벽 설정을 수정합니다. 예를 들어
SSH서비스를 허용하고ftp서비스를 제거하려면 다음을 수행합니다.firewall-cmd --add-service=ssh --zone=<your_chosen_zone> firewall-cmd --remove-service=ftp --zone=<same_chosen_zone>
# firewall-cmd --add-service=ssh --zone=<your_chosen_zone> # firewall-cmd --remove-service=ftp --zone=<same_chosen_zone>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 방화벽 영역에 네트워크 인터페이스를 할당합니다.
사용 가능한 네트워크 인터페이스를 나열합니다.
firewall-cmd --get-active-zones
# firewall-cmd --get-active-zonesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 영역의 작업은 해당 구성과 일치하는 네트워크 인터페이스 또는 소스 주소 범위가 있는지에 따라 결정됩니다. 기본 영역은 분류되지 않은 트래픽에 대해 활성 상태이지만 트래픽이 규칙과 일치하지 않는 경우 항상 활성 상태인 것은 아닙니다.
선택한 영역에 네트워크 인터페이스를 할당합니다.
firewall-cmd --zone=<your_chosen_zone> --change-interface=<interface_name> --permanent
# firewall-cmd --zone=<your_chosen_zone> --change-interface=<interface_name> --permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 영역에 네트워크 인터페이스를 할당하는 것은 특정 인터페이스(물리적 또는 가상)의 모든 트래픽에 일관된 방화벽 설정을 적용하는 데 더 적합합니다.
firewall-cmd명령을--permanent옵션과 함께 사용하는 경우 종종 NetworkManager 연결 프로필을 업데이트하여 방화벽 구성을 영구적으로 변경해야 합니다.firewalld와 NetworkManager 간의 통합은 일관된 네트워크 및 방화벽 설정을 보장합니다.
검증
선택한 영역에 대한 업데이트된 설정을 표시합니다.
firewall-cmd --zone=<your_chosen_zone> --list-all
# firewall-cmd --zone=<your_chosen_zone> --list-allCopy to Clipboard Copied! Toggle word wrap Toggle overflow 명령 출력은 할당된 서비스, 네트워크 인터페이스 및 네트워크 연결(소스)을 포함한 모든 영역 설정을 표시합니다.
41.7.2. 기본 영역 변경
시스템 관리자는 구성 파일의 네트워킹 인터페이스에 영역을 할당합니다. 인터페이스가 특정 영역에 할당되지 않은 경우 기본 영역에 할당됩니다. firewalld 서비스를 다시 시작할 때마다 firewalld 는 기본 영역의 설정을 로드하고 활성화합니다. 다른 모든 영역에 대한 설정은 유지되며 사용할 준비가 되어 있습니다.
일반적으로 영역은 NetworkManager 연결 프로필의 connection.zone 설정에 따라 NetworkManager에 의해 인터페이스에 할당됩니다. 또한 재부팅 후 NetworkManager는 해당 영역의 "활성화" 할당을 관리합니다.
사전 요구 사항
-
firewalld서비스가 실행 중입니다.
프로세스
기본 영역을 설정하려면 다음을 수행합니다.
현재 기본 영역을 표시합니다.
firewall-cmd --get-default-zone
# firewall-cmd --get-default-zoneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새 기본 영역을 설정합니다.
firewall-cmd --set-default-zone <zone_name>
# firewall-cmd --set-default-zone <zone_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고이 절차 후 설정은
--permanent옵션 없이 영구적인 설정입니다.
41.7.3. 영역에 네트워크 인터페이스 할당
다양한 영역에 대한 다양한 규칙 세트를 정의한 다음, 사용 중인 인터페이스의 영역을 변경하여 설정을 빠르게 변경할 수 있습니다. 여러 인터페이스를 사용하면 각 인터페이스에 대해 특정 영역을 설정하여 통과하는 트래픽을 구분할 수 있습니다.
프로세스
특정 인터페이스에 영역을 할당하려면 다음을 수행합니다.
활성 영역과 연결된 인터페이스를 나열합니다.
firewall-cmd --get-active-zones
# firewall-cmd --get-active-zonesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 인터페이스를 다른 영역에 할당합니다.
firewall-cmd --zone=zone_name --change-interface=interface_name --permanent
# firewall-cmd --zone=zone_name --change-interface=interface_name --permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow
41.7.4. 소스 추가
들어오는 트래픽을 특정 영역으로 라우팅하려면 해당 영역에 소스를 추가합니다. 소스는 CIDR(Classless inter-domain routing) 표기법의 IP 주소 또는 IP 마스크일 수 있습니다.
네트워크 범위가 겹치는 여러 영역을 추가하는 경우 영역 이름으로 영숫자로 정렬되며 첫 번째 영역만 고려됩니다.
현재 영역에서 소스를 설정하려면 다음을 수행합니다.
firewall-cmd --add-source=<source>
# firewall-cmd --add-source=<source>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 영역의 소스 IP 주소를 설정하려면 다음을 수행합니다.
firewall-cmd --zone=zone-name --add-source=<source>
# firewall-cmd --zone=zone-name --add-source=<source>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
다음 절차에서는 신뢰할 수 있는 영역의 192.168.2.15 에서 들어오는 모든 트래픽을 허용합니다.
프로세스
사용 가능한 모든 영역을 나열합니다.
firewall-cmd --get-zones
# firewall-cmd --get-zonesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 영구 모드에서 신뢰할 수 있는 영역에 소스 IP를 추가합니다.
firewall-cmd --zone=trusted --add-source=192.168.2.15
# firewall-cmd --zone=trusted --add-source=192.168.2.15Copy to Clipboard Copied! Toggle word wrap Toggle overflow 새 설정을 영구적으로 설정합니다.
firewall-cmd --runtime-to-permanent
# firewall-cmd --runtime-to-permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow
41.7.5. 소스 제거
영역에서 소스를 제거하면 소스에서 시작된 트래픽은 더 이상 해당 소스에 지정된 규칙을 통해 전달되지 않습니다. 대신 트래픽이 시작된 인터페이스와 연결된 영역의 규칙 및 설정으로 대체되거나 기본 영역으로 이동합니다.
프로세스
필수 영역에 허용되는 소스를 나열합니다.
firewall-cmd --zone=zone-name --list-sources
# firewall-cmd --zone=zone-name --list-sourcesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 영역에서 소스를 영구적으로 제거합니다.
firewall-cmd --zone=zone-name --remove-source=<source>
# firewall-cmd --zone=zone-name --remove-source=<source>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 새 설정을 영구적으로 설정합니다.
firewall-cmd --runtime-to-permanent
# firewall-cmd --runtime-to-permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow
41.7.6. nmcli를 사용하여 연결에 영역 할당
nmcli 유틸리티를 사용하여 NetworkManager 연결에 firewalld 영역을 추가할 수 있습니다.
프로세스
NetworkManager연결 프로필에 영역을 할당합니다.nmcli connection modify profile connection.zone zone_name
# nmcli connection modify profile connection.zone zone_nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow 연결을 활성화합니다.
nmcli connection up profile
# nmcli connection up profileCopy to Clipboard Copied! Toggle word wrap Toggle overflow
41.7.7. ifcfg 파일에서 네트워크 연결에 수동으로 영역을 할당
NetworkManager 에서 연결을 관리하는 경우 해당 연결을 사용하는 영역을 알고 있어야 합니다. 모든 네트워크 연결 프로필의 경우 이동식 장치가 있는 컴퓨터의 위치에 따라 다양한 방화벽 설정의 유연성을 제공하는 영역을 지정할 수 있습니다. 따라서 회사 또는 집과 같은 다른 위치에 대해 영역 및 설정을 지정할 수 있습니다.
프로세스
연결 영역을 설정하려면
/etc/sysconfig/network-scripts/ifcfg-connection_name파일을 편집하고 이 연결에 영역을 할당하는 행을 추가합니다.ZONE=zone_name
ZONE=zone_nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow
41.7.8. 새 영역 생성
사용자 지정 영역을 사용하려면 새 영역을 생성하고 사전 정의된 영역과 마찬가지로 사용합니다. 새 영역에는 --permanent 옵션이 필요합니다. 그러지 않으면 명령이 작동하지 않습니다.
사전 요구 사항
-
firewalld서비스가 실행 중입니다.
프로세스
새 영역을 생성합니다.
firewall-cmd --permanent --new-zone=zone-name
# firewall-cmd --permanent --new-zone=zone-nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새 영역을 사용할 수 있도록 설정합니다.
firewall-cmd --reload
# firewall-cmd --reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow 명령은 이미 실행 중인 네트워크 서비스를 중단하지 않고 최근 방화벽 구성에 변경 사항을 적용합니다.
검증
새 영역이 영구 설정에 추가되었는지 확인합니다.
firewall-cmd --get-zones --permanent
# firewall-cmd --get-zones --permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow
41.7.9. 웹 콘솔을 사용하여 영역 활성화
RHEL 웹 콘솔을 통해 특정 인터페이스 또는 IP 주소 범위에 사전 정의된 기존 방화벽 영역을 적용할 수 있습니다.
사전 요구 사항
- RHEL 8 웹 콘솔을 설치했습니다.
- cockpit 서비스를 활성화했습니다.
사용자 계정이 웹 콘솔에 로그인할 수 있습니다.
자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.
프로세스
RHEL 8 웹 콘솔에 로그인합니다.
자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.
- 네트워킹 을 클릭합니다.
버튼을 클릭합니다.
버튼이 표시되지 않으면 관리자 권한으로 웹 콘솔에 로그인합니다.
- 방화벽 섹션에서 새 영역 추가 를 클릭합니다.
영역 추가 대화 상자의 신뢰 수준 옵션에서 영역을 선택합니다.
웹 콘솔은
firewalld서비스에 사전 정의된 모든 영역을 표시합니다.- 인터페이스 부분에서 선택한 영역이 적용되는 인터페이스 또는 인터페이스를 선택합니다.
허용된 주소 부분에서 영역이 적용되는지 여부를 선택할 수 있습니다.
- 전체 서브넷
또는 다음 형식의 IP 주소 범위:
- 192.168.1.0
- 192.168.1.0/24
- 192.168.1.0/24, 192.168.1.0
버튼을 클릭합니다.
검증
방화벽 섹션에서 구성을 확인합니다.
41.7.10. 웹 콘솔을 사용하여 영역 비활성화
웹 콘솔을 사용하여 방화벽 구성에서 방화벽 영역을 비활성화할 수 있습니다.
사전 요구 사항
- RHEL 8 웹 콘솔을 설치했습니다.
- cockpit 서비스를 활성화했습니다.
사용자 계정이 웹 콘솔에 로그인할 수 있습니다.
자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.
프로세스
RHEL 8 웹 콘솔에 로그인합니다.
자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.
- 네트워킹 을 클릭합니다.
버튼을 클릭합니다.
버튼이 표시되지 않으면 관리자 권한으로 웹 콘솔에 로그인합니다.
제거하려는 영역에서 옵션 아이콘을 클릭합니다.
- 삭제를 클릭합니다.
이제 영역이 비활성화되어 인터페이스에 영역에 구성된 열린 서비스 및 포트가 포함되지 않습니다.
41.7.11. 영역 대상을 사용하여 들어오는 트래픽에 대한 기본 동작 설정
모든 영역에 대해 추가로 지정되지 않은 들어오는 트래픽을 처리하는 기본 동작을 설정할 수 있습니다. 이러한 동작은 영역의 대상을 설정하여 정의됩니다. 4가지 옵션이 있습니다.
-
ACCEPT: 특정 규칙에 의해 허용되지 않는 경우를 제외하고 들어오는 모든 패킷을 수락합니다. -
REJECT: 특정 규칙에서 허용되는 패킷을 제외한 모든 들어오는 패킷을 거부합니다.firewalld가 패킷을 거부하면 소스 시스템에 거부에 대한 정보가 표시됩니다. -
DROP: 특정 규칙에서 허용되는 경우를 제외한 들어오는 모든 패킷을 삭제합니다.firewalld가 패킷을 삭제하면 소스 시스템에 패킷 드롭에 대한 정보가 표시되지 않습니다. -
기본값:REJECT와 유사하지만 특정 시나리오에서 특별한 의미가 있습니다.
사전 요구 사항
-
firewalld서비스가 실행 중입니다.
프로세스
영역의 대상을 설정하려면 다음을 수행합니다.
특정 영역에 대한 정보를 나열하여 기본 대상을 확인합니다.
firewall-cmd --zone=zone-name --list-all
# firewall-cmd --zone=zone-name --list-allCopy to Clipboard Copied! Toggle word wrap Toggle overflow 영역에 새 대상을 설정합니다.
firewall-cmd --permanent --zone=zone-name --set-target=<default|ACCEPT|REJECT|DROP>
# firewall-cmd --permanent --zone=zone-name --set-target=<default|ACCEPT|REJECT|DROP>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
41.7.12. IP 세트를 사용하여 허용 목록에 대한 동적 업데이트 구성
예측할 수 없는 조건에서도 IP 세트의 특정 IP 주소 또는 범위를 유연하게 허용하도록 거의 실시간 업데이트를 수행할 수 있습니다. 이러한 업데이트는 보안 위협 탐지 또는 네트워크 동작 변경과 같은 다양한 이벤트에 의해 트리거될 수 있습니다. 일반적으로 이러한 솔루션은 자동화를 활용하여 수동 작업을 줄이고 상황에 신속하게 대응하여 보안을 개선합니다.
사전 요구 사항
-
firewalld서비스가 실행 중입니다.
프로세스
의미 있는 이름으로 IP 세트를 생성합니다.
firewall-cmd --permanent --new-ipset=allowlist --type=hash:ip
# firewall-cmd --permanent --new-ipset=allowlist --type=hash:ipCopy to Clipboard Copied! Toggle word wrap Toggle overflow allowlist라는 새 IP 세트에는 방화벽에서 허용할 IP 주소가 포함되어 있습니다.IP 세트에 동적 업데이트를 추가합니다.
firewall-cmd --permanent --ipset=allowlist --add-entry=198.51.100.10
# firewall-cmd --permanent --ipset=allowlist --add-entry=198.51.100.10Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 구성은 방화벽에서 네트워크 트래픽을 전달할 수 있는 새로 추가된 IP 주소로
허용 목록IP 세트를 업데이트합니다.이전에 생성한 IP 세트를 참조하는 방화벽 규칙을 생성합니다.
firewall-cmd --permanent --zone=public --add-source=ipset:allowlist
# firewall-cmd --permanent --zone=public --add-source=ipset:allowlistCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 규칙이 없으면 IP 세트가 네트워크 트래픽에 영향을 미치지 않습니다. 기본 방화벽 정책이 우선합니다.
방화벽 구성을 다시 로드하여 변경 사항을 적용합니다.
firewall-cmd --reload
# firewall-cmd --reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
모든 IP 세트를 나열합니다.
firewall-cmd --get-ipsets allowlist
# firewall-cmd --get-ipsets allowlistCopy to Clipboard Copied! Toggle word wrap Toggle overflow 활성 규칙을 나열합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령줄 출력의
소스섹션에서는 특정 방화벽 영역에 대한 액세스 허용 또는 거부되는 트래픽(호스트, 인터페이스, IP 세트, 서브넷 등)에 대한 인사이트를 제공합니다. 이 경우허용 목록IP 세트에 포함된 IP 주소는공용영역의 방화벽을 통해 트래픽을 전달할 수 있습니다.IP 세트의 내용을 살펴봅니다.
cat /etc/firewalld/ipsets/allowlist.xml <?xml version="1.0" encoding="utf-8"?> <ipset type="hash:ip"> <entry>198.51.100.10</entry> </ipset>
# cat /etc/firewalld/ipsets/allowlist.xml <?xml version="1.0" encoding="utf-8"?> <ipset type="hash:ip"> <entry>198.51.100.10</entry> </ipset>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
다음 단계
-
스크립트 또는 보안 유틸리티를 사용하여 위협 정보 피드를 가져오고 이에 따라
허용 목록을자동화된 방식으로 업데이트합니다.
41.8. firewalld를 사용하여 네트워크 트래픽 제어
firewalld 패키지는 사전 정의된 많은 서비스 파일을 설치하고 더 추가하거나 사용자 지정할 수 있습니다. 그런 다음 이러한 서비스 정의를 사용하여 사용하는 프로토콜과 포트 번호를 모르는 상태에서 서비스의 포트를 열거나 닫을 수 있습니다.
41.8.1. CLI를 사용하여 사전 정의된 서비스로 트래픽 제어
트래픽을 제어하는 가장 간단한 방법은 firewalld 에 사전 정의된 서비스를 추가하는 것입니다. 그러면 필요한 모든 포트가 열리고 서비스 정의 파일 에 따라 다른 설정을 수정합니다.
사전 요구 사항
-
firewalld서비스가 실행 중입니다.
프로세스
firewalld의 서비스가 아직 허용되지 않았는지 확인합니다.firewall-cmd --list-services ssh dhcpv6-client
# firewall-cmd --list-services ssh dhcpv6-clientCopy to Clipboard Copied! Toggle word wrap Toggle overflow 명령은 기본 영역에서 활성화된 서비스를 나열합니다.
firewalld에서 사전 정의된 모든 서비스를 나열합니다.firewall-cmd --get-services RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry ...
# firewall-cmd --get-services RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령은 기본 영역에 사용 가능한 서비스 목록을 표시합니다.
firewalld에서 허용하는 서비스 목록에 서비스를 추가합니다.firewall-cmd --add-service=<service_name>
# firewall-cmd --add-service=<service_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령은 지정된 서비스를 기본 영역에 추가합니다.
새 설정을 영구적으로 설정합니다.
firewall-cmd --runtime-to-permanent
# firewall-cmd --runtime-to-permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 명령은 이러한 런타임 변경 사항을 방화벽의 영구 구성에 적용합니다. 기본적으로 이러한 변경 사항은 기본 영역의 구성에 적용됩니다.
검증
모든 영구 방화벽 규칙을 나열합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령은 기본 방화벽 영역(
공용)의 영구 방화벽 규칙을 사용하여 전체 구성을 표시합니다.firewalld서비스의 영구 구성의 유효성을 확인합니다.firewall-cmd --check-config success
# firewall-cmd --check-config successCopy to Clipboard Copied! Toggle word wrap Toggle overflow 영구 구성이 유효하지 않으면 명령에서 추가 세부 정보와 함께 오류를 반환합니다.
firewall-cmd --check-config Error: INVALID_PROTOCOL: 'public.xml': 'tcpx' not from {'tcp'|'udp'|'sctp'|'dccp'}# firewall-cmd --check-config Error: INVALID_PROTOCOL: 'public.xml': 'tcpx' not from {'tcp'|'udp'|'sctp'|'dccp'}Copy to Clipboard Copied! Toggle word wrap Toggle overflow 영구 구성 파일을 수동으로 검사하여 설정을 확인할 수도 있습니다. 기본 설정 파일은
/etc/firewalld/firewalld.conf입니다. 영역별 구성 파일은/etc/firewalld/zones/디렉터리에 있으며 정책은/etc/firewalld/policies/디렉터리에 있습니다.
41.8.2. 웹 콘솔을 사용하여 방화벽에서 서비스 활성화
기본적으로 서비스는 기본 방화벽 영역에 추가됩니다. 더 많은 네트워크 인터페이스에서 방화벽 영역을 사용하는 경우 먼저 영역을 선택한 다음 포트로 서비스를 추가해야 합니다.
RHEL 8 웹 콘솔에는 사전 정의된 firewalld 서비스가 표시되고 활성 방화벽 영역에 추가할 수 있습니다.
RHEL 8 웹 콘솔은 firewalld 서비스를 구성합니다.
웹 콘솔은 웹 콘솔에 나열되지 않은 일반 firewalld 규칙을 허용하지 않습니다.
사전 요구 사항
- RHEL 8 웹 콘솔을 설치했습니다.
- cockpit 서비스를 활성화했습니다.
사용자 계정이 웹 콘솔에 로그인할 수 있습니다.
자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.
프로세스
RHEL 8 웹 콘솔에 로그인합니다.
자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.
- 네트워킹 을 클릭합니다.
버튼을 클릭합니다.
버튼이 표시되지 않으면 관리자 권한으로 웹 콘솔에 로그인합니다.
방화벽 섹션에서 서비스를 추가할 영역을 선택하고 서비스 추가 를 클릭합니다.
- 서비스 추가 대화 상자에서 방화벽에서 활성화할 서비스를 찾습니다.
시나리오에 따라 서비스를 활성화합니다.
- 서비스 추가를 클릭합니다.
이 시점에서 RHEL 8 웹 콘솔에 서비스가 영역의 서비스 목록에 표시됩니다.
41.8.3. 웹 콘솔을 사용하여 사용자 정의 포트 구성
RHEL 웹 콘솔을 통해 서비스에 대한 사용자 지정 포트를 구성할 수 있습니다.
사전 요구 사항
- RHEL 8 웹 콘솔을 설치했습니다.
- cockpit 서비스를 활성화했습니다.
사용자 계정이 웹 콘솔에 로그인할 수 있습니다.
자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.
-
firewalld서비스가 실행 중입니다.
프로세스
RHEL 8 웹 콘솔에 로그인합니다.
자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.
- 네트워킹 을 클릭합니다.
버튼을 클릭합니다.
버튼이 표시되지 않으면 관리 권한으로 웹 콘솔에 로그인합니다.
방화벽 섹션에서 사용자 지정 포트를 구성할 영역을 선택하고 서비스 추가 를 클릭합니다.
- 서비스 추가 대화 상자에서 라디오 버튼을 클릭합니다.
TCP 및 UDP 필드에서 예제에 따라 포트를 추가합니다. 다음 형식으로 포트를 추가할 수 있습니다.
- 22와 같은 포트 번호
- 5900-5910과 같은 포트 번호 범위
- nfs, rsync와 같은 별칭
참고각 필드에 여러 값을 추가할 수 있습니다. 값은 쉼표 없이 쉼표로 구분해야 합니다. 예를 들면 다음과 같습니다. 8080,8081,http
TCP filed에 포트 번호를 추가한 후, UDP 가 제출되었거나 둘 다되면 Name 필드에서 서비스 이름을 확인합니다.
Name 필드에는 이 포트가 예약된 서비스 이름이 표시됩니다. 이 포트를 자유롭게 사용할 수 있고 이 포트에서 서버가 통신할 필요가 없는 경우 이름을 다시 작성할 수 있습니다.
- 이름 필드에 정의된 포트를 포함한 서비스의 이름을 추가합니다.
.
설정을 확인하려면 방화벽 페이지로 이동하여 영역의 서비스 목록에서 서비스를 찾습니다.
41.9. 영역 간 전달된 트래픽 필터링
firewalld 를 사용하면 서로 다른 firewalld 영역 간의 네트워크 데이터 흐름을 제어할 수 있습니다. 규칙과 정책을 정의하면 이러한 영역 간에 이동할 때 트래픽이 허용되거나 차단되는 방법을 관리할 수 있습니다.
정책 오브젝트 기능은 firewalld 에서 전달 및 출력 필터링 기능을 제공합니다. firewalld 를 사용하여 다른 영역 간 트래픽을 필터링하여 로컬 호스트 VM에 대한 액세스를 통해 호스트를 연결할 수 있습니다.
41.9.1. 정책 오브젝트와 영역 간의 관계
정책 오브젝트를 사용하면 사용자가 서비스, 포트 및 리치 규칙과 같은 firewalld 기본 기능을 정책에 연결할 수 있습니다. 상태 저장 및 비방향 방식으로 영역 간에 전달되는 트래픽에 정책 오브젝트를 적용할 수 있습니다.
firewall-cmd --permanent --new-policy myOutputPolicy firewall-cmd --permanent --policy myOutputPolicy --add-ingress-zone HOST firewall-cmd --permanent --policy myOutputPolicy --add-egress-zone ANY
# firewall-cmd --permanent --new-policy myOutputPolicy
# firewall-cmd --permanent --policy myOutputPolicy --add-ingress-zone HOST
# firewall-cmd --permanent --policy myOutputPolicy --add-egress-zone ANY
HOST 및 ANY 은 ingress 및 egress 영역 목록에 사용되는 심볼릭 영역입니다.
-
HOST심볼릭 영역은 firewalld를 실행 중인 호스트에 대한 대상이 있거나 있는 트래픽에 대한 정책을 허용합니다. -
ANY심볼릭 영역은 현재 및 향후 모든 영역에 정책을 적용합니다.ANY심볼릭 영역은 모든 영역에 대한 와일드카드 역할을 합니다.
41.9.2. 우선순위를 사용하여 정책 정렬
동일한 트래픽 세트에 여러 정책을 적용할 수 있으므로 적용할 수 있는 정책에 대한 우선 순위를 생성하려면 우선순위를 사용해야 합니다.
정책을 정렬하려면 우선순위를 설정하려면 다음을 수행합니다.
firewall-cmd --permanent --policy mypolicy --set-priority -500
# firewall-cmd --permanent --policy mypolicy --set-priority -500위의 예에서 -500 은 우선순위가 낮지만 우선순위가 높습니다. 따라서 -500은 -100 이전에 실행됩니다.
낮은 숫자 우선순위 값은 우선순위가 높고 먼저 적용됩니다.
41.9.3. 정책 오브젝트를 사용하여 로컬 호스트 컨테이너와 호스트에 물리적으로 연결된 네트워크 간의 트래픽을 필터링
정책 오브젝트 기능을 사용하면 사용자가 Podman과 firewalld 영역 간의 트래픽을 필터링할 수 있습니다.
Red Hat은 기본적으로 모든 트래픽을 차단하고 Podman 유틸리티에 필요한 선택적 서비스를 여는 것이 좋습니다.
프로세스
새 방화벽 정책을 생성합니다.
firewall-cmd --permanent --new-policy podmanToAny
# firewall-cmd --permanent --new-policy podmanToAnyCopy to Clipboard Copied! Toggle word wrap Toggle overflow Podman에서 다른 영역으로의 모든 트래픽을 차단하고 Podman에서 필요한 서비스만 허용합니다.
firewall-cmd --permanent --policy podmanToAny --set-target REJECT firewall-cmd --permanent --policy podmanToAny --add-service dhcp firewall-cmd --permanent --policy podmanToAny --add-service dns firewall-cmd --permanent --policy podmanToAny --add-service https
# firewall-cmd --permanent --policy podmanToAny --set-target REJECT # firewall-cmd --permanent --policy podmanToAny --add-service dhcp # firewall-cmd --permanent --policy podmanToAny --add-service dns # firewall-cmd --permanent --policy podmanToAny --add-service httpsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새 Podman 영역을 생성합니다.
firewall-cmd --permanent --new-zone=podman
# firewall-cmd --permanent --new-zone=podmanCopy to Clipboard Copied! Toggle word wrap Toggle overflow 정책의 수신 영역을 정의합니다.
firewall-cmd --permanent --policy podmanToHost --add-ingress-zone podman
# firewall-cmd --permanent --policy podmanToHost --add-ingress-zone podmanCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다른 모든 영역에 대한 송신 영역을 정의합니다.
firewall-cmd --permanent --policy podmanToHost --add-egress-zone ANY
# firewall-cmd --permanent --policy podmanToHost --add-egress-zone ANYCopy to Clipboard Copied! Toggle word wrap Toggle overflow 송신 영역을 ANY로 설정하면 Podman에서 다른 영역으로 필터링합니다. 호스트에 필터링하려면 송신 영역을 HOST로 설정합니다.
firewalld 서비스를 다시 시작합니다.
systemctl restart firewalld
# systemctl restart firewalldCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
Podman 방화벽 정책을 다른 영역에 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
41.9.4. 정책 오브젝트의 기본 대상 설정
정책에 --set-target 옵션을 지정할 수 있습니다. 다음 대상을 사용할 수 있습니다.
-
ACCEPT- 패킷 허용 -
DROP- 원하지 않는 패킷을 삭제합니다. -
REJECT- ICMP 회신을 사용하여 원하지 않는 패킷을 거부합니다. CONTINUE(기본값) - 패킷은 다음 정책 및 영역의 규칙의 적용을 받습니다.firewall-cmd --permanent --policy mypolicy --set-target CONTINUE
# firewall-cmd --permanent --policy mypolicy --set-target CONTINUECopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
정책에 대한 정보 확인
firewall-cmd --info-policy mypolicy
# firewall-cmd --info-policy mypolicyCopy to Clipboard Copied! Toggle word wrap Toggle overflow
41.10. firewalld를 사용하여 NAT 구성
firewalld 에서는 다음 NAT(네트워크 주소 변환) 유형을 구성할 수 있습니다.
- masquerading
- 대상 NAT(DNAT)
- 리디렉션
41.10.1. 네트워크 주소 변환 유형
이는 다른 NAT(네트워크 주소 변환) 유형입니다.
- masquerading
이러한 NAT 유형 중 하나를 사용하여 패킷의 소스 IP 주소를 변경합니다. 예를 들어, 인터넷 서비스 공급자(ISP)는
10.0.0.0/8과 같은 개인 IP 범위를 라우팅하지 않습니다. 네트워크에서 개인 IP 범위를 사용하고 사용자가 인터넷의 서버에 연결할 수 있어야 하는 경우 이러한 범위의 패킷의 소스 IP 주소를 공용 IP 주소에 매핑합니다.마스커레이딩은 발신 인터페이스의 IP 주소를 자동으로 사용합니다. 따라서 발신 인터페이스에서 동적 IP 주소를 사용하는 경우 masquerading을 사용합니다.
- 대상 NAT(DNAT)
- 이 NAT 유형을 사용하여 들어오는 패킷의 대상 주소와 포트를 다시 작성합니다. 예를 들어 웹 서버가 개인 IP 범위의 IP 주소를 사용하므로 인터넷에서 직접 액세스할 수 없는 경우 라우터에 DNAT 규칙을 설정하여 수신 트래픽을 이 서버로 리디렉션할 수 있습니다.
- 리디렉션
- 이 유형은 패킷을 로컬 시스템의 다른 포트로 리디렉션하는 특수한 DNAT의 경우입니다. 예를 들어 서비스가 표준 포트와 다른 포트에서 실행되는 경우 표준 포트에서 들어오는 트래픽을 이 특정 포트로 리디렉션할 수 있습니다.
41.10.2. IP 주소 마스커레이딩 구성
시스템에서 IP 마스커레이딩을 활성화할 수 있습니다. IP 마스커레이딩은 인터넷에 액세스할 때 게이트웨이 뒤에 있는 개별 머신을 숨깁니다.
프로세스
IP 마스커레이딩이 활성화되어 있는지 확인하려면 (예:
외부영역의 경우)root로 다음 명령을 입력합니다.firewall-cmd --zone=external --query-masquerade
# firewall-cmd --zone=external --query-masqueradeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 활성화된 경우 종료 상태
0으로yes를 출력합니다. 그렇지 않으면 종료 상태1과 함께no를 출력합니다.영역을생략하면 기본 영역이 사용됩니다.IP 마스커레이딩을 활성화하려면
root로 다음 명령을 입력합니다.firewall-cmd --zone=external --add-masquerade
# firewall-cmd --zone=external --add-masqueradeCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
이 설정을 영구적으로 설정하려면
--permanent옵션을 명령에 전달합니다. IP 마스커레이딩을 비활성화하려면
root로 다음 명령을 입력합니다.firewall-cmd --zone=external --remove-masquerade
# firewall-cmd --zone=external --remove-masqueradeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 설정을 영구적으로 설정하려면
--permanent옵션을 명령에 전달합니다.
41.10.3. DNAT를 사용하여 들어오는 HTTP 트래픽 전달
대상 네트워크 주소 변환(DNAT)을 사용하여 들어오는 트래픽을 하나의 대상 주소 및 포트에서 다른 대상 주소로 보낼 수 있습니다. 일반적으로 외부 네트워크 인터페이스에서 특정 내부 서버 또는 서비스로 들어오는 요청을 리디렉션하는 데 유용합니다.
사전 요구 사항
-
firewalld서비스가 실행 중입니다.
프로세스
들어오는 HTTP 트래픽을 전달합니다.
firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toaddr=198.51.100.10:toport=8080 --permanent
# firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toaddr=198.51.100.10:toport=8080 --permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 명령은 다음 설정으로 DNAT 규칙을 정의합니다.
-
--zone=public- DNAT 규칙을 구성하는 방화벽 영역입니다. 필요한 모든 영역에 맞게 조정할 수 있습니다. -
--add-forward-port- 포트 전달 규칙을 추가 중임을 나타내는 옵션입니다. -
port=80- 외부 대상 포트입니다. -
proto=tcp- TCP 트래픽을 전달함을 나타내는 프로토콜입니다. -
toaddr=198.51.100.10- 대상 IP 주소입니다. -
toport=8080- 내부 서버의 대상 포트입니다. -
--permanent- 재부팅 시 DNAT 규칙을 유지할 수 있는 옵션입니다.
-
방화벽 구성을 다시 로드하여 변경 사항을 적용합니다.
firewall-cmd --reload
# firewall-cmd --reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
사용한 방화벽 영역에 대한 DNAT 규칙을 확인합니다.
firewall-cmd --list-forward-ports --zone=public port=80:proto=tcp:toport=8080:toaddr=198.51.100.10
# firewall-cmd --list-forward-ports --zone=public port=80:proto=tcp:toport=8080:toaddr=198.51.100.10Copy to Clipboard Copied! Toggle word wrap Toggle overflow 또는 해당 XML 구성 파일을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
41.10.4. 비표준 포트에서 트래픽을 리디렉션하여 표준 포트에서 웹 서비스에 액세스하도록 설정
리디렉션 메커니즘을 사용하여 사용자가 URL에 포트를 지정할 필요 없이 내부적으로 비표준 포트에서 실행되는 웹 서비스를 만들 수 있습니다. 결과적으로 URL은 더 간단하며 더 나은 검색 환경을 제공하는 반면 비표준 포트는 여전히 내부적으로 또는 특정 요구 사항에 사용됩니다.
사전 요구 사항
-
firewalld서비스가 실행 중입니다.
프로세스
NAT 리디렉션 규칙을 생성합니다.
firewall-cmd --zone=public --add-forward-port=port=<standard_port>:proto=tcp:toport=<non_standard_port> --permanent
# firewall-cmd --zone=public --add-forward-port=port=<standard_port>:proto=tcp:toport=<non_standard_port> --permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 명령은 다음 설정으로 NAT 리디렉션 규칙을 정의합니다.
-
--zone=public- 규칙을 구성하는 방화벽 영역입니다. 필요한 모든 영역에 맞게 조정할 수 있습니다. -
--add-forward-port=port= <non_standard_port> - 들어오는 트래픽을 처음 수신하는 소스 포트를 사용하여 포트 전달(리렉션) 규칙을 추가 중임을 나타내는 옵션입니다. -
proto=tcp- TCP 트래픽을 리디렉션함을 나타내는 프로토콜입니다. -
toport=<standard_port> - 소스 포트에서 수신한 후 들어오는 트래픽을 리디렉션해야 하는 대상 포트입니다. -
--permanent- 다시 부팅 시 규칙을 유지할 수 있는 옵션입니다.
-
방화벽 구성을 다시 로드하여 변경 사항을 적용합니다.
firewall-cmd --reload
# firewall-cmd --reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음을 사용한 방화벽 영역의 리디렉션 규칙을 확인합니다.
firewall-cmd --list-forward-ports port=8080:proto=tcp:toport=80:toaddr=
# firewall-cmd --list-forward-ports port=8080:proto=tcp:toport=80:toaddr=Copy to Clipboard Copied! Toggle word wrap Toggle overflow 또는 해당 XML 구성 파일을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
41.11. 리치 규칙 우선순위 지정
리치 규칙은 방화벽 규칙을 정의하는 보다 고급적이고 유연한 방법을 제공합니다. 리치 규칙은 서비스, 포트 등이 복잡한 방화벽 규칙을 표현하기에 충분하지 않은 경우 특히 유용합니다.
리치 규칙의 개념:
- 세분성 및 유연성
- 보다 구체적인 기준에 따라 네트워크 트래픽에 대한 자세한 조건을 정의할 수 있습니다.
- 규칙 구조
리치 규칙은 제품군(IPv4 또는 IPv6)과 조건 및 작업으로 구성됩니다.
rule family="ipv4|ipv6" [conditions] [actions]
rule family="ipv4|ipv6" [conditions] [actions]Copy to Clipboard Copied! Toggle word wrap Toggle overflow - conditions
- 이러한 규칙을 사용하면 특정 기준이 충족되는 경우에만 리치 규칙을 적용할 수 있습니다.
- 작업
- 조건과 일치하는 네트워크 트래픽에 발생하는 작업을 정의할 수 있습니다.
- 여러 조건 결합
- 보다 구체적이고 복잡한 필터링을 생성할 수 있습니다.
- 계층적 제어 및 재사용 가능
- 리치 규칙을 영역 또는 서비스와 같은 다른 방화벽 메커니즘과 결합할 수 있습니다.
기본적으로 리치 규칙은 규칙 작업에 따라 구성됩니다. 예를 들어 거부 규칙은 허용 규칙보다 우선합니다. 리치 규칙의 priority 매개 변수를 사용하면 관리자가 리치 규칙과 실행 순서를 세부적으로 제어할 수 있습니다. priority 매개변수를 사용하는 경우 규칙은 우선 순위 값으로 오름차순으로 정렬됩니다. 더 많은 규칙에 동일한 우선 순위가 있는 경우 규칙 작업에 따라 순서가 결정되며, 작업이 동일한 경우 순서가 정의되지 않을 수 있습니다.
41.11.1. priority 매개변수가 규칙을 다른 체인으로 구성하는 방법
리치 규칙의 priority 매개변수를 -32768 과 32767 사이의 임의의 숫자로 설정할 수 있으며 더 낮은 숫자 값은 우선 순위가 높습니다.
firewalld 서비스는 우선순위 값을 다른 체인으로 구성합니다.
-
우선순위가 0보다 작음: 규칙은
_pre접미사가 있는 체인으로 리디렉션됩니다. -
우선순위가 0보다 큽니다. 규칙은
_post접미사가 있는 체인으로 리디렉션됩니다. -
우선순위는 0과 같습니다: 작업을 기반으로 규칙이
_log,_deny또는_allow가 있는 체인으로 리디렉션됩니다.
이러한 하위 체인 내에서 firewalld 는 우선 순위 값을 기반으로 규칙을 정렬합니다.
41.11.2. 리치 규칙의 우선 순위 설정
다음은 priority 매개변수를 사용하여 다른 규칙에서 허용되거나 거부되지 않은 모든 트래픽을 기록하는 리치 규칙을 생성하는 방법의 예입니다. 이 규칙을 사용하여 예기치 않은 트래픽에 플래그를 지정할 수 있습니다.
프로세스
우선 순위가 매우 낮은 리치 규칙을 추가하여 다른 규칙과 일치하지 않은 모든 트래픽을 기록합니다.
firewall-cmd --add-rich-rule='rule priority=32767 log prefix="UNEXPECTED: " limit value="5/m"'
# firewall-cmd --add-rich-rule='rule priority=32767 log prefix="UNEXPECTED: " limit value="5/m"'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 또한 로그 항목 수를 분당
5개로 제한합니다.
검증
이전 단계에서 생성한
nftables규칙을 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
41.12. firewalld 영역 내에서 다양한 인터페이스 또는 소스 간 트래픽 전달 활성화
intra-zone 전달은 firewalld 영역 내의 인터페이스 또는 소스 간에 트래픽을 전달할 수 있는 firewalld 기능입니다.
41.12.1. 기본 대상이 ACCEPT로 설정된 영역 내 전달과 영역 간의 차이점
영역 내 전달이 활성화된 경우 단일 firewalld 영역 내의 트래픽이 하나의 인터페이스 또는 소스에서 다른 인터페이스 또는 소스로 전달될 수 있습니다. 영역은 인터페이스 및 소스의 신뢰 수준을 지정합니다. 신뢰 수준이 동일한 경우 트래픽은 동일한 영역 내에 유지됩니다.
firewalld 의 기본 영역에서 영역 내 전달을 활성화하면 현재 기본 영역에 추가된 인터페이스와 소스에만 적용됩니다.
firewalld 는 다른 영역을 사용하여 들어오고 나가는 트래픽을 관리합니다. 각 영역에는 고유한 규칙과 동작 세트가 있습니다. 예를 들어 신뢰할 수 있는 영역은 기본적으로 전달된 모든 트래픽을 허용합니다.
다른 영역에는 기본 동작이 다를 수 있습니다. 표준 영역에서 영역의 대상이 기본값으로 설정된 경우 전달된 트래픽은 일반적으로 기본적으로 삭제됩니다.
영역 내의 다양한 인터페이스 또는 소스 간에 트래픽이 전달되는 방법을 제어하려면 해당 영역의 대상을 적절하게 이해하고 구성해야 합니다.
41.12.2. 이더넷과 Wi-Fi 네트워크 간 트래픽 전달을 위해 영역 내 전달
영역 내 전달을 사용하여 동일한 firewalld 영역 내의 인터페이스와 소스 간에 트래픽을 전달할 수 있습니다. 이 기능은 다음과 같은 이점을 제공합니다.
-
유선 및 무선 장치 간의 원활한 연결(W
lp에 연결된 이더넷 네트워크와 Wi-Fi 네트워크 간에 트래픽을 전달할 수 있음)0s20 - 유연한 작업 환경 지원
- 프린터, 데이터베이스, 네트워크 연결 스토리지 등 여러 장치 또는 네트워크에서 액세스하고 사용하는 공유 리소스
- 효율적인 내부 네트워킹(예: 원활한 통신, 대기 시간 감소, 리소스 접근성 등)
개별 firewalld 영역에 대해 이 기능을 활성화할 수 있습니다.
프로세스
커널에서 패킷 전달을 활성화합니다.
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
# echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow 영역 내 전달을 활성화할 인터페이스가
내부영역에만 할당되도록 합니다.firewall-cmd --get-active-zones
# firewall-cmd --get-active-zonesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 인터페이스가 현재
내부가 아닌 다른 영역에 할당된 경우 다시 할당합니다.firewall-cmd --zone=internal --change-interface=interface_name --permanent
# firewall-cmd --zone=internal --change-interface=interface_name --permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 내부영역에enp1s0및wlp0s20인터페이스를 추가합니다.firewall-cmd --zone=internal --add-interface=enp1s0 --add-interface=wlp0s20
# firewall-cmd --zone=internal --add-interface=enp1s0 --add-interface=wlp0s20Copy to Clipboard Copied! Toggle word wrap Toggle overflow 영역 내 전달을 활성화합니다.
firewall-cmd --zone=internal --add-forward
# firewall-cmd --zone=internal --add-forwardCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 확인에서는 nmap-ncat 패키지가 두 호스트 모두에 설치되어 있어야 합니다.
-
영역 전달을 활성화한 호스트의
enp1s0인터페이스와 동일한 네트워크에 있는 호스트에 로그인합니다. ncat로 echo 서비스를 시작하여 연결을 테스트합니다.ncat -e /usr/bin/cat -l 12345
# ncat -e /usr/bin/cat -l 12345Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
wlp0s20인터페이스와 동일한 네트워크에 있는 호스트에 로그인합니다. enp1s0과 동일한 네트워크에 있는 호스트에서 실행 중인 에코 서버에 연결합니다.ncat <other_host> 12345
# ncat <other_host> 12345Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 어떤 것을 입력하고 키를 누릅니다. 텍스트가 다시 전송되었는지 확인합니다.
41.13. RHEL 시스템 역할을 사용하여 firewalld 구성
RHEL 시스템 역할은 Ansible 자동화 유틸리티의 콘텐츠 집합입니다. 이 콘텐츠는 Ansible 자동화 유틸리티와 함께 여러 시스템을 한 번에 원격으로 관리할 수 있는 일관된 구성 인터페이스를 제공합니다.
rhel-system-roles 패키지에는 rhel-system-roles.firewall RHEL 시스템 역할이 포함되어 있습니다. 이 역할은 firewalld 서비스의 자동 구성을 위해 도입되었습니다.
방화벽 RHEL 시스템 역할을 사용하면 다양한 firewalld 매개변수를 구성할 수 있습니다. 예를 들면 다음과 같습니다.
- 영역
- 패킷을 허용해야 하는 서비스
- 포트에 대한 트래픽 액세스 권한 부여, 거부 또는 삭제
- 영역의 포트 또는 포트 범위 전달
41.13.1. 방화벽 RHEL 시스템 역할을 사용하여 firewalld 설정 재설정
시간이 지남에 따라 방화벽 구성을 업데이트하면 의도하지 않은 보안 위험이 발생할 수 있습니다. 방화벽 RHEL 시스템 역할을 사용하면 firewalld 설정을 자동으로 기본 상태로 재설정할 수 있습니다. 이렇게 하면 의도하지 않거나 안전하지 않은 방화벽 규칙을 효율적으로 제거하고 관리를 단순화할 수 있습니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
이전: 교체기존 사용자 정의 설정을 모두 제거하고
firewalld설정을 기본값으로 재설정합니다.이전:replaced매개변수를 다른 설정과 결합하면firewall역할은 새 설정을 적용하기 전에 기존 설정을 모두 제거합니다.플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.firewall/README.md파일을 참조하십시오.
플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
제어 노드에서 이 명령을 실행하여 관리 노드의 모든 방화벽 구성이 기본값으로 재설정되었는지 원격으로 확인합니다.
ansible managed-node-01.example.com -m ansible.builtin.command -a 'firewall-cmd --list-all-zones'
# ansible managed-node-01.example.com -m ansible.builtin.command -a 'firewall-cmd --list-all-zones'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
41.13.2. 방화벽 RHEL 시스템 역할을 사용하여 하나의 로컬 포트에서 다른 로컬 포트로 firewalld 에서 들어오는 트래픽 전달
방화벽 RHEL 시스템 역할을 사용하여 하나의 로컬 포트에서 다른 로컬 포트로 들어오는 트래픽 전달을 원격으로 구성할 수 있습니다.
예를 들어 여러 서비스가 동일한 시스템에 공존하고 동일한 기본 포트가 필요한 환경이 있는 경우 포트 충돌이 발생할 수 있습니다. 이러한 충돌로 인해 서비스가 중단되고 다운타임이 발생할 수 있습니다. 방화벽 RHEL 시스템 역할을 사용하면 트래픽을 대체 포트로 효율적으로 전달하여 구성을 수정하지 않고도 서비스를 동시에 실행할 수 있습니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예제 플레이북에 지정된 설정은 다음과 같습니다.
forward_port: 8080/tcp;443- TCP 프로토콜을 사용하여 로컬 포트 8080으로 들어오는 트래픽은 포트 443으로 전달됩니다.
runtime: true런타임 구성에서 변경 사항을 활성화합니다. 기본값은
true로 설정됩니다.플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.firewall/README.md파일을 참조하십시오.
플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
제어 노드에서 다음 명령을 실행하여 관리 노드에서 forwarded-ports를 원격으로 확인합니다.
ansible managed-node-01.example.com -m ansible.builtin.command -a 'firewall-cmd --list-forward-ports' managed-node-01.example.com | CHANGED | rc=0 >> port=8080:proto=tcp:toport=443:toaddr=
# ansible managed-node-01.example.com -m ansible.builtin.command -a 'firewall-cmd --list-forward-ports' managed-node-01.example.com | CHANGED | rc=0 >> port=8080:proto=tcp:toport=443:toaddr=Copy to Clipboard Copied! Toggle word wrap Toggle overflow
41.13.3. 방화벽 RHEL 시스템 역할을 사용하여 firewalld DMZ 영역 구성
시스템 관리자는 방화벽 RHEL 시스템 역할을 사용하여 enp1s0 인터페이스에서 dmz 영역을 구성하여 HTTPS 트래픽을 영역에 허용할 수 있습니다. 이렇게 하면 외부 사용자가 웹 서버에 액세스할 수 있습니다.
사전 요구 사항
- 컨트롤 노드와 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
프로세스
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의
/usr/share/ansible/roles/rhel-system-roles.firewall/README.md파일을 참조하십시오.플레이북 구문을 확인합니다.
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
Playbook을 실행합니다.
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
제어 노드에서 다음 명령을 실행하여 관리 노드의
dmz영역에 대한 정보를 원격으로 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
42장. nftables 시작하기
시나리오가 firewalld 에서 다루는 일반적인 패킷 필터링 사례에 속하지 않거나 규칙을 완전히 제어하려는 경우 nftables 프레임워크를 사용할 수 있습니다.
nftables 프레임워크는 패킷을 분류하고 iptables,ip6tables,arptables,ebtables 및 ipset 유틸리티의 후속 조치입니다. 이전의 패킷 필터링 툴에 비해 편의성, 기능 및 성능이 크게 향상되었으며 주요 개선 사항은 다음과 같습니다.
- 선형 처리 대신 기본 제공 조회 테이블
-
IPv4및IPv6프로토콜 모두를 위한 단일 프레임워크 - 전체 규칙 세트를 가져오고, 업데이트하고, 저장하는 대신 트랜잭션을 통해 배치된 커널 규칙 세트 업데이트
-
규칙 세트(
nftrace) 및 모니터링 추적 이벤트(nft툴에서) 디버깅 및 추적 지원 - 프로토콜별 확장 없이 보다 일관되고 컴팩트한 구문
- 타사 애플리케이션을 위한 Netlink API
nftables 프레임워크는 테이블을 사용하여 체인을 저장합니다. 체인에는 작업을 수행하기 위한 개별 규칙이 포함되어 있습니다. nft 유틸리티는 이전 패킷 필터링 프레임워크의 모든 도구를 대체합니다. libnftables 라이브러리를 사용하여 libnftnl 라이브러리를 통해 nftables Netlink API와 낮은 수준의 상호 작용을 수행할 수 있습니다.
규칙 세트 변경의 영향을 표시하려면 nft list ruleset 명령을 사용합니다. 커널 규칙 세트를 지우려면 nft flush ruleset 명령을 사용합니다. 이는 동일한 커널 인프라를 사용하므로 iptables-nft 명령으로 설치한 규칙 세트에도 영향을 미칠 수 있습니다.
42.1. nftables 테이블, 체인 및 규칙 생성 및 관리
nftables 규칙 세트를 표시하고 관리할 수 있습니다.
42.1.1. nftables 테이블의 기본 사항
nftables 의 테이블은 체인, 규칙, 세트 및 기타 오브젝트 컬렉션을 포함하는 네임스페이스입니다.
각 테이블에는 할당된 주소 제품군이 있어야 합니다. 주소 제품군은 이 테이블이 처리하는 패킷 유형을 정의합니다. 테이블을 만들 때 다음 주소 제품군 중 하나를 설정할 수 있습니다.
-
ip: IPv4 패킷만 일치시킵니다. 주소 제품군을 지정하지 않는 경우 기본값입니다. -
ip6: IPv6 패킷만 일치시킵니다. -
inet: IPv4 및 IPv6 패킷을 모두 일치시킵니다. -
ARP: IPv4 주소 확인 프로토콜(ARP) 패킷과 일치합니다. -
브리지: 브리지 장치를 통과하는 패킷과 일치합니다. -
netdev: 수신의 패킷과 일치합니다.
테이블을 추가하려면 사용할 형식이 방화벽 스크립트에 따라 다릅니다.
네이티브 구문의 스크립트에서 다음을 사용합니다.
table <table_address_family> <table_name> { }table <table_address_family> <table_name> { }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 쉘 스크립트에서 다음을 사용합니다.
nft add table <table_address_family> <table_name>
nft add table <table_address_family> <table_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
42.1.2. nftables 체인의 기본 사항
테이블은 규칙용 컨테이너인 체인으로 구성됩니다. 다음 두 가지 규칙 유형이 있습니다.
- 기본 체인: 기본 체인을 네트워킹 스택의 패킷 진입점으로 사용할 수 있습니다.
-
일반 체인: 규칙 구성을 개선하기 위해 일반 체인을
점프대상으로 사용할 수 있습니다.
테이블에 기본 체인을 추가하려면 사용할 형식이 방화벽 스크립트에 따라 다릅니다.
네이티브 구문의 스크립트에서 다음을 사용합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 쉘 스크립트에서 다음을 사용합니다.
nft add chain <table_address_family> <table_name> <chain_name> { type <type> hook <hook> priority <priority> \; policy <policy> \; }nft add chain <table_address_family> <table_name> <chain_name> { type <type> hook <hook> priority <priority> \; policy <policy> \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 쉘이 명령 끝부분으로 해석되지 않도록 하려면
\이스케이프 문자 앞에 \ 이스케이프 문자를 배치합니다.
두 예 모두 기본 체인을 생성합니다. 일반 체인을 만들려면 중괄호에 매개 변수를 설정하지 마십시오.
체인 유형
다음은 체인 유형과 이를 사용할 수 있는 주소 제품군 및 후크와 관련된 개요입니다.
| 유형 | 가족에 대한 주소 | 후크 | 설명 |
|---|---|---|---|
|
| 모두 | 모두 | 표준 체인 유형 |
|
|
|
| 이 유형의 체인은 연결 추적 항목을 기반으로 네이티브 주소 변환을 수행합니다. 첫 번째 패킷만 이 체인 유형을 통과합니다. |
|
|
|
| 이 체인 유형을 통과하는 허용되는 패킷으로 인해 IP 헤더의 관련 부분이 변경된 경우 새 경로 조회가 발생합니다. |
체인 우선순위
priority 매개 변수는 패킷이 동일한 후크 값으로 체인을 트래버스하는 순서를 지정합니다. 이 매개변수를 정수 값으로 설정하거나 표준 우선순위 이름을 사용할 수 있습니다.
다음 매트릭스는 표준 우선 순위 이름과 해당 숫자 값에 대한 개요와 사용 가능한 주소 제품군 및 후크를 보여줍니다.
| 텍스트 값 | 숫자 값 | 가족에 대한 주소 | 후크 |
|---|---|---|---|
|
|
|
| 모두 |
|
|
|
| 모두 |
|
|
|
|
|
|
|
|
| |
|
|
|
| 모두 |
|
|
| 모두 | |
|
|
|
| 모두 |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
체인 정책
체인 정책은 이 체인의 규칙이 작업을 지정하지 않는 경우 nftables 가 패킷을 수락하거나 삭제해야 하는지 여부를 정의합니다. 체인에서 다음 정책 중 하나를 설정할 수 있습니다.
-
수락(기본값) -
drop
42.1.3. nftables 규칙의 기본 사항
규칙은 이 규칙을 포함하는 체인을 전달하는 패킷에서 수행할 작업을 정의합니다. 규칙에 일치하는 표현식도 포함된 경우 nftables 는 모든 이전 표현식이 적용되는 경우에만 작업을 수행합니다.
체인에 규칙을 추가하려면 사용할 형식은 방화벽 스크립트에 따라 다릅니다.
기본 구문 스크립트의 경우 다음을 사용합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 쉘 스크립트에서는 다음을 사용합니다.
nft add rule <table_address_family> <table_name> <chain_name> <rule>
nft add rule <table_address_family> <table_name> <chain_name> <rule>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 쉘 명령은 체인 끝에 새 규칙을 추가합니다. 체인 시작 부분에 규칙을 추가하려면
nft add대신nft insert명령을 사용하십시오.
42.1.4. nft 명령을 사용하여 테이블, 체인 및 규칙 관리
명령줄 또는 쉘 스크립트에서 nftables 방화벽을 관리하려면 nft 유틸리티를 사용합니다.
이 절차의 명령은 일반적인 워크플로우를 나타내지 않으며 최적화되지 않습니다. 이 절차에서는 nft 명령을 사용하여 일반적으로 테이블, 체인 및 규칙을 관리하는 방법만 보여줍니다.
프로세스
테이블이 IPv4 및 IPv6 패킷을 모두 처리할 수 있도록
inet주소 제품군을 사용하여nftables_svc라는 테이블을 만듭니다.nft add table inet nftables_svc
# nft add table inet nftables_svcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 들어오는 네트워크 트래픽을 처리하는
INPUTINPUT 이라는 기본 체인을inet nftables_svc테이블에 추가합니다.nft add chain inet nftables_svc INPUT { type filter hook input priority filter \; policy accept \; }# nft add chain inet nftables_svc INPUT { type filter hook input priority filter \; policy accept \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 쉘이 명령 마지막으로 해석되지 않도록 하려면
\문자를 사용하여 together을 이스케이프합니다.INPUT체인에 규칙을 추가합니다. 예를 들어 포트 22 및 443에서 수신되는 TCP 트래픽을 허용하고INPUT체인의 마지막 규칙으로 IMP(Internet Control Message Protocol) 포트에 연결할 수 없는 다른 트래픽을 거부합니다.nft add rule inet nftables_svc INPUT tcp dport 22 accept nft add rule inet nftables_svc INPUT tcp dport 443 accept nft add rule inet nftables_svc INPUT reject with icmpx type port-unreachable
# nft add rule inet nftables_svc INPUT tcp dport 22 accept # nft add rule inet nftables_svc INPUT tcp dport 443 accept # nft add rule inet nftables_svc INPUT reject with icmpx type port-unreachableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 표시된 대로
nft add 규칙명령을 입력하면nft는 명령을 실행할 때와 동일한 순서로 규칙을 추가합니다.처리를 포함한 현재 규칙 세트를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow handle 3을 사용하여 기존 규칙 앞에 규칙을 삽입합니다. 예를 들어 포트 636에서 TCP 트래픽을 허용하는 규칙을 삽입하려면 다음을 입력합니다.
nft insert rule inet nftables_svc INPUT position 3 tcp dport 636 accept
# nft insert rule inet nftables_svc INPUT position 3 tcp dport 636 acceptCopy to Clipboard Copied! Toggle word wrap Toggle overflow handle 3을 사용하여 기존 규칙 뒤에 규칙을 추가합니다. 예를 들어 포트 80에서 TCP 트래픽을 허용하는 규칙을 삽입하려면 다음을 입력합니다.
nft add rule inet nftables_svc INPUT position 3 tcp dport 80 accept
# nft add rule inet nftables_svc INPUT position 3 tcp dport 80 acceptCopy to Clipboard Copied! Toggle word wrap Toggle overflow handles를 사용하여 규칙 세트를 다시 표시합니다. 나중에 추가된 규칙이 지정된 위치에 추가되었는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow handle 6을 사용하여 규칙을 제거합니다.
nft delete rule inet nftables_svc INPUT handle 6
# nft delete rule inet nftables_svc INPUT handle 6Copy to Clipboard Copied! Toggle word wrap Toggle overflow 규칙을 제거하려면 처리를 지정해야 합니다.
규칙 세트를 표시하고 제거된 규칙이 더 이상 존재하지 않는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow INPUT체인에서 나머지 모든 규칙을 제거하십시오.nft flush chain inet nftables_svc INPUT
# nft flush chain inet nftables_svc INPUTCopy to Clipboard Copied! Toggle word wrap Toggle overflow 규칙 세트를 표시하고
INPUT체인이 비어 있는지 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow INPUT체인을 삭제합니다.nft delete chain inet nftables_svc INPUT
# nft delete chain inet nftables_svc INPUTCopy to Clipboard Copied! Toggle word wrap Toggle overflow 또한 이 명령을 사용하여 규칙이 포함된 체인을 삭제할 수도 있습니다.
규칙 세트를 표시하고
INPUT체인이 삭제되었는지 확인합니다.nft list table inet nftables_svc table inet nftables_svc { }# nft list table inet nftables_svc table inet nftables_svc { }Copy to Clipboard Copied! Toggle word wrap Toggle overflow nftables_svc테이블을 삭제합니다.nft delete table inet nftables_svc
# nft delete table inet nftables_svcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령을 사용하여 체인이 계속 포함된 테이블을 삭제할 수도 있습니다.
참고전체 규칙 세트를 삭제하려면 별도의 명령에서 모든 규칙, 체인 및 테이블을 수동으로 삭제하는 대신
nft flush ruleset명령을 사용합니다.
42.2. iptables에서 nftables로 마이그레이션
방화벽 구성이 여전히 iptables 규칙을 사용하는 경우 iptables 규칙을 nftables 로 마이그레이션할 수 있습니다.
42.2.1. firewalld, nftables 또는 iptables 사용 시기
RHEL 8에서는 시나리오에 따라 다음 패킷 필터링 유틸리티를 사용할 수 있습니다.
-
firewalld:firewalld유틸리티는 일반적인 사용 사례에 대한 방화벽 구성을 간소화합니다. -
nftables:nftables유틸리티를 사용하여 전체 네트워크에 대해 복잡하고 성능에 중요한 방화벽을 설정합니다. -
iptables: Red Hat Enterprise Linux의iptables유틸리티는레거시백엔드 대신nf_tables커널 API를 사용합니다.nf_tablesAPI는 이전 버전과의 호환성을 제공하므로iptables명령을 사용하는 스크립트는 Red Hat Enterprise Linux에서 계속 작동합니다. 새 방화벽 스크립트의 경우nftables를 사용합니다.
다른 방화벽 관련 서비스(firewalld,nftables 또는 iptables)가 서로 영향을 미치지 않도록 하려면 RHEL 호스트에서 해당 서비스 중 하나만 실행하고 다른 서비스를 비활성화합니다.
42.2.2. nftables 프레임워크의 개념
iptables 프레임워크와 비교하여 nftables 는 보다 현대적이고 효율적이며 유연한 대안을 제공합니다. nftables 프레임워크는 iptables 를 통해 고급 기능과 개선 사항을 제공하여 규칙 관리를 단순화하고 성능을 향상시킵니다. 이로 인해 nftables 가 복잡하고 고성능 네트워킹 환경을 위한 최신 대안으로 사용할 수 있습니다.
- 테이블 및 네임스페이스
-
nftables에서 테이블은 관련 방화벽 체인, 세트, 흐름 테이블 및 기타 오브젝트를 함께 그룹화하는 조직 단위 또는 네임스페이스를 나타냅니다.nftables에서는 테이블이 방화벽 규칙 및 관련 구성 요소를 구성하는 보다 유연한 방법을 제공합니다.iptables에서는 테이블이 특정 목적에 따라 보다 효율적으로 정의되었습니다. - 테이블 제품군
-
nftables의 각 테이블은 특정 제품군(ip,ip6,inet,arp,bridge또는netdev)과 연결되어 있습니다. 이 연결은 테이블이 처리할 수 있는 패킷을 결정합니다. 예를 들어ip제품군의 테이블은 IPv4 패킷만 처리합니다. 반면inet은 테이블 가정의 특별한 경우입니다. IPv4 및 IPv6 패킷을 모두 처리할 수 있으므로 프로토콜 간에 통합된 접근 방식을 제공합니다. 특수 테이블 제품군의 또 다른 경우는netdev입니다. 네트워크 장치에 직접 적용되는 규칙에 사용되어 장치 수준에서 필터링이 가능하기 때문입니다. - 기본 체인
nftables의 기본 체인은 패킷 처리 파이프라인에서 구성 가능한 진입점으로, 사용자가 다음을 지정할 수 있습니다.- 체인의 유형 (예: "filter"
- 패킷 처리 경로의 후크 지점(예: "input", "output", "forward")
- 체인의 우선순위
이러한 유연성을 통해 규칙이 네트워크 스택을 통과할 때 패킷에 적용되는 시기와 방법을 정확하게 제어할 수 있습니다. 체인의 특수 사례는 패킷 헤더를 기반으로 커널에 의해 이루어진 라우팅 결정에 영향을 미치는 데 사용되는
경로체인입니다.- 규칙 처리를 위한 가상 머신
nftables프레임워크는 내부 가상 시스템을 사용하여 규칙을 처리합니다. 이 가상 머신은 어셈블리 언어 작업과 유사한 명령을 실행합니다(기록으로 데이터를 로드하고 비교 수행 등). 이러한 메커니즘은 매우 유연하고 효율적인 규칙 처리를 허용합니다.nftables의 개선 사항은 해당 가상 머신에 대한 새로운 지침으로 도입될 수 있습니다. 일반적으로 새 커널 모듈과libnftnl라이브러리 및nft명령줄 유틸리티를 업데이트해야 합니다.또는 커널 수정 없이도 기존 지침을 혁신적으로 결합하여 새로운 기능을 도입할 수 있습니다.
nftables규칙의 구문은 기본 가상 시스템의 유연성을 반영합니다. 예를 들어meta 마크가 tcp dport 맵을 설정하는 규칙 { 22: 1, 80: 2 }는 TCP 대상 포트가 22인 경우 패킷의 방화벽 표시를 1로 설정하고 포트가 80인 경우 2로 설정합니다. 이것은 복잡한 논리를 간결하게 표현 할 수있는 방법을 보여줍니다.- 복잡한 필터링 및 확인 맵
nftables프레임워크는 IP 주소, 포트, 기타 데이터 유형 및 가장 중요한 조합에서iptables에서 사용되는ipset유틸리티의 기능을 통합하고 확장합니다. 이러한 통합을 통해nftables내에서 직접 대규모의 동적 데이터 세트를 쉽게 관리할 수 있습니다. 다음으로nftables는 모든 데이터 유형에 대한 여러 값 또는 범위를 기반으로 일치하는 패킷을 기본적으로 지원하므로 복잡한 필터링 요구 사항을 처리하는 기능이 향상됩니다.nftables를 사용하면 패킷 내의 모든 필드를 조작할 수 있습니다.nftables에서 세트는 이름이 지정되거나 익명일 수 있습니다. 명명된 세트는 여러 규칙에서 참조하고 동적으로 수정할 수 있습니다. 익명 세트는 규칙 내에서 인라인으로 정의되며 변경할 수 없습니다. 세트에는 다양한 유형의 조합(예: IP 주소 및 포트 번호 쌍)이 포함된 요소가 포함될 수 있습니다. 이 기능을 사용하면 복잡한 기준과 일치하는 유연성이 향상됩니다. 세트를 관리하기 위해 커널은 특정 요구 사항(성능, 메모리 효율성 등)에 따라 가장 적절한 백엔드를 선택할 수 있습니다. 세트는 키-값 쌍이 있는 맵으로 기능할 수도 있습니다. value 부분은 데이터 포인트(패치 헤더에 쓸 값) 또는 이동할 정성 또는 체인으로 사용할 수 있습니다. 이를 통해 "verdict maps"라는 복잡하고 동적인 규칙 동작을 사용할 수 있습니다.- 유연한 규칙 형식
nftables규칙의 구조는 간단합니다. 조건 및 작업은 왼쪽에서 오른쪽으로 순차적으로 적용됩니다. 이 직관적인 형식을 사용하면 규칙을 만들고 문제를 해결할 수 있습니다.규칙의 조건은 논리적으로( AND 연산자를 사용하여) 함께 연결되므로 규칙이 일치하도록 모든 조건을 "true"로 평가해야 합니다. 조건이 하나라도 실패하면 평가가 다음 규칙으로 이동합니다.
nftables의 작업은삭제또는수락과 같은 최종 작업이 될 수 있으므로 패킷에 대한 추가 규칙 처리를 중지합니다.카운터 로그 메타 마크 세트 0x3과 같은 터미널이 아닌 작업은 특정 작업(패킷, 로깅, 마크 설정 등)을 수행하지만 후속 규칙을 평가할 수 있습니다.
42.2.3. 더 이상 사용되지 않는 iptables 프레임워크의 개념
적극적으로 유지 관리되는 nftables 프레임워크와 유사하게 더 이상 사용되지 않는 iptables 프레임워크를 사용하면 다양한 패킷 필터링 작업, 로깅 및 감사, NAT 관련 구성 작업 등을 수행할 수 있습니다.
iptables 프레임워크는 각 테이블이 특정 목적을 위해 설계된 여러 테이블로 구성되어 있습니다.
filter- 기본 테이블은 일반 패킷 필터링을 보장합니다.
nat- NAT(Network Address Translation)의 경우 패킷의 소스 및 대상 주소 변경을 포함합니다.
mangle- 특정 패킷 변경을 위해 고급 라우팅 결정에 대해 패킷 헤더를 수정할 수 있습니다.
Raw- 연결 추적 전에 수행해야 하는 구성의 경우
이러한 테이블은 별도의 커널 모듈로 구현되며, 각 테이블은 INPUT,OUTPUT, FORWARD 와 같은 고정된 내장 체인 세트를 제공합니다. 체인은 패킷이 평가되는 일련의 규칙입니다. 이러한 체인은 커널의 패킷 처리 흐름의 특정 지점에 연결됩니다. 체인은 여러 테이블 간에 이름이 동일하지만 실행 순서는 해당 후크 우선 순위에 따라 결정됩니다. 우선순위는 커널에서 내부적으로 관리되므로 규칙이 올바른 순서로 적용되는지 확인합니다.
원래 iptables 는 IPv4 트래픽을 처리하도록 설계되었습니다. 그러나 IPv6 프로토콜을 도입하면 비슷한 기능( iptables)을 제공하고 사용자가 IPv6 패킷에 대한 방화벽 규칙을 생성하고 관리할 수 있도록 ip6tables 유틸리티를 도입해야 합니다. 동일한 논리를 통해 arptables 유틸리티는 ARP(Address Resolution Protocol)를 처리하기 위해 생성되었으며 ebtables 유틸리티는 이더넷 브리징 프레임을 처리하기 위해 개발되었습니다. 이러한 툴은 iptables 의 패킷 필터링 기능을 다양한 네트워크 프로토콜에 적용하고 포괄적인 네트워크 범위를 제공할 수 있도록 합니다.
iptables 의 기능을 개선하기 위해 확장 기능을 개발하기 시작했습니다. 기능 확장은 일반적으로 사용자 공간 동적 공유 오브젝트(DSO)와 페어링되는 커널 모듈로 구현됩니다. 확장 기능으로 방화벽 규칙에 더 정교한 작업을 수행할 수 있는 "matches" 및 "대상"이 도입되었습니다. 확장 기능을 사용하면 복잡한 일치 및 대상을 활성화할 수 있습니다. 예를 들어 특정 계층 4 프로토콜 헤더 값을 일치시키거나 조작하고, rate-limiting을 수행하고 할당량을 적용할 수 있습니다. 일부 확장 기능은 기본 iptables 구문의 제한 사항을 해결하도록 설계되었습니다(예: "multiport" 일치 확장). 이 확장을 사용하면 단일 규칙이 일치되지 않은 여러 포트를 일치시켜 규칙 정의를 단순화하고 필요한 개별 규칙 수를 줄일 수 있습니다.
ipset 은 iptables 에 대한 특별한 종류의 기능 확장입니다. iptables 와 함께 사용하여 IP 주소, 포트 번호 및 패킷과 일치시킬 수 있는 기타 네트워크 관련 요소 컬렉션을 생성하는 커널 수준 데이터 구조입니다. 이러한 세트는 방화벽 규칙을 작성하고, 작성하고, 관리하는 프로세스를 크게 간소화, 최적화 및 가속화합니다.
42.2.4. iptables 및 ip6tables 규칙 세트를 nftables로 변환
iptables-restore-translate 및 ip6tables-restore-translate 유틸리티를 사용하여 iptables 및 ip6tables 규칙 세트를 nftables 로 변환합니다.
사전 요구 사항
-
nftables및iptables패키지가 설치됩니다. -
시스템에는
iptables및ip6tables규칙이 구성되어 있습니다.
프로세스
iptables및ip6tables규칙을 파일에 씁니다.iptables-save >/root/iptables.dump ip6tables-save >/root/ip6tables.dump
# iptables-save >/root/iptables.dump # ip6tables-save >/root/ip6tables.dumpCopy to Clipboard Copied! Toggle word wrap Toggle overflow 덤프 파일을
nftables명령으로 변환합니다.iptables-restore-translate -f /root/iptables.dump > /etc/nftables/ruleset-migrated-from-iptables.nft ip6tables-restore-translate -f /root/ip6tables.dump > /etc/nftables/ruleset-migrated-from-ip6tables.nft
# iptables-restore-translate -f /root/iptables.dump > /etc/nftables/ruleset-migrated-from-iptables.nft # ip6tables-restore-translate -f /root/ip6tables.dump > /etc/nftables/ruleset-migrated-from-ip6tables.nftCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
필요한 경우 생성된
nftables규칙을 수동으로 업데이트합니다. nftables서비스가 생성된 파일을 로드하도록 활성화하려면/etc/sysconfig/nftables.conf파일에 다음을 추가합니다.include "/etc/nftables/ruleset-migrated-from-iptables.nft" include "/etc/nftables/ruleset-migrated-from-ip6tables.nft"
include "/etc/nftables/ruleset-migrated-from-iptables.nft" include "/etc/nftables/ruleset-migrated-from-ip6tables.nft"Copy to Clipboard Copied! Toggle word wrap Toggle overflow iptables서비스를 중지하고 비활성화합니다.systemctl disable --now iptables
# systemctl disable --now iptablesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 사용자 지정 스크립트를 사용하여
iptables규칙을 로드한 경우 스크립트가 더 이상 자동으로 시작되지 않고 재부팅되어 모든 테이블을 플러시합니다.nftables서비스를 활성화하고 시작합니다.systemctl enable --now nftables
# systemctl enable --now nftablesCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
nftables규칙 세트를 표시합니다.nft list ruleset
# nft list rulesetCopy to Clipboard Copied! Toggle word wrap Toggle overflow
42.2.5. 단일 iptables 및 ip6tables 규칙을 nftables로 변환
Red Hat Enterprise Linux는 iptables 또는 ip6tables 규칙을 nftables 에 해당하는 규칙으로 변환하는 iptables-translate 및 ip6tables-translate 유틸리티를 제공합니다.
사전 요구 사항
-
nftables패키지가 설치되어 있습니다.
프로세스
iptables또는ip6tables대신iptables-translate또는ip6tables-translate유틸리티를 사용하여 해당nftables규칙을 표시합니다.iptables-translate -A INPUT -s 192.0.2.0/24 -j ACCEPT nft add rule ip filter INPUT ip saddr 192.0.2.0/24 counter accept
# iptables-translate -A INPUT -s 192.0.2.0/24 -j ACCEPT nft add rule ip filter INPUT ip saddr 192.0.2.0/24 counter acceptCopy to Clipboard Copied! Toggle word wrap Toggle overflow 일부 확장 기능에는 해당 지원이 누락되어 있는 경우도 있습니다. 이 경우 유틸리티는
#기호로 접두사가 지정된 번역되지 않은 규칙을 출력합니다. 예를 들면 다음과 같습니다.iptables-translate -A INPUT -j CHECKSUM --checksum-fill nft # -A INPUT -j CHECKSUM --checksum-fill
# iptables-translate -A INPUT -j CHECKSUM --checksum-fill nft # -A INPUT -j CHECKSUM --checksum-fillCopy to Clipboard Copied! Toggle word wrap Toggle overflow
42.2.6. 일반적인 iptables 및 nftables 명령 비교
다음은 일반적인 iptables 및 nftables 명령을 비교합니다.
모든 규칙을 나열합니다.
Expand iptables nftables iptables-savenft 목록 규칙 세트특정 테이블 및 체인을 나열:
Expand iptables nftables iptables -Lnft 목록 테이블 IP 필터iptables -L INPUTnft 목록 체인 IP 필터 INPUTiptables -t nat -L PREROUTINGnft 목록 체인 IP nat PREROUTINGnft명령은 테이블 및 체인을 사전 생성하지 않습니다. 사용자가 수동으로 생성한 경우에만 존재합니다.firewalld에서 생성한 규칙 나열:
nft list table inet firewalld nft list table ip firewalld nft list table ip6 firewalld
# nft list table inet firewalld # nft list table ip firewalld # nft list table ip6 firewalldCopy to Clipboard Copied! Toggle word wrap Toggle overflow
42.3. nftables를 사용하여 NAT 구성
nftables 에서는 다음 NAT(네트워크 주소 변환) 유형을 구성할 수 있습니다.
- masquerading
- 소스 NAT(SNAT)
- 대상 NAT(DNAT)
- 리디렉션
iifname 및 oifname 매개변수에만 실제 인터페이스 이름을 사용할 수 있으며 대체 이름(altname)은 지원되지 않습니다.
42.3.1. NAT 유형
이는 다른 NAT(네트워크 주소 변환) 유형입니다.
- masquerading 및 source NAT(SNAT)
이러한 NAT 유형 중 하나를 사용하여 패킷의 소스 IP 주소를 변경합니다. 예를 들어, 인터넷 서비스 공급자(ISP)는
10.0.0.0/8과 같은 개인 IP 범위를 라우팅하지 않습니다. 네트워크에서 개인 IP 범위를 사용하고 사용자가 인터넷의 서버에 연결할 수 있어야 하는 경우 이러한 범위의 패킷의 소스 IP 주소를 공용 IP 주소에 매핑합니다.마스커레이딩과 SNAT는 서로 매우 유사합니다. 차이점은 다음과 같습니다.
- 마스커레이딩은 발신 인터페이스의 IP 주소를 자동으로 사용합니다. 따라서 발신 인터페이스에서 동적 IP 주소를 사용하는 경우 masquerading을 사용합니다.
- SNAT는 패킷의 소스 IP 주소를 지정된 IP로 설정하고 발신 인터페이스의 IP를 동적으로 검색하지 않습니다. 따라서 SNAT는 masquerading보다 빠릅니다. 발신 인터페이스에서 고정 IP 주소를 사용하는 경우 SNAT를 사용합니다.
- 대상 NAT(DNAT)
- 이 NAT 유형을 사용하여 들어오는 패킷의 대상 주소와 포트를 다시 작성합니다. 예를 들어 웹 서버가 개인 IP 범위의 IP 주소를 사용하므로 인터넷에서 직접 액세스할 수 없는 경우 라우터에 DNAT 규칙을 설정하여 수신 트래픽을 이 서버로 리디렉션할 수 있습니다.
- 리디렉션
- 이 유형은 체인 후크에 따라 패킷을 로컬 시스템으로 리디렉션하는 특수한 DNAT의 경우입니다. 예를 들어 서비스가 표준 포트와 다른 포트에서 실행되는 경우 표준 포트에서 들어오는 트래픽을 이 특정 포트로 리디렉션할 수 있습니다.
42.3.2. nftables를 사용하여 마스커레이딩 구성
마스커레이딩을 사용하면 라우터에서 인터페이스를 통해 인터페이스의 IP 주소로 전송된 패킷의 소스 IP를 동적으로 변경할 수 있습니다. 즉, 인터페이스가 새 IP가 할당되면 nftables 는 소스 IP를 교체할 때 새 IP를 자동으로 사용합니다.
ens3 인터페이스를 통해 호스트를 나가는 패킷의 소스 IP를 ens3 에 설정된 IP로 바꿉니다.
프로세스
테이블을 생성합니다.
nft add table nat
# nft add table natCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 표에
다음 체인을추가합니다.nft add chain nat postrouting { type nat hook postrouting priority 100 \; }# nft add chain nat postrouting { type nat hook postrouting priority 100 \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요prerouting체인에 규칙을 추가하지 않더라도nftables프레임워크에는 수신되는 패킷 응답과 일치하도록 이 체인이 필요합니다.쉘이 음수 우선순위 값을
nft명령의 옵션으로 해석하지 못하도록--옵션을nft명령에 전달해야 합니다.ens3인터페이스에서 발신 패킷과 일치하는postrouting체인에 규칙을 추가합니다.nft add rule nat postrouting oifname "ens3" masquerade
# nft add rule nat postrouting oifname "ens3" masqueradeCopy to Clipboard Copied! Toggle word wrap Toggle overflow
42.3.3. nftables를 사용하여 소스 NAT 구성
라우터에서 소스 NAT(SNAT)를 사용하면 인터페이스를 통해 전송된 패킷의 IP를 특정 IP 주소로 변경할 수 있습니다. 그런 다음 라우터는 발신 패킷의 소스 IP를 대체합니다.
프로세스
테이블을 생성합니다.
nft add table nat
# nft add table natCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 표에
다음 체인을추가합니다.nft add chain nat postrouting { type nat hook postrouting priority 100 \; }# nft add chain nat postrouting { type nat hook postrouting priority 100 \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요postrouting체인에 규칙을 추가하지 않더라도nftables프레임워크에는 이 체인이 발신 패킷 응답과 일치해야 합니다.쉘이 음수 우선순위 값을
nft명령의 옵션으로 해석하지 못하도록--옵션을nft명령에 전달해야 합니다.ens3을 통해 발신 패킷의 소스 IP를192.0.2.1로 대체하는postrouting체인에 규칙을 추가합니다.nft add rule nat postrouting oifname "ens3" snat to 192.0.2.1
# nft add rule nat postrouting oifname "ens3" snat to 192.0.2.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
42.3.4. nftables를 사용하여 대상 NAT 구성
대상 NAT(DNAT)를 사용하면 라우터의 트래픽을 인터넷에서 직접 액세스할 수 없는 호스트로 리디렉션할 수 있습니다.
예를 들어, DNAT를 사용하면 라우터에서 포트 80 및 443 으로 전송되는 들어오는 트래픽을 IP 주소 192.0.2.1 이 있는 웹 서버로 리디렉션합니다.
프로세스
테이블을 생성합니다.
nft add table nat
# nft add table natCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 표에
다음 체인을추가합니다.nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; } nft add chain nat postrouting { type nat hook postrouting priority 100 \; }# nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; } # nft add chain nat postrouting { type nat hook postrouting priority 100 \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요postrouting체인에 규칙을 추가하지 않더라도nftables프레임워크에는 이 체인이 발신 패킷 응답과 일치해야 합니다.쉘이 음수 우선순위 값을
nft명령의 옵션으로 해석하지 못하도록--옵션을nft명령에 전달해야 합니다.라우터의
ens3인터페이스에서 IP 주소192.0.2.1을 사용하여 웹 서버로 들어오는 트래픽을 포트80및443으로 리디렉션하는이전체인에 규칙을 추가합니다.nft add rule nat prerouting iifname ens3 tcp dport { 80, 443 } dnat to 192.0.2.1# nft add rule nat prerouting iifname ens3 tcp dport { 80, 443 } dnat to 192.0.2.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 환경에 따라 SNAT 또는 마스커레이딩 규칙을 추가하여 웹 서버에서 발신자로 반환되는 패킷의 소스 주소를 변경합니다.
ens3인터페이스에서 동적 IP 주소를 사용하는 경우 마스커레이딩 규칙을 추가합니다.nft add rule nat postrouting oifname "ens3" masquerade
# nft add rule nat postrouting oifname "ens3" masqueradeCopy to Clipboard Copied! Toggle word wrap Toggle overflow ens3인터페이스에서 고정 IP 주소를 사용하는 경우 SNAT 규칙을 추가합니다. 예를 들어ens3에서198.51.100.1IP 주소를 사용하는 경우 다음을 실행합니다.nft add rule nat postrouting oifname "ens3" snat to 198.51.100.1
# nft add rule nat postrouting oifname "ens3" snat to 198.51.100.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
패킷 전달을 활성화합니다.
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
# echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow
42.3.5. nftables를 사용하여 리디렉션 구성
리디렉션 기능은 체인 후크에 따라 패킷을 로컬 시스템으로 리디렉션하는 대상 DNAT(네트워크 주소 변환)의 특수한 사례입니다.
예를 들어 로컬 호스트의 포트 22 로 전송된 수신 및 전달된 트래픽을 포트 2222 로 리디렉션할 수 있습니다.
프로세스
테이블을 생성합니다.
nft add table nat
# nft add table natCopy to Clipboard Copied! Toggle word wrap Toggle overflow 테이블에
사전체인을 추가합니다.nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }# nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 쉘이 음수 우선순위 값을
nft명령의 옵션으로 해석하지 못하도록--옵션을nft명령에 전달해야 합니다.포트 22에서 들어오는 트래픽을 포트
22로 리디렉션하는사전아웃 체인에 규칙을 추가합니다.nft add rule nat prerouting tcp dport 22 redirect to 2222
# nft add rule nat prerouting tcp dport 22 redirect to 2222Copy to Clipboard Copied! Toggle word wrap Toggle overflow
42.4. nftables 스크립트 작성 및 실행
nftables 프레임워크를 사용할 때의 주요 이점은 스크립트 실행이 atomic이라는 것입니다. 즉, 시스템이 전체 스크립트를 적용하거나 오류가 발생하면 실행을 방지합니다. 이렇게 하면 방화벽이 항상 일관된 상태로 유지됩니다.
또한 nftables 스크립트 환경을 사용하면 다음을 수행할 수 있습니다.
- 댓글 추가
- 변수 정의
- 기타 규칙 세트 파일 포함
nftables 패키지를 설치하면 Red Hat Enterprise Linux가 /etc/nftables/ 디렉터리에 *.nft 스크립트가 자동으로 생성됩니다. 이러한 스크립트에는 서로 다른 용도로 테이블 및 빈 체인을 만드는 명령이 포함되어 있습니다.
42.4.1. 지원되는 nftables 스크립트 형식
nftables 스크립팅 환경에서 다음 형식으로 스크립트를 작성할 수 있습니다.
nft list ruleset명령과 동일한 형식은 규칙 세트를 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow nft명령과 동일한 구문:Copy to Clipboard Copied! Toggle word wrap Toggle overflow
42.4.2. nftables 스크립트 실행
nft 유틸리티에 전달하거나 스크립트를 직접 실행하여 nftables 스크립트를 실행할 수 있습니다.
프로세스
nft유틸리티에 전달하여nftables스크립트를 실행하려면 다음을 입력합니다.nft -f /etc/nftables/<example_firewall_script>.nft
# nft -f /etc/nftables/<example_firewall_script>.nftCopy to Clipboard Copied! Toggle word wrap Toggle overflow nftables스크립트를 직접 실행하려면 다음을 수행합니다.이 작업을 수행하는 동안 다음을 수행합니다.
스크립트가 다음 shebang 시퀀스로 시작하는지 확인합니다.
#!/usr/sbin/nft -f
#!/usr/sbin/nft -fCopy to Clipboard Copied! Toggle word wrap Toggle overflow 중요-f매개변수를 생략하면nft유틸리티에서 스크립트를 읽지 않고 다음을 표시합니다.오류: 구문 오류, 예기치 않은 줄 바꿈, 문자열이필요합니다.선택 사항: 스크립트 소유자를
root로 설정합니다.chown root /etc/nftables/<example_firewall_script>.nft
# chown root /etc/nftables/<example_firewall_script>.nftCopy to Clipboard Copied! Toggle word wrap Toggle overflow 소유자가 스크립트를 실행할 수 있도록 설정합니다.
chmod u+x /etc/nftables/<example_firewall_script>.nft
# chmod u+x /etc/nftables/<example_firewall_script>.nftCopy to Clipboard Copied! Toggle word wrap Toggle overflow
스크립트를 실행합니다.
/etc/nftables/<example_firewall_script>.nft
# /etc/nftables/<example_firewall_script>.nftCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력이 표시되지 않으면 시스템이 스크립트를 성공적으로 실행했습니다.
nft 가 스크립트를 성공적으로 실행하고 규칙, 누락된 매개 변수 또는 스크립트의 기타 문제를 잘못 배치하면 방화벽이 예상대로 작동하지 않을 수 있습니다.
42.4.3. nftables 스크립트에서 주석 사용
nftables 스크립팅 환경은 줄 끝 부분에 # 문자 오른쪽에 있는 모든 항목을 주석으로 해석합니다.
주석은 줄 시작 시 또는 명령 옆에 있을 수 있습니다.
42.4.4. nftables 스크립트에서 변수 사용
nftables 스크립트에서 변수를 정의하려면 define 키워드를 사용합니다. 단일 값과 익명 세트를 변수에 저장할 수 있습니다. 더 복잡한 시나리오의 경우 세트 또는 확인 맵을 사용합니다.
- 단일 값이 있는 변수
다음 예제에서는
enp1s0값이 있는INET_DEV변수를 정의합니다.define INET_DEV = enp1s0
define INET_DEV = enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow $기호 뒤에 변수 이름을 입력하여 스크립트에서 변수를 사용할 수 있습니다.... add rule inet example_table example_chain iifname $INET_DEV tcp dport ssh accept ...
... add rule inet example_table example_chain iifname $INET_DEV tcp dport ssh accept ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 익명 세트가 포함된 변수
다음 예제에서는 익명 세트가 포함된 변수를 정의합니다.
define DNS_SERVERS = { 192.0.2.1, 192.0.2.2 }define DNS_SERVERS = { 192.0.2.1, 192.0.2.2 }Copy to Clipboard Copied! Toggle word wrap Toggle overflow $기호 뒤에 변수 이름을 작성하여 스크립트의 변수를 사용할 수 있습니다.add rule inet example_table example_chain ip daddr $DNS_SERVERS accept
add rule inet example_table example_chain ip daddr $DNS_SERVERS acceptCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고중괄호에는 변수가 집합을 표시함을 나타내기 때문에 규칙에서 사용할 때 특수한 의미가 있습니다.
42.4.5. nftables 스크립트에 파일 포함
nftables 스크립팅 환경에서는 include 문을 사용하여 다른 스크립트를 포함할 수 있습니다.
절대 경로 또는 상대 경로 없이 파일 이름만 지정하면 nftables 에는 기본 검색 경로의 파일(Red Hat Enterprise Linux에서 /etc 로 설정됨)이 포함됩니다.
예 42.1. 기본 검색 디렉터리에서 파일 포함
기본 검색 디렉터리의 파일을 포함하려면 다음을 수행합니다.
include "example.nft"
include "example.nft"예 42.2. 디렉터리에서 모든 *.nft 파일 포함
/etc/nftables/rulesets/ 디렉터리에 저장된 *.nft 로 끝나는 모든 파일을 포함하려면 다음을 수행합니다.
include "/etc/nftables/rulesets/*.nft"
include "/etc/nftables/rulesets/*.nft"
include 문이 점으로 시작하는 파일과 일치하지 않습니다.
42.4.6. 시스템이 부팅될 때 nftables 규칙 자동 로드
nftables systemd 서비스는 /etc/sysconfig/nftables.conf 파일에 포함된 방화벽 스크립트를 로드합니다.
사전 요구 사항
-
nftables스크립트는/etc/nftables/디렉터리에 저장됩니다.
프로세스
/etc/sysconfig/nftables.conf파일을 편집합니다.-
nftables패키지 설치와 함께/etc/nftables/에 생성된*.nft스크립트를 수정한 경우 이러한 스크립트의include문의 주석을 제거합니다. 새 스크립트를 작성한 경우
include문을 추가하여 이러한 스크립트를 포함합니다. 예를 들어nftables서비스가 시작될 때/etc/nftables/예.nft스크립트를 로드하려면 다음을 추가합니다.include "/etc/nftables/_example_.nft"
include "/etc/nftables/_example_.nft"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
선택 사항: 시스템을 재부팅하지 않고
nftables서비스를 시작하여 방화벽 규칙을 로드합니다.systemctl start nftables
# systemctl start nftablesCopy to Clipboard Copied! Toggle word wrap Toggle overflow nftables서비스를 활성화합니다.systemctl enable nftables
# systemctl enable nftablesCopy to Clipboard Copied! Toggle word wrap Toggle overflow
42.5. nftables 명령에서 세트 사용
nftables 프레임워크는 기본적으로 세트를 지원합니다. 예를 들어 규칙이 여러 IP 주소, 포트 번호, 인터페이스 또는 기타 일치 기준과 일치해야 하는 경우 세트를 사용할 수 있습니다.
42.5.1. nftables에서 익명 세트 사용
익명 집합에는 규칙에서 직접 사용하는 { 22, 80, 443 } 과 같이 중괄호로 묶은 쉼표로 구분된 값이 포함되어 있습니다. IP 주소 및 기타 일치 조건에도 익명 세트를 사용할 수 있습니다.
익명 세트의 단점은 집합을 변경하려면 규칙을 교체해야 한다는 것입니다. 동적 솔루션의 경우 nftables에서 명명된 세트 사용에 설명된 대로 이름이 지정된 세트를 사용합니다.
사전 요구 사항
-
inet제품군의example_chain체인과example_table테이블이 있습니다.
프로세스
예를 들어 포트
22,80및443으로 들어오는 트래픽을 허용하는example_table에서example_chain에 규칙을 추가하려면 다음을 수행합니다.nft add rule inet example_table example_chain tcp dport { 22, 80, 443 } accept# nft add rule inet example_table example_chain tcp dport { 22, 80, 443 } acceptCopy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항:
example_table에 모든 체인과 해당 규칙을 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
42.5.2. nftables에서 named set 사용
nftables 프레임워크는 변경 가능한 이름이 설정된 세트를 지원합니다. 명명된 세트는 테이블 내의 여러 규칙에서 사용할 수 있는 요소 목록 또는 범위입니다. 익명 세트를 통한 또 다른 이점은 세트를 사용하는 규칙을 교체하지 않고도 이름이 지정된 세트를 업데이트할 수 있다는 것입니다.
명명된 세트를 만들 때 집합에 포함된 요소 유형을 지정해야 합니다. 다음 유형을 설정할 수 있습니다.
-
192.0.2.1또는192.0.2.0/24와 같은 IPv4 주소 또는 범위가 포함된 세트의ipv4_addr. -
2001:db8:1::1 또는
2001:db8:1::1/64ipv6_addr -
52:54:00:6b:66:42와 같은 미디어 액세스 제어(MAC) 주소 목록이 포함된 세트의ether_addr -
inet_proto는tcp와 같은 인터넷 프로토콜 유형 목록이 포함된 세트의 경우입니다. -
ssh와 같은 인터넷 서비스 목록이 포함된 세트의inet_service. -
패킷 표시 목록을 포함하는 세트의
마크입니다. 패킷 표시는 모든 양의 32비트 정수 값(0~2147483647)일 수 있습니다.
사전 요구 사항
-
example_chain체인과example_table테이블이 있습니다.
프로세스
빈 세트를 만듭니다. 다음 예제에서는 IPv4 주소에 대한 세트를 생성합니다.
여러 개별 IPv4 주소를 저장할 수 있는 세트를 생성하려면 다음을 수행합니다.
nft add set inet example_table example_set { type ipv4_addr \; }# nft add set inet example_table example_set { type ipv4_addr \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 주소 범위를 저장할 수 있는 세트를 생성하려면 다음을 수행합니다.
nft add set inet example_table example_set { type ipv4_addr \; flags interval \; }# nft add set inet example_table example_set { type ipv4_addr \; flags interval \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow
중요쉘이 명령의 마지막으로 message를 해석하지 못하도록 하려면 백슬래시를 사용하여 together을 이스케이프해야 합니다.
선택 사항: 세트를 사용하는 규칙을 생성합니다. 예를 들어 다음 명령은
example_table의example_chain에 규칙을 추가하여example_set의 IPv4 주소에서 모든 패킷을 삭제합니다.nft add rule inet example_table example_chain ip saddr @example_set drop
# nft add rule inet example_table example_chain ip saddr @example_set dropCopy to Clipboard Copied! Toggle word wrap Toggle overflow example_set은 여전히 비어 있기 때문에 규칙은 현재 적용되지 않습니다.IPv4 주소를
example_set에 추가합니다.개별 IPv4 주소를 저장하는 세트를 생성하는 경우 다음을 입력합니다.
nft add element inet example_table example_set { 192.0.2.1, 192.0.2.2 }# nft add element inet example_table example_set { 192.0.2.1, 192.0.2.2 }Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 범위를 저장하는 세트를 생성하는 경우 다음을 입력합니다.
nft add element inet example_table example_set { 192.0.2.0-192.0.2.255 }# nft add element inet example_table example_set { 192.0.2.0-192.0.2.255 }Copy to Clipboard Copied! Toggle word wrap Toggle overflow IP 주소 범위를 지정하면 위 예제의
192.0.2.0/24와 같은 CIDR(Classless Inter-Domain Routing) 표기법을 사용할 수 있습니다.
42.5.3. 동적 세트를 사용하여 패킷 경로의 항목 추가
nftables 프레임워크의 동적 세트를 사용하면 패킷 데이터에서 요소를 자동으로 추가할 수 있습니다. 예를 들어 IP 주소, 대상 포트, MAC 주소 등이 있습니다. 이 기능을 사용하면 이러한 요소를 실시간으로 수집하고 거부 목록을 만들고, 목록을 금지하고, 보안 위협에 즉시 대응할 수 있도록 다른 요소를 사용할 수 있습니다.
사전 요구 사항
-
inet제품군의example_chain체인과example_table테이블이 있습니다.
프로세스
빈 세트를 만듭니다. 다음 예제에서는 IPv4 주소에 대한 세트를 생성합니다.
여러 개별 IPv4 주소를 저장할 수 있는 세트를 생성하려면 다음을 수행합니다.
nft add set inet example_table example_set { type ipv4_addr \; }# nft add set inet example_table example_set { type ipv4_addr \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 주소 범위를 저장할 수 있는 세트를 생성하려면 다음을 수행합니다.
nft add set inet example_table example_set { type ipv4_addr \; flags interval \; }# nft add set inet example_table example_set { type ipv4_addr \; flags interval \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요쉘이 명령의 마지막으로 message를 해석하지 못하도록 하려면 백슬래시를 사용하여 together을 이스케이프해야 합니다.
들어오는 패킷의 소스 IPv4 주소를
example_set세트에 동적으로 추가하는 규칙을 만듭니다.nft add rule inet example_table example_chain set add ip saddr @example_set
# nft add rule inet example_table example_chain set add ip saddr @example_setCopy to Clipboard Copied! Toggle word wrap Toggle overflow 명령은
example_chain규칙 체인에 새 규칙을 생성하고example_table은 패킷의 소스 IPv4 주소를example_set에 동적으로 추가합니다.
검증
규칙이 추가되었는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령은 현재
nftables에 로드된 전체 규칙 세트를 표시합니다. IP가 적극적으로 규칙을 트리거하고 있으며example_set이 관련 주소로 업데이트되고 있음을 보여줍니다.
다음 단계
동적 IP 세트가 있으면 다양한 보안, 필터링 및 트래픽 제어 목적으로 사용할 수 있습니다. 예를 들면 다음과 같습니다.
- 블록, 제한 또는 네트워크 트래픽 로그
- 신뢰할 수 있는 사용자를 금지하기 위해 허용 목록과 결합
- 자동 시간 초과를 사용하여 초과 차단 방지
42.6. nftables 명령에 verdict 맵 사용
사전이라고도 하는 정성 맵을 사용하면 nft 가 일치 기준을 작업에 매핑하여 패킷 정보를 기반으로 작업을 수행할 수 있습니다.
42.6.1. nftables에서 익명 맵 사용
익명 맵은 규칙에서 직접 사용하는 { match_criteria : action } 구문입니다. 문에는 쉼표로 구분된 여러 매핑이 포함될 수 있습니다.
익명 맵의 단점은 맵을 변경하려면 규칙을 교체해야 한다는 것입니다. 동적 솔루션의 경우 nftables에서 이름이 지정된 맵 사용에 설명된 대로 이름이 지정된 맵 을 사용합니다.
예를 들어 익명 맵을 사용하여 IPv4 및 IPv6 프로토콜의 TCP 및 UDP 패킷을 다른 체인으로 라우팅하여 들어오는 TCP 및 UDP 패킷을 별도로 계산할 수 있습니다.
프로세스
새 테이블을 만듭니다.
nft add table inet example_table
# nft add table inet example_tableCopy to Clipboard Copied! Toggle word wrap Toggle overflow example_table에tcp_packets체인을 생성합니다.nft add chain inet example_table tcp_packets
# nft add chain inet example_table tcp_packetsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 체인의 트래픽을 계산하는
tcp_packets에 규칙을 추가합니다.nft add rule inet example_table tcp_packets counter
# nft add rule inet example_table tcp_packets counterCopy to Clipboard Copied! Toggle word wrap Toggle overflow example_table에udp_packets체인을 생성nft add chain inet example_table udp_packets
# nft add chain inet example_table udp_packetsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 체인의 트래픽을 계산하는
udp_packets에 규칙을 추가합니다.nft add rule inet example_table udp_packets counter
# nft add rule inet example_table udp_packets counterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 들어오는 트래픽에 대한 체인을 생성합니다. 예를 들어 수신 트래픽을 필터링하는
example_table에incoming_traffic라는 체인을 만들려면 다음을 수행합니다.nft add chain inet example_table incoming_traffic { type filter hook input priority 0 \; }# nft add chain inet example_table incoming_traffic { type filter hook input priority 0 \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow anonymous 맵이 있는 규칙을
incoming_traffic:에 추가합니다.nft add rule inet example_table incoming_traffic ip protocol vmap { tcp : jump tcp_packets, udp : jump udp_packets }# nft add rule inet example_table incoming_traffic ip protocol vmap { tcp : jump tcp_packets, udp : jump udp_packets }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 익명 맵은 패킷을 구분하고 프로토콜을 기반으로 다른 카운터 체인으로 보냅니다.
트래픽 카운터를 나열하려면
example_table을 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow tcp_packets및udp_packets체인의 카운터는 수신된 패킷 수와 바이트를 모두 표시합니다.
42.6.2. nftables에서 이름이 지정된 맵 사용
nftables 프레임워크는 이름이 지정된 맵을 지원합니다. 이러한 맵은 테이블 내의 여러 규칙에서 사용할 수 있습니다. 익명 맵을 통한 또 다른 이점은 해당 맵을 사용하는 규칙을 교체하지 않고도 이름이 지정된 맵을 업데이트할 수 있다는 것입니다.
이름이 지정된 맵을 생성할 때 요소 유형을 지정해야 합니다.
-
일치하는 부분이 있는 맵의
ipv4_addr에는192.0.2.1과 같은 IPv4 주소가 포함되어 있습니다. -
일치하는 부분이 있는 맵의
ipv6_addr에는2001:db8:1::1과 같은 IPv6 주소가 포함됩니다. -
일치하는 부분이 있는 맵의
ether_addr에는52:54:00:6b:66:42와 같은 MAC( Media Access Control) 주소가 포함됩니다. -
inet_proto일치하는 부분이 있는 맵의 경우tcp와 같은 인터넷 프로토콜 유형이 포함되어 있습니다. -
inet_service일치하는 맵의 경우ssh또는22와 같은 인터넷 서비스 이름 포트 번호가 포함되어 있습니다. -
일치하는 부분이 패킷
마크를 포함하는 맵에 대해 마크합니다. 패킷 마크는 모든 양의 32비트 정수 값(0~2147483647)일 수 있습니다. -
카운터값에 일치하는 부분이 포함된 맵의 카운터입니다. 카운터 값은 양의 64비트 정수 값일 수 있습니다. -
일치하는 부분이
할당량값이 포함된 맵의 할당량입니다. 할당량 값은 양의 64비트 정수 값일 수 있습니다.
예를 들어 소스 IP 주소를 기반으로 들어오는 패킷을 허용하거나 삭제할 수 있습니다. IP 주소와 작업이 맵에 동적으로 저장되는 동안 이름이 지정된 맵을 사용하여 이 시나리오를 구성하려면 단일 규칙만 필요합니다.
프로세스
테이블을 만듭니다. 예를 들어 IPv4 패킷을 처리하는
example_table이라는 테이블을 만들려면 다음을 수행합니다.nft add table ip example_table
# nft add table ip example_tableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 체인을 생성합니다. 예를 들어
example_table에서example_chain이라는 체인을 만들려면 다음을 수행합니다.nft add chain ip example_table example_chain { type filter hook input priority 0 \; }# nft add chain ip example_table example_chain { type filter hook input priority 0 \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요쉘이 명령의 마지막으로 message를 해석하지 못하도록 하려면 백슬래시를 사용하여 together을 이스케이프해야 합니다.
빈 맵을 생성합니다. 예를 들어 IPv4 주소에 대한 맵을 생성하려면 다음을 수행합니다.
nft add map ip example_table example_map { type ipv4_addr : verdict \; }# nft add map ip example_table example_map { type ipv4_addr : verdict \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 맵을 사용하는 규칙을 생성합니다. 예를 들어 다음 명령은
example_table의example_chain에 규칙을 추가하여example_map에 모두 정의된 IPv4 주소에 작업을 적용합니다.nft add rule example_table example_chain ip saddr vmap @example_map
# nft add rule example_table example_chain ip saddr vmap @example_mapCopy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 주소와 해당 작업을
example_map에 추가합니다.nft add element ip example_table example_map { 192.0.2.1 : accept, 192.0.2.2 : drop }# nft add element ip example_table example_map { 192.0.2.1 : accept, 192.0.2.2 : drop }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 예제에서는 IPv4 주소의 매핑을 작업에 정의합니다. 위에서 생성한 규칙과 함께 방화벽은
192.0.2.1의 패킷을 수락하고192.0.2.2에서 패킷을 삭제합니다.선택 사항: 다른 IP 주소와 action 문을 추가하여 맵을 개선합니다.
nft add element ip example_table example_map { 192.0.2.3 : accept }# nft add element ip example_table example_map { 192.0.2.3 : accept }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 맵에서 항목을 제거합니다.
nft delete element ip example_table example_map { 192.0.2.1 }# nft delete element ip example_table example_map { 192.0.2.1 }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 규칙 세트를 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
42.7. 예제: nftables 스크립트를 사용하여 LAN 및 DMZ 보호
RHEL 라우터의 nftables 프레임워크를 사용하여 내부 LAN의 네트워크 클라이언트와 DMZ의 웹 서버를 인터넷 및 기타 네트워크에서 무단 액세스로부터 보호하는 방화벽 스크립트를 작성하고 설치합니다.
이 예제는 설명 목적으로만 사용되며 특정 요구 사항이 있는 시나리오를 설명합니다.
방화벽 스크립트는 네트워크 인프라 및 보안 요구 사항에 따라 크게 달라집니다. 이 예제를 사용하여 자체 환경에 대한 스크립트를 작성할 때 nftables 방화벽의 개념을 알아봅니다.
42.7.1. 네트워크 조건
이 예제의 네트워크에는 다음과 같은 조건이 있습니다.
라우터는 다음 네트워크에 연결되어 있습니다.
-
인터페이스
enp1s0을 통한 인터넷 -
인터페이스
enp7s0을 통한 내부 LAN -
enp8s0까지 DMZ
-
인터페이스
-
라우터의 인터넷 인터페이스에는 정적 IPv4 주소(
203.0.113.1)와 IPv6 주소(2001:db8:a::1)가 할당되어 있습니다. -
내부 LAN의 클라이언트는
10.0.0.0/24범위의 개인 IPv4 주소만 사용합니다. 결과적으로 LAN에서 인터넷으로 전송되는 경우 소스 네트워크 주소 변환(SNAT)이 필요합니다. -
내부 LAN의 관리자는 IP 주소
10.0.0.100및10.0.0.200을 사용합니다. -
DMZ는
198.51.100.0/24및2001:db8:b::/56범위의 공용 IP 주소를 사용합니다. -
DMZ의 웹 서버는
198.51.100.5및2001:db8:b::5IP 주소를 사용합니다. - 라우터는 LAN 및 DMZ에 있는 호스트에 대한 캐싱 DNS 서버 역할을 합니다.
42.7.2. 방화벽 스크립트에 대한 보안 요구 사항
다음은 예제 네트워크의 nftables 방화벽에 대한 요구 사항입니다.
라우터는 다음을 수행할 수 있어야 합니다.
- DNS 쿼리를 반복적으로 확인합니다.
- 루프백 인터페이스에서 모든 연결을 수행합니다.
내부 LAN의 클라이언트는 다음을 수행할 수 있어야 합니다.
- 라우터에서 실행 중인 캐싱 DNS 서버를 쿼리합니다.
- DMZ의 HTTPS 서버에 액세스합니다.
- 인터넷의 모든 HTTPS 서버에 액세스합니다.
- 관리자는 SSH를 사용하여 라우터 및 DMZ의 모든 서버에 액세스할 수 있어야 합니다.
DMZ의 웹 서버는 다음을 수행할 수 있어야 합니다.
- 라우터에서 실행 중인 캐싱 DNS 서버를 쿼리합니다.
- 인터넷의 HTTPS 서버에 액세스하여 업데이트를 다운로드합니다.
인터넷의 호스트는 다음을 수행할 수 있어야 합니다.
- DMZ의 HTTPS 서버에 액세스합니다.
또한 다음과 같은 보안 요구 사항이 있습니다.
- 명시적으로 허용되지 않은 연결 시도는 삭제해야 합니다.
- 삭제된 패킷은 기록되어야 합니다.
42.7.3. 파일에 삭제된 패킷 로깅 구성
기본적으로 systemd 는 삭제된 패킷과 같은 커널 메시지를 저널에 기록합니다. 또한 이러한 항목을 별도의 파일에 기록하도록 rsyslog 서비스를 구성할 수 있습니다. 로그 파일이 무한하게 증가하지 않도록 하려면 순환 정책을 구성합니다.
사전 요구 사항
-
rsyslog패키지가 설치되어 있습니다. -
rsyslog서비스가 실행 중입니다.
프로세스
다음 콘텐츠를 사용하여
/etc/rsyslog.d/nftables.conf파일을 생성합니다.:msg, startswith, "nft drop" -/var/log/nftables.log & stop
:msg, startswith, "nft drop" -/var/log/nftables.log & stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 구성을 사용하여
rsyslog서비스는/var/log/messages대신/var/log/nftables.log파일에 패킷을 기록합니다.rsyslog서비스를 다시 시작하십시오.systemctl restart rsyslog
# systemctl restart rsyslogCopy to Clipboard Copied! Toggle word wrap Toggle overflow 크기가 10MB를 초과하면
/etc/logrotate.d/nftables파일을 다음 내용으로 생성하여/var/log/nftables.log를 순환합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow maxage 30설정은logrotate가 다음 순환 작업 중에 30일이 지난 순환 로그를 제거하도록 정의합니다.
42.7.4. nftables 스크립트 작성 및 활성화
이 예는 RHEL 라우터에서 실행되고 DMZ의 내부 LAN 및 웹 서버에서 클라이언트를 보호하는 nftables 방화벽 스크립트입니다. 네트워크 및 예제에 사용되는 방화벽의 요구 사항에 대한 자세한 내용은 방화벽 스크립트에 대한 네트워크 조건 및 보안 요구 사항을 참조하십시오.
이 nftables 방화벽 스크립트는 데모 목적으로만 사용됩니다. 환경 및 보안 요구 사항에 맞게 조정하지 않고 사용하지 마십시오.
사전 요구 사항
- 네트워크는 네트워크 상태에 설명된 대로 구성됩니다.
프로세스
다음 콘텐츠를 사용하여
/etc/nftables/firewall.nft스크립트를 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/sysconfig/nftables.conf파일에/etc/nftables/firewall.nft스크립트를 포함합니다.include "/etc/nftables/firewall.nft"
include "/etc/nftables/firewall.nft"Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 전달을 활성화합니다.
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
# echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow nftables서비스를 활성화하고 시작합니다.systemctl enable --now nftables
# systemctl enable --now nftablesCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
선택 사항:
nftables규칙 세트를 확인합니다.nft list ruleset ...
# nft list ruleset ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 방화벽에서 금지하는 액세스를 수행합니다. 예를 들어 DMZ에서 SSH를 사용하여 라우터에 액세스하려고 합니다.
ssh router.example.com ssh: connect to host router.example.com port 22: Network is unreachable
# ssh router.example.com ssh: connect to host router.example.com port 22: Network is unreachableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 로깅 설정에 따라 다음을 검색합니다.
차단된 패킷의
systemd저널:journalctl -k -g "nft drop" Oct 14 17:27:18 router kernel: nft drop IN : IN=enp8s0 OUT= MAC=... SRC=198.51.100.5 DST=198.51.100.1 ... PROTO=TCP SPT=40464 DPT=22 ... SYN ...
# journalctl -k -g "nft drop" Oct 14 17:27:18 router kernel: nft drop IN : IN=enp8s0 OUT= MAC=... SRC=198.51.100.5 DST=198.51.100.1 ... PROTO=TCP SPT=40464 DPT=22 ... SYN ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 차단된 패킷의
/var/log/nftables.log파일입니다.Oct 14 17:27:18 router kernel: nft drop IN : IN=enp8s0 OUT= MAC=... SRC=198.51.100.5 DST=198.51.100.1 ... PROTO=TCP SPT=40464 DPT=22 ... SYN ...
Oct 14 17:27:18 router kernel: nft drop IN : IN=enp8s0 OUT= MAC=... SRC=198.51.100.5 DST=198.51.100.1 ... PROTO=TCP SPT=40464 DPT=22 ... SYN ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
42.8. nftables를 사용하여 연결 수 제한
nftables 를 사용하여 연결 수를 제한하거나 지정된 양의 연결을 설정하여 시스템 리소스를 너무 많이 사용하지 못하도록 하는 IP 주소를 차단할 수 있습니다.
42.8.1. nftables를 사용하여 연결 수 제한
nft 유틸리티의 ct count 매개변수를 사용하면 IP 주소당 동시 연결 수를 제한할 수 있습니다. 예를 들어 이 기능을 사용하여 각 소스 IP 주소가 호스트에 대한 두 개의 병렬 SSH 연결만 설정할 수 있도록 구성할 수 있습니다.
프로세스
inet주소 제품군을 사용하여filter테이블을 생성합니다.nft add table inet filter
# nft add table inet filterCopy to Clipboard Copied! Toggle word wrap Toggle overflow inet 필터테이블에입력체인을 추가합니다.nft add chain inet filter input { type filter hook input priority 0 \; }# nft add chain inet filter input { type filter hook input priority 0 \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 주소에 대한 동적 세트를 생성합니다.
nft add set inet filter limit-ssh { type ipv4_addr\; flags dynamic \;}# nft add set inet filter limit-ssh { type ipv4_addr\; flags dynamic \;}Copy to Clipboard Copied! Toggle word wrap Toggle overflow IPv4 주소에서 SSH 포트(22)에 동시에 들어오는 연결만 허용하는
입력체인에 규칙을 추가하고 동일한 IP에서 추가 연결을 모두 거부합니다.nft add rule inet filter input tcp dport ssh ct state new add @limit-ssh { ip saddr ct count over 2 } counter reject# nft add rule inet filter input tcp dport ssh ct state new add @limit-ssh { ip saddr ct count over 2 } counter rejectCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
- 동일한 IP 주소에서 호스트로의 두 개 이상의 새 동시 SSH 연결을 설정합니다. 두 연결이 이미 설정된 경우 nftables는 SSH 포트에 대한 연결을 거부합니다.
limit-ssh동적 세트를 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow elements항목에는 현재 규칙과 일치하는 주소가 표시됩니다. 이 예제에서요소는SSH 포트에 대한 활성 연결이 있는 IP 주소를 나열합니다. 출력은 활성 연결 수를 표시하지 않거나 연결이 거부된 경우입니다.
42.8.2. 1분 이내에 10개 이상의 새 들어오는 TCP 연결을 시도하는 IP 주소 차단
1분 이내에 10개 이상의 IPv4 TCP 연결을 설정하는 호스트를 일시적으로 차단할 수 있습니다.
프로세스
IP 주소 제품군을 사용하여
필터테이블을 생성합니다.nft add table ip filter
# nft add table ip filterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 필터테이블에입력체인을 추가합니다.nft add chain ip filter input { type filter hook input priority 0 \; }# nft add chain ip filter input { type filter hook input priority 0 \; }Copy to Clipboard Copied! Toggle word wrap Toggle overflow 1분 이내에 10개 이상의 TCP 연결을 설정하려는 소스 주소에서 모든 패킷을 삭제하는 규칙을 추가합니다.
nft add rule ip filter input ip protocol tcp ct state new, untracked meter ratemeter { ip saddr timeout 5m limit rate over 10/minute } drop# nft add rule ip filter input ip protocol tcp ct state new, untracked meter ratemeter { ip saddr timeout 5m limit rate over 10/minute } dropCopy to Clipboard Copied! Toggle word wrap Toggle overflow timeout 5m매개변수는 계측이 오래된 항목으로 채워지지 않도록nftables가 5분 후에 자동으로 항목을 제거하도록 정의합니다.
검증
측정기의 내용을 표시하려면 다음을 입력합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
42.9. nftables 규칙 디버깅
nftables 프레임워크는 관리자가 규칙을 디버깅하고 패킷이 일치하는 경우 다양한 옵션을 제공합니다.
42.9.1. 카운터를 사용하여 규칙 생성
규칙이 일치하는지 확인하려면 카운터를 사용할 수 있습니다.
- 기존 규칙에 카운터를 추가하는 프로시저에 대한 자세한 내용은 기존 규칙에 카운터 추가를 참조하십시오.
사전 요구 사항
- 규칙을 추가할 체인이 있습니다.
절차
counter매개 변수를 사용하여 체인에 새 규칙을 추가합니다. 다음 예제에서는 포트 22에서 TCP 트래픽을 허용하고 이 규칙과 일치하는 패킷과 트래픽을 계산하는 카운터가 포함된 규칙을 추가합니다.nft add rule inet example_table example_chain tcp dport 22 counter accept
# nft add rule inet example_table example_chain tcp dport 22 counter acceptCopy to Clipboard Copied! Toggle word wrap Toggle overflow 카운터 값을 표시하려면 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
42.9.2. 기존 규칙에 카운터 추가
규칙이 일치하는지 확인하려면 카운터를 사용할 수 있습니다.
- 카운터를 사용하여 새 규칙을 추가하는 프로시저에 대한 자세한 내용은 카운터를 사용하여 규칙 생성을 참조하십시오.
사전 요구 사항
- 카운터를 추가하려는 규칙이 있습니다.
프로세스
프로세스를 포함하여 체인의 규칙을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 규칙을 교체하지만 카운터 매개 변수를 사용하여
카운터를 추가합니다. 다음 예제에서는 이전 단계에서 표시되는 규칙을 교체하고 카운터를 추가합니다.nft replace rule inet example_table example_chain handle 4 tcp dport 22 counter accept
# nft replace rule inet example_table example_chain handle 4 tcp dport 22 counter acceptCopy to Clipboard Copied! Toggle word wrap Toggle overflow 카운터 값을 표시하려면 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
42.9.3. 기존 규칙과 일치하는 패킷 모니터링
nft monitor 명령과 함께 nftables 의 추적 기능을 사용하면 관리자가 규칙과 일치하는 패킷을 표시할 수 있습니다. 이 규칙과 일치하는 패킷을 모니터링하는 데 사용하는 규칙에 대한 추적을 활성화할 수 있습니다.
사전 요구 사항
- 카운터를 추가하려는 규칙이 있습니다.
프로세스
프로세스를 포함하여 체인의 규칙을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 규칙을 교체하지만
meta nftrace set 1매개변수를 사용하여 추적 기능을 추가합니다. 다음 예제에서는 이전 단계에서 표시된 규칙을 교체하고 추적을 활성화합니다.nft replace rule inet example_table example_chain handle 4 tcp dport 22 meta nftrace set 1 accept
# nft replace rule inet example_table example_chain handle 4 tcp dport 22 meta nftrace set 1 acceptCopy to Clipboard Copied! Toggle word wrap Toggle overflow nft monitor명령을 사용하여 추적을 표시합니다. 다음 예제에서는 명령의 출력을 필터링하여inet example_table example_chain을 포함하는 항목만 표시합니다.nft monitor | grep "inet example_table example_chain" trace id 3c5eb15e inet example_table example_chain packet: iif "enp1s0" ether saddr 52:54:00:17:ff:e4 ether daddr 52:54:00:72:2f:6e ip saddr 192.0.2.1 ip daddr 192.0.2.2 ip dscp cs0 ip ecn not-ect ip ttl 64 ip id 49710 ip protocol tcp ip length 60 tcp sport 56728 tcp dport ssh tcp flags == syn tcp window 64240 trace id 3c5eb15e inet example_table example_chain rule tcp dport ssh nftrace set 1 accept (verdict accept) ...
# nft monitor | grep "inet example_table example_chain" trace id 3c5eb15e inet example_table example_chain packet: iif "enp1s0" ether saddr 52:54:00:17:ff:e4 ether daddr 52:54:00:72:2f:6e ip saddr 192.0.2.1 ip daddr 192.0.2.2 ip dscp cs0 ip ecn not-ect ip ttl 64 ip id 49710 ip protocol tcp ip length 60 tcp sport 56728 tcp dport ssh tcp flags == syn tcp window 64240 trace id 3c5eb15e inet example_table example_chain rule tcp dport ssh nftrace set 1 accept (verdict accept) ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 주의추적이 활성화된 규칙 수 및 일치하는 트래픽 양에 따라
nft monitor명령은 많은 출력을 표시할 수 있습니다.grep또는 기타 유틸리티를 사용하여 출력을 필터링합니다.
42.10. nftables 규칙 세트 백업 및 복원
nftables 규칙을 파일에 백업하고 나중에 복원할 수 있습니다. 또한 관리자는 규칙과 함께 파일을 사용하여 규칙을 다른 서버로 전송할 수도 있습니다.
42.10.1. 파일에 nftables 규칙 세트 백업
nft 유틸리티를 사용하여 파일에 설정된 nftables 규칙을 백업할 수 있습니다.
프로세스
nftables규칙을 백업하려면 다음을 수행합니다.nft 목록 규칙 세트 형식으로 생성된 형식:nft list ruleset > file.nft
# nft list ruleset > file.nftCopy to Clipboard Copied! Toggle word wrap Toggle overflow JSON 형식의 경우:
nft -j list ruleset > file.json
# nft -j list ruleset > file.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow
42.10.2. 파일에서 nftables 규칙 세트 복원
파일에서 nftables 규칙 세트를 복원할 수 있습니다.
프로세스
nftables규칙을 복원하려면 다음을 수행합니다.복원할 파일이
nft 목록 규칙 세트로 생성되거나명령이 직접 포함된 형식인 경우:nftnft -f file.nft
# nft -f file.nftCopy to Clipboard Copied! Toggle word wrap Toggle overflow 복원할 파일이 JSON 형식인 경우:
nft -j -f file.json
# nft -j -f file.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow
43장. xdp-filter를 사용하여 고성능 트래픽 필터링을 통해 DDoS 공격을 방지
nftables, Express Data Path(XDP) 프로세스와 같은 패킷 필터와 비교하고 네트워크 인터페이스에서 네트워크 패킷을 바로 삭제합니다. 따라서 XDP는 방화벽 또는 기타 애플리케이션에 도달하기 전에 패키지의 다음 단계를 결정합니다. 결과적으로 XDP 필터는 리소스가 적게 필요하며 기존 패킷 필터보다 훨씬 높은 속도로 네트워크 패킷을 처리하여 분산 서비스 거부(DDoS) 공격을 방어할 수 있습니다. 예를 들어, 테스트 중에 Red Hat은 단일 코어에서 초당 26백만 개의 네트워크 패킷을 삭제했으며, 이는 동일한 하드웨어에서 nftables 의 드롭 속도보다 훨씬 높습니다.
xdp-filter 유틸리티는 XDP를 사용하여 들어오는 네트워크 패킷을 허용하거나 삭제합니다. 규칙을 생성하여 특정 트래픽을 필터링하거나 트래픽을 필터링할 수 있습니다.
- IP 주소
- MAC 주소
- 포트
xdp-filter 가 패킷 처리 속도가 훨씬 높은 경우에도 (예: nftables )와 동일한 기능이 없습니다. XDP를 사용하여 패킷 필터링을 보여주는 개념적 유틸리티를 Xdp-filter 로 고려하십시오. 또한 고유한 XDP 애플리케이션을 작성하는 방법을 더 잘 이해하기 위해 유틸리티 코드를 사용할 수 있습니다.
AMD 및 Intel 64비트 이외의 아키텍처에서는 xdp-filter 유틸리티는 기술 프리뷰로만 제공됩니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있으며 Red Hat은 해당 기능을 프로덕션에 사용하지 않는 것이 좋습니다. 이러한 프리뷰를 통해 향후 제품 기능에 조기 액세스할 수 있어 개발 프로세스 중에 기능을 테스트하고 피드백을 제공할 수 있습니다.
기술 프리뷰 기능에 대한 지원 범위에 대한 정보는 Red Hat 고객 포털에서 기술 프리뷰 기능 지원 범위를 참조하십시오.
43.1. xdp-filter 규칙과 일치하는 네트워크 패킷 삭제
xdp-filter 를 사용하여 네트워크 패킷을 삭제할 수 있습니다.
- 특정 대상 포트로 설정
- 특정 IP 주소에서
- 특정 MAC 주소에서
xdp-filter 의 허용 정책은 모든 트래픽이 허용됨을 정의하고 필터는 특정 규칙과 일치하는 네트워크 패킷만 삭제합니다. 예를 들어 삭제하려는 패킷의 소스 IP 주소를 알고 있는 경우 이 방법을 사용합니다.
사전 요구 사항
-
xdp-tools패키지가 설치되어 있습니다. - XDP 프로그램을 지원하는 네트워크 드라이버입니다.
프로세스
xdp-filter를 로드하여enp1s0과 같은 특정 인터페이스에서 들어오는 패킷을 처리합니다.xdp-filter load enp1s0
# xdp-filter load enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본적으로
xdp-filter는allow정책을 사용하고 유틸리티는 모든 규칙과 일치하는 트래픽만 삭제합니다.선택적으로
tcp,ipv4또는ethernet과 같은 특정 기능만 활성화하려면-f 기능옵션을 사용합니다. 대신 필요한 기능만 로드하면 패킷 처리 속도가 증가합니다. 여러 기능을 활성화하려면 쉼표로 구분합니다.명령이 오류와 함께 실패하면 네트워크 드라이버가 XDP 프로그램을 지원하지 않습니다.
규칙을 추가하여 일치하는 패킷을 삭제합니다. 예를 들면 다음과 같습니다.
들어오는 패킷을 포트
22로 삭제하려면 다음을 입력합니다.xdp-filter port 22
# xdp-filter port 22Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 TCP 및 UDP 트래픽과 일치하는 규칙을 추가합니다. 특정 프로토콜만 일치시키려면
-p protocol옵션을 사용합니다.192.0.2.1에서 들어오는 패킷을 삭제하려면 다음을 입력합니다.xdp-filter ip 192.0.2.1 -m src
# xdp-filter ip 192.0.2.1 -m srcCopy to Clipboard Copied! Toggle word wrap Toggle overflow xdp-filter는 IP 범위를 지원하지 않습니다.MAC 주소
00:53:00:AA:07:BE에서 들어오는 패킷을 삭제하려면 다음을 입력합니다.xdp-filter ether 00:53:00:AA:07:BE -m src
# xdp-filter ether 00:53:00:AA:07:BE -m srcCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 사용하여 삭제 및 허용된 패킷에 대한 통계를 표시합니다.
xdp-filter status
# xdp-filter statusCopy to Clipboard Copied! Toggle word wrap Toggle overflow
43.2. xdp-filter 규칙과 일치하는 항목을 제외한 모든 네트워크 패킷 삭제
xdp-filter 를 사용하여 네트워크 패킷만 허용할 수 있습니다.
- 특정 대상 포트에서 또는 특정 대상 포트로
- 및에서 특정 IP 주소로
- 또는 특정 MAC 주소
이렇게 하려면 필터가 특정 규칙과 일치하는 것을 제외한 모든 네트워크 패킷을 삭제한다는 것을 정의하는 xdp-filter 의 거부 정책을 사용합니다. 예를 들어 삭제하려는 패킷의 소스 IP 주소를 모르는 경우 이 방법을 사용합니다.
인터페이스에 xdp-filter 를 로드할 때 거부 하도록 기본 정책을 설정하면 특정 트래픽을 허용하는 규칙을 생성할 때까지 커널이 이 인터페이스에서 모든 패킷을 즉시 삭제합니다. 시스템에서 잠길 수 없도록 하려면 로컬로 명령을 입력하거나 다른 네트워크 인터페이스를 통해 호스트에 연결합니다.
사전 요구 사항
-
xdp-tools패키지가 설치되어 있습니다. - 로컬로 호스트에 로그인하거나 트래픽을 필터링하지 않으려는 네트워크 인터페이스를 사용합니다.
- XDP 프로그램을 지원하는 네트워크 드라이버입니다.
프로세스
xdp-filter를 로드하여enp1s0과 같은 특정 인터페이스에서 패킷을 처리합니다.xdp-filter load enp1s0 -p deny
# xdp-filter load enp1s0 -p denyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 선택적으로
tcp,ipv4또는ethernet과 같은 특정 기능만 활성화하려면-f 기능옵션을 사용합니다. 대신 필요한 기능만 로드하면 패킷 처리 속도가 증가합니다. 여러 기능을 활성화하려면 쉼표로 구분합니다.명령이 오류와 함께 실패하면 네트워크 드라이버가 XDP 프로그램을 지원하지 않습니다.
규칙을 추가하여 일치하는 패킷을 허용합니다. 예를 들면 다음과 같습니다.
포트
22로 패킷을 허용하려면 다음을 입력합니다.xdp-filter port 22
# xdp-filter port 22Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 TCP 및 UDP 트래픽과 일치하는 규칙을 추가합니다. 특정 프로토콜만 일치시키려면
-p 프로토콜옵션을 명령에 전달합니다.192.0.2.1에 패킷을 허용하려면 다음을 입력합니다.xdp-filter ip 192.0.2.1
# xdp-filter ip 192.0.2.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow xdp-filter는 IP 범위를 지원하지 않습니다.MAC 주소
00:53:00:AA:07:BE로 패킷을 허용하려면 다음을 입력합니다.xdp-filter ether 00:53:00:AA:07:BE
# xdp-filter ether 00:53:00:AA:07:BECopy to Clipboard Copied! Toggle word wrap Toggle overflow
중요xdp-filter유틸리티는 상태 저장 패킷 검사를 지원하지 않습니다. 이를 위해서는-m모드 옵션을 사용하여 모드를 설정하지 않거나, 시스템이 나가는 트래픽에 회신할 때 수신되는 트래픽을 허용하기 위해 명시적 규칙을 추가해야 합니다.
검증
다음 명령을 사용하여 삭제 및 허용된 패킷에 대한 통계를 표시합니다.
xdp-filter status
# xdp-filter statusCopy to Clipboard Copied! Toggle word wrap Toggle overflow
44장. 네트워크 패킷 캡처
네트워크 문제 및 통신을 디버깅하려면 네트워크 패킷을 캡처할 수 있습니다. 다음 섹션에서는 네트워크 패킷 캡처에 대한 지침 및 추가 정보를 제공합니다.
44.1. xdpdump를 사용하여 XDP 프로그램에서 삭제한 패킷을 포함하여 네트워크 패킷을 캡처
xdpdump 유틸리티는 네트워크 패킷을 캡처합니다. tcpdump 유틸리티와 달리 xdpdump 는 이 작업에 확장된 Berkeley Packet Filter(eBPF) 프로그램을 사용합니다. 이를 통해 xdpdump 는 Express Data Path(XDP) 프로그램에서 삭제된 패킷도 캡처할 수 있습니다. tcpdump 와 같은 사용자 공간 유틸리티는 이러한 삭제된 패키지와 XDP 프로그램에서 수정한 원본 패킷을 캡처할 수 없습니다.
xdpdump 를 사용하여 이미 인터페이스에 연결된 XDP 프로그램을 디버깅할 수 있습니다. 따라서 유틸리티는 XDP 프로그램이 시작되기 전과 작업이 완료된 후 패킷을 캡처할 수 있습니다. 후자의 경우 xdpdump 도 XDP 작업을 캡처합니다. 기본적으로 xdpdump 는 XDP 프로그램 항목에서 들어오는 패킷을 캡처합니다.
AMD 및 Intel 64비트 이외의 아키텍처에서는 xdpdump 유틸리티가 기술 프리뷰로만 제공됩니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있으며 Red Hat은 해당 기능을 프로덕션에 사용하지 않는 것이 좋습니다. 이러한 프리뷰를 통해 향후 제품 기능에 조기 액세스할 수 있어 개발 프로세스 중에 기능을 테스트하고 피드백을 제공할 수 있습니다.
기술 프리뷰 기능에 대한 지원 범위에 대한 정보는 Red Hat 고객 포털에서 기술 프리뷰 기능 지원 범위를 참조하십시오.
xdpdump 에는 패킷 필터 또는 디코딩 기능이 없습니다. 그러나 패킷 디코딩을 위해 tcpdump 와 함께 사용할 수 있습니다.
사전 요구 사항
- XDP 프로그램을 지원하는 네트워크 드라이버입니다.
-
XDP 프로그램이
enp1s0인터페이스에 로드됩니다. 프로그램이 로드되지 않은 경우xdpdump는 이전 버전과의 호환성을 위해tcpdump가 수행하는 것과 유사한 방식으로 패킷을 캡처합니다.
프로세스
enp1s0인터페이스에서 패킷을 캡처하고/root/capture.pcap파일에 쓰려면 다음을 입력합니다.xdpdump -i enp1s0 -w /root/capture.pcap
# xdpdump -i enp1s0 -w /root/capture.pcapCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 패킷 캡처를 중지하려면 Ctrl+C 누릅니다.
45장. RHEL 8의 eBPF 네트워킹 기능 이해
eBPF(extended Berkeley Packet Filter)는 커널 공간 내에서 코드를 실행할 수 있는 커널 내 가상 머신입니다. 이 코드는 제한된 함수 집합에만 액세스할 수 있는 제한된 샌드박스 환경에서 실행됩니다.
네트워킹에서는 eBPF를 사용하여 커널 패킷 처리를 보완하거나 교체할 수 있습니다. 사용하는 후크에 따라 eBPF 프로그램은 다음과 같습니다.
- 패킷 데이터 및 메타데이터에 대한 읽기 및 쓰기
- 소켓과 경로를 조회할 수 있습니다.
- 소켓 옵션을 설정할 수 있음
- 패킷을 리디렉션할 수 있음
45.1. RHEL 8의 네트워킹 eBPF 기능 개요
확장된 eBPF(BPF) 네트워킹 프로그램을 RHEL의 다음 후크에 연결할 수 있습니다.
- XDP( express Data Path): 커널 네트워킹 스택이 처리되기 전에 수신된 패킷에 조기 액세스할 수 있습니다.
-
직접 작업 플래그를 사용하는 TC eBPF 분류기:
수신 및 송신에서 강력한 패킷 처리를 제공합니다. - 제어 그룹 버전 2(cgroup v2): 제어 그룹의 프로그램에서 수행하는 소켓 기반 작업을 필터링하고 덮어쓸 수 있습니다.
- 소켓 필터링: 소켓에서 수신된 패킷을 필터링할 수 있습니다. 이 기능은 CBPF( classic Berkeley Packet Filter)에서도 사용할 수 있었지만 eBPF 프로그램을 지원하도록 확장되었습니다.
- 스트림 구문 분석기: 개별 메시지로 스트림을 분할하고 필터링하고 소켓으로 리디렉션할 수 있습니다.
-
SO_REUSEPORT소켓 선택:reuseport소켓 그룹에서 수신 소켓을 프로그래밍할 수 있는 선택을 제공합니다. - flow dissector: 커널이 특정 상황에서 패킷 헤더를 구문 분석하는 방법을 재정의할 수 있습니다.
- TCP 정체 제어 콜백: 사용자 지정 TCP 혼잡 제어 알고리즘을 구현할 수 있습니다.
- 캡슐화가 있는 경로: 사용자 지정 터널 캡슐화를 생성합니다.
Red Hat은 RHEL에서 사용할 수 있고 여기에 설명된 모든 eBPF 기능을 지원하지 않습니다. 자세한 내용 및 개별 후크의 지원 상태는 RHEL 8 릴리스 노트 및 다음 개요를 참조하십시오.
XDP
BPF_PROG_TYPE_XDP 유형의 프로그램을 네트워크 인터페이스에 연결할 수 있습니다. 그런 다음 커널 네트워크 스택이 커널 네트워크 스택의 처리를 시작하기 전에 수신된 패킷에서 프로그램을 실행합니다. 이를 통해 분산 서비스 거부(DDoS) 공격 및 로드 밸런싱 시나리오에 대한 빠른 패킷 리디렉션을 방지하기 위해 빠른 패킷 삭제와 같은 특정 상황에서 빠른 패킷 전달이 가능합니다.
또한 다양한 형태의 패킷 모니터링 및 샘플링에 XDP를 사용할 수도 있습니다. 커널을 사용하면 XDP 프로그램이 패킷을 수정하고 커널 네트워크 스택에 추가 처리를 위해 패킷을 전달할 수 있습니다.
다음 XDP 모드를 사용할 수 있습니다.
- 기본(driver) XDP: 커널은 패킷 수신 중에 가능한 한 빨리 프로그램을 실행합니다. 현재 커널은 패킷을 구문 분석하지 않았으므로 커널에서 제공하는 메타데이터를 사용할 수 없습니다. 이 모드에서는 네트워크 인터페이스 드라이버가 XDP를 지원하지만 일부 드라이버가 이 기본 모드를 지원하지는 않습니다.
- 일반 XDP: 커널 네트워크 스택은 처리 초기에 XDP 프로그램을 실행합니다. 이때 커널 데이터 구조가 할당되었으며 패킷이 미리 처리되었습니다. 패킷을 삭제하거나 리디렉션해야 하는 경우 기본 모드에 비해 상당한 오버헤드가 필요합니다. 그러나 일반 모드에서는 네트워크 인터페이스 드라이버를 지원할 필요가 없으며 모든 네트워크 인터페이스에서 작동합니다.
- 오프로드 XDP: 커널은 호스트 CPU 대신 네트워크 인터페이스에서 XDP 프로그램을 실행합니다. 여기에는 특정 하드웨어가 필요하며 이 모드에서는 특정 eBPF 기능만 사용할 수 있습니다.
RHEL에서 libxdp 라이브러리를 사용하여 모든 XDP 프로그램을 로드합니다. 이 라이브러리는 시스템에서 제어하는 XDP를 사용할 수 있습니다.
현재 XDP 프로그램에 대한 일부 시스템 구성 제한 사항이 있습니다. 예를 들어 수신 인터페이스에서 특정 하드웨어 오프로드 기능을 비활성화해야 합니다. 또한 기본 모드를 지원하는 모든 드라이버에서 모든 기능을 사용할 수 있는 것은 아닙니다.
RHEL 8.7에서 Red Hat은 다음 조건이 모두 적용되는 경우에만 XDP 기능을 지원합니다.
- AMD 또는 Intel 64비트 아키텍처에 XDP 프로그램을 로드합니다.
-
libxdp라이브러리를 사용하여 프로그램을 커널에 로드합니다. - XDP 프로그램은 XDP 하드웨어 오프로드를 사용하지 않습니다.
또한 Red Hat은 지원되지 않는 기술 프리뷰로 다음과 같은 XDP 기능을 사용합니다.
-
AMD 및 Intel 64비트 이외의 아키텍처에서 XDP 프로그램 로드. AMD 및 Intel 64비트 이외의 아키텍처에서는
libxdp라이브러리를 사용할 수 없습니다. - XDP 하드웨어 오프로드입니다.
AF_XDP
지정된 AF_XDP 소켓으로 패킷을 필터링하고 리디렉션하는 XDP 프로그램을 사용하면 AF_XDP 프로토콜 제품군에서 하나 이상의 소켓을 사용하여 커널의 패킷을 사용자 공간으로 빠르게 복사할 수 있습니다.
RHEL 8.7에서 Red Hat은 지원되지 않는 기술 프리뷰로 이 기능을 제공합니다.
트래픽 제어
Tc (트래픽 제어) 하위 시스템은 다음과 같은 유형의 eBPF 프로그램을 제공합니다.
-
BPF_PROG_TYPE_SCHED_CLS -
BPF_PROG_TYPE_SCHED_ACT
이러한 유형을 사용하면 eBPF에서 사용자 지정 tc 분류기 및 tc 작업을 작성할 수 있습니다. tc 에코시스템의 부분과 함께 강력한 패킷 처리 기능을 제공하며 여러 컨테이너 네트워킹 오케스트레이션 솔루션의 핵심 요소입니다.
대부분의 경우 직접 동작 플래그와 마찬가지로 분류자만 사용됩니다. eBPF 분류자는 동일한 eBPF 프로그램에서 직접 작업을 실행할 수 있습니다. clsact Queueing Discipline(qdisc)은 수신 측에서 이를 사용하도록 설계되었습니다.
flow dissector eBPF 프로그램을 사용하면 풍미와 같은 다른 qdiscs 및 tc 분류기의 작동에 영향을 미칠 수 있습니다.
tc 용 eBPF 기능은 RHEL 8.2 이상에서 완전하게 지원됩니다.
소켓 필터
여러 유틸리티에서 소켓에서 수신된 패킷을 필터링하기 위해 CBPF( classic Berkeley Packet Filter)를 사용하거나 사용했습니다. 예를 들어 tcpdump 유틸리티를 사용하면 tcpdump 가 cBPF 코드로 변환되는 표현식을 지정할 수 있습니다.
cBPF 대신 커널은 BPF_PROG_TYPE_SOCKET_FILTER 유형의 eBPF 프로그램을 동일한 목적으로 허용합니다.
RHEL 8.7에서 Red Hat은 지원되지 않는 기술 프리뷰로 이 기능을 제공합니다.
제어 그룹
RHEL에서는 cgroup에 연결할 수 있는 여러 유형의 eBPF 프로그램을 사용할 수 있습니다. 지정된 cgroup의 프로그램이 작업을 수행할 때 커널은 이러한 프로그램을 실행합니다. cgroups 버전 2만 사용할 수 있습니다.
RHEL에서는 다음과 같은 네트워킹 관련 cgroup eBPF 프로그램을 사용할 수 있습니다.
-
BPF_PROG_TYPE_SOCK_OPS: 커널은 다양한 TCP 이벤트에서 이 프로그램을 호출합니다. 프로그램은 사용자 지정 TCP 헤더 옵션을 포함하여 커널 TCP 스택의 동작을 조정할 수 있습니다. -
BPF_PROG_TYPE_CGROUP_SOCK_ADDR: 커널은연결하는동안 이 프로그램을 호출하고, ,sendto,recvmsg,getpeername,getsockname작업을 호출합니다.이 프로그램은 IP 주소와 포트를 변경할 수 있습니다. 이 기능은 eBPF에서 소켓 기반 NAT(네트워크 주소 변환)를 구현할 때 유용합니다. -
BPF_PROG_TYPE_CGROUP_SOCKOPT: 커널은setsockopt및getsockopt작업 중에 이 프로그램을 호출하고 옵션을 변경할 수 있습니다. -
BPF_PROG_TYPE_CGROUP_SOCK: 커널은 소켓 생성, 소켓 릴리스 및 주소에 바인딩하는 동안 이 프로그램을 호출합니다. 이러한 프로그램을 사용하여 작업을 허용 또는 거부하거나 통계에 대한 소켓 생성을 검사하기 위해서만 사용할 수 있습니다. -
BPF_PROG_TYPE_CGROUP_SKB: 이 프로그램은 수신 및 송신에서 개별 패킷을 필터링하고 패킷을 수락하거나 거부할 수 있습니다. -
BPF_CGROUP_INET4_GETPEERNAME,BPF_CGROUP_INET6_GETPEERNAME,BPF_CGROUP_INET4_GETSOCKNAME,BPF_CGROUP_INET6_GETSOCKNAME: 이러한 프로그램을 사용하면getsockname및getpeername시스템 호출의 결과를 재정의할 수 있습니다. 이 기능은 eBPF에서 소켓 기반 NAT(네트워크 주소 변환)를 구현할 때 유용합니다.
RHEL 8.7에서 Red Hat은 지원되지 않는 기술 프리뷰로 이 기능을 제공합니다.
스트림 구문 분석
스트림 구문 분석기는 특수 eBPF 맵에 추가된 소켓 그룹에서 작동합니다. 그런 다음 eBPF 프로그램은 커널이 해당 소켓에서 수신하거나 전송하는 패킷을 처리합니다.
다음 스트림 구문 분석기 eBPF 프로그램은 RHEL에서 사용할 수 있습니다.
-
BPF_PROG_TYPE_SK_SKB: eBPF 프로그램은 소켓에서 수신된 패킷을 개별 메시지로 구문 분석하고, 커널에 해당 메시지를 삭제하거나 그룹의 다른 소켓으로 전송하도록 지시합니다. -
BPF_PROG_TYPE_SK_MSG: 이 프로그램은 송신 메시지를 필터링합니다. eBPF 프로그램은 패킷을 개별 메시지로 구문 분석하고 이를 승인하거나 거부합니다.
RHEL 8.7에서 Red Hat은 지원되지 않는 기술 프리뷰로 이 기능을 제공합니다.
SO_REUSEPORT 소켓 선택
이 소켓 옵션을 사용하면 여러 소켓을 동일한 IP 주소 및 포트에 바인딩할 수 있습니다. eBPF가 없으면 커널은 연결 해시에 따라 수신 소켓을 선택합니다. BPF_PROG_TYPE_SK_REUSEPORT 프로그램을 사용하면 수신 소켓을 완전히 프로그래밍할 수 있습니다.
RHEL 8.7에서 Red Hat은 지원되지 않는 기술 프리뷰로 이 기능을 제공합니다.
흐름 dissector
커널이 전체 프로토콜 디코딩을 거치지 않고 패킷 헤더를 처리해야 하는 경우 해제됩니다. 예를 들어 tc 하위 시스템, 다중 경로 라우팅, 본딩 또는 패킷 해시 계산 시 발생합니다. 이 경우 커널은 패킷 헤더를 구문 분석하고 패킷 헤더의 정보로 내부 구조를 채웁니다. BPF_PROG_TYPE_FLOW_DISSECTOR 프로그램을 사용하여 이 내부 구문 분석을 교체할 수 있습니다. RHEL의 eBPF의 IPv4 및 IPv6을 통해 TCP 및 UDP만 해제할 수 있습니다.
RHEL 8.7에서 Red Hat은 지원되지 않는 기술 프리뷰로 이 기능을 제공합니다.
TCP 정체 제어
struct tcp_congestion_oops 콜백을 구현하는 BPF_PROG_TYPE_STRUCT_OPS 프로그램을 사용하여 사용자 지정 TCP 혼잡 제어 알고리즘을 작성할 수 있습니다. 이러한 방식으로 구현된 알고리즘은 기본 제공 커널 알고리즘과 함께 시스템에서 사용할 수 있습니다.
RHEL 8.7에서 Red Hat은 지원되지 않는 기술 프리뷰로 이 기능을 제공합니다.
캡슐화가 있는 경로
다음 eBPF 프로그램 유형 중 하나를 터널 캡슐화 속성으로 라우팅 테이블의 경로에 연결할 수 있습니다.
-
BPF_PROG_TYPE_LWT_IN -
BPF_PROG_TYPE_LWT_OUT -
BPF_PROG_TYPE_LWT_XMIT
이러한 eBPF 프로그램의 기능은 특정 터널 구성으로 제한되며 일반적인 캡슐화 또는 캡슐화 솔루션을 생성할 수 없습니다.
RHEL 8.7에서 Red Hat은 지원되지 않는 기술 프리뷰로 이 기능을 제공합니다.
소켓 조회
bind 시스템 호출의 제한 사항을 우회하려면 BPF_PROG_TYPE_SK_LOOKUP 유형의 eBPF 프로그램을 사용합니다. 이러한 프로그램은 새로 들어오는 TCP 연결 또는 UDP 패킷에 대해 연결되지 않은 소켓에 대해 수신 대기 소켓을 선택할 수 있습니다.
RHEL 8.7에서 Red Hat은 지원되지 않는 기술 프리뷰로 이 기능을 제공합니다.
45.2. RHEL 8의 네트워크 카드별 XDP 기능 개요
다음은 XDP 지원 네트워크 카드와 함께 사용할 수 있는 XDP 기능에 대한 개요입니다.
| 네트워크 카드 | 드라이버 | Basic | 리디렉션 | 대상 | HW 오프로드 | zero-copy |
|---|---|---|---|---|---|---|
| Amazon Elastic Network Adapter |
| 제공됨 | 제공됨 | 제공됨 [a] | 제공되지 않음 | 제공되지 않음 |
| Broadcom NetXtreme-C/E 10/25/40/50 기가비트 이더넷 |
| 제공됨 | 제공됨 | 제공됨 [a] | 제공되지 않음 | 제공되지 않음 |
| Cavium Thunder 가상 기능 |
| 제공됨 | 제공되지 않음 | 제공되지 않음 | 제공되지 않음 | 아니요 |
| Google 가상 NIC(gVNIC) 지원 |
| 제공됨 | 제공됨 | 제공됨 | 아니요 | 제공됨 |
| Intel® 10GbE PCI Express Virtual Function Ethernet |
| 제공됨 | 아니요 | 아니요 | 아니요 | 아니요 |
| Intel® 10GbE PCI Express 어댑터 |
| 제공됨 | 제공됨 | 제공됨 [a] | 아니요 | 제공됨 |
| Intel® 이더넷 연결 E800 시리즈 |
| 제공됨 | 제공됨 | 제공됨 [a] | 아니요 | 제공됨 |
| Intel® 이더넷 컨트롤러 I225-LM/I225-V 제품군 |
| 제공됨 | 제공됨 | 제공됨 | 아니요 | 제공됨 |
| Intel® 이더넷 Controller XL710 제품군 |
| 제공됨 | 제공됨 | 아니요 | 제공됨 | |
| Intel® PCI Express Gigabit 어댑터 |
| 제공됨 | 제공됨 | 제공됨 [a] | 아니요 | 아니요 |
| Mellanox 5세대 네트워크 어댑터(ConnectX 시리즈) |
| 제공됨 | 제공됨 | 제공됨 [b] | 아니요 | 제공됨 |
| Mellanox Technologies 1/10/40Gbit 이더넷 |
| 제공됨 | 제공됨 | 아니요 | 아니요 | 아니요 |
| Microsoft Azure 네트워크 어댑터 |
| 제공됨 | 제공됨 | 제공됨 | 아니요 | 아니요 |
| Microsoft Hyper-V 가상 네트워크 |
| 제공됨 | 제공됨 | 제공됨 | 아니요 | 아니요 |
| Netronome® NFP4000/NFP6000 NIC |
| 제공됨 | 아니요 | 아니요 | 제공됨 | 아니요 |
| QEMU Virtio 네트워크 |
| 제공됨 | 제공됨 | 제공됨 [a] | 아니요 | 아니요 |
| Qlogic QED 25/40/100Gb 이더넷 NIC |
| 제공됨 | 제공됨 | 제공됨 | 아니요 | 아니요 |
| Solarflare SFC9000/SFC9100/EF100-family |
| 제공됨 | 제공됨 | 제공됨 [b] | 아니요 | 아니요 |
| 범용 TUN/TAP 장치 |
| 제공됨 | 제공됨 | 제공됨 | 아니요 | 아니요 |
| 가상 이더넷 쌍 장치 |
| 제공됨 | 제공됨 | 제공됨 | 아니요 | 아니요 |
[a]
XDP 프로그램이 인터페이스에 로드된 경우에만 가능합니다.
[b]
가장 큰 CPU 인덱스보다 크거나 동일한 여러 XDP TX 대기열이 할당되어야 합니다.
| ||||||
범례:
-
기본: 기본 반환 코드 지원:
DROP,ECDHE,ABORTED및TX. -
리디렉션:
REDIRECT반환 코드를 지원합니다. -
대상:
REDIRECT반환 코드의 대상이 될 수 있습니다. - HW 오프로드: XDP 하드웨어 오프로드 지원.
-
0 복사:
AF_XDP프로토콜 제품군에 대해 제로 복사 모드를 지원합니다.
46장. BPF 컴파일러 컬렉션을 사용한 네트워크 추적
BCC(BPF Compiler Collection)는 eBPF(extended Berkeley Packet Filter) 프로그램을 쉽게 생성할 수 있는 라이브러리입니다. eBPF 프로그램의 주요 유틸리티는 오버헤드 또는 보안 문제가 발생하지 않고 운영 체제 성능 및 네트워크 성능을 분석하는 것입니다.
BCC는 사용자가 eBPF의 심층적인 기술 세부 사항을 알고 있어야 하는 필요성을 없애고, 미리 생성된 eBPF 프로그램을 사용하는 bcc-tools 패키지와 같이 많은 즉시 사용 가능한 시작점을 제공합니다.
eBPF 프로그램은 디스크 I/O, TCP 연결 및 프로세스 생성과 같은 이벤트에서 트리거됩니다. 커널의 안전한 가상 시스템에서 실행되므로 커널이 충돌하거나 반복하거나 응답하지 않게 되는 프로그램이 발생할 가능성이 낮습니다.
46.1. bcc-tools 패키지 설치
bcc-tools 패키지를 설치합니다. 이 패키지는 BPF Compiler Collection(BCC) 라이브러리를 종속성으로 설치합니다.
절차
bcc-tools를 설치합니다.yum install bcc-tools
# yum install bcc-toolsCopy to Clipboard Copied! Toggle word wrap Toggle overflow BCC 툴은
/usr/share/bcc/tools/디렉토리에 설치됩니다.
검증
설치된 툴을 검사합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 목록의
doc디렉터리에는 각 툴에 대한 문서가 있습니다.
46.2. 커널의 허용 대기열에 추가된 TCP 연결 표시
커널이 TCP 3방향 핸드셰이크에서 ACK 패킷을 수신한 후 커널은 연결 상태가 IRQ BLISHED 로 변경된 후 SYN 대기열에서 수락 대기열로 이동합니다. 따라서 이 큐에는 성공적인 TCP 연결만 표시됩니다.
tcpaccept 유틸리티는 eBPF 기능을 사용하여 커널이 수락 대기열에 추가하는 모든 연결을 표시합니다. 유틸리티는 패킷을 캡처하고 필터링하는 대신 커널의 accept() 함수를 추적하므로 경량입니다. 예를 들어 일반적인 문제 해결에는 tcpaccept 를 사용하여 서버가 수락한 새 연결을 표시합니다.
절차
다음 명령을 입력하여 커널
허용대기열 추적을 시작합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 커널이 연결을 수락할 때마다
tcpaccept는 연결 세부 정보를 표시합니다.- Ctrl +C 를눌러 추적 프로세스를 중지합니다.
46.3. 나가는 TCP 연결 시도 추적
tcpconnect 유틸리티는 eBPF 기능을 사용하여 발신 TCP 연결 시도를 추적합니다. 유틸리티 출력에는 실패한 연결도 포함되어 있습니다.
tcpconnect 유틸리티는 예를 들어 패킷을 캡처하고 필터링하는 대신 커널의 connect() 함수를 추적하므로 가벼워집니다.
절차
다음 명령을 입력하여 나가는 모든 연결을 표시하는 추적 프로세스를 시작합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 커널이 발신 연결을 처리할 때마다
tcpconnect에 연결 세부 정보가 표시됩니다.- Ctrl +C 를눌러 추적 프로세스를 중지합니다.
46.4. 나가는 TCP 연결의 대기 시간 측정
TCP 연결 대기 시간은 연결을 설정하는 데 걸리는 시간입니다. 여기에는 일반적으로 애플리케이션 런타임이 아닌 커널 TCP/IP 처리와 네트워크 왕복 시간이 포함됩니다.
tcpconnlat 유틸리티는 eBPF 기능을 사용하여 전송된 SYN 패킷과 수신된 응답 패킷 간의 시간을 측정합니다.
절차
나가는 연결의 대기 시간 측정을 시작합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 커널이 발신 연결을 처리할 때마다
tcpconnlat는 커널이 응답 패킷을 수신한 후 연결 세부 정보를 표시합니다.- Ctrl +C 를눌러 추적 프로세스를 중지합니다.
46.5. 커널에서 삭제한 TCP 패킷 및 세그먼트에 대한 세부 정보 표시
tcpdrop 유틸리티를 사용하면 관리자가 커널에 의해 삭제된 TCP 패킷 및 세그먼트에 대한 세부 정보를 표시할 수 있습니다. 이 유틸리티를 사용하여 원격 시스템이 타이머 기반 재전송을 보낼 수 있는 삭제된 패킷의 속도를 디버깅합니다. 삭제된 패킷 및 세그먼트의 비율이 서버의 성능에 영향을 줄 수 있습니다.
리소스가 많이 사용되는 패킷을 캡처하고 필터링하는 대신 tcpdrop 유틸리티는 eBPF 기능을 사용하여 커널에서 직접 정보를 검색합니다.
절차
삭제된 TCP 패킷 및 세그먼트에 대한 세부 정보를 표시하려면 다음 명령을 입력합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 커널이 TCP 패킷 및 세그먼트를 삭제할 때마다
tcpdrop에 삭제된 패키지로 이어지는 커널 스택 추적을 포함하여 연결 세부 정보가 표시됩니다.- Ctrl +C 를눌러 추적 프로세스를 중지합니다.
46.6. TCP 세션 추적
tcplife 유틸리티는 eBPF를 사용하여 열고 닫는 TCP 세션을 추적하고 출력 행을 출력하여 각 세션을 요약합니다. 관리자는 tcplife 를 사용하여 전송된 트래픽 양을 식별할 수 있습니다.
예를 들어 포트 22 (SSH)에 대한 연결을 표시하여 다음 정보를 검색할 수 있습니다.
- 로컬 프로세스 ID(PID)
- 로컬 프로세스 이름
- 로컬 IP 주소 및 포트 번호
- 원격 IP 주소 및 포트 번호
- 수신 및 전송된 트래픽의 양(KB)입니다.
- 연결이 활성화된 시간(밀리초)
절차
다음 명령을 입력하여 로컬 포트
22에 대한 연결 추적을 시작합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결이 닫힐 때마다
tcplife에는 연결 세부 정보가 표시됩니다.- Ctrl +C 를눌러 추적 프로세스를 중지합니다.
46.7. TCP 재전송 추적
tcpretrans 유틸리티는 로컬 및 원격 IP 주소 및 포트 번호와 같은 TCP 재전송에 대한 세부 정보와 재전송 시 TCP 상태를 표시합니다.
유틸리티는 eBPF 기능을 사용하므로 오버헤드가 매우 낮습니다.
절차
다음 명령을 사용하여 TCP 재전송 세부 정보 표시를 시작합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 커널이 TCP 재전송 기능을 호출할 때마다
tcpretrans는 연결 세부 정보를 표시합니다.- Ctrl +C 를눌러 추적 프로세스를 중지합니다.
46.8. TCP 상태 변경 정보 표시
TCP 세션 중에 TCP 상태가 변경됩니다. tcpstates 유틸리티는 eBPF 함수를 사용하여 이러한 상태 변경 사항을 추적하고 각 상태의 기간을 포함한 세부 정보를 출력합니다. 예를 들어 tcpstates 를 사용하여 연결이 초기화 상태에서 너무 많은 시간을 소비하는지 확인합니다.
절차
다음 명령을 사용하여 TCP 상태 변경 추적을 시작합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결이 해당 상태를 변경할 때마다
tcpstates는 업데이트된 연결 세부 정보가 포함된 새 행을 표시합니다.여러 연결이 동시에 상태를 변경하는 경우 첫 번째 열의 소켓 주소를 사용하여 동일한 연결에 속하는 항목을 확인합니다.
- Ctrl +C 를눌러 추적 프로세스를 중지합니다.
46.9. 특정 서브넷에 전송된 TCP 트래픽 요약 및 집계
tcpsubnet 유틸리티는 로컬 호스트에서 서브넷으로 보내는 IPv4 TCP 트래픽을 요약하고 집계하고 고정된 간격으로 출력을 표시합니다. 유틸리티는 eBPF 기능을 사용하여 오버헤드를 줄이기 위해 데이터를 수집 및 요약합니다.
기본적으로 tcpsubnet 은 다음 서브넷의 트래픽을 요약합니다.
-
127.0.0.1/32 -
10.0.0.0/8 -
172.16.0.0/12 -
192.0.2.0/24/16 -
0.0.0.0/0
마지막 서브넷(0.0.0.0/0)은 catch-all 옵션입니다. tcpsubnet 유틸리티는 이 catch-all 항목의 처음 4개와 다른 서브넷에 대한 모든 트래픽을 계산합니다.
절차에 따라 192.0.2.0/24 및 198.51.100.0/24 서브넷의 트래픽을 계산합니다. 다른 서브넷에 대한 트래픽은 0.0.0.0/0 catch-all 서브넷 항목에서 추적됩니다.
절차
192.0.2.0/24,198.51.100.0/24및 기타 서브넷으로 전송되는 트래픽 양을 모니터링합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 지정된 서브넷의 초당 한 번씩 트래픽을 바이트로 표시합니다.
- Ctrl +C 를눌러 추적 프로세스를 중지합니다.
46.10. IP 주소 및 포트를 통한 네트워크 처리량 표시
tcptop 유틸리티는 호스트가 전송 및 수신하는 TCP 트래픽을 킬로바이트로 표시합니다. 보고서는 활성화된 TCP 연결만 자동으로 새로 고치며 포함합니다. 유틸리티는 eBPF 기능을 사용하므로 오버헤드가 매우 낮습니다.
절차
전송 및 수신 트래픽을 모니터링하려면 다음을 입력합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령의 출력에는 활성 TCP 연결만 포함됩니다. 로컬 또는 원격 시스템이 연결을 종료하면 더 이상 연결이 출력에 표시되지 않습니다.
- Ctrl +C 를눌러 추적 프로세스를 중지합니다.
46.11. 설정된 TCP 연결 추적
tcptracer 유틸리티는 TCP 연결을 연결, 수락 및 종료하는 커널 함수를 추적합니다. 유틸리티는 eBPF 기능을 사용하므로 오버헤드가 매우 낮습니다.
절차
다음 명령을 사용하여 추적 프로세스를 시작합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 커널이 연결을 연결, 수락 또는 종료할 때마다
tcptracer에 연결 세부 정보가 표시됩니다.- Ctrl +C 를눌러 추적 프로세스를 중지합니다.
46.12. IPv4 및 IPv6 추적 시도를 수신 대기
solisten 유틸리티는 모든 IPv4 및 IPv6 수신 시도를 추적합니다. 궁극적으로 실패하는 시도 또는 연결을 수락하지 않는 청취 프로그램을 포함한 시도를 추적합니다. 유틸리티는 프로그램이 TCP 연결을 수신 대기하려고 할 때 커널을 호출하는 기능을 추적합니다.
프로세스
다음 명령을 입력하여 수신 대기 TCP 시도를 모두 표시하는 추적 프로세스를 시작합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Ctrl+C 를 눌러 추적 프로세스를 중지합니다.
46.13. 소프트 인터럽트의 서비스 시간 요약
softirqs 유틸리티는 소프트 인터럽트 (soft IRQ) 서비스 시간을 요약하고 이 시간을 총 또는 히스토그램 배포로 표시합니다. 이 유틸리티는 안정적인 추적 메커니즘인 irq:softirq_enter 및 irq:softirq_exit 커널 추적 지점을 사용합니다.
프로세스
다음 명령을 입력하여 추적
소프트 irq이벤트 시간을 시작합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Ctrl+C 를 눌러 추적 프로세스를 중지합니다.
46.14. 패킷 크기 요약 및 네트워크 인터페이스 계산
netqtop 유틸리티는 수신(RX) 및 특정 네트워크 인터페이스의 각 네트워크 대기열에서 전송(TX) 패킷에 대한 통계를 표시합니다. 통계는 다음과 같습니다.
- 초당 바이트 수(BPS)
- 초당 패킷(PPS)
- 평균 패킷 크기
- 총 패킷 수
이러한 통계를 생성하기 위해 netqtop 는 전송된 패킷 net_dev_start_xmit 및 수신 패킷 netif_receive_skb 의 이벤트를 수행하는 커널 함수를 추적합니다.
프로세스
2초의 시간 간격의 바이트 크기 범위 내에 패킷 수를 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
Ctrl+C 눌러
netqtop를 중지합니다.
47장. 모든 MAC 주소의 트래픽을 수락하도록 네트워크 장치 구성
네트워크 장치는 일반적으로 컨트롤러가 수신할 수 있는 패킷을 가로채고 읽습니다. 가상 스위치 또는 포트 그룹 수준에서 모든 MAC 주소의 트래픽을 수락하도록 네트워크 장치를 구성할 수 있습니다.
이 네트워크 모드를 사용하여 다음을 수행할 수 있습니다.
- 네트워크 연결 문제 진단
- 보안상의 이유로 네트워크 활동 모니터링
- 네트워크에서 개인 데이터-전송 또는 침입 차단
InfiniBand 를 제외한 모든 종류의 네트워크 장치에 이 모드를 활성화할 수 있습니다.
47.1. 모든 트래픽을 수락하도록 일시적으로 장치 구성
ip 유틸리티를 사용하여 MAC 주소와 관계없이 모든 트래픽을 수락하도록 네트워크 장치를 일시적으로 구성할 수 있습니다.
프로세스
선택 사항: 모든 트래픽을 수신하려는 네트워크를 식별할 네트워크 인터페이스를 표시합니다.
ip address show 1: enp1s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000 link/ether 98:fa:9b:a4:34:09 brd ff:ff:ff:ff:ff:ff ...# ip address show 1: enp1s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000 link/ether 98:fa:9b:a4:34:09 brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 속성을 활성화하거나 비활성화하도록 장치를 수정합니다.
enp1s0에 대해accept-all-mac-addresses모드를 활성화하려면 다음을 수행합니다.ip link set enp1s0 promisc on
# ip link set enp1s0 promisc onCopy to Clipboard Copied! Toggle word wrap Toggle overflow enp1s0의accept-all-mac-addresses모드를 비활성화하려면 다음을 수행합니다.ip link set enp1s0 promisc off
# ip link set enp1s0 promisc offCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
accept-all-mac-addresses모드가 활성화되었는지 확인합니다.ip link show enp1s0 1: enp1s0: <NO-CARRIER,BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc fq_codel state DOWN mode DEFAULT group default qlen 1000 link/ether 98:fa:9b:a4:34:09 brd ff:ff:ff:ff:ff:ff# ip link show enp1s0 1: enp1s0: <NO-CARRIER,BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc fq_codel state DOWN mode DEFAULT group default qlen 1000 link/ether 98:fa:9b:a4:34:09 brd ff:ff:ff:ff:ff:ffCopy to Clipboard Copied! Toggle word wrap Toggle overflow 장치 설명의
PROMISC플래그는 모드가 활성화되어 있음을 나타냅니다.
47.2. nmcli를 사용하여 모든 트래픽을 수락하도록 네트워크 장치를 영구적으로 구성
nmcli 유틸리티를 사용하여 MAC 주소와 관계없이 모든 트래픽을 수락하도록 네트워크 장치를 영구적으로 구성할 수 있습니다.
프로세스
선택 사항: 모든 트래픽을 수신하려는 네트워크를 식별할 네트워크 인터페이스를 표시합니다.
ip address show 1: enp1s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000 link/ether 98:fa:9b:a4:34:09 brd ff:ff:ff:ff:ff:ff ...# ip address show 1: enp1s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000 link/ether 98:fa:9b:a4:34:09 brd ff:ff:ff:ff:ff:ff ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 새 연결이 없는 경우 새 연결을 만들 수 있습니다.
이 속성을 활성화하거나 비활성화하도록 네트워크 장치를 수정합니다.
enp1s0에 대해ethernet.accept-all-mac-addresses모드를 활성화하려면 다음을 수행합니다.nmcli connection modify enp1s0 ethernet.accept-all-mac-addresses yes
# nmcli connection modify enp1s0 ethernet.accept-all-mac-addresses yesCopy to Clipboard Copied! Toggle word wrap Toggle overflow enp1s0의accept-all-mac-addresses모드를 비활성화하려면 다음을 수행합니다.nmcli connection modify enp1s0 ethernet.accept-all-mac-addresses no
# nmcli connection modify enp1s0 ethernet.accept-all-mac-addresses noCopy to Clipboard Copied! Toggle word wrap Toggle overflow
변경 사항을 적용하고 연결을 다시 활성화합니다.
nmcli connection up enp1s0
# nmcli connection up enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
ethernet.accept-all-mac-addresses모드가 활성화되어 있는지 확인합니다.nmcli connection show enp1s0 ... 802-3-ethernet.accept-all-mac-addresses:1 (true)
# nmcli connection show enp1s0 ... 802-3-ethernet.accept-all-mac-addresses:1 (true)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 802-3-ethernet.accept-all-mac-addresses: true는 모드가 활성화되었음을 나타냅니다.
47.3. nmstatectl을 사용하여 모든 트래픽을 수락하도록 네트워크 장치를 영구적으로 구성
nmstatectl 유틸리티를 사용하여 Nmstate API를 통해 MAC 주소와 관계없이 모든 트래픽을 수락하도록 장치를 구성합니다. Nmstate API는 구성을 설정한 후 결과가 구성 파일과 일치하는지 확인합니다. 문제가 발생하면 nmstatectl 이 변경 사항을 자동으로 롤백하여 시스템을 잘못된 상태로 두지 않습니다.
사전 요구 사항
-
nmstate패키지가 설치되어 있습니다. -
장치를 구성하는 데 사용한
enp1s0.yml파일을 사용할 수 있습니다.
프로세스
enp1s0연결에 대한 기존enp1s0.yml파일을 편집하고 다음 내용을 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 설정은 모든 트래픽을 수락하도록
enp1s0장치를 구성합니다.네트워크 설정을 적용합니다.
nmstatectl apply ~/enp1s0.yml
# nmstatectl apply ~/enp1s0.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
802-3-ethernet.accept-all-mac-addresses모드가 활성화되었는지 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 802-3-ethernet.accept-all-mac-addresses: true는 모드가 활성화되었음을 나타냅니다.
48장. nmcli를 사용하여 네트워크 인터페이스 미러링
네트워크 관리자는 포트 미러링을 사용하여 한 네트워크 장치에서 다른 네트워크 장치로 전달되는 인바운드 및 아웃바운드 네트워크 트래픽을 복제할 수 있습니다. 인터페이스의 트래픽 미러링은 다음과 같은 상황에서 유용할 수 있습니다.
- 네트워킹 문제를 디버그하고 네트워크 흐름을 조정하려면 다음을 수행합니다.
- 네트워크 트래픽 검사 및 분석
- 침입 감지
사전 요구 사항
- 네트워크 트래픽을 미러링할 네트워크 인터페이스입니다.
프로세스
네트워크 트래픽을 미러링할 네트워크 연결 프로필을 추가합니다.
nmcli connection add type ethernet ifname enp1s0 con-name enp1s0 autoconnect no
# nmcli connection add type ethernet ifname enp1s0 con-name enp1s0 autoconnect noCopy to Clipboard Copied! Toggle word wrap Toggle overflow 10:handle를 사용하여 송신(outgoing) 트래픽에 대해prio유형의qdisc를enp1s0에 연결합니다.nmcli connection modify enp1s0 +tc.qdisc "root prio handle 10:"
# nmcli connection modify enp1s0 +tc.qdisc "root prio handle 10:"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 하위 항목 없이 연결된
qdisc를prio로 설정하면 필터를 연결할 수 있습니다.ffff:handle를 사용하여 수신 트래픽에qdisc를 추가합니다.nmcli connection modify enp1s0 +tc.qdisc "ingress handle ffff:"
# nmcli connection modify enp1s0 +tc.qdisc "ingress handle ffff:"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 수신 및 송신
qdiscs의 패킷과 일치하도록 다음 필터를 추가하고enp7s0에 미러링합니다.nmcli connection modify enp1s0 +tc.tfilter "parent ffff: matchall action mirred egress mirror dev enp7s0" nmcli connection modify enp1s0 +tc.tfilter "parent 10: matchall action mirred egress mirror dev enp7s0"
# nmcli connection modify enp1s0 +tc.tfilter "parent ffff: matchall action mirred egress mirror dev enp7s0" # nmcli connection modify enp1s0 +tc.tfilter "parent 10: matchall action mirred egress mirror dev enp7s0"Copy to Clipboard Copied! Toggle word wrap Toggle overflow matchall필터는 모든 패킷과 일치하며mirred작업은 패킷을 대상으로 리디렉션합니다.연결을 활성화합니다.
nmcli connection up enp1s0
# nmcli connection up enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
tcpdump유틸리티를 설치합니다.yum install tcpdump
# yum install tcpdumpCopy to Clipboard Copied! Toggle word wrap Toggle overflow 대상 장치에 미러링된 트래픽을 표시합니다(
enp7s0):tcpdump -i enp7s0
# tcpdump -i enp7s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
49장. nmstate-autoconf를 사용하여 LLDP를 사용하여 네트워크 상태를 자동으로 구성
네트워크 장치는 LLDP(Link Layer Discovery Protocol)를 사용하여 LAN에서 자신의 신원, 기능 및 포위를 알릴 수 있습니다. nmstate-autoconf 유틸리티는 이 정보를 사용하여 로컬 네트워크 인터페이스를 자동으로 구성할 수 있습니다.
nmstate-autoconf 유틸리티는 기술 프리뷰로만 제공됩니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있으며 Red Hat은 해당 기능을 프로덕션에 사용하지 않는 것이 좋습니다. 이러한 프리뷰를 통해 향후 제품 기능에 조기 액세스할 수 있어 개발 프로세스 중에 기능을 테스트하고 피드백을 제공할 수 있습니다.
기술 프리뷰 기능에 대한 지원 범위에 대한 정보는 Red Hat 고객 포털에서 기술 프리뷰 기능 지원 범위를 참조하십시오.
49.1. nmstate-autoconf를 사용하여 네트워크 인터페이스 자동 구성
nmstate-autoconf 유틸리티는 LLDP를 사용하여 스위치에 연결된 인터페이스의 VLAN 설정을 확인하여 로컬 장치를 구성합니다.
이 절차에서는 다음 시나리오를 가정하고 스위치가 LLDP를 사용하여 VLAN 설정을 브로드캐스트한다고 가정합니다.
-
RHEL 서버의
enp1s0및enp2s0인터페이스는 VLAN ID100및 VLAN 이름prod-net으로 구성된 포트 전환에 연결되어 있습니다. -
RHEL 서버의
enp3s0인터페이스는 VLAN ID200및 VLAN 이름mgmt-net으로 구성된 스위치 포트에 연결되어 있습니다.
nmstate-autoconf 유틸리티는 이 정보를 사용하여 서버에 다음 인터페이스를 생성합니다.
-
bond100-enp1s0및enp2s0이 있는 본딩 인터페이스입니다. -
prod-net- VLAN ID100이 있는bond100상단에 있는 VLAN 인터페이스입니다. -
Mgmt-net- VLAN ID200이 있는enp3s0상단에 있는 VLAN 인터페이스
LLDP가 동일한 VLAN ID를 브로드캐스트하는 다른 스위치 포트에 여러 네트워크 인터페이스를 연결하면 nmstate-autoconf 는 이러한 인터페이스와 본딩을 생성하고 그 위에 공통 VLAN ID를 구성합니다.
사전 요구 사항
-
nmstate패키지가 설치되어 있습니다. - 네트워크 스위치에서 LLDP가 활성화됩니다.
- 이더넷 인터페이스가 작동 중입니다.
프로세스
이더넷 인터페이스에서 LLDP를 활성화합니다.
다음 콘텐츠를 사용하여 YAML 파일(예:
~/enable-lldp.yml)을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 시스템에 설정을 적용합니다.
nmstatectl apply ~/enable-lldp.yml
# nmstatectl apply ~/enable-lldp.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
LLDP를 사용하여 네트워크 인터페이스를 구성합니다.
선택 사항, 시험 실행을 시작하여
nmstate-autoconf가 생성하는 YAML 구성을 표시하고 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow nmstate-autoconf를 사용하여 LLDP에서 수신한 정보를 기반으로 구성을 생성하고 시스템에 설정을 적용합니다.nmstate-autoconf enp1s0,enp2s0,enp3s0
# nmstate-autoconf enp1s0,enp2s0,enp3s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
다음 단계
네트워크에 인터페이스에 IP 설정을 제공하는 DHCP 서버가 없는 경우 수동을 구성합니다. 자세한 내용은 다음을 참조하십시오.
검증
개별 인터페이스의 설정을 표시합니다.
nmstatectl show <interface_name>
# nmstatectl show <interface_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
50장. 802.3 링크 설정 구성
자동 협상은 IEEE 802.3u Fast Ethernet 프로토콜의 기능입니다. 장치 포트를 대상으로 하여 링크를 통해 정보 교환을 위한 속도, 중복 모드 및 흐름 제어의 최적의 성능을 제공합니다. 자동 협상 프로토콜을 사용하면 이더넷을 통해 데이터 전송의 최적 성능을 얻을 수 있습니다.
자동 협상의 최대 성능을 활용하려면 링크의 양쪽에서 동일한 구성을 사용합니다.
50.1. nmcli 유틸리티를 사용하여 802.3 링크 설정 구성
이더넷 연결의 802.3 링크 설정을 구성하려면 다음 구성 매개변수를 수정합니다.
-
802-3-ethernet.auto-negotiate -
802-3-ethernet.speed -
802-3-ethernet.duplex
프로세스
연결의 현재 설정을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 문제가 발생할 경우 매개변수를 재설정해야 하는 경우 이러한 값을 사용할 수 있습니다.
speed 및 duplex 링크 설정을 설정합니다.
nmcli connection modify Example-connection 802-3-ethernet.auto-negotiate yes 802-3-ethernet.speed 10000 802-3-ethernet.duplex full
# nmcli connection modify Example-connection 802-3-ethernet.auto-negotiate yes 802-3-ethernet.speed 10000 802-3-ethernet.duplex fullCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령을 사용하면 자동 협상을 활성화하고 연결 속도를
10000Mbit full duplex로 설정합니다.연결을 다시 활성화합니다.
nmcli connection up Example-connection
# nmcli connection up Example-connectionCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
ethtool유틸리티를 사용하여 이더넷 인터페이스enp1s0의 값을 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
51장. DPDK 시작하기
DPDK(데이터 플레인 개발 키트)는 라이브러리 및 네트워크 드라이버를 제공하여 사용자 공간에서 패킷 처리를 가속화합니다.
관리자는 가상 머신에서 DPDK를 사용하여 SR-IOV(Single Root I/O Virtualization)를 사용하여 대기 시간을 줄이고 I/O 처리량을 늘립니다.
Red Hat은 실험적인 DPDK API를 지원하지 않습니다.
51.1. dpdk 패키지 설치
DPDK를 사용하려면 dpdk 패키지를 설치합니다.
프로세스
yum유틸리티를 사용하여dpdk패키지를 설치합니다.yum install dpdk
# yum install dpdkCopy to Clipboard Copied! Toggle word wrap Toggle overflow
52장. TIPC 시작하기
클러스터 도메인 소켓 이라고도 하는 TIPC(Transparent Inter-process communication)는 클러스터 전체 작업을 위한 IPC(Inter-process communication) 서비스입니다.
고가용성 및 동적 클러스터 환경에서 실행되는 애플리케이션에는 특별한 요구 사항이 있습니다. 클러스터의 노드 수는 다를 수 있으며 라우터가 실패할 수 있으며 로드 밸런싱 고려 사항으로 인해 기능이 클러스터의 다른 노드로 이동할 수 있습니다. TIPC는 애플리케이션 개발자가 이러한 상황을 처리하기 위한 노력을 최소화하고, 정확하고 최적화된 방식으로 처리할 기회를 극대화합니다. 또한 TIPC는 TCP와 같은 일반 프로토콜보다 더 효율적이고 내결함성 통신을 제공합니다.
52.1. TIPC의 아키텍처
TIPC는 TIPC와 패킷 전송 서비스(베어러)를 사용하는 애플리케이션 간의 계층이며 전송, 네트워크 및 신호 링크 계층의 수준에 걸쳐 있습니다. 그러나 TIPC는 다른 전송 프로토콜을 베어러로 사용할 수 있으므로 예를 들어 TCP 연결이 TIPC 신호 링크의 전달자 역할을 할 수 있습니다.
TIPC는 다음과 같은 베어러를 지원합니다.
- 이더넷
- InfiniBand
- UDP 프로토콜
TIPC는 모든 TIPC 통신의 끝점인 TIPC 포트 간의 안정적인 메시지 전송을 제공합니다.
다음은 TIPC 아키텍처 다이어그램입니다.
52.2. 시스템이 부팅될 때 팁 모듈 로드
TIPC 프로토콜을 사용하려면 먼저 tips 커널 모듈을 로드해야 합니다. 시스템이 부팅될 때 이 커널 모듈을 자동으로 로드하도록 Red Hat Enterprise Linux를 구성할 수 있습니다.
프로세스
다음 콘텐츠를 사용하여
/etc/modules-load.d/tipc.conf파일을 만듭니다.tipc
tipcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 시스템을 재부팅하지 않고
systemd-modules-load서비스를 다시 시작하여 모듈을 로드합니다.systemctl start systemd-modules-load
# systemctl start systemd-modules-loadCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 사용하여 RHEL이 tips 모듈을 로드
했는지확인합니다.lsmod | grep tipc tipc 311296 0
# lsmod | grep tipc tipc 311296 0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령이 guide
c 모듈에 대한 항목을 표시하지않으면 RHEL에서 로드하지 못했습니다.
52.3. TIPC 네트워크 생성
TIPC 네트워크를 생성하려면 TIPC 네트워크에 가입해야 하는 각 호스트에서 다음 절차를 수행합니다.
명령은 TIPC 네트워크만 일시적으로 구성합니다. 노드에서 TIPC를 영구적으로 구성하려면 스크립트에서 이 절차의 명령을 사용하고 시스템이 부팅될 때 해당 스크립트를 실행하도록 RHEL을 구성합니다.
사전 요구 사항
-
tips모듈이 로드되었습니다. 자세한 내용은 시스템이 부팅될 때 팁 모듈 로드를참조하십시오.
프로세스
선택 사항: UUID 또는 노드의 호스트 이름과 같은 고유한 노드 ID를 설정합니다.
tipc node set identity host_name
# tipc node set identity host_nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow ID는 최대 16개의 문자와 숫자로 구성된 임의의 고유한 문자열일 수 있습니다.
이 단계 후에는 ID를 설정하거나 변경할 수 없습니다.
베어러를 추가하십시오. 예를 들어 이더넷을 미디어로 사용하고
enp0s1장치를 물리적 전달 장치로 사용하려면 다음을 입력합니다.tipc bearer enable media eth device enp1s0
# tipc bearer enable media eth device enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 선택 사항: 중복성과 성능 향상을 위해 이전 단계의 명령을 사용하여 추가 전달자를 연결합니다. 동일한 미디어에서 최대 3개의 베어러를 구성할 수 있지만 두 개 이상 구성할 수 없습니다.
- TIPC 네트워크에 참여해야 하는 각 노드에서 이전 단계를 반복합니다.
검증
클러스터 구성원의 링크 상태를 표시합니다.
tipc link list broadcast-link: up 5254006b74be:enp1s0-525400df55d1:enp1s0: up
# tipc link list broadcast-link: up 5254006b74be:enp1s0-525400df55d1:enp1s0: upCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 출력은 노드
5254006b74be의 전달자enp1s0과 노드525400df55d1의 전달자enp1s0간의 링크가up임을 나타냅니다.TIPC 게시 테이블을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
서비스 유형
0이 있는 두 항목은 두 노드가 이 클러스터의 멤버임을 나타냅니다. -
서비스 유형
1이 있는 항목은 기본 제공 토폴로지 서비스 추적 서비스를 나타냅니다. -
서비스 유형
2가 있는 항목은 발급 노드에 표시된 대로 링크를 표시합니다. 범위 제한3741353223은 10진수 형식으로 피어 끝점의 주소(노드 ID를 기반으로 하는 고유한 32비트 해시 값)를 나타냅니다.
-
서비스 유형
53장. nm-cloud-setup을 사용하여 퍼블릭 클라우드에서 네트워크 인터페이스 자동 구성
일반적으로 VM(가상 머신)에는 DHCP를 통해 구성할 수 있는 인터페이스가 하나만 있습니다. 그러나 DHCP는 인터페이스, IP 서브넷 및 IP 주소와 같은 여러 네트워크 엔터티를 사용하여 VM을 구성할 수 없습니다. 또한 VM 인스턴스가 실행 중인 경우 설정을 적용할 수 없습니다. 이 런타임 구성 문제를 해결하기 위해 nm-cloud-setup 유틸리티는 클라우드 서비스 공급자의 메타데이터 서버에서 구성 정보를 자동으로 검색하고 호스트의 네트워크 구성을 업데이트합니다. 유틸리티는 하나의 인터페이스에서 여러 네트워크 인터페이스, 여러 IP 주소 또는 IP 서브넷을 자동으로 선택하고 실행 중인 VM 인스턴스의 네트워크를 재구성하는 데 도움이 됩니다.
53.1. nm-cloud-setup 구성 및 사전 배포
퍼블릭 클라우드에서 네트워크 인터페이스를 활성화하고 구성하려면 nm-cloud-setup 을 타이머 및 서비스로 실행합니다.
Red Hat Enterprise Linux On Demand 및 AWS golden 이미지에서 nm-cloud-setup 은 이미 활성화되어 있으며 작업이 필요하지 않습니다.
사전 요구 사항
- 네트워크 연결이 있습니다.
연결에서는 DHCP를 사용합니다.
기본적으로 NetworkManager는 DHCP를 사용하는 연결 프로필을 생성합니다.
/etc/NetworkManager/NetworkManager.conf에서no-auto-default매개변수를 설정하기 때문에 생성된 프로필이 없는 경우 이 초기 연결을 수동으로 만듭니다.
프로세스
nm-cloud-setup패키지를 설치합니다.yum install NetworkManager-cloud-setup
# yum install NetworkManager-cloud-setupCopy to Clipboard Copied! Toggle word wrap Toggle overflow nm-cloud-setup서비스에 대해 snap-in 파일을 생성하고 실행합니다.다음 명령을 사용하여 snap-in 파일 편집을 시작합니다.
systemctl edit nm-cloud-setup.service
# systemctl edit nm-cloud-setup.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 서비스를 명시적으로 시작하거나 시스템을 재부팅하여 구성 설정을 적용하는 것이 중요합니다.
systemdsnap-in 파일을 사용하여nm-cloud-setup에서 클라우드 공급자를 구성합니다. 예를 들어 Amazon EC2를 사용하려면 다음을 입력합니다.[Service] Environment=NM_CLOUD_SETUP_EC2=yes
[Service] Environment=NM_CLOUD_SETUP_EC2=yesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 환경 변수를 설정하여 사용하는 클라우드 제공 서비스를 활성화할 수 있습니다.
-
Alibaba Cloud용
NM_CLOUD_SETUP_ALIYUN(Aliyun) -
NM_CLOUD_SETUP_AZUREfor Microsoft Azure -
NM_CLOUD_SETUP_EC2for Amazon EC2 (AWS) -
GCP(Google Cloud Platform)
NM_CLOUD_SETUP_GCP
-
Alibaba Cloud용
- 파일을 저장하고 편집기를 종료합니다.
systemd구성을 다시 로드합니다.systemctl daemon-reload
# systemctl daemon-reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow nm-cloud-setup서비스를 활성화하고 시작합니다.systemctl enable --now nm-cloud-setup.service
# systemctl enable --now nm-cloud-setup.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow nm-cloud-setup타이머를 활성화하고 시작합니다.systemctl enable --now nm-cloud-setup.timer
# systemctl enable --now nm-cloud-setup.timerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
53.2. RHEL EC2 인스턴스에서 IMDSv2 및 nm-cloud-setup의 역할 이해
Amazon EC2의 인스턴스 메타데이터 서비스(IMDS)를 사용하면 실행 중인 RHEL(Red Hat Enterprise Linux) EC2 인스턴스의 인스턴스 메타데이터에 액세스할 수 있는 권한을 관리할 수 있습니다. RHEL EC2 인스턴스는 세션 지향 방법인 IMDS 버전 2(IMDSv2)를 사용합니다. nm-cloud-setup 유틸리티를 사용하여 관리자는 네트워크를 재구성하고 RHEL EC2 인스턴스 실행의 구성을 자동으로 업데이트할 수 있습니다. nm-cloud-setup 유틸리티는 사용자 개입 없이 IMDSv2 토큰을 사용하여 IMDSv2 API 호출을 처리합니다.
-
IMDS는 RHEL EC2 인스턴스의 네이티브 애플리케이션에 대한 액세스를 제공하기 위해 링크-로컬 주소
169.254.169.254에서 실행됩니다. - 애플리케이션 및 사용자에 대한 각 RHEL EC2 인스턴스에 대해 IMDSv2를 지정 및 구성한 후에는 IMDSv1에 더 이상 액세스할 수 없습니다.
- IMDSv2를 사용하면 RHEL EC2 인스턴스는 IAM 역할을 사용하지 않고 IAM 역할을 통해 액세스할 수 있는 메타데이터를 유지 관리합니다.
-
RHEL EC2 인스턴스가 부팅되면
nm-cloud-setup유틸리티가 자동으로 실행되어 RHEL EC2 인스턴스 API를 사용하기 위한 EC2 인스턴스 API 액세스 토큰을 가져옵니다.
IMDSv2 토큰을 HTTP 헤더로 사용하여 EC2 환경의 세부 정보를 확인합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}