이 내용은 최근에도 중소기업에서 많이 발생하고 있습니다. MyIP 서비스를 제공하면서 회선 서비스를 제공하는 업체들이 주 대상이다.
: 왠 갑자기 회선 부분이라고 생각 하실 수 있겠지만 혹 현재의 장애가 다른 서비스가 아니라 회선일 수 있다는 점 한번 쯤 고민 해 보셨습니까?
작성자/편집자 : 이종량/홍순성
NTFAQ에서 살다 보면 다양한 분들이 도움을 필요로 하시고, 이런 많은 분들이 게시판을 애용해주시지만 때로는 급하거나, 도저히 게시판으로는 해결이 되지 않아서 NTFAQ의 helpcall을 신청하시는 분들이 꽤 있습니다. 이런 분들께 최대한 많은 도움을 드리고자 노력하는 NTFAQ이지만, 때로는 어쩔 수 없는 경우가 발생합니다. 그러한 케이스는 정말로 NTFAQ의 전문가의 손길로는 도저히 해결되지 않는(대부분의 경우 완전한 해결 불가능이 아니라 해결하기까지 상당히 애로사항이 꽃피는 부분들임) 경우가 발생하곤 합니다. 그 중 하나의 예를 들자면 회선의 문제가 있습니다. 대부분 100명 미만의 장소에 도입되어 있는 VPN망이라는 이름으로 서비스 되는 제품들 중에 몇 개가 다음과 같은 현상이 발생하는 경우가 발견되고 있습니다.
- 서버로서 사용 불가?
네트워크에 있는 모든 컴퓨터는 외부의 요청을 받아들이는 요청과 함께 나가는 요청을 그때그때 상황에 맞게 처리한다. 서버는 외부의 서버와 통신하기 위해 특정 포트를 사용해야만 한다. 대표적인 경우가 바로 SMTP(TCP 25), DNS(TCP/UDP 53), WWW(TCP 80), FTP(TCP 21)이다. 이 포트들은 서버로 사용하기 위해서는 들어오는 것 나가는 것 모두 열려있어야만 하는 포트들이다. 하지만 시중에 있는 회선 중 일부는 서버로 사용할 수 없다. 대표적인 케이스가 두루넷이나 KT과 같은 업체가 가정용으로 제공하는 유동IP를 지닌 케이블 모뎀과 가정용 xDSL서비스의 경우가 이런 포트를 필터링하고 있다. 이러한 가정용 라인에 ISP업체는 회선이 불법으로 스팸 메일 발송이나 불법 자료실(FTP)로 사용되지 못하게 모니터링을 하고 있다. 이러한 경우 일반 회사에서 컨트롤 할 수 있는 영역의 상단에서 근본적으로 포트가 막혀있기 때문에 서버로서 구성은 이미 불가능한 경우이다.
- 업로드 속도는?
대부분의 경우 VPN망이라고 제공되는 것은 다운로드 속도를 기준으로 말한다. 클라이언트의 경우에는 다운로드의 속도에 좌우되지만, 서버의 경우에는 업로드 속도에 좌우된다. 서버용 회선과 일반 개인용 라인의 트래픽을 본다면 분명히 다르다. 이 부분의 문제는 단순히 “속도가 느리다”는데 있는 것이 아니라 대부분의 선전이 업로드 속도를 기준으로 선전하지 않기 때문이다. 현재 VPN망으로 불리는 대부분의 망은 xDSL기반의 망을 변경하여 사용하는 것으로 업로드시 xDSL의 업로드 속도인 50k~120k밖에 나오지 않고 있다. 사용자가 적은 단순 웹서버의 경우에 100k 수준의 업로드 속도로도 훌륭하게 사용가능하나 사용자가 꽤 있거나 미디어 서비스나 큰 동영상과 같은 멀티미디어는 절대로 이런 회선으로는 제공 불가능한 속도이다. 서버를 아무리 좋은 것을 들어놓아 봤자 네트워크 대역의 제한으로 인하여 속도는 느릴 수 밖에 없다. 가끔 이 경우에 대한 서버의 튜닝 요청 중이 들어와 처리가 불가능한 경우가 상당히 있다. (NTFAQ는 이에 대해서 회선을 바꾸라는 답을 내드립니다. :) )
- 라우팅 처리가 불안하다?
이 경우는 조금 특별하며 쉽게 접할 수는 없는 경우이다. 상황은 업로드 속도가 느린 경우와 유사하다. 클라이언트에서 서버로 접속 과정을 모니터링 해보면, 서버는 바로 같은 네트워크에 있는 것으로 보이는데, 실제 패킷은 서버에 접속하기 위해서는 회선을 외부로 나가서 인터넷을 거쳐서 서버에 접속하는 경우이다. TCP/IP의 구조상 같은 네트워크에 있으면 가장 빠른 길인 내부 망을 타고 바로 서버로 접속되어야 하나, 중간에 있는 네트워크 장비(VPN이나 공유기)에서 클라이언트의 요청을 무조건 인터넷으로 돌리기 때문에 발생되는 문제이다. 서버에 물린 회선의 속도가 1Mbps도 안 되는 회선인데, 여기에 내부 사용자가 외부의 사용자로 인식됨으로써 회선에 부하가 걸려 느려진다. 이 경우의 대부분이 저가 공유기 수준의 장비를 사용하는 경우에 발생하고 있다.
- 방화벽이 없다?
안전한 망을 구축하기 위해서 방화벽을 두는 것이 네트워크의 기본이다. 하지만 저가 회선의 경우 내부에서 방화벽을 컨트롤 할 수 있는 인력이 없다는 핑계로 모든 포트를 다 열어주고 있는 것은 안전한 망을 만드는데 소홀히 하고 있다. 대표적인 경우가 바로 MS-SQL(TCP 1433) 포트이다. MS-SQL의 경우 2003년 1월의 슬레머 웜(Worm.SQL. Slammer)의 경우가 바로 이러하다. MS-SQL의 보안패치가 잘 안되어 있거나 간단한 SA암호를 사용하고 있는 경우가 그 대상이며, 대부분의 경우 윈도우 보안 패치는 열심히 하더라도 MS-SQL의 보안패치는 쉽게 하지 않는바, 이에 대한 근본적인 방어책은 아예 네트워크에서 막는 것이다. 실제 NTFAQ에 들어오는 대부분의 해킹/웜의 유입 경우는 MS-SQL을 통한 경우가 절반 이상을 차지하고 있다. 그렇다고 이 MS-SQL포트를 무작정 막을 수는 없다. MS-SQL을 통해 외부의 업체와 통신하는 경우도 발생하기에 무조건적인 막음이 해결책이 되는 것이 아니라 이를 관리할 수 있는 방안이 있어야 한다. 외부에 열려있는 서비스 포트는 언제나 공격 대상이므로 이에 대해서 제어를 할 수 있는 방법을 마련해두는 것은 보안의 기본이다.
- 서버 회선이 죽는다?
대부분 사내의 클라이언트는 서버와 잘 동작한다. 그렇기에 특별히 서버에서 외부로 나가는 작업을 하고 있는 것이 아니라면 서버의 회선에 장애가 생겨도 알 수 있는 방안은 없다. 가장 손 쉬운 확인 방법은 전화를 통해 외부에 있는 사람에게 잘 되는지를 확인하는 것이다. 클라이언트에서는 서버에 잘 접속이 이루어지고 있으며, 외부에서는 이를 모니터링 할 수 있는 여건이 없기에 서버의 회선이 정상인지 아닌지 확인할 수 있는 길이 없다. 이런 상황은 어느 회선이나 충분히 발생할 수 있는 문제이지만, 적어도 VPN 회선이 아닌 공인된 회선을 사용한다면 장애 공지를 통보 받거나 상태를 바로 확인 할 수 있는 방법(공지 사이트, 상황판)을 제공하여 준다.
- 회선의 사용 현황을 알 수 없다?
사내에 사용자가 늘거나 줄은 경우 당연히 네트워크의 사용도 변화할 것이다. 그리고 이러한 변화에 따라 회선의 속도나 양을 조절할 수 있는 기준점이 필요 하다. 어느 날 본사의 누군가가 “우리 쓰는데 느린거 같지 않냐? 좀 늘려야 하지 않을까?”라는 요청을 받았을 때, 이에 대한 답을 <누가, 어떤 부분으로, 언제 가장 많이 사용하여 속도가 얼마나 나왔습니다.>라는 답을 얻기 위한 자료를 얻을 수 없다면 회선 비용을 얼마나 줄일 수 있을지, 얼마나 늘려야 하는지에 대한 정보를 얻을 수 없는 것이다. 적어도 이런 기준점을 잡는데 MRTG와 같은 기본적인 도구는 제공 받아야 하는 것이 아닐까?
위에 적은 경우들에 대해서는 답이 없는 것은 아닙니다. 운 없게 위의 경우에 걸렸다면, 위의 경우 모든 것이 해결되어 있는 다른 업체로 변경하던가 아니면, 지금 사용하고 있는 업체를 신나게 달달 볶아서 답을 얻어내는 방법 밖에 없습니다. 하지만 이 두 경우 모두 NTFAQ의 게시판을 통해서 할 수 없는 일입니다. 좀 더 전문가를 찾거나 그렇지 않을 경우는 현재의 상태를 메일로 알려 주시면 몇 가지 체크 사항을 드리도록 하겠습니다.
'윈도우 서버군 기술 강좌 > Windows Server 2003' 카테고리의 다른 글
| 윈도우 서버 2003 R2 저장소 보고서 관리 (0) | 2007/02/02 |
|---|---|
| 윈도우 서버 2003 R2 파일서버의 마이그레이션 (0) | 2007/02/02 |
| 현장 에세이 #1 (회선부분) (0) | 2007/02/01 |
| VPN 장비 + 윈도우 2003(액티브 디렉터리) 통합 인증 서비스 진행 (0) | 2007/01/31 |
| Windows Server 2003 그 이후… (0) | 2007/01/17 |
| Windows 2003 SP1 환경에서 R2를 설치하는 방법은 ? (0) | 2006/05/08 |
댓글을 달아 주세요