500 likes | 1k Views
BMT 절차서. Enterasys Networks. 목차. 1. 성능 1.1 라우팅 성능 1.2 ACL 필터링 성능 2. QoS 2.1 Rate Limit 2.2 트래픽 우선순위 적용 3. 안정성 3.1 회선 이중화 3.2 장비 이중화 4. 보안 4.1 VLAN 내 트래픽 제어 4.2 Virus 감지 및 차단 4.3 네트워크 장비 보호. 5. 관리 5.1 디바이스 검색 및 등록 5.2 장비 모니터링 5.3 트래픽 모니터링 6. 인증 / 권한
E N D
BMT 절차서 Enterasys Networks
목차 1. 성능 1.1 라우팅 성능 1.2 ACL 필터링 성능 2. QoS 2.1 Rate Limit 2.2 트래픽 우선순위 적용 3. 안정성 3.1 회선 이중화 3.2 장비 이중화 4. 보안 4.1 VLAN내 트래픽 제어 4.2 Virus 감지 및 차단 4.3 네트워크 장비 보호 5. 관리 5.1 디바이스 검색 및 등록 5.2 장비 모니터링 5.3 트래픽 모니터링 6. 인증/권한 4.1 네트워크 사용자 인증 4.2 사용자별 서비스 정책 적용
기본 구성도 PC05 NMS 서버01 (ftp,http) 인터넷 접속용 • Layer 2 테스트 구간 • VRRP AS04 AS03 IPS VRRP Master VRRP Backup OSPF Area 0.0.0.0 백본스위치 BS01 BS02 • Layer 3 테스트 구간 • OSPF 억세스스위치 AS01 AS02 OSPF Area 8.8.8.1 OSPF Area 8.8.8.2 PC01 PC02 PC03 PC04
1. 성능 항목 1. 라우팅 성능 테스트 세부항목 a. 백본 스위치 테스트 목적 백본 스위치의 성능을 확인 구성도 시행 절차 • BS01의 2개의 기가비트포트를 각각 VLAN 10과 VLAN 20으로 설정한다. • 각각의 포트를 계측기와 연결한다. • 트래픽을 프레임 사이즈를 변화시키면서 양방향으로 발생시켜 성능을 확인한다. • -. 프레임 사이즈 128, 512,1500 바이트로 설정 BS01 VLAN10 VLAN20 평가 내역 1000Mbps 1000Gbps • 각 프레임 사이즈별 패킷 전송률을 기록 계측기
1. 성능 항목 1. 라우팅 성능 테스트 세부항목 b. 억세스 스위치 테스트 목적 억세스스위치의 성능을 확인 구성도 시행 절차 • AS01의 모든 포트를 VLAN 10으로 설정한다. • AS01에 100Mbps 10회선 및 1000Mbps 1회선을 계측기와 연결한다. • 트래픽을 100Mbps포트와 1000Mbps포트의 양방향 full-mesh형태로 발생시켜 성능을 점검한다. • -. 프레임 사이즈 128, 512,1500 바이트로 설정 AS01 VLAN10 VLAN20 평가 내역 100Mbps X 10 1000Gbps • 각 프레임 사이즈별 패킷 전송률을 기록 계측기
성능 항목 1. 라우팅 성능 테스트 세부항목 c. End-to-End 성능 테스트 테스트 목적 실제 운영 환경에서 End-to-End 성능 테스트 구성도 시행 절차 • 1. 구성도와 같이 L3(OSPF)구성을 한다. • 2. 계측기의 1000Mbps 1회선을 BS01에 연결하고 100Mbps 10회선을 AS01에 연결한다. • 3. 트래픽을 100Mbps포트와 1000Mbps포트의 양방향 full-mesh형태로 발생시켜 성능을 점검한다. • -. 프레임 사이즈 128, 512,1500 바이트로 설정 1Gbps BS01 평가 내역 계측기 • 각 프레임 사이즈별 패킷 전송률을 기록 AS01 100Mbps x 10회선 PC03 PC04
성능 항목 2. ACL 필터링 성능 테스트 세부항목 a. 백본 스위치 테스트 목적 ACL을 적용하더라도 라우팅 성능에 영향을 미치지 않음을 확인 구성도 시행 절차 1. VLAN10에서 VLAN30으로 트래픽(UDP/9998)을 발생 시킨다. 2. VLAN20에서 VLAN30으로 트래픽(UDP/9999)을 발생 시킨다. 3. ACL을 VLAN10-to-VLAN30에 대해 deny하도록 설정하고 그밖의 ACL을 500개 생성하여 전 인터페이스에 적용한다. 4. 계측기에서 VLAN20-to-VLAN30에 해당되는 트래픽이 손실없이 전송됨을 확인한다. BS01 VLAN10 VLAN30 VLAN20 예상 결과 1000Mbps 1000Mbps 하드웨어기반의 ACL 적용으로 ACL의 수가 많더라도 서비스에 영향을 주지 않음 1000Mbps 평가 내역 • ACL사용시에도 데이터 전송 서비스에 영향을 미치지 않는 지 여부 (Y/N) 계측기
1. 성능 항목 2. ACL 필터링 성능 테스트 세부항목 b. 억세스 스위치 테스트 목적 ACL을 적용하더라도 라우팅 성능에 영향을 미치지 않음을 확인 구성도 시행 절차 1. VLAN10에서 VLAN30으로 트래픽(UDP/9998)을 발생 시킨다. 2. VLAN20에서 VLAN30으로 트래픽(UDP/9999)을 발생 시킨다. 3. ACL을 VLAN10-to-VLAN30에 대해 deny하도록 설정하고 그밖의 ACL을 200개 생성하여 전 인터페이스에 적용한다. 4. 계측기에서 VLAN20-to-VLAN30에 해당되는 트래픽이 손실없이 전송됨을 확인한다. AS01 VLAN10 VLAN30 VLAN20 예상 결과 1000Mbps 1000Mbps 하드웨어기반의 ACL 적용으로 ACL의 수가 많더라도 서비스에 영향을 주지 않음 1000Mbps 평가 내역 • ACL사용시에도 데이터 전송 서비스에 영향을 미치지 않는 지 여부 (Y/N) 계측기
2. QoS 항목 1. Rate Limit 세부항목 a. 백본스위치 테스트 목적 백본 스위치의 Rate-Limiting 기능 구현 구성도 시행 절차 1. VLAN10에서 VLAN30으로 트래픽(UDP/9998)을 발생 시킨다. 2. VLAN20에서 VLAN30으로 트래픽(UDP/9999)을 발생 시킨다. 3. VLAN10-to-VLAN30 트래픽에 대해 Port레벨로 rate Limit를 2Mbps, 20Mbps, 200Mbps로 rate limit를 수행한다. 4. UDP/9999 트래픽에 대해 Application레벨로 rate Limit를 2Mbps, 200Mbps, 200Mbp로 rate limit를 수행한다. DS01 VLAN10 VLAN30 VLAN20 예상 결과 1000Mbps 1000Mbps 포트레벨, 애플리케이션 레벨로 Rate Limit 적용시 오차범위는 10% 이내로 동작한다. 1000Mbps 평가 내역 • 포트레벨 Rate Limit • Application레벨 Rate Limit 계측기
2. QoS 항목 1. Rate Limit 세부항목 b. 억세스 스위치 테스트 목적 억세스 스위치의 Rate-Limiting 기능 구현 구성도 시행 절차 1. VLAN10에서 VLAN30으로 트래픽(UDP/9998)을 발생 시킨다. 2. VLAN20에서 VLAN30으로 트래픽(UDP/9999)을 발생 시킨다. 3. VLAN10-to-VLAN30 트래픽에 대해 Port레벨로 rate Limit를 2Mbps, 20Mbps, 200Mbps로 rate limit를 수행한다. 4. UDP/9999 트래픽에 대해 Application레벨로 rate Limit를 2Mbps, 200Mbps, 200Mbp로 rate limit를 수행한다. AS01 VLAN10 VLAN30 VLAN20 예상 결과 1000Mbps 1000Mbps 포트레벨, 애플리케이션 레벨로 Rate Limit 적용시 오차범위는 10% 이내로 동작한다. 1000Mbps 평가 내역 • 포트레벨 Rate Limit • Application레벨 Rate Limit 계측기
2. QoS 항목 2. 트래픽 우선순위 적용 세부항목 a. 백본 스위치 테스트 목적 백본 스위치의 QoS 기능 구현 구성도 시행 절차 1. 그림과 같이 VLAN30에 연결된 회선에서 병목현상이 발생하도록 구성한다. 2. 계측기에서 VLAN10과 VLAN20에서 VLAN30방향으로 트래픽을 발생시키고 이때 VLAN10과 VLAN20의 트래픽 모두 50%정도씩 손실이 발생함을 확인한다. 3. BS01에서 VLAN10-to-VLAN30 트래픽에 대한 QoS 우선순위를 높혀서 가능한 패킷 손실이 없도록 설정한다. BS01 VLAN10 VLAN30 VLAN20 예상 결과 1000Mbps 1000Mbps QoS설정에 따라 우선순위가 높은 트래픽의 손실은 거의 없게 된다. 1000Mbps 평가 내역 • QoS 설정하지 않았을 시의 전송율 • VLAN10-to-VLAN30: % • VLAN20-t0-VLAN30: % • QoS설정시 전송률 • VLAN10-to-VLAN30: % • VLAN20-t0-VLAN30: % 계측기
2. QoS 항목 2. 트래픽 우선순위 적용 세부항목 b. 억세스 스위치 테스트 목적 억세스 스위치의 QoS 기능 구현 구성도 시행 절차 1. 그림과 같이 VLAN30에 연결된 회선에서 병목현상이 발생하도록 구성한다. 2. 계측기에서 VLAN10과 VLAN20에서 VLAN30방향으로 트래픽을 발생시키고 이때 VLAN10과 VLAN20의 트래픽 모두 50%정도씩 손실이 발생함을 확인한다. 3. BS01에서 VLAN10-to-VLAN30 트래픽에 대한 QoS 우선순위를 높혀서 가능한 패킷 손실이 없도록 설정한다. DS01 VLAN10 VLAN30 VLAN20 예상 결과 100Mbps 100Mbps QoS설정에 따라 우선순위가 높은 트래픽의 손실은 거의 없게 된다. 100Mbps 평가 내역 • QoS 설정하지 않았을 시의 전송율 • VLAN10-to-VLAN30: % • VLAN20-t0-VLAN30: % • QoS설정시 전송률 • VLAN10-to-VLAN30: % • VLAN20-t0-VLAN30: % 계측기
3. 안정성 항목 1. 회선 이중화 테스트 세부항목 a. VRRP 테스트 테스트 목적 회선 이중화 구간에서의 VRRP를 통한 게이트웨이 백업 기능을 확인 구성도 시행 절차 • PC05에서 PC01과 PC03에 ping을 수행한다. • BS01-AS04회선을 절체하여 ping이 다시 복구되는 시간을 확인 • BS01-AS04회선을 다시 복구하고 ping이 다시 복구되는 시간을 확인 • BS02-AS04회선을 절체하여 ping이 다시 복구되는 시간을 확인 • BS02-AS04회선을 다시 복구하고 ping이 다시 복구되는 시간을 확인 PC05 NMS AS04 순서대로 회선절체 예상 결과 VRRP Master VRRP Backup • 회선 절체와 복구시에 최대 ping손실은 4초 이내어야 한다. 백본스위치 BS01 BS02 평가 내역 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
3. 안정성 항목 1. 회선 이중화 테스트 세부항목 b. 기본 라우팅 설정 (OSPF, Static) 테스트 목적 OSPF에 의한 라우팅 테이블 업데이트 기능과 Protocol Redistribution기능을 확인 구성도 시행 절차 • BS01에서 Static으로 Default Gateway에 대한 라우팅 경로를 서버01로 설정한다. • BS01에서 1에서 설정한 Static Route를 OSPF로 Redistribution을 수행한다. 서버01 (ftp, http) AS03 Static : default G/W를 서버01로 설정 IPS Default 경로를 OSPF로 Redistribution 예상 결과 • 모든 L3스위치에서 Default Gateway에 대한 테이블이 OSPF External로 업데이트 된다. OSPF Area 0.0.0.0 백본스위치 BS01 BS02 평가 내역 • 모든 L3 스위치에서 Default Gateway에 대한 라우팅 테이블이 업데이트 되었는 지 확인 OSPF Area 8.8.8.1 OSPF Area 8.8.8.2 AS01 AS02 PC01 PC02 PC03 PC04
3. 안정성 항목 1. 회선 이중화 테스트 세부항목 c. OSPF를 통한 회선 복구 기능 테스트 목적 회선 이중화 구간에서의 OSPF를 통한 회선 복구 기능을 확인 구성도 시행 절차 • PC01에서 서버01로 ping을 수행하고 tracert를 수행하여 라우팅 경로가 BS01로 설정되어 있음을 확인한다. • 회선 BS01-AS01을 절체하고 ping이 다시 복구되는 시간을 확인한다. 복원된뒤에 다시 pc01에서 tracert를 수행하여 라우팅 경로가 BS02로 설정됨을 확인한다. • 회선 BS01-AS01을 다시 복원하고 다시 tracert를 수행하여 라우팅 경로가 다시 BS01으로 복원됨을 확인한다. 서버01 (ftp, http) AS03 IPS 예상 결과 • 회선 절체와 복구시에 최대 ping손실은 10초 이내어야 한다. 백본스위치 BS01 BS02 예상 우회 경로 평가 내역 회선절체 AS01 AS02 PC01 PC02 PC03 PC04
3. 안정성 항목 1. 회선 이중화 테스트 세부항목 d. 회선 이중화 (Link Aggregation) 테스트 목적 백본 간 Link aggregation을 통한 회선 이중화기능을 확인 구성도 시행 절차 • PC01에서 PC03과 PC04에 ping을 수행한다. • 2. BS01-BS02중 하나의 회선을 절체하고 ping이 복원되는 데 걸리는 시간을 확인한다. • 3. 절체된 회선을 다시 복원하고 ping이 복원되는 데 걸리는 시간을 확인한다. • 4. 나머지 회선을 사용하여 2,3번 항목을 반복한다. 회선#1,2 순서대로 절체 백본스위치 예상 결과 BS01 BS02 • Link aggregation 회선에 대한 최대 ping손실은 2초 이내어야 한다. 평가 내역 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
3. 안정성 항목 3. 장비 이중화 테스트 세부항목 a. 장비 장애에 복구 방안 테스트 목적 OSPF와 VRRP를 사용하여 백본 장비에 대한 장비 이중화가 구현되는 지를 확인 구성도 시행 절차 • PC05에서 PC01과 PC03에 ping을 수행한다. • 2. BS01의 전원을 off하여 down시킨다. 이때 ping이 복원되는 데 걸리는 시간을 확인한다. • 3. BS01의 전원을 on하여 부팅시키고 부팅이 완료된 뒤에 라우팅 경로가 복원되는 지를 확인 PC05 NMS AS04 예상 결과 VRRP Master VRRP Backup • 백본 절체와 복구시에 최대 ping손실은 10초 이내어야 한다. 백본스위치 BS01 BS02 평가 내역 장비의 전원을 Off 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
4. 보안 항목 1. VLAN내 트래픽 제어 세부항목 a. MAC address기반의 통신제어 테스트 목적 MAC address기반으로 동일 VLAN내의 트래픽을 제한할 수 있는 지 여부를 확인 구성도 시행 절차 • PC01에서 PC02에 ping을 수행한다. • NMS에서 AS01에 접속된 PC01의 MAC Address에 대해 필터링을 수행한다. • PC01에서 PC02로 ping이 끊기는 것을 확인한다. PC05 NMS AS04 VRRP Master VRRP Backup 예상 결과 MAC address기반의 통신제어 백본스위치 BS01 BS02 평가 내역 • NMS에서 동일 VLAN 내에서 MAC address에 의한 패킷 필터링이 가능한지 여부 • 실제 적용을 위해 제어 정책을 NMS상에서 손쉽게 구현할 수 있는 지 여부 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
4. 보안 항목 1. VLAN내 트래픽 제어 세부항목 b. L3/L4기반의 통신제어 테스트 목적 동일 VLAN내에서 호스트간의 L3/L4트래픽을 제어할 수 있는 지를 확인 구성도 시행 절차 • PC01에서 PC02에 ping을 수행한다. • PC02에 FTP서버를 설치하고 PC01에서 PC02으로 접속하여 FTP로 파일을 download 한다. • NMS에서 동일 VLAN내의 사용자 호스트간 FTP전송을 금지하도록 설정한다. • PC01에서 PC02로 ping이 수행되지만 FTP접속은 불가능한 것을 확인한다. PC05 NMS AS04 VRRP Master VRRP Backup 예상 결과 동일 VLAN 내에서 L3/L4기반의 통신 제어 백본스위치 BS01 BS02 평가 내역 • NMS에서 동일 VLAN 내에서 L3/L4기반의 통신 제어가 가능한지 여부 • 실제 적용을 위해 제어 정책을 NMS상에서 손쉽게 구현할 수 있는 지 여부 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
4. 보안 항목 2. Virus 감지 및 차단 세부항목 a. Virus 감지 기능 테스트 목적 신속한 바이러스 감지 및 경보 기능 확인 구성도 시행 절차 1. PC01에서 worm virus를 발생시킨다. 2. IPS에서 worm virus를 탐지한다. 3. NMS상에서 IPS에 기록된 virus 감지 현황을 확인하고 실제 virus 전파에 관련된 packet 분석 log를 확인한다. PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 2. 웜바이러스 감지 IPS 예상 결과 • Virus 감지 여부 BS01 BS02 평가 내역 • 바이러스 감지 여부 • 바이러스 전파에 관련된 실제 패킷 분석 자료 제공 여부 • 최근 30일 이상 감지 로그 기록 제공 여부 AS01 AS02 1. 서버01로 웜공격 시도 PC01 PC02 PC03 PC04
4. 보안 항목 2. 바이러스 감지 및 차단 세부항목 b. 바이러스 차단 테스트 목적 웜바이러스를 감지하고 이를 즉시 차단할 수 있는 지를 확인 구성도 시행 절차 • PC01에서 서버01로 웜바이러스 공격을 시도 • Ips에서 1차적인 웜바이러스 감지 및 차단 PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 2. 웜바이러스 감지 및 차단 IPS 평가 내역 백본스위치 • IPS에서 웜바이러스 감지 및 차단 여부 • NMS에서 네트워크 침해 통합 관리 여부 BS01 BS02 억세스스위치 AS01 AS02 1. 서버01로 웜공격 시도 PC01 PC02 PC03 PC04
4. 보안 항목 2. 바이러스 감지 및 차단 세부항목 c. 침해 호스트 격리 테스트 목적 웜바이러스의 전파를 막기 위해 신속히 네트워크 침해 호스트를 찾아서 격리할 수 있어야 한다. 구성도 시행 절차 • PC01에서 서버01로 웜바이러스 공격을 시도 • Ips에서 1차적인 웜바이러스 감지 및 차단 • NMS에서 바이러스감지를 인식하고 침해호스트의 물리적인 접속 위치(어떤 스위치의 어떤 포트에서 공격을 시도하는 가?) • NMS상에서 해당 호스트에 대한 격리 시도 PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 2. 웜바이러스 감지 및 차단 IPS 평가 내역 백본스위치 • IPS에서 웜바이러스 감지 및 차단 여부 • NMS에서 네트워크 침해 통합 관리 여부 • 침해 호스트에 대한 격리를 자동화할 수 있는 지 여부 BS01 BS02 3. 침해 호스트 격리 억세스스위치 AS01 AS02 1. 서버01로 웜공격 시도 PC01 PC02 PC03 PC04
4. 보안 항목 3. 네트워크 장비 보호 세부항목 a. 장비에 대한 사용자 접근 제어 테스트 목적 네트워크 장비에 대한 불필요한 사용자 접속을 제어 구성도 시행 절차 • BS01과 AS01에서 NMS을 제외한 IP에서의 Telnet 접속을 불허한다. • PC01에서 AS01과 BS01로 접근이 불가능하도록 • PC01~PC04에서는 네트워크 장비 자체에 전혀 접근할 수 없도록 설정한다. • PC01에서 AS01, DS02, BS01에 Telnet및 SNMP 접속을 시도한다. PC05 NMS AS03 AS04 NMS에서만 Telnet접속을 허용 IPS 일반 사용자의 접속 완전 차단 BS01 BS02 평가 내역 • 일반 사용자들의 네트워크 장비 접속 접근 제어 기능 제공 AS01 AS02 PC01 PC02 PC03 PC04 비고
4. 보안 항목 3. 네트워크 장비 보호 세부항목 b. 장비 접근 권한 제어 테스트 목적 네트워크 장비에 대한 사용자의 접근 권한을 제어 구성도 시행 절차 • BS01에 사용자 계정을 추가하여 사용자별로 다른 접근 권한(예: User, Enable, Configure mode)을 설정한다. • NMS에서 BS01에 접속하여 서로다른 ID로 접속했을 때 그에 맞는 접근 권한이 적용되는 지를 확인한다. PC05 NMS AS03 AS04 계정별로 접근 권한을 다르게 적용 (Enable, Configure mode) IPS BS01 BS02 평가 내역 • 백본 스위치에서 사용자 계정에 따른 접근 권한이 차별화 되는 지를 확인 AS01 AS02 PC01 PC02 PC03 PC04 비고
5. 관리 항목 1. 디바이스 검색 및 등록 세부항목 a. 디바이스 검색 테스트 목적 네트워크 디바이스를 검색하여 손쉽게 NMS에 등록하여 관리할 수 있는 지 확인한다. 구성도 시행 절차 • 모니터링 가능한 모든 Device들에 SNMP 설정 (trap, community string등)을 한다. • 자동 또는 수동으로 디바이스를 검색한다. • 검색된 디바이스들에 대한 정보를 확인한다. PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 IPS 평가 내역 • 모델링 후 모든 Device들이 모델링 되었는지 확인한다. • 모델링 된 Device의 종류가 정확한지 확인한다. • SNMP를 지원하지 않는 Device에 대해서 Ping 모니터링이 가능한지 확인한다. 백본스위치 BS01 BS02 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
5. 관리 항목 1. 디바이스 검색 및 등록 세부항목 b. 맵기능 테스트 목적 다양한 맵 정보 및 맵 기능을 확인하고 맵 상에서 Device의 문제 확인 및 다계층 맵 지원 여부를 확인한다. 구성도 시행 절차 • 등록된 디바이스들에 대한 맵을 구성한다. PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 IPS 평가 내역 • Device들의 구성 정보 및 위치 정보를 쉽게 파악할 수 있는지 확인한다. • 다계층 맵을 지원하는지 확인한다. 백본스위치 BS01 BS02 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
5. 관리 항목 2. 장비 모니터링 세부항목 a. 장비 정보 테스트 목적 Device의 다양한 정보를 열람 및 수정할 수 있는지를 확인한다. 구성도 시행 절차 • NMS에서 BS01과 AS)1에 대한 장비 정보를 검색한다. • Interface의 사용량과 인터페이스별 패킷 유형을 검색한다. PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 IPS 평가 내역 • Device의 다양한 정보를 쉽게 파악할 수 있는지 확인한다. • 인터페이스별 트래픽 사용량을 모니터링 할 수 있는 지 확인한다. 백본스위치 BS01 BS02 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
5. 관리 항목 2. 장비 모니터링 세부항목 b. 포트 제어 기능 테스트 목적 Device View를 통해 실제 사용자가 접속된 포트를 제어할 수 있는 지 확인한다. 구성도 시행 절차 • Interface별 Traffic 사용량을 점검한다. • Device의 포트 상태를 확인한다. • DS01 장비의 특정 포트를 Down 시킨다. PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 IPS 평가 내역 • Device의 다양한 정보를 쉽게 파악할 수 있는지 확인한다. • 인터페이스별 트래픽 사용량을 모니터링 할 수 있는 지 확인한다. • 원격지에서 인터페이스 상태를 제어할 수 있는지 확인한다. • 그래프 형태의 트래픽 모니터링 제공 백본스위치 BS01 BS02 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
5. 관리 항목 2. 장비 모니터링 세부항목 c. 장애 경보 기능 테스트 목적 SNMP Trap 정보를 정확히 표현하는지 점검하고 장애 레벨 관리 기능이 가능한지 점검한다. 구성도 시행 절차 • AS01과 BS01간의 회선을 절체한뒤에 관련된 trap정보가 NMS로 보내지도록 한다. PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 IPS 평가 내역 • Trap 정보가 Device로부터 정상적으로 전송되어 지는지를 확인한다. • 이전에 발생하였던 장애정보를 볼 수 있는지 확인한다. 백본스위치 BS01 BS02 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
5. 관리 항목 3. 트래픽 모니터링 세부항목 a. 실시간 트래픽 모니터링 테스트 목적 실시간 트래픽 분석이 가능한지 확인한다. 구성도 시행 절차 • PC01에서 NMS으로 트래픽을 발생시킨다. • NMS에서 sniffer를 동작하여 실제 대역폭이 어느정도 인지 확인한다. • BS01과 AS01에서 해당 트래픽 정보가 정확히 제공되는 지 확인한다. PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 IPS 평가 내역 • GUI상으로 트래픽에 대한 모니터링 정보가 제공되는 지 확인한다. • 패킷 유형에 대한 정보를 제공하는 지 확인한다. 백본스위치 BS01 BS02 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
5. 관리 항목 3. 트래픽 모니터링 세부항목 b. 트래픽 트렌드 분석 테스트 목적 트래픽에 대한 트렌드 분석을 위해 성능 분석 그래프를 제공하는 지 확인한다. 구성도 시행 절차 • PC01에서 NMS으로 트래픽을 발생시키고 1분후 중단한다. • 1분뒤 이전 트래픽에 대한 history를 검색하여 그래프로 출력한다. PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 IPS 평가 내역 • GUI상으로 트래픽에 대한 모니터링 정보가 제공되는 지 확인한다. • 이전 트래픽에 대한 네트워크 사용량, 패킷 카운트, 에러 카운트, 패킷 유형 분석등의 그래프를 제공하는 지 확인한다. 백본스위치 BS01 BS02 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
6. 인증/권한 항목 1. 네트워크 사용자 인증 세부항목 a. 사용자 인증 테스트 목적 사용자 인증을 위한 IEEE802.1x 프로토콜을 지원하여 사용자의 접근을 제어할 수 있는 지를 확인 구성도 시행 절차 • AS0x 에 IEEE802.1x 인증 프로토콜을 enable한다. • PC01에서 IEEE802.1x EAP-MD5 패스워드 인증을 시도한다. • 테스트서버로 ping을 수행하면서 인증을 통해 네트워크 접속이 제어되는 것을 확인한다. • 인증 서버에 사용자 인증및 접속 log가 생성되는 지를 확인한다. PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 IPS 평가 내역 • 표준 IEEE802.1x 사용자 인증 지원 여부 • 인증을 통한 접근 제어 지원 여부 • 인증서버에 사용자 접속 log 제공 여부 백본스위치 BS01 BS02 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04
6. 인증/권한 항목 1. 네트워크 사용자 인증 세부항목 b. 사용자별 서비스 정책 적용 테스트 목적 사용자 인증을 통해 네트워크 접근을 제어하고 레벨에 따라 서비스(접근 제어, QoS 제어, Rate Limit등)가 차별화 되는 것을 확인한다. 구성도 시행 절차 • AS0x 에 IEEE802.1x 인증 프로토콜을 enable한다. • 인증서버에 서로 다른 레벨(교직원과 학생 레벨로 구분)의 계정을 생성하고, • 각각의 계정으로 네트워크에 logon하여 각 레벨에 맞는 접근 권한과 QoS 정책이 부여되는 지를 확인한다.- 교직원: 모든 서비스 제공- 학생: telnet 사용 불가, Ratelimit직용 PC05 서버01 (ftp,http) 인터넷 접속용 NMS AS03 AS04 IPS 평가 내역 • 사용자 인증을 통해 사용자 레벨에 맞는 서비스가 제공될 수 있는 지를 확인한다. • 인증을 통해 Access 권한이 제어되는 것을 확인한다. • 인증을 통해 Rate Limit와 같은 QoS 정책이 제어되는 것을 확인한다. • 현재 사용중인 사용자의 위치를 쉽게 파악하여 제어(강제 종료)할 수 있는 지 확인한다. 백본스위치 BS01 BS02 억세스스위치 AS01 AS02 PC01 PC02 PC03 PC04