Proxy ARP를 처음 만난 썰 (수줍~ ^^*)
○ 발단 그리고 현상
백본 업그레이드 해야 한다.
채신기술이던 무중단 서비스 업그레이드 ISSU(In-Service Software Upgrade)가 가능했다.
하지만 upgrade path 체크 결과 2단계를 거쳐야 했기에 시간이 너무 오래 걸려서 그냥 전원 on off로 가기로 했다.
너무 많은 시스템이 걸려있고 어렵사리 2달간 업그레이드 준비 작업을 마치고 작업을 했다.
열심히 준비하고 잘 짜여진 시나리오에서 뭐 특이점이 있을까 했지만.................
업그레이드 직후 업무 테스트 시간에는 특이점이 없었다.
다음날 업무 시작 전 DB#1이 AP들 간의 통신이 불가하단다.
○ Divide and Conquer
Divide and Conquer 차례다.
시간차가 있기는 하지만 그래도 전날 작업은 백본 업그레이드 작업뿐이었다.
포트상태 정상이고 백본에서 DB1핑도 간다.
전날 config를 비교해보니 바뀐 점이 딱 하나 있다.
모든 인터페이스에 no proxy-arp 적용한 것이다.
그럼 proxy arp에 영향을 받을 수 있는 것들에 대해 살펴봐야겠다
○ 해결해보자
일단 해당 vlan에 proxy-arp를 다시 적용시켜 보았다.
귀신같이 된다.
그러면 이대로 갈 수 있는가?
=> NO! 보안감사에 걸릴 대상이다.
그러면 DB 서버에서 조치할 사항이 있는지 보자.
○ 서버에서의 특이점
Proxy ARP의 특성을 보니 서버에서 NIC 설정을 잘못한 듯하다.
ifconfig를 확인해봤는데 웬걸? 정상인데?
포기할 순 없지, 라우팅 테이블 점검!
아니 이건 뭔데??? DB2에도 이런 건 없다.
라우팅 테이블을 아래처럼 수정하니 잘 됨.
○ 누구의 문제인가?
OS 측 : 서버 이렇게 운영한 지 준~~ 내 오래됐음.
작업은 네트워크에서 하지 않았냐?
○ Proxy ARP 작업 사유
주요정보통신기반시설 기술적 취약점_분석ㆍ평가 방법 상세가이드 적용
https://www.boho.or.kr/filedownload.do?attach_file_seq=2736&attach_file_id=EpF2736.pdf
○ Insight
Proxy ARP는 아주 위험한 놈이니 건드릴 때 조심해야 한다.
'Network TroubleShooting > 트러블 슈팅 썰' 카테고리의 다른 글
| Proxy ARP는 정상적인 NIC 설정에서도 영향을 주는가? (0) | 2022.04.14 |
|---|---|
| 노후 장비 교체하다 만난 Proxy ARP (0) | 2022.04.13 |
| 포트 고갈 (Port Exhaustion) (0) | 2022.03.31 |
| TCP Timestamps 꼭 써야하나? (0) | 2022.03.30 |
| VDI가 끊겨요 (0) | 2022.01.10 |
댓글