네트워크 서버 보안 최종 프로젝트

 

 5개월간의 길고도 짧았던 국비 과정을 마무리 하며

배운 것들과 개인적으로 공부한 것들을 토대로 4주 동안 팀원들끼리 온프레미스 인프라 구축 프로젝트를 했다.

 

 그냥 배운 스크립트들과 구성을 복붙하면 되지 않을까?

 

라고 막연하고 만만하게 시작했다가 산넘어 산 뿐인 문제해결과정을 연속으로 맛보았다.

이것이 엔지니어의 길이라면 달게 받아들여야 할 숙명인 것이다.

 

 팀원 각자가 생각하는 이상적인 네트워크망을 실제 장비에 전부 적용하려다보니

당연하게도 많은 토론과 기술적인 난관에 직면할 수밖에 없었다.

 

 대표적으로 ‘DMVPN과 HSRP의 동시 사용’에 관련된 것이나 ‘라우터의 기종, 버전에 따른 EZVPN 호환성’

그리고 ‘서버 자동백업기능 구현’등과 같은 학원의 이론 수업만으로는 해결할 수 없는 문제들을 겪었다.

이런 실무적인 지식은 기술자문 사이트나 전문적인 문서를 참조해야 했는데

거의 대부분이 영어로 된 자료라서 접근성이 좋지 않았다.

 

 내가 PM이랍시고 영문 번역 아르바이트 경험을 살려 프로젝트에 필요한 이론들을 찾고 따로 번역 파일로 정리했다.

덕분에 ‘DMVPN과 HSRP는 동시구현이 불가능하다’는 점과 ‘IPsec 1 phase 설정을 diffe-hellman 5에서 2로 바꾸면 Window 10과 호환이 된다’는 것과 ‘Rsync + cron으로 백업을 구현하는 법’등을 배우면서

프로젝트의 핵심적인 부분들을 정돈할 수 있었다.

 

 하지만 DMVPN이건 HSRP이건 둘중 하나를 포기하기엔 아쉬운 상황이었다.

우리가 설계하고 기대한 본사의 가장 큰 아이덴티티가 HSRP가 적용된 두 라우터가

각각 KT와 LG 회선을 쓰며 장애시 대체가 된다는 점인데,

DMVPN은 라우터 둘중 하나만 서버를 할 수가 있어서 다른 한쪽이 클라이언트가 되면 장애시 대체가 안 된다..

 

 

 (두 라우터에 다 DMVPN 서버 설정을 적용해 보는 패기 있는 시도가 있었으나,

단순히 서버쪽은 0.0.0.0으로 IKE phase-1를 수신대기만 하고 있으면 되는 입장이지만 클라이언트 입장에선 어느쪽 서버를 목적지 ip로 phase-1 SA를 보내야 하는건지 정할 수 없게 된다.

HSRP 의 버츄얼 ip를 외부에 알려주는 방법도 컨셉 붕괴가 돼버려서 안하는게 낫다고 결론 내렸다.)

 

 하지만 ‘DMVPN의 확장성, 편의성 같은 장점을 포기할 수 없다’는 팀원의 의견이 있었고

이제와서 다 포기하고 MPLS로 ISP 구간을 구현하기에는 남은 라우터 대수가 적기도 해서

내가 알음알음 밑져야 본전으로 현직에서 일하는 엔지니어분께 직접 조언을 구했다.

 

 그런데 뜻밖에도 간단하게 답을 얻을 수 있었는데,

‘DMVPN Server를 굳이 본사에 두지 말고 지사나 따로 다른 곳에 두고 본사의 HSRP 라우터들은 DMVPN Client로 구성한 회사들도 있다’는 기발하고도 고정관념을 깨는 아이디어였다.

이로서 팀원 모두가 문제 해결에 대한 쾌감을 얻으며 만족스럽게 문제를 해결할 수 있었다.

 

 진짜 학원 수업을 통해 얻는 경험치보다 프로젝트 한번 하는게 사람을 더 진화하게 만드는 것 같다.

프로젝트를 같이 한 팀원들은 지금까지도 취직해서 같이 만나서 술먹으며 그때 이야기를 한다.

그런데 현직 일은 더 상상초월이라고 하니 나도 더 열심히 실무에 가까운 지식을 익히기 위해 노력해야겠다.

 

 

 학원 종업식에서는 학원 초창기에 제일 잘한 사람만 준다고 말하던 모범상을 내가 받게 되었다.

상장 들고 감동 받아서 뭉클한 채로 사진에 찍혔는데 웃기게 나온건 좀 아쉽다.

 

 최종 프로젝트 발표회 바로 직전에 우리 팀원들이 나 빼고 전부 다 오전 면접이 잡힌 바람에

나 혼자 40분간 처음부터 끝까지 발표한건 엄청난 일이었다.

합격들 해서 돌아왔으니 용서해주겠다!