컨피그레이션 관리: 모범 사례 백서
목차
소개
컨피그레이션 관리는 네트워크 일관성을 높이고, 네트워크 변경을 추적하고, 최신 네트워크 문서 및 가시성을 제공하는 프로세스와 툴의 모음입니다. 컨피그레이션 관리 모범 사례를 구축하고 유지하면 네트워크 가용성 향상, 비용 절감과 같은 여러 가지 이점을 기대할 수 있습니다. 그러한 구성 요소는 다음과 같습니다.
-
사후 대응적 지원 문제의 감소로 인한 지원 비용 절감
-
사용하지 않는 네트워크 구성 요소를 식별하는 장치, 회선, 사용자 추적 도구 및 프로세스로 인해 네트워크 비용이 절감됩니다.
-
사후 대응적 지원 비용 감소 및 문제 해결 시간 단축으로 네트워크 가용성 향상
컨피그레이션 관리의 부재로 인해 다음과 같은 문제가 발생했습니다.
-
네트워크 변경으로 인한 사용자 영향을 확인할 수 없음
-
사후 대처 지원 문제 증가 및 가용성 저하
-
문제 해결 시간 증가
-
사용하지 않는 네트워크 구성 요소로 인한 네트워크 비용 증가
이 모범 사례 문서에서는 성공적인 컨피그레이션 관리 계획을 구현하기 위한 프로세스 흐름도를 제공합니다. 다음 단계에 대해 자세히 살펴보겠습니다. 표준 생성, 문서 유지 보수, 표준 검증 및 감사.
컨피그레이션 관리를 위한 상위 레벨 프로세스 흐름
아래 다이어그램은 성공적인 컨피그레이션 관리 계획을 이행하기 위해 중요한 성공 요인 및 성과 지표를 사용하는 방법을 보여줍니다.
표준 생성
네트워크 일관성에 대한 표준을 생성하면 네트워크 복잡성, 예기치 않은 다운타임의 양 및 네트워크에 영향을 미치는 이벤트에 대한 노출을 줄일 수 있습니다. 최적의 네트워크 일관성을 위해 다음 표준을 권장합니다.
소프트웨어 버전 제어 및 관리
소프트웨어 버전 제어는 유사한 네트워크 디바이스에 일관된 소프트웨어 버전을 구축하는 관행입니다. 이렇게 하면 선택한 소프트웨어 버전에 대한 검증 및 테스트 기회가 개선되고 네트워크에서 발견되는 소프트웨어 결함 및 상호운용성 문제의 양이 크게 제한됩니다. 또한 소프트웨어 버전이 제한적이므로 사용자 인터페이스, 명령 또는 관리 출력, 업그레이드 동작 및 기능 동작에 따른 예기치 않은 동작의 위험이 줄어듭니다. 따라서 환경이 덜 복잡해지고 지원이 더 쉬워집니다. 전반적으로 소프트웨어 버전 관리를 통해 네트워크 가용성을 높이고 사후 대응적 지원 비용을 줄일 수 있습니다.
참고: 유사한 네트워크 디바이스는 공통 섀시가 있는 표준 네트워크 디바이스로 정의되며 공통 서비스를 제공합니다.
소프트웨어 버전 제어에 대해 다음 단계를 구현합니다.
-
섀시, 안정성 및 새로운 기능 요구 사항에 따라 장치 분류를 결정합니다.
-
유사한 디바이스의 개별 소프트웨어 버전을 대상으로 합니다.
-
선택한 소프트웨어 버전 테스트, 검증 및 파일럿
-
성공적인 버전을 유사한 장치 분류의 표준으로 문서화합니다.
-
유사한 모든 디바이스를 표준 소프트웨어 버전으로 일관성 있게 구축 또는 업그레이드합니다.
IP 주소 지정 표준 및 관리
IP 주소 관리는 네트워크의 IP 주소와 서브넷을 할당, 재활용 및 문서화하는 프로세스입니다. IP 주소 지정 표준은 서브넷 범위 내에서 서브넷 크기, 서브넷 할당, 네트워크 장치 할당 및 동적 주소 할당을 정의합니다. 권장 IP 주소 관리 표준은 서브넷 중복 또는 중복, 네트워크 내 비요약, 중복 IP 주소 장치 할당, IP 주소 공간 낭비, 불필요한 복잡성에 대한 기회를 줄입니다.
성공적인 IP 주소 관리를 위한 첫 번째 단계는 네트워크에서 사용되는 IP 주소 블록을 파악하는 것입니다. 대부분의 경우 네트워크 조직은 인터넷 주소 지정이 불가능하지만 NAT(Network Address Translation)와 함께 네트워크에 액세스하는 데 사용할 수 있는 RFC 1918
주소 공간에 의존해야 합니다. 주소 블록을 정의한 후에는 요약이 촉진되는 방식으로 네트워크의 영역에 주소 블록을 할당합니다. 대부분의 경우 정의된 범위 내에서 서브넷의 수와 크기에 따라 이러한 블록을 더 세분화해야 합니다. 표준 애플리케이션의 표준 서브넷 크기(예: 건물 서브넷 크기, WAN 링크 서브넷 크기, 루프백 서브넷 크기 또는 WAN 사이트 서브넷 크기)를 정의해야 합니다. 그런 다음 더 큰 요약 블록 내의 서브넷 블록에서 새 애플리케이션에 대한 서브넷을 할당할 수 있습니다.
예를 들어, 동부 해안 캠퍼스, 서부 해안 캠퍼스, 국내 WAN, 유럽 WAN 및 기타 주요 국제 사이트를 갖춘 대규모 엔터프라이즈 네트워크를 살펴보겠습니다. 조직은 IP 요약을 촉진하기 위해 이러한 각 영역에 연속 IP CIDR(Classless Interdomain Routing) 블록을 할당합니다. 그런 다음 조직은 해당 블록 내의 서브넷 크기를 정의하고 각 블록의 하위 섹션을 특정 IP 서브넷 크기에 할당합니다. 각 주요 블록 또는 전체 IP 주소 공간을 스프레드시트로 문서화하여 각 사용 가능한 서브넷 크기에 대해 할당, 사용 및 사용 가능한 서브넷을 표시할 수 있습니다.
다음 단계는 각 서브넷 범위 내에서 IP 주소 할당에 대한 표준을 만드는 것입니다. 서브넷 내의 라우터 및 HSRP(Hot Standby Router Protocol) 가상 주소에는 범위 내에서 사용 가능한 첫 번째 주소가 할당될 수 있습니다. 스위치와 게이트웨이에 사용 가능한 다음 주소, 그 뒤에 고정 주소 할당, 마지막으로 DHCP를 위한 동적 주소가 할당될 수 있습니다. 예를 들어, 모든 사용자 서브넷은 /24 서브넷일 수 있으며, 253개의 사용 가능한 주소 할당이 있습니다. 라우터에는 .1 및 .2 주소가 지정될 수 있으며, HSRP 주소에는 .3 주소가 지정되고 스위치 .5~.9가 지정되며 DHCP 범위는 .10~.253입니다. 어떤 표준을 개발하든 모든 네트워크 엔지니어링 계획 문서에 이를 문서화하고 참조하여 일관성 있는 구축을 지원해야 합니다.
명명 규칙 및 DNS/DHCP 할당
디바이스에 대한 명명 규칙 및 DNS를 일관되고 체계적으로 사용하면 다음과 같은 방법으로 네트워크를 관리할 수 있습니다.
-
디바이스와 관련된 모든 네트워크 관리 정보에 대해 라우터에 대한 일관된 액세스 포인트를 생성합니다.
-
중복 IP 주소에 대한 기회를 줄입니다.
-
위치, 장치 유형 및 용도를 표시하는 장치의 간단한 ID를 생성합니다.
-
더 간단한 네트워크 디바이스 식별 방법을 제공하여 인벤토리 관리를 향상합니다.
대부분의 네트워크 디바이스에는 디바이스를 관리하기 위한 1~2개의 인터페이스가 있습니다. 이는 대역 내 또는 대역 외 이더넷 인터페이스 및 콘솔 인터페이스일 수 있습니다. 디바이스 유형, 위치 및 인터페이스 유형과 관련된 이러한 인터페이스에 대한 명명 규칙을 작성해야 합니다. 라우터에서는 루프백 인터페이스를 기본 관리 인터페이스로 사용하는 것이 좋습니다. 다른 인터페이스에서 액세스할 수 있기 때문입니다. 또한 루프백 인터페이스를 트랩, SNMP 및 syslog 메시지의 소스 IP 주소로 구성해야 합니다. 그러면 개별 인터페이스에 디바이스, 위치, 용도 및 인터페이스를 식별하는 명명 규칙이 있을 수 있습니다.
또한 DHCP 범위를 식별하고 사용자의 위치를 포함하여 DNS에 추가하는 것이 좋습니다. 이는 IP 주소의 일부 또는 물리적 위치일 수 있습니다. 예를 들면 "dhcp-bldg-c21-10"에서 "dhcp-bldg-c21-253"으로, 빌딩 C, 2층, 와이어링 클로짓 1의 IP 주소를 식별합니다. 또한 ID에 정확한 서브넷을 사용할 수 있습니다. 디바이스 및 DHCP에 대한 명명 규칙이 생성되면 Cisco Network Registrar와 같은 항목을 추적하고 관리할 수 있는 도구가 필요합니다.
표준 컨피그레이션 및 설명자
표준 컨피그레이션은 프로토콜 및 미디어 컨피그레이션뿐만 아니라 전역 컨피그레이션 명령에도 적용됩니다. 설명자는 인터페이스를 설명하는 데 사용되는 인터페이스 명령입니다.
라우터, LAN 스위치, WAN 스위치 또는 ATM 스위치와 같은 각 디바이스 분류에 대한 표준 컨피그레이션을 생성하는 것이 좋습니다. 각 표준 컨피그레이션에는 네트워크 일관성을 유지하는 데 필요한 전역, 미디어 및 프로토콜 컨피그레이션 명령이 포함되어야 합니다. 미디어 컨피그레이션에는 ATM, 프레임 릴레이 또는 고속 이더넷 컨피그레이션이 포함됩니다. 프로토콜 컨피그레이션에는 표준 IP 라우팅 프로토콜 컨피그레이션 매개변수, 공통 QoS(Quality of Service) 컨피그레이션, 공통 액세스 목록 및 기타 필수 프로토콜 컨피그레이션이 포함됩니다. 전역 컨피그레이션 명령은 모든 유사 디바이스에 적용되며 서비스 명령, IP 명령, TACACS 명령, vty 컨피그레이션, 배너, SNMP 컨피그레이션, NTP(Network Time Protocol) 컨피그레이션과 같은 매개변수를 포함합니다.
설명자는 각 인터페이스에 적용되는 표준 형식을 생성하여 개발됩니다. 디스크립터는 인터페이스의 목적 및 위치, 인터페이스에 연결된 다른 디바이스들 또는 위치들, 및 회로 식별자들을 포함한다. 설명자를 사용하면 지원 조직에서 인터페이스와 관련된 문제의 범위를 더 잘 이해하고 문제를 더 빠르게 해결할 수 있습니다.
표준 컨피그레이션 매개변수를 표준 컨피그레이션 파일에 보관하고 프로토콜 및 인터페이스 컨피그레이션 전에 각 새 디바이스에 파일을 다운로드하는 것이 좋습니다. 또한 각 글로벌 컨피그레이션 매개변수에 대한 설명과 해당 매개변수가 중요한 이유를 포함하여 표준 컨피그레이션 파일을 문서화해야 합니다. Cisco RME(Resource Manager Essentials)는 표준 컨피그레이션 파일, 프로토콜 컨피그레이션 및 설명자를 관리하는 데 사용할 수 있습니다.
컨피그레이션 업그레이드 절차
업그레이드 절차를 통해 다운타임을 최소화하면서 소프트웨어 및 하드웨어 업그레이드가 원활하게 수행되도록 할 수 있습니다. 업그레이드 절차에는 공급업체 검증, 릴리스 정보와 같은 공급업체 설치 참조, 업그레이드 방법론이나 단계, 구성 지침, 테스트 요구 사항 등이 포함됩니다.
업그레이드 절차는 네트워크 유형, 디바이스 유형 또는 새로운 소프트웨어 요구 사항에 따라 크게 달라질 수 있습니다. 아키텍처 그룹 내에서 개별 라우터 또는 스위치 업그레이드 요구 사항을 개발 및 테스트하고 변경 문서에서 참조할 수 있습니다. 전체 네트워크를 포함하는 다른 업그레이드는 그렇게 쉽게 테스트할 수 없습니다. 이러한 업그레이드를 위해서는 좀 더 심층적인 계획, 공급업체의 참여, 성공을 위한 추가 단계가 필요할 수 있습니다.
새 소프트웨어 배포 또는 식별된 표준 릴리스와 함께 업그레이드 절차를 생성하거나 업데이트해야 합니다. 절차에서는 업그레이드에 대한 모든 단계를 정의하고, 디바이스 업데이트와 관련된 공급업체 설명서를 참조하며, 업그레이드 후 디바이스 검증을 위한 테스트 절차를 제공해야 합니다. 업그레이드 절차를 정의하고 검증한 후에는 특정 업그레이드에 적합한 모든 변경 문서에서 업그레이드 절차를 참조해야 합니다.
솔루션 템플릿
솔루션 템플릿을 사용하여 표준 모듈형 네트워크 솔루션을 정의할 수 있습니다. 네트워크 모듈은 와이어링 클로짓(wiring closet), WAN 현장 사무실 또는 액세스 집중기일 수 있다. 각각의 경우 솔루션을 정의, 테스트 및 문서화하여 유사한 구축이 정확히 동일한 방식으로 수행될 수 있도록 해야 합니다. 이렇게 하면 솔루션의 동작이 잘 정의되어 있으므로 향후 변경 사항이 조직에 훨씬 낮은 위험 수준에서 발생할 수 있습니다.
위험이 높은 모든 구축 및 두 번 이상 구축될 솔루션에 대한 솔루션 템플릿을 생성합니다. 솔루션 템플릿에는 네트워크 솔루션에 대한 모든 표준 하드웨어, 소프트웨어, 구성, 케이블링 및 설치 요구 사항이 포함되어 있습니다. 솔루션 템플릿의 구체적인 세부 사항은 다음과 같습니다.
-
메모리, 플래시, 전원 및 카드 레이아웃을 포함한 하드웨어 및 하드웨어 모듈.
-
포트 할당, 연결, 속도 및 미디어 유형을 포함하는 논리적 토폴로지.
-
모듈 또는 펌웨어 버전을 포함한 소프트웨어 버전.
-
라우팅 프로토콜, 미디어 컨피그레이션, VLAN 컨피그레이션, 액세스 목록, 보안, 스위칭 경로, 스패닝 트리 매개변수 등을 비롯한 모든 비표준, 비디바이스 특정 컨피그레이션.
-
OOB(Out of Band) 관리 요구 사항
-
케이블 요구 사항.
-
환경, 전원 및 랙 위치를 포함한 설치 요구 사항.
솔루션 템플릿에는 많은 요구 사항이 포함되어 있지 않습니다. 특정 솔루션의 IP 주소 지정, 이름 지정, DNS 할당, DHCP 할당, PVC 할당, 인터페이스 설명자 등과 같은 특정 요구 사항은 전반적인 컨피그레이션 관리 관행으로 다루어야 합니다. 표준 컨피그레이션, 변경 관리 계획, 문서 업데이트 절차 또는 네트워크 관리 업데이트 절차와 같은 일반적인 요구 사항은 일반적인 컨피그레이션 관리 관행을 통해 다뤄져야 합니다.
문서 유지 관리
네트워크와 네트워크에서 발생한 변경 사항을 거의 실시간으로 문서화하는 것이 좋습니다. 문제 해결, 네트워크 관리 툴 디바이스 목록, 인벤토리, 검증, 감사에 이 정확한 네트워크 정보를 사용할 수 있습니다. 다음과 같은 네트워크 문서를 사용하는 것이 중요합니다.
현재 장치, 링크 및 최종 사용자 인벤토리
현재 디바이스, 링크, 최종 사용자 인벤토리 정보를 통해 네트워크 인벤토리 및 리소스, 문제 영향, 네트워크 변경 영향을 추적할 수 있습니다. 사용자 요구 사항과 관련하여 네트워크 인벤토리 및 리소스를 추적할 수 있으므로 관리되는 네트워크 디바이스가 활발하게 사용되고, 감사에 필요한 정보를 제공하며, 디바이스 리소스 관리에 도움이 됩니다. 최종 사용자 관계 데이터는 변경 위험과 영향을 정의하는 데 필요한 정보를 제공할 뿐 아니라 문제를 보다 신속하게 해결하고 해결할 수 있는 기능도 제공합니다. 장치, 링크 및 최종 사용자 인벤토리 데이터베이스는 일반적으로 많은 주요 서비스 공급자 조직에서 개발됩니다. 네트워크 인벤토리 소프트웨어의 선두 개발자는 Visionael Corporation입니다. 데이터베이스에는 유사한 디바이스, 링크, 고객 사용자/서버 데이터에 대한 테이블이 포함될 수 있으므로, 디바이스가 다운되거나 네트워크가 변경될 때 최종 사용자가 미치는 영향을 쉽게 파악할 수 있습니다.
컨피그레이션 버전 제어 시스템
컨피그레이션 버전 제어 시스템은 모든 디바이스의 현재 실행 중인 컨피그레이션 및 설정된 수의 이전 실행 버전을 유지 관리합니다. 이 정보는 트러블슈팅 및 컨피그레이션 또는 변경 감사에 사용할 수 있습니다. 트러블슈팅 시 현재 실행 중인 컨피그레이션을 이전 작동 버전과 비교하여 컨피그레이션이 어떤 방식으로든 문제와 연결되는지 파악할 수 있습니다. 3~5개의 이전 버전의 컨피그레이션을 유지하는 것이 좋습니다.
TACACS 컨피그레이션 로그
컨피그레이션을 변경한 사람과 시기를 식별하기 위해 TACACS 로깅 및 NTP를 사용할 수 있습니다. 이러한 서비스가 Cisco 네트워크 디바이스에서 활성화되면 컨피그레이션 변경 시 사용자 ID와 타임스탬프가 컨피그레이션 파일에 추가됩니다. 그런 다음 이 스탬프가 컨피그레이션 파일과 함께 컨피그레이션 버전 제어 시스템에 복사됩니다. 그런 다음 TACACS는 관리되지 않는 변경을 억제하고 발생한 변경 사항을 제대로 감사하는 메커니즘을 제공할 수 있습니다. TACACS는 Cisco Secure 제품을 사용하여 활성화됩니다. 사용자가 디바이스에 로그인할 때 사용자 ID와 비밀번호를 입력하여 TACACS 서버와 인증해야 합니다. NTP는 디바이스를 NTP 마스터 클럭으로 가리키면 네트워크 디바이스에서 쉽게 활성화됩니다.
네트워크 토폴로지 설명서
토폴로지 문서는 네트워크를 이해하고 지원하는 데 도움이 됩니다. 이를 사용하여 설계 지침을 검증하고 향후 설계, 변경 또는 문제 해결을 위해 네트워크에 대한 이해를 높일 수 있습니다. 토폴로지 설명서에는 연결성, 주소 지정, 미디어 유형, 장치, 랙 레이아웃, 카드 할당, 케이블 라우팅, 케이블 식별, 종단 지점, 전원 정보, 회로 식별 정보 등 논리적 문서와 물리적 문서가 모두 포함되어야 합니다.
토폴로지 문서를 유지 관리하는 것이 성공적인 구성 관리를 위한 열쇠입니다. 토폴로지 문서 유지 관리가 발생할 수 있는 환경을 만들려면 문서의 중요성을 강조하고 정보를 업데이트할 수 있어야 합니다. 네트워크 변경이 발생할 때마다 토폴로지 문서를 업데이트하는 것이 좋습니다.
네트워크 토폴로지 설명서는 일반적으로 Microsoft Visio와 같은 그래픽 응용 프로그램을 사용하여 유지 관리됩니다. Visionael과 같은 다른 제품에서는 토폴로지 정보를 관리할 수 있는 탁월한 기능을 제공합니다.
표준 검증 및 감사
컨피그레이션 관리 성능 지표는 네트워크 컨피그레이션 표준 및 주요 성공 요인을 검증하고 감사하는 메커니즘을 제공합니다. 구성 관리를 위한 프로세스 개선 프로그램을 구현하면 성능 지표를 사용하여 일관성 문제를 파악하고 전반적인 구성 관리를 개선할 수 있습니다.
컨피그레이션 관리 성공을 측정하고 컨피그레이션 관리 프로세스를 개선할 수 있는 다양한 기능을 갖춘 팀을 구성하는 것이 좋습니다. 팀의 첫 번째 목표는 구성 관리 문제를 파악하기 위해 구성 관리 성과 지표를 구현하는 것입니다. 다음 컨피그레이션 관리 성능 지표에 대해 자세히 살펴보겠습니다.
이러한 감사의 결과를 평가한 후 불일치를 해결하기 위한 프로젝트를 시작하고 문제의 초기 원인을 파악합니다. 잠재적 원인으로는 표준 문서화 부족 또는 일관된 프로세스 부족이 있습니다. 표준 문서를 개선하거나, 교육을 실시하거나, 프로세스를 개선하여 추가 구성 불일치를 방지할 수 있습니다.
월별 감사 또는 분기별(검증만 필요한 경우)을 권장합니다. 이전 감사를 검토하여 이전 문제가 해결되었는지 확인합니다. 전반적인 개선 사항과 목표를 확인하여 진행 상황과 가치를 보여 주십시오. 고위험, 중위험, 저위험 네트워크 컨피그레이션 불일치의 양을 보여주는 메트릭을 생성합니다.
컨피그레이션 무결성 검사
컨피그레이션 무결성 검사는 네트워크의 전반적인 컨피그레이션, 복잡성 및 일관성, 잠재적 문제 등을 평가해야 합니다. Cisco 네트워크에서는 Netsys 구성 검증 툴을 사용하는 것이 좋습니다. 이 툴은 모든 디바이스 컨피그레이션을 입력하고 중복 IP 주소, 프로토콜 불일치, 불일치와 같은 현재 문제를 식별하는 컨피그레이션 보고서를 생성합니다. 이 도구는 연결 또는 프로토콜 문제를 보고하지만 각 장치에서 평가를 위한 표준 컨피그레이션을 입력하지 않습니다. 수동으로 컨피그레이션 표준을 검토하거나 표준 컨피그레이션 차이를 보고하는 스크립트를 생성할 수 있습니다.
장치, 프로토콜 및 미디어 감사
장치, 프로토콜 및 미디어 감사는 소프트웨어 버전, 하드웨어 장치 및 모듈, 프로토콜 및 미디어, 명명 규칙에서 일관성을 나타내는 성능 지표입니다. 감사에서는 먼저 비표준 문제를 식별해야 하며, 이를 통해 문제를 해결하거나 개선하기 위한 컨피그레이션 업데이트가 이루어져야 합니다. 전체 프로세스를 평가하여 최적화되지 않은 구축 또는 비표준 구축이 발생하지 않도록 방지할 수 있는 방법을 결정합니다.
Cisco RME는 하드웨어 버전, 모듈 및 소프트웨어 버전을 감사하고 보고할 수 있는 구성 관리 툴입니다. 또한 Cisco는 IP, DLSW, 프레임 릴레이 및 ATM과의 불일치를 보고하는 더욱 포괄적인 미디어 및 프로토콜 감사를 개발하고 있습니다. 프로토콜 또는 미디어 감사가 개발되지 않은 경우 수동 감사를 사용할 수 있습니다. 이를테면 네트워크의 모든 유사 디바이스에 대해 디바이스, 버전 및 컨피그레이션을 검토하거나 디바이스, 버전 및 컨피그레이션을 스폿 검사합니다.
표준 및 문서 검토
이 성능 지표는 네트워크 및 표준 문서를 검토하여 정보가 정확하고 최신 상태인지 확인합니다. 감사에는 최신 문서 검토, 변경 또는 추가 권장, 새 표준 승인 등이 포함되어야 합니다.
분기별로 표준 구성 정의, 권장 하드웨어 구성을 포함한 솔루션 템플릿, 현재 표준 소프트웨어 버전, 모든 장치 및 소프트웨어 버전에 대한 업그레이드 절차, 토폴로지 설명서, 현재 템플릿, IP 주소 관리 등의 설명서를 검토해야 합니다.
피드백