넥스지의 VPN, 방화벽, IPS등의 기능을 제공하는 보안장비인 VForce UTM의 트래픽 관리를 위해 SNMP를 설정하고, 네트워크 인터페이스의 입출력 트래픽을 표시하기위한 OID를 찾아 MRTG에 적용하는 방법에 대해 설명한다.
일반적으로 네트워크 트래픽을 관리할 경우 보통, 스위치 포트의 트래픽을 모니터하는 것이 일반적이다. 하지만 상황에 따라 라우터나 보안장비의 트래픽을 모니터 해야할 경우도 있다. ISP의 회선이 보안장비나 라우터에 바로 연결되는 경우가 대표적인 경우로, ISP에서 트래픽 정보를 제공해 주지 않는다면, 가입자의 최상단 장비인 라우터나 보안장비의 트래픽을 모니터 할 필요가 생긴다.
넥스지 VForce UTM
넥스지 VForce UTM 시리즈는 VPN, 방화벽, IPS등의 기능을 제공하는 보안 제품군 이다. 성능에 따라 500, 1500, 2500, 3500, 4500 제품이 있었고, 현재는 단종되어 차세대 제품인 FW시리즈가 출시 되었지만, 아직까지 현역으로 돌아가는 장비들이 많이 있다.
VForce 장비의 트래픽을 모니터하고 관리하기 위해서는 넥스지에서 제공하는 NMS 프로그램을 사용하거나, 유지보수 계약을 맺은 업체를 통해 기술지원을 받는게 일반적이긴 하다. 하지만, 세상 모든 일에는 예외와 피치 못할 사정이란게 존재하기 마련이다. 다행히도 VForce의 웹 UI에는 실시간 트래픽 현황을 모니터할 수 있는 트래픽 모니터가 있다. 꽤 예쁜 UI이기는 하지만 제한이 좀 있는데,
- 5분 정도의 트래픽 기록만 확인 할 수 있다.
- 장비에 접속한 상태에서만 확인이 가능하다.
MRTG로 VForce 트래픽 관리
네트워크 장비인 VForce 역시 SNMP를 지원한다. 그 말인즉, SNMP를 이용해 장비의 데이터들을 끌어올 수 있다는 얘기고, 당연히 인터페이스의 트래픽 정보 또한 긁어올 수 있다. VForce 장비를 MRTG로 모니터하기 위해 설정할 것들은 다음과 같다.
VForce SNMP 활성화
VForce 에서 SNMP를 사용하기 위해서는 제일 먼저, VForce의 SNMP 서비스를 활성화해 주고 접근할 수 있는 권한을 설정해 주어야 한다. UI에 접속해, 좌측 메뉴에서 시스템 - 관리 - SNMP을 선택해 주면 SNMP관련 설정들이 나타난다.
그리고 SNMP 커뮤니티 목록에서 ADD 버튼을 눌러준다.
커뮤니터 설정을 진행할 수 있는 SNMP 커뮤니티 목록이라는 상자가 나타난다.
- 커뮤니티 이름
- 필수 입력항목으로, 사용할 커뮤니티 이름을 적어 준다.
- 권한
- 해당 커뮤니티가 읽기 전용인지, 읽기 쓰기권한인지 설정해 준다. 체크박스의 체크를 해제하면 읽기 전용으로 권한이 설정된다. 왠만하면 읽기 전용으로 설정하면 된다.
사용할 OID 확인
이제는 사용할 OID를 찾아야 할 차례이다. SNMPWALK를 이용해 사용할 수 있는 OID 목록을 확인해 보면 OID 목록이 좌라락 표시된다. 그 중에서 1.3.6.1.2.1.31.1.1.1(Interface) 의 영역을 보면, 각 인터페이스에 할당된 ID를 확인할 수 있다.
VForce의 모든 인터페이스들 중에서, 물리적 인터페이스는 ID가 10000000번 부터 할당 된 것을 알 수 있다. 나머지 것들은 모두 논리적 인터페이스의 이름이다. 만약 논리적 인터페이스를 모니터하고 싶다면 해당 ID를 사용해 주면 되겠다.
이제 인터페이스별 ID를 알았으니, 입력과 출력 트래픽을 나타내는 OID를 찾아야 한다. 1.3.6.1.2.1.31.1.1.1 영역에는 총 19개의 하위 OID가 존재한다. 그 중에서 입력 바이트 수를 나타내는 OID는 1.3.6.1.2.1.31.1.1.1.6(ifHCInOctets) 이고, 출력 바이트 수는 1.3.6.1.2.1.31.1.1.1.10(ifHCOutOctets)이다. 최종적으로, 물리적 포트를 모니터하기 위해 사용해야 하는 OID를 정리하면,
인터페이스 | In(ifHCInOctets) | Out(ifHCOutOctets) |
eth0 | 1.3.6.1.2.1.31.1.1.1.6.10000000 | 1.3.6.1.2.1.31.1.1.1.10.10000000 |
eth1 | 1.3.6.1.2.1.31.1.1.1.6.10000001 | 1.3.6.1.2.1.31.1.1.1.10.10000001 |
eth2 | 1.3.6.1.2.1.31.1.1.1.6.10000002 | 1.3.6.1.2.1.31.1.1.1.10.10000002 |
eth3 | 1.3.6.1.2.1.31.1.1.1.6.10000003 | 1.3.6.1.2.1.31.1.1.1.10.10000003 |
eth4 | 1.3.6.1.2.1.31.1.1.1.6.10000004 | 1.3.6.1.2.1.31.1.1.1.10.10000004 |
eth5 | 1.3.6.1.2.1.31.1.1.1.6.10000005 | 1.3.6.1.2.1.31.1.1.1.10.10000005 |
eth6 | 1.3.6.1.2.1.31.1.1.1.6.10000006 | 1.3.6.1.2.1.31.1.1.1.10.10000006 |
eth7 | 1.3.6.1.2.1.31.1.1.1.6.10000007 | 1.3.6.1.2.1.31.1.1.1.10.10000007 |
MRTG.CFG 적용
SNMP를 통해 가지고 와야 할 OID를 확인 했으니, 할 일은 다 한 것이다. 해당 OID를 MRTG.CFG에 적용해 주기만 하면 된다. 다음은 제일 첫번째 랜포트인 eth0의 입출력 트래픽을 모니터하기 위한 Target 설정의 예이다.
Target[WAN]: 1.3.6.1.2.1.31.1.1.1.6.10000000&1.3.6.1.2.1.31.1.1.1.10.10000000:eqblogdemo@192.168.123.123:::::2
MRTG를 재 실행해 주면, VForce 로 부터 받아온 데이터로 그래프를 열심히 그리는 MRTG의 모습을 확인할 수 있다.
굳이 넥스지의 VForce 뿐만 아니라고 해도, 이러한 방식으로 여러가지 장비들의 트래픽을 관리할 수 있다. 적합한 툴이 없고, 기술지원과의 연이 끊어 졌다 하더라도 기운내고 살 길을 찾아보자. 궁하면 다 통하게 되어 있다.
더 보기