목차/08. 시스템 관리

08시스템 관리시스템 관리

이 장은 Gaia OS의 시스템 차원 설정을 한 곳에 모아 다룹니다 — Expert mode·GRUB 암호, 프록시, 시간·날짜·NTP, Cloning Group, SNMP, 작업 스케줄러(cron), 메일 알림, 로그인 메시지, 세션 타임아웃, 코어 덤프, 시스템 로깅, Telnet 네트워크 접근, 접속 허용 호스트, 그리고 LLDP까지. 원문이 표·파라미터·명령으로 나열한 내용을 빠짐없이 담되, 왜 그렇게 쓰는지를 함께 풀어 둡니다.

시스템 암호 (System Passwords)

이 항목에서는 두 가지 암호를 설정합니다 — Expert mode 암호Gaia GRUB(부트 로더) 암호 입니다.

Expert mode 암호

Gaia의 기본 셸은 clish 이고, 이는 역할 기반으로 명령이 제한되는 restricted shell이라 저수준 시스템 기능에는 닿지 않습니다. 파일 시스템 같은 낮은 수준의 구성이 필요하면 더 허용적인 Expert mode 셸로 내려갑니다(추가로 sk144112 참고). Gaia Clish에서 expert 로 진입하고, exit 로 다시 Gaia Clish로 돌아옵니다(명령줄 인터페이스 참고). Expert mode 암호는 이 Expert 셸을 무단 접근으로부터 보호 합니다.

Gaia Portal에서System Management > System Passwords 로 들어가, Change Expert Password 칸에 6자 이상 의 암호를 입력하고 Apply 를 누릅니다(Portal 기본 포트 443을 바꿨다면 https://<IP>:<Port> 형태로 접속).

Gaia Clish에서 는 평문 또는 해시로 설정합니다.

set expert-password               # 평문(6자 이상)으로 설정
set expert-password-hash <Hash String>   # 솔트 해시로 설정

해시(hash <Hash String>)는 평문 대신 MD5·SHA256·SHA512 솔트 해시로 암호를 주는 방식으로, 백업 스크립트로 업그레이드·복원할 때 유용합니다(역시 6자 이상). 해시는 cpopenssl 명령으로 생성합니다(cpopenssl passwd -help 참고). 기본 해시 알고리즘 설정은 사용자 관리의 Password Hashing Algorithm 항목을 참고하세요.

해시 문자열의 형식과 규칙은 다음과 같습니다.

$<Hash Standard>$<Salt>$<Encrypted>
구성 요소규칙
전체 길이128자 미만 이어야 합니다.
<Hash Standard>1=MD5, 5=SHA256, 6=SHA512 중 하나의 숫자.
<Salt>a-z A-Z 0-9 . / [ ] _ ^` 문자로 이루어진 2~16자 문자열.
<Encrypted>위와 같은 문자 집합. MD5는 22자 미만, SHA256은 43자 미만, SHA512는 86자 미만.

암호는 일정 수준의 복잡도 도 요구합니다. 아래 예처럼 5자만 넣으면 길이 부족으로, 단순하면 복잡도 부족으로 거부됩니다.

gaia> set expert-password
Enter current expert password: *******
Enter new expert password: *****
Enter new expert password (again): *****
Password is only 5 characters long; it must be at least 6 characters in length.
Enter new expert password: ******
Enter new expert password (again): ******
Password is not complex enough; try mixing more different kinds of characters (upper case, lower case, digits, and punctuation).
Enter new expert password: *******
Enter new expert password (again): *******
gaia> save config

GRUB 암호

GRUB 암호 는 GRUB 메뉴와 GRUB 터미널을 보호합니다. 유지 보수 모드(Maintenance Mode)로 부팅하거나 Gaia 스냅샷을 되돌릴 때 Gaia가 이 암호를 묻습니다.

Gaia Portal에서System Management > System PasswordsChange GRUB Password 칸에 6자 이상의 암호를 입력하고 Apply 를 누릅니다.

Gaia Clish에서 는 평문 또는 SHA512 솔트 해시로 설정합니다.

set grub2-password                 # 평문(6자 이상)
set grub2-password-hash <Hash String>   # SHA512 솔트 해시

솔트 해시 방식은 사용자 정의 셸 스크립트로 업그레이드·복원할 때 씁니다.

GRUB 해시 문자열의 규칙은 다음과 같습니다. 해시는 Expert mode에서 grub2-mkpasswd-pbkdf2 명령으로 생성합니다.

grub.pbkdf2.sha512.<Rounds>.<Salt>.<Checksum>
구성 요소규칙
전체 길이282~512자 사이여야 합니다.
grub.pbkdf2.sha512고정 문자열.
<Rounds>10진수 반복 횟수. Gaia OS에서는 항상 10000 입니다.
<Salt>대문자 16진수로 인코딩된 솔트. 128자 여야 합니다.
<Checksum>대문자 16진수로 인코딩된 파생 키. 128자 여야 합니다.

평문으로 설정한 예입니다(설정 후 show configuration grub2-password로 확인하면 내부적으로는 해시로 저장된 것을 볼 수 있습니다).

gaia> set grub2-password
Enter new grub2 password: *
Enter new grub2 password (again): *
Password is only 1 characters long; it must be at least 6 characters in length.
Enter new grub2 password: ******
Enter new grub2 password (again): ******
Password is not complex enough; try mixing more different kinds of characters (upper case, lower case, digits, and punctuation).
Enter new grub2 password: *******
Enter new grub2 password (again): *******
gaia> show configuration grub2-password
set grub2-password-hash grub.pbkdf2.sha512.10000.B8A(---생략---)7D0.017(---생략---)623

해시로 직접 설정하려면 먼저 Expert mode에서 해시를 만든 뒤 Gaia Clish에서 적용합니다.

[Expert@gaia:0]# grub2-mkpasswd-pbkdf2
Enter password: *******
Reenter password: *******
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.B8A(---생략---)7D0.017(---생략---)623
[Expert@gaia:0]# clish
gaia> set grub2-password-hash grub.pbkdf2.sha512.10000.B8A(---생략---)7D0.017(---생략---)623

프록시 (Proxy)

프록시는 무엇이 프록시를 거치느냐 에 따라 설정 위치가 다릅니다.

  • Gaia 운영체제용 프록시 — 이 Gaia 서버가 프록시를 거쳐 네트워크에 연결되는 경우 설정합니다. 이 설정은 Gaia OS에만 적용되고 Software Blade에는 적용되지 않 습니다.
  • Check Point 서버용 프록시 — Management Server·Security Gateway·Cluster가 업데이트 다운로드나 ThreatCloud 연결을 위해 Check Point 서버에 프록시로 접속하는 경우, SmartConsole에서 설정합니다. 이 설정은 Gaia 위에서 도는 Software Blade에만 적용됩니다.
SmartConsole 위치설명
Menu > Global properties > ProxyManagement Server와 관리되는 모든 Security Gateway·Cluster에 적용되는 전역 설정.
대상 객체 속성 > Network Management > Proxy해당 객체에 한해 전역 프록시 설정을 덮어씁니다.
  • HTTP/HTTPS 프록시로서의 Security Gateway — Security Gateway나 Cluster 자체를 HTTP/HTTPS 프록시로 구성할 수도 있습니다(R82 Quantum Security Gateway Guide의 "HTTP/HTTPS Proxy" 장 참고).

Gaia Portal에서 프록시 설정

System Management > Proxy 로 들어가, 신규/편집 시에는 Use a Proxy server 를 선택하고 프록시 서버의 IP 또는 호스트명과 포트를 입력한 뒤 Apply 를 누릅니다. 제거할 때는 Use a Proxy server 선택을 해제하고 Apply 를 누릅니다.

Gaia Clish에서 프록시 설정

set proxy address <IP Address or Hostname of the Proxy Server> port <1-65535>   # 설정/편집

delete proxy           # 제거
    address
    all
    port

show proxy             # 조회
    address
    port

시간 (Time)

모든 Security Management Server·Security Gateway·Cluster Member는 시스템 시계를 동기화 해야 합니다. 이유는 여러 가지입니다.

  • 장비가 정확히 동기화되지 않으면 SIC 신뢰(trust) 가 실패할 수 있습니다.
  • Cluster 동기화 는 멤버 간 정밀한 시계 동기화를 요구합니다.
  • SmartEvent Correlation 은 약 1초 단위로 동기화된 타임스탬프를 사용합니다.
  • cron 작업 이 올바른 시각에 실행되게 합니다.
  • 올바른 시간을 기준으로 인증서 유효성 검증 을 합니다.

시스템 날짜·시간을 맞추는 방법은 두 가지입니다 — NTP(Network Time Protocol)Gaia Portal·Gaia Clish에서의 수동 설정 입니다. NTP는 클라이언트 컴퓨터에서 백그라운드 클라이언트 프로그램으로 돌면서, 지정한 서버에 주기적으로 시간 요청을 보내 시계를 동기화합니다.

Gaia Portal에서 시간과 날짜 설정

System Management > Time 에서 Set Time and Date 를 누른 뒤,

  • 수동Set Time and Date manually 를 선택하고 시간·날짜를 입력한 뒤 OK.
  • NTP 서버 자동Set Time and Date automatically using Network Time Protocol (NTP) 를 선택 → AddType 에서 Server 선택 → Address 에 NTP 서버 호스트명/IP → Version 에서 NTP 버전 → Save. 서버·풀이 둘 이상이면 Preferred Server 에서 우선 서버를 고르고 OK.
  • NTP Pool 자동 — 위와 같되 Type 에서 Pool 을 선택합니다. NTP Pool은 하나의 IP 주소로 NTP 서버 그룹을 대표 합니다.

설정한 NTP 서버/풀은 Set Time and Date automatically... 화면에서 항목을 골라 Edit 로 편집하거나 Remove(→Yes)로 삭제합니다. 시간대(Time Zone) 는 같은 페이지에서 Set Time Zone 을 눌러 목록에서 골라 OK 를 누릅니다.

Gaia Clish에서 시간과 날짜 설정

현재 날짜·시간은 한 번에 봅니다.

gaia> show clock
Wed Jan 8 15:20:00 2020 GMT+1

시간·날짜·시간대는 각각 다음과 같이 설정·조회합니다.

set time <Time of the Day>        # HH:MM:SS 형식
show time

set date <Date>                   # YYYY-MM-DD 형식
show date

set timezone <Area> / <Region>    # 슬래시(/) 앞뒤 공백 필수
show timezone
파라미터설명
<Time of the Day>현재 시스템 시간. HH:MM:SS 형식.
<Date>날짜. YYYY-MM-DD 형식. 예: set date 2020-01-20.
<Area>대륙·지리 영역(대소문자 구분). <SPACE><TAB>로 유효 값 확인.
<Region>지정한 영역 안의 지역(대소문자 구분). <SPACE><TAB>로 유효 값 확인.

Gaia Clish에서 NTP 설정

NTP 설정은 다음 순서(워크플로)로 진행합니다(기본 NTP 버전은 4).

  1. 필요한 NTP 서버/풀을 추가합니다.
   add ntp server address <IPv4 address or Hostname> type {pool | server}
   
  1. (선택) NTP 인터페이스를 추가합니다 — add ntp interface <Name of Interface>
  2. NTP 버전이 3 이하여야 하면 버전을 지정합니다.
   set ntp server address <IPv4 address or Hostname> version {1 | 2 | 3}
   
  1. (선택) 우선 NTP 서버/풀을 지정합니다 — set ntp server preferred <IPv4 address or Hostname>
  2. 구성을 확인합니다 — show ntp servers, show ntp preferred, show ntp interface
  3. NTP를 활성화합니다 — set ntp active on
  4. 변경을 저장합니다 — save config

기본적으로 Gaia는 라우팅 테이블을 따라 모든 인터페이스 로 NTP 서버와 통신합니다. 특정 인터페이스 하나만 쓰게 하려면 NTP 인터페이스를 추가하는데, 그 인터페이스에는 IP 주소가 할당되어 있어야 합니다. 모든 NTP 인터페이스를 삭제하면 다시 모든 인터페이스를 사용하는 기본 동작으로 돌아갑니다.

전체 구문은 다음과 같습니다.

add ntp interface <Name of Interface>
add ntp server address <IPv4 address or Hostname> type server   # 서버 추가
add ntp server address <IPv4 address or Hostname> type pool     # 풀 추가

set ntp
    active {on | off}
    server
        address <IPv4 address or Hostname>
            type {pool | server}
            version {1|2|3|4}
    preferred <IPv4 address or Hostname>

show ntp
    active
    current
    interface
    preferred
    servers

delete ntp server <IPv4 address or Hostname>
delete ntp interface <Name of Interface>
파라미터설명
activeNTP 상태 표시 — Yes(활성), No(비활성).
currentGaia가 현재 사용 중 인 NTP 서버/풀의 IP·호스트명.
interface지정된 NTP 인터페이스 표시.
servers구성된 NTP 서버/풀 표시.
`active {on\off}`NTP를 켜거나(on) 끕니다(off).
serverNTP 서버(시간 서버)를 식별하는 키워드. 이 시간 서버는 Gaia의 로컬 시계에 동기화하지 않 습니다.
`version {1\2\3\4}`NTP 버전 번호.
preferred우선 NTP 서버/풀을 설정·표시.
<Name of Interface><TAB>을 눌러 사용 가능한 인터페이스 확인.

설정 예입니다.

gaia> add ntp server address ntp1.example.com type server
gaia> add ntp server address pool.ntp.org type pool
gaia> add ntp interface eth0
gaia> set ntp server preferred ntp1.example.com
gaia> show ntp servers
IP Address          Type    Version  Preferred
ntp1.example.com    server  4        yes
pool.ntp.org        pool    4        no
gaia> show ntp preferred
ntp1.example.com
gaia> show ntp interface
eth0
gaia> set ntp active on
gaia> save config

Cloning Group

Cloning Group여러 Gaia Security Gateway가 OS 구성과 공유 기능 설정을 서로 동기화 하는 집합입니다(예: DNS, ARP).

Gaia Portal에서 Cloning Group 구성

새 Cloning Group 만들기System Management > Cloning Group 에서 Start Cloning Group Creation WizardCreate a new Cloning Group 을 고른 뒤,

  1. Cloning Group Name 에 이름을 입력합니다.
  2. IP for cloning 에서 멤버 간 설정 동기화에 쓸 IPv4 주소(인터페이스)를 고릅니다. 안전한 내부 네트워크의 인터페이스 를 고르세요.
  3. PasswordConfirm Password 에 관리 계정(cadmin) 암호를 입력합니다. 이 암호는 그룹 관리, 다른 Gateway 추가, 멤버 간 암호화 트래픽 생성에 필요합니다.

이어 Shared Features 화면에서 다른 멤버로 복제할 기능을 고르고(예: 클러스터 멤버 Gateway에는 정적 경로를 복제하지 않는 편이 나을 수 있음), NextFinish 합니다.

공유 기능 목록 (Gaia Portal)

Gaia Portal에 표시되는 순서대로의 공유 기능입니다.

공유 기능설명
SNMPSNMP 구성.
Banner Messages배너 메시지 구성.
Job Scheduler특정 시각에 작업을 수행하는 자동 작업 예약.
DNSDNS 서버 구성.
ARP정적/프록시 ARP 항목 구성, 동적 ARP 제어.
System Logging시스템 로깅 설정 구성.
Host Access Control클러스터 장비에 연결을 허용할 호스트 구성.
Proxy Settings프록시 설정 구성.
Host Address Assignment알려진 호스트(known hosts) 구성.
NTP네트워크 시계 동기화용 NTP 구성.
Password Policy암호·계정 정책 구성.
Time시스템 시간·날짜 구성.
Network AccessGaia 네트워크 접근 구성.
Display Format시간·날짜·넷마스크 표시 형식 구성.
Mail NotificationGaia가 알림을 보낼 이메일 주소 구성.
Inactivity timeout비활성 타임아웃 등 세션 파라미터 구성.
Users and Roles사용자·역할 설정 구성.
Static Routes정적 경로 구성.
DHCP Relay서로 다른 IPv4 네트워크의 클라이언트·서버 간 DHCP·BOOTP 메시지 중계.
IPv6 DHCP Relay서로 다른 IPv6 네트워크 간 DHCPv6 메시지 중계.
BGPBGP 동적 라우팅 구성.
IGMPIGMP로 멀티캐스트 그룹 멤버십 설정.
PIMProtocol-Independent Multicast 구성.
Static Multicast Routes정적 멀티캐스트 경로 구성.
RIPRIP IPv4 동적 라우팅 구성.
RIPngRIP IPv6 동적 라우팅 구성.
OSPFOSPFv2(IPv4) 동적 라우팅 구성.
IPv6 OSPFOSPFv3(IPv6) 동적 라우팅 구성.
Route Aggregation공통 프리픽스를 가진 네트워크를 합쳐 슈퍼넷 생성.
Inbound Route FiltersRIP·OSPFv2·BGP·OSPFv3용 인바운드 경로 필터 구성(IPv4/IPv6).
IP Reachability DetectionIP 주소 도달성 탐지 구성.
Route Redistribution한 프로토콜의 라우팅 정보를 다른 프로토콜로 광고(IPv4/IPv6).
Route Map동적 라우팅 route map 구성.
Prefix Lists and Trees동적 라우팅 프리픽스 목록·트리 구성.
Routing Options프로토콜 순위·trace(디버그) 옵션 구성.
Policy Based RoutingPBR 우선순위 규칙·동작 테이블 구성.
Scheduled BackupsGaia 예약 백업 구성.

Cloning Group 관리하기

그룹을 관리하려면 cadmin 계정 으로 로그인합니다. Gaia Portal에서 로그아웃한 뒤 같은 Portal에 cadmin 계정·암호로 다시 로그인합니다.

System Management > Cloning Group 에서 Shared Features 를 고른 뒤 Set Shared Features 를 누르면 그 기능이 모든 멤버로 전파됩니다. 예를 들어 DNS가 공유 기능일 때 한 멤버에서 기본 DNS 서버를 구성하면 모든 멤버에 전파되고, 각 멤버 Portal에서는 해당 설정이 회색으로 비활성화 됩니다.

할당된 관리자로 관리 — 멤버 Gateway의 Gaia Portal에 접속해 상단 Group Mode 를 누르면 Cloning Group 관리 모드로 전환됩니다.

기존 Cloning Group 가입 — 멤버 Gateway의 Portal에서 Start Cloning Group Creation WizardJoin an existing Cloning Group 을 고른 뒤, Remote Member Address(기존 멤버의 IPv4), IP for cloning(안전한 내부망 인터페이스, 대상 Gaia와의 물리 연결 확인), Password(가입할 그룹을 만들 때 입력한 것과 동일한 cadmin 암호)를 입력하고 Finish 합니다. cadmin 암호는 cadmin 계정 로그인과 동기화 중 멤버 인증 자격 증명 생성 에 쓰입니다.

ClusterXL을 따르는 Cloning Group 만들기 — Gateway가 ClusterXL의 멤버일 때 선택합니다.

마법사에서 Cloning group follows ClusterXL 을 고르고 이름·cadmin 암호를 입력한 뒤 NextFinish 하며, 이 과정을 모든 클러스터 멤버에서 반복합니다.

Gaia Clish에서 Cloning Group 구성

Cloning Group 모드

Cloning Group은 Manual 모드 또는 ClusterXL 모드 로 만들 수 있습니다.

  • Manual 모드 첫 멤버 만들기 — 모드를 manual로 설정 → 로컬 IP 설정 → 암호 설정 → state를 on으로 설정 → (선택) 이름 설정.
  • Manual 모드에 다른 Gateway 추가 — 각 Gateway에서: 모드를 manual로 설정 → 로컬 IP 설정 → 암호 설정 → join cloning group 명령으로 가입.
  • ClusterXL 모드 멤버 만들기 — 모든 멤버 Gateway에서: 모드를 cluster-xl로 설정 → 암호 설정 → state를 on으로 설정.

CLI 구문

생성·구성

set cloning-group
    local-ip <IPv4 address>
    mode {manual | cluster-xl}
    name <Name of Cloning Group>
    password <Password>
    state {on | off}
파라미터설명
local-ip <IPv4 address>멤버 간 공유 기능 동기화에 쓰는 IPv4 주소.
`mode {manual \cluster-xl}`Cloning Group을 수동으로 정의할지, ClusterXL을 통해 정의할지 결정.
name <Name of Cloning Group>Cloning Group 이름.
password <Password>cadmin 계정 암호. 프롬프트가 뜨면 입력·확인.
`state {on \off}`기능을 켜거나(on) 끕니다(off).

공유 기능 추가/삭제

add cloning-group shared-feature <Feature>
delete cloning-group shared-feature <Feature>

<Feature> 는 멤버 간에 동기화할(또는 목록에서 뺄) 기능 이름입니다. 활성화된 공유 기능 목록을 보려면 delete cloning-group shared-feature 를 입력하고 <SPACE><TAB>을 누릅니다. Gaia Clish에서 show cloning-group shared-feature 명령이 표시하는 순서대로의 기능 이름은 다음과 같습니다.

기능 이름설명
aggregate경로 집계 — 공통 프리픽스 네트워크를 합쳐 슈퍼넷 생성.
bgpBGP 동적 라우팅.
bootpIPv4 DHCP Relay — DHCP·BOOTP 메시지 중계.
cron작업 스케줄러 — 특정 시각 자동 작업 예약.
dhcp6relayIPv6 DHCP Relay — DHCPv6 메시지 중계.
dnsDNS 서버 구성.
hosts알려진 호스트 구성.
igmpIGMP로 멀티캐스트 그룹 멤버십 설정.
inboundfiltersRIP·OSPFv2·BGP·OSPFv3용 인바운드 경로 필터(IPv4/IPv6).
ipreachdetectIP 주소 도달성 탐지.
time시스템 시간·날짜.
ntpNTP 구성.
message배너 메시지 구성.
ospfOSPFv2(IPv4) 동적 라우팅.
ospf3OSPFv3(IPv6) 동적 라우팅.
password-controls암호·계정 정책 구성.
mailrelayGaia 메일 알림 이메일 주소 구성.
display-format시간·날짜·넷마스크 표시 형식.
http비활성 타임아웃 등 세션 파라미터.
net-accessGaia 네트워크 접근 구성.
users-and-roles사용자·역할 설정.
arp정적/프록시 ARP 항목 구성, 동적 ARP 제어.
syslog시스템 로깅 설정.
proxy프록시 설정.
host-access클러스터 장비 연결 허용 호스트.
pbrPBR 우선순위 규칙·동작 테이블.
pimProtocol-Independent Multicast.
prefix동적 라우팅 프리픽스 목록·트리.
redistribution경로 재분배(IPv4/IPv6).
ripRIP IPv4 동적 라우팅.
ripngRIP IPv6 동적 라우팅.
routemap동적 라우팅 route map.
routingoptions프로토콜 순위·trace 옵션.
static정적 경로.
static-mroute정적 멀티캐스트 경로.
snmpSNMP 구성.
backupGaia 예약 백업.

가입·탈퇴·삭제

join cloning-group remote-ip <IPv4 address of Cloning Group>   # 기존 그룹에 가입
leave cloning-group                                            # 자신을 그룹에서 제거
delete cloning-group disconnected-member <IPv4 address of Member>   # 접근 불가 멤버 제거

join<IPv4 address of Cloning Group> 은 가입 대상 멤버의 IPv4 주소입니다.

조회·동기화·관리 모드

show cloning-group
    local-ip
    members
    mode
    name
    shared-feature
    state
    status

re-synch cloning-group               # 멤버 동기화
set cloning-group-management {on | off}   # 관리 모드 켜기/끄기
파라미터설명
local-ip멤버 간 공유 기능 동기화에 쓰는 IPv4 주소.
membersCloning Group의 멤버 표시.
mode모드 표시 — Manual 또는 Cluster XL.
name그룹 이름 표시.
shared-feature모든 멤버가 사용하도록 활성화된 공유 기능 목록.
state그룹 상태 표시 — 활성/비활성.
status멤버 상태 표시.

SNMP

개요

SNMP(Simple Network Management Protocol)네트워크 장비에 관리 정보를 주고받는 인터넷 표준 프로토콜 입니다. SNMP는 PDU(protocol data unit) 라는 메시지를 보내며, SNMP를 지원하는 장비(agent)는 자신에 관한 데이터를 MIB(Management Information Base) 에 보관했다가 요청자에게 돌려줍니다. Check Point의 SNMP 구현은 SNMP 관리자가 시스템을 모니터링하고 일부 객체만 수정하게 해 줍니다. read-only·read-write 커뮤니티 문자열을 각각 하나씩 정의·변경할 수 있고, 트랩 수신자를 추가·삭제하며 다양한 트랩을 켜고 끌 수 있습니다.

  • Check Point 구현은 SNMPv3의 USM(User-based Security model) 부분도 지원합니다.
  • Gaia의 SNMP는 NET-SNMP 를 기반으로 하며, 보안 등의 수정이 더해졌습니다(자세한 내용은 Net-SNMP 참고).
  • Scalable Platform Security Group은 OID 분기 1.3.6.1.4.1.2620.1.48(...products.asg)만 지원하며, VPN 상태는 tunnelTable 분기(1.3.6.1.4.1.2620.500.9002.1)로 봅니다.
  • Scalable Platform Security Group은 트랩 OID 1.3.6.1.4.1.2620.1.2001(...products.asg Trap)만 지원합니다.

지원되는 MIB의 위치는 다음과 같습니다(자세한 내용은 sk90470 참고).

MIB위치
표준 MIB/usr/share/snmp/mibs/*.txt
Check Point MIB$CPDIR/lib/snmp/chkpnt.mib, $CPDIR/lib/snmp/chkpnt-trap.mib
Check Point Gaia trap MIB/etc/snmp/GaiaTrapsMIB.mib

SNMP 관리자는 GetRequest·GetNextRequest·GetBulkRequest 와 일부 트랩으로 장비를 모니터링합니다. 또한 SetRequestsysContact·sysLocation·sysName 속성을 바꿀 수 있는데, set 동작이 되려면 read-write 권한을 설정 해야 합니다. Gaia는 SNMP v1·v2·v3를 지원하며, Gaia로는 read-only/read-write 커뮤니티 문자열 정의·변경, SNMP 데몬 활성화/비활성화, SNMP 사용자 생성·변경, 트랩 수신자 추가·삭제, 각종 트랩 켜기/끄기, 위치·연락처 문자열 입력 등을 할 수 있습니다.

SNMP v3 - 사용자 기반 보안 모델 (USM)

Gaia는 메시지 수준 보안을 위해 SNMPv3의 USM 을 지원합니다(RFC 3414). USM에서는 사용자 신원에 따라 SNMP 서비스 접근을 제어 합니다. 각 사용자는 이름, 인증 패스 구문(사용자 식별용), 그리고 선택적 프라이버시 패스 구문(SNMP 메시지 페이로드 노출 방지용)을 가집니다. 시스템은 인증·무결성 보호에 MD5 해싱을, 암호화(프라이버시)에 DES를 씁니다.

SNMP 사용자는 시스템 사용자와 별개로 관리 됩니다. 기존 사용자와 같은 이름으로 만들 수도, 다른 이름으로 만들 수도, 대응하는 시스템 계정 없이 만들 수도 있습니다. 시스템 사용자 계정을 지워도 SNMP 사용자 계정은 따로 삭제해야 합니다.

SNMP 활성화

SNMP 데몬은 기본적으로 비활성화 되어 있습니다. 사용하려면 보안 요구에 맞게 활성화·구성하되, 최소한 기본 커뮤니티 문자열 public 은 다른 값으로 바꿔야 합니다. 모든 버전(v1·v2·v3)을 쓸지, SNMPv3 접근만 허용할지 고를 수 있습니다.

SNMP Agent 주소

SNMP Agent 주소 는 SNMP 에이전트가 요청을 듣고 응답하는 지정 IP 주소입니다. 기본 동작은 모든 인터페이스에서 요청을 듣고 응답하는 것이지만, 에이전트 주소를 하나 이상 지정하면 그 인터페이스에서만 응답 합니다. 이를 SNMP 접근을 제한하는 또 다른 방법으로 쓸 수 있습니다 — 예컨대 특정 인터페이스를 쓰는 안전한 내부망 하나로만 접근을 제한하려면 그 인터페이스를 유일한 에이전트 주소로 설정합니다.

SNMP 트랩

관리되는 장비는 트랩 메시지로 이벤트를 NMS(Network Management Station)에 보고 합니다. Gaia 고유 트랩은 /etc/snmp/GaiaTrapsMIB.mib 파일에 정의되어 있으며, Gaia가 지원하는 트랩은 다음과 같습니다.

트랩 종류설명
coldStartSNMPv2 에이전트가 다시 초기화될 때 알림.
linkUpLinkDown링크 중 하나가 up/down으로 상태가 바뀔 때 알림.
authorizationErrorSNMP 작업이 올바로 인증되지 않을 때 알림.
configurationChange시스템 구성 변경이 적용될 때 알림.
configurationSave시스템 구성에 영구 변경이 일어날 때 알림.
lowDiskSpace시스템 디스크 공간이 부족할 때 알림. / 파티션 사용률이 80% 이상 이면 전송.
powerSupplyFailure전원 공급 장치 고장 시 알림. 전원 공급 장치가 2개 설치·동작 하는 플랫폼에서만 지원.
fanFailureCPU·섀시 팬 고장 시 알림.
overTemperature온도가 임계값을 넘을 때 알림.
highVoltage전압 센서 중 하나가 최댓값을 초과할 때 알림.
lowVoltage전압 센서 중 하나가 최솟값 아래로 떨어질 때 알림.
raidVolumeStateRAID 볼륨 상태가 최적이 아닐 때 알림. RAID를 지원하는 장비에서만 동작(raid_diagnostic 으로 RAID 상태 확인 가능).
biosFailurePrimary BIOS 고장 감지 시 알림(이벤트 1회 발생 시 전송). Dual BIOS 장비에 적용.
vrrpv2AuthFailureVRRP 멤버가 VRRPv2(IPv4)·VRRPv3(IPv6)에서 패킷 인증 실패 시 알림. 폴링 간격마다 전송.
vrrpv2NewMasterVRRP 멤버가 VRRPv2(IPv4)에서 Master 상태로 전환 시 알림. 폴링 간격마다 전송.
vrrpv3NewMasterVRRP 멤버가 VRRPv3(IPv6)에서 Master 상태로 전환 시 알림. 폴링 간격마다 전송.
vrrpv3ProtoErrorVRRP 멤버가 VRRPv2(IPv4)·VRRPv3(IPv6)에서 프로토콜 오류 시 알림. 폴링 간격마다 전송.

Gaia Portal에서 SNMP 구성

자세한 내용은 sk90860(How to configure SNMP on Gaia OS)을 참고하세요. 모든 작업은 System Management > SNMP 에서 시작합니다.

SNMP 활성화Enable SNMP Agent 선택 → Version 에서 버전 선택(1/v2/v3 (any) 는 관리 스테이션이 v3 미지원일 때, v3-Only 는 v3 지원으로 더 높은 보안일 때) → SNMP Location StringSNMP Contact String 입력(각각 최대 128자, 문자·숫자·공백·특수문자 가능) → Apply.

Agent 인터페이스 — SNMP 페이지의 SNMP Addresses 표에서 인터페이스를 고릅니다. 기본은 모든 인터페이스 선택이며 개별 선택도 가능합니다.

커뮤니티 문자열V1/V2 SettingsRead Only Community String반드시 public 이 아닌 값으로 설정합니다(기본 보안 조치). 필요하면 Read-Write Community String 도 설정합니다.

USM 사용자 추가V3 - User-Based Security Model (USM) 섹션에서 Add 를 누르고 다음을 설정합니다.

필드설명
User Name사용자 이름(시스템 계정명과 같아도 됨). 영숫자만, 공백·역슬래시·콜론 불가. 길이는 Management Server·Log Server·Gateway 모드(MDPS 비활성)에서 1~31자, VSX 모드·MDPS 활성 Gateway에서 1~26자.
Security LevelauthPriv(인증+프라이버시 패스 구문, 프라이버시 암호화로 연결) 또는 authNoPriv(인증 패스 구문만, 암호화 없이 연결).
User Permissionsread-only 또는 read-write.
Authentication ProtocolSHA256 또는 SHA512(기본 SHA512).
Authentication Pass Phrase8~128자 의 인증 암호.
Privacy ProtocolDES·AES·AES256(기본 DES).
Privacy Pass Phrase8~128자 의 프라이버시 패스 구문. SNMP 메시지 페이로드 노출 방지에 사용.

USM 사용자는 같은 섹션에서 Edit(Security Level·권한·프로토콜·패스 구문 변경) 또는 Remove(→Yes)로 편집·삭제합니다.

트랩 종류 켜기/끄기Enabled Traps 섹션의 Set 에서 Disabled TrapsAdd> 로 활성화, Enabled TrapsRemove> 로 비활성화한 뒤 Save. 이어 SNMPv1·v2만 쓰더라도 Trap User 에 SNMP 사용자를 지정하고, Polling Frequency(폴 간격 초)를 지정한 뒤 Apply.

트랩 수신자Trap Receivers SettingsAdd 에서 IPv4 Address·Version·Community String 을 입력하고 Save. Edit 로 버전·커뮤니티 문자열을 바꾸고, Remove(→Yes)로 삭제합니다.

사용자 정의 트랩(Custom Traps)Custom TrapsAdd 에서 다음을 입력합니다.

필드설명
Trap Name트랩 이름. 1~128자.
OID조회할 SNMP OID. 숫자와 마침표만, 2~128개 의 서브 식별자(각 0~4294967295). 첫 서브 식별자는 0·1(이 경우 둘째는 0~39) 또는 2(2.X.…) 중 하나.
Operator반환 값을 검사할 연산자 — Equal·Not_Equal·Less_Than·Greater_Than·Changed(직전 조회 값과 다름).
ThresholdOID 조회 반환 값과 비교할 정수. 1~128자.
FrequencyOID 조회 간격(초). 1~4294967295.
MessageGaia가 보내는 SNMP 트랩 패킷에 담길 메시지. 1~128자.

Edit 로 같은 항목을 수정하고, Remove(→Yes)로 삭제합니다. Scalable Platform의 트랩은 R82 Scalable Platforms Administration Guide를 참고하세요.

Gaia Clish에서 SNMP 구성

사용 가능한 명령을 모두 보려면 add snmp(또는 set snmp, delete snmp)를 입력한 뒤 <SPACE><ESC><ESC> 를 누릅니다.

add 명령

add snmp interface <Name of Interface>
add snmp traps receiver <IPv4 address> version {v1 | v2 | v3} community <String>
add snmp custom-trap <Custom Trap Name> oid <Value> operator <Logical Operator> threshold <Value> frequency <Value> message "<Text>"
add snmp usm user <UserName> security-level authPriv auth-pass-phrase <Pass Phrase> privacy-pass-phrase <Privacy Pass Phrase> privacy-protocol {DES | AES} authentication-protocol {MD5 | SHA1}
add snmp usm user <UserName> security-level authPriv auth-pass-phrase-hashed <Hashed Pass Phrase> privacy-pass-phrase <Privacy Pass Phrase> privacy-protocol {DES | AES} authentication-protocol {MD5 | SHA1}
add snmp usm user <UserName> security-level authNoPriv auth-pass-phrase <Pass Phrase> authentication-protocol {MD5 | SHA1}
add snmp usm user <UserName> security-level authNoPriv auth-pass-phrase-hashed <Hashed Pass Phrase>
명령설명
add snmp custom-trap …사용자 정의 트랩 추가. <Custom Trap Name>(1~128자), oid(2~128개 서브 식별자, 각 0~4294967295, 첫 서브 식별자 규칙은 Portal과 동일), operator(Equal·Not_Equal·Less_Than·Greater_Than·Changed), threshold(1~128자), frequency(1~4294967295초), message(1~128자).
add snmp interface …SNMP 데몬이 수신할 로컬 인터페이스 추가.
add snmp traps receiver …SNMP Trap Sink 추가.
add snmp usm user …SNMPv3 USM 사용자 추가(이름 규칙은 Portal과 동일 — 영숫자만, Gateway 모드 1~31자·VSX/MDPS 1~26자).

set 명령

set snmp agent {on | off}
set snmp agent-version {any | v3-Only}
set snmp clear-trap interval <Value> retries <Value>
set snmp custom-trap <Custom Trap Name> oid <Value> operator <Logical Operator> threshold <Value> frequency <Value> message "<Text>"
set snmp traps coldStart-threshold <Seconds>
set snmp traps polling-frequency <Seconds>
set snmp traps receiver <IPv4 address> version {v1 | v2 | v3} community <String>
set snmp traps trap {authorizationError | biosFailure | coldStart | configurationChange | configurationSave | fanFailure | highVoltage | linkUpLinkDown | lowDiskSpace | lowVoltage | overTemperature | powerSupplyFailure | raidVolumeState | vrrpv2AuthFailure | vrrpv2NewMaster | vrrpv3NewMaster | vrrpv3ProtoError}
set snmp traps trap-user <UserName>
set snmp community <String> {read-only | read-write}
set snmp contact <Contact Information>
set snmp location <Location Information>
set snmp mode {default | vs}
set snmp usm user <UserName> security-level authPriv auth-pass-phrase <Pass Phrase> privacy-pass-phrase <Privacy Pass Phrase> privacy-protocol {DES | AES | AES256} authentication-protocol {SHA256 | SHA512}
set snmp usm user <UserName> security-level authPriv auth-pass-phrase-hashed <Hashed Pass Phrase> privacy-pass-phrase <Privacy Pass Phrase> privacy-protocol {DES | AES | AES256} authentication-protocol {SHA256 | SHA512}
set snmp usm user <UserName> security-level authNoPriv auth-pass-phrase <Pass Phrase> authentication-protocol {SHA256 | SHA512}
set snmp usm user <UserName> security-level authNoPriv auth-pass-phrase-hashed <Hashed Pass Phrase>
set snmp usm user <UserName> {usm-read-only | usm-read-write}
set snmp usm user <UserName> vsid {all | <IDs of allowed Virtual Devices>}
set snmp vs-direct-access {on | off}
명령설명
`set snmp agent-version {any\v3-Only}`지원 버전 — all(v1·v2·v3) 또는 v3-Only.
`set snmp agent {on\off}`SNMP Agent 켜기/끄기.
set snmp clear-trap …사용자 정의 트랩 종료 표시 구성.
`set snmp community <String> {read-only\read-write}`커뮤니티 암호와 권한(읽기 전용/읽기·쓰기) 구성.
set snmp contact …커뮤니티 연락처 이름 구성.
set snmp custom-trap …기존 사용자 정의 트랩 설정 변경(add snmp custom-trap 설명 참조).
set snmp location …커뮤니티 연락처 위치 구성.
`set snmp mode {default\vs}`SNMP 데몬 실행 방식 — default(비-VSX는 유일 지원 모드, VSX에서는 VS0 컨텍스트에서만 실행), vs(VSX 전용, 각 Virtual Device가 자기 컨텍스트에서 별도 SNMP 데몬 실행).
set snmp traps coldStart-threshold <Seconds>coldStart 트랩 임계값 구성.
set snmp traps polling-frequency <Seconds>트랩 폴링 간격 구성.
set snmp traps receiver …Trap Sink의 IPv4 주소 구성.
set snmp traps trap-user <UserName>트랩을 생성할 사용자 구성.
set snmp traps trap …Gaia 내장 트랩 구성.
set snmp usm user <UserName> …SNMPv3 USM 사용자 구성(인증·프라이버시 프로토콜 변경 시 해당 패스 구문도 재설정 필요).
`set snmp vs-direct-access {on\off}`Virtual System(VS0 외)·Virtual Router의 IP로 직접 SNMP 조회 켜기/끄기. SNMP vs 모드에서만 동작(R82 VSX Administration Guide 참고).

delete 명령

delete snmp clear-trap
delete snmp traps coldStart-threshold
delete snmp traps polling-frequency
delete snmp traps receiver <IPv4 address>
delete snmp traps trap-user <UserName>
delete snmp custom-trap <Custom Trap Name>
delete snmp community <String>
delete snmp contact <Contact Information>
delete snmp location <Location Information>
delete snmp interface <Name of Interface>
delete snmp usm user <UserName>

delete 명령은 위 set/add 로 만든 항목(커뮤니티 암호, 연락처·위치, 사용자 정의 트랩, coldStart 임계값, 폴링 간격, Trap Sink IP, 트랩 사용자, 수신 인터페이스, USM 사용자, 트랩 종료 표시)을 각각 제거 합니다.

SNMP 오류 메시지 해석

이 항목은 SNMP 메시지에 나타나는 흔한 오류 상태 값을 설명합니다.

SNMP PDU

SNMP PDU의 세 번째 필드 에는 특정 문제를 가리키는 error-status 정수 가 들어갈 수 있습니다. 0이면 오류 없음 을 뜻하고, 0이 아니면 다음 필드(네 번째)의 error-index 값이 variable-bindings 목록에서 오류를 일으킨 변수를 가리킵니다.

코드의미코드의미
0noError10wrongValue
1tooBig11noCreation
2NoSuchName12inconsistentValue
3BadValue13resourceUnavailable
4ReadOnly14commitFailed
5genError15undoFailed
6noAccess16authorizationError
7wrongType17notWritable
8wrongLength18inconsistentName
9wrongEncoding

error-index는 목록의 첫 변수가 인덱스 1, 둘째가 2… 식으로 셉니다. 다섯 번째 필드variable-bindings 필드로, 식별자와 값 쌍의 나열입니다. 쌍의 둘째 요소는 다음 중 하나입니다.

요소설명
value각 객체 인스턴스에 연결된 값. PDU 요청에서 지정.
unSpecified조회 요청에 쓰이는 NULL 값.
noSuchObject에이전트가 이 OID가 가리키는 객체를 구현하지 않음.
noSuchInstance이 작업에 대해 객체가 존재하지 않음.
endOfMIBView에이전트 MIB 끝을 넘어선 OID를 참조하려 함.

GetRequest

GetRequest 수행 시 응답 PDU의 value 필드 또는 error-status 메시지에 나타날 수 있는 값입니다.

설명
noSuchObject변수의 OID 프리픽스가 이 요청으로 접근 가능한 어떤 변수와도 정확히 일치하지 않으면 value 필드가 이 값으로 설정됨.
noSuchInstance변수 이름이 어떤 변수 이름과도 정확히 일치하지 않으면 value 필드가 이 값으로 설정됨.
genErr변수 처리가 다른 이유로 실패하면 genErr 와, 문제 객체의 인덱스를 담은 error-index를 반환.
tooBig응답 PDU 메시지가 로컬 제한이나 요청 출처의 최대 메시지 크기를 넘으면 폐기하고, error-status tooBig, error-index 0, 빈 variable-bindings로 새 PDU를 구성.

GetNextRequest

GetNextRequest 에서 error-status 코드가 발생할 때 variable-bindings의 둘째 요소로 반환될 수 있는 값은 unSpecified 또는 endOfMibView 뿐입니다.

GetBulkRequest

GetBulkRequest 는 프로토콜 교환 횟수를 최소화하고 SNMPv2 관리자가 가능한 한 큰 응답 을 요청하게 합니다. 다른 PDU에 없는 두 필드가 있는데, non-repeaters(단일 후속자만 반환할 변수 개수)와 max-repetitions(나머지 변수들에 대해 반환할 후속자 개수)입니다. 처리 중 사전식 후속자가 없으면 마지막 후속자(또는 후속자가 없으면 요청 변수)의 이름과 함께 endofMibView 가 반환됩니다. endofMibView 외의 이유로 변수 이름 처리가 실패하면 값은 반환되지 않고, error-status genErr 와 문제 객체 인덱스를 담은 응답 PDU가 반환됩니다.

작업 스케줄러 (Job Scheduler)

정기 작업을 예약할 수 있습니다. 지정한 날짜·시각에, 또는 시스템 시작 시 작업이 실행됩니다.

Gaia Portal에서 작업 스케줄러 구성

System Management > Job Scheduler 에서 Add 를 누르고,

  1. Job Name — 작업 이름(영숫자만, 공백 불가).
  2. Command to Run — 실행할 명령(반드시 Linux 명령).
  3. Schedule — 빈도 선택(Minute Interval·Hourly·Daily·Weekly·Monthly·During Boot). 해당하면 24시간제(HH:MM)로 시각 입력.
  4. OK 를 누르면 Scheduled Jobs 표에 나타납니다. 이어 E-mail Notification 에 알림 받을 이메일 주소를 입력하고 Apply.

작업은 Scheduled Jobs 표에서 골라 Edit(→변경→OK)로 편집하고, Delete(→OK)로 삭제합니다.

Gaia Clish에서 작업 스케줄러 구성

작업 추가·편집·조회·삭제 구문입니다.

add cron job <Job Name> command "<Command>" recurrence
    daily time <HH:MM>
    hourly hours {all | <0-23> | <HH1>,<HH2>,...,<HHn>} at <1-59>
    interval <1-59>
    monthly month <1-12> days <1-31> time <HH:MM>
    weekly days <0-6> time <HH:MM>
    system-startup

set cron job <Job Name>
    command "<Command>"
    recurrence
        daily time <HH:MM>
        hourly hours {all | <0-23> | <HH1>,<HH2>,...,<HHn>} at <1-59>
        interval <1-59>
        monthly month <1-12> days <1-31> time <HH:MM>
        weekly days <0-6> time <HH:MM>
        system-startup
set cron mailto <Email Address>

show cron
    job <Job Name>
    command
    recurrence
    jobs
    mailto

delete cron
    all
    job <Job Name>
    mailto
파라미터설명
<Job Name>예약할 작업 이름.
"<Command>"실행할 명령. 반드시 Linux 명령 이며 따옴표로 감쌉니다 — 변수($NameOfVariable)가 있으면 큰따옴표, 없으면 작은따옴표. Check Point 명령·환경 변수는 위 Portal에서 본 source … 구문을 그대로 사용.
recurrence daily time <HH:MM>매일 지정 시각에 1회. 24시간제. 예: 14:35.
recurrence hourly hours {…} at <1-59>매일 지정 시·분에. all at 15(매시 15분), 14 at 15(매일 14:15), 10,12,14 at 15(매일 10:15·12:15·14:15).
recurrence interval <1-59>N분마다. 예: 15(15분마다).
recurrence monthly month <1-12> days <1-31> time <HH:MM>지정 월·일·시각에 월 1회. 월은 1(1월)~12(12월), 일은 1~31. 연속 지정은 콤마. 예: 1,2,3.
recurrence weekly days <0-6> time <HH:MM>지정 요일·시각에 주 1회. 0=일, 1=월, 2=화, 3=수, 4=목, 5=금, 6=토. 연속 지정은 콤마(예: 0,1,2).
recurrence system-startup시스템 시작 시마다 실행.
mailto <Email Address>작업 결과를 보낼 이메일 주소(명령마다 1개). 메일 서버도 구성 필요.

메일 알림 (Mail Notification)

메일 알림(Mail Relay)Security Gateway에서 이메일을 보내는 기능입니다. 대화식으로 또는 스크립트에서 이메일을 보낼 수 있고, 메일은 메일 허브로 중계되어 최종 수신자에게 전달됩니다. 방화벽 규칙이 발동될 때의 경고 수단으로, 또는 cron 작업 결과를 관리자에게 보낼 때 쓰입니다.

Gaia가 지원하는 메일 알림 기능은 다음과 같습니다.

  • 대화식·스크립트로 쓸 수 있는 메일 클라이언트(MUA).
  • SMTP로 메일 허브에 메일을 중계하는 Sendmail 유사 대체 프로그램.
  • 메일 허브의 기본 수신자 지정.

Gaia가 지원하지 않는 기능은 수신 이메일, 아웃바운드 SMTP 외의 메일 전송 프로토콜, 포트 25로의 Telnet, admin·monitor 외의 이메일 계정입니다.

Gaia Portal에서 메일 알림 구성

System Management > Mail Notification 에서 Mail Server 에 메일 서버 IPv4/호스트명(예: mail.example.com), User Name 에 사용자 이름(예: user@mail.example.com)을 입력하고 Apply 를 누릅니다.

Gaia Clish에서 메일 알림 구성

set mail-notification server <IPv4 Address or Hostname>   # 메일 서버
set mail-notification username <User Name>                # 메일 서버상의 사용자
show mail-notification
    server
    username
파라미터설명
server <IPv4 Address or Hostname>Gaia가 메일 알림을 보낼 메일 서버. 예: mail.company.com.
username <User Name>admin·monitor 알림을 받는 메일 서버상 사용자명. 예: johndoe.
gaia> set mail-notification server mail.company.com
gaia> set mail-notification username johndoe
gaia> show mail-notification server
Mail notification server: mail.company.com
gaia> show mail-notification username
Mail notification user: johndoe

메시지 (Messages)

로그인하는 사용자에게 배너 메시지(Banner Message)오늘의 메시지(Message of the Day) 를 보여 줄 수 있습니다. 둘의 차이는 다음과 같습니다.

항목Banner MessageMessage of the Day
기본 메시지This system is for authorized use onlyYou have logged into the system
Gaia Portal 표시 시점브라우저 로그인 페이지, 로그인 전로그인 후
Gaia Clish 표시 시점로그인 시 암호 입력 전로그인 후
기본 상태활성화비활성화

Gaia Portal에서 메시지 구성

System Management > Messages 에서 Banner message 또는 Message of the day 를 선택하고 메시지 텍스트를 입력한 뒤(아래 한도 참고) Apply 를 누릅니다.

Gaia Clish에서 메시지 구성

배너 메시지

show message banner status      # 활성/비활성 표시
show message all status
show message banner             # 구성된 배너 표시
show message all

set message banner on msgvalue "<Banner Text>"         # 단일 행 배너
set message banner on line msgvalue "<Line #1>"        # 다중 행 배너
set message banner on line msgvalue "<Line #2>"

set message banner on           # 켜기
set message banner off          # 끄기
delete message banner           # 사용자 정의 배너 삭제(기본 배너로 대체)

예: set message banner on msgvalue "This system is private and confidential"

오늘의 메시지 — 구문은 motd 키워드만 다를 뿐 배너와 같습니다.

show message motd               # 구성된 메시지 표시
show message all
show message motd status        # 활성/비활성 표시
show message all status

set message motd on msgvalue "<Message Text>"          # 단일 행
set message motd on line msgvalue "<Line #1>"          # 다중 행
set message motd on line msgvalue "<Line #2>"

set message motd on
set message motd off
delete message motd             # 사용자 정의 삭제(기본 메시지로 대체)

예: set message motd on msgvalue "Hi all - no changes allowed today"

한도 (Limits)

메시지 종류최대 총 문자 수최대 줄 수줄당 최대 문자 수
Banner16002080
Message of the day120020400

표시 형식 (Display Format)

이 페이지에서는 시간·날짜·IPv4 넷마스크의 표시 형식콘솔 연결용 키보드 레이아웃 을 설정합니다.

Gaia Portal에서 표시 형식 구성

System Management > Display Format 에서 다음을 고르고 Apply 를 누릅니다.

  • Time12-hour 또는 24-hour.
  • Datedd/mm/yyyy·mm/dd/yyyy·yyyy/mm/dd·dd-mmm-yyyy.
  • IPv4 netmaskDotted-decimal notation(점 표기) 또는 CIDR notation(길이 표기).

키보드 레이아웃은 같은 페이지의 Keyboard Layout 섹션에서 골라 Apply 합니다.

Gaia Clish에서 표시 형식 구성

show format time / show format all
set format time
    12-hour
    24-hour

show format date / show format all
set format date
    dd/mm/yyyy
    mm/dd/yyyy
    yyyy/mm/dd
    dd-mmm-yyyy

show format netmask / show format all
set format netmask
    dotted          # 점 십진 표기
    length          # CIDR 길이 표기

키보드 레이아웃은 다음과 같습니다(<TAB>으로 사용 가능한 레이아웃 확인).

show keyboard layout
set keyboard layout <Layout>

세션 (Session)

Gaia Portal과 Gaia Clish의 비활성 타임아웃(inactivity timeout) 을 관리할 수 있습니다.

Gaia Portal에서 세션 구성

System Management > Session 에서 Command Line Shell 섹션은 Gaia Clish의, Web UI 섹션은 Gaia Portal의 비활성 타임아웃을 설정합니다(범위 1~720분, 기본 10분).

Gaia Clish에서 세션 구성

set inactivity-timeout <Timeout>   # 분 단위
show inactivity-timeout
파라미터설명
<Timeout>Gaia Clish의 비활성 타임아웃(분). 범위 1~720분, 기본 10분.

크래시 데이터 (Crash Data)

프로세스 코어 덤프 파일Gaia 프로세스가 비정상 종료되는 순간의 작업 메모리 상태를 기록 한 파일입니다. 프로세스가 비정상 종료되면 /var/log/dump/usermode/ 디렉터리에 코어 덤프 파일이 만들어집니다. /log 파티션의 여유 공간이 200MB 미만 이면 Gaia OS는 새 코어 덤프를 만들지 않고 기존 파일을 지워 공간을 확보합니다(파티션이 가득 차는 것을 막기 위함).

Gaia Portal에서 코어 덤프 구성

System Management > Crash Data 에서 Enable Core Dumps 를 선택하고 파라미터를 설정한 뒤 Apply 를 누릅니다.

  • Total space limit — 모든 코어 덤프를 보관할 최대 디스크 공간. 새 덤프에 공간이 필요하면 가장 오래된 덤프부터 삭제. 범위 1~99999MB. 기본값은 Management Server·KSFW 모드 Gateway는 5000MB, USFW 모드 Gateway는 15000MB. 활성 기능에 따라 Gaia OS가 기본값을 자동 변경할 수 있으며 현재 값은 show core-dump total 로 확인.
  • Dumps per process — 각 프로세스 실행 파일당 보관할 최대 덤프 수. 새 덤프가 가장 오래된 것을 덮어씀. 범위 1~99999, 기본 2.

Gaia Clish에서 코어 덤프 구성

set core-dump {enable | disable}          # 활성/비활성
set core-dump total <0-99999>             # 전체 공간 제한(MB)
set core-dump per_process <0-99999>       # 프로세스당 덤프 수

show core-dump status
show core-dump total
show core-dump per_process
파라미터설명
total <0-99999>모든 코어 덤프 보관 최대 공간. 범위 1~99999MB. 기본: Management Server·KSFW 5000MB, USFW 15000MB(기능에 따라 자동 변경, show core-dump total 로 확인).
per_process <0-99999>프로세스당 최대 덤프 수. 새 덤프가 가장 오래된 것을 덮어씀. 범위 1~99999, 기본 2.

시스템 구성 (System Configuration) — IPv6 지원

이 항목에서는 IPv6 지원을 활성화 합니다.

IPv6 주소와 IPv6 정적 경로를 구성하기 전에 먼저 ①IPv6 지원을 활성화하고 ②재부팅한 뒤 ③네트워크 인터페이스 항목으로 IPv6 주소를, IPv6 정적 경로 항목으로 정적 경로를 구성합니다. IPv6 트래픽에 보안 정책을 적용하려면 Management Server와 각 Security Gateway(Cluster Member) 양쪽에서 IPv6 지원을 켜고, SmartConsole로 Management Server에 접속해 IPv6 객체와 Access Control 규칙을 만든 뒤 정책을 설치합니다.

Gaia Portal에서 IPv6 지원 구성

System Management > System ConfigurationIPv6 Support 섹션에서 On 을 선택하고 Apply 를 누른 뒤, 프롬프트에서 Yes 로 재부팅합니다.

Gaia Clish에서 IPv6 지원 구성

set ipv6-state {on | off}
show ipv6-state

절차: Gaia Clish 로그인(Scalable Platform은 gclish 진입) → set ipv6-state onsave configreboot.

Gaia API로 IPv6 지원 구성

Gaia RESTful API로도 구성할 수 있습니다. API 레퍼런스의 "Networking > IPv6"에서 set-ipv6 를 실행해 활성화하고, "System"에서 run-reboot 로 재부팅한 뒤, "Interfaces"의 해당 섹션에서 set-physical-interface 같은 set 명령으로 인터페이스에 IPv6 주소를 구성합니다. 이번 릴리스에서 Gaia API는 IPv4 정적 경로만 지원 합니다.

시스템 로깅 (System Logging)

시스템 로그 설정을 구성하고, 원격 서버로 보낼 수 있습니다(원격 서버는 시스템 로그를 받도록 미리 구성해 두세요). System Logging 은 Gaia syslog 메시지를 Check Point Management Server로 보낼지, 구성 변경 성공 시 감사 로그를 Management Server로 보낼지, 감사 로그를 Gaia syslog 기능으로 보낼지를 정합니다. Remote System Logging 은 Gaia가 syslog 메시지를 보낼 원격 syslog 서버를 정합니다.

Gaia Portal에서 시스템 로깅 구성

System Management > System LoggingSystem Logging 섹션에서 다음을 선택하고 Apply 를 누릅니다.

옵션설명기본대응 Clish 명령
Send Syslog messages to management serverGaia 시스템 로그를 Management Server로 보낼지.미선택`set syslog cplogs {on\off}`
Send audit logs to management server upon successful configuration인가된 사용자의 구성 변경 감사 로그를 Management Server로 보낼지.선택됨`set syslog mgmtauditlogs {on\off}`
Send audit logs to syslog upon successful configuration구성 변경 로그를 저장할지(아니면 기본 /var/log/messages 사용). 대상 파일은 set syslog filename /<Path>/<File> 로 지정.선택됨`set syslog auditlog {disable\permanent}`

Remote System Logging 은 같은 페이지의 해당 섹션에서 AddIP Address(원격 syslog 서버 IPv4) → Priority(보내는 로그의 심각도) → OK 로 추가하고, Edit·Delete(→Yes)로 편집·삭제합니다. 심각도(RFC 5424 6.2.1)는 All·Debug·Info·Notice·Warning·Error·Critical·Alert·Emergency 중에서 고릅니다.

syslog 구성 파일

Gaia OS는 syslog 구성을 기본적으로 /etc/rsyslog.conf/etc/sysconfig/rsyslog 에 저장합니다. Gaia OS가 모르는 설정을 이 파일에 직접 넣어야 한다면, Gaia OS가 덮어쓰지 못하도록 파일을 immutable(불변)로 만들어야 합니다.

  1. Gaia 명령줄에 접속해 Expert mode로 로그인합니다.
  2. 해당 syslog 구성 파일을 환경에 맞게 편집합니다.
  3. 현재 속성을 확인합니다 — lsattr /etc/rsyslog.conf, lsattr /etc/sysconfig/rsyslog
  4. immutable 속성을 추가합니다 — chattr +i /etc/rsyslog.conf, chattr +i /etc/sysconfig/rsyslog
  5. 다시 속성을 확인합니다 — lsattr …
  6. syslog 서비스를 재시작합니다 — service rsyslog restart

Gaia Clish에서 시스템 로깅 구성

System Logging

set syslog cplogs {on | off}            # 시스템 로그를 Management Server로
set syslog mgmtauditlogs {on | off}     # 감사 로그를 Management Server로
set syslog auditlog {disable | permanent}   # 감사 로그 저장
set syslog filename /<Path>/<File>      # 감사 로그 파일 이름

show syslog
    all
    auditlog
    cplogs
    filename
    mgmtauditlogs

Remote System Logging

add syslog log-remote-address <IPv4 Address> level <Severity>
show syslog
    all
    log-remote-address <IPv4 Address>
    log-remote-addresses
delete syslog log-remote-address <IPv4 Address> [level <Severity>]
파라미터설명
`cplogs {on\off}`Gaia 시스템 로그를 Management Server로 보낼지. on=보냄, off=안 보냄. 기본 off.
`mgmtauditlogs {on\off}`인가된 사용자의 구성 변경 감사 로그를 Management Server로 보낼지. 기본 on.
`auditlog {disable\permanent}`구성 변경 로그 저장 — disable(감사 로그 기능 끔), permanent(모든 성공한 변경을 저장; 대상은 set syslog filename 으로 지정, 없으면 기본 /var/log/messages). 기본 permanent.
/<Path>/<File>시스템 로그의 전체 경로·파일명. 기본 /var/log/messages. (Gaia Portal에서는 설정 불가)
log-remote-addressGaia가 시스템 로그를 보낼 원격 syslog 서버 구성.
<IPv4 Address>원격 syslog 서버 IPv4(점 4자리). 기본값 없음.
<Severity>심각도(RFC 5424 6.2.1) — emerg·alert·crit·err·warning·notice·info·debug·all.
gaia> set syslog auditlog permanent
gaia> set syslog filename /var/log/system_logs.txt
gaia> set syslog mgmtauditlogs on
gaia> set syslog cplogs on
gaia> set syslog log-remote-address 192.168.2.1 level all
gaia> show syslog all
Syslog Parameters:
Remote Address 192.168.2.1
Levels all
Auditlog permanent
Destination Log Filename /var/log/system_logs.txt

(syslog 구성 파일을 immutable로 만드는 절차와 경고는 위 Gaia Portal 항목과 동일합니다.)

RouteD 시스템 로깅 메시지 redirect

RouteD 데몬 의 로그 메시지(예: OSPF·BGP 오류)를 어느 로그 파일에 쓸지 정할 수 있습니다.

로그 파일설명
/var/log/routed_messagesRouteD 로그만 담는 전용 파일. R80 이상에서는 기본으로 여기에 기록.
/var/log/messages여러 데몬·OS의 로그가 섞이는 파일. R77.30 이하에서는 기본으로 여기에 기록.

Gaia PortalAdvanced Routing > Routing OptionsRouting Process Message Logging Options 에서 Log Routed Separately 를 선택하고, Maximum File Size(MB, 기본 1MB — 활성 파일이 이 크기에 도달하면 회전해 새 파일 생성), Maximum Number of Files(기본 10개 — routed_messages, routed_messages.0routed_messages.9; 한도 도달 시 가장 오래된 파일 삭제 후 회전, 접미 숫자가 클수록 오래된 파일)를 입력하고 Apply.

Gaia Clish

set routedsyslog on                                        # 전용 파일 기록 활성화
set routedsyslog size <Number of MB between 1 and 2047>    # 파일당 크기(기본 1MB)
set routedsyslog maxnum <Number of Files between 1 and 4294967295>   # 최대 파일 수(기본 10)
save config

구성 확인은 Gaia Clish 또는 Expert mode에서 합니다.

명령예상 출력(기본값 사용 시 / 사용자 값 설정 시)
Gaia Clishshow configuration routedsyslogset routedsyslog on / 거기에 set routedsyslog maxnum <값>·set routedsyslog size <값> 추가
Expert modegrep routedsyslog /config/activerouted:instance:default:routedsyslog t / 거기에 …:routedsyslog:size <값>·…:routedsyslog:files <값> 추가

로그 볼륨 크기 조정 (Configuring Log Volume)

디스크 여유가 충분하면 log 파티션 크기를 늘릴 수 있습니다.

Expert mode의 lvm_manager 도구를 사용합니다.

  1. 콘솔 포트로 Gaia에 접속합니다.
  2. reboot 로 재부팅합니다.
  3. 부팅 중 아무 키나 눌러 Boot 메뉴로 들어갑니다(약 5초 의 여유).
  4. Start in maintenance mode 를 선택합니다.
  5. Expert mode 암호를 입력합니다.
  6. sk95566의 설명대로 대화식 lvm_manager 도구를 사용합니다.
  7. reboot 로 재부팅합니다.

관련 정보는 LVM Overview를 참고하세요.

네트워크 접근 (Network Access) — Telnet

Telnet 은 암호화되지 않아 원격 로그인용으로 권장되지 않습니다 — 같은 기능을 안전하게 제공하는 SSH를 쓰세요. Telnet을 통한 Gaia 접근은 기본적으로 비활성화되어 있으며, 필요하면 허용할 수 있습니다.

Gaia PortalSystem Management > Network Access 에서 Enable Telnet 을 선택하고 Apply.

Gaia Clish

set net-access telnet {on | off}
show net-access telnet

호스트 접근 (Host Access)

Gaia Portal·Gaia Clish에 연결을 허용할 호스트·네트워크 를 구성할 수 있습니다.

Gaia PortalSystem Management > Host Access 에서 Add 를 누르고 Any host(모든 원격 호스트 허용)·Host(호스트 하나의 IPv4)·Network(네트워크 IPv4와 서브넷 마스크) 중 하나를 골라 OK.

Gaia Clish

add allowed-client
    host
        any-host
        ipv4-address <Host IPv4 Address>
    network ipv4-address <Network IPv4 Address> mask-length <1-31>

show allowed-client all

delete allowed-client
    host
        any-host
        host ipv4-address <Host IPv4 Address>
    network ipv4-address <Network IPv4 Address>
파라미터설명
<Host IPv4 Address>허용 호스트의 IPv4 주소(점 십진, X.X.X.X).
<Network IPv4 Address>허용 네트워크의 IPv4 주소(점 십진, X.X.X.X).
gaia> add allowed-client host any-host
gaia> show allowed-client all
Type    Address    Mask Length
Host    Any

LLDP — Management Server·Security Gateway

이 항목은 Management Server·Log Server·SmartEvent Server, 그리고 Security Gateway·Cluster Member의 모든 구성된 인터페이스 에 적용됩니다.

LLDP(Link Layer Discovery Protocol) 는 IEEE 802 표준 기반의 벤더 중립 링크 계층 프로토콜 로, 네트워크 장비가 자신의 신원·능력 등을 광고하고 LAN상 이웃의 정보를 받습니다. 수집 정보에는 System Name, System Description, System Capabilities(스위칭·라우팅 등), Port Description, Management Address가 포함됩니다.

Gaia Portal에서 LLDP 구성 (Management Server / Security Gateway)

System Management > LLDP 에서 다음을 구성합니다.

  1. Type Length Value (TLV) 섹션에서 보낼 정보를 고르고 Apply.
    • System Name — Gaia의 <Hostname>.<Domainname> 전송(도메인명 설정은 System Name 항목 참고).
    • System Descriptionuname -msr 출력(커널 이름·릴리스·하드웨어명) 전송.
    • System Capabilities — (Check Point 구성과 무관하게) 문자열 station 전송.
    • Port Description — 인터페이스 이름 전송.
    • Management AddressSend Management interface IP(관리 인터페이스 IP만) 또는 Send Configured interface IP(선택한 각 인터페이스 IP).
  2. Timers 섹션에서 값을 설정하고 Apply.
    • Transmit Interval — LLDP 패킷 전송 빈도. 8~32768, 기본 30초.
    • Hold Time Multiplier — LLDP 패킷 TTL을 정하는 배수. TTL = Transmit Interval × Hold Time Multiplier. 수신 이웃이 정보를 보관하는 기간. 2~10, 기본 4. > 참고 — 이 값들은 전역이며 선택한 모든 인터페이스에 적용됩니다.
  3. Interfaces 섹션에서 인터페이스를 추가합니다. Add All(→Yes)로 모두 추가하거나 Add 로 특정 인터페이스를 추가하며, Mode 를 고릅니다(기본 Transmit and Receive). 모드는 Transmit and Receive(송수신)·Transmit only(송신만)·Receive only(수신만)입니다.
  4. LLDP Configuration 섹션에서 Enable LLDP 를 선택하고 Apply.

Gaia Clish에서 LLDP 구성 (Management Server / Security Gateway)

워크플로: set lldp state on 으로 활성화 → set lldp 로 설정 → save config.

set lldp
    hold-time-multiplier <2-10>
    interface <Name of Interface>
        receive {on | off}
        transmit {on | off}
        transmit-and-receive {on | off}
    state {on | off}
    tlv
        port-description {on | off}
        system-name {on | off}
        system-description {on | off}
        system-capabilities {on | off}
        management-address {on from {configured-interface | mgmt-interface} | off}
    transmit-interval <8-32768>

show lldp
    peers
    status
        interface <Name of Interface>
        timers
        tlv
파라미터설명
hold-time-multiplierTTL 배수. TTL = Transmit Interval × Hold Time Multiplier. 범위 2~10, 기본 4.
interface <Name>LLDP 패킷을 보내거나 받는 인터페이스 이름.
`interface <Name> receive {on\off}`인터페이스를 "수신만" 모드로 켜기/끄기.
`interface <Name> transmit {on\off}`인터페이스를 "송신만" 모드로 켜기/끄기.
`interface <Name> transmit-and-receive {on\off}`인터페이스를 "송수신" 모드로 켜기/끄기.
`state {on\off}`LLDP 켜기/끄기.
`tlv port-description {on\off}`Port Description(인터페이스 이름) 전송 켜기/끄기.
`tlv system-name {on\off}`System Name(<Hostname>.<Domainname>) 전송 켜기/끄기.
`tlv system-description {on\off}`System Description(uname -msr 출력) 전송 켜기/끄기.
`tlv system-capabilities {on\off}`System Capabilities(문자열 station) 전송 켜기/끄기.
`tlv management-address {on\off}`Management Address 전송 — from mgmt-interface(관리 IP만), from configured-interface(각 LLDP 인터페이스 IP).
transmit-interval <8-32768>전송 빈도. 기본 30초.
timers구성된 Hold Time Multiplier·Transmit Interval 표시.
MyGaia> show lldp status
LLDP server enabled
Interfaces
eth0 - receive
eth1 - receive and transmit
eth2 - transmit
Optional Information
port-description off
system-name on
system-description off
system-capabilities on
management-address on
Timers
Hold time multiplier 5
Transmit interval 20

LLDP on Maestro Orchestrator

이 항목은 Maestro Orchestrator의 외부 인터페이스(Management 포트·Uplink 포트)에만 적용됩니다.

LLDP의 개념·수집 정보·기본 비활성 상태는 위 일반 LLDP와 같습니다.

Gaia Portal에서 Orchestrator LLDP 구성

System Management > LLDP 에서 구성하며, TLV·Interfaces·LLDP Configuration 단계는 위와 같습니다(단, LLDP 활성화 항목은 Enable LLDP on external interfaces). 차이는 Timers 로, Orchestrator에서는 기본값을 바꿀 수 없 습니다 — Transmit Interval 기본 8초, Hold Time Multiplier 기본 3. 또 Interfaces 섹션에서는 기본적으로 내부 동기화용 포트가 선택됩니다.

Gaia Clish에서 Orchestrator LLDP 구성

구문은 Management Server·Gateway용과 동일합니다.

set lldp
    hold-time-multiplier <2-10>
    interface <Name of Interface>
        receive {on | off}
        transmit {on | off}
        transmit-and-receive {on | off}
    state {on | off}
    tlv
        port-description {on | off}
        system-name {on | off}
        system-description {on | off}
        system-capabilities {on | off}
        management-address {on from {configured-interface | mgmt-interface} | off}
    transmit-interval <8-32768>

show lldp
    peers
    status
        interface <Name of Interface>
        timers
        tlv

파라미터 의미는 위 표와 같으나, Orchestrator에서는 hold-time-multiplier(기본 3)와 transmit-interval(기본 8초)의 기본값을 바꿀 수 없 습니다.

MHO_1_1> show lldp status
LLDP is enabled on external interfaces
Interfaces
Mgmt1 - transmit and receive
eth1-05 - transmit and receive
...
eth1-Mgmt1 - transmit and receive
eth1-Sync-E-121 - transmit and receive
eth1-Sync-I-125 - transmit and receive
Optional Information
port-description off
system-name on
system-description off
system-capabilities off
management-address on from configured-interface
Timers
Hold time multiplier 3
Transmit interval 8

Expert mode에서 Orchestrator LLDP 고급 구성

Expert mode에서는 동기화 포트나 새 포트에 대한 자동 LLDP 구성 을 제어할 수 있습니다.

ssm_sync(내부 sync)·site_sync(외부 sync) 타입의 새 포트에 자동으로 transmit-and-receive on — 기본 활성화.

# 활성화(기본):
dbset maestro:lldp:set_lldp_rx_and_tx_to_on_upon_sync_interface_creation true
# 비활성화:
dbset maestro:lldp:set_lldp_rx_and_tx_to_on_upon_sync_interface_creation
dbset :save

모든 새 포트에 자동으로 transmit-and-receive on — 기본 비활성화.

# 활성화:
dbset maestro:lldp:set_lldp_rx_and_tx_to_on_upon_interface_creation true
# 비활성화(기본):
dbset maestro:lldp:set_lldp_rx_and_tx_to_on_upon_interface_creation
dbset :save