티스토리 뷰
안녕하세요 보쌈 (보안을 알려주는 삼촌) 입니다!!
오늘은 우리가 흔히 접하지는 않지만, 그래도 실무에서 많이 사용하는 DHCP 서버에 대해 알려 드리도록 하겠습니다.
방화벽에서 흔히, DHCP 서버를 구성해서 내부망을 구성 하는 경우가 있습니다.
네트워크 현장에서 무선 AP , 컨트롤러 , IP Phone 등 특정 벤더 장비를 붙이다보면 일반적인 IP 할당만으로 끝나지 않는 경우가 많습니다.
이때, 자주 등장하는 값이 바로 DHCP Option 43과 Option 60 입니다.
옵션 43은 서버가 클라이언트에게 전달하는 벤더 전용 정보 이고, 옵션 60은 클라이언트가 자신이 어떤 벤더/장비 계열인지
알리는 VCI(Vendor Class Identifier) 입니다.
쉽게 말하면, Option 60으로 "나는 특정 장비다"라고 식별하고, DHCP 서버는 그 값을 보고 Option 43으로 그 장비에
필요한 추가 설정값을 내려주는 구조입니다. 예를 들어 AP가 DHCP로 IP를 받으면서 동시에 컨트롤러 IP까지 알아와야 할때
이 조합을 많이 사용 합니다.
1. Option 43이란?
Option 43은 DHCP서버가 클라이언트에 전달 하는 Vendor Specific Information 입니다. 즉 표준 옵션(게이트웨이 , DNS 등) 외에 특정 제조사 장비가 필요로 하는 추가 정보를 담는 용도입니다. 이 값은 단일 값을 수도 있고, 여러개의 벤더별 서브옵션을 포함 할 수도 있습니다.
실무에서는 주로 아래와 같은 상황에서 쓰입니다.
1. 무선 AP가 부팅 후 무선 컨트롤러 IP를 알아야 할 때
2. 특정 벤더 장비가 프로비저닝 서버 정보를 받아야 할 때
3. 표준 DHCP 옵션만으로 부족한 벤더 전용 초기 설정값이 필요 할 때
2. Option 60이란?
Option 60은 클라이언트가 DHCP 서버로 보내는 Vendor Class Identifier(VCI) 입니다. 장비가 자신이 어떤 종류의
클라이언트인지 문자열 형태로 알리는 값입니다. 서버는 이 값을 기준으로 어떤 장비인지 판단하고, 매칭되는 정책이 있으면
그에 맞는 Option 43을 돌려 줄 수 있습니다.
e.g: 벤더가 "ArubaAP" 같은 문자열을 사용한다면, DHCP서버는 해당 문자열을 보고 이건 아루바AP 이구나 라고 판단한 뒤
그 장비에 맞는 Option 43 값을 내려 줄 수 있습니다.
3. Traffic Flow
| Client -> Server | 클라이언트가 DHCP Discover / Request를 보냄 |
| Client -> Server | 이때, Option 60(VCI)로 자신이 어떤 장비인지 알림 |
| Server -> Client | DHCP 서버가 Option 60을 보고 내부 정책/테비블에서 일치 항목 확인 |
| Server -> Client | 일치하면 서버가 DHCP Offer / Ack에 Option 43을 포함해 응답 |
| Client | 클라이언트는 Option 43 값을 읽어 컨트롤러 주소 등 벤더 전용 설정 적용 |
* 핵심은 Option 60은 식별 , Option 43은 전달할 설정값 입니다.
4. Dump 뜨는 방법 - 1️⃣ (Wireshark)
filtering
bootp
dhcp.option.vendor_class_id
dhcp.option.type == 43
dhcp.option.type == 60
5. Dump 뜨는 방법 - 2️⃣ (tcpdump)
tcpdump -i eth0 -nn -s 0 -vvv -w dhcp.pcap port 67 or port 68옵션을 통해 덤프 수집 후 Wireshark로 분석 하면 됩니다.
6. Check-list
1. 옵션 43은 필수로 보내는 옵션이 아닐수 있습니다. 서버가 옵션 60와 매칭되는 경우만 내리도록 하는 설정이 많다
2. 서브넷이 서로 다른 AP 시리즈가 섞여 있으면 주의가 필요하다.
3. 옵션43은 벤더마다 인코딩 방식이 다를수 있다. 어떤 장비는 IP , 어떤장비는 헥사 구조를 요구 한다.
7. 방화벽에서는 옵션을 어떻게 지원 해야 하나?
위 구성처럼 방화벽에서 DHCP 서버를 구성 할 경우에!
항상 필요한 건 아니다.
다만, 무선 AP가 DHCP로 컨트롤러 주소를 받아서 찾아가는 구조라면 방화벽 DHCP 서버에서 확장 옵션을 써야 하는 경우가 있다.
케이스별로 이야기해보면
Case1.그냥 IP 만 주면 되는 환경 ➡️ 확장 옵션 불필요
Case2. AP가 컨트롤러를 DHCP로 알아와야 하는 환경
➡️ 옵션 43 필요 가느성이 높음
➡️ 장비 종류별로 다른 값을 내려줘야 하는 환경이면 옵션 60까지 같은 쓰는 경우 많음.
8. 마지막으로 정리하면!
옵션 60 : 클라이언트가 "나는 누구인가?!" 를 알리는 값
옵션 43 : 서버가 "너에게 필요한 벤더 전용 설정"을 주는 값
'네트워크보안 > 네트워크 실무' 카테고리의 다른 글
| DHCP 릴레이란? 다른 VLAN에 있는 DHCP 서버로 IP를 받아오는 원리와 점검 방법 (0) | 2026.03.03 |
|---|---|
| 내부망이 갑자기 느려질때 ARP 꼬임 ? IP 충돌 ? 루핑 점검 순서 (0) | 2026.03.02 |
| 리눅스 서버 보안 기본2️⃣ (주제 : 강력한 비밀번호 관리 및 다단계(멀티) 인증 : 복잡한 비밀번호 정책 설정 , PAM을 이용한 OTP , FIDO2 등의 현업에서 사용하는 다단계 인증 적용 방법 안내) (1) | 2025.05.06 |
| 리눅스 서버 보안 기본 1️⃣ ( 주제 : 터미널 보안 : Tenlet , ssh ) (0) | 2025.05.05 |
| [linux] tcpdump 와 grep 사용법과 옵션 그리고 예시 (2) | 2024.04.30 |
- Total
- Today
- Yesterday
- 방화벽ips차이
- 보안엔지니어
- 막창
- IPS
- snort
- 나라장터
- tcpdump
- 네트워크실무
- 사내망장애
- 골프드라이브
- 경쟁5천만원
- 방화벽엔지니어
- mas2단계
- 보안스위치
- 루핑방지
- 방화벽장치
- 스위치루핑
- 공공기관보안장비
- DHCP충돌
- 침입방지시스템
- 브로드케스트스톰
- pcre
- 루핑스위치
- 스위치루프
- 포트페스트
- macflap
- 파이썬
- python
- ARP꼬임
- 방화벽트러블슈팅
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |