http://www.pumpkinnet.co.kr(Tel) 02-3280-9380 (Fax) 02-3280-9382

info@pumpkinnet.co.kr

Pumpkin Networks. Inc.

L4-7 Switch 기본 교육 자료

-2-

LayerX TM Technology

기본 개념 – L4/L7 Switch란?

-3-

LayerX TM Technology

기본 개념 - Switching & Routing

Switching & Routing 이란?

Data를 목적지 까지 전달 하는 방법!

?그렇다면 L4/L7 Switch란?

-4-

LayerX TM Technology

Payload (Application Protocol)MAC

기본 개념 - Switching & Routing

IP TCP/UDP Payload (Application Protocol)L2 Switching

L3 Switching

(Routing)

L4 Switching

L7 Switching

SRC MAC DST MAC

MAC

Switching 결정 조건

TCP/UDP Payload (Application Protocol)MAC

IP TCP/UDP

TCP/UDP Payload (Application Protocol)MAC

IP

IP

SRC ADDR DST ADDR

SRC ADDR DST PORTSRC PORT DST ADDR Payload

SRC ADDR DST PORTSRC PORT DST ADDR

must have

MAC Address

must have

IP Address/subnet

must haveIP AddressApplication Server (port)

must haveIP AddressApplication Server (port)Contents

Receiver의 필수 조건계층에 따른 스위칭 방식 Sender

-5-

LayerX TM Technology

기본 개념 - Switching & Routing

질문1. L4 Switching에서 Port가 의미 하는 바는?

질문2. L7 Switching에서 Payload가 의미하는 바는?

답) Application Server

답) Application의 Contents

-6-

LayerX TM Technology

기본 개념 - Switching & Routing

Packet을 목적지 까지 이동하는 개념은 라우터와 동일!

L4/L7 Switch는 목적지의 개념이

IP를 가진 Machine이 아니라

Application과 Contents 이다!!!

-7-

LayerX TM Technology

기본 개념 - L4 Switch란?

L4 Switch란

부하분산과 이중화를 통해 Application Data를 효율적으로 전달하기 위한 방법

?Application Server (TCP/UDP port)

-8-

LayerX TM Technology

기본 개념 - L7 Switch란?

L7 Switch란

부하분산과 이중화를 통해 Application Contents를효율적으로 전달하기 위한 방법

?Application Contents

TCP/UDP Payload (Application Protocol)MAC IP

SRC ADDR DST PORTSRC PORT DST ADDR Payload

-9-

LayerX TM Technology

기본 개념 – L4 Switch의 종류

Request

ServerServer

Request

L4 Switch

Server

Load Balancing 대상

Payload (Application Protocol)MAC IP TCP/UDP

SRC ADDR DST PORTSRC PORT DST ADDR

ClientClient Client

Server

L4 Switch

L4 Switch

L4 Switch

FW/VPNs

DMZ Zone

Server

ClientClient

Server

TLB

Client

WAN1 WAN2 WAN3

•L4 Switch가 가장 널리 사용되고 있음

•서버에 대한 부하 분산 및 이중화 용도로 사용

•주용도 : Web(HTTP, HTTPS), FTP, Database,

DNS, Terminal Server 등

•보안 장비의 특성인Stateful Inspection, Tunneling을

감안한 Diamond 구성

•L4 Switch는 하나의 session은 하나의 보안 장비만 통과

하도록 경로를 설정

•주용도 : VPN, Firewall, SSLVPN, IDS,

Stateful Inspection이나 Tunneling을 하는 장비

•WAN 회선의 이중화, Traffic 증설의 용도

•IPS, QoS 등 부가 기능을 수행

•주용도 :ADSL DHCP, 전용선, Metro

Traffic Load Balancing보안 장비 Load BalancingServer Load Balancing

-10-

LayerX TM Technology

-11-

LayerX TM Technology

-12-

LayerX TM Technology

Table of Content

1. SLB 장비의 주요 기능

2. SLB 장비의 Layer 4 부하 분산

3. FWLB/VPNLB의 주요 기능

4. FWLB/VPNLB의 Layer 4 부하 분산

5. 장비의 설정 방법

-13-

LayerX TM Technology

1-A. SLB의 Layer 4 Load Balancing

SLB의 Layer 4 Load Balancing패킷을 IP 주소와 Port 번호를 참조하여 여러 서버에 적절한 부하부하 분산분산 알고리즘을알고리즘을

(Load balancing Algorithm)(Load balancing Algorithm) 통해 전달하는 방식

Load Balancing을 위해 모든 서버들을 대표하는 가상의 IP(virtual IP)주소를 사용

합니다.

Web Server farm

Layer 4 Load Balancer

WANWAN

-14-

LayerX TM Technology

1-B. Health check (Server check)

Load Balancing의 대상이 되는 서버들의 상태를 체크합니다.ICMP 이용한 Health checkTCP Connection을 이용한 Health checkHTTP Request를 이용한 Health checkHealth check는 지정된 주기와 재시도횟수에 따라 동작합니다.

Down 되어있는 서버들로 라우팅 하는 것은 의미가 없으므로 정상 동작하는 서

버들에게만 라우팅 합니다.

Web Server farm

Layer 4 Load Balancer

WANWAN

Down

-15-

LayerX TM Technology

1-B-1. ICMP를 이용한 Health check

각각의 서버에게 ICMP Ping Request를 보내고 Response가 돌아오는지 체크

합니다.

Web Server farm

Layer 4 Load Balancer

WANWANICMP Request

ICMP Response

Down

-16-

LayerX TM Technology

1-B-2. TCP Connection을 이용한 Health check

각각의 서버에 TCP SYN패킷을 보낸 후 SYN ACK가 돌아오는지 체크합니다.

ICMP 체크보다 서버가 서비스(i.e. Web)를 정상적으로 수행하고 있는지 체크

하는데 도움을 줍니다.

Web Server farm

Layer 4 Load Balancer

WANWANTCP SYN

TCP SYN ACK

Down

-17-

LayerX TM Technology

1-B-3. HTTP request를 이용한Health check

서버의 동작을 가장 확실하게 테스트 할 수 있습니다.

각각의 서버에 HTTP Request를 보낸 후 원하는 Response가 돌아오는지 확인

합니다.

Web Server farm

Layer 4 Load Balancer

WANWANGET

HTTP/1.1 200 OK

Down

HTTP/1.1 404 Not Found

-18-

LayerX TM Technology

2. SLB 장비의 Layer 4 부하분산

A. 라우팅 알고리즘

I. DSR (Direct Server Return)II. NAT (Network Address Translation)III. FNAT (Full Network Address Translation)

B. 스케줄링 알고리즘

I. RR (Round Robin)II. WRR (Weighted Round Robin)III. LC (Least Connection)IV. WLC (Weighted Least Connection)V. Hashing

C. 세션 유지

I. State SessionII. Stateless SessionIII. IP Persistence

-19-

LayerX TM Technology

2-A. 라우팅 알고리즘 - DSR (Direct Server Return)

L4 스위치에 도달한 패킷을 가공하

지 않고 MAC주소만을 바꾸어 Real Server로 전달합니다.

내부네트워크의 Real Server들이 직접

외부 인터넷에 접속할 수 있습니다.

DSR 구성의 조건

Virtual IP와 Real Server의 IP주소

가 동일한 네트워크에 존재하여야 합

니다.Real Server는 Destination IP주소

가 Virtual IP로 되어있는 패킷을 받

을 수 있어야 합니다.Router가 Destination IP가 Virtual IP인 경우 L4 스위치로 라우팅 해주

어야 한다.

Client

Real Server

Router

Server Load Balancer L2 Switch

10.10.0.254Default GW

10.10.0.253VIP

10.10.0.1IP

10.10.0.254Default GW

10.10.0.253VIP

10.10.0.2IP

InternetInternet

10.10.0.253VIP

10.10.0.254IP

21.24.0.1IP

10.10.0.253DIP

21.24.0.1SIP

21.24.0.1DIP

10.10.0.253SIP

-20-

LayerX TM Technology

2-A. 라우팅 알고리즘 - NAT (Network Address Translation)

Virtual IP를 목적지로 하는 패킷의

목적지 주소를 Real Server로 변환

하여 라우팅 합니다.

내부 네트워크의 보안을 유지할 수

있습니다.

NAT설정 조건

L4스위치의 외부 네트워크와 내부

네트워크가 분리되어야 합니다.

내부 Real Server들의 Default

Gateway가 L4스위치가 되어야 합니

다.

Client

Real Server

Router

Server Load BalancerL2 Switch

192.168.0.254Default GW

192.168.0.1IP

192.168.0.254Default GW

192.168.0.2IP

InternetInternet

192.168.0.254IP

10.10.0.253VIP

10.10.0.254IP

21.24.0.1IP

10.10.0.253DIP

21.24.0.1SIP

192.168.0.1DIP

21.24.0.1SIP

21.24.0.1DIP

192.168.0.1SIP

21.24.0.1DIP

10.10.0.253SIP

주소 변환

주소 변환

Client

Real Server

Router

Server Load BalancerL2 Switch

192.168.0.254Default GW

192.168.0.1IP

192.168.0.254Default GW

192.168.0.2IP

InternetInternet

192.168.0.254IP

10.10.0.253VIP

10.10.0.254IP

21.24.0.1IP

10.10.0.253DIP

21.24.0.1SIP

192.168.0.1DIP

21.24.0.1SIP

21.24.0.1DIP

192.168.0.1SIP

21.24.0.1DIP

10.10.0.253SIP

주소 변환

주소 변환

-21-

LayerX TM Technology

2-A. 라우팅 알고리즘 - FNAT (Full Network Address Translation)

L4 스위치에서 목적지 주소와 출발

지 주소를 모두 변환하여 라우팅 합

니다.

네트워크의 설정을 변경할 필요가 없

으며 가장 간단히 설치할 수 있습니

다.

Client

Real Server

Router

Server Load Balancer L2 Switch

192.168.0.11IP 192.168.0.12IP

InternetInternet

192.168.0.1IP

10.10.0.253VIP

10.10.0.254IP

21.24.0.1IP

10.10.0.253DIP

21.24.0.1SIP

192.168.0.11DIP

192.168.0.1SIP

192.168.0.1DIP

192.168.0.11SIP

21.24.0.1DIP

10.10.0.253SIP

주소 변환

주소 변환

-22-

LayerX TM Technology

2-B. 스케줄링 알고리즘 – RR (Round Robin)

가장 기본적인 알고리즘으로 모든 서

버에 동일하게 세션을 라우팅 합니다.

모든 서버에 누적 세션 수가 같게 됩

니다.

Client

Real Server

Router

Server Load Balancer

InternetInternet

P

-23-

LayerX TM Technology

2-B. 스케줄링 알고리즘 - WRR (Weighted Round Robin)

기본적으로 RR (Round Robin)과 비

슷한 방식입니다.

RR방식과의 차이점은 특성 서버에

가중치를 두어 더 많은 세션을 처리

하도록 합니다.

Client

Real Server

Router

Server Load Balancer

InternetInternet

121Server Weight

P

-24-

LayerX TM Technology

2-B. 스케줄링 알고리즘 - LC (Least Connection)

L4 스위치의 세션 테이블에서 Active 세션이 가장 적은 서버로 라우팅 합

니다.

Client

Real Server

Router

Server Load Balancer

InternetInternet

787675Active Session

P

-25-

LayerX TM Technology

2-B. 스케줄링 알고리즘 - WLC (Weighted Least Connection)

기본적인 동작은 LC와 비슷합니다.

LC와의 차이점은 특정 서버에 가중

치를 두어 더 많은 세션을 처리하도

록 합니다.

Client

Real Server

Router

Server Load Balancer

InternetInternet

121Server Weight

72138 (69)71Active Session

P

-26-

LayerX TM Technology

2-B. 스케줄링 알고리즘 -Hashing

클라이언트의 IP주소와 Port번호를

조합하여 Hash함수를 통해 계산한

결과로 스케줄링 합니다.

Client2

Real Server

Router

Server Load Balancer

InternetInternet

Client1

P

HashFunction(Client IP, Client Port)

-27-

LayerX TM Technology

2-C. 세션 유지

세션이 연결되어 있는 서버와 클라이

언트 사이의 패킷은 동일한 서버로

전송되어야 합니다.

세션 정보를 가지지 않는 서버는 자

신이 모르는 세션의 패킷을 버리게

되므로 클라이언트는 정상적인 서비

스를 이용할 수 없게 됩니다.

Client2

Real Server

Router

Server Load Balancer

InternetInternet

Client1

연결된세션

패킷의흐름

P

Drop

-28-

LayerX TM Technology

2-C. 세션 유지 - State Session

State 기반의 세션(i.e. TCP)은 세션 연결을 위한 패킷(i.e. SYN)과 세션 종료를

위한 패킷(i.e. FIN) 이 있습니다.

L4 스위치는 세션 기반의 프로토콜에 대해서는 해당 프로토콜의 세션 생성 및

종료 패킷을 이용하여 세션 테이블을 생성합니다.

-29-

LayerX TM Technology

2-C. 세션 유지 - Stateless Session

세션을 유지하지 않는 프로토콜에 대해서는 각각의 패킷이 어느 세션에 포함되

는 것인지 알 수 없습니다.

L4 스위치에서는 Session Persistence라는 기능을 통해 가상의 세션을 생성합

니다. 즉, Client1->Server1으로 전송된 패킷이 있고, 지정된 시간 내에 Client1로부터 들어오는 패킷에 대해서는 Server1으로 전송합니다. 세션은 (Source IP, Source Port)-(Destination IP, Destination Port)의 쌍으로 구분합니다.

-30-

LayerX TM Technology

2-C. 세션 유지 – IP Persistence

첫 번째 세션의 경로가 뒤따르는 모든 새로운 세션의 경로가 됩니다.

지정된 Timeout이 되기 전까지 클라이언트로부터의 모든 세션은 동일한 서버

로 스케줄링 됩니다.

-31-

LayerX TM Technology

3. FWLB/VPNLB의 주요 기능

A. Layer 4 Load Balancing (FWLB)• Internal, External 로 구분되는 서비스

B. Layer 4 Load Balancing (VPNLB)• External (Tunnel), Internal 로 구분되는 서비스

• 지점, 본점 장비

• Destination host가 존재하는 터널 찾기

C. Layer 4 Load Balancing (FW+VPN LB)

D. DMZ

E. Failover (HA) – VRRP

F. Session Mirroring

G. Health check (Link check, DMZ check)

H. Active-Active Default gateway

-32-

LayerX TM Technology

3-A. FWLB의 Layer 4 Load Balancing

TCP, UDP session일 경우 한 session은 하나

의 Firewall 만 거쳐가야 합니다. 나머지 경우에

대해서는 한 IP에 대해서 한 Firewall만을 거쳐

서 통신을 하여야 합니다.

외부 네트워크와 방화벽 사이에 위치하는 장비

를 External장비라 부르며 내부네트워크와 방

화벽 사이에 위치하는 장비를 Internal장비라 부

릅니다.

Session

TCP session : IP address + Port + TCP state + Session Persistence (Sticky Time)UDP: IP address + Port + Session Persistence (Sticky Time)IP: IP address + Session Persistence (Sticky Time)

External Network

Internal Network

Session Level

Session Level

External 장비

Internal 장비

-33-

LayerX TM Technology

3-B. DMZ

방화벽에서 지원되는 기능으로 특정

IP주소 대역에 대해 별도의 경로로

라우팅 하게 해주는 기능입니다.

DMZ의 Load Balancing은 Internal Load Balancing과 비슷합니다.

External FW/VPN LB

Internal FW/VPN LB

DMZ LB

Router

WANWAN

Internal Network

Internal Network

DMZ Network

DMZ Network

-34-

LayerX TM Technology

3-C. Health check – Link

패킷을 전송하면 안 되는 조건은 다

음과 같습니다.방화벽이 Down된 경우

방화벽은 정상동작하나 Line이 불량

인 경우

위의 조건들로 인해 FW/VPN Load Balancing에서는 SLB의 Health Check와 다르게 반대편의 Load Balancer로부터 보내진 Health Check패킷이 도달하는지 확인합니

다.

Internal

External

DMZ

WANWAN

Down

-35-

LayerX TM Technology

3-D. Health check –DMZ check

패킷을 전송하면 안 되는 조건은 다

음과 같습니다.방화벽이 Down된 경우

방화벽은 정상동작하나 Line이 불량

인 경우

위의 조건들로 인해 FW/VPN Load Balancing에서는 SLB의 Health Check와 다르게 반대편의 Load Balancer로부터 보내진 Health Check패킷이 도달하는지 확인합니

다.

Internal

External

DMZ

WANWAN

Down

-36-

LayerX TM Technology

4. FWLB/VPNLB의 Layer 4 부하 분산

A. 라우팅 알고리즘

I. DSR (Direct Server Return)II. NAT (Network Address Translation)

B. 스케줄링 알고리즘

I. RR (Round Robin)II. WRR (Weighted Round Robin)III. LC (Least Connection)IV. WLC (Weighted Least Connection)V. Hashing

C. 세션 유지

I. IP Persistence

-37-

LayerX TM Technology

WANWAN

Host

L4 Switch

Router

Firewall

Host

L4 Switch

EXTERNAL

INTERNAL

IP: 165.123.63.1

IP: 203.153.56.120

4-A. 라우팅 알고리즘 – DSR (Direct Server Return)

SLB의 DSR과 비슷한 방식입니다.

모든 패킷은 External L4 Switch에서

아무런 변환 없이 라우팅 됩니다.

FW/VPNLB에서는 DSR방식은 설정

에 필요한 조건이 없습니다.

203.153.56.120DIP

165.123.63.1SIP

165.123.63.1DIP

203.153.56.120SIP

-38-

LayerX TM Technology

Host

L4 Switch

Router

Firewall

Host

L4 Switch

EXTERNAL

INTERNAL

IP: 165.123.63.1

IP: 203.153.56.120

VIP: 203.153.56.1

IP: 192.168.0.1

WANWAN

4-A. 라우팅 알고리즘 – NAT (Network Address Translation)

SLB의 NAT과 비슷한 방식입니다.

모든 패킷은 External L4 Switch에서

목적지 주소가 VIP에서 방화벽의 IP로 변환됩니다.

FW/VPNLB에서는 DSR방식은 설정

에 필요한 조건이 없습니다.외부 네트워크와 내부 네트워크가 분

리되어야 합니다. Firewall 의 Default Gateway 는 L4스위치가 되어야 합니다.

203.153.56.1DIP

165.123.63.1SIP

165.123.63.1DIP

192.168.0.1SIP

192.168.0.1DIP

165.123.63.1SIP

165.123.63.1DIP

203.153.56.1SIP

-39-

LayerX TM Technology

4-B. 스케줄링 알고리즘 – RR (Round Robin)

SLB의 RR과 동일하게 동작합니다.

Host

L4 Switch

FW1

Host

L4 Switch

EXTERNAL

INTERNAL

FW2 FW3

WANWAN

P

-40-

LayerX TM Technology

4-B. 스케줄링 알고리즘 – WRR (Weighted Round Robin)

SLB의 WRR과 동일하게 동작합니다.

Host

L4 Switch

FW1

Host

L4 Switch

EXTERNAL

INTERNAL

FW2 FW3

WANWAN

P

Weight 1 2 1

-41-

LayerX TM Technology

4-B. 스케줄링 알고리즘 – LC (Least Connection)

SLB의 LC와 동일하게 동작합니다.

Host

L4 Switch

FW1

Host

L4 Switch

EXTERNAL

INTERNAL

FW2 FW3

WANWAN

P

Session 11 12 9

-42-

LayerX TM Technology

4-B. 스케줄링 알고리즘 – WLC (Weighted Least Connection)

SLB의 WLC와 동일하게 동작합니다.

Host

L4 Switch

FW1

Host

L4 Switch

EXTERNAL

INTERNAL

FW2 FW3

WANWAN

P

1420(10)12Session

121Weight

-43-

LayerX TM Technology

4-B. 스케줄링 알고리즘 –Hashing

SLB의 Hashing과 동일하게 동작합

니다.

Host

L4 Switch

FW1

Host

L4 Switch

EXTERNAL

INTERNAL

FW2 FW3

WANWAN

P

HashFunction(Client IP, Client Port)

-44-

LayerX TM Technology

4-C. Session 유지

세션이 연결되어 있는 서버와 클라이언트 사이의 패킷은 동일한 서버로 전송되어야 합니다.

세션 정보를 가지지 않는 방화벽 자신이 모르는 세션의 패킷을 버리게 되므로 클라이언트는 정상적인 서비스를이용할 수 없게 됩니다.

Session TCP session : IP address + Port + TCP state + Session Persistence (Sticky Time)UDP: IP address + Port + Session Persistence (Sticky Time)IP: IP address + Session Persistence (Sticky Time)

Host

L4 Switch

FW1

Host

L4 Switch

EXTERNAL

INTERNAL

FW2 FW3

WANWAN

P

Session

Drop

-45-

LayerX TM Technology

4-C. 세션 유지 – IP Persistence

첫 번째 세션의 경로가 뒤따르는 모든 새로운 세션의 경로가 됩니다.

지정된 Timeout이 되기 전까지 클라이언트로부터의 모든 세션은 동일한 서버

로 스케줄링 됩니다.

-46-

LayerX TM Technology

교육 요청

접수 및 관련 문의

펌킨넷코리아㈜

02-3280-9380 support@pumpkinnet.co.kr

교육장: 총판사 교육장(서울, 대구)

-47-

LayerX TM Technology

- Thanks -

www.pumpkinnet.co.kr www.l4switch.com