l4-7 switch 기본교육자료 - sbpaek.tistory.com150868374f1ae0bd29455b.pdf-3-layerx tm technology...
TRANSCRIPT
http://www.pumpkinnet.co.kr(Tel) 02-3280-9380 (Fax) 02-3280-9382
Pumpkin Networks. Inc.
L4-7 Switch 기본 교육 자료
-3-
LayerX TM Technology
기본 개념 - Switching & Routing
Switching & Routing 이란?
Data를 목적지 까지 전달 하는 방법!
?그렇다면 L4/L7 Switch란?
-4-
LayerX TM Technology
Payload (Application Protocol)MAC
기본 개념 - Switching & Routing
IP TCP/UDP Payload (Application Protocol)L2 Switching
L3 Switching
(Routing)
L4 Switching
L7 Switching
SRC MAC DST MAC
MAC
Switching 결정 조건
TCP/UDP Payload (Application Protocol)MAC
IP TCP/UDP
TCP/UDP Payload (Application Protocol)MAC
IP
IP
SRC ADDR DST ADDR
SRC ADDR DST PORTSRC PORT DST ADDR Payload
SRC ADDR DST PORTSRC PORT DST ADDR
must have
MAC Address
must have
IP Address/subnet
must haveIP AddressApplication Server (port)
must haveIP AddressApplication Server (port)Contents
Receiver의 필수 조건계층에 따른 스위칭 방식 Sender
-5-
LayerX TM Technology
기본 개념 - Switching & Routing
질문1. L4 Switching에서 Port가 의미 하는 바는?
질문2. L7 Switching에서 Payload가 의미하는 바는?
답) Application Server
답) Application의 Contents
-6-
LayerX TM Technology
기본 개념 - Switching & Routing
Packet을 목적지 까지 이동하는 개념은 라우터와 동일!
L4/L7 Switch는 목적지의 개념이
IP를 가진 Machine이 아니라
Application과 Contents 이다!!!
-7-
LayerX TM Technology
기본 개념 - L4 Switch란?
L4 Switch란
부하분산과 이중화를 통해 Application Data를 효율적으로 전달하기 위한 방법
?Application Server (TCP/UDP port)
-8-
LayerX TM Technology
기본 개념 - L7 Switch란?
L7 Switch란
부하분산과 이중화를 통해 Application Contents를효율적으로 전달하기 위한 방법
?Application Contents
TCP/UDP Payload (Application Protocol)MAC IP
SRC ADDR DST PORTSRC PORT DST ADDR Payload
-9-
LayerX TM Technology
기본 개념 – L4 Switch의 종류
Request
ServerServer
Request
L4 Switch
Server
Load Balancing 대상
Payload (Application Protocol)MAC IP TCP/UDP
SRC ADDR DST PORTSRC PORT DST ADDR
ClientClient Client
Server
L4 Switch
L4 Switch
L4 Switch
FW/VPNs
DMZ Zone
Server
ClientClient
Server
TLB
Client
WAN1 WAN2 WAN3
•L4 Switch가 가장 널리 사용되고 있음
•서버에 대한 부하 분산 및 이중화 용도로 사용
•주용도 : Web(HTTP, HTTPS), FTP, Database,
DNS, Terminal Server 등
•보안 장비의 특성인Stateful Inspection, Tunneling을
감안한 Diamond 구성
•L4 Switch는 하나의 session은 하나의 보안 장비만 통과
하도록 경로를 설정
•주용도 : VPN, Firewall, SSLVPN, IDS,
Stateful Inspection이나 Tunneling을 하는 장비
•WAN 회선의 이중화, Traffic 증설의 용도
•IPS, QoS 등 부가 기능을 수행
•주용도 :ADSL DHCP, 전용선, Metro
Traffic Load Balancing보안 장비 Load BalancingServer Load Balancing
-12-
LayerX TM Technology
Table of Content
1. SLB 장비의 주요 기능
2. SLB 장비의 Layer 4 부하 분산
3. FWLB/VPNLB의 주요 기능
4. FWLB/VPNLB의 Layer 4 부하 분산
5. 장비의 설정 방법
-13-
LayerX TM Technology
1-A. SLB의 Layer 4 Load Balancing
SLB의 Layer 4 Load Balancing패킷을 IP 주소와 Port 번호를 참조하여 여러 서버에 적절한 부하부하 분산분산 알고리즘을알고리즘을
(Load balancing Algorithm)(Load balancing Algorithm) 통해 전달하는 방식
Load Balancing을 위해 모든 서버들을 대표하는 가상의 IP(virtual IP)주소를 사용
합니다.
Web Server farm
Layer 4 Load Balancer
WANWAN
-14-
LayerX TM Technology
1-B. Health check (Server check)
Load Balancing의 대상이 되는 서버들의 상태를 체크합니다.ICMP 이용한 Health checkTCP Connection을 이용한 Health checkHTTP Request를 이용한 Health checkHealth check는 지정된 주기와 재시도횟수에 따라 동작합니다.
Down 되어있는 서버들로 라우팅 하는 것은 의미가 없으므로 정상 동작하는 서
버들에게만 라우팅 합니다.
Web Server farm
Layer 4 Load Balancer
WANWAN
Down
-15-
LayerX TM Technology
1-B-1. ICMP를 이용한 Health check
각각의 서버에게 ICMP Ping Request를 보내고 Response가 돌아오는지 체크
합니다.
Web Server farm
Layer 4 Load Balancer
WANWANICMP Request
ICMP Response
Down
-16-
LayerX TM Technology
1-B-2. TCP Connection을 이용한 Health check
각각의 서버에 TCP SYN패킷을 보낸 후 SYN ACK가 돌아오는지 체크합니다.
ICMP 체크보다 서버가 서비스(i.e. Web)를 정상적으로 수행하고 있는지 체크
하는데 도움을 줍니다.
Web Server farm
Layer 4 Load Balancer
WANWANTCP SYN
TCP SYN ACK
Down
-17-
LayerX TM Technology
1-B-3. HTTP request를 이용한Health check
서버의 동작을 가장 확실하게 테스트 할 수 있습니다.
각각의 서버에 HTTP Request를 보낸 후 원하는 Response가 돌아오는지 확인
합니다.
Web Server farm
Layer 4 Load Balancer
WANWANGET
HTTP/1.1 200 OK
Down
HTTP/1.1 404 Not Found
-18-
LayerX TM Technology
2. SLB 장비의 Layer 4 부하분산
A. 라우팅 알고리즘
I. DSR (Direct Server Return)II. NAT (Network Address Translation)III. FNAT (Full Network Address Translation)
B. 스케줄링 알고리즘
I. RR (Round Robin)II. WRR (Weighted Round Robin)III. LC (Least Connection)IV. WLC (Weighted Least Connection)V. Hashing
C. 세션 유지
I. State SessionII. Stateless SessionIII. IP Persistence
-19-
LayerX TM Technology
2-A. 라우팅 알고리즘 - DSR (Direct Server Return)
L4 스위치에 도달한 패킷을 가공하
지 않고 MAC주소만을 바꾸어 Real Server로 전달합니다.
내부네트워크의 Real Server들이 직접
외부 인터넷에 접속할 수 있습니다.
DSR 구성의 조건
Virtual IP와 Real Server의 IP주소
가 동일한 네트워크에 존재하여야 합
니다.Real Server는 Destination IP주소
가 Virtual IP로 되어있는 패킷을 받
을 수 있어야 합니다.Router가 Destination IP가 Virtual IP인 경우 L4 스위치로 라우팅 해주
어야 한다.
Client
Real Server
Router
Server Load Balancer L2 Switch
10.10.0.254Default GW
10.10.0.253VIP
10.10.0.1IP
10.10.0.254Default GW
10.10.0.253VIP
10.10.0.2IP
InternetInternet
10.10.0.253VIP
10.10.0.254IP
21.24.0.1IP
10.10.0.253DIP
21.24.0.1SIP
21.24.0.1DIP
10.10.0.253SIP
-20-
LayerX TM Technology
2-A. 라우팅 알고리즘 - NAT (Network Address Translation)
Virtual IP를 목적지로 하는 패킷의
목적지 주소를 Real Server로 변환
하여 라우팅 합니다.
내부 네트워크의 보안을 유지할 수
있습니다.
NAT설정 조건
L4스위치의 외부 네트워크와 내부
네트워크가 분리되어야 합니다.
내부 Real Server들의 Default
Gateway가 L4스위치가 되어야 합니
다.
Client
Real Server
Router
Server Load BalancerL2 Switch
192.168.0.254Default GW
192.168.0.1IP
192.168.0.254Default GW
192.168.0.2IP
InternetInternet
192.168.0.254IP
10.10.0.253VIP
10.10.0.254IP
21.24.0.1IP
10.10.0.253DIP
21.24.0.1SIP
192.168.0.1DIP
21.24.0.1SIP
21.24.0.1DIP
192.168.0.1SIP
21.24.0.1DIP
10.10.0.253SIP
주소 변환
주소 변환
Client
Real Server
Router
Server Load BalancerL2 Switch
192.168.0.254Default GW
192.168.0.1IP
192.168.0.254Default GW
192.168.0.2IP
InternetInternet
192.168.0.254IP
10.10.0.253VIP
10.10.0.254IP
21.24.0.1IP
10.10.0.253DIP
21.24.0.1SIP
192.168.0.1DIP
21.24.0.1SIP
21.24.0.1DIP
192.168.0.1SIP
21.24.0.1DIP
10.10.0.253SIP
주소 변환
주소 변환
-21-
LayerX TM Technology
2-A. 라우팅 알고리즘 - FNAT (Full Network Address Translation)
L4 스위치에서 목적지 주소와 출발
지 주소를 모두 변환하여 라우팅 합
니다.
네트워크의 설정을 변경할 필요가 없
으며 가장 간단히 설치할 수 있습니
다.
Client
Real Server
Router
Server Load Balancer L2 Switch
192.168.0.11IP 192.168.0.12IP
InternetInternet
192.168.0.1IP
10.10.0.253VIP
10.10.0.254IP
21.24.0.1IP
10.10.0.253DIP
21.24.0.1SIP
192.168.0.11DIP
192.168.0.1SIP
192.168.0.1DIP
192.168.0.11SIP
21.24.0.1DIP
10.10.0.253SIP
주소 변환
주소 변환
-22-
LayerX TM Technology
2-B. 스케줄링 알고리즘 – RR (Round Robin)
가장 기본적인 알고리즘으로 모든 서
버에 동일하게 세션을 라우팅 합니다.
모든 서버에 누적 세션 수가 같게 됩
니다.
Client
Real Server
Router
Server Load Balancer
InternetInternet
P
-23-
LayerX TM Technology
2-B. 스케줄링 알고리즘 - WRR (Weighted Round Robin)
기본적으로 RR (Round Robin)과 비
슷한 방식입니다.
RR방식과의 차이점은 특성 서버에
가중치를 두어 더 많은 세션을 처리
하도록 합니다.
Client
Real Server
Router
Server Load Balancer
InternetInternet
121Server Weight
P
-24-
LayerX TM Technology
2-B. 스케줄링 알고리즘 - LC (Least Connection)
L4 스위치의 세션 테이블에서 Active 세션이 가장 적은 서버로 라우팅 합
니다.
Client
Real Server
Router
Server Load Balancer
InternetInternet
787675Active Session
P
-25-
LayerX TM Technology
2-B. 스케줄링 알고리즘 - WLC (Weighted Least Connection)
기본적인 동작은 LC와 비슷합니다.
LC와의 차이점은 특정 서버에 가중
치를 두어 더 많은 세션을 처리하도
록 합니다.
Client
Real Server
Router
Server Load Balancer
InternetInternet
121Server Weight
72138 (69)71Active Session
P
-26-
LayerX TM Technology
2-B. 스케줄링 알고리즘 -Hashing
클라이언트의 IP주소와 Port번호를
조합하여 Hash함수를 통해 계산한
결과로 스케줄링 합니다.
Client2
Real Server
Router
Server Load Balancer
InternetInternet
Client1
P
HashFunction(Client IP, Client Port)
-27-
LayerX TM Technology
2-C. 세션 유지
세션이 연결되어 있는 서버와 클라이
언트 사이의 패킷은 동일한 서버로
전송되어야 합니다.
세션 정보를 가지지 않는 서버는 자
신이 모르는 세션의 패킷을 버리게
되므로 클라이언트는 정상적인 서비
스를 이용할 수 없게 됩니다.
Client2
Real Server
Router
Server Load Balancer
InternetInternet
Client1
연결된세션
패킷의흐름
P
Drop
-28-
LayerX TM Technology
2-C. 세션 유지 - State Session
State 기반의 세션(i.e. TCP)은 세션 연결을 위한 패킷(i.e. SYN)과 세션 종료를
위한 패킷(i.e. FIN) 이 있습니다.
L4 스위치는 세션 기반의 프로토콜에 대해서는 해당 프로토콜의 세션 생성 및
종료 패킷을 이용하여 세션 테이블을 생성합니다.
-29-
LayerX TM Technology
2-C. 세션 유지 - Stateless Session
세션을 유지하지 않는 프로토콜에 대해서는 각각의 패킷이 어느 세션에 포함되
는 것인지 알 수 없습니다.
L4 스위치에서는 Session Persistence라는 기능을 통해 가상의 세션을 생성합
니다. 즉, Client1->Server1으로 전송된 패킷이 있고, 지정된 시간 내에 Client1로부터 들어오는 패킷에 대해서는 Server1으로 전송합니다. 세션은 (Source IP, Source Port)-(Destination IP, Destination Port)의 쌍으로 구분합니다.
-30-
LayerX TM Technology
2-C. 세션 유지 – IP Persistence
첫 번째 세션의 경로가 뒤따르는 모든 새로운 세션의 경로가 됩니다.
지정된 Timeout이 되기 전까지 클라이언트로부터의 모든 세션은 동일한 서버
로 스케줄링 됩니다.
-31-
LayerX TM Technology
3. FWLB/VPNLB의 주요 기능
A. Layer 4 Load Balancing (FWLB)• Internal, External 로 구분되는 서비스
B. Layer 4 Load Balancing (VPNLB)• External (Tunnel), Internal 로 구분되는 서비스
• 지점, 본점 장비
• Destination host가 존재하는 터널 찾기
C. Layer 4 Load Balancing (FW+VPN LB)
D. DMZ
E. Failover (HA) – VRRP
F. Session Mirroring
G. Health check (Link check, DMZ check)
H. Active-Active Default gateway
-32-
LayerX TM Technology
3-A. FWLB의 Layer 4 Load Balancing
TCP, UDP session일 경우 한 session은 하나
의 Firewall 만 거쳐가야 합니다. 나머지 경우에
대해서는 한 IP에 대해서 한 Firewall만을 거쳐
서 통신을 하여야 합니다.
외부 네트워크와 방화벽 사이에 위치하는 장비
를 External장비라 부르며 내부네트워크와 방
화벽 사이에 위치하는 장비를 Internal장비라 부
릅니다.
Session
TCP session : IP address + Port + TCP state + Session Persistence (Sticky Time)UDP: IP address + Port + Session Persistence (Sticky Time)IP: IP address + Session Persistence (Sticky Time)
External Network
Internal Network
Session Level
Session Level
External 장비
Internal 장비
-33-
LayerX TM Technology
3-B. DMZ
방화벽에서 지원되는 기능으로 특정
IP주소 대역에 대해 별도의 경로로
라우팅 하게 해주는 기능입니다.
DMZ의 Load Balancing은 Internal Load Balancing과 비슷합니다.
External FW/VPN LB
Internal FW/VPN LB
DMZ LB
Router
WANWAN
Internal Network
Internal Network
DMZ Network
DMZ Network
-34-
LayerX TM Technology
3-C. Health check – Link
패킷을 전송하면 안 되는 조건은 다
음과 같습니다.방화벽이 Down된 경우
방화벽은 정상동작하나 Line이 불량
인 경우
위의 조건들로 인해 FW/VPN Load Balancing에서는 SLB의 Health Check와 다르게 반대편의 Load Balancer로부터 보내진 Health Check패킷이 도달하는지 확인합니
다.
Internal
External
DMZ
WANWAN
Down
-35-
LayerX TM Technology
3-D. Health check –DMZ check
패킷을 전송하면 안 되는 조건은 다
음과 같습니다.방화벽이 Down된 경우
방화벽은 정상동작하나 Line이 불량
인 경우
위의 조건들로 인해 FW/VPN Load Balancing에서는 SLB의 Health Check와 다르게 반대편의 Load Balancer로부터 보내진 Health Check패킷이 도달하는지 확인합니
다.
Internal
External
DMZ
WANWAN
Down
-36-
LayerX TM Technology
4. FWLB/VPNLB의 Layer 4 부하 분산
A. 라우팅 알고리즘
I. DSR (Direct Server Return)II. NAT (Network Address Translation)
B. 스케줄링 알고리즘
I. RR (Round Robin)II. WRR (Weighted Round Robin)III. LC (Least Connection)IV. WLC (Weighted Least Connection)V. Hashing
C. 세션 유지
I. IP Persistence
-37-
LayerX TM Technology
WANWAN
Host
L4 Switch
Router
Firewall
Host
L4 Switch
EXTERNAL
INTERNAL
IP: 165.123.63.1
IP: 203.153.56.120
4-A. 라우팅 알고리즘 – DSR (Direct Server Return)
SLB의 DSR과 비슷한 방식입니다.
모든 패킷은 External L4 Switch에서
아무런 변환 없이 라우팅 됩니다.
FW/VPNLB에서는 DSR방식은 설정
에 필요한 조건이 없습니다.
203.153.56.120DIP
165.123.63.1SIP
165.123.63.1DIP
203.153.56.120SIP
-38-
LayerX TM Technology
Host
L4 Switch
Router
Firewall
Host
L4 Switch
EXTERNAL
INTERNAL
IP: 165.123.63.1
IP: 203.153.56.120
VIP: 203.153.56.1
IP: 192.168.0.1
WANWAN
4-A. 라우팅 알고리즘 – NAT (Network Address Translation)
SLB의 NAT과 비슷한 방식입니다.
모든 패킷은 External L4 Switch에서
목적지 주소가 VIP에서 방화벽의 IP로 변환됩니다.
FW/VPNLB에서는 DSR방식은 설정
에 필요한 조건이 없습니다.외부 네트워크와 내부 네트워크가 분
리되어야 합니다. Firewall 의 Default Gateway 는 L4스위치가 되어야 합니다.
203.153.56.1DIP
165.123.63.1SIP
165.123.63.1DIP
192.168.0.1SIP
192.168.0.1DIP
165.123.63.1SIP
165.123.63.1DIP
203.153.56.1SIP
-39-
LayerX TM Technology
4-B. 스케줄링 알고리즘 – RR (Round Robin)
SLB의 RR과 동일하게 동작합니다.
Host
L4 Switch
FW1
Host
L4 Switch
EXTERNAL
INTERNAL
FW2 FW3
WANWAN
P
-40-
LayerX TM Technology
4-B. 스케줄링 알고리즘 – WRR (Weighted Round Robin)
SLB의 WRR과 동일하게 동작합니다.
Host
L4 Switch
FW1
Host
L4 Switch
EXTERNAL
INTERNAL
FW2 FW3
WANWAN
P
Weight 1 2 1
-41-
LayerX TM Technology
4-B. 스케줄링 알고리즘 – LC (Least Connection)
SLB의 LC와 동일하게 동작합니다.
Host
L4 Switch
FW1
Host
L4 Switch
EXTERNAL
INTERNAL
FW2 FW3
WANWAN
P
Session 11 12 9
-42-
LayerX TM Technology
4-B. 스케줄링 알고리즘 – WLC (Weighted Least Connection)
SLB의 WLC와 동일하게 동작합니다.
Host
L4 Switch
FW1
Host
L4 Switch
EXTERNAL
INTERNAL
FW2 FW3
WANWAN
P
1420(10)12Session
121Weight
-43-
LayerX TM Technology
4-B. 스케줄링 알고리즘 –Hashing
SLB의 Hashing과 동일하게 동작합
니다.
Host
L4 Switch
FW1
Host
L4 Switch
EXTERNAL
INTERNAL
FW2 FW3
WANWAN
P
HashFunction(Client IP, Client Port)
-44-
LayerX TM Technology
4-C. Session 유지
세션이 연결되어 있는 서버와 클라이언트 사이의 패킷은 동일한 서버로 전송되어야 합니다.
세션 정보를 가지지 않는 방화벽 자신이 모르는 세션의 패킷을 버리게 되므로 클라이언트는 정상적인 서비스를이용할 수 없게 됩니다.
Session TCP session : IP address + Port + TCP state + Session Persistence (Sticky Time)UDP: IP address + Port + Session Persistence (Sticky Time)IP: IP address + Session Persistence (Sticky Time)
Host
L4 Switch
FW1
Host
L4 Switch
EXTERNAL
INTERNAL
FW2 FW3
WANWAN
P
Session
Drop
-45-
LayerX TM Technology
4-C. 세션 유지 – IP Persistence
첫 번째 세션의 경로가 뒤따르는 모든 새로운 세션의 경로가 됩니다.
지정된 Timeout이 되기 전까지 클라이언트로부터의 모든 세션은 동일한 서버
로 스케줄링 됩니다.
-46-
LayerX TM Technology
교육 요청
접수 및 관련 문의
펌킨넷코리아㈜
02-3280-9380 [email protected]
교육장: 총판사 교육장(서울, 대구)