(1) 상위 계층 장비
① L4 스위치
트랜스포트 계층을 기반으로 패킷을 분류하고 경로를 제어하는 점은 L2나 L3 스위치와 비슷하지만, 트랜스포트 게층에서 발생하는 세션을 관리하고, 포트 번호로 세션을 관리하기 위한 패킷도 조작한다는 차이점이 있다.
로드 밸런싱이 가장 큰 핵심이다. 서버나 장비, 네트워크의 부하를 분산해 고가용성 시스템을 구축해 신회성과 확장성을 향상할 수 있다.
서버 로드 밸런싱
여러 대의 서버를 마치 하나의 서버처럼 동작시킴으로써 성능을 쉽게 확장하게 하고, 서버의 장애 발생 시에도 타 서버로 운영이 가능하게 함으로써 신뢰성을 향상시키기 위한 방법이다.
Client가 웹브라우저 상에서 URL을 입력하여 DNS로 하여금 얻어지는 Ip address(Virtual IP : VIP)를 통하여 L4 Virtual Server로 접속하게 된다.
Virtual Server로 접속하게 된 http request는 VIP로 mapping되어있는 실제 서버들(real server)의 Group으로 matching시켜주게 된다.
Server group으로 Matching 시키는 기법은 L4가 가지고 있는 여러 가지 분산 알고리즘에 의해 작동하게 되는데 사이트의 성격에 따라 알맞게 선택하여 주면 된다.
방화벽로드밸런싱
방화벽 한 대로 서비스를 제공할 경우, single point of failure가 발생할 수 있고, 애플리케이션 수준의 프록시를 이용하여 높은 보안 수준을 제공하기 위해 많은 부하가 방화벽에 걸리게 되어 응답시간의 지연을 초래한다.
이러한 문제점들은 최근의 전자상거래 환경에서는 사업을 수행하는데 치명적인 걸림돌이 될 수 있다. 따라서 방화벽 로드 밸런싱의 목적은 다음과 같다.
- 하나 이상의 방화벽을 추가하여 가용성 및 성능 향상
- 동적인 로드 분산을 통해 응답속도 향상
- 시스템 변경 없이 방화벽 확장 및 관리
구성방안
DMZ
서버들의 안정성 및 중단없는 서비스 그리고 고성능 서버의 자원을 효율적으로 사용하기 위하여 L4스위치로 구성한다.
- 각각의 서버 팜들은 로드 밸런싱을 통하여 각각의 서버의 부하를 줄인다.
- 서버팜 안에서 한 대의 서버가 장애가 발생하여도 나머지 서버로 무중단 서비스를 제공한다.
이중화
L4 스위치의 장애를 대비하여 장비 및 링크 이중화를 구성한다. 장비 이중화는 상황에 따라 2가지 방법이 있다.
- box-to-box : Master 장비는 서비스를 하고 Backup 장비는 마치 전원이 다운되어 있는 것처럼 논리적으로 모든 통신을 차단한다. 다만 L4 스위치끼리의 모니터링하여 Master 장비가 장애가 발생할 경우 Backup 장비가 Master가 된다.
- redundant : 스위치의 HSRP와 비슷하게 동작한다. 서로 세션을 공유하며 모니터링하다가 Master가 장애가 발생하면 Backup 장비가 Master가 된다.
CSM은 6500시리즈 스위치에 서비스 모듈이므로 별도의 vlan을 만들어 별도의 명령어로 구성한다.
구성
- 브리지 모드 : L4 스위치를 기준으로 서버_side와 클라이언트_side가 같은 네트워크인 경우이다. 이때 서버의 게이트웨이는 L4 스위치와 같은 게이트웨이로 설정한다.
- 라우터 모드 : L4 스위치를 기준으로 서버_side와 클라이언트_side가 다른 네트워크인 경우이다. 이때 서버의 게이트웨이는 L4 스위치로 설정한다.
② L7 스위치
트래픽 부하 분산 이외에도 보안이나 QoS 지원 기능이 있어 님다(Nimda)나 코드레스, 서비스 거부 공격(DoS), 등 바이러스나 웜 등의 네트워크 공격과 해킹을 차단하는 특별한 기능을 지원한다. 스위치로써 동작하기 위해 기본적인 L2, L3, L4 스위치 기능을 지원한다.
엄밀히 말하면 현재 상용화된 L7 스위치는 세션 계층 스위치 역할을 한다고 말할 수 있고, 모든 응용 프로그램의 세션을 분류할 수 있는 것은 아니다. L7 스위치의 경우 웹 트래픽에 대한 패킷 구별과 제어가 많은 부분을 차지하는 것은 사실이지만, L7 스위치 장비가 URL을 기준으로만 동작하는 것은 아니다. 많은 응용 프로그램이 멀티미디어와 중요한 자료를 전송하기 위해 데이터를 사용하기 때문에 이러한 데이터를 처리하기 위해 L7 스위치가 필요하다.
L7 스위치는 서버에 들어오는 데이터를 필터링해 외부에서 들어오는 모든 데이터를 그대로 받아들이지 않고 바이러스나 미확인 데이터를 그대로 폐기함으로 2003년 1월의 인터넷 대란 때 처럼 데이터가 급격하게 증가하더라도 서버를 운용할 수 있게 하는 일부 보안 기능을 갖는다.
'IT > Network' 카테고리의 다른 글
| [Network Basic] Token Ring (0) | 2021.01.19 |
|---|---|
| [Network Basic] LAN, CSMA/CD (0) | 2021.01.18 |
| [Network Basic] OSI 계층별 장비(네트워크 계층 장비 : router, L3 switch) (0) | 2021.01.16 |
| [Network Basic] OSI 계층별 장비(데이터 링크 계층 : bridge, switch) (0) | 2021.01.12 |
| [Network Basic] OSI 계층별 장비(물리계층) (0) | 2021.01.12 |
