Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

L4-7 Switch 기본교육자료 Pumpkin Networks. Inc. http://www.pumpkinnet.co.kr (Tel) 02-3280-9380 (Fax) 02-3280-9382 info@pumpkinnet.co.kr

기본개념 L4/L7 Switch 란? -2-

기본개념 - Switching & Routing Switching & Routing 이란? Data 를목적지까지전달하는방법!? 그렇다면 L4/L7 Switch 란? -3-

기본개념 - Switching & Routing 계층에따른스위칭방식 Sender Switching 결정조건 Receiver 의필수조건 L2 Switching MAC IP TCP/UDP Payload (Application Protocol) must have MAC Address SRC MAC DST MAC L3 Switching MAC IP TCP/UDP Payload (Application Protocol) must have (Routing) SRC ADDR DST ADDR IP Address/subnet L4 Switching MAC SRC ADDR IP TCP/UDP Payload (Application Protocol) SRC PORT DST ADDR DST PORT must have IP Address Application Server (port) L7 Switching MAC SRC ADDR IP TCP/UDP Payload (Application Protocol) SRC PORT DST ADDR DST PORT Payload must have IP Address Application Server (port) Contents -4-

기본개념 - Switching & Routing 질문 1. L4 Switching 에서 Port 가의미하는바는? 답 ) Application Server 질문 2. L7 Switching 에서 Payload 가의미하는바는? 답 ) Application 의 Contents -5-

기본개념 - Switching & Routing Packet 을목적지까지이동하는개념은라우터와동일! L4/L7 Switch 는목적지의개념이 IP 를가진 Machine 이아니라 Application 과 Contents 이다!!! -6-

기본개념 - L4 Switch 란? L4 Switch 란 부하분산과이중화를통해 Application Data 를효율적으로전달하기위한방법? Application Server (TCP/UDP port) -7-

MAC IP TCP/UDP Payload (Application Protocol) SRC ADDR 기본개념 - L7 Switch 란? SRC PORT DST ADDR DST PORT Payload L7 Switch 란 부하분산과이중화를통해 Application Contents 를효율적으로전달하기위한방법? Application Contents -8-

기본개념 L4 Switch 의종류 MAC IP TCP/UDP Payload (Application Protocol) SRC ADDR SRC PORT DST ADDR DST PORT Server Load Balancing 보안장비 Load Balancing Traffic Load Balancing Request Request Server Server L4 Switch DMZ Zone L4 Switch WAN1 WAN2 WAN3 FW/VPNs L4 Switch L4 Switch TLB Server Server Server Server Client Client Client Client Client Client L4 Switch가가장널리사용되고있음 서버에대한부하분산및이중화용도로사용 주용도 : Web(HTTP, HTTPS), FTP, Database, DNS, Terminal Server 등 보안장비의특성인Stateful Inspection, Tunneling을감안한 Diamond 구성 L4 Switch는하나의 session은하나의보안장비만통과하도록경로를설정 주용도 : VPN, Firewall, SSLVPN, IDS, Stateful Inspection이나 Tunneling을하는장비 WAN 회선의이중화, Traffic 증설의용도 IPS, QoS 등부가기능을수행 주용도 :ADSL DHCP, 전용선, Metro Load Balancing 대상 -9-

-10-

-11-

Table of Content 1. SLB 장비의주요기능 2. SLB 장비의 Layer 4 부하분산 3. FWLB/VPNLB의주요기능 4. FWLB/VPNLB의 Layer 4 부하분산 5. 장비의설정방법 -12-

1-A. SLB 의 Layer 4 Load Balancing SLB 의 Layer 4 Load Balancing 패킷을 IP 주소와 Port 번호를참조하여여러서버에적절한부하분산알고리즘을 (Load balancing Algorithm) 통해전달하는방식 Load Balancing을위해모든서버들을대표하는가상의 IP(virtual IP) 주소를사용합니다. WAN WAN Layer 4 Load Balancer Web Server farm -13-

1-B. Health check (Server check) Load Balancing 의대상이되는서버들의상태를체크합니다. ICMP 이용한 Health check TCP Connection 을이용한 Health check HTTP Request 를이용한 Health check Health check 는지정된주기와재시도횟수에따라동작합니다. Down 되어있는서버들로라우팅하는것은의미가없으므로정상동작하는서버들에게만라우팅합니다. WAN WAN Layer 4 Load Balancer Down Web Server farm -14-

1-B-1. ICMP 를이용한 Health check 각각의서버에게 ICMP Ping Request를보내고Response가돌아오는지체크합니다. WAN WAN Layer 4 Load Balancer ICMP Request ICMP Response Down Web Server farm -15-

1-B-2. TCP Connection 을이용한 Health check 각각의서버에 TCP SYN 패킷을보낸후 SYN ACK 가돌아오는지체크합니다. ICMP 체크보다서버가서비스 (i.e. Web) 를정상적으로수행하고있는지체크 하는데도움을줍니다. WAN WAN Layer 4 Load Balancer TCP SYN TCP SYN ACK Down Web Server farm -16-

1-B-3. HTTP request 를이용한 Health check 서버의동작을가장확실하게테스트할수있습니다. 각각의서버에 HTTP Request를보낸후원하는Response가돌아오는지확인합니다. WAN WAN Layer 4 Load Balancer GET HTTP/1.1 200 OK HTTP/1.1 404 Not Found Down Web Server farm -17-

2. SLB 장비의 Layer 4 부하 분산 A. 라우팅알고리즘 I. DSR (Direct Server Return) II. III. NAT (Network Address Translation) FNAT (Full Network Address Translation) B. 스케줄링알고리즘 I. RR (Round Robin) II. III. IV. WRR (Weighted Round Robin) LC (Least Connection) WLC (Weighted Least Connection) V. Hashing C. 세션유지 I. State Session II. III. Stateless Session IP Persistence -18-

2-A. 라우팅알고리즘 - DSR (Direct Server Return) L4 스위치에도달한패킷을가공하지않고MAC주소만을바꾸어 Real Server로전달합니다. 내부네트워크의 Real Server들이직접외부인터넷에접속할수있습니다. SIP DIP 21.24.0.1 10.10.0.253 Internet Client IP 21.24.0.1 Router IP 10.10.0.254 DSR 구성의조건 Virtual IP와 Real Server의 IP주소가동일한네트워크에존재하여야합니다. Real Server는 Destination IP주소가 Virtual IP로되어있는패킷을받을수있어야합니다. Router가 Destination IP가 Virtual IP인경우L4 스위치로라우팅해주어야한다. Server Load Balancer VIP 10.10.0.253 SIP 10.10.0.253 DIP 21.24.0.1 Real Server IP 10.10.0.1 IP VIP 10.10.0.253 VIP Default GW 10.10.0.254 Default GW L2 Switch 10.10.0.2 10.10.0.253-19- 10.10.0.254

2-A. 라우팅알고리즘 - NAT (Network Address Translation) Client Virtual IP를목적지로하는패킷의목적지주소를 Real Server로변환하여라우팅합니다. SIP DIP IP 21.24.0.1 10.10.0.253 Internet 21.24.0.1 내부네트워크의보안을유지할수있습니다. Router 주소변환 Server Load Balancer SIP 21.24.0.1 10.10.0.253 IP 10.10.0.254 L2 Switch NAT 설정조건 L4스위치의외부네트워크와내부네트워크가분리되어야합니다. 내부 Real Server들의 Default Gateway가 L4스위치가되어야합니다. DIP 192.168.0.1 21.24.0.1 VIP 주소변환 10.10.0.253 IP 192.168.0.254 SIP 192.168.0.1 DIP 21.24.0.1 Real Server IP 192.168.0.1 IP Default GW 192.168.0.254 Default GW 192.168.0.2 192.168.0.254-20-

2-A. 라우팅알고리즘 - FNAT (Full Network Address Translation) Client L4 스위치에서목적지주소와출발지주소를모두변환하여라우팅합니다. SIP DIP 21.24.0.1 10.10.0.253 Internet IP 21.24.0.1 네트워크의설정을변경할필요가없으며가장간단히설치할수있습니다. Router 주소변환 Server Load Balancer SIP 192.168.0.1 10.10.0.253 DIP 192.168.0.11 21.24.0.1 VIP 주소변환10.10.0.253 IP 10.10.0.254 L2 Switch IP 192.168.0.1 SIP 192.168.0.11 DIP 192.168.0.1 Real Server IP 192.168.0.11 IP 192.168.0.12-21-

2-B. 스케줄링알고리즘 RR (Round Robin) 가장기본적인알고리즘으로모든서버에동일하게세션을라우팅합니다. P Internet Client 모든서버에누적세션수가같게됩니다. Router Server Load Balancer Real Server -22-

2-B. 스케줄링알고리즘 - WRR (Weighted Round Robin) P Client 기본적으로 RR (Round Robin) 과비슷한방식입니다. Internet RR방식과의차이점은특성서버에가중치를두어더많은세션을처리하도록합니다. Router Server Load Balancer Real Server Server Weight 1 2 1-23-

2-B. 스케줄링알고리즘 - LC (Least Connection) P Client L4 스위치의세션테이블에서 Active 세션이가장적은서버로라우팅합니다. Internet Router Server Load Balancer Real Server Active Session 75 76 78-24-

2-B. 스케줄링알고리즘 - WLC (Weighted Least Connection) P Client 기본적인동작은 LC와비슷합니다. LC와의차이점은특정서버에가중치를두어더많은세션을처리하도록합니다. Router Internet Server Load Balancer Real Server Server Weight 1 2 1 Active Session 71 138 (69) 72-25-

2-B. 스케줄링알고리즘 - Hashing 클라이언트의 IP주소와 Port번호를조합하여 Hash함수를통해계산한결과로스케줄링합니다. Client1 P Internet Client2 Router HashFunction(Client IP, Client Port) Server Load Balancer Real Server -26-

2-C. 세션유지 Client1 P Client2 세션이연결되어있는서버와클라이언트사이의패킷은동일한서버로전송되어야합니다. 세션정보를가지지않는서버는자신이모르는세션의패킷을버리게되므로클라이언트는정상적인서비스를이용할수없게됩니다. 연결된세션 Internet Router 패킷의흐름 Server Load Balancer Drop Real Server -27-

2-C. 세션유지 - State Session State 기반의세션 (i.e. TCP) 은세션연결을위한패킷 (i.e. SYN) 과세션종료를위한패킷 (i.e. FIN) 이있습니다. L4 스위치는세션기반의프로토콜에대해서는해당프로토콜의세션생성및종료패킷을이용하여세션테이블을생성합니다. -28-

2-C. 세션유지 - Stateless Session 세션을유지하지않는프로토콜에대해서는각각의패킷이어느세션에포함되는것인지알수없습니다. L4 스위치에서는 Session Persistence라는기능을통해가상의세션을생성합니다. 즉, Client1->Server1으로전송된패킷이있고, 지정된시간내에Client1 로부터들어오는패킷에대해서는 Server1으로전송합니다. 세션은 (Source IP, Source Port)-(Destination IP, Destination Port) 의쌍으로구분합니다. -29-

2-C. 세션유지 IP Persistence 첫번째세션의경로가뒤따르는모든새로운세션의경로가됩니다. 지정된 Timeout이되기전까지클라이언트로부터의모든세션은동일한서버로스케줄링됩니다. -30-

3. FWLB/VPNLB 의주요기능 A. Layer 4 Load Balancing (FWLB) Internal, External 로구분되는서비스 B. Layer 4 Load Balancing (VPNLB) External (Tunnel), Internal 로구분되는서비스 지점, 본점장비 Destination host가존재하는터널찾기 C. Layer 4 Load Balancing (FW+VPN LB) D. DMZ E. Failover (HA) VRRP F. Session Mirroring G. Health check (Link check, DMZ check) H. Active-Active Default gateway -31-

3-A. FWLB 의 Layer 4 Load Balancing External Network TCP, UDP session일경우한session은하나의 Firewall 만거쳐가야합니다. 나머지경우에대해서는한 IP에대해서한 Firewall만을거쳐서통신을하여야합니다. External 장비 외부네트워크와방화벽사이에위치하는장비를 External장비라부르며내부네트워크와방화벽사이에위치하는장비를 Internal장비라부릅니다. Session Level Session Session Level TCP session : IP address + Port + TCP state + Session Persistence (Sticky Time) Internal 장비 UDP: IP address + Port + Session Persistence (Sticky Time) IP: IP address + Session Persistence (Sticky Time) Internal Network -32-

3-B. DMZ 방화벽에서지원되는기능으로특정 IP주소대역에대해별도의경로로라우팅하게해주는기능입니다. DMZ의 Load Balancing은 Internal Load Balancing과비슷합니다. WAN WAN Router External FW/VPN LB DMZ LB Internal FW/VPN LB Internal Internal Network Network DMZ DMZ Network Network -33-

3-C. Health check Link 패킷을전송하면안되는조건은다음과같습니다. 방화벽이 Down 된경우 External WAN WAN 방화벽은정상동작하나 Line이불량인경우 위의조건들로인해 FW/VPN Load Balancing에서는 SLB의 Health Check와다르게반대편의 Load Balancer로부터보내진 Health Check패킷이도달하는지확인합니다. Internal Down DMZ -34-

3-D. Health check DMZ check 패킷을전송하면안되는조건은다음과같습니다. 방화벽이 Down 된경우 External WAN WAN 방화벽은정상동작하나 Line이불량인경우 Down 위의조건들로인해 FW/VPN Load Balancing에서는 SLB의 Health Check와다르게반대편의 Load Balancer로부터보내진 Health Check패킷이도달하는지확인합니다. Internal DMZ -35-

4. FWLB/VPNLB 의 Layer 4 부하분산 A. 라우팅알고리즘 I. DSR (Direct Server Return) II. NAT (Network Address Translation) B. 스케줄링알고리즘 I. RR (Round Robin) II. III. IV. WRR (Weighted Round Robin) LC (Least Connection) WLC (Weighted Least Connection) V. Hashing C. 세션유지 I. IP Persistence -36-

4-A. 라우팅알고리즘 DSR (Direct Server Return) Host IP: 165.123.63.1 SLB 의 DSR 과비슷한방식입니다. SIP DIP 165.123.63.1 203.153.56.120 모든패킷은 External L4 Switch에서아무런변환없이라우팅됩니다. Router WAN WAN FW/VPNLB에서는 DSR방식은설정에필요한조건이없습니다. L4 Switch EXTERNAL Firewall L4 Switch INTERNAL Host SIP 203.153.56.120 IP: 203.153.56.120 DIP 165.123.63.1-37-

4-A. 라우팅알고리즘 NAT (Network Address Translation) SLB 의 NAT 과비슷한방식입니다. Host IP: 165.123.63.1 SIP 165.123.63.1 DIP 203.153.56.1 모든패킷은 External L4 Switch에서목적지주소가 VIP에서방화벽의 IP 로변환됩니다. Router WAN WAN FW/VPNLB에서는 DSR방식은설정에필요한조건이없습니다. 외부네트워크와내부네트워크가분리되어야합니다. Firewall 의 Default Gateway 는 L4 스위치가되어야합니다. L4 Switch Firewall L4 Switch IP: 192.168.0.1 VIP: 203.153.56.1 SIP 165.123.63.1 203.153.56.1 DIP 192.168.0.1 165.123.63.1 SIP 192.168.0.1 DIP 165.123.63.1 EXTERNAL INTERNAL Host IP: 203.153.56.120-38-

4-B. 스케줄링알고리즘 RR (Round Robin) SLB 의 RR 과동일하게동작합니다. Host P WAN WAN L4 Switch EXTERNAL FW1 FW2 FW3 L4 Switch INTERNAL Host -39-

4-B. 스케줄링알고리즘 WRR (Weighted Round Robin) SLB 의 WRR 과동일하게동작합니다. Host P WAN WAN L4 Switch EXTERNAL FW1 FW2 FW3 Weight 1 2 1 L4 Switch INTERNAL Host -40-

4-B. 스케줄링알고리즘 LC (Least Connection) SLB 의 LC 와동일하게동작합니다. Host P WAN WAN L4 Switch EXTERNAL FW1 FW2 FW3 Session 11 12 9 L4 Switch INTERNAL Host -41-

4-B. 스케줄링알고리즘 WLC (Weighted Least Connection) SLB 의 WLC 와동일하게동작합니다. Host P WAN WAN L4 Switch EXTERNAL FW1 FW2 FW3 Weight 1 2 1 Session 12 20(10) 14 L4 Switch INTERNAL Host -42-

4-B. 스케줄링알고리즘 Hashing SLB의 Hashing과동일하게동작합니다. Host P WAN WAN HashFunction(Client IP, Client Port) L4 Switch EXTERNAL FW1 FW2 FW3 L4 Switch INTERNAL Host -43-

4-C. Session 유지 세션이연결되어있는서버와클라이언트사이의패킷은동일한서버로전송되어야합니다. Host P WAN WAN 세션정보를가지지않는방화벽자신이모르는세션의패킷을버리게되므로클라이언트는정상적인서비스를이용할수없게됩니다. L4 Switch Session EXTERNAL Session TCP session : IP address + Port + TCP state + Session Persistence (Sticky Time) UDP: IP address + Port + Session Persistence (Sticky Time) IP: IP address + Session Persistence (Sticky Time) FW1 L4 Switch Host Drop FW2 FW3 INTERNAL -44-

4-C. 세션유지 IP Persistence 첫번째세션의경로가뒤따르는모든새로운세션의경로가됩니다. 지정된 Timeout이되기전까지클라이언트로부터의모든세션은동일한서버로스케줄링됩니다. -45-

교육요청 접수및관련문의 펌킨넷코리아 02-3280-9380 support@pumpkinnet.co.kr 교육장 : 총판사교육장 ( 서울, 대구 ) -46-

- Thanks - www.pumpkinnet.co.kr www.l4switch.com -47-