L4-7 Switch 기본 교육 자료

Pumpkin Networks. Inc.
http://www.pumpkinnet.co.kr
(Tel) 02-3280-9380 (Fax) 02-3280-9382
info@pumpkinnet.co.kr

LayerX

TM

Technology

기본 개념 – L4/L7 Switch란?

-2-

LayerX

TM

Technology

기본 개념 - Switching & Routing

Switching & Routing 이란?
Data를 목적지 까지 전달 하는 방법!

?
그렇다면 L4/L7 Switch란?

-3-

LayerX

TM

Technology

기본 개념 - Switching & Routing
계층에 따른 스위칭 방식

L2 Switching

Receiver의 필수 조건

Switching 결정 조건

Sender

MAC

IP

TCP/UDP

Payload (Application Protocol)

must have
MAC Address

SRC MAC

L3 Switching
(Routing)

L4 Switching

MAC

IP

TCP/UDP

Payload (Application Protocol)
must have
IP Address/subnet

SRC ADDR

MAC

SRC ADDR

L7 Switching

DST MAC

MAC

SRC ADDR

DST ADDR

IP

TCP/UDP

SRC PORT

IP

DST ADDR

TCP/UDP

SRC PORT

Payload (Application Protocol)

DST PORT

Payload (Application Protocol)

DST ADDR

must have
IP Address
Application Server (port)

DST PORT

Payload

must have
IP Address
Application Server (port)
Contents

-4-

LayerX

TM

Technology

기본 개념 - Switching & Routing
질문1. L4 Switching에서 Port가 의미 하는 바는?
답) Application Server
질문2. L7 Switching에서 Payload가 의미하는 바는?
답) Application의 Contents

-5-

LayerX

TM

Technology

기본 개념 - Switching & Routing

Packet을 목적지 까지 이동하는 개념은 라우터와 동일!

L4/L7 Switch는 목적지의 개념이
IP를 가진 Machine이 아니라

Application과 Contents 이다!!!

-6-

LayerX

TM

Technology

기본 개념 - L4 Switch란?

L4 Switch란
부하분산과 이중화를 통해 Application Data를 효율
적으로 전달하기 위한 방법

?
Application Server (TCP/UDP port)

-7-

LayerX

TM

Technology
MAC

IP

TCP/UDP

Payload (Application Protocol)

SRC ADDR SRC PORT DST ADDR DST PORT

Payload

기본 개념 - L7 Switch란?
L7 Switch란
부하분산과 이중화를 통해 Application Contents를
효율적으로 전달하기 위한 방법

?
Application Contents

-8-

LayerX

TM

Technology
MAC

기본 개념 – L4 Switch의 종류
Request

TCP/UDP

Payload (Application Protocol)

SRC ADDR SRC PORT DST ADDR DST PORT

보안 장비 Load Balancing

Server Load Balancing

IP

Traffic Load Balancing
Server

Request

L4 Switch

DMZ Zone
L4 Switch

Server

WAN1 WAN2 WAN3

FW/VPNs

L4 Switch

TLB
L4 Switch
Server

Server

Server

Server

•L4 Switch가 가장 널리 사용되고 있음
•서버에 대한 부하 분산 및 이중화 용도로 사용
•주용도 : Web(HTTP, HTTPS), FTP, Database,
DNS, Terminal Server 등

Client

Client

Client

•보안 장비의 특성인Stateful Inspection, Tunneling을
감안한 Diamond 구성
•L4 Switch는 하나의 session은 하나의 보안 장비만 통과

Client

Client

Client

•WAN 회선의 이중화, Traffic 증설의 용도
•IPS, QoS 등 부가 기능을 수행
•주용도 :ADSL DHCP, 전용선, Metro

하도록 경로를 설정
•주용도 : VPN, Firewall, SSLVPN, IDS,
Stateful Inspection이나 Tunneling을 하는 장비
Load Balancing 대상

-9-

LayerX

TM

Technology

-10-

LayerX

TM

Technology

-11-

LayerX

TM

Technology

Table of Content

1.

SLB 장비의 주요 기능

2.

SLB 장비의 Layer 4 부하 분산

3.

FWLB/VPNLB의 주요 기능

4.

FWLB/VPNLB의 Layer 4 부하 분산

5.

장비의 설정 방법

-12-

LayerX

TM

Technology

1-A. SLB의 Layer 4 Load
Balancing
SLB의 Layer 4 Load Balancing
9

패킷을 IP 주소와 Port 번호를 참조하여 여러 서버에 적절한 부하 분산 알고리즘을
(Load balancing Algorithm) 통해 전달하는 방식

9

Load Balancing을 위해 모든 서버들을 대표하는 가상의 IP(virtual IP)주소를 사용
합니다.
Layer 4 Load Balancer

WAN
WAN

Web Server farm

-13-

LayerX

TM

Technology

1-B. Health check (Server
check)
Load Balancing의 대상이 되는 서버들의 상태를 체크합니다.
9

ICMP 이용한 Health check

9

TCP Connection을 이용한 Health check

9

HTTP Request를 이용한 Health check

9

Health check는 지정된 주기와 재시도횟수에 따라 동작합니다.

Down 되어있는 서버들로 라우팅 하는 것은 의미가 없으므로 정상 동작하는 서
버들에게만 라우팅 합니다.
Layer 4 Load Balancer

WAN
WAN

Down

-14Web Server farm

LayerX

TM

Technology

1-B-1. ICMP를 이용한 Health
check
각각의 서버에게 ICMP Ping Request를 보내고 Response가 돌아오는지 체크
합니다.
Layer 4 Load Balancer

WAN
WAN

ICMP Request

ICMP Response

Down
Web Server farm

-15-

LayerX

TM

Technology

1-B-2. TCP Connection을 이용
한 Health check
각각의 서버에 TCP SYN패킷을 보낸 후 SYN ACK가 돌아오는지 체크합니다.
ICMP 체크보다 서버가 서비스(i.e. Web)를 정상적으로 수행하고 있는지 체크
Layer 4 Load Balancer
하는데 도움을 줍니다.
WAN
WAN
TCP SYN

TCP SYN ACK

Down
Web Server farm

-16-

LayerX

TM

Technology

1-B-3. HTTP request를 이용한
Health check
서버의 동작을 가장 확실하게 테스트 할 수 있습니다.
각각의 서버에 HTTP Request를 보낸 후 원하는 Response가 돌아오는지 확인
합니다.
Layer 4 Load Balancer

WAN
WAN

GET

HTTP/1.1 200 OK

HTTP/1.1 404 Not Found
Down
Web Server farm

-17-

LayerX

TM

Technology

2. SLB 장비의 Layer 4 부하
분산
A.

B.

C.

라우팅 알고리즘
I.

DSR (Direct Server Return)

II.

NAT (Network Address Translation)

III.

FNAT (Full Network Address Translation)

스케줄링 알고리즘
I.

RR (Round Robin)

II.

WRR (Weighted Round Robin)

III.

LC (Least Connection)

IV.

WLC (Weighted Least Connection)

V.

Hashing

세션 유지
I.

State Session

II.

Stateless Session

III.

IP Persistence
-18-

LayerX

TM

Technology

2-A. 라우팅 알고리즘 - DSR
(Direct Server Return)
Client

L4 스위치에 도달한 패킷을 가공하
지 않고 MAC주소만을 바꾸어 Real
Server로 전달합니다.

IP

내부네트워크의 Real Server들이 직접
외부 인터넷에 접속할 수 있습니다.

9

9

21.24.0.1

DIP

10.10.0.253

IP

VIP

10.10.0.254

L2
Switch

Server Load Balancer

Virtual IP와 Real Server의 IP주소
가 동일한 네트워크에 존재하여야 합
니다.

10.10.0.253

Real Server는 Destination IP주소
가 Virtual IP로 되어있는 패킷을 받
을 수 있어야 합니다.
Router가 Destination IP가 Virtual
IP인 경우 L4 스위치로 라우팅 해주
어야 한다.

Internet
Internet

SIP

Router

DSR 구성의 조건
9

21.24.0.1

SIP

10.10.0.253

DIP

21.24.0.1

Real Server

IP

10.10.0.1

IP

10.10.0.2

VIP

10.10.0.253

VIP

10.10.0.253

Default GW

10.10.0.254

Default GW

10.10.0.254
-19-

LayerX

TM

Technology

2-A. 라우팅 알고리즘 - NAT
(Network Address Translation)
Client
Client

Virtual IP를 목적지로 하는 패킷의
목적지 주소를 Real Server로 변환
하여 라우팅 합니다.

IP

SIP

21.24.0.1
21.24.0.1

DIP

10.10.0.253
10.10.0.253

Internet
Internet
Internet
Internet
IP

Router
Router

내부 네트워크의 보안을 유지할 수
있습니다.

주소 변환
Server Load
Server
Load Balancer
Balancer
SIP
21.24.0.1
10.10.0.253
21.24.0.1
10.10.0.253

9

IP

L4스위치의 외부 네트워크와 내부
네트워크가 분리되어야 합니다.
내부 Real Server들의 Default
Gateway가 L4스위치가 되어야 합니
다.

10.10.0.254

L2 Switch
Switch

DIP
192.168.0.1
21.24.0.1
192.168.0.1
21.24.0.1
주소
변환
VIP
10.10.0.253

NAT설정 조건
9

21.24.0.1

192.168.0.254
SIP

192.168.0.1
192.168.0.1

DIP
21.24.0.1
21.24.0.1
Real Server
Real
Server

IP

192.168.0.1

IP

192.168.0.2

Default GW

192.168.0.254

Default GW

192.168.0.254

-20-

LayerX

TM

Technology

2-A. 라우팅 알고리즘 - FNAT (Full
Network Address Translation)
Client

L4 스위치에서 목적지 주소와 출발
지 주소를 모두 변환하여 라우팅 합
니다.

IP

SIP

21.24.0.1

DIP

10.10.0.253

21.24.0.1

Internet
Internet
IP

Router

네트워크의 설정을 변경할 필요가 없
으며 가장 간단히 설치할 수 있습니
다.

주소 변환
Server Load Balancer
SIP
192.168.0.1
10.10.0.253

10.10.0.254

L2
Switch

DIP
192.168.0.11
21.24.0.1
VIP 주소 변환
10.10.0.253
IP

192.168.0.1
SIP
DIP

IP

192.168.0.11

192.168.0.11
192.168.0.1
Real Server

IP

192.168.0.12

-21-

LayerX

TM

Technology

2-B. 스케줄링 알고리즘 – RR
(Round Robin)
Client

P

가장 기본적인 알고리즘으로 모든 서
버에 동일하게 세션을 라우팅 합니다.
모든 서버에 누적 세션 수가 같게 됩
니다.

Internet
Internet

Router

Server Load Balancer

Real Server

-22-

LayerX

TM

Technology

2-B. 스케줄링 알고리즘 - WRR
(Weighted Round Robin)
Client

P

기본적으로 RR (Round Robin)과 비
슷한 방식입니다.

Internet
Internet

RR방식과의 차이점은 특성 서버에
가중치를 두어 더 많은 세션을 처리
하도록 합니다.

Router

Server Load Balancer

Real Server

Server Weight

1

2

1

-23-

LayerX

TM

Technology

2-B. 스케줄링 알고리즘 - LC
(Least Connection)
Client

P

L4 스위치의 세션 테이블에서 Active
세션이 가장 적은 서버로 라우팅 합
니다.

Internet
Internet

Router

Server Load Balancer

Real Server

Active Session

75

76

78

-24-

LayerX

TM

Technology

2-B. 스케줄링 알고리즘 - WLC
(Weighted Least Connection)
Client

P

기본적인 동작은 LC와 비슷합니다.
Internet
Internet
LC와의 차이점은 특정 서버에 가중
치를 두어 더 많은 세션을 처리하도
록 합니다.

Router

Server Load Balancer

Real Server

Server Weight

1

2

1

Active Session

71

138 (69)

72

-25-

LayerX

TM

Technology

2-B. 스케줄링 알고리즘 Hashing
Client1

Client2

P

클라이언트의 IP주소와 Port번호를
조합하여 Hash함수를 통해 계산한
결과로 스케줄링 합니다.

Internet
Internet

Router

Server Load Balancer

HashFunction(Client IP, Client Port)

Real Server

-26-

LayerX

TM

Technology

2-C. 세션 유지
Client1

세션이 연결되어 있는 서버와 클라이
언트 사이의 패킷은 동일한 서버로
전송되어야 합니다.
세션 정보를 가지지 않는 서버는 자
신이 모르는 세션의 패킷을 버리게
되므로 클라이언트는 정상적인 서비
스를 이용할 수 없게 됩니다.

Client2

P

Internet
Internet
연결된
세션

Router

패킷의
흐름

Server Load Balancer

Real Server

Drop

-27-

LayerX

TM

Technology

2-C. 세션 유지 - State Session
State 기반의 세션(i.e. TCP)은 세션 연결을 위한 패킷(i.e. SYN)과 세션 종료를
위한 패킷(i.e. FIN) 이 있습니다.
L4 스위치는 세션 기반의 프로토콜에 대해서는 해당 프로토콜의 세션 생성 및
종료 패킷을 이용하여 세션 테이블을 생성합니다.

-28-

LayerX

TM

Technology

2-C. 세션 유지 - Stateless
Session
세션을 유지하지 않는 프로토콜에 대해서는 각각의 패킷이 어느 세션에 포함되
는 것인지 알 수 없습니다.
L4 스위치에서는 Session Persistence라는 기능을 통해 가상의 세션을 생성합
니다. 즉, Client1->Server1으로 전송된 패킷이 있고, 지정된 시간 내에 Client1
로부터 들어오는 패킷에 대해서는 Server1으로 전송합니다. 세션은 (Source IP,
Source Port)-(Destination IP, Destination Port)의 쌍으로 구분합니다.

-29-

LayerX

TM

Technology

2-C. 세션 유지 – IP Persistence
첫 번째 세션의 경로가 뒤따르는 모든 새로운 세션의 경로가 됩니다.
지정된 Timeout이 되기 전까지 클라이언트로부터의 모든 세션은 동일한 서버
로 스케줄링 됩니다.

-30-

LayerX

TM

Technology

3. FWLB/VPNLB의 주요 기능
A.

Layer 4 Load Balancing (FWLB)

B.

Internal, External 로 구분되는 서비스

Layer 4 Load Balancing (VPNLB)

External (Tunnel), Internal 로 구분되는 서비스

지점, 본점 장비

Destination host가 존재하는 터널 찾기

C.

Layer 4 Load Balancing (FW+VPN LB)

D.

DMZ

E.

Failover (HA) – VRRP

F.

Session Mirroring

G.

Health check (Link check, DMZ check)

H.

Active-Active Default gateway
-31-

LayerX

TM

Technology

3-A. FWLB의 Layer 4 Load
Balancing
External Network

TCP, UDP session일 경우 한 session은 하나
의 Firewall 만 거쳐가야 합니다. 나머지 경우에
대해서는 한 IP에 대해서 한 Firewall만을 거쳐
서 통신을 하여야 합니다.

External 장비

Session Level

외부 네트워크와 방화벽 사이에 위치하는 장비
를 External장비라 부르며 내부네트워크와 방
화벽 사이에 위치하는 장비를 Internal장비라 부
릅니다.
Session
9

9

9

TCP session : IP address + Port + TCP
state + Session Persistence (Sticky
Time)
UDP: IP address + Port + Session
Persistence (Sticky Time)
IP: IP address + Session Persistence
(Sticky Time)

Session Level

Internal 장비

Internal Network

-32-

LayerX

TM

Technology

3-B. DMZ
WAN
WAN

방화벽에서 지원되는 기능으로 특정
IP주소 대역에 대해 별도의 경로로
라우팅 하게 해주는 기능입니다.

Router
External FW/VPN LB

DMZ의 Load Balancing은 Internal
Load Balancing과 비슷합니다.

DMZ LB

Internal FW/VPN LB

Internal
Internal
Network
Network

DMZ
DMZ
Network
Network

-33-

LayerX

TM

Technology

3-C. Health check – Link
WAN
WAN

패킷을 전송하면 안 되는 조건은 다
음과 같습니다.
9

방화벽이 Down된 경우

9

방화벽은 정상동작하나 Line이 불량
인 경우

External

Down

위의 조건들로 인해 FW/VPN Load
Balancing에서는 SLB의 Health
Check와 다르게 반대편의 Load
Balancer로부터 보내진 Health
Check패킷이 도달하는지 확인합니
다.

Internal

DMZ

-34-

LayerX

TM

Technology

3-D. Health check –DMZ check
WAN
WAN

패킷을 전송하면 안 되는 조건은 다
음과 같습니다.
9

방화벽이 Down된 경우

9

방화벽은 정상동작하나 Line이 불량
인 경우

External

Down

위의 조건들로 인해 FW/VPN Load
Balancing에서는 SLB의 Health
Check와 다르게 반대편의 Load
Balancer로부터 보내진 Health
Check패킷이 도달하는지 확인합니
다.

Internal

DMZ

-35-

LayerX

TM

Technology

4. FWLB/VPNLB의 Layer 4
부하 분산
A.

B.

C.

라우팅 알고리즘
I.

DSR (Direct Server Return)

II.

NAT (Network Address Translation)

스케줄링 알고리즘
I.

RR (Round Robin)

II.

WRR (Weighted Round Robin)

III.

LC (Least Connection)

IV.

WLC (Weighted Least Connection)

V.

Hashing

세션 유지
I.

IP Persistence
-36-

LayerX

TM

Technology

4-A. 라우팅 알고리즘 – DSR
(Direct Server Return)
Host

SLB의 DSR과 비슷한 방식입니다.

IP: 165.123.63.1

SIP

165.123.63.1

DIP

203.153.56.120

WAN
WAN
모든 패킷은 External L4 Switch에서
아무런 변환 없이 라우팅 됩니다.
FW/VPNLB에서는 DSR방식은 설정
에 필요한 조건이 없습니다.

Router

EXTERNAL

L4
Switch

Firewall

L4
Switch

INTERNAL

SIP
Host

203.153.56.120

IP: 203.153.56.120
DIP 165.123.63.1

-37-

LayerX

TM

Technology

4-A. 라우팅 알고리즘 – NAT
(Network Address Translation)
Host

SLB의 NAT과 비슷한 방식입니다.

IP: 165.123.63.1

SIP

165.123.63.1

DIP

203.153.56.1

WAN
WAN
모든 패킷은 External L4 Switch에서
목적지 주소가 VIP에서 방화벽의 IP
로 변환됩니다.

Router

VIP: 203.153.56.1

FW/VPNLB에서는 DSR방식은 설정
에 필요한 조건이 없습니다.

L4
Switch
IP: 192.168.0.1

Firewall
9

외부 네트워크와 내부 네트워크가 분
리되어야 합니다.

9

Firewall 의 Default Gateway 는 L4
스위치가 되어야 합니다.

SIP

165.123.63.1
203.153.56.1

DIP

192.168.0.1
165.123.63.1

SIP

192.168.0.1

DIP

165.123.63.1

L4
Switch

EXTERNAL

INTERNAL

Host

IP: 203.153.56.120

-38-

LayerX

TM

Technology

4-B. 스케줄링 알고리즘 – RR
(Round Robin)
Host

P

SLB의 RR과 동일하게 동작합니다.
WAN
WAN

EXTERNAL

L4 Switch
FW1

L4 Switch

FW2

FW3

INTERNAL

Host

-39-

LayerX

TM

Technology

4-B. 스케줄링 알고리즘 – WRR
(Weighted Round Robin)
Host

P

SLB의 WRR과 동일하게 동작합니다.
WAN
WAN

EXTERNAL

L4 Switch
FW1

Weight

1

L4 Switch

FW2

FW3

2

1

INTERNAL

Host

-40-

LayerX

TM

Technology

4-B. 스케줄링 알고리즘 – LC
(Least Connection)
Host

P

SLB의 LC와 동일하게 동작합니다.
WAN
WAN

EXTERNAL

L4 Switch
FW1

Session

11

L4 Switch

FW2

FW3

12

9

INTERNAL

Host

-41-

LayerX

TM

Technology

4-B. 스케줄링 알고리즘 – WLC
(Weighted Least Connection)
Host

P

SLB의 WLC와 동일하게 동작합니다.
WAN
WAN

EXTERNAL

L4 Switch
FW2

FW1

FW3

Weight

1

2

1

Session

12

20(10)

14

L4 Switch

INTERNAL

Host

-42-

LayerX

TM

Technology

4-B. 스케줄링 알고리즘 –
Hashing
Host

P

SLB의 Hashing과 동일하게 동작합
니다.

WAN
WAN

HashFunction(Client IP, Client Port)

EXTERNAL

L4 Switch

FW1

L4 Switch

FW2

FW3

INTERNAL

Host

-43-

LayerX

TM

Technology

4-C. Session 유지
Host

P

세션이 연결되어 있는 서버와 클라이
언트 사이의 패킷은 동일한 서버로 전
송되어야 합니다.

WAN
WAN

세션 정보를 가지지 않는 방화벽 자신
이 모르는 세션의 패킷을 버리게 되므
로 클라이언트는 정상적인 서비스를
이용할 수 없게 됩니다.

Session

EXTERNAL

L4 Switch

Session
9

9

9

TCP session : IP address +
Port + TCP state + Session
Persistence (Sticky Time)
UDP: IP address + Port +
Session Persistence (Sticky
Time)
IP: IP address + Session
Persistence (Sticky Time)

FW2

FW1

FW3

Drop

L4 Switch

INTERNAL

Host

-44-

LayerX

TM

Technology

4-C. 세션 유지 – IP Persistence
첫 번째 세션의 경로가 뒤따르는 모든 새로운 세션의 경로가 됩니다.
지정된 Timeout이 되기 전까지 클라이언트로부터의 모든 세션은 동일한 서버
로 스케줄링 됩니다.

-45-

LayerX

TM

Technology

교육 요청
접수 및 관련 문의
펌킨넷코리아㈜
02-3280-9380

support@pumpkinnet.co.kr

교육장: 총판사 교육장(서울, 대구)

-46-

LayerX

TM

Technology

- Thanks www.pumpkinnet.co.kr www.l4switch.com
-47-