You are on page 1of 47

L4-7 Switch 기본 교육 자료

Pumpkin Networks. Inc.


http://www.pumpkinnet.co.kr
(Tel) 02-3280-9380 (Fax) 02-3280-9382
info@pumpkinnet.co.kr
LayerX TM Technology

기본 개념 – L4/L7 Switch란?

-2-
LayerX TM Technology

기본 개념 - Switching & Routing

Switching & Routing 이란?


Data를 목적지 까지 전달 하는 방법!

?
그렇다면 L4/L7 Switch란?

-3-
LayerX TM Technology

기본 개념 - Switching & Routing


계층에 따른 스위칭 방식 Sender Switching 결정 조건 Receiver의 필수 조건

MAC IP TCP/UDP Payload (Application Protocol)


L2 Switching must have
MAC Address
SRC MAC DST MAC

MAC IP TCP/UDP Payload (Application Protocol)


L3 Switching must have
IP Address/subnet
(Routing) SRC ADDR DST ADDR

MAC IP TCP/UDP Payload (Application Protocol)


L4 Switching must have
IP Address
Application Server (port)
SRC ADDR SRC PORT DST ADDR DST PORT

MAC IP TCP/UDP Payload (Application Protocol)


L7 Switching must have
IP Address
Application Server (port)
SRC ADDR SRC PORT DST ADDR DST PORT Payload Contents

-4-
LayerX TM Technology

기본 개념 - Switching & Routing

질문1. L4 Switching에서 Port가 의미 하는 바는?

답) Application Server

질문2. L7 Switching에서 Payload가 의미하는 바는?

답) Application의 Contents

-5-
LayerX TM Technology

기본 개념 - Switching & Routing

Packet을 목적지 까지 이동하는 개념은 라우터와 동일!

L4/L7 Switch는 목적지의 개념이


IP를 가진 Machine이 아니라
Application과 Contents 이다!!!

-6-
LayerX TM Technology

기본 개념 - L4 Switch란?

L4 Switch란
부하분산과 이중화를 통해 Application Data를 효율
적으로 전달하기 위한 방법

? Application Server (TCP/UDP port)

-7-
LayerX TM Technology
MAC IP TCP/UDP Payload (Application Protocol)

SRC ADDR SRC PORT DST ADDR DST PORT Payload

기본 개념 - L7 Switch란?

L7 Switch란
부하분산과 이중화를 통해 Application Contents를
효율적으로 전달하기 위한 방법

? Application Contents

-8-
LayerX TM Technology
MAC IP TCP/UDP Payload (Application Protocol)

기본 개념 – L4 Switch의 종류 SRC ADDR SRC PORT DST ADDR DST PORT

Server Load Balancing 보안 장비 Load Balancing Traffic Load Balancing

Request Request Server Server

L4 Switch DMZ Zone


L4 Switch WAN1 WAN2 WAN3

FW/VPNs

L4 Switch TLB
L4 Switch

Server

Server Server Server Client Client Client Client Client Client

•L4 Switch가 가장 널리 사용되고 있음 •보안 장비의 특성인Stateful Inspection, Tunneling을 •WAN 회선의 이중화, Traffic 증설의 용도
•서버에 대한 부하 분산 및 이중화 용도로 사용 감안한 Diamond 구성 •IPS, QoS 등 부가 기능을 수행
•주용도 : Web(HTTP, HTTPS), FTP, Database, •L4 Switch는 하나의 session은 하나의 보안 장비만 통과 •주용도 :ADSL DHCP, 전용선, Metro
DNS, Terminal Server 등 하도록 경로를 설정
•주용도 : VPN, Firewall, SSLVPN, IDS,
Stateful Inspection이나 Tunneling을 하는 장비
Load Balancing 대상

-9-
LayerX TM Technology

-10-
LayerX TM Technology

-11-
LayerX TM Technology

Table of Content

1. SLB 장비의 주요 기능
2. SLB 장비의 Layer 4 부하 분산
3. FWLB/VPNLB의 주요 기능
4. FWLB/VPNLB의 Layer 4 부하 분산
5. 장비의 설정 방법

-12-
LayerX TM Technology

1-A. SLB의 Layer 4 Load


Balancing

SLB의 Layer 4 Load Balancing


9 패킷을 IP 주소와 Port 번호를 참조하여 여러 서버에 적절한 부하 분산 알고리즘을
(Load balancing Algorithm) 통해 전달하는 방식
9 Load Balancing을 위해 모든 서버들을 대표하는 가상의 IP(virtual IP)주소를 사용
합니다.
Layer 4 Load Balancer

WAN
WAN

Web Server farm

-13-
LayerX TM Technology

1-B. Health check (Server


check)

Load Balancing의 대상이 되는 서버들의 상태를 체크합니다.


9 ICMP 이용한 Health check
9 TCP Connection을 이용한 Health check
9 HTTP Request를 이용한 Health check
9 Health check는 지정된 주기와 재시도횟수에 따라 동작합니다.

Down 되어있는 서버들로 라우팅 하는 것은 의미가 없으므로 정상 동작하는 서


버들에게만 라우팅 합니다.
Layer 4 Load Balancer

WAN
WAN

Down

-14-
Web Server farm
LayerX TM Technology

1-B-1. ICMP를 이용한 Health


check

각각의 서버에게 ICMP Ping Request를 보내고 Response가 돌아오는지 체크


합니다.

Layer 4 Load Balancer

WAN
WAN ICMP Request

ICMP Response

Down

Web Server farm

-15-
LayerX TM Technology

1-B-2. TCP Connection을 이용


한 Health check

각각의 서버에 TCP SYN패킷을 보낸 후 SYN ACK가 돌아오는지 체크합니다.

ICMP 체크보다 서버가 서비스(i.e. Web)를 정상적으로 수행하고 있는지 체크


하는데 도움을 줍니다. Layer 4 Load Balancer

WAN
WAN
TCP SYN

TCP SYN ACK

Down

Web Server farm

-16-
LayerX TM Technology

1-B-3. HTTP request를 이용한


Health check

서버의 동작을 가장 확실하게 테스트 할 수 있습니다.

각각의 서버에 HTTP Request를 보낸 후 원하는 Response가 돌아오는지 확인


합니다.

Layer 4 Load Balancer

WAN
WAN
GET

HTTP/1.1 200 OK

HTTP/1.1 404 Not Found

Down

Web Server farm

-17-
LayerX TM Technology

2. SLB 장비의 Layer 4 부하


분산
A. 라우팅 알고리즘
I. DSR (Direct Server Return)
II. NAT (Network Address Translation)
III. FNAT (Full Network Address Translation)
B. 스케줄링 알고리즘
I. RR (Round Robin)
II. WRR (Weighted Round Robin)
III. LC (Least Connection)
IV. WLC (Weighted Least Connection)
V. Hashing
C. 세션 유지
I. State Session
II. Stateless Session
III. IP Persistence
-18-
LayerX TM Technology

2-A. 라우팅 알고리즘 - DSR


(Direct Server Return)
Client

L4 스위치에 도달한 패킷을 가공하 IP 21.24.0.1

지 않고 MAC주소만을 바꾸어 Real


Server로 전달합니다. SIP 21.24.0.1
Internet
Internet
DIP 10.10.0.253
내부네트워크의 Real Server들이 직접
외부 인터넷에 접속할 수 있습니다. Router IP 10.10.0.254

Server Load Balancer L2


DSR 구성의 조건 Switch

9 Virtual IP와 Real Server의 IP주소


VIP 10.10.0.253
가 동일한 네트워크에 존재하여야 합
니다.
SIP 10.10.0.253
9 Real Server는 Destination IP주소 DIP 21.24.0.1
가 Virtual IP로 되어있는 패킷을 받 Real Server
을 수 있어야 합니다.
9 Router가 Destination IP가 Virtual IP 10.10.0.1 IP 10.10.0.2

IP인 경우 L4 스위치로 라우팅 해주 VIP 10.10.0.253 VIP 10.10.0.253

어야 한다. Default GW 10.10.0.254 Default GW -19-


10.10.0.254
LayerX TM Technology

2-A. 라우팅 알고리즘 - NAT


(Network Address Translation)
Client
Client
IP 21.24.0.1
SIP 21.24.0.1
21.24.0.1

Virtual IP를 목적지로 하는 패킷의 DIP 10.10.0.253


10.10.0.253

목적지 주소를 Real Server로 변환 Internet


Internet
Internet
Internet
하여 라우팅 합니다.

Router IP 10.10.0.254
Router

내부 네트워크의 보안을 유지할 수


주소 변환
있습니다. Server Load
Server Load Balancer
Balancer
L2 Switch
Switch
SIP 21.24.0.1
10.10.0.253
21.24.0.1
10.10.0.253

DIP 192.168.0.1
21.24.0.1
192.168.0.1
21.24.0.1
VIP 주소 변환
10.10.0.253
NAT설정 조건 IP 192.168.0.254

9 L4스위치의 외부 네트워크와 내부
SIP 192.168.0.1
192.168.0.1
네트워크가 분리되어야 합니다.
DIP 21.24.0.1
21.24.0.1
Real Server
Real Server
9 내부 Real Server들의 Default
Gateway가 L4스위치가 되어야 합니
IP 192.168.0.1 IP 192.168.0.2
다.
Default GW 192.168.0.254 Default GW 192.168.0.254

-20-
LayerX TM Technology

2-A. 라우팅 알고리즘 - FNAT (Full


Network Address Translation)
Client
IP 21.24.0.1
SIP 21.24.0.1
L4 스위치에서 목적지 주소와 출발 DIP 10.10.0.253

지 주소를 모두 변환하여 라우팅 합 Internet


Internet
니다.

Router IP 10.10.0.254

네트워크의 설정을 변경할 필요가 없


주소 변환
으며 가장 간단히 설치할 수 있습니 Server Load Balancer L2
SIP 192.168.0.1
10.10.0.253 Switch
다. DIP 192.168.0.11
21.24.0.1
VIP 주소 변환
10.10.0.253

IP 192.168.0.1

SIP 192.168.0.11

DIP 192.168.0.1
Real Server

IP 192.168.0.11 IP 192.168.0.12

-21-
LayerX TM Technology

2-B. 스케줄링 알고리즘 – RR


(Round Robin)
Client
P
가장 기본적인 알고리즘으로 모든 서
버에 동일하게 세션을 라우팅 합니다.
Internet
Internet

모든 서버에 누적 세션 수가 같게 됩
Router
니다.
Server Load Balancer

Real Server

-22-
LayerX TM Technology

2-B. 스케줄링 알고리즘 - WRR


(Weighted Round Robin)
Client
P

기본적으로 RR (Round Robin)과 비


슷한 방식입니다. Internet
Internet

RR방식과의 차이점은 특성 서버에 Router


가중치를 두어 더 많은 세션을 처리
하도록 합니다. Server Load Balancer

Real Server

Server Weight 1 2 1

-23-
LayerX TM Technology

2-B. 스케줄링 알고리즘 - LC


(Least Connection)
Client
P

L4 스위치의 세션 테이블에서 Active


세션이 가장 적은 서버로 라우팅 합 Internet
Internet
니다.

Router

Server Load Balancer

Real Server

Active Session 75 76 78

-24-
LayerX TM Technology

2-B. 스케줄링 알고리즘 - WLC


(Weighted Least Connection)
Client
P
기본적인 동작은 LC와 비슷합니다.
Internet
Internet
LC와의 차이점은 특정 서버에 가중
치를 두어 더 많은 세션을 처리하도 Router
록 합니다.
Server Load Balancer

Real Server

Server Weight 1 2 1

Active Session 71 138 (69) 72


-25-
LayerX TM Technology

2-B. 스케줄링 알고리즘 -


Hashing
Client1 Client2

P
클라이언트의 IP주소와 Port번호를
조합하여 Hash함수를 통해 계산한 Internet
Internet
결과로 스케줄링 합니다.

Router

Server Load Balancer


HashFunction(Client IP, Client Port)

Real Server

-26-
LayerX TM Technology

2-C. 세션 유지
Client1 P Client2

세션이 연결되어 있는 서버와 클라이


언트 사이의 패킷은 동일한 서버로 Internet
Internet
전송되어야 합니다.
패킷의
연결된 흐름
Router
세션 정보를 가지지 않는 서버는 자 세션
신이 모르는 세션의 패킷을 버리게 Server Load Balancer

되므로 클라이언트는 정상적인 서비


스를 이용할 수 없게 됩니다.

Real Server
Drop

-27-
LayerX TM Technology

2-C. 세션 유지 - State Session

State 기반의 세션(i.e. TCP)은 세션 연결을 위한 패킷(i.e. SYN)과 세션 종료를


위한 패킷(i.e. FIN) 이 있습니다.

L4 스위치는 세션 기반의 프로토콜에 대해서는 해당 프로토콜의 세션 생성 및


종료 패킷을 이용하여 세션 테이블을 생성합니다.

-28-
LayerX TM Technology

2-C. 세션 유지 - Stateless
Session

세션을 유지하지 않는 프로토콜에 대해서는 각각의 패킷이 어느 세션에 포함되


는 것인지 알 수 없습니다.

L4 스위치에서는 Session Persistence라는 기능을 통해 가상의 세션을 생성합


니다. 즉, Client1->Server1으로 전송된 패킷이 있고, 지정된 시간 내에 Client1
로부터 들어오는 패킷에 대해서는 Server1으로 전송합니다. 세션은 (Source IP,
Source Port)-(Destination IP, Destination Port)의 쌍으로 구분합니다.

-29-
LayerX TM Technology

2-C. 세션 유지 – IP Persistence

첫 번째 세션의 경로가 뒤따르는 모든 새로운 세션의 경로가 됩니다.

지정된 Timeout이 되기 전까지 클라이언트로부터의 모든 세션은 동일한 서버


로 스케줄링 됩니다.

-30-
LayerX TM Technology

3. FWLB/VPNLB의 주요 기능

A. Layer 4 Load Balancing (FWLB)


• Internal, External 로 구분되는 서비스
B. Layer 4 Load Balancing (VPNLB)
• External (Tunnel), Internal 로 구분되는 서비스
• 지점, 본점 장비
• Destination host가 존재하는 터널 찾기
C. Layer 4 Load Balancing (FW+VPN LB)
D. DMZ
E. Failover (HA) – VRRP
F. Session Mirroring
G. Health check (Link check, DMZ check)
H. Active-Active Default gateway

-31-
LayerX TM Technology

3-A. FWLB의 Layer 4 Load


Balancing
External Network

TCP, UDP session일 경우 한 session은 하나


의 Firewall 만 거쳐가야 합니다. 나머지 경우에
External 장비
대해서는 한 IP에 대해서 한 Firewall만을 거쳐
서 통신을 하여야 합니다.

Session Level
외부 네트워크와 방화벽 사이에 위치하는 장비
를 External장비라 부르며 내부네트워크와 방
화벽 사이에 위치하는 장비를 Internal장비라 부
릅니다.

Session Session Level


9 TCP session : IP address + Port + TCP
state + Session Persistence (Sticky
Time) Internal 장비

9 UDP: IP address + Port + Session


Persistence (Sticky Time) Internal Network
9 IP: IP address + Session Persistence
(Sticky Time) -32-
LayerX TM Technology

3-B. DMZ

WAN
WAN
방화벽에서 지원되는 기능으로 특정
IP주소 대역에 대해 별도의 경로로
라우팅 하게 해주는 기능입니다. Router

External FW/VPN LB

DMZ의 Load Balancing은 Internal


Load Balancing과 비슷합니다.

DMZ LB

Internal FW/VPN LB

DMZ
Internal DMZ
Internal Network
Network Network
Network

-33-
LayerX TM Technology

3-C. Health check – Link

WAN
WAN

패킷을 전송하면 안 되는 조건은 다


음과 같습니다.
External
9 방화벽이 Down된 경우
9 방화벽은 정상동작하나 Line이 불량
인 경우

Down

위의 조건들로 인해 FW/VPN Load Internal DMZ


Balancing에서는 SLB의 Health
Check와 다르게 반대편의 Load
Balancer로부터 보내진 Health
Check패킷이 도달하는지 확인합니
다.

-34-
LayerX TM Technology

3-D. Health check –DMZ check

WAN
WAN

패킷을 전송하면 안 되는 조건은 다


음과 같습니다.
External
9 방화벽이 Down된 경우
9 방화벽은 정상동작하나 Line이 불량
인 경우
Down

위의 조건들로 인해 FW/VPN Load Internal DMZ


Balancing에서는 SLB의 Health
Check와 다르게 반대편의 Load
Balancer로부터 보내진 Health
Check패킷이 도달하는지 확인합니
다.

-35-
LayerX TM Technology

4. FWLB/VPNLB의 Layer 4
부하 분산

A. 라우팅 알고리즘
I. DSR (Direct Server Return)
II. NAT (Network Address Translation)
B. 스케줄링 알고리즘
I. RR (Round Robin)
II. WRR (Weighted Round Robin)
III. LC (Least Connection)
IV. WLC (Weighted Least Connection)
V. Hashing
C. 세션 유지
I. IP Persistence

-36-
LayerX TM Technology

4-A. 라우팅 알고리즘 – DSR


(Direct Server Return)
Host IP: 165.123.63.1
SIP 165.123.63.1
SLB의 DSR과 비슷한 방식입니다. DIP 203.153.56.120

WAN
WAN
모든 패킷은 External L4 Switch에서
아무런 변환 없이 라우팅 됩니다. Router

FW/VPNLB에서는 DSR방식은 설정 L4 EXTERNAL

에 필요한 조건이 없습니다. Switch

Firewall

L4 INTERNAL
Switch

SIP 203.153.56.120
Host
IP: 203.153.56.120
DIP 165.123.63.1

-37-
LayerX TM Technology

4-A. 라우팅 알고리즘 – NAT


(Network Address Translation)
Host IP: 165.123.63.1
SIP 165.123.63.1
SLB의 NAT과 비슷한 방식입니다. DIP 203.153.56.1

WAN
WAN
모든 패킷은 External L4 Switch에서
목적지 주소가 VIP에서 방화벽의 IP Router
로 변환됩니다.
VIP: 203.153.56.1
SIP 165.123.63.1
203.153.56.1
L4 EXTERNAL
DIP 192.168.0.1
165.123.63.1
FW/VPNLB에서는 DSR방식은 설정 Switch

에 필요한 조건이 없습니다. IP: 192.168.0.1 SIP 192.168.0.1


Firewall
DIP 165.123.63.1
9 외부 네트워크와 내부 네트워크가 분
리되어야 합니다.
L4 INTERNAL
9 Firewall 의 Default Gateway 는 L4 Switch

스위치가 되어야 합니다.


Host
IP: 203.153.56.120

-38-
LayerX TM Technology

4-B. 스케줄링 알고리즘 – RR


(Round Robin)
Host
P
SLB의 RR과 동일하게 동작합니다.
WAN
WAN

L4 Switch EXTERNAL

FW1 FW2 FW3

L4 Switch INTERNAL

Host

-39-
LayerX TM Technology

4-B. 스케줄링 알고리즘 – WRR


(Weighted Round Robin)
Host
P
SLB의 WRR과 동일하게 동작합니다.
WAN
WAN

L4 Switch EXTERNAL

FW1 FW2 FW3

Weight 1 2 1

L4 Switch INTERNAL

Host

-40-
LayerX TM Technology

4-B. 스케줄링 알고리즘 – LC


(Least Connection)
Host
P
SLB의 LC와 동일하게 동작합니다.
WAN
WAN

L4 Switch EXTERNAL

FW1 FW2 FW3

Session 11 12 9

L4 Switch INTERNAL

Host

-41-
LayerX TM Technology

4-B. 스케줄링 알고리즘 – WLC


(Weighted Least Connection)
Host
P
SLB의 WLC와 동일하게 동작합니다.
WAN
WAN

L4 Switch EXTERNAL

FW1 FW2 FW3

Weight 1 2 1

Session 12 20(10) 14

L4 Switch INTERNAL

Host

-42-
LayerX TM Technology

4-B. 스케줄링 알고리즘 –


Hashing
Host
P
SLB의 Hashing과 동일하게 동작합
니다. WAN
WAN

HashFunction(Client IP, Client Port)


L4 Switch EXTERNAL

FW1 FW2 FW3

L4 Switch INTERNAL

Host

-43-
LayerX TM Technology

4-C. Session 유지
Host
P
세션이 연결되어 있는 서버와 클라이
언트 사이의 패킷은 동일한 서버로 전
송되어야 합니다. WAN
WAN

세션 정보를 가지지 않는 방화벽 자신


Session
이 모르는 세션의 패킷을 버리게 되므
로 클라이언트는 정상적인 서비스를
이용할 수 없게 됩니다.
L4 Switch EXTERNAL

FW1 FW2 FW3


Session
Drop
9 TCP session : IP address +
Port + TCP state + Session
Persistence (Sticky Time)
L4 Switch INTERNAL
9 UDP: IP address + Port +
Session Persistence (Sticky
Time) Host
9 IP: IP address + Session
Persistence (Sticky Time) -44-
LayerX TM Technology

4-C. 세션 유지 – IP Persistence

첫 번째 세션의 경로가 뒤따르는 모든 새로운 세션의 경로가 됩니다.

지정된 Timeout이 되기 전까지 클라이언트로부터의 모든 세션은 동일한 서버


로 스케줄링 됩니다.

-45-
LayerX TM Technology

교육 요청

접수 및 관련 문의
펌킨넷코리아㈜
02-3280-9380 support@pumpkinnet.co.kr

교육장: 총판사 교육장(서울, 대구)

-46-
LayerX TM Technology

- Thanks -

www.pumpkinnet.co.kr www.l4switch.com

-47-

Rate