Embed Size (px)
Citation preview
1
Alteon Web Switch Administration Guide
2
목 차
• 웹 스위치 주요 기능 -12 p -
• 스위치 기본 설정 -18 p -
• SLB(Server Load Balancing) - 28 p -
• WCR(Web Cache Redirection) - 58 p -
• FWLB(FireWall Load Balancing) - 71 p -
• VRRP(Virtual Routing Redundancy Protocol) – 84 p -
• 별 첨 - 89 p -
3
알테온 웹 스위치 주요 기능
1. 스위치 관리 기능 -13 p- 2. Layer 2 -14 p- 3. Layer 4 -15 p- 4. Layer 5~7 -15 p-
4
1. 스위치 관리 기능
• CLI(command line interface) 기능
- 최초 셋업 시 사용
- 콘솔, 텔넷 접속
• Web UI 기능
- 웹브라우저 상에 URL에 http://알테온의 IP 주소
(예, http://176.12.1.1)
- CLI에서 사용 가능한 기능을 모두 지원.
- 관리 포트 수정 기능 ( 예: 80 8080)
• SNMP 지원
- 알테온 Private MIB 제공
• RMON 지원
5
2. Layer 2 • 포트 Trunking
- 지원 가능 트렁크 그룹 수 : 4개
- 각 그룹 당 트렁크 지원 가능 포트 수
1) 10/100 Fast Ethernet : 6개
2) Giga Ethernet : 4개
- Ether Channel 이 지원되는 스위치 장비와 호환가능
- hasing 기법이 사용됨
• VLANs 지원
- 지원 가능 VLAN 수 : 256
- IEEE 802.1Q 지원
• Spanning Tree 지원
• 포트 미러링
- 현재 AD4와 184모델만 지원 가능
- V 6.0.61이하는 전 모델 지원
6
3. Layer 4
• 서버 로드 밸런싱(Server Load Balancing)• 필터링(Filtering)• 어플리케이션 리다이렉션(Application Redirection)• 글로벌 서버 로드 밸런싱(Global Server Load Balancing)• 대역폭 관리(Bandwidth Management)4. Layer 5~7• Contents 기반의 지능형 서버 로드 밸런싱
(Content-Intelligent Load Balancing)• Contents 기반의 지능형 웹 Cache 리다이렉션
(Content-Intelligent Web Cache Redirection)
7
Layer 4 스위칭이란?!
• Layer 2 스위칭
- 스위칭의 결정 요소가 Mac 주소가 된다. (스위치의 FDB 테이블 참조)
2.3 2.52.4
D-macS-mac
D-ip
S-ipB620
D-Port
C-PortB620
Layer 2
Layer 3
Layer 4
Ping 10.10.2.3
10.10.2.3 의 Mac 주소는
어느 포트에?
8
Layer 4 스위칭이란?!
• Layer 4 스위칭
- 스위칭의 결정 요소가 서비스 타입(Port)이 된다.
2.3 2.52.4
D-macS-mac
D-ip
S-ipB620
D-Port
C-PortB620
Layer 2
Layer 3
Layer 4
http://www.A.com
VIP로 오는 http트래픽인 경우 리얼서버 3 개중 하나로 스위칭한다.
A.com = 10.10.2.3 …
DNS
Vip 10.10..2.3
9
기본 설정 사항 1.명령어 체계 - 19 p -
1-1. 글로벌 커멘드 - 19 p - 1-2. 로 컬 커멘드 - 20 p -
2. 시스템 기본설정 사항 I - 21 p -
3. 시스템 기본설정 사항 II - 22 p -
3-1 스위치 IP 설정 - 22 p - 3-2 스위치 게이트웨이 설정 - 23 p - 3-3 라우팅 테이블 설정 - 24 p - 3-4 링크 설정 - 25 p -
3-5 VLAN 설정 - 27 p – 3-6 CPU 사용량 보기 - 28 p -
10
1. 명령어 체계
1-1 글로벌 커멘드
Global Commands: [모든 메뉴에서 사용가능]help up print pwdlines verbose exit quitdiff apply save revertping traceroute history pushdpopd
다음의 명령어로 메뉴간의 이동을 한다: . 현재 메뉴 보기
.. 상위 메뉴로 이동
/ 최상위 메뉴로 이동, 또는 명령어 분리자로 이용
! 히스토리를 이용한 명령어 선택
명령어에 대한 도움말은 ? <command> 형식으로 입력한다.
11
1-2 로컬 커멘드
[메인 메뉴] info - Information Menu stats - Statistics Menu cfg - Configuration Menu oper - Operations Command Menu boot - Boot Options Menu maint - Maintenance Menu diff - Show pending config changes [global command] apply - Apply pending config changes [global command] save - Save updated config to FLASH [global command] revert - Revert pending or applied changes [global command] exit - Exit [global command, always available] - 각 메뉴에서만 사용 가능한 명령어
12
2. 시스템 기본 설정 사항 I
2-1 메뉴 : /cfg/sys• [System Menu]• radius - RADIUS Authentication Menu• ntp - NTP Server Menu• date - Set system date 일자 설정• time - Set system time 시간 설정• idle - Set timeout for idle CLI sessions CLI 모드 시간 설정 • snmp - Set SNMP access control• wport - Set Web server port number 웹 UI사용 시 포트• bannr - Set login banner • mnet - Set management network• mmask - Set management netmask• smtp - Set SMTP host• tnet - Enable/disable Telnet access 텔넷 허용 옵션• bootp - Enable/disable use of BOOTP bootp 허용 옵션• http - Enable/disable HTTP (Web) access 웹 UI 허용 옵션• user - User Access Control Menu (passwords)• cur - Display current system-wide parameters 현재 설정 사항을 보여준다
• >> System#
13
3. 시스템 기본 설정 사항 II
@ 메뉴 : /cfg/ip• [IP Menu]• if - Interface Menu 스위치IP 설정 메뉴, 254개 까지 지
원• gw - Default Gateway Menu 스위치의 게이트웨이 설정, 4개 까지 지
원• route - Static Route Menu 정적 라우팅 설정 메
뉴• frwd - Forwarding Menu VLAN 설정 시 IP 포워딩을 위한 메
뉴• rip1 - Routing Information Protocol menu• bgp - Border Gateway Protocol menu• port - IP Port Menu• dns - Domain Name System Menu• log - Set IP address of syslog host• log2 - Set IP address of second syslog host• logfac - Set facility of syslog host• log2fac - Set facility of second syslog host• rearp - Set re-ARP period in minutes• metrc - Set default gateway metric : 게이트 웨이 로드 밸런싱 정책 설정• 1) strict : 1번 게이트웨이를 기본적으로 사용하고, 1번이 불가한 경우 2번 사
용• 2) roundrobin : 설정 된 게이트 웨이를 순차적으로 사용• cur - Display current IP configuration>> IP#
14
• 3-1 스위치 IP 설정 • >> IP# if 1(인터페이스 번호) • addr - Set IP address IP 설정 명령어• mask - Set subnet mask NetMask 설정 명령어• broad - Set broadcast address 브로드케스트 설정 명령어• vlan - Set VLAN number• ena - Enable IP interface 인터페이스 활성화 명령어• dis - Disable IP interface• del - Delete IP interface• cur - Display current interface configuration• >> IP Interface 1#addr 10.10.10.1/mask 255.255.255.0/br 10.10.10.255/ena
• 3-2 스위치 게이트 웨이 설정 • @ 게이트 웨이의 로드밸런싱 정책은 strict/roundrobin정책이 있다.• >> IP# gw 1(게이트 웨이 번호)• addr - Set IP address IP 설정 명령어• intr - Set interval between ping attempts• retry - Set number of failed attempts to declare gateway DOWN• arp - Enable/disable ARP only health checks• ena - Enable default gateway 인터페이스 활성화 명령어• dis - Disable default gateway• del - Delete default gateway• cur - Display current default gateway configuration• >> Default gateway 1#addr 10.10.10.254/ena
15
3-3 라우팅 테이블 추가 작업
- 메뉴 : /cfg/ip/route>> IP Static Route#-----------------------------------------------------------[IP Static Route Menu] add - Add static route rem - Remove static route cur - Display current static route configuration >> IP Static Route# addEnter destination IP address: 192.168.100.0Enter destination subnet mask: 255.255.255.0Enter gateway IP address: 10.10.10.1Enter interface number: (1-256) 1>> IP Static Route#
- 또는 다음과 같이 연속된 명령어로 설정이 가능하다
>> IP Static Route#add 192.168.100.0 255.255.255.0 10.10.10.1 1
16
3-4 포트 링크 설정 메뉴
- 메뉴 : /cfg/po 1[포트 번호][Port 1 Menu] fast - Fast Phy Menu 10/100 설정 메뉴
gig - Gig Phy Menu Giga 설정 메뉴
pref - Set preferred phy back - Set backup phy pvid - Set default port VLAN id name - Set port name cont - Set default port BW Contract tag - Enable/disable VLAN tagging for port iponly - Enable/disable allowing only IP related frames ena - Enable port dis - Disable port cur - Display current port configuration>> Port 1# fast------------------------------------------------------------[Fast Link Menu] speed - Set link speed 스피드 설정
mode - Set full or half duplex mode 모드 설정
fctl - Set flow control auto - Set autonegotiation Auto nego 설정
cur - Display current fast link configuration>> Port 1#
17
3-4-1 100M full-duplex 설정 방법
[Fast Link Menu] speed - Set link speed 스피드 설정
mode - Set full or half duplex mode 모드 설정
fctl - Set flow control auto - Set autonegotiation Auto nego 설정
cur - Display current fast link configuration >> Port 1#speed 100 >> Port 1#mode full >> Port 1#auto off 3-4-2 Auto nego 설정 방법
[Fast Link Menu] speed - Set link speed mode - Set full or half duplex mode fctl - Set flow control auto - Set autonegotiation cur - Display current fast link configuration >> Port 1#speed any >> Port 1#mode any >> Port 1#auto on
18
3-5) VLAN 설정
3-5-1) Vlan 번호를 설정 한다. - 메뉴 : /cfg/vlan n[vlan 번호] [VLAN 1 Menu] name - Set VLAN name cont - Set BW contract add - Add port to VLAN 현제 Vlan에 포함되는 포트 설정
rem - Remove port from VLAN Vlan에서 삭제
def - Define VLAN as list of ports 리스트 방식의 포트 설정
jumbo - Enable/disable Jumbo Frame support ena - Enable VLAN Vlan 활성화
dis - Disable VLAN del - Delete VLAN cur - Display current VLAN configuration >> VLAN 1#add 1/add 2/en
3-5-2) 각 vlan 포함 될 포트를 설정한다. >> VLAN 1#add 1/add 2/en
3-5-3) Vlan 사이에 라우팅이 필요한 경우 IP 포워딩을 하여준다. 명령어 : /cfg/ip/fwrd on
19
3-6) CPU 사용량 보기 3-6-1) MP의 CPU사용량 보기
- 메뉴 : /st/mp >> Statistics# mp------------------------------------------------------------[MP-specific Statistics Menu] mem - Show STEM memory stats amem - Show All STEM memory blocks in use dma - Show DMA exception counts pkt - Show Packet stats tcb - Show All TCP control blocks in use ucb - Show All UDP control blocks in use uart - Show UART counters cpu - Show CPU utilization
>> MP-specific Statistics# cpu------------------------------------------------------------------CPU utilization:cpuAUtil1Second: 17% cpuBUtil1Second: 17%cpuAUtil4Seconds: 17% cpuBUtil4Seconds: 17%cpuAUtil64Seconds: 17% cpuBUtil64Seconds: 17%
# Alteon 스위치는 cpuA/B 두 개를 가지고 있기 때문에 2개의 사용량을 보여 준다.
20
3-6-2) 각 포트의 cpu사용량 보기
- 메뉴 : /st/po 1 >> Statistics# po 1------------------------------------------------------------[Port Statistics Menu] brg - Show bridging ("dot1") stats ether - Show Ethernet ("dot3") stats if - Show interface ("if") stats ip - Show Internet Protocol ("IP") stats link - Show link stats cpu - Show CPU utilization maint - Show maintenance stats
>> Port Statistics# cpu------------------------------------------------------------------CPU utilization for port 1:cpuAUtil1Second: 2% cpuBUtil1Second: 1%cpuAUtil4Seconds: 2% cpuBUtil4Seconds: 1%cpuAUtil64Seconds: 2% cpuBUtil64Seconds: 1%
>> Port Statistics#
21
SLB(Server Load Balancing) 1. SLB의 장점 - 30 p - 2. SLB의 작동 원리 - 31 p - 3. 설정 사항 - 34 p - 3-1. 설정 시 요구되는 네트웤 구성 - 34 p - 3-2. 로드 발란싱 가용치(ACEDriector,180시리즈 기준) - 34 p - 3-3. 기본 구성 요소 - 35 p - 4. 실제 설정 방법 및 절차 - 36 p - 4-1. 리얼 서버 설정 - 37 p - 4-2. 리얼 서버 그룹 설정 - 38 p - 4-3. 가상 서버 설정 - 39 p - 4-3-1. 서비스 설정
4-4 클라이언트/서버 포트 지정 - 41 p - 4-5. SLB 기능 활성화 - 42 p - 5. SLB 옵션 사항 - 43 p - 5-1 헬스 체크 - 43 p - 5-2 로드 발란싱 정책 - 44 p - 5-2-1. Load-Based 정책 5-2-2. Persistence-Based 정책
22
5-3. 백업 서버 - 46 p - 5-4. Weight 값 - 46 p - 6. 서버로드 밸런싱의 발전적 개념 - 47 p - 6-1. 서버의 Binding 논리(Delayed Binding) - 47 p - 6-1-1. Immediate Binding 6-1-2. Delayed Binding 6-1-3. Delayed Binding의 장점
6-2. Direct Access 모드 - 50 p - 6-3. Proxy IP(PIP) - 51 p - 7. 설정 된 SLB 현재 정보 조회 - 52 p - 7-1. 세션 정보 보기 7-2. 전체 정보 보기
8. SLB의 통계치 조회 - 54 p - 8-1. 세션 수치 조회 예 - 55 p - 8-1-1. 그룹에 대한 세션 수 보기 8-1-2. 가상 서버에 대한 세션 수 보기
9. GSLB(Global Server Load Balancing) - 56 p - 10. Router Load Balancing - 57 p -
23
1. SLB의 장점
• 성능 향상
- 서비스 응답시간의 감소
- 로드 분산에 의한 서버의 부하 경감
• 용이한 확장성 보장
- 독 립 형 : 독립 서버의 성능을 개선하기 위하여 서비스를
다운 시킨 후 서버의 사양을 업그레이드 함
- SLB 사용 시 : 서버 증설 시 기존의 서버의 서비스를 보장하며
확장이 가능
• 서버의 효율성 증가
• 서버의 보안성 향상
• 고 가용성
- 한 대의 서버가 서비스 불가 상태 이라도 서비스의 중단이 없다.
A.com = 192.2.2.1 …
DNS
VIP 192.2.2.1RIP 2.2, 2.3VIP 192.2.2.2RIP 2.3, 2.4
A.com B.com B.com
2.2 2.42.3
A.com
To 192.2.2.1
To 2.2
24
2. SLB의 작동 원리• SLB의 핵심 개념 : Session ID
Mac Layer(L 2)
IP (Layer 3)
TCP(Layer 4)
V-macC-mac
V-ip
C-ipB620
D-Port
C-PortB620
Destnation MacSource Mac
Destnation IPSource IP
Check Sum
Destnation PortSource Port
Check Sum
Session ID는 클라이언트의 IP와 TCP 포트 번호의 조합을 말한다. 서버로드 밸런싱의 핵심 기능은 이러한 sessionID의 대치 기능이다.( NAT 기능과 거의 유사)
25
• Session ID 교체
- 클라이언트 에서 서버로 가는 패킷
V-macC-mac
V-ip
C-ipB620
D-Port
C-PortB620
V-macC-mac
V-ip
C-ipB620
D-Port
C-PortB620
R-macC-mac
R-ip
C-ipB620
D-Port
C-PortB620
R-macC-mac
R-ip
C-ipB620
D-Port
C-PortB620
Client 웹 스위치 Real 서버
Client Port에서
A.com = 192.2.2.1 …
DNS
VIP 192.2.2.1RIP 2.2, 2.3VIP 192.2.2.2RIP 2.3, 2.4
A.com B.com B.com
2.2 2.42.3
A.com
To 192.2.2.1
To 2.2
26
• Session ID 교체
- 서버에서 클라이언트로 가는 패킷
V-macC-mac
V-ip
C-ipB620
D-Port
C-PortB620
V-macC-mac
V-ip
C-ipB620
D-Port
C-PortB620
R-macC-mac
R-ip
C-ipB620
D-Port
C-PortB620
R-macC-mac
R-ip
C-ipB620
D-Port
C-PortB620
Client 웹 스위치 Real 서버
Server Port에서
A.com = 192.2.2.1 …
DNS
VIP 192.2.2.1RIP 2.2, 2.3VIP 192.2.2.2RIP 2.3, 2.4
A.com B.com B.com
2.2 2.42.3
A.com
To 192.2.2.1
To 2.2
27
3. 설정 사항
3-1. 설정 시 요구되는 네트웤 구성
- SLB의 기능은 알테온 스위치의 Session ID대치의 방식으로 이루어 짐으로 서버와 클라이언트 트래픽은 반드시 알테온 스위치를 거처 나가야만 정상적인 기능이 수행된다.
- 트래픽의 흐름도
1) 클라이언트에서 서버로의 트래픽은 알테온에 설정 된 VIP를 통하여 이루어 진다.
2) 서버에서 클라이언트로의 트래픽은 다음의 두 가지 방식으로 이루어 진다.
- 물리적으로 서버에서 클라이언트로 가는 트래픽의 경로가 알테온 스위치를 거처서만
가도록 구성
- 알테온의 클라이언트 포트에 PIP(Proxy IP)를 설정 하여 강제적으로 VIP를 향하여 들어
온 모든 트래픽을 알테온 스위치를 거처가도록 경로를 확보하는 방식
3-2. 로드 밸런싱 가용치(ACEDriector,180시리즈 기준)
- 스위치 당 최대 VIP 수 : 256
- VIP 당 최대 가상 서비스 수 : 8
- 스위치 당 최대 가상 서비스 수 : 256
- 스위치 당 최대 리얼 서버의 수 : 256
- 스위치 당 최대 리얼 서비스 수 : 1024
28
3.3 기본 구성 요소
• 리얼 서버의 IP 주소(두 개 이상)
- 반드시 활성화 되어 있어야 한다.
• 리얼 서버 그룹
- 설정 된 리얼 서버를 추가 한다.
- 동일한 서비스를 하는 리얼서버들의 모임
- 동일한 VIP에 속하게 되는 리얼서버들
• 가상 IP 주소
- 실제 해당서비스에 대하여 외부의 클라이언트
가 보게 되는 IP 주소(외부 사용자에 대한 서비
스 주소)
- 반드시 활성화 되어 있어야 한다.
• 서비스하고자 하는 서비스타입을 지정한다.
• 클라이언트와 서버의 포트를 지정한다.
- 포트지정이 되어 있지 않은 경우 Session ID
대치 기능이 작동하지 않는다.
• SLB를 활성화 한다.
A.com = 192.2.2.1
DNS
A.com A.com A.com
2.3 2.52.4
To 2.3
VIP 192.2.2.1RIP 2.3, 2.4, 2.5
To 192.2.2.1
29
4. 실제 Config 방법 및 절차
@ SLB 설정 메뉴
- 명령어 : /cfg/slb
[Layer 4 Menu] real - Real Server Menu : 리얼서버를 등록하기 위한 메뉴 group - Real Server Group Menu : 그룹 설정을 위한 메
뉴 virt - Virtual Server Menu : 가상 서버 설정 메
뉴 filt - Filtering Menu port - Layer 4 Port Menu : 클라이언트와 서버 포트를 지정하기 위한 메뉴 gslb - Global SLB Menu url - URL Resource Definition Menu sync - Config Synch Menu adv - Layer 4 Advanced Menu on - Globally turn Layer 4 processing ON : SLB 기능을 활성화한다 off - Globally turn Layer 4 processing OFF cur - Display current Layer 4 configuration : 현재 설정 된 사항을 본
다
>> Layer 4#
30
4-1 리얼 서버 설정
- 명령어 : /cfg/slb/real 1(리얼서버의 번호 지정)
[Real server 1 Menu] rip - Set IP addr of real server : 리얼 서버의 IP 등록 명령어 name - Set server name weight - Set server weight maxcon - Set maximum number of connections tmout - Set minutes inactive connection remains open backup - Set backup real server inter - Set interval between health checks retry - Set number of failed attempts to declare server DOWN restr - Set number of successful attempts to declare server UP addlb - Add URL path for URL load balance remlb - Remove URL path for URL load balance remote - Enable/disable remote site operation proxy - Enable/disable client proxy operation submac - Enable/disable source MAC address substitution nocook - Enable/disable no available URL cookie operation exclude - Enable/disable exclusionary string matching ena - Enable real server : 리얼 서버를 활성화 한다. dis - Disable real server del - Delete real server cur - Display current real server configuration
>> Real server 1 # rip 192.2.2.3>> Real server 1 # enable
- 2.4, 2.5에 대해서도 리얼서버 2,3번으로 등록한다.
A.com = 192.2.2.1
DNS
A.com A.com A.com
2.3 2.52.4
VIP 192.2.2.1RIP 2.3, 2.4, 2.5
To 192.2.2.1
31
4-2 리얼 서버 그룹 설정
- 명령어 : /cfg/slb/gr 1
[Real server group 1 Menu] metric - Set metric used to select next server in group : 로드 발란싱 정책을 설정 content - Set health check content health - Set health check type : Health Check 타입을 설정 backup - Set backup real server or group name - Set real server group name realthr - Set real server failure threshold add - Add real server : 각 각의 리얼 서버를 추가 한
다. rem - Remove real server del - Delete real server group cur - Display current group configuration
>> Real server group 1# add 1/add 2/add 3 >> Real server group 1# health http>> Real server group 1# metric roundrobin
- 여기서의 서비스는 웹 서버라 가정하고 설정
A.com = 192.2.2.1
DNS
A.com A.com A.com
2.3 2.52.4
VIP 192.2.2.1RIP 2.3, 2.4, 2.5
To 192.2.2.1
32
4-3 가상 서버 설정
- 명령어 : /cfg/slb/vi 1(가상 서버 번호)
[Virtual Server 1 Menu] service - Virtual Service Menu : 서비스 포트 지정 메뉴 vip - Set IP addr of virtual server : 가상 서버의 IP 지정 메
뉴 dname - Set domain name of virtual server cont - Set BW Contract layr3 - Enable/disable layer 3 only balancing ftpp - Enable/disable FTP SLB parsing for virtual server ena - Enable virtual server : 활성화 메뉴 dis - Disable virtual server del - Delete virtual server cur - Display current virtual configuration
>> Virtual Server 1# vip 192.2.2.1>> Virtual Server 1# enable>> Virtual Server 1# service http < 서비스 포트 번호 , Well-
Known 포트의 경우는 서비스 이름>
- 위에서 서비스 타입을 지정하면 해당 서비스와 관련이 되는 메뉴가 다음과 같이 나타난다.
A.com = 192.2.2.1
DNS
A.com A.com A.com
2.3 2.52.4
VIP 192.2.2.1RIP 2.3, 2.4, 2.5
To 192.2.2.1
33
4-3-1 가상 서버의 서비스 설정
[Virtual Server 1 http Service Menu] group - Set real server group number : 서비스하고자 하는 그룹의 번호 지정 메
뉴 rport - Set real port : 실제 서버에서 서비스하는 서비스 포트를 지
정 hname - Set hostname httpslb - Set HTTP SLB processing cont - Set BW contract for this virtual service pbind - Set persistent binding type udp - Enable/disable UDP balancing frag - Enable/disable remapping UDP server fragments nonat - Enable/disable only substituting MAC addresses del - Delete virtual service cur - Display current virtual service configuration>> Virtual Server 1 http Service# group 1 - 만일 설정 된 그룹이 여러개 있는 경우 해당 서비스를 해주는 그룹이 어떤 것인지 지정한다.>> Virtual Server 1 http Service# rport 8080- 만일 실제 리얼 서버의 서비스 포트가 가상서버의 서비스 포트와 다른 경우 지정한다. 예를 들어 HTTP 서비스를 하는데 실제 리얼서버에서 설정 된 http에 대한 서비스 포트
(Listener) 가 8080인 경우 rport메뉴에 리얼 서버의 실 서비스 포트를 지정한다.
>> Virtual Server 1 http Service# pbind clientip- 한 개의 클라이언트는 하나의 서버에서만 세션을 제공한다.
34
4-4 클라이언트/서버 포트 지정
- 명령어 : /cfg/slb/po 1
[SLB port 1 Menu] client - Enable/disable client processing : 해당 포트를 클라이 언트 트래픽과 연결 된 포트로 지
정 server - Enable/disable server processing : 해당 포트를 서버/ 서버팜과 연결 된 포트로 지
정 hotstan - Enable/disable hot-standby processing intersw - Enable/disable inter-switch processing proxy - Enable/disable use of PIP for ingress traffic pip - Set Proxy IP address for port filt - Enable/disable filtering add - Add filter to port rem - Remove filter from port cur - Display current port configuration
>> SLB port 1# cli en : 1번 포트를 라우터에서 오는 포트라 가정>> SLB port 1# ../po 6/se en : 6번 포트에 리얼 서버가 연결 됨>> SLB port 7# ../po 7/se en : 7번>> SLB port 8# ../po 8/se en : 8번
- 포트 지정이 정상적으로 되지 않으면 서비스가 불가 하다.
A.com = 192.2.2.1
DNS
A.com A.com A.com
2.3 2.52.4
VIP 192.2.2.1RIP 2.3, 2.4, 2.5
To 192.2.2.1
1번 포트
8번6번 7번
35
4-5 SLB기능을 활성화 한다.
- 명령어 : /cfg/slb/on
[Layer 4 Menu] real - Real Server Menu group - Real Server Group Menu virt - Virtual Server Menu filt - Filtering Menu port - Layer 4 Port Menu gslb - Global SLB Menu url - URL Resource Definition Menu sync - Config Synch Menu adv - Layer 4 Advanced Menu on - Globally turn Layer 4 processing ON : SLB 기능 활성
화 off - Globally turn Layer 4 processing OFF cur - Display current Layer 4 configuration>> Layer 4# onCurrent status: OFFNew status: ON>> Layer 4# apply : 위의 모든 설정 사항을 적용한다.>> Layer 4# save : 설정 사항을 메모리에 저장한다.
- Apply를 하면 설정한 사항이 바로 적용되며, Save는 스위치를 리부팅 시 해당 설정 사항이 적용 된 상태로 사용이 가능하다.
A.com = 192.2.2.1
DNS
A.com A.com A.com
2.3 2.52.4
VIP 192.2.2.1RIP 2.3, 2.4, 2.5
To 192.2.2.1
1번 포트
8번6번 7번
36
5-1 Health Check - 서버 로드 밸런싱 구성에서 웹 스위치는 서버의 서비스 가능여부를 위하여
Health Check라는 방법을 사용한다.
- 일반적인 Health Check는 서버의 사용가능 여부를 확인하기 위하여 ICMP프로
토콜을 사용하지만, 웹 스위치에서는 서버의 인터페이스 UP여부와 별도로 실제
서버로드 밸런싱에 사용 되는 서비스의 사용 가능여부를 체크한다.
- 예로서, 만일 HTTP에 대한 서버로드 밸런싱 구성을 하였다면, 각 리얼서버에서
HTTP서비스가 제공 가능한 지를 확인하기 위하여 ICMP(Ping과 같은)를 사용한
다는 것은 무의미하게 된다. 그래서 알테온 웹 스위치에서는 Health Check를
서버 로드 밸런싱에 사용되는 서비스가 가능한지를 체크하기 위하여 해당 서비
스의 데몬 - 여기의 예에서는 HTTP데몬 - 을 확인하는 방식을 사용하게 된다.
- 알테온에서 제공되는 Health Check 타입은 Well-Known 포트를 모두 지원하며,
사용자가 정의한 서비스 타입의 경우 ‘tcp’라는 Health Check 방식을 이용하여
해당 서비스의 사용가능 여부를 확인한다.
- 그 외 선택적 방식으로 Content기반의 Health Check 방식이 있다.
5. SLB Option 사항
37
5-2 로드 밸런싱 정책(Metric) 5-2-1. Load-based 알고리즘
1) LeastConns - 새로운 connection 요구가 들어오는 경우 현재 활동중인 connection 수가 가장
적은 리얼 서버로 session을 연결 시켜 준다. - Weighting 옵션
설정 된 웨이트 값에 따라 각 서버 당 연결되는 수가 정규화 된다. - Maximum connections 옵션
각 리얼의 현재 session수가 설정 된 Max connection 수에 도달한 경우 더 이상
의 새로운 session이 할당 되지 않는다. 만일 백업 서버가 설정 된 경우 해당 서버가 대치 되어 서비스한다. - 가장 자주 사용되는 옵션임
2) RoundRobin - 라운드 로빈 방식에 의하여 connection을 분배 한다. - 현재의 서버가 가지고 있는 session수는 관여하지 않는다. - Weighting 옵션이 지원된다.
38
5-2-2. Persistence-based 알고리즘
1) Hashing 정책
- 소스 IP가 리얼서버 그룹내의 서버에 대한 인덱스를 생성하는
요소로 사용 된다. - 동일한 유저로 부터의 서비스 요청은 동일한 서버로 연결 된다. - 만일 해당 서버에 서비스 오류가 발생하거나, 어떤 리얼 서버가 서버그룹에서
제외되거나 추가 된 경우 재 할당 된다. - Weight 옵션 사용 불가
- Max Connetion 지원
- 접속 유저 수가 많은 경우 로드 밸런싱이 공평하게 이루어 진다.
2) Minmiss 정책
- Hash와 유사한 방식을 사용
- Hash와 달리 어떤 서버가 서버 그룹에서 제외 된 경우 해당 서버에 할당 된
사용자에 대하여만 재할당 작업을 한다. - Weighting 옵션 사용 불가
- Max Connection 지원
@ Minmiss 방식보다 Hash방식이 더욱 선호되는 방식이다
39
5-3 백업 서버 - 로드 밸런싱을 하는 리얼 서버들은 트래픽이 과도
한 경우 설정 된 Max session을 초과하거나, 서버
의 서비스가 불가한 경우가 생기게 된다.
- 이를 위하여 한 개의 리얼서버를 각 서버의 백업
서버로 사용할 수 있다.
- 설정 가능 형태
1) 각 각의 리얼 서버에 대하여 한 개의 리얼서버를
2) 리얼서버 그룹에 대한 백업 서버 또는 그룹
한 개의 리얼 서버, 또는 다른 리얼 서버 그룹
5-4 Weight 값 - 서버의 사양이 다른 경우 성능이 뛰어난 서버에게
더 많은 서비스를 하도록 부여하는 값.
예) 2.5서버가 다른 서버에 비하여 처리량이 2배가
된다면 2.5서버의 웨이트를 2로 준다.
참고로 웨이트의 기본값은 1이다.
A.com = 192.2.2.1
DNS
A.com A.com A.com
2.3 2.52.4
VIP 192.2.2.1RIP 2.3, 2.4, 2.5
To 192.2.2.1
1번 포트
2.6
X
X
40
6. 서버로드 밸런싱의 발전적 개념
6-1 서버의 Binding 논리(Delayed Binding) 6-1-1 Immediate Binding - 로드 밸런싱에서 어떤 리얼서버로 요청을 보낼 것인지의 결정을 클
라이언트로부터 TCP SYN 패킷이 들어오는 시점에 결정하는 방식
Client Load Balancer Real Server
TCP SYN request1
2
TCP SYN request3
Three-way handshake completion
4
최적의 서버 선택
41
6-1-2 Delayed Binding - 리얼서버와 session 연결에 대한 결정은 웹 스위치와 유저사이에 TCP 3-way Handshake가 우선 적으로 이루어 진 후 스위치에서 최적의 리얼 서버를 선택한다. - 리얼 서버 결정은 URL, SSL session ID, cookie등의 클라이언트에서 오는 정
보에 기반하여 선택하게 된다.
Client Load Balancer Real Server
•TCP 3-way handshake•LB records sequence #•Client sends 1st GET
1
2
•TCP 3-way handshake•LB records sequence #•Forwards the client’s GET
3
Sequence # adjustment and connection splicing
4
최적의 서버 선택
42
6-1-3 Delayed Binding의 장점
1) 웹 스위치가 클라이언트의 요청을 관찰하고 적합한 서버로 연결시켜
주게 할 수 있다.
2) 발전 된 개념의 로드 밸런싱을 가능하게 하여 준다.
@ Contents 기반의 지능형 로드 밸런싱
- URL 기반의 웹 서버 로드 밸런싱 기능
- URL 기반의 웹 Cache 리다이렉션
- HTTP 헤더 기반의 웹 서버 로드 밸런싱
- HTTP 헤더 기반의 웹 Cache 리다이렉션
@ 발전 된 session 유지 기능
- session 유지를 위한 SSL session ID 기반의 연결 기능
- session 유지를 위하여 Cookie 기반의 연결 기능
43
6-2 Direct Access Mode• DAM 를 사용하지 않는 경우 SLB에 설정되어 있는 SLB의 리얼서버가 해당 서비
스를 사용하게 되는 경우 그 서버에서의 트래픽은 SLB의 트래픽으로 간주하게
된다.• 때때로 리얼 서버로 부터의 트래픽은 로드 밸런싱의 session ID전환이 이루어
지지 말아야 하는 경우가 있다.• 예로써, 유저가 리얼서버로 직접 서비스를 요청하는 경우 또는 리얼 서버가 여
러 개의 VIP를 지원하게 되는 경우. 그리고 Delayed Binding이 사용되는 경우가
그러한 경우에 해당 된다.• 설정 방법
- 명령어 : /cfg/slb/adv/direc ena• 위와 같이 설정을 하게 되면 sever-to-client처리 과정은 모두 클라이언트 포트
에서 일어나게 된다. - 앞에서도 언급 하였듯이 server-to-client처리과정은 보통 서버 포트에서
일어나게 된다.
44
6-3 Proxy IP(PIP)• PIP사용 원인
- 복잡한 네트웤 에서는 서버에서 클라이언트로 가는 경로가 2대 이상이 존재하
는 경우 서버에서 클라이언트로 가는 트래픽이 알테온 스위치를 거치지 않고
나가는 경우가 발생하게 된다. 이러한 경우 VIP로 들어온 클라이언트에 대하
여 서버에서 다른 경로를 거치지 않고 웹 스위치를 통과하도록 만들기 위하여
사용하게 된다.
@ Complex 네트웤 예
SLB의 트래픽은 이
경로로 흐르면 안된다.
PIP를 설정하여 VIP에 대한
트래픽이 알테온을 통하도록 한다.
X
45
7. 설정 된 SLB 현재 정보 조회
7-1 메뉴 : /info/slb sess - Session Table Information Menu real - Show real server information virt - Show virtual server information filt - Show redirect filter information port - Show port information gslb - Show GSLB information dump - Show all layer 4 information>> Server Load Balancing Information#
7-2 명령어 : sess 현재 session에 관한 정보를 보여 준다.
예) 5,5: 210.116.39.125 1223 -> 210.116.39.120 80 age 10 E
7-3 명령어 : Dump 현재 설정 된 모든 SLB의 상태를 보여준다.
46
• Dump의 예.Real server state: 1: 210.116.39.1, 00:00:3b:80:2b:d0, vlan 1, port 1, health 4, Failed 현재 리얼서버가 현재 서비스 불가
2: 210.116.39.120, 00:e0:29:4f:fe:44, vlan 1, port 1, health 4, up 현재 리얼서버가 현재 서비스 가능
Virtual server state: 1: 210.116.39.186, 00:60:cf:44:06:8e virtual ports: http: rport http, group 1, backup none real servers: 1: 210.116.39.1, backup none, Failed 2: 210.116.39.120, backup none, upRedirect filter state:Port state: 1: 0.0.0.0, server 서버프로세싱이 활성화 되어 있다. filt disabled, filters: empty 2: 0.0.0.0 filt disabled, filters: empty 3: 0.0.0.0 filt disabled, filters: empty 4: 0.0.0.0, client 클라이언트 프로세싱이 활성화 되어 있다. filt disabled, filters: empty 5: 0.0.0.0 filt disabled, filters: empty 6: 0.0.0.0 filt disabled, filters: empty 7: 0.0.0.0 filt disabled, filters: empty 8: 0.0.0.0 filt disabled, filters: empty 9: 0.0.0.0 filt disabled, filters: empty
>> Server Load Balancing Information#
47
8. SLB의 통계치 조회
8-1 메뉴 :/stats/slb 메뉴
- slb작동에서 일어나는 session의 수치를 보여준다.
메뉴) [Server Load Balancing Statistics Menu] port - SLB Switch Port Stats Menu real - Show real server stats group - Show real server group stats 그룹의 세션 상황
virt - Show virtual server stats 가상 서버의 세션 상황
filt - Show filter stats gslb - Show global SLB stats url - Show URL SLB and Redirection stats ssl - Show SSL SLB stats ftp - Show FTP SLB parsing and NAT stats maint - Show maintenance stats clear - Clear non-operational Server Load Balancing stats dump - Dump all SLB statistics >> Server Load Balancing Statistics#
48
8-2 session 수치 조회 예 8-2-1 메뉴: /stats/slb/gr 1 그룹에 대한 session 수 보기
------------------------------------------------------------------
Real server group 1 stats:
Current Total Highest
Real IP address Sessions Sessions Sessions Octets
---- --------------- -------- ---------- -------- ---------------
1 210.116.39.1 0 1 1 111137
2 210.116.39.120 0 2 1 332467
---- --------------- -------- ---------- -------- ---------------
0 3 2 443604
>> Server Load Balancing Statistics#
8-2-2) /stats/slb/vi 1 : Virtual 서버에 대한 수 보기
------------------------------------------------------------------
Virtual server 1 stats:
Current Total Highest
Real IP address Sessions Sessions Sessions Octets
---- --------------- -------- ---------- -------- ---------------
1 210.116.39.1 0 1 1 127877
2 210.116.39.120 0 2 1 349387
---- --------------- -------- ---------- -------- ---------------
210.116.39.186 0 3 2 477264
>> Server Load Balancing Statistics#
49
9. Global Server Load Balancing
Web Servers
Distribute load across mirrored sites or reverse caching sites
Reverse Cache
• 3-in-1 - 스위칭, 지역적/전역적 로드 발란싱을 동시 지원
• 간편한 구성
- 스위치와 DNS의 설정으로만 구현 가능
- Router의 설정 변경, 네트워크 구성 변경이 불 필요
• 추가적 지연시간이 없다. - DNS 요청 시점에서 결정됨. - 모든 스위치에서 동적으로 싸이트의 상태와 성능을 체크. - 각 싸이트에서 즉각적인 핸드 오프 결정 가능
• 싸이트에 관계없이 응답시간에 대한 균등함을 보장
- 싸이트의 성능에 따라 로드의 분산이 이루어 짐. - 최적의 싸이트가 우선권을 갖게 되며, 이 또한 변동이 가능함.
50
Internet
10. Router Load Balancing
• 복잡한 설정이 없이 라우터로의 로드 발란싱이 가능
- 4개의 Default 게이트웨이 지원
스위치가 모든 게이트웨이를 정기적으로 점검
활성화 되어 있는 라우터로 트래픽을 분산
- 모든 유저의 게이트 웨이를 스위치로 설정
게이트웨이 관리의 용이함
• 장 점
- 라우팅 관리를 단순화 할 수 있다.
- 가용성 증대
- 외부로 나가는 라우팅 성능의 증대
51
WCR(Web Cache Redirection) 1. Cache의 유형 - 59 p - 2. 알테온 솔루션의 특징 - 61 p - 3. 실제 설정 방법 및 절차 - 62 p - 3-1. 사전 구성 - 62 p - 3-2. 리얼 서버 설정 - 62 p - 3-3. 리얼 서버 그룹 설정 - 63 p - 3-4. 필터 설정 - 64 p - 3-4-1. 리다이렉션 필터 3-4-2. 바이패스 필터 3-4-3. 필터 적용
4. Hash 정책 - 67 p - 5. 필터의 순서 - 67 p -
52
Origin Servers
Internet
Access
Reverse Proxy Cache
Proxy Cache
1. Cache의 유형
- Proxies 웹 브라우저에서 설정
- Reverse Proxies 실제 원 서버 앞 단에 캐시가 설치
웹 브라우저에서 설정이 불 필요
웹 가속 기능으로 사용
- Transparent proxies 웹 브라우저에서 설정이 불 필요
Cache가 데이터 경로에 위치하고, 라우터에서
정책적 라우팅을 이용 트래픽을 Cache로 전달
Cache가 SPOF(single point of failure)가
될 수 있음
@ Caching 인프라의 요구 사항
- Cache의 확장성 용이 - 가용성 보장
- 웹 브라우저 설정을 최소화 - 최대의 성능 보장
53
WCR 이란!• WCR이란 과거의 일반적인 Cache 솔루션과는 다른 개념으로 일
반 사용자들은 Cache의 존재여부에 대하여 설정을 할 필요가 없어 지고, 또한 사용자들이 Cache의 존재 유무를 인식함이 없이 Cache를 사용하게 할 수 있다.
• 과거의 Cache 서버는 사용자가 브라우저 상에서 Cache를 설정하는 방식이나, Cache를 게이트웨이 역할을 하게 하는 방식을 많이 사용하였는데, 이러한 방식과 달리 WCR은 외부로 나가는 네트웤 선상에 존재하여 특정 트래픽(HTTP)인 경우 자동적으로 Cache로 트래픽을 전달하여 주는 Transparency Cache솔루션이다.
54
2. 알테온 솔루션의 특징
가. Transparent Cache 기능
- HTTP 요청에 대해서만 중간에서 가로채
지정된 Cache 로 돌려준다. 나. Cache 로드 밸런싱 지원
다. 패킷 의 목적지 MAC을 Cache의 MAC 주소로 대치 한다. 라. Non-http 트래픽은 바이패스 한다. 마. 어플리케이션 리다이렉션의 한 종류
@ 어플리케이션 리다이렉션
- 어플리케이션 리다이렉션은 클라이언트들의
특정 서비스에 대하여 지정 된 서버군으로
트래픽을 전달하는 기능을 말한다. (SLB + Filter)
Host BYahoo.com
Host A
HTT
PTo
A
HTT
PTo
B
HTT
P To
B
Transparent cache farm
Non
-H
TTP
Internet
55
3. 실제 설정 방법 및 절차 3-1 Cache를 Transparent 모드로 설정하고 알테온 스
위치와 연결한다. 3-2 Cache를 리얼 서버로 설정한다. - 명령어 : /cfg/slb/re 1 [Real server 1 Menu] rip - Set IP addr of real server name - Set server name weight - Set server weight maxcon - Set maximum number of connections tmout - Set minutes inactive connection remains open backup - Set backup real server inter - Set interval between health checks retry - Set number of failed attempts to declare server DOWN restr - Set number of successful attempts to declare server UP addlb - Add URL path for URL load balance remlb - Remove URL path for URL load balance remote - Enable/disable remote site operation proxy - Enable/disable client proxy operation submac - Enable/disable source MAC address substitution nocook - Enable/disable no available URL cookie operation exclude - Enable/disable exclusionary string matching ena - Enable real server : 리얼 서버를 활성화 한다. dis - Disable real server del - Delete real server cur - Display current real server configuration >> Real server 1 # rip 192.2.10.1/enable
Host BYahoo.co
mHost A
HTT
P To
A
HTT
PTo
B
HTT
P To
B
Transparent cache farm
Non
-H
TTP
Internet
10.1
10.2
56
• WCR에서는 앞의 VSLB(Virtual Server Load
Balancing)과 달리 포트에 server/client설정을 하지
안는다.
3-3 리얼서버를 리얼서버그룹으로 묶는다.
- 명령어 : /cfg/slb/gr 1
- 그룹설정 시 로드 밸런싱 정책은 Hash로 해 주어
야 Cache의 히트율이 높아진다.
[Real server group 1 Menu] metric - Set metric used to select next server in group content - Set health check content health - Set health check type : backup - Set backup real server or group name - Set real server group name realthr - Set real server failure threshold add - Add real server rem - Remove real server del - Delete real server group cur - Display current group configuration
>> Real server group 1# add 1/add 2>> Real server group 1# health http>> Real server group 1# metric
hash
Host BYahoo.co
mHost A
HTT
P To
A
HTT
PTo
B
HTT
P To
B
Transparent cache farm
Non
-H
TTP
Internet
10.1
10.2
57
3-4 필터를 적용한다.
3-4-1. 명령어 : /cfg/slb/fil 100(필터번호) (redirection)
>> Layer 4# fil 100 [Filter 100 Menu] adv - Filter Advanced Menu smac - Set source MAC address dmac - Set destination MAC address sip - Set source IP address smask - Set source IP mask dip - Set destination IP address dmask - Set destination IP mask proto - Set IP protocol sport - Set source TCP/UDP port or range dport - Set destination TCP/UDP port or range action - Set action group - Set real server group for redirection rport - Set real server port for redirection nat - Set which addresses are network address translated invert - Enable/disable filter inversion ena - Enable filter dis - Disable filter del - Delete filter cur - Display current filter configuration
>> Filter 100 # dport http/pro tcp/rport 80>> Filter 100 # action redir>> Filter 100 # group 1
Host BYahoo.co
mHost A
HTT
P To
A
HTT
PTo
B
HTT
PTo
B
Transparent cache farm
Non
-H
TTP
Internet
10.1
10.2
58
3-4-2. 필터 적용(Non-Http트래픽에 대한 허용 처리) - 필터 번호 224로 정의한다.>> Filter 224 # enable - 224번 필터에는 아무런 설정 사항이 없이 필터만 활성
화 하여 준다.
3-4-3. 필터를 클라이언트 트래픽이 들어오는 포트에 추가
[SLB port 9 Menu] client - Enable/disable client processing server - Enable/disable server processing hotstan - Enable/disable hot-standby processing intersw - Enable/disable inter-switch processing proxy - Enable/disable use of PIP for ingress traffic pip - Set Proxy IP address for port filt - Enable/disable filtering : 필터를 활성화하기 위한 메뉴 add - Add filter to port : 필터를 추가하기 위한 메뉴 rem - Remove filter from port cur - Display current port configuration>> SLB port 9# add 100/add 224<필터 번호>>> SLB port 9# filt en >> SLB port 9# apply/save
Host BYahoo.co
mHost A
HTT
PTo
A
HTT
PTo
B
HTT
PTo
B
Transparent cache
farm
Non
-H
TTP
Internet
10.1
10.2
9번 포트
59
@ Filter 의 조건식과 적용 가능 처리 옵션 사항
Frame Ingress
Frame /Session Inspection Engine
•Source MAC
•Destination MAC
•IP Source Addr /Range
•IP Dest Addr / Range
•Protocol Type
•TCP/UDP Source Port
•TCP/UDP Dest Port
•Non-IP packets filtering
•IP options
•Type of Service (TOS)
•ICMP message types
•Echo, Echo reply, Source quench, Redirect)
•TCP flags
•Syn, Ack, Rst, Fin, Psh, Urg
Allow/Frame Forward
Drop
Redirect to Server GroupAction
NAT(Destination or
Source IP Address)
60
4. Hash 정책 - Hash 알고리즘은 사용되는 로드밸런싱 또는 어플리케이션 리다이렉션의 타입
에 따라 다른 변수를 가지게 된다. - VSLB(Virtual Server Load Balancing)의 경우, Hash 알고리즘은 패킷의 SIP 만을 변수로 사용하게 된다. 동일한 유저로부터의 요청은 항상 동일한 서버로 전달 된다. - HTTP나 Ftp의 App 리다이렉션의 경우는 오직 패킷의 DIP(Destination IP)만 이 변수로 작용하게 된다. 유저로부터의 요청에 대하여 히트율을 높이기 위하여 사용 됨
- 그 외 종류의 경우는 SIP와 DIP가 모두 변수로 사용 된다.
5. 필터의 순서 - 필터는 필터의 번호대로 적용이 되어 진다. (1번 224번 순) - 예외적 룰이나 바이 패스 룰을 먼저 적용한다. - 필터의 히트율이 높은 것을 우선 순위로 한다. - 디폴트 필터는 마지막(224번)에 놓는다
61
@ Content-Based SLB/WCR
• Contents 기반의 SLB와 WCR은 로드발란싱을 하는데 있어 서비스 포트 이외에 패킷의 데이터를 검사하여 설정 된 조건과 부합 된 트래픽은 특정 서버로 스위칭을 하는 기능을 말한다.
• 통칭 말하는 것이 이에 해당한다.
L5/6/7 스위칭이라
62
Contents 기반의 지능형 Load Balancing
• URL sub-string match:» 서버를 특정 Contents 타입으로만 최적화 할 수 있다.» Contents의 분리로 리플리케이션을 최소화 할 수 있고, Contents의 관리가 용
이
» 어떤 길이의 URL도 파싱 가능; 설정 가능한 128개의 패턴을 검사 가능
“images”“.gif”“.jpg”
RIP_1
RIP_2
“.cgi”“.bin”“.exe”
RIP_3
RIP_4
HTTP 1.1 request
GET /www.foo.com/images/abc.gif» RIP_1로 전달
GET /www.foo.com/images/abc.gif
GET/www.foo.com/event/reg.bin
GET /www.foo.com/event/reg.bin» URL을 검사 후 RIP_3 선택» RIP_1와의 연결을 해제» RIP_3와 연결» …
63
Contents 기반의 지능형 Cache Redirection
Excite.comYahoo.com
Yahoo.jp.coExcite.hk.cofoo.com
RIP_2
RIP_3
RIP_4
호스트헤더가 ”hk”, “jp”,인 경우는 바이 패스 …
호스트헤더가 ”hk”, “jp”,인 경우는 바이 패스 …
GET /…/Host=www.excite.hk.co
GET /…/Host=www.yahoo.jp.co
GET www.yahoo.com/myahoo.exe
GET www.excite.com/map
www.yahoo.com/weather
www.yahoo.com/mapwww.abc.com/mapping-tools
www.alteon.com/companywww.ibm.com/companywww.ge.com/companywww.gap.com/company
넌 케셔블 데이터도 바이패스 “.exe”, …넌 케셔블 데이터도 바이패스 “.exe”, …
Spread big sites over multiple caches:
아래와 같은 경우는 Redir:“/weather” :RIP_1, RIP_2“/map” :RIP_2“/company” :RIP_3
아래와 같은 경우는 Redir:“/weather” :RIP_1, RIP_2“/map” :RIP_2“/company” :RIP_3
GET www.yahoo.com/weather
URL헤싱에 의한 로드 발란싱
URL헤싱에 의한 로드 발란싱
GET www.Yahoo.com/weather
www.excite.com/map
www.excite.com/weatherwww.lycos.com/weather
RIP_1
64
FWLB(Firewall Load Balancing) 1. FWLB의 장점 - 72 p - 2. FWLB의 개념 - 73 p - 3. 설정 사항 전 네트웤 구성 - 74 p - 4. 설정 절차 - 75 p - 4-1. 스위치의 인터페이스 설정 - 75 p - 4-2. VLAN 설정 - 76 p - 4-3. 리얼 서버 설정 - 77 p - 4-4. 리얼 서버 그룹 설정 - 78 p - 4-5. IP 포워딩 설정 - 78 p - 4-6. 정적 라우팅 설정 - 79 p - 4-7. 필터 설정(1),(2) - 80 p - 4-8. 필터 적용 - 82 p - 5. 리던던시를 이용한 구성 예 - 83 p -
65
• 성능 향상- 256개의 FWLB를 지원- Redundant firewalls can actively bear load
•가용성- F/W 이 있는 경로에 대한 헬스 체크.- Active-Active redundant switch 지원.
•투명함- F/W 에 별도의 소프트웨어가 불 필요.
•플랫폼에 독립적- NT, Solaris, UNIX 또는 firewall 장비
- Routing 또는 transparent firewalls, NAT firewalls
•집적화 된 기능- F/W,Web 서버 로드 발란싱 기능을 동시에 구현 가능
- 스위치에서 패킷 필터링을 사용하여 F/W의 부하를 경감.
1. Firewall Load Balancing의 장점
Firewall Farm
Internet
Secured Web Farm
66
2. FWLB의 개념• FWLB는 화이어 월 서버의 로드 밸런싱이 아니라 두개의 경로에 대한 로드 밸런싱으로 화이
어월이 그 두개의 경로 위에 올라가 있는 구성이다.• 웹 스위치는 모든 IP트래픽을 정의된 인터페이스 그룹으로 리다이렉션한다.
– 인터페이스 그룹(리얼 서버 그룹)은 반대편 스위치의 인터페이스 IP로 구성 되어 진다.– MAC주소 교체 방식을 사용(Routing)– 스위치는 설정 된 정적 라우팅을 사용하여 강제로 트래픽을 동일한 경로로 보낸다.
• Hash 정책을 사용하며, 이 정책은 흐름의 상태를 유지하기 위하여 SIP와 DIP를 변수로
사용한다.• Dirty-Side와 Clean-Side사이의 전체 구간에 대한 Health Check를 위하여 화이어월을 게
이트웨이로 사용한다.(정적 라우팅 설정 시 사용)
InternetI/F A1
I/F A2
I/F B1
I/F B2
FW1
FW2
Redir any (src, dest) to I/F group on opposing switch (B1, B2)Static routes I/F B1 ----> FW1 I/F B2 ----> FW2
Redir any (src, dest) to I/F group on opposing switch (A1, A2)Static routes: I/F A1 ----> FW1 I/F A2 ----> FW2
Secured
67
3. 설정 사항 전 네트웤 구성
- 우선 적으로 화이어 월 로드 밸런싱 시에
좌측과 같이 네트웤이 6개가 필요하게 된다. (4개의 네트웤으로도 구성이 가능하나 일반 적으
로 6개의 네트웤을 사용하게 된다.)
- 화이어 월을 기준으로 상하로 다른 네트웤을
우로 다른 네트웤을 구성한다.
- 또한 외부 라우터 단과 내부 백본 단의 각 네트웤
이 하나씩 필요하게 된다.
- 그러므로 상/하의 알테온 스위치가 3개의 네트웤
을 가지게 된다. 그리고 프레임의 불필요한 플러딩을 방지 하기
위해 각 인터페이스마다 다른 VLAN설정을 한다.
Net #2
192.168.11.0
Net #4
192.168.13.0
IF #3 : 192.168.11.254
IF #3 : 192.168.13.254
IF #1 : 210.116.39.127/25
Firewall Farm
보안이 된 Network
Internet
Net #1
192.168.10.0
Net #3
192.168.12.0
IF #2 : 192.168.10.254
IF #2 : 192.168.12.254
IF #1 : 210.116.39.254/25
Net #5
210.116.39.0/25
Net #6
210.116.39.128/25
68
4. 설정 절차 4-1 스위치의 인터페이스 설정
명령어 : /cfg/ip/if 1(인터페이스 번호)
[IP Interface 1 Menu](상단 스위치 예) addr - Set IP address mask - Set subnet mask broad - Set broadcast address vlan - Set VLAN number ena - Enable IP interface dis - Disable IP interface del - Delete IP interface cur - Display current interface configuration>> IP Interface 1#add 210.116.39.126/ena>> IP Interface 1#mask 255.255.255.128>> IP Interface 1#broad 210.116.39.127>> IP Interface 1# vlan 1
- 위와 같은 방법으로 IF #2와 #3을 설정하고 각 각 Vlan 2/3번으로 지정한다.
- 그리고 하단의 스위치도 동일한 방식으로 설정한다.
Firewall Farm
보안이 된 Network
Internet
Net #1
192.168.10.0
Net #2
192.168.11.0
Net #3
192.168.12.0
Net #4
192.168.13.0
IF #2 : 192.168.10.254
IF #3 : 192.168.11.254
IF #2 : 192.168.12.254
IF #3 : 192.168.13.254
IF #1 : 210.116.39.126/25
IF #1 : 210.116.39.254/25
Net #5
210.116.39.0/25
Net #6
210.116.39.129/25
69
4-2 각 VLAN에 사용 될 물리적 포트 할당 - 명령어 : /cfg/vlan 2
[VLAN 2 Menu] name - Assign VLAN name jumbo - Enable/disable Jumbo Frame support del - Delete VLAN ena - Enable VLAN dis - Disable VLAN add - Add port to VLAN rem - Remove port from VLAN def - Define VLAN as list of ports cur - Display current VLANs
>> VLAN 2# add 1/add 2 - 각 VLAN에 사용 될 포트를 할당한다. - VLAN 3번에 대하여도 3번과 4번 포트를 할당한다. - 기본적으로 모든 포트는 VLAN1번에 할당이 되어
있으므로 VLAN 1번에 대한 설정은 하지 않아도 된다. - 하단의 스위치도 동일한 방식으로 처리한다. - 보통 포트 불량을 대비하여 여분의 포트를 하나 더 추
가 한다.
Firewall Farm
보안이 된 Network
Internet
Net #1
VLAN #2
Net #2
VLAN #3
Net #3
VLAN #2
Net #4
VLAN #3
IF #2 : 192.168.10.254 IF #3 : 192.168.11.254
IF #2 : 192.168.12.254 IF #3 : 192.168.13.254
IF #1 : 210.116.39.126/25
IF #1 : 210.116.39.254/25
Net #5
VLAN #1
Net #6
VLAN #1
70
4-3 로드 발란싱을 위한 리얼 서버 설정
- 반대편 스위치의 인터페이스(화이어 월과 연결 된)를 리얼 서버로 한다. - 리얼 서버 설정 시 리얼 서버의 순서를 동일하게 하여
야 한다. 상단 스위치 하단 스위치
리얼서버 #1 : 192.168.12.254 리얼서버 #1 : 192.168.10.254 리얼서버 #2 : 192.168.13.254 리얼서버 #2 : 192.168.11.254 - 명령어 : /cfg/slb/re 1(리얼서버의 번호)
[Real server 1 Menu] rip - Set IP addr of real server name weight - Set server weight … …
exclude - Enable/disable exclusionary string matching ena - Enable real server : 리얼 서버를 활성화 한다. dis - Disable real server del - Delete real server cur - Display current real server configuration
>> Real server 1 # rip 192.168.12.254/enable
- 리얼서버 2에 대하여도 설정을 하여 준다. - 하단의 스위치도 동일하게 설정을 한다.
Firewall Farm
보안이 된 Network
Internet
Net #1
192.168.10.0
Net #2
192.168.11.0
Net #3
192.168.12.0
Net #4
192.168.13.0
IF #2 : 192.168.10.254
IF #3 : 192.168.11.254
IF #2 : 192.168.12.254
IF #3 : 192.168.13.254
IF #1 : 210.116.39.126/25
IF #1 : 210.116.39.254/25
Net #5
210.116.39.0/25
Net #6
210.116.39.129/25
71
4-4 리얼서버의 그룹 설정 - 명령어 : /cfg/slb/gr 1[Real server group 1 Menu] metric - Set metric used to select next server in
group content - Set health check content health - Set health check type : backup - Set backup real server or group name - Set real server group name realthr - Set real server failure threshold add - Add real server rem - Remove real server del - Delete real server group cur - Display current group configuration>> Real server group 1# add 1/add 2>> Real server group 1# health icmp>> Real server group 1# metric hash
4-5 스위치 내에서 라우팅을 위한 IP Forwarding 설정 - 명령어 : /cfg/ip/frwd[IP Forwarding Menu] local - Local network definition for route caching
menu dirbr - Enable/disable forwarding directed broadcasts on - Globally turn IP Forwarding ON off - Globally turn IP Forwarding OFF cur - Display current IP Forwarding configuration
>> IP Forwarding# on
Firewall Farm
보안이 된 Network
Internet
Net #1
192.168.10.0
Net #2
192.168.11.0
Net #3
192.168.12.0
Net #4
192.168.13.0
IF #1 : 210.116.39.126/25
Net #5
210.116.39.0/25
Net #6
210.116.39.129/25
IF #1 : 210.116.39.254/25
IF #3 : 192.168.13.254
IF #2 : 192.168.12.254
IF #3 : 192.168.11.254
IF #2 : 192.168.10.254
72
4-6 리얼 서버의 Health Check를 위한 라우팅 설정
- 반대편 알테온 스위치의 인터페이스를 체크하기 위하
여 해당 네트웤과 연결 된 화이어 월의 인터페이스를
설정한다. 예) 192.168.12.0 Net에 대한 게이트웨이를 192.168 .10.1을 설정 한다. - 명령어 : /cfg/ip/route
[IP Static Route Menu] add - Add static route rem - Remove static route cur - Display current static route configuration
>> IP Static Route#add 192.168.12.0 Enter destination subnet mask: 255.255.255.0Enter gateway IP address: 192.168.10.1Enter interface number: (1-256) 2
- 위와 같은 방식으로 다른 리얼 서버에 대하여도 설정- 하단의 스위치도 동일한 방식으로 설정한다.
Firewall Farm
보안이 된 Network
Internet
Net #1
192.168.10.0
Net #2
192.168.11.0
Net #3
192.168.12.0
Net #4
192.168.13.0
IF #3 : 192.168.11.254
IF #3 : 192.168.13.254
IF #1 : 210.116.39.126/25
Net #5
210.116.39.0/25
Net #6
210.116.39.129/25
IF #2 : 192.168.12.254
IF #1 : 210.116.39.254/25
IF #2 : 192.168.10.254
IF : 10.1
IF : 12.1
IF : 11.1
IF : 13.1
73
4-7. 트래픽 리다이렉션 설정 (1) - 경로에 대한 로드 밸런싱은 필터를 이용하여 설정 된다. - 외부에서 내부로 들어가는 모든 트래픽은 리다이렉션
필터를 통하여 반대편의 스위치로 라우팅되며 그 과정
에서 로드 밸런싱이 이루어 진다. - 명령어 : /cfg/slb/fil 224(필터 번호)
[Filter 224 Menu] adv - Filter Advanced Menu … … action - Set action group - Set real server group for redirection rport - Set real server port for redirection nat - Set which addresses are network address
translated invert - Enable/disable filter inversion ena - Enable filter dis - Disable filter del - Delete filter cur - Display current filter configuration
>> Filter 224 # action redir/ena
- 위의 필터만으로 화이어월 로드 밸런싱이 가능하지만 일반적으로 스위치가 가지고 있는 네트웤에 대하여는 Allow하는 필터를 넣어 준다
Firewall Farm
보안이 된 Network
Internet
Net #1
192.168.10.0
Net #2
192.168.11.0
Net #3
192.168.12.0
Net #4
192.168.13.0
IF #3 : 192.168.11.254
IF #3 : 192.168.13.254
IF #1 : 210.116.39.126/25
Net #5
210.116.39.0/25
Net #6
210.116.39.129/25
IF #2 : 192.168.12.254
IF #1 : 210.116.39.254/25
IF #2 : 192.168.10.254
IF : 10.1
IF : 12.1
IF : 11.1
IF : 13.1
74
4-7. 트래픽 리다이렉션 설정 (2) - 이 경우는 전번의 방식과 달리 내부에 있는 네트웤을
필터에 지정하여 리다이렉션하는 방식이다. - 이 경우 내부에 네트웤이 여러개인 경우 필터가 여러
개 들어가게 된다. - 명령어 : /cfg/slb/fil 100(필터 번호)
[Filter 100 Menu] adv - Filter Advanced Menu … … dip - Set destination IP address dmask - Set destination IP mask action - Set action group - Set real server group for redirection rport - Set real server port for redirection nat - Set which addresses are network address
translated invert - Enable/disable filter inversion ena - Enable filter dis - Disable filter del - Delete filter cur - Display current filter configuration
>> Filter 100 # dip 210.116.39.128/dmask 255.255.255.128>> Filter 100 # action redir/ena
Firewall Farm
보안이 된 Network
Internet
Net #1
192.168.10.0
Net #2
192.168.11.0
Net #3
192.168.12.0
Net #4
192.168.13.0
IF #3 : 192.168.11.254
IF #3 : 192.168.13.254
IF #1 : 210.116.39.126/25
Net #5
210.116.39.0/25
Net #6
210.116.39.129/25
IF #2 : 192.168.12.254
IF #1 : 210.116.39.254/25
IF #2 : 192.168.10.254
IF : 10.1
IF : 12.1
IF : 11.1
IF : 13.1
75
4-7 포트에 필터 추가
- 리다이렉션 필터는 외부와 내부에서 트래픽이 들
오는 포트에 추가한다. - 명령어 : /cfg/slb/po 8[SLB port 8 Menu] client - Enable/disable client processing server - Enable/disable server processing hotstan - Enable/disable hot-standby processing intersw - Enable/disable inter-switch processing proxy - Enable/disable use of PIP for ingress traffic pip - Set Proxy IP address for port filt - Enable/disable filtering add - Add filter to port rem - Remove filter from port cur - Display current port configuration
>> SLB port 8# add 224/fil en - 설정 된 리다이렉션 필터와 허용필터를 모두 걸어 준다.>> SLB port 8# /ma/slb/on>> Main# apply/save
Firewall Farm
보안이 된 Network
Internet
Net #1
192.168.10.0
Net #2
192.168.11.0
Net #3
192.168.12.0
Net #4
192.168.13.0
IF #3 : 192.168.11.254
IF #3 : 192.168.13.254
Port #8Net #5
210.116.39.0/25
Net #6
210.116.39.129/25
IF #2 : 192.168.12.254
Port #8
IF #2 : 192.168.10.254
IF : 10.1
IF : 12.1
IF : 11.1
IF : 13.1
76
5. 리던던시를 사용한 구성 예
• FWLB 시 주의 사항
- 알테온 스위치 자신에게로 오는 트래픽은 리다이렉션 시키지 말아야 한다.
알테온 스위치에 설정 된 네트웤에 대한 트래픽은 허용처리한다.
- 리던던시 사용에 의한 구성에서 Vrrp에 사용 되는 멀티케스트 트래픽은
허용하여 주어야 한다.(224.0.0.0에 대한 허용 필터를 정의 한다.)
I/F A11
I/F A21
I/F A12
I/F A22
A1
A2 B2
FW1
FW2
B1I/F B11
I/F B21
I/F B12
I/F B22
Primary Primary
Secondary Secondary
Real servers = A11, A21, A12, A22Static routes: I/F A11 ----> FW1
I/F A21 ----> FW1 I/F A12 ----> FW2 I/F A22 ----> FW2
Real servers = B11, B21, B12, B22Static routes: I/F B11 ----> FW1
I/F B21 ----> FW1 I/F B12 ----> FW2 I/F B22 ----> FW2
77
VRRP(Virtual Router Redundancy Protocol) 1. 기능
2. 개념 3. 구성가능 형태 4. VRRP 구성 예 - Hot-Standby - Active-Standby - Active-Active
78
1. 기능 - 스위치에 대한 리던던시(Redundancy)를 제공한다. - Cisco의 HSRP와 유사한 개념 - 기존의 RFC 2338에 기반하여 알테온사가 그 기능을 확장하여 VIP(SLB에서 사용되는)에 대한 VSR(Virtual Server Routing)기능을 제공한다. - 엑티브-엑티브 설정을 위하여 인터페이스에 대한 공유기능을 지원한다. - 스위치의 동적인 상태 변화에 따라 VRRP 라우터의 우선 순위를 변화시키는 트래킹(Tracking) 기능이 제공된다. 2. 개념 - VRRP Router : VRRP 를 구동 중인 라우터/스위치 - VIR (Virtual Interface Router-Alteon에서 개선한 기능) - VSR (Virtual Server Router-Alteon에서 개선한 기능) - Virtual ID(VRID) LAN 상에서 유일, Virtual Router MAC 주소를 설정하는데 사용된다. VRID가 1인 경우 MAC은 00-00-5E-00-01-01 - IP Address Owner : VRRP의 IP와 같은 IP를 가지고 있는 스위치를 말한다. - Renter : Owner가 아닌 VRRP 라우터를 말한다. - Virtual Router Master : 실제 패킷을 전달하는 스위치, ARP요청에 응답을 한다. - Virtual Router Backup : 마스터 라우터가 작동 불가인 경우에 구동 되기 위해 준비된 스위치
3. 구성 가능 형태 - Hot-Standby - Active-Standby - Active-Active
79
Hot-Standby
Internet
…….
Active VIP #1VIP = 205.178.13.226
Active VIP #2VIP = 205.178.13.227
Active VIP #3VIP = 205.178.13.228
ActiveHot
Standby
VIP #1 VIP #2 VIP #3
Standby VIP #1VIP = 205.178.13.226
Standby VIP #2VIP = 205.178.13.227
Standby VIP #3VIP = 205.178.13.228
Link with traffic
Link without traffic
80
Active-Standby
Internet
…….
Active VIP #1VIP = 205.178.13.226
Standby VIP #2VIP = 205.178.13.227
Active VIP #3VIP = 205.178.13.228
Active Active
VIP #1 VIP #2 VIP #3
Standby VIP #1VIP = 205.178.13.226
Active VIP #2VIP = 205.178.13.227
Standby VIP #3VIP = 205.178.13.228
Link with traffic
Link without traffic
81
Active-Active
Internet
…….
Active VIP #1VIP = 205.178.13.226
Active VIP #2VIP = 205.178.13.227
Active VIP #3VIP = 205.178.13.228
Active Active
VIP #1 VIP #2 VIP #3
Active VIP #1VIP = 205.178.13.226
Active VIP #2VIP = 205.178.13.227
Active VIP #3VIP = 205.178.13.228
Link with traffic
Link without traffic
