1

Alteon Web Switch Administration Guide

2

목 차

• 웹 스위치 주요 기능 -12 p - • 스위치 기본 설정 -18 p -

• SLB(Server Load Balancing) - 28 p -

• WCR(Web Cache Redirection) - 58 p -

• FWLB(FireWall Load Balancing) - 71 p -

• VRRP(Virtual Routing Redundancy Protocol) – 84 p -

• 별 첨 - 89 p -

3

알테온 웹 스위치 주요 기능

1. 스위치 관리 기능 -13 p- 2. Layer 2 -14 p- 3. Layer 4 -15 p- 4. Layer 5~7 -15 p-

4

1. 스위치 관리 기능

• CLI(command line interface) 기능

- 최초 셋업 시 사용

- 콘솔 , 텔넷 접속• Web UI 기능

- 웹브라우저 상에 URL 에 http:// 알테온의 IP 주소

( 예 , http://176.12.1.1)

- CLI 에서 사용 가능한 기능을 모두 지원 .

- 관리 포트 수정 기능 ( 예 : 80 8080)

• SNMP 지원

- 알테온 Private MIB 제공

• RMON 지원

5

2. Layer 2 • 포트 Trunking

- 지원 가능 트렁크 그룹 수 : 4 개

- 각 그룹 당 트렁크 지원 가능 포트 수

1) 10/100 Fast Ethernet : 6 개

2) Giga Ethernet : 4 개

- Ether Channel 이 지원되는 스위치 장비와 호환가능

- hasing 기법이 사용됨

• VLANs 지원

- 지원 가능 VLAN 수 : 256

- IEEE 802.1Q 지원

• Spanning Tree 지원

• 포트 미러링

- 현재 AD4 와 184 모델만 지원 가능

- V 6.0.61 이하는 전 모델 지원

6

3. Layer 4

• 서버 로드 밸런싱 (Server Load Balancing)

• 필터링 (Filtering)

• 어플리케이션 리다이렉션 (Application Redirection)

• 글로벌 서버 로드 밸런싱 (Global Server Load Balancing)

• 대역폭 관리 (Bandwidth Management)

4. Layer 5~7

• Contents 기반의 지능형 서버 로드 밸런싱

(Content-Intelligent Load Balancing)

• Contents 기반의 지능형 웹 Cache 리다이렉션

(Content-Intelligent Web Cache Redirection)

7

Layer 4 스위칭이란 ?!

• Layer 2 스위칭 - 스위칭의 결정 요소가 Mac 주소가 된다 . ( 스위치의 FDB 테이블

참조 )

2.3 2.52.4

D-mac

S-mac

D-ip

S-ip

B620

D-Port

C-Port

B620

Layer 2

Layer 3

Layer 4

Ping 10.10.2.3

10.10.2.3 의 Mac 주소는

어느 포트에 ?

8

Layer 4 스위칭이란 ?!

• Layer 4 스위칭 - 스위칭의 결정 요소가 서비스 타입 (Port) 이 된다 .

2.3 2.52.4

D-mac

S-mac

D-ip

S-ip

B620

D-Port

C-Port

B620

Layer 2

Layer 3

Layer 4

http://www.A.com

VIP 로 오는 http트래픽인 경우

리얼서버 3 개중 하나로 스위칭한다 .

A.com = 10.10.2.3 …

DNS

Vip 10.10..2.3

9

기본 설정 사항 1. 명령어 체계 - 19 p - 1-1. 글로벌 커멘드 - 19 p - 1-2. 로 컬 커멘드 - 20 p - 2. 시스템 기본설정 사항 I - 21 p - 3. 시스템 기본설정 사항 II - 22 p - 3-1 스위치 IP 설정 - 22 p - 3-2 스위치 게이트웨이 설정 - 23 p - 3-3 라우팅 테이블 설정 - 24 p - 3-4 링크 설정 - 25 p - 3-5 VLAN 설정 - 27 p – 3-6 CPU 사용량 보기 - 28 p -

10

1. 명령어 체계1-1 글로벌 커멘드

Global Commands: [ 모든 메뉴에서 사용가능 ]help up print pwdlines verbose exit quitdiff apply save revertping traceroute history pushdpopd

다음의 명령어로 메뉴간의 이동을 한다 : . 현재 메뉴 보기 .. 상위 메뉴로 이동 / 최상위 메뉴로 이동 , 또는 명령어 분리자로 이용 ! 히스토리를 이용한 명령어 선택

명령어에 대한 도움말은 ? <command> 형식으로 입력한다 .

11

1-2 로컬 커멘드[ 메인 메뉴 ] info - Information Menu stats - Statistics Menu cfg - Configuration Menu oper - Operations Command Menu boot - Boot Options Menu maint - Maintenance Menu diff - Show pending config changes [global command] apply - Apply pending config changes [global command] save - Save updated config to FLASH [global command] revert - Revert pending or applied changes [global command] exit - Exit [global command, always available] - 각 메뉴에서만 사용 가능한 명령어

12

2. 시스템 기본 설정 사항 I2-1 메뉴 : /cfg/sys• [System Menu]• radius - RADIUS Authentication Menu• ntp - NTP Server Menu• date - Set system date 일자 설정• time - Set system time 시간 설정• idle - Set timeout for idle CLI sessions CLI 모드 시간 설정 • snmp - Set SNMP access control• wport - Set Web server port number 웹 UI 사용 시 포트• bannr - Set login banner • mnet - Set management network• mmask - Set management netmask• smtp - Set SMTP host• tnet - Enable/disable Telnet access 텔넷 허용 옵션• bootp - Enable/disable use of BOOTP bootp 허용 옵션• http - Enable/disable HTTP (Web) access 웹 UI 허용 옵션• user - User Access Control Menu (passwords)• cur - Display current system-wide parameters 현재 설정 사항을 보여준다

• >> System#

13

3. 시스템 기본 설정 사항 II@ 메뉴 : /cfg/ip• [IP Menu]• if - Interface Menu 스위치 IP 설정 메뉴 , 254 개 까지 지원• gw - Default Gateway Menu 스위치의 게이트웨이 설정 , 4 개 까지 지원• route - Static Route Menu 정적 라우팅 설정 메뉴• frwd - Forwarding Menu VLAN 설정 시 IP 포워딩을 위한 메뉴• rip1 - Routing Information Protocol menu• bgp - Border Gateway Protocol menu• port - IP Port Menu• dns - Domain Name System Menu• log - Set IP address of syslog host• log2 - Set IP address of second syslog host• logfac - Set facility of syslog host• log2fac - Set facility of second syslog host• rearp - Set re-ARP period in minutes• metrc - Set default gateway metric : 게이트 웨이 로드 밸런싱 정책 설정• 1) strict : 1 번 게이트웨이를 기본적으로 사용하고 , 1 번이 불가한 경우 2 번 사용• 2) roundrobin : 설정 된 게이트 웨이를 순차적으로 사용• cur - Display current IP configuration>> IP#

14

• 3-1 스위치 IP 설정 • >> IP# if 1( 인터페이스 번호 ) • addr - Set IP address IP 설정 명령어• mask - Set subnet mask NetMask 설정 명령어• broad - Set broadcast address 브로드케스트 설정 명령어• vlan - Set VLAN number• ena - Enable IP interface 인터페이스 활성화 명령어• dis - Disable IP interface• del - Delete IP interface• cur - Display current interface configuration• >> IP Interface 1#addr 10.10.10.1/mask 255.255.255.0/br 10.10.10.255/ena

• 3-2 스위치 게이트 웨이 설정 • @ 게이트 웨이의 로드밸런싱 정책은 strict/roundrobin 정책이 있다 .• >> IP# gw 1( 게이트 웨이 번호 )• addr - Set IP address IP 설정 명령어• intr - Set interval between ping attempts• retry - Set number of failed attempts to declare gateway DOWN• arp - Enable/disable ARP only health checks• ena - Enable default gateway 인터페이스 활성화 명령어• dis - Disable default gateway• del - Delete default gateway• cur - Display current default gateway configuration• >> Default gateway 1#addr 10.10.10.254/ena

15

3-3 라우팅 테이블 추가 작업

- 메뉴 : /cfg/ip/route>> IP Static Route#

-----------------------------------------------------------[IP Static Route Menu] add - Add static route rem - Remove static route cur - Display current static route configuration >> IP Static Route# addEnter destination IP address: 192.168.100.0Enter destination subnet mask: 255.255.255.0Enter gateway IP address: 10.10.10.1Enter interface number: (1-256) 1>> IP Static Route#

- 또는 다음과 같이 연속된 명령어로 설정이 가능하다

>> IP Static Route#add 192.168.100.0 255.255.255.0 10.10.10.1 1

16

3-4 포트 링크 설정 메뉴 - 메뉴 : /cfg/po 1[ 포트 번호 ][Port 1 Menu] fast - Fast Phy Menu 10/100 설정 메뉴 gig - Gig Phy Menu Giga 설정 메뉴 pref - Set preferred phy back - Set backup phy pvid - Set default port VLAN id name - Set port name cont - Set default port BW Contract tag - Enable/disable VLAN tagging for port iponly - Enable/disable allowing only IP related frames ena - Enable port dis - Disable port cur - Display current port configuration>> Port 1# fast------------------------------------------------------------[Fast Link Menu] speed - Set link speed 스피드 설정 mode - Set full or half duplex mode 모드 설정 fctl - Set flow control auto - Set autonegotiation Auto nego 설정 cur - Display current fast link configuration>> Port 1#

17

3-4-1 100M full-duplex 설정 방법 [Fast Link Menu] speed - Set link speed 스피드 설정 mode - Set full or half duplex mode 모드 설정 fctl - Set flow control auto - Set autonegotiation Auto nego 설정 cur - Display current fast link configuration >> Port 1#speed 100 >> Port 1#mode full >> Port 1#auto off

3-4-2 Auto nego 설정 방법 [Fast Link Menu] speed - Set link speed mode - Set full or half duplex mode fctl - Set flow control auto - Set autonegotiation cur - Display current fast link configuration >> Port 1#speed any >> Port 1#mode any >> Port 1#auto on

18

3-5) VLAN 설정 3-5-1) Vlan 번호를 설정 한다 . - 메뉴 : /cfg/vlan n[vlan 번호 ] [VLAN 1 Menu] name - Set VLAN name cont - Set BW contract add - Add port to VLAN 현제 Vlan 에 포함되는 포트 설정 rem - Remove port from VLAN Vlan 에서 삭제 def - Define VLAN as list of ports 리스트 방식의 포트 설정 jumbo - Enable/disable Jumbo Frame support ena - Enable VLAN Vlan 활성화 dis - Disable VLAN del - Delete VLAN cur - Display current VLAN configuration

>> VLAN 1#add 1/add 2/en

3-5-2) 각 vlan 포함 될 포트를 설정한다 . >> VLAN 1#add 1/add 2/en

3-5-3) Vlan 사이에 라우팅이 필요한 경우 IP 포워딩을 하여준다 . 명령어 : /cfg/ip/fwrd on

19

3-6) CPU 사용량 보기 3-6-1) MP 의 CPU 사용량 보기 - 메뉴 : /st/mp >> Statistics# mp------------------------------------------------------------[MP-specific Statistics Menu] mem - Show STEM memory stats amem - Show All STEM memory blocks in use dma - Show DMA exception counts pkt - Show Packet stats tcb - Show All TCP control blocks in use ucb - Show All UDP control blocks in use uart - Show UART counters cpu - Show CPU utilization

>> MP-specific Statistics# cpu------------------------------------------------------------------CPU utilization:cpuAUtil1Second: 17% cpuBUtil1Second: 17%cpuAUtil4Seconds: 17% cpuBUtil4Seconds: 17%cpuAUtil64Seconds: 17% cpuBUtil64Seconds: 17%

# Alteon 스위치는 cpuA/B 두 개를 가지고 있기 때문에 2 개의 사용량을 보여 준다 .

20

3-6-2) 각 포트의 cpu 사용량 보기 - 메뉴 : /st/po 1 >> Statistics# po 1------------------------------------------------------------[Port Statistics Menu] brg - Show bridging ("dot1") stats ether - Show Ethernet ("dot3") stats if - Show interface ("if") stats ip - Show Internet Protocol ("IP") stats link - Show link stats cpu - Show CPU utilization maint - Show maintenance stats

>> Port Statistics# cpu------------------------------------------------------------------CPU utilization for port 1:cpuAUtil1Second: 2% cpuBUtil1Second: 1%cpuAUtil4Seconds: 2% cpuBUtil4Seconds: 1%cpuAUtil64Seconds: 2% cpuBUtil64Seconds: 1%

>> Port Statistics#

21

SLB(Server Load Balancing) 1. SLB 의 장점 - 30 p - 2. SLB 의 작동 원리 - 31 p - 3. 설정 사항 - 34 p - 3-1. 설정 시 요구되는 네트웤 구성 - 34 p - 3-2. 로드 발란싱 가용치 (ACEDriector,180 시리즈 기준 ) - 34 p - 3-3. 기본 구성 요소 - 35 p - 4. 실제 설정 방법 및 절차 - 36 p - 4-1. 리얼 서버 설정 - 37 p - 4-2. 리얼 서버 그룹 설정 - 38 p - 4-3. 가상 서버 설정 - 39 p - 4-3-1. 서비스 설정 4-4 클라이언트 / 서버 포트 지정 - 41 p - 4-5. SLB 기능 활성화 - 42 p - 5. SLB 옵션 사항 - 43 p - 5-1 헬스 체크 - 43 p - 5-2 로드 발란싱 정책 - 44 p - 5-2-1. Load-Based 정책 5-2-2. Persistence-Based 정책

22

5-3. 백업 서버 - 46 p - 5-4. Weight 값 - 46 p - 6. 서버로드 밸런싱의 발전적 개념 - 47 p - 6-1. 서버의 Binding 논리 (Delayed Binding) - 47 p - 6-1-1. Immediate Binding 6-1-2. Delayed Binding 6-1-3. Delayed Binding 의 장점 6-2. Direct Access 모드 - 50 p - 6-3. Proxy IP(PIP) - 51 p - 7. 설정 된 SLB 현재 정보 조회 - 52 p - 7-1. 세션 정보 보기 7-2. 전체 정보 보기 8. SLB 의 통계치 조회 - 54 p - 8-1. 세션 수치 조회 예 - 55 p - 8-1-1. 그룹에 대한 세션 수 보기 8-1-2. 가상 서버에 대한 세션 수 보기 9. GSLB(Global Server Load Balancing) - 56 p - 10. Router Load Balancing - 57 p -

23

1. SLB 의 장점• 성능 향상 - 서비스 응답시간의 감소 - 로드 분산에 의한 서버의 부하 경감

• 용이한 확장성 보장 - 독 립 형 : 독립 서버의 성능을 개선하기 위하여 서비스를 다운 시킨 후 서버의 사양을 업그레이드 함 - SLB 사용 시 : 서버 증설 시 기존의 서버의 서비스를 보장하며 확장이 가능

• 서버의 효율성 증가

• 서버의 보안성 향상

• 고 가용성 - 한 대의 서버가 서비스 불가 상태 이라도 서비스의 중단이 없다 .

A.com = 192.2.2.1 …

DNS

VIP 192.2.2.1RIP 2.2, 2.3VIP 192.2.2.2RIP 2.3, 2.4

A.com B.com B.com

2.2 2.42.3

A.com

To 192.2.2.1

To 2.2

24

2. SLB 의 작동 원리• SLB 의 핵심 개념 : Session ID

Mac Layer(L 2)

IP (Layer 3)

TCP(Layer 4)

V-mac

C-mac

V-ip

C-ip

B620

D-Port

C-Port

B620

Destnation Mac

Source Mac

Destnation IP

Source IP

Check Sum

Destnation Port

Source Port

Check Sum

Session ID 는 클라이언트의 IP 와 TCP 포트 번호의 조합을 말한다 . 서버로드 밸런싱의 핵심 기능은 이러한 sessionID 의 대치 기능이다 .( NAT 기능과 거의 유사 )

25

• Session ID 교체

- 클라이언트 에서 서버로 가는 패킷

V-mac

C-mac

V-ip

C-ip

B620

D-Port

C-Port

B620

V-mac

C-mac

V-ip

C-ip

B620

D-Port

C-Port

B620

R-mac

C-mac

R-ip

C-ip

B620

D-Port

C-Port

B620

R-mac

C-mac

R-ip

C-ip

B620

D-Port

C-Port

B620

Client 웹 스위치 Real 서버

Client Port에서

A.com = 192.2.2.1 …

DNS

VIP 192.2.2.1RIP 2.2, 2.3VIP 192.2.2.2RIP 2.3, 2.4

A.com B.com B.com

2.2 2.42.3

A.com

To 192.2.2.1

To 2.2

26

• Session ID 교체

- 서버에서 클라이언트로 가는 패킷

V-mac

C-mac

V-ip

C-ip

B620

D-Port

C-Port

B620

V-mac

C-mac

V-ip

C-ip

B620

D-Port

C-Port

B620

R-mac

C-mac

R-ip

C-ip

B620

D-Port

C-Port

B620

R-mac

C-mac

R-ip

C-ip

B620

D-Port

C-Port

B620

Client 웹 스위치 Real 서버

Server Port에서

A.com = 192.2.2.1 …

DNS

VIP 192.2.2.1RIP 2.2, 2.3VIP 192.2.2.2RIP 2.3, 2.4

A.com B.com B.com

2.2 2.42.3

A.com

To 192.2.2.1

To 2.2

27

3. 설정 사항3-1. 설정 시 요구되는 네트웤 구성

- SLB 의 기능은 알테온 스위치의 Session ID 대치의 방식으로 이루어 짐으로 서버와 클라이언트 트래픽은 반드시 알테온 스위치를 거처 나가야만 정상적인 기능이 수행된다 .

- 트래픽의 흐름도 1) 클라이언트에서 서버로의 트래픽은 알테온에 설정 된 VIP 를 통하여 이루어 진다 . 2) 서버에서 클라이언트로의 트래픽은 다음의 두 가지 방식으로 이루어 진다 . - 물리적으로 서버에서 클라이언트로 가는 트래픽의 경로가 알테온 스위치를 거처서만 가도록 구성 - 알테온의 클라이언트 포트에 PIP(Proxy IP) 를 설정 하여 강제적으로 VIP 를 향하여 들어 온 모든 트래픽을 알테온 스위치를 거처가도록 경로를 확보하는 방식

3-2. 로드 밸런싱 가용치 (ACEDriector,180 시리즈 기준 )

- 스위치 당 최대 VIP 수 : 256 - VIP 당 최대 가상 서비스 수 : 8 - 스위치 당 최대 가상 서비스 수 : 256 - 스위치 당 최대 리얼 서버의 수 : 256 - 스위치 당 최대 리얼 서비스 수 : 1024

28

3.3 기본 구성 요소

• 리얼 서버의 IP 주소 ( 두 개 이상 ) - 반드시 활성화 되어 있어야 한다 . • 리얼 서버 그룹 - 설정 된 리얼 서버를 추가 한다 . - 동일한 서비스를 하는 리얼서버들의 모임 - 동일한 VIP 에 속하게 되는 리얼서버들• 가상 IP 주소 - 실제 해당서비스에 대하여 외부의 클라이언트 가 보게 되는 IP 주소 (외부 사용자에 대한

서비 스 주소 ) - 반드시 활성화 되어 있어야 한다 .• 서비스하고자 하는 서비스타입을 지정한다 .• 클라이언트와 서버의 포트를 지정한다 . - 포트지정이 되어 있지 않은 경우 Session ID 대치 기능이 작동하지 않는다 .• SLB 를 활성화 한다 .

A.com = 192.2.2.1

DNS

A.com A.com A.com

2.3 2.52.4

To 2.3

VIP 192.2.2.1RIP 2.3, 2.4, 2.5

To 192.2.2.1

29

4. 실제 Config 방법 및 절차

@ SLB 설정 메뉴 - 명령어 : /cfg/slb

[Layer 4 Menu] real - Real Server Menu : 리얼서버를 등록하기 위한 메뉴 group - Real Server Group Menu : 그룹 설정을 위한 메뉴 virt - Virtual Server Menu : 가상 서버 설정 메뉴 filt - Filtering Menu port - Layer 4 Port Menu : 클라이언트와 서버 포트를 지정하기 위한 메뉴 gslb - Global SLB Menu url - URL Resource Definition Menu sync - Config Synch Menu adv - Layer 4 Advanced Menu on - Globally turn Layer 4 processing ON : SLB 기능을 활성화한다 off - Globally turn Layer 4 processing OFF cur - Display current Layer 4 configuration : 현재 설정 된 사항을 본다

>> Layer 4#

30

4-1 리얼 서버 설정 - 명령어 : /cfg/slb/real 1( 리얼서버의 번호 지정 )[Real server 1 Menu] rip - Set IP addr of real server : 리얼 서버의 IP 등록 명령어 name - Set server name weight - Set server weight maxcon - Set maximum number of connections tmout - Set minutes inactive connection remains open backup - Set backup real server inter - Set interval between health checks retry - Set number of failed attempts to declare server DOWN restr - Set number of successful attempts to declare server UP addlb - Add URL path for URL load balance remlb - Remove URL path for URL load balance remote - Enable/disable remote site operation proxy - Enable/disable client proxy operation submac - Enable/disable source MAC address substitution nocook - Enable/disable no available URL cookie operation exclude - Enable/disable exclusionary string matching ena - Enable real server : 리얼 서버를 활성화 한다 . dis - Disable real server del - Delete real server cur - Display current real server configuration

>> Real server 1 # rip 192.2.2.3>> Real server 1 # enable

- 2.4, 2.5 에 대해서도 리얼서버 2,3 번으로 등록한다 .

A.com = 192.2.2.1

DNS

A.com A.com A.com

2.3 2.52.4

VIP 192.2.2.1RIP 2.3, 2.4, 2.5

To 192.2.2.1/c/slb/real 202

ena

rip 211.40.221.202

Tmout 2

31

4-2 리얼 서버 그룹 설정 - 명령어 : /cfg/slb/gr 1

[Real server group 1 Menu] metric - Set metric used to select next server in group : 로드 발란싱 정책을 설정 content - Set health check content health - Set health check type : Health Check 타입을 설정 backup - Set backup real server or group name - Set real server group name realthr - Set real server failure threshold add - Add real server : 각 각의 리얼 서버를 추가 한다 . rem - Remove real server del - Delete real server group cur - Display current group configuration

>> Real server group 1# add 1/add 2/add 3 >> Real server group 1# health http>> Real server group 1# metric roundrobin

- 여기서의 서비스는 웹 서버라 가정하고 설정

A.com = 192.2.2.1

DNS

A.com A.com A.com

2.3 2.52.4

VIP 192.2.2.1RIP 2.3, 2.4, 2.5

To 192.2.2.1

/c/slb/gr 3

metric hash

health pop3

add 231

add 241

32

4-3 가상 서버 설정 - 명령어 : /cfg/slb/vi 1( 가상 서버 번호 )

[Virtual Server 1 Menu] service - Virtual Service Menu : 서비스 포트 지정 메뉴 vip - Set IP addr of virtual server : 가상 서버의 IP 지정 메뉴 dname - Set domain name of virtual server cont - Set BW Contract layr3 - Enable/disable layer 3 only balancing ftpp - Enable/disable FTP SLB parsing for virtual server ena - Enable virtual server : 활성화 메뉴 dis - Disable virtual server del - Delete virtual server cur - Display current virtual configuration

>> Virtual Server 1# vip 192.2.2.1>> Virtual Server 1# enable>> Virtual Server 1# service http < 서비스 포트 번호 , Well-Known 포트의 경우는 서비스 이름 >

- 위에서 서비스 타입을 지정하면 해당 서비스와 관련이 되는 메뉴가 다음과 같이 나타난다 .

A.com = 192.2.2.1

DNS

A.com A.com A.com

2.3 2.52.4

VIP 192.2.2.1RIP 2.3, 2.4, 2.5

To 192.2.2.1

/c/slb/virt 4

ena

Vip 211.40.221.206

---------------------------

/c/slb/virt 4/service http

group 10

/c/slb/virt 4/service pop3

group 11

/c/slb/virt 4/service imap

group 12

/c/slb/virt 4/service smtp

group 13

33

4-3-1 가상 서버의 서비스 설정

[Virtual Server 1 http Service Menu] group - Set real server group number : 서비스하고자 하는 그룹의 번호 지정 메뉴 rport - Set real port : 실제 서버에서 서비스하는 서비스 포트를 지정 hname - Set hostname httpslb - Set HTTP SLB processing cont - Set BW contract for this virtual service pbind - Set persistent binding type udp - Enable/disable UDP balancing frag - Enable/disable remapping UDP server fragments nonat - Enable/disable only substituting MAC addresses del - Delete virtual service cur - Display current virtual service configuration

>> Virtual Server 1 http Service# group 1 - 만일 설정 된 그룹이 여러개 있는 경우 해당 서비스를 해주는 그룹이 어떤 것인지 지정한다 .

>> Virtual Server 1 http Service# rport 8080

- 만일 실제 리얼 서버의 서비스 포트가 가상서버의 서비스 포트와 다른 경우 지정한다 . 예를 들어 HTTP 서비스를 하는데 실제 리얼서버에서 설정 된 http 에 대한 서비스 포트 (Li

stener) 가 8080 인 경우 rport 메뉴에 리얼 서버의 실 서비스 포트를 지정한다 .

34

4-4 클라이언트 / 서버 포트 지정 - 명령어 : /cfg/slb/po 1

[SLB port 1 Menu] client - Enable/disable client processing : 해당 포트를 클라이 언트 트래픽과 연결 된 포트로 지정 server - Enable/disable server processing : 해당 포트를 서버 / 서버팜과 연결 된 포트로 지정 hotstan - Enable/disable hot-standby processing intersw - Enable/disable inter-switch processing proxy - Enable/disable use of PIP for ingress traffic pip - Set Proxy IP address for port filt - Enable/disable filtering add - Add filter to port rem - Remove filter from port cur - Display current port configuration

>> SLB port 1# cli en : 1 번 포트를 라우터에서 오는 포트라 가정>> SLB port 1# ../po 6/se en : 6 번 포트에 리얼 서버가 연결 됨>> SLB port 7# ../po 7/se en : 7 번>> SLB port 8# ../po 8/se en : 8 번

- 포트 지정이 정상적으로 되지 않으면 서비스가 불가 하다 .

A.com = 192.2.2.1

DNS

A.com A.com A.com

2.3 2.52.4

VIP 192.2.2.1RIP 2.3, 2.4, 2.5

To 192.2.2.1

1 번 포트

8번

6번

7번

35

4-5 SLB 기능을 활성화 한다 . - 명령어 : /cfg/slb/on[Layer 4 Menu] real - Real Server Menu group - Real Server Group Menu virt - Virtual Server Menu filt - Filtering Menu port - Layer 4 Port Menu gslb - Global SLB Menu url - URL Resource Definition Menu sync - Config Synch Menu adv - Layer 4 Advanced Menu on - Globally turn Layer 4 processing ON : SLB 기능 활성화 off - Globally turn Layer 4 processing OFF cur - Display current Layer 4 configuration>> Layer 4# onCurrent status: OFFNew status: ON>> Layer 4# apply : 위의 모든 설정 사항을 적용한다 .>> Layer 4# save : 설정 사항을 메모리에 저장한다 .

- Apply 를 하면 설정한 사항이 바로 적용되며 , Save 는 스위치를 리부팅

시 해당 설정 사항이 적용 된 상태로 사용이 가능하다 .

A.com = 192.2.2.1

DNS

A.com A.com A.com

2.3 2.52.4

VIP 192.2.2.1RIP 2.3, 2.4, 2.5

To 192.2.2.1

1 번 포트

8 번6 번 7 번

36

5-1 Health Check - 서버 로드 밸런싱 구성에서 웹 스위치는 서버의 서비스 가능여부를 위하여 Health Check 라는 방법을 사용한다 . - 일반적인 Health Check 는 서버의 사용가능 여부를 확인하기 위하여 ICMP프로 토콜을 사용하지만 , 웹 스위치에서는 서버의 인터페이스 UP 여부와 별도로 실제 서버로드 밸런싱에 사용 되는 서비스의 사용 가능여부를 체크한다 . - 예로서 , 만일 HTTP 에 대한 서버로드 밸런싱 구성을 하였다면 , 각 리얼서버에서 HTTP 서비스가 제공 가능한 지를 확인하기 위하여 ICMP(Ping 과 같은 ) 를 사용한 다는 것은 무의미하게 된다 . 그래서 알테온 웹 스위치에서는 Health Check 를 서버 로드 밸런싱에 사용되는 서비스가 가능한지를 체크하기 위하여 해당 서비 스의 데몬 - 여기의 예에서는 HTTP데몬 - 을 확인하는 방식을 사용하게 된다 . - 알테온에서 제공되는 Health Check 타입은 Well-Known 포트를 모두 지원하며 , 사용자가 정의한 서비스 타입의 경우 ‘ tcp’라는 Health Check 방식을 이용하여 해당 서비스의 사용가능 여부를 확인한다 . - 그 외 선택적 방식으로 Content 기반의 Health Check 방식이 있다 .

5. SLB Option 사항

37

5-2 로드 밸런싱 정책 (Metric)

5-2-1. Load-based 알고리즘

1) LeastConns - 새로운 connection 요구가 들어오는 경우 현재 활동중인 connection 수가 가장 적은 리얼 서버로 session 을 연결 시켜 준다 . - Weighting 옵션 설정 된 웨이트 값에 따라 각 서버 당 연결되는 수가 정규화 된다 . - Maximum connections 옵션 각 리얼의 현재 session 수가 설정 된 Max connection 수에 도달한 경우 더 이상 의 새로운 session 이 할당 되지 않는다 . 만일 백업 서버가 설정 된 경우 해당 서버가 대치 되어 서비스한다 . - 가장 자주 사용되는 옵션임 2) RoundRobin - 라운드 로빈 방식에 의하여 connection 을 분배 한다 . - 현재의 서버가 가지고 있는 session 수는 관여하지 않는다 . - Weighting 옵션이 지원된다 .

38

5-2-2. Persistence-based 알고리즘

1) Hashing 정책 - 소스 IP 가 리얼서버 그룹내의 서버에 대한 인덱스를 생성하는 요소로 사용 된다 . - 동일한 유저로 부터의 서비스 요청은 동일한 서버로 연결 된다 . - 만일 해당 서버에 서비스 오류가 발생하거나 , 어떤 리얼 서버가 서버그룹에서 제외되거나 추가 된 경우 재 할당 된다 . - Weight 옵션 사용 불가 - Max Connetion 지원 - 접속 유저 수가 많은 경우 로드 밸런싱이 공평하게 이루어 진다 .

2) Minmiss 정책 - Hash 와 유사한 방식을 사용 - Hash 와 달리 어떤 서버가 서버 그룹에서 제외 된 경우 해당 서버에 할당 된 사용자에 대하여만 재할당 작업을 한다 . - Weighting 옵션 사용 불가 - Max Connection 지원 @ Minmiss 방식보다 Hash 방식이 더욱 선호되는 방식이다

39

5-3 백업 서버 - 로드 밸런싱을 하는 리얼 서버들은 트래픽이 과도 한 경우 설정 된 Max session 을 초과하거나 , 서버 의 서비스가 불가한 경우가 생기게 된다 . - 이를 위하여 한 개의 리얼서버를 각 서버의 백업 서버로 사용할 수 있다 . - 설정 가능 형태 1) 각 각의 리얼 서버에 대하여 한 개의 리얼서버를 2) 리얼서버 그룹에 대한 백업 서버 또는 그룹

한 개의 리얼 서버 , 또는 다른 리얼 서버 그룹

5-4 Weight 값 - 서버의 사양이 다른 경우 성능이 뛰어난 서버에게 더 많은 서비스를 하도록 부여하는 값 . 예 ) 2.5 서버가 다른 서버에 비하여 처리량이 2배가 된다면 2.5 서버의 웨이트를 2 로 준다 . 참고로 웨이트의 기본값은 1 이다 .

A.com = 192.2.2.1

DNS

A.com A.com A.com

2.3 2.52.4

VIP 192.2.2.1RIP 2.3, 2.4, 2.5

To 192.2.2.1

1 번 포트

2.6

X

X

40

6. 서버로드 밸런싱의 발전적 개념 6-1 서버의 Binding 논리 (Delayed Binding) 6-1-1 Immediate Binding

- 로드 밸런싱에서 어떤 리얼서버로 요청을 보낼 것인지의 결정을 클 라이언트로부터 TCP SYN 패킷이 들어오는 시점에 결정하는 방식

Client Load Balancer Real Server

TCP SYN request1

2

TCP SYN request3

Three-way handshake completion

4

최적의 서버 선택

41

6-1-2 Delayed Binding

- 리얼서버와 session 연결에 대한 결정은 웹 스위치와 유저사이에 TCP 3-way Handshake 가 우선 적으로 이루어 진 후 스위치에서 최적의 리얼 서버를 선택한다 .

- 리얼 서버 결정은 URL, SSL session ID, cookie 등의 클라이언트에서 오는 정 보에 기반하여 선택하게 된다 .

Client Load Balancer Real Server

•TCP 3-way handshake•LB records sequence #•Client sends 1st GET

1

2

•TCP 3-way handshake•LB records sequence #•Forwards the client’s GET

3

Sequence # adjustment and connection splicing

4

최적의 서버 선택

42

6-1-3 Delayed Binding 의 장점

1) 웹 스위치가 클라이언트의 요청을 관찰하고 적합한 서버로 연결시켜 주게 할 수 있다 .

2) 발전 된 개념의 로드 밸런싱을 가능하게 하여 준다 .

@ Contents 기반의 지능형 로드 밸런싱 - URL 기반의 웹 서버 로드 밸런싱 기능 - URL 기반의 웹 Cache 리다이렉션 - HTTP 헤더 기반의 웹 서버 로드 밸런싱 - HTTP 헤더 기반의 웹 Cache 리다이렉션

@ 발전 된 session 유지 기능 - session 유지를 위한 SSL session ID 기반의 연결 기능 - session 유지를 위하여 Cookie 기반의 연결 기능

43

6-2 Direct Access Mode• DAM 를 사용하지 않는 경우 SLB 에 설정되어 있는 SLB 의 리얼서버가 해당

서비 스를 사용하게 되는 경우 그 서버에서의 트래픽은 SLB 의 트래픽으로 간주하게 된다 .• 때때로 리얼 서버로 부터의 트래픽은 로드 밸런싱의 session ID 전환이 이루어

지지 말아야 하는 경우가 있다 .• 예로써 , 유저가 리얼서버로 직접 서비스를 요청하는 경우 또는 리얼 서버가 여

러 개의 VIP 를 지원하게 되는 경우 . 그리고 Delayed Binding 이 사용되는 경우가

그러한 경우에 해당 된다 .• 설정 방법 - 명령어 : /cfg/slb/adv/direc ena• 위와 같이 설정을 하게 되면 sever-to-client처리 과정은 모두 클라이언트 포트 에서 일어나게 된다 . - 앞에서도 언급 하였듯이 server-to-client처리과정은 보통 서버 포트에서 일어나게 된다 .

44

6-3 Proxy IP(PIP)• PIP 사용 원인 - 복잡한 네트웤 에서는 서버에서 클라이언트로 가는 경로가 2 대 이상이 존재하 는 경우 서버에서 클라이언트로 가는 트래픽이 알테온 스위치를 거치지 않고 나가는 경우가 발생하게 된다 . 이러한 경우 VIP 로 들어온 클라이언트에 대하 여 서버에서 다른 경로를 거치지 않고 웹 스위치를 통과하도록 만들기 위하여 사용하게 된다 .

@ Complex 네트웤 예

SLB 의 트래픽은 이

경로로 흐르면 안된다 .

PIP 를 설정하여 VIP 에 대한

트래픽이 알테온을 통하도록 한다 .

X

45

7. 설정 된 SLB 현재 정보 조회7-1 메뉴 : /info/slb sess - Session Table Information Menu real - Show real server information virt - Show virtual server information filt - Show redirect filter information port - Show port information gslb - Show GSLB information dump - Show all layer 4 information>> Server Load Balancing Information#

7-2 명령어 : sess 현재 session 에 관한 정보를 보여 준다 .

예 ) 5,5: 210.116.39.125 1223 -> 210.116.39.120 80 age 10 E

7-3 명령어 : Dump 현재 설정 된 모든 SLB 의 상태를 보여준다 .

46

• Dump 의 예 .Real server state: 1: 210.116.39.1, 00:00:3b:80:2b:d0, vlan 1, port 1, health 4, Failed 현재 리얼서버가 현재 서비스 불가 2: 210.116.39.120, 00:e0:29:4f:fe:44, vlan 1, port 1, health 4, up 현재 리얼서버가 현재 서비스 가능

Virtual server state: 1: 210.116.39.186, 00:60:cf:44:06:8e virtual ports: http: rport http, group 1, backup none real servers: 1: 210.116.39.1, backup none, Failed 2: 210.116.39.120, backup none, up

Redirect filter state:

Port state: 1: 0.0.0.0, server 서버프로세싱이 활성화 되어 있다 . filt disabled, filters: empty 2: 0.0.0.0 filt disabled, filters: empty 3: 0.0.0.0 filt disabled, filters: empty 4: 0.0.0.0, client 클라이언트 프로세싱이 활성화 되어 있다 . filt disabled, filters: empty 5: 0.0.0.0 filt disabled, filters: empty 6: 0.0.0.0 filt disabled, filters: empty 7: 0.0.0.0 filt disabled, filters: empty 8: 0.0.0.0 filt disabled, filters: empty 9: 0.0.0.0 filt disabled, filters: empty

>> Server Load Balancing Information#

47

8. SLB 의 통계치 조회 8-1 메뉴 :/stats/slb 메뉴

- slb 작동에서 일어나는 session 의 수치를 보여준다 .

메뉴 ) [Server Load Balancing Statistics Menu] port - SLB Switch Port Stats Menu real - Show real server stats group - Show real server group stats 그룹의 세션 상황 virt - Show virtual server stats 가상 서버의 세션 상황 filt - Show filter stats gslb - Show global SLB stats url - Show URL SLB and Redirection stats ssl - Show SSL SLB stats ftp - Show FTP SLB parsing and NAT stats maint - Show maintenance stats clear - Clear non-operational Server Load Balancing stats dump - Dump all SLB statistics >> Server Load Balancing Statistics#

48

8-2 session 수치 조회 예 8-2-1 메뉴 : /stats/slb/gr 1 그룹에 대한 session 수 보기------------------------------------------------------------------Real server group 1 stats: Current Total HighestReal IP address Sessions Sessions Sessions Octets---- --------------- -------- ---------- -------- --------------- 1 210.116.39.1 0 1 1 111137 2 210.116.39.120 0 2 1 332467---- --------------- -------- ---------- -------- --------------- 0 3 2 443604>> Server Load Balancing Statistics# 8-2-2) /stats/slb/vi 1 : Virtual 서버에 대한 수 보기------------------------------------------------------------------Virtual server 1 stats: Current Total HighestReal IP address Sessions Sessions Sessions Octets---- --------------- -------- ---------- -------- --------------- 1 210.116.39.1 0 1 1 127877 2 210.116.39.120 0 2 1 349387---- --------------- -------- ---------- -------- --------------- 210.116.39.186 0 3 2 477264

>> Server Load Balancing Statistics#

49

9. Global Server Load Balancing

Web Servers

Distribute load across mirrored sites or reverse caching sites

Reverse Cache

• 3-in-1 - 스위칭 , 지역적 / 전역적 로드 발란싱을 동시 지원

• 간편한 구성 - 스위치와 DNS 의 설정으로만 구현 가능 - Router 의 설정 변경 , 네트워크 구성 변경이 불 필요

• 추가적 지연시간이 없다 . - DNS 요청 시점에서 결정됨 . - 모든 스위치에서 동적으로 싸이트의 상태와 성능을 체크 .

- 각 싸이트에서 즉각적인 핸드 오프 결정 가능

•싸이트에 관계없이 응답시간에 대한 균등함을 보장 - 싸이트의 성능에 따라 로드의 분산이 이루어 짐 . - 최적의 싸이트가 우선권을 갖게 되며 , 이 또한 변동이 가능함 .

50

Internet

10. Router Load Balancing

• 복잡한 설정이 없이 라우터로의 로드 발란싱이 가능 - 4 개의 Default 게이트웨이 지원

스위치가 모든 게이트웨이를 정기적으로 점검 활성화 되어 있는 라우터로 트래픽을 분산

- 모든 유저의 게이트 웨이를 스위치로 설정 게이트웨이 관리의 용이함

• 장 점 - 라우팅 관리를 단순화 할 수 있다 . - 가용성 증대 - 외부로 나가는 라우팅 성능의 증대

51

WCR(Web Cache Redirection) 1. Cache 의 유형 - 59 p - 2. 알테온 솔루션의 특징 - 61 p - 3. 실제 설정 방법 및 절차 - 62 p - 3-1. 사전 구성 - 62 p - 3-2. 리얼 서버 설정 - 62 p - 3-3. 리얼 서버 그룹 설정 - 63 p - 3-4. 필터 설정 - 64 p - 3-4-1. 리다이렉션 필터 3-4-2. 바이패스 필터 3-4-3. 필터 적용 4. Hash 정책 - 67 p - 5. 필터의 순서 - 67 p -

52

Origin Servers

Internet

Access

Reverse Proxy Cache

Proxy Cache

1. Cache 의 유형 - Proxies

웹 브라우저에서 설정 - Reverse Proxies

실제 원 서버 앞 단에 캐시가 설치 웹 브라우저에서 설정이 불 필요 웹 가속 기능으로 사용

- Transparent proxies 웹 브라우저에서 설정이 불 필요 Cache 가 데이터 경로에 위치하고 , 라우터에서 정책적 라우팅을 이용 트래픽을 Cache 로 전달 Cache 가 SPOF(single point of failure) 가 될 수 있음

@ Caching 인프라의 요구 사항 - Cache 의 확장성 용이 - 가용성 보장 - 웹 브라우저 설정을 최소화 - 최대의 성능 보장

53

WCR 이란 !

• WCR 이란 과거의 일반적인 Cache 솔루션과는 다른 개념으로 일반 사용자들은 Cache 의 존재여부에 대하여 설정을 할 필요가 없어 지고 , 또한 사용자들이 Cache 의 존재 유무를 인식함이 없이 Cache 를 사용하게 할 수 있다 .

• 과거의 Cache 서버는 사용자가 브라우저 상에서 Cache 를 설정하는 방식이나 , Cache 를 게이트웨이 역할을 하게 하는 방식을 많이 사용하였는데 , 이러한 방식과 달리 WCR 은 외부로 나가는 네트웤 선상에 존재하여 특정 트래픽 (HTTP) 인 경우 자동적으로 Cache 로 트래픽을 전달하여 주는 Transparency Cache 솔루션이다 .

54

2. 알테온 솔루션의 특징 가 . Transparent Cache 기능

- HTTP 요청에 대해서만 중간에서 가로채

지정된 Cache 로 돌려준다 .

나 . Cache 로드 밸런싱 지원

다 . 패킷 의 목적지 MAC 을 Cache 의 MAC

주소로 대치 한다 .

라 . Non-http 트래픽은 바이패스 한다 .

마 . 어플리케이션 리다이렉션의 한 종류

@ 어플리케이션 리다이렉션

- 어플리케이션 리다이렉션은 클라이언트들의

특정 서비스에 대하여 지정 된 서버군으로

트래픽을 전달하는 기능을 말한다 .

(SLB + Filter)

Host BYahoo.com

Host A

HT

TP

To

A

HT

TP

To

B

HT

TP

To

B

Transparent cache farm

Non

-H

TT

P

Internet

55

3. 실제 설정 방법 및 절차 3-1 Cache 를 Transparent 모드로 설정하고 알테온 스 위치와 연결한다 . 3-2 Cache 를 리얼 서버로 설정한다 . - 명령어 : /cfg/slb/re 1 [Real server 1 Menu] rip - Set IP addr of real server name - Set server name weight - Set server weight maxcon - Set maximum number of connections tmout - Set minutes inactive connection remains open backup - Set backup real server inter - Set interval between health checks retry - Set number of failed attempts to declare server DOWN restr - Set number of successful attempts to declare server UP addlb - Add URL path for URL load balance remlb - Remove URL path for URL load balance remote - Enable/disable remote site operation proxy - Enable/disable client proxy operation submac - Enable/disable source MAC address substitution nocook - Enable/disable no available URL cookie operation exclude - Enable/disable exclusionary string matching ena - Enable real server : 리얼 서버를 활성화 한다 . dis - Disable real server del - Delete real server cur - Display current real server configuration >> Real server 1 # rip 192.2.10.1/enable

Host BYahoo.co

mHost A

HT

TP

To

A

HT

TP

To

B

HT

TP

To

B

Transparent cache farm

Non

-H

TT

P

Internet

10.1

10.2

56

• WCR 에서는 앞의 VSLB(Virtual Server Load Balancing) 과 달리 포트에 server/client 설정을 하지 안는다 .3-3 리얼서버를 리얼서버그룹으로 묶는다 . - 명령어 : /cfg/slb/gr 1 - 그룹설정 시 로드 밸런싱 정책은 Hash 로 해 주어 야 Cache 의 히트율이 높아진다 .

[Real server group 1 Menu] metric - Set metric used to select next server in group content - Set health check content health - Set health check type : backup - Set backup real server or group name - Set real server group name realthr - Set real server failure threshold add - Add real server rem - Remove real server del - Delete real server group cur - Display current group configuration

>> Real server group 1# add 1/add 2>> Real server group 1# health http>> Real server group 1# metric

hash

Host BYahoo.co

mHost A

HT

TP

To

A

HT

TP

To

B

HT

TP

To

B

Transparent cache farm

Non

-H

TT

P

Internet

10.1

10.2

57

3-4 필터를 적용한다 . 3-4-1. 명령어 : /cfg/slb/fil 100( 필터번호 ) (redirection)>> Layer 4# fil 100 [Filter 100 Menu] adv - Filter Advanced Menu smac - Set source MAC address dmac - Set destination MAC address sip - Set source IP address smask - Set source IP mask dip - Set destination IP address dmask - Set destination IP mask proto - Set IP protocol sport - Set source TCP/UDP port or range dport - Set destination TCP/UDP port or range action - Set action group - Set real server group for redirection rport - Set real server port for redirection nat - Set which addresses are network address translated invert - Enable/disable filter inversion ena - Enable filter dis - Disable filter del - Delete filter cur - Display current filter configuration

>> Filter 100 # dport http/pro tcp/rport 80>> Filter 100 # action redir>> Filter 100 # group 1

Host BYahoo.co

mHost A

HT

TP

To

A

HT

TP

To

B

HT

TP

To

B

Transparent cache farm

Non

-H

TT

P

Internet

10.1

10.2

58

3-4-2. 필터 적용 (Non-Http 트래픽에 대한 허용 처리 ) - 필터 번호 224 로 정의한다 .

>> Filter 224 # enable - 224 번 필터에는 아무런 설정 사항이 없이 필터만 활성 화 하여 준다 .

3-4-3. 필터를 클라이언트 트래픽이 들어오는 포트에 추가

[SLB port 9 Menu] client - Enable/disable client processing server - Enable/disable server processing hotstan - Enable/disable hot-standby processing intersw - Enable/disable inter-switch processing proxy - Enable/disable use of PIP for ingress traffic pip - Set Proxy IP address for port filt - Enable/disable filtering : 필터를 활성화하기 위한 메뉴 add - Add filter to port : 필터를 추가하기 위한 메뉴 rem - Remove filter from port cur - Display current port configuration>> SLB port 9# add 100/add 224< 필터 번호 >>> SLB port 9# filt en >> SLB port 9# apply/save

Host BYahoo.co

mHost A

HT

TP

To

A

HT

TP

To

B

HT

TP

To

B

Transparent cache

farm

Non

-H

TT

P

Internet

10.1

10.2

9 번 포트

59

@ Filter 의 조건식과 적용 가능 처리 옵션 사항

Frame Ingress

Frame /Session Inspection Engine

•Source MAC

•Destination MAC

•IP Source Addr /Range

•IP Dest Addr / Range

•Protocol Type

•TCP/UDP Source Port

•TCP/UDP Dest Port

•Non-IP packets filtering

•IP options

•Type of Service (TOS)

•ICMP message types

•Echo, Echo reply, Source quench, Redirect)

•TCP flags

•Syn, Ack, Rst, Fin, Psh, Urg

Allow/Frame Forward

Drop

Redirect to Server GroupAction

NAT(Destination or

Source IP Address)

60

4. Hash 정책 - Hash 알고리즘은 사용되는 로드밸런싱 또는 어플리케이션 리다이렉션의 타입 에 따라 다른 변수를 가지게 된다 . - VSLB(Virtual Server Load Balancing) 의 경우 , Hash 알고리즘은 패킷의 SIP 만을 변수로 사용하게 된다 . 동일한 유저로부터의 요청은 항상 동일한 서버로 전달 된다 . - HTTP 나 Ftp 의 App 리다이렉션의 경우는 오직 패킷의 DIP(Destination IP) 만 이 변수로 작용하게 된다 . 유저로부터의 요청에 대하여 히트율을 높이기 위하여 사용 됨 - 그 외 종류의 경우는 SIP 와 DIP 가 모두 변수로 사용 된다 .

5. 필터의 순서 - 필터는 필터의 번호대로 적용이 되어 진다 . (1 번 224 번 순 ) - 예외적 룰이나 바이 패스 룰을 먼저 적용한다 . - 필터의 히트율이 높은 것을 우선 순위로 한다 . - 디폴트 필터는 마지막 (224 번 ) 에 놓는다

61

@ Content-Based SLB/WCR

• Contents 기반의 SLB 와 WCR 은 로드발란싱을 하는데 있어 서비스 포트 이외에 패킷의 데이터를 검사하여 설정 된 조건과 부합 된 트래픽은 특정 서버로 스위칭을 하는 기능을 말한다 .

• 통칭 말하는 것이 이에 해당한다 .

L5/6/7 스위칭이라

62

Contents 기반의 지능형 Load Balancing• URL sub-string match:

» 서버를 특정 Contents 타입으로만 최적화 할 수 있다 .» Contents 의 분리로 리플리케이션을 최소화 할 수 있고 , Contents 의 관리가

용이» 어떤 길이의 URL 도 파싱 가능 ; 설정 가능한 128 개의 패턴을 검사 가능

“images”“.gif”“.jpg”

RIP_1

RIP_2

“.cgi”“.bin”“.exe”

RIP_3

RIP_4

HTTP 1.1 request

GET /www.foo.com/images/abc.gif» RIP_1 로 전달

GET /www.foo.com/images/abc.gif

GET/www.foo.com/event/reg.bin

GET /www.foo.com/event/reg.bin

» URL 을 검사 후 RIP_3 선택» RIP_1 와의 연결을 해제» RIP_3 와 연결» …

63

Contents 기반의 지능형 Cache Redirection

Excite.comYahoo.com

Yahoo.jp.coExcite.hk.cofoo.com

RIP_2

RIP_3

RIP_4

호스트헤더가 ” hk”, “jp”,인 경우는 바이 패스 …

호스트헤더가 ” hk”, “jp”,인 경우는 바이 패스 …

GET /…/Host=www.excite.hk.co

GET /…/Host=www.yahoo.jp.co

GET www.yahoo.com/myahoo.exe

GET www.excite.com/map

www.yahoo.com/weather

www.yahoo.com/mapwww.abc.com/mapping-tools

www.alteon.com/companywww.ibm.com/companywww.ge.com/companywww.gap.com/company

넌 케셔블 데이터도 바이패스 “ .exe”, …

넌 케셔블 데이터도 바이패스 “ .exe”, …

Spread big sites over multiple caches:

아래와 같은 경우는 Redir:“/weather” :RIP_1, RIP_2“/map” :RIP_2“/company” :RIP_3

아래와 같은 경우는 Redir:“/weather” :RIP_1, RIP_2“/map” :RIP_2“/company” :RIP_3

GET www.yahoo.com/weather

URL헤싱에 의한 로드 발란싱

URL헤싱에 의한 로드 발란싱

GET www.Yahoo.com/weather

www.excite.com/map

www.excite.com/weatherwww.lycos.com/weather

RIP_1

64

FWLB(Firewall Load Balancing) 1. FWLB 의 장점 - 72 p - 2. FWLB 의 개념 - 73 p - 3. 설정 사항 전 네트웤 구성 - 74 p - 4. 설정 절차 - 75 p - 4-1. 스위치의 인터페이스 설정 - 75 p - 4-2. VLAN 설정 - 76 p - 4-3. 리얼 서버 설정 - 77 p - 4-4. 리얼 서버 그룹 설정 - 78 p - 4-5. IP 포워딩 설정 - 78 p - 4-6. 정적 라우팅 설정 - 79 p - 4-7. 필터 설정 (1),(2) - 80 p - 4-8. 필터 적용 - 82 p - 5. 리던던시를 이용한 구성 예 - 83 p -

65

• 성능 향상- 256 개의 FWLB 를 지원- Redundant firewalls can actively bear load

• 가용성- F/W 이 있는 경로에 대한 헬스 체크 .- Active-Active redundant switch 지원 .

•투명함- F/W 에 별도의 소프트웨어가 불 필요 .

• 플랫폼에 독립적- NT, Solaris, UNIX 또는 firewall 장비- Routing 또는 transparent firewalls, NAT firewalls

•집적화 된 기능- F/W,Web 서버 로드 발란싱 기능을 동시에 구현 가능- 스위치에서 패킷 필터링을 사용하여 F/W 의 부하를 경감 .

1. Firewall Load Balancing 의 장점

Firewall Farm

Internet

Secured Web Farm

66

2. FWLB 의 개념• FWLB 는 화이어 월 서버의 로드 밸런싱이 아니라 두개의 경로에 대한 로드 밸런싱으로 화이 어월이 그 두개의 경로 위에 올라가 있는 구성이다 .• 웹 스위치는 모든 IP 트래픽을 정의된 인터페이스 그룹으로 리다이렉션한다 .

– 인터페이스 그룹 ( 리얼 서버 그룹 ) 은 반대편 스위치의 인터페이스 IP 로 구성 되어 진다 .– MAC 주소 교체 방식을 사용 (Routing)– 스위치는 설정 된 정적 라우팅을 사용하여 강제로 트래픽을 동일한 경로로 보낸다 .

• Hash 정책을 사용하며 , 이 정책은 흐름의 상태를 유지하기 위하여 SIP 와 DIP 를 변수로 사용한다 .• Dirty-Side 와 Clean-Side 사이의 전체 구간에 대한 Health Check 를 위하여 화이어월을 게 이트웨이로 사용한다 .( 정적 라우팅 설정 시 사용 )

Internet

I/F A1

I/F A2

I/F B1

I/F B2

FW1

FW2

Redir any (src, dest) to I/F group on opposing switch (B1, B2)

Static routes I/F B1 ----> FW1 I/F B2 ----> FW2

Redir any (src, dest) to I/F group on opposing switch (A1, A2)

Static routes: I/F A1 ----> FW1 I/F A2 ----> FW2

Secured

67

3. 설정 사항 전 네트웤 구성

- 우선 적으로 화이어 월 로드 밸런싱 시에 좌측과 같이 네트웤이 6 개가 필요하게 된다 . (4 개의 네트웤으로도 구성이 가능하나 일반 적으 로 6 개의 네트웤을 사용하게 된다 .) - 화이어 월을 기준으로 상하로 다른 네트웤을 우로 다른 네트웤을 구성한다 .

- 또한 외부 라우터 단과 내부 백본 단의 각 네트웤 이 하나씩 필요하게 된다 .

- 그러므로 상 / 하의 알테온 스위치가 3 개의 네트웤

을 가지게 된다 . 그리고 프레임의 불필요한 플러딩을 방지 하기 위해 각 인터페이스마다 다른 VLAN 설정을 한다 .

Net #2

192.168.11.0

Net #4

192.168.13.0

IF #3 : 192.168.11.254

IF #3 : 192.168.13.254

IF #1 : 210.116.39.127/25

Firewall Farm

보안이 된 Network

Internet

Net #1

192.168.10.0

Net #3

192.168.12.0

IF #2 : 192.168.10.254

IF #2 : 192.168.12.254

IF #1 : 210.116.39.254/25

Net #5

210.116.39.0/25

Net #6

210.116.39.128/25

68

4. 설정 절차 4-1 스위치의 인터페이스 설정 명령어 : /cfg/ip/if 1( 인터페이스 번호 )

[IP Interface 1 Menu]( 상단 스위치 예 ) addr - Set IP address mask - Set subnet mask broad - Set broadcast address vlan - Set VLAN number ena - Enable IP interface dis - Disable IP interface del - Delete IP interface cur - Display current interface configuration>> IP Interface 1#add 210.116.39.126/ena>> IP Interface 1#mask 255.255.255.128>> IP Interface 1#broad 210.116.39.127>> IP Interface 1# vlan 1

- 위와 같은 방법으로 IF #2 와 #3 을 설정하고 각 각 Vlan 2/3 번으로 지정한다 .

- 그리고 하단의 스위치도 동일한 방식으로 설정한다 .

Firewall Farm

보안이 된 Network

Internet

Net #1

192.168.10.0

Net #2

192.168.11.0

Net #3

192.168.12.0

Net #4

192.168.13.0

IF #2 : 192.168.10.254

IF #3 : 192.168.11.254

IF #2 : 192.168.12.254

IF #3 : 192.168.13.254

IF #1 : 210.116.39.126/25

IF #1 : 210.116.39.254/25

Net #5

210.116.39.0/25

Net #6

210.116.39.129/25

69

4-2 각 VLAN 에 사용 될 물리적 포트 할당 - 명령어 : /cfg/vlan 2

[VLAN 2 Menu] name - Assign VLAN name jumbo - Enable/disable Jumbo Frame support del - Delete VLAN ena - Enable VLAN dis - Disable VLAN add - Add port to VLAN rem - Remove port from VLAN def - Define VLAN as list of ports cur - Display current VLANs

>> VLAN 2# add 1/add 2 - 각 VLAN 에 사용 될 포트를 할당한다 . - VLAN 3 번에 대하여도 3 번과 4 번 포트를 할당한다 . - 기본적으로 모든 포트는 VLAN1 번에 할당이 되어 있으므로 VLAN 1 번에 대한 설정은 하지 않아도 된다 . - 하단의 스위치도 동일한 방식으로 처리한다 . - 보통 포트 불량을 대비하여 여분의 포트를 하나 더 추 가 한다 .

Firewall Farm

보안이 된 Network

Internet

Net #1

VLAN #2

Net #2

VLAN #3

Net #3

VLAN #2

Net #4

VLAN #3

IF #2 : 192.168.10.254

IF #3 : 192.168.11.254

IF #2 : 192.168.12.254

IF #3 : 192.168.13.254

IF #1 : 210.116.39.126/25

IF #1 : 210.116.39.254/25

Net #5

VLAN #1

Net #6

VLAN #1

70

4-3 로드 발란싱을 위한 리얼 서버 설정 - 반대편 스위치의 인터페이스 ( 화이어 월과 연결 된 ) 를 리얼 서버로 한다 . - 리얼 서버 설정 시 리얼 서버의 순서를 동일하게 하여 야 한다 . 상단 스위치 하단 스위치 리얼서버 #1 : 192.168.12.254 리얼서버 #1 : 192.168.10.254 리얼서버 #2 : 192.168.13.254 리얼서버 #2 : 192.168.11.254

- 명령어 : /cfg/slb/re 1( 리얼서버의 번호 ) [Real server 1 Menu] rip - Set IP addr of real server name weight - Set server weight … … exclude - Enable/disable exclusionary string matching ena - Enable real server : 리얼 서버를 활성화 한다 . dis - Disable real server del - Delete real server cur - Display current real server configuration

>> Real server 1 # rip 192.168.12.254/enable

- 리얼서버 2 에 대하여도 설정을 하여 준다 . - 하단의 스위치도 동일하게 설정을 한다 .

Firewall Farm

보안이 된 Network

Internet

Net #1

192.168.10.0

Net #2

192.168.11.0

Net #3

192.168.12.0

Net #4

192.168.13.0

IF #2 : 192.168.10.254

IF #3 : 192.168.11.254

IF #2 : 192.168.12.254

IF #3 : 192.168.13.254

IF #1 : 210.116.39.126/25

IF #1 : 210.116.39.254/25

Net #5

210.116.39.0/25

Net #6

210.116.39.129/25

71

4-4 리얼서버의 그룹 설정 - 명령어 : /cfg/slb/gr 1[Real server group 1 Menu] metric - Set metric used to select next server in group content - Set health check content health - Set health check type : backup - Set backup real server or group name - Set real server group name realthr - Set real server failure threshold add - Add real server rem - Remove real server del - Delete real server group cur - Display current group configuration>> Real server group 1# add 1/add 2>> Real server group 1# health icmp>> Real server group 1# metric hash

4-5 스위치 내에서 라우팅을 위한 IP Forwarding 설정 - 명령어 : /cfg/ip/frwd[IP Forwarding Menu] local - Local network definition for route caching menu dirbr - Enable/disable forwarding directed broadcasts on - Globally turn IP Forwarding ON off - Globally turn IP Forwarding OFF cur - Display current IP Forwarding configuration

>> IP Forwarding# on

Firewall Farm

보안이 된 Network

Internet

Net #1

192.168.10.0

Net #2

192.168.11.0

Net #3

192.168.12.0

Net #4

192.168.13.0

IF #1 : 210.116.39.126/25

Net #5

210.116.39.0/25

Net #6

210.116.39.129/25

IF #1 : 210.116.39.254/25

IF #3 : 192.168.13.254

IF #2 : 192.168.12.254

IF #3 : 192.168.11.254

IF #2 : 192.168.10.254

72

4-6 리얼 서버의 Health Check 를 위한 라우팅 설정 - 반대편 알테온 스위치의 인터페이스를 체크하기 위하 여 해당 네트웤과 연결 된 화이어 월의 인터페이스를 설정한다 . 예 ) 192.168.12.0 Net 에 대한 게이트웨이를 192.168 .10.1 을 설정 한다 . - 명령어 : /cfg/ip/route

[IP Static Route Menu] add - Add static route rem - Remove static route cur - Display current static route configuration

>> IP Static Route#add 192.168.12.0 Enter destination subnet mask: 255.255.255.0Enter gateway IP address: 192.168.10.1Enter interface number: (1-256) 2

- 위와 같은 방식으로 다른 리얼 서버에 대하여도 설정- 하단의 스위치도 동일한 방식으로 설정한다 .

Firewall Farm

보안이 된 Network

Internet

Net #1

192.168.10.0

Net #2

192.168.11.0

Net #3

192.168.12.0

Net #4

192.168.13.0

IF #3 : 192.168.11.254

IF #3 : 192.168.13.254

IF #1 : 210.116.39.126/25

Net #5

210.116.39.0/25

Net #6

210.116.39.129/25

IF #2 : 192.168.12.254

IF #1 : 210.116.39.254/25

IF #2 : 192.168.10.254

IF : 10.1

IF : 12.1

IF : 11.1

IF : 13.1

73

4-7. 트래픽 리다이렉션 설정 (1) - 경로에 대한 로드 밸런싱은 필터를 이용하여 설정 된다 . - 외부에서 내부로 들어가는 모든 트래픽은 리다이렉션 필터를 통하여 반대편의 스위치로 라우팅되며 그 과정 에서 로드 밸런싱이 이루어 진다 . - 명령어 : /cfg/slb/fil 224( 필터 번호 )

[Filter 224 Menu] adv - Filter Advanced Menu … … action - Set action group - Set real server group for redirection rport - Set real server port for redirection nat - Set which addresses are network address translated invert - Enable/disable filter inversion ena - Enable filter dis - Disable filter del - Delete filter cur - Display current filter configuration

>> Filter 224 # action redir/ena

- 위의 필터만으로 화이어월 로드 밸런싱이 가능하지만 일반적으로 스위치가 가지고 있는 네트웤에 대하여는 Allow 하는 필터를 넣어 준다

Firewall Farm

보안이 된 Network

Internet

Net #1

192.168.10.0

Net #2

192.168.11.0

Net #3

192.168.12.0

Net #4

192.168.13.0

IF #3 : 192.168.11.254

IF #3 : 192.168.13.254

IF #1 : 210.116.39.126/25

Net #5

210.116.39.0/25

Net #6

210.116.39.129/25

IF #2 : 192.168.12.254

IF #1 : 210.116.39.254/25

IF #2 : 192.168.10.254

IF : 10.1

IF : 12.1

IF : 11.1

IF : 13.1

74

4-7. 트래픽 리다이렉션 설정 (2) - 이 경우는 전번의 방식과 달리 내부에 있는 네트웤을 필터에 지정하여 리다이렉션하는 방식이다 . - 이 경우 내부에 네트웤이 여러개인 경우 필터가 여러 개 들어가게 된다 . - 명령어 : /cfg/slb/fil 100( 필터 번호 )

[Filter 100 Menu] adv - Filter Advanced Menu … … dip - Set destination IP address dmask - Set destination IP mask action - Set action group - Set real server group for redirection rport - Set real server port for redirection nat - Set which addresses are network address translated invert - Enable/disable filter inversion ena - Enable filter dis - Disable filter del - Delete filter cur - Display current filter configuration

>> Filter 100 # dip 210.116.39.128/dmask 255.255.255.128>> Filter 100 # action redir/ena

Firewall Farm

보안이 된 Network

Internet

Net #1

192.168.10.0

Net #2

192.168.11.0

Net #3

192.168.12.0

Net #4

192.168.13.0

IF #3 : 192.168.11.254

IF #3 : 192.168.13.254

IF #1 : 210.116.39.126/25

Net #5

210.116.39.0/25

Net #6

210.116.39.129/25

IF #2 : 192.168.12.254

IF #1 : 210.116.39.254/25

IF #2 : 192.168.10.254

IF : 10.1

IF : 12.1

IF : 11.1

IF : 13.1

75

4-7 포트에 필터 추가 - 리다이렉션 필터는 외부와 내부에서 트래픽이 들 오는 포트에 추가한다 . - 명령어 : /cfg/slb/po 8[SLB port 8 Menu] client - Enable/disable client processing server - Enable/disable server processing hotstan - Enable/disable hot-standby processing intersw - Enable/disable inter-switch processing proxy - Enable/disable use of PIP for ingress traffic pip - Set Proxy IP address for port filt - Enable/disable filtering add - Add filter to port rem - Remove filter from port cur - Display current port configuration

>> SLB port 8# add 224/fil en - 설정 된 리다이렉션 필터와 허용필터를 모두 걸어 준다 .>> SLB port 8# /ma/slb/on>> Main# apply/save

Firewall Farm

보안이 된 Network

Internet

Net #1

192.168.10.0

Net #2

192.168.11.0

Net #3

192.168.12.0

Net #4

192.168.13.0

IF #3 : 192.168.11.254

IF #3 : 192.168.13.254

Port #8Net #5

210.116.39.0/25

Net #6

210.116.39.129/25

IF #2 : 192.168.12.254

Port #8

IF #2 : 192.168.10.254

IF : 10.1

IF : 12.1

IF : 11.1

IF : 13.1

76

5. 리던던시를 사용한 구성 예

• FWLB 시 주의 사항 - 알테온 스위치 자신에게로 오는 트래픽은 리다이렉션 시키지 말아야 한다 . 알테온 스위치에 설정 된 네트웤에 대한 트래픽은 허용처리한다 . - 리던던시 사용에 의한 구성에서 Vrrp 에 사용 되는 멀티케스트 트래픽은 허용하여 주어야 한다 .(224.0.0.0 에 대한 허용 필터를 정의 한다 .)

I/F A11

I/F A21

I/F A12

I/F A22

A1

A2 B2

FW1

FW2

B1

I/F B11

I/F B21

I/F B12

I/F B22

Primary Primary

Secondary Secondary

Real servers = A11, A21, A12, A22Static routes: I/F A11 ----> FW1

I/F A21 ----> FW1 I/F A12 ----> FW2 I/F A22 ----> FW2

Real servers = B11, B21, B12, B22Static routes: I/F B11 ----> FW1

I/F B21 ----> FW1 I/F B12 ----> FW2 I/F B22 ----> FW2

77

VRRP(Virtual Router Redundancy Protocol) 1. 기능 2. 개념 3. 구성가능 형태 4. VRRP 구성 예 - Hot-Standby - Active-Standby - Active-Active

78

1. 기능 - 스위치에 대한 리던던시 (Redundancy) 를 제공한다 . - Cisco 의 HSRP 와 유사한 개념 - 기존의 RFC 2338 에 기반하여 알테온사가 그 기능을 확장하여 VIP(SLB 에서 사용되는 ) 에

대한 VSR(Virtual Server Routing) 기능을 제공한다 . - 엑티브 -엑티브 설정을 위하여 인터페이스에 대한 공유기능을 지원한다 . - 스위치의 동적인 상태 변화에 따라 VRRP 라우터의 우선 순위를 변화시키는 트래킹 (Tracking) 기능이 제공된다 . 2. 개념 - VRRP Router : VRRP 를 구동 중인 라우터 / 스위치 - VIR (Virtual Interface Router-Alteon 에서 개선한 기능 ) - VSR (Virtual Server Router-Alteon 에서 개선한 기능 ) - Virtual ID(VRID) LAN 상에서 유일 , Virtual Router MAC 주소를 설정하는데 사용된다 . VRID 가 1 인 경우 MAC 은 00-00-5E-00-01-01 - IP Address Owner : VRRP 의 IP 와 같은 IP 를 가지고 있는 스위치를 말한다 . - Renter : Owner 가 아닌 VRRP 라우터를 말한다 . - Virtual Router Master : 실제 패킷을 전달하는 스위치 , ARP 요청에 응답을 한다 . - Virtual Router Backup : 마스터 라우터가 작동 불가인 경우에 구동 되기 위해 준비된 스위치 3. 구성 가능 형태 - Hot-Standby - Active-Standby - Active-Active

79

Hot-Standby

Internet

…….

Active VIP #1VIP = 205.178.13.226

Active VIP #2VIP = 205.178.13.227

Active VIP #3VIP = 205.178.13.228

ActiveHot

Standby

VIP #1 VIP #2 VIP #3

Standby VIP #1VIP = 205.178.13.226

Standby VIP #2VIP = 205.178.13.227

Standby VIP #3VIP = 205.178.13.228

Link with traffic

Link without traffic

80

Active-Standby

Internet

…….

Active VIP #1VIP = 205.178.13.226

Standby VIP #2VIP = 205.178.13.227

Active VIP #3VIP = 205.178.13.228

Active Active

VIP #1 VIP #2 VIP #3

Standby VIP #1VIP = 205.178.13.226

Active VIP #2VIP = 205.178.13.227

Standby VIP #3VIP = 205.178.13.228

Link with traffic

Link without traffic

81

Active-Active

Internet

…….

Active VIP #1VIP = 205.178.13.226

Active VIP #2VIP = 205.178.13.227

Active VIP #3VIP = 205.178.13.228

Active Active

VIP #1 VIP #2 VIP #3

Active VIP #1VIP = 205.178.13.226

Active VIP #2VIP = 205.178.13.227

Active VIP #3VIP = 205.178.13.228

Link with traffic

Link without traffic