[L4 스위치] SLB 구성에 관하여 <1. Inline Bridge 구성>

 

 

 

 

L4 스위치 구성에 관한 얘기를 써보려고 한다.

 

 기본적으로 표현이나 용어 자체가 일반적이지 않을 수 있다.

 

또한 구성 방법의 경우 장비에 따라 선호하는 방식 또는 제한되는 부분이 다르기 때문에

 

고려해서 읽기 바란다.

 

 

 

---

 

 

 

첫 번째로 Inline으로 들어가는 L4 스위치 구성 중 Bridge 구성에 대해서 적어 보려고 한다.

 

 

 

- Inline 구성 -

 

Inline 구성 또는 모드라고 표현하며, 일반적인으로 장비가 구성되는 방식이다.

 

비교되는 표현으로 One orm 또는 Out of path라고 불리는 방식이 있는데

 

아래 그림을 참고한다.

 

 

보라색 강조 표시가 된 장비의 기준에서

 

왼쪽은 One arm(Out of path) 구성, 오른쪽은 Inline 구성이다.

 

One arm의 경우 IDS, Cash 서버, 개인정보 필터링 장비 등의 장비들이 주로 위치한다.

Inline은 방화벽, 보안장비, 주요 스위치들 등 대부분의 네트워크 장비가 위치한다.

 

 

 

---

 

 

 

- Bridge 구성 -

 

Bridge 구성은 현재 스위치 이전 L2의 대표 장비와 관련된 개념으로

 

방화벽 또는 보안장비를 구성하는 경우에 많이 언급 된다.

 

"L2 모드" 또는 "통대역 구성"이라고도 표현하기도 한다.

 

장비 자체에서 한 개의 대역 또는 vlan만을 가지고 있는 것으로

 

몇몇 장비에서는 L2까지의 기능으로 제한되어 라우팅 또는 게이트웨이를 설정할 수 없다고 한다.

(사실 네트워크 장비로써 넣을 수 있어야 되지 않나 생각한다...)

 

또한 Bridge 구성이 되어 있는 장비는 L2 통신으로 통과하는 패킷이 많은데

 

해당 패킷에 대한 작업? 또는 확인?을 해야 하기 때문에

 

일반적으로 장비 입장에서 무언가 특별한 조치가 필요하다.

 

 

 

---

 

 

 

- L4 스위치의 Inline Bridge 구성 -

 

앞서 설명했다시피 Bridge 구성된 장비를 지나가는 패킷은 일반적으로 L2 통신이기에

 

그 패킷에 관여를 하기 위해선 특별한 조치가 필요하다.

 

L4 스위치에서는 부하분산이라는 관여를 하게 되는데,

 

각 벤더마다 그런 특별한 조치를 할 수 있거나 되어 있다.

 

 

 

1. 그냥 일반적인 인터페이스 구성만으로 되거나

 

2. 특별한 옵션을 설정해주거나

 

3. 특별한 IP 디자인으로 강제로 대역을 분리시켜 주거나

 

 

 

1, 2번의 경우는 어쨌든 기존의 네트웍을 따르는 것으로 설정 자체도 어렵지 않고

 

이해가 특별히 필요하지도 않다.

 

그러나 일반적으로 이중화가 기본인 현재 사이트에서

 

Inline Bridge 구성은 Loop 구조와 같다고 볼 수 있다.

 

그래서 STP가 동작해야 하는데 이 부분에서 마냥 좋다고는 보기 힘들다.

 

 

이런 문제에서 나온 방식이 3번의 경우로

 

일반적으로 Virtual Bridge라고 불리는 구성이 있다.

 

이 구성의 경우에는 설정된 장비를 기준으로 강제로 대역을 분리시켜 줌으로써

 

설정에 따라 Loop 구조를 벗어나게 해 줄 수 있다.

 

그러나 강제로 분리된 대역에 대해서는 호스트 라우팅 또는

기존 대역과 겹치지 않도록 네트워크 대역 라우팅을 넣어주어야 한다.

 

(Virtual Bridge는 기회가 되면 추가로 글하나 쓸 예정)

 

 

 

 

※ 여기서부터는 위의 내용을 "모두 이해"해야 하고

메인이 되는 내용이 아닌 "주변 내용"이지만

"알면 도움이 되는 내용"이다.

 

 

계속 설명하고 있는 Inline Bridge 구성은

 

“기존에 구성된 서버팜에 L4가 추가될 때”

또는

“구성 협의부터 요구”

 

때문에 구성되는 편인데, 서버에서의 게이트웨이가

L4상단의 L3나 백본으로 설정되는 경우가 일반적이다.

 

어쨌든 L4는 부하 분산하는 대상인 서버와 밀접한 관계가 있는데,

 

이제껏 설명했던 특별한 조치도 모두

 

게이트웨이가 L4가 아닌 상단을 바라보기 때문에 발생하는 문제이다.

(서버가 L4를 게이트웨이로 바라보면 문제가 없게 되는 상황)

 

 

 

또한

 

Loop 구조를 가지고 가는 구성의 경우에는

 

STP로 인한 Block 포트의 위치 등에 따라 장애 포인트가 발생하거나 바뀌게 되고

 

전부 한 대역이기 때문에 장애 포인트를 발견하기가 쉽지 않다.

 

 

Virtual Bridge는 특별한 IP 디자인이기 때문에

 

해당 구성 방식에 대해 아는 사람이 아니면 이해하기 힘드므로

 

구성 히스토리를 유지시켜 주어야 하고

 

서버가 추가될 때 라우팅이 추가되어야 하는 점이 아쉽다.

 

 

 

고로... 그냥...

L4가 들어가면 L4 기준으로 대역을 나누는 것이 가장 깔끔하다고 생각된다 !!

 

 

 

 

 

 

 

끝