---

1. Network Device

Load Balancer

ADC

• Application Layer 에서 동작하는 Load Balancer
• 4계층에서 동작하는 L4 Switch 와 달리 애플리케이션의 프로토콜의 헤더와 내용을 이해하고 동작하므로 다양한 부하 분산이나 정보 수정 그리고 정보 필터링이 가능
• ADC는 이런 상세한 동작을 위해 Proxy로 동작
• 일부 소프트웨어 ADC를 제외한 대부분의 ADC는 L4 스위치의 기능도 가지고 있음
• 대부분의 ADC는 4계층에서 애플리케이션 계층까지 로드 밸런싱 기능을 제공하고, Failover(장애 극복 기능), Redirection 기능도 함께 수행하며 이 외에도 애플리케이션 프로토콜을 이해하고 최적화하는 다양한 기능을 제ㅐ공
• Caching, Compression, 콘텐츠 변환 및 재작성, 인코딩 변환 등이 가능하고 애플리케이션 프로토콜 최적화 기능도 제공
• 플러그인 형태로 보안 강화 기능을 추가로 제공해 WAF(Web Application Firewall) 기능이나 HTML, XML 검증과 변환을 수행할 수 있음

L4 Switch & ADC

• L4 스위치는 4계층에서 동작하면서 TCP, UDP 정보를 기반으로 부하를 분산함
• 부하 분산 뿐만 아니라 TCP 계층에서의 최적화와 보안 기능도 함께 제공할 수 있음
• TCP 레벨의 간단한 DoS(Denial of Service) 공격을 방어하거나 서버 부하를 줄이기 위해 TCP 세션 재사용과 같이 보안과 성능을 높여주는 기능도 함께 재공할 수 있음
• L4 스위치의 성능 향상 - Connection pool을 활용
• ADC는 애플리케이션 프로토콜을 이해하고 애플리케이션 내용에 대한 분산, 리다이렉션, 최적화를 제공해 L4 스위치보다 더 다양한 기능을 사용할 수 있음
• ADC는 성능 최적화를 위해 서버에서 수행하는 작업 중 부하가 많이 걸리는 작업을 별도로 수행하는데 그 중 하나가 이미지나 정적 콘텐츠 캐싱 기능

• 웹 서버에는 콘텐츠 압축 기능이 있지만 ADC 에서 이 역할을 수행해 웹 서버의 부하를 줄일 수 있는데, ADC는 하드웨어 가속이나 소프트웨어 최적화를 통해 이런 부하가 걸리는 작업을 최적화하는 기능이 있음

• 최근 SSL 프로토콜을 사용하는 비중이 늘면서 웹 서버에 SSL 암복호화 부하가 늘고 있음
• 개인정보 보호를 위해 개인정보가 전달되는 일부 페이지에서만 SSL을 사용해왔지만 보완 강화를 위해 웹사이트 전체를 SSL로 처리하는 추세
• ADC 에서는 SSL의 엔드포인트로 동작해 클라이언트에서 ADC까지의 구간을 SSL로 처리해주고, ADC와 웹 서버 사이를 일반 HTTP 를 아용해 통신하는데 대부분 이런 기능을 사용할 때는 웹 서버 여러 대의 SSL 통신을 하나의 ADC에서 수용하기 위해 ADC에 전용 SSL 가속 카드를 내장

시스템 확장 방법

• 서비스를 운영하다 보면 시스쳄 하나로 모든 서비스를 감당할 수 없을 만큼 성장하는 경우가 생기는데, 데이터 양이 늘거나 CPU나 메모리 사용량이 늘어 서버 하나로 서비스가 불가능해지면 시스템을 확장

스케일 업

• 시스템을 가장 쉽게 확장해 서비스 용량을 키우는 방법은 스케일 업인데 기존 시스템에 CPU, 메모리, 디스크와 같은 내부 컴포넌트 용량을 키우거나 이것이 불가능할 경우 새로 더 큰 용량의 시스템을 구매해 서비스를 옮기는 방법
• 스케일 업이 가능한 요소나 서비스가 있고 그렇지 않은 경우가 있음
• 파일 저장소인 디스크는 어느 정도까지는 쉽게 확장할 수 있지만 CPU, 메모리를 확장하기는 쉽지 않음
• 스케일 업을 고려해 CPU 여러 개를 꽂을 수 있고 메모리 뱅크를 많이 가진 보드를 구매해야 하는데 이 경우 초기 투자 비용이 커짐
• 스케일 업은 확장을 미리 고려해 시스템을 구축하면 초기 비용이 커지고 서비스에 적합한 시스템을 구매하면 확장이 필요할 때 기존 시스템을 버리고 더 큰 시스템을 새로 구매하므로 기존 시스템 비용이 낭비되는 문제가 있음
• 스케일 업은 필요한 용량만큼 시스템을 늘리는데 비용이 기하급수적으로 증가하는 문제가 있는데, 저가형 CPU 보다 성능이 2배 우수한 CPU는 10배 이상의 비용이 필요할 수 있음

스케일 아웃

• 스케일 업은 시스템 하나의 용량 자체를 키우지만 스케일 아웃은 같은 용량의 시스템을 여러 대 배치

• 사용자 천 명의 요청을 처리하는 시스템이 한 대 구동된다면, 5천명을 위해서는 5대의 시스템을 병렬로 운영하는 방법

• 스케일 아웃을 위해 새로 시스템 설계를 하거나 분산을 위한 별도의 프로세스를 운영하거나 LoadBalancer 와 같이 부하를 분산해주는 별도의 외부 시스템이 필요

• 스케일 업, 스케일 아웃 장단점 비교

Firewall

• 네트워크 중간에 위치해 해당 장비를 통과하는 트래픽을 사전에 주어진 정책 조건에 맞추어 허용(Permit) 하거나 차단(deny) 하는 장비가 방화벽
• 네트워크에서 보안을 제공하는 장비를 넓은 의미에서 모두 방화벽의 일종으로 불러왔지만 일반적으로 네트워크 3, 4계층에서 동작하고 세션을 인지 및 관리하는 SPI(Stateful Packet Inspection) 엔진을 기반으로 동작하는 장비를 방화벽이라고 함
• 세션 테이블이 있는 방화벽

• 방화벽은 NAT(Network Address Translation) 동작 방식과 유사하게 세션 정보를 장비 내부에 저장하고
  • 패킷이 외부로 나갈 때 세션 정보를 저장하고
  • 패킷이 들어오거나 나갈 때 저장했던 세션 정보를 먼저 참조해 들어오는 패킷이
  • 외부에서 처음 시작된 것인지 내부 사용자가 외부로 요청한 응답인지 가려냄

---

실습환경 설정: GNS3

• GNS3를 설치
  • 시뮬레이터가 아닌 에뮬레이터(가상 환경에서 실제 작동)
• CISCO 이미지 다운로드
  • 스위치로 사용할 C375 이미지와 라우터로 사용할 맨 아래에 있는 C7200 123-24T5 이미지를 다운로드
• GNS3에 이미지를 등록
  • GNS3를 구동한 후 [Edit] - [Preferences] 메뉴에서(MAC에서는 GNS3) Dynamips-IOS routes 에서 New를 눌러서 3745 이미지를 선택한 후 This is an EthernetSwitch

---

GNS3 실습

(젠장,,,,)

---

Routing 방식

# 라우팅 테이블을 확인하는 명령
show ip route

Direct Connected

• 케이블에 직접 연결된 경우로 IP 설정이 되어있고, 인터페이스가 활성화 되어 있으면 자동으로 감지를 함

# 직졉 연결된 장비 확인 가능
show cdp neighbors

Static Routing

• 정적 경로 설정으로 직접 경로로 가는 방법을 지정
• Router(config)# ip route 목적지네트워크주소 서브넷마스크 나가는인터페이스(or IP)

Dynamic Routing

• 직접 라우팅을 설정하는 것이 아니고, 자기 자신을 광고하는 방식

---

Switch

FUCK!!!

---

VLAN

• VLAN 생성
• VLAN에 포트(인터페이스 할당)
• Trunk Port 설정

---

통신을 위한 네트워크 주요 기술

NAT(Network Address Translation)

• IP 주소를 다른 IP 주소로 변환해 라우팅을 원활히 해주는 기술
• 1:1 이 기본

PAT(Port Address Translation)

• 여러 개의 IP 주소를 하나의 IP 주소로 변환하는 기술
• NART(Network Address Port Translation) 인데 줄여서 PAT로 사용
• NAT의 일종

AFT(Address Family Translation)

• IPv4의 주소를 IPv6로 변환하거나 반대로 변환하는 기술
• NAT의 일종

용도와 필요성

• IPv4의 주소 고갈 문제를 해결
  • 주소 고갈 해결 방법
    • 클래스리스를 이용한 서브네팅(CIDR)
    • NAT / PAT
    • IPv6
• 보안 강화
  • 외부와 통신할 때 내부 IP를 다른 IP로 변환해 통신하면 외부에 사내 IP 주소 체계를 숨길 수 있음
• IP 주소 체계가 같은 두 개의 네트워크 간 통신을 가능하게 해줌
  • 두 개의 다른 네트워크가 동일한 Private IP를 이용해서 내부 네트워크가 구성된 경우 NAT를 이용해서 주소 변환을 한 번 더 수행하면 내부 네트워크의 주소를 수정하지 않아도 통신이 가능
• 불필요한 설정 변경을 줄일 수 있음
  • 외부에서 사용 가능한 Public IP 로 서버를 설정한다면 ISP를 변경하거나 서버를 이전한다면 서버의 설정을 변경해야 하는데 Private IP를 이용해서 설정하고 NAT/PAT 를 이용해서 외부와 연결한다면 ISP 변경이나 이전을 했을 경우 외부 설정 변경만으로 적용이 가능