WCR 이란! WCR이란 과거의 일반적인 Cache 솔루션과는 다른 개념으로 일반 사용자들은 Cache의 존재여부에 대하여 설정을 할 필요가 없어 지고, 또한 사용자들이 Cache의 존재 유무를 인식함이 없이 Cache를 사용하게 할 수 있다. 과거의 Cache 서버는 사용자가 브라우저 상에서 Cache를 설정하는 방식이나, Cache를 게이트웨이 역할을 하게 하는 방식을 많이 사용하였는데, 이러한 방식과 달리 WCR은 외부로 나가는 네트웤 선상에 존재하여 특정 트래픽(HTTP)인 경우 자동적으로 Cache로 트래픽을 전달하여 주는 Transparency Cache솔루션이다.

Transparent cache farm 2. 알테온 솔루션의 특징 가. Transparent Cache 기능 - HTTP 요청에 대해서만 중간에서 가로채 지정된 Cache 로 돌려준다. 나. Cache 로드 밸런싱 지원 다. 패킷 의 목적지 MAC을 Cache의 MAC 주소로 대치 한다. 라. Non-http 트래픽은 바이패스 한다. 마. 어플리케이션 리다이렉션의 한 종류 @ 어플리케이션 리다이렉션 - 어플리케이션 리다이렉션은 클라이언트들의 특정 서비스에 대하여 지정 된 서버군으로 트래픽을 전달하는 기능을 말한다. (SLB + Filter) Host B Yahoo.com Host A HTTPTo A HTTPTo B Transparent cache farm Non-HTTP Internet

Transparent cache farm Host B Yahoo.com Host A HTTPTo A HTTPTo B Transparent cache farm Non-HTTP Internet 10.1 10.2 3. 실제 설정 방법 및 절차 3-1 Cache를 Transparent 모드로 설정하고 알테온 스 위치와 연결한다. 3-2 Cache를 리얼 서버로 설정한다. - 명령어 : /cfg/slb/re 1 [Real server 1 Menu] rip - Set IP addr of real server name - Set server name weight - Set server weight maxcon - Set maximum number of connections tmout - Set minutes inactive connection remains open backup - Set backup real server inter - Set interval between health checks retry - Set number of failed attempts to declare server DOWN restr - Set number of successful attempts to declare server UP addlb - Add URL path for URL load balance remlb - Remove URL path for URL load balance remote - Enable/disable remote site operation proxy - Enable/disable client proxy operation submac - Enable/disable source MAC address substitution nocook - Enable/disable no available URL cookie operation exclude - Enable/disable exclusionary string matching ena - Enable real server : 리얼 서버를 활성화 한다. dis - Disable real server del - Delete real server cur - Display current real server configuration >> Real server 1 # rip 192.2.10.1/enable

Transparent cache farm Host B Yahoo.com Host A HTTPTo A HTTPTo B Transparent cache farm Non-HTTP Internet 10.1 10.2 WCR에서는 앞의 VSLB(Virtual Server Load Balancing)과 달리 포트에 server/client설정을 하지 안는다. 3-3 리얼서버를 리얼서버그룹으로 묶는다. - 명령어 : /cfg/slb/gr 1 - 그룹설정 시 로드 밸런싱 정책은 Hash로 해 주어 야 Cache의 히트율이 높아진다. [Real server group 1 Menu] metric - Set metric used to select next server in group content - Set health check content health - Set health check type : backup - Set backup real server or group name - Set real server group name realthr - Set real server failure threshold add - Add real server rem - Remove real server del - Delete real server group cur - Display current group configuration >> Real server group 1# add 1/add 2 >> Real server group 1# health http >> Real server group 1# metric hash

Transparent cache farm 3-4 필터를 적용한다. 3-4-1. 명령어 : /cfg/slb/fil 100(필터번호)  (redirection) >> Layer 4# fil 100 [Filter 100 Menu] adv - Filter Advanced Menu smac - Set source MAC address dmac - Set destination MAC address sip - Set source IP address smask - Set source IP mask dip - Set destination IP address dmask - Set destination IP mask proto - Set IP protocol sport - Set source TCP/UDP port or range dport - Set destination TCP/UDP port or range action - Set action group - Set real server group for redirection rport - Set real server port for redirection nat - Set which addresses are network address translated invert - Enable/disable filter inversion ena - Enable filter dis - Disable filter del - Delete filter cur - Display current filter configuration >> Filter 100 # dport http/pro tcp/rport 80 >> Filter 100 # action redir >> Filter 100 # group 1 Host B Yahoo.com Host A HTTPTo A HTTPTo B Transparent cache farm Non-HTTP Internet 10.1 10.2

Transparent cache farm 3-4-2. 필터 적용(Non-Http트래픽에 대한 허용 처리) - 필터 번호 224로 정의한다. >> Filter 224 # enable - 224번 필터에는 아무런 설정 사항이 없이 필터만 활성 화 하여 준다. 3-4-3. 필터를 클라이언트 트래픽이 들어오는 포트에 추가 [SLB port 9 Menu] client - Enable/disable client processing server - Enable/disable server processing hotstan - Enable/disable hot-standby processing intersw - Enable/disable inter-switch processing proxy - Enable/disable use of PIP for ingress traffic pip - Set Proxy IP address for port filt - Enable/disable filtering : 필터를 활성화하기 위한 메뉴 add - Add filter to port : 필터를 추가하기 위한 메뉴 rem - Remove filter from port cur - Display current port configuration >> SLB port 9# add 100/add 224<필터 번호> >> SLB port 9# filt en >> SLB port 9# apply/save Host B Yahoo.com Host A HTTPTo A HTTPTo B Transparent cache farm Non-HTTP Internet 10.1 10.2 9번 포트

@ Filter 의 조건식과 적용 가능 처리 옵션 사항 Frame /Session Inspection Engine @ Filter 의 조건식과 적용 가능 처리 옵션 사항 Source MAC Destination MAC IP Source Addr /Range IP Dest Addr / Range Protocol Type TCP/UDP Source Port TCP/UDP Dest Port Non-IP packets filtering IP options Type of Service (TOS) ICMP message types Echo, Echo reply, Source quench, Redirect) TCP flags Syn, Ack, Rst, Fin, Psh, Urg Allow/Frame Forward Frame Ingress Redirect to Server Group Action Drop NAT (Destination or Source IP Address)

4. Hash 정책 5. 필터의 순서 - Hash 알고리즘은 사용되는 로드밸런싱 또는 어플리케이션 리다이렉션의 타입 에 따라 다른 변수를 가지게 된다. - VSLB(Virtual Server Load Balancing)의 경우, Hash 알고리즘은 패킷의 SIP 만을 변수로 사용하게 된다. 동일한 유저로부터의 요청은 항상 동일한 서버로 전달 된다. - HTTP나 Ftp의 App 리다이렉션의 경우는 오직 패킷의 DIP(Destination IP)만 이 변수로 작용하게 된다. 유저로부터의 요청에 대하여 히트율을 높이기 위하여 사용 됨 - 그 외 종류의 경우는 SIP와 DIP가 모두 변수로 사용 된다. 5. 필터의 순서 - 필터는 필터의 번호대로 적용이 되어 진다. (1번  224번 순) - 예외적 룰이나 바이 패스 룰을 먼저 적용한다. - 필터의 히트율이 높은 것을 우선 순위로 한다. - 디폴트 필터는 마지막(224번)에 놓는다

@ Content-Based SLB/WCR Contents 기반의 SLB와 WCR은 로드발란싱을 하는데 있어 서비스 포트 이외에 패킷의 데이터를 검사하여 설정 된 조건과 부합 된 트래픽은 특정 서버로 스위칭을 하는 기능을 말한다. 통칭 말하는 것이 이에 해당한다. L5/6/7 스위칭이라

Contents 기반의 지능형 Load Balancing URL sub-string match: 서버를 특정 Contents 타입으로만 최적화 할 수 있다. Contents의 분리로 리플리케이션을 최소화 할 수 있고, Contents의 관리가 용이 어떤 길이의 URL도 파싱 가능; 설정 가능한 128개의 패턴을 검사 가능 “images” “.gif” “.jpg” RIP_1 RIP_2 “.cgi” “.bin” “.exe” RIP_3 RIP_4 HTTP 1.1 request GET /www.foo.com/images/abc.gif RIP_1로 전달 GET/www.foo.com/event/reg.bin GET /www.foo.com/event/reg.bin URL을 검사 후 RIP_3 선택 RIP_1와의 연결을 해제 RIP_3와 연결 …

Contents 기반의 지능형 Cache Redirection Excite.hk.co foo.com Yahoo.jp.co Yahoo.com Excite.com URL헤싱에 의한 로드 발란싱 호스트헤더가 ”hk”, “jp”, 인 경우는 바이 패스 … Spread big sites over multiple caches: RIP_1 넌 케셔블 데이터도 바이패스 “.exe”, … www.excite.com/weather www.lycos.com/weather RIP_2 www.yahoo.com/weather 아래와 같은 경우는 Redir: “/weather” :RIP_1, RIP_2 “/map” :RIP_2 “/company” :RIP_3 www.excite.com/map www.yahoo.com/map www.abc.com/mapping-tools RIP_3 www.alteon.com/company www.ibm.com/company www.ge.com/company www.gap.com/company GET /…/ Host=www.excite.hk.co Host=www.yahoo.jp.co RIP_4 GET www.Yahoo.com/weather GET www.yahoo.com/myahoo.exe GET www.yahoo.com/weather GET www.excite.com/map

FWLB(Firewall Load Balancing) 1. FWLB의 장점 - 72 p - 2 FWLB(Firewall Load Balancing) 1. FWLB의 장점 - 72 p - 2. FWLB의 개념 - 73 p - 3. 설정 사항 전 네트웤 구성 - 74 p - 4. 설정 절차 - 75 p - 4-1. 스위치의 인터페이스 설정 - 75 p - 4-2. VLAN 설정 - 76 p - 4-3. 리얼 서버 설정 - 77 p - 4-4. 리얼 서버 그룹 설정 - 78 p - 4-5. IP 포워딩 설정 - 78 p - 4-6. 정적 라우팅 설정 - 79 p - 4-7. 필터 설정(1),(2) - 80 p - 4-8. 필터 적용 - 82 p - 5. 리던던시를 이용한 구성 예 - 83 p -

1. Firewall Load Balancing의 장점 Firewall Farm Internet Secured Web Farm 성능 향상 256개의 FWLB를 지원 Redundant firewalls can actively bear load 가용성 - F/W 이 있는 경로에 대한 헬스 체크. - Active-Active redundant switch 지원. 투명함 - F/W 에 별도의 소프트웨어가 불 필요. 플랫폼에 독립적 - NT, Solaris, UNIX 또는 firewall 장비 - Routing 또는 transparent firewalls, NAT firewalls 집적화 된 기능 - F/W,Web 서버 로드 발란싱 기능을 동시에 구현 가능 - 스위치에서 패킷 필터링을 사용하여 F/W의 부하를 경감. 다수의 파이어월이 설치된 네트워크에서 모든 파이어월들을 가용성있게 하여 전체적인 네트워크 부하를 줄이는 역할을 하며 또한, 유사시에 파이어월들 중에 일부가 다운되더라도 나머지 가용한 파이어월들은 서비스를 할 수 있어서 네트워크의 안정성이 보장됩니다.

2. FWLB의 개념 Secured Internet 어월이 그 두개의 경로 위에 올라가 있는 구성이다. 웹 스위치는 모든 IP트래픽을 정의된 인터페이스 그룹으로 리다이렉션한다. 인터페이스 그룹(리얼 서버 그룹)은 반대편 스위치의 인터페이스 IP로 구성 되어 진다. MAC주소 교체 방식을 사용(Routing) 스위치는 설정 된 정적 라우팅을 사용하여 강제로 트래픽을 동일한 경로로 보낸다. Hash 정책을 사용하며, 이 정책은 흐름의 상태를 유지하기 위하여 SIP와 DIP를 변수로 사용한다. Dirty-Side와 Clean-Side사이의 전체 구간에 대한 Health Check를 위하여 화이어월을 게 이트웨이로 사용한다.(정적 라우팅 설정 시 사용) Internet I/F A1 I/F A2 I/F B1 I/F B2 FW1 FW2 Redir any (src, dest) to I/F group on opposing switch (B1, B2) Static routes I/F B1 ----> FW1 I/F B2 ----> FW2 Redir any (src, dest) to I/F group on opposing switch (A1, A2) Static routes: I/F A1 ----> FW1 I/F A2 ----> FW2 Secured

3. 설정 사항 전 네트웤 구성 Internet Firewall Farm 보안이 된 Network 192.168.11.0 Net #4 192.168.13.0 IF #3 : 192.168.11.254 IF #3 : 192.168.13.254 IF #1 : 210.116.39.127/25 Firewall Farm 보안이 된 Network Internet Net #1 192.168.10.0 Net #3 192.168.12.0 IF #2 : 192.168.10.254 IF #2 : 192.168.12.254 IF #1 : 210.116.39.254/25 Net #5 210.116.39.0/25 Net #6 210.116.39.128/25 3. 설정 사항 전 네트웤 구성 - 우선 적으로 화이어 월 로드 밸런싱 시에 좌측과 같이 네트웤이 6개가 필요하게 된다. (4개의 네트웤으로도 구성이 가능하나 일반 적으 로 6개의 네트웤을 사용하게 된다.) - 화이어 월을 기준으로 상하로 다른 네트웤을 우로 다른 네트웤을 구성한다. - 또한 외부 라우터 단과 내부 백본 단의 각 네트웤 이 하나씩 필요하게 된다. - 그러므로 상/하의 알테온 스위치가 3개의 네트웤 을 가지게 된다. 그리고 프레임의 불필요한 플러딩을 방지 하기 위해 각 인터페이스마다 다른 VLAN설정을 한다.

4. 설정 절차 Internet Firewall Farm 보안이 된 Network 4-1 스위치의 인터페이스 설정 192.168.10.0 Net #2 192.168.11.0 Net #3 192.168.12.0 Net #4 192.168.13.0 IF #2 : 192.168.10.254 IF #3 : 192.168.11.254 IF #2 : 192.168.12.254 IF #3 : 192.168.13.254 IF #1 : 210.116.39.126/25 IF #1 : 210.116.39.254/25 Net #5 210.116.39.0/25 Net #6 210.116.39.129/25 4. 설정 절차 4-1 스위치의 인터페이스 설정 명령어 : /cfg/ip/if 1(인터페이스 번호) [IP Interface 1 Menu](상단 스위치 예) addr - Set IP address mask - Set subnet mask broad - Set broadcast address vlan - Set VLAN number ena - Enable IP interface dis - Disable IP interface del - Delete IP interface cur - Display current interface configuration >> IP Interface 1#add 210.116.39.126/ena >> IP Interface 1#mask 255.255.255.128 >> IP Interface 1#broad 210.116.39.127 >> IP Interface 1# vlan 1 위와 같은 방법으로 IF #2와 #3을 설정하고 각 각 Vlan 2/3번으로 지정한다. 그리고 하단의 스위치도 동일한 방식으로 설정한다.

Internet Firewall Farm 보안이 된 Network 4-2 각 VLAN에 사용 될 물리적 포트 할당 - 명령어 : /cfg/vlan 2 [VLAN 2 Menu] name - Assign VLAN name jumbo - Enable/disable Jumbo Frame support del - Delete VLAN ena - Enable VLAN dis - Disable VLAN add - Add port to VLAN rem - Remove port from VLAN def - Define VLAN as list of ports cur - Display current VLANs >> VLAN 2# add 1/add 2 - 각 VLAN에 사용 될 포트를 할당한다. - VLAN 3번에 대하여도 3번과 4번 포트를 할당한다. - 기본적으로 모든 포트는 VLAN1번에 할당이 되어 있으므로 VLAN 1번에 대한 설정은 하지 않아도 된다. - 하단의 스위치도 동일한 방식으로 처리한다. - 보통 포트 불량을 대비하여 여분의 포트를 하나 더 추 가 한다. Firewall Farm 보안이 된 Network Internet Net #1 VLAN #2 Net #2 VLAN #3 Net #3 Net #4 IF #2 : 192.168.10.254 IF #3 : 192.168.11.254 IF #2 : 192.168.12.254 IF #3 : 192.168.13.254 IF #1 : 210.116.39.126/25 IF #1 : 210.116.39.254/25 Net #5 VLAN #1 Net #6

Internet Firewall Farm 보안이 된 Network 4-3 로드 발란싱을 위한 리얼 서버 설정 4-3 로드 발란싱을 위한 리얼 서버 설정 - 반대편 스위치의 인터페이스(화이어 월과 연결 된)를 리얼 서버로 한다. - 리얼 서버 설정 시 리얼 서버의 순서를 동일하게 하여 야 한다. 상단 스위치 하단 스위치 리얼서버 #1 : 192.168.12.254  리얼서버 #1 : 192.168.10.254 리얼서버 #2 : 192.168.13.254  리얼서버 #2 : 192.168.11.254 - 명령어 : /cfg/slb/re 1(리얼서버의 번호) [Real server 1 Menu] rip - Set IP addr of real server name weight - Set server weight … exclude - Enable/disable exclusionary string matching ena - Enable real server : 리얼 서버를 활성화 한다. dis - Disable real server del - Delete real server cur - Display current real server configuration >> Real server 1 # rip 192.168.12.254/enable - 리얼서버 2에 대하여도 설정을 하여 준다. - 하단의 스위치도 동일하게 설정을 한다. Firewall Farm 보안이 된 Network Internet Net #1 192.168.10.0 Net #2 192.168.11.0 Net #3 192.168.12.0 Net #4 192.168.13.0 IF #2 : 192.168.10.254 IF #3 : 192.168.11.254 IF #2 : 192.168.12.254 IF #3 : 192.168.13.254 IF #1 : 210.116.39.126/25 IF #1 : 210.116.39.254/25 Net #5 210.116.39.0/25 Net #6 210.116.39.129/25

Internet Firewall Farm 보안이 된 Network 4-4 리얼서버의 그룹 설정 4-4 리얼서버의 그룹 설정 - 명령어 : /cfg/slb/gr 1 [Real server group 1 Menu] metric - Set metric used to select next server in group content - Set health check content health - Set health check type : backup - Set backup real server or group name - Set real server group name realthr - Set real server failure threshold add - Add real server rem - Remove real server del - Delete real server group cur - Display current group configuration >> Real server group 1# add 1/add 2 >> Real server group 1# health icmp >> Real server group 1# metric hash 4-5 스위치 내에서 라우팅을 위한 IP Forwarding 설정 - 명령어 : /cfg/ip/frwd [IP Forwarding Menu] local - Local network definition for route caching menu dirbr - Enable/disable forwarding directed broadcasts on - Globally turn IP Forwarding ON off - Globally turn IP Forwarding OFF cur - Display current IP Forwarding configuration >> IP Forwarding# on Firewall Farm 보안이 된 Network Internet Net #1 192.168.10.0 Net #2 192.168.11.0 Net #3 192.168.12.0 Net #4 192.168.13.0 IF #1 : 210.116.39.126/25 Net #5 210.116.39.0/25 Net #6 210.116.39.129/25 IF #1 : 210.116.39.254/25 IF #3 : 192.168.13.254 IF #2 : 192.168.12.254 IF #3 : 192.168.11.254 IF #2 : 192.168.10.254

Internet Firewall Farm 보안이 된 Network 192.168.10.0 Net #2 192.168.11.0 Net #3 192.168.12.0 Net #4 192.168.13.0 IF #3 : 192.168.11.254 IF #3 : 192.168.13.254 IF #1 : 210.116.39.126/25 Net #5 210.116.39.0/25 Net #6 210.116.39.129/25 IF #2 : 192.168.12.254 IF #1 : 210.116.39.254/25 IF #2 : 192.168.10.254 IF : 10.1 IF : 12.1 IF : 11.1 IF : 13.1 4-6 리얼 서버의 Health Check를 위한 라우팅 설정 - 반대편 알테온 스위치의 인터페이스를 체크하기 위하 여 해당 네트웤과 연결 된 화이어 월의 인터페이스를 설정한다. 예) 192.168.12.0 Net에 대한 게이트웨이를 192.168 .10.1을 설정 한다. - 명령어 : /cfg/ip/route [IP Static Route Menu] add - Add static route rem - Remove static route cur - Display current static route configuration >> IP Static Route#add 192.168.12.0 Enter destination subnet mask: 255.255.255.0 Enter gateway IP address: 192.168.10.1 Enter interface number: (1-256) 2 위와 같은 방식으로 다른 리얼 서버에 대하여도 설정 하단의 스위치도 동일한 방식으로 설정한다.

Internet Firewall Farm 보안이 된 Network 4-7. 트래픽 리다이렉션 설정 (1) - 경로에 대한 로드 밸런싱은 필터를 이용하여 설정 된다. - 외부에서 내부로 들어가는 모든 트래픽은 리다이렉션 필터를 통하여 반대편의 스위치로 라우팅되며 그 과정 에서 로드 밸런싱이 이루어 진다. - 명령어 : /cfg/slb/fil 224(필터 번호) [Filter 224 Menu] adv - Filter Advanced Menu … action - Set action group - Set real server group for redirection rport - Set real server port for redirection nat - Set which addresses are network address translated invert - Enable/disable filter inversion ena - Enable filter dis - Disable filter del - Delete filter cur - Display current filter configuration >> Filter 224 # action redir/ena - 위의 필터만으로 화이어월 로드 밸런싱이 가능하지만 일반적으로 스위치가 가지고 있는 네트웤에 대하여는 Allow하는 필터를 넣어 준다 Firewall Farm 보안이 된 Network Internet Net #1 192.168.10.0 Net #2 192.168.11.0 Net #3 192.168.12.0 Net #4 192.168.13.0 IF #3 : 192.168.11.254 IF #3 : 192.168.13.254 IF #1 : 210.116.39.126/25 Net #5 210.116.39.0/25 Net #6 210.116.39.129/25 IF #2 : 192.168.12.254 IF #1 : 210.116.39.254/25 IF #2 : 192.168.10.254 IF : 10.1 IF : 12.1 IF : 11.1 IF : 13.1

Internet Firewall Farm 보안이 된 Network 4-7. 트래픽 리다이렉션 설정 (2) 4-7. 트래픽 리다이렉션 설정 (2) - 이 경우는 전번의 방식과 달리 내부에 있는 네트웤을 필터에 지정하여 리다이렉션하는 방식이다. - 이 경우 내부에 네트웤이 여러개인 경우 필터가 여러 개 들어가게 된다. - 명령어 : /cfg/slb/fil 100(필터 번호) [Filter 100 Menu] adv - Filter Advanced Menu … dip - Set destination IP address dmask - Set destination IP mask action - Set action group - Set real server group for redirection rport - Set real server port for redirection nat - Set which addresses are network address translated invert - Enable/disable filter inversion ena - Enable filter dis - Disable filter del - Delete filter cur - Display current filter configuration >> Filter 100 # dip 210.116.39.128/dmask 255.255.255.128 >> Filter 100 # action redir/ena Firewall Farm 보안이 된 Network Internet Net #1 192.168.10.0 Net #2 192.168.11.0 Net #3 192.168.12.0 Net #4 192.168.13.0 IF #3 : 192.168.11.254 IF #3 : 192.168.13.254 IF #1 : 210.116.39.126/25 Net #5 210.116.39.0/25 Net #6 210.116.39.129/25 IF #2 : 192.168.12.254 IF #1 : 210.116.39.254/25 IF #2 : 192.168.10.254 IF : 10.1 IF : 12.1 IF : 11.1 IF : 13.1

Internet Firewall Farm 보안이 된 Network 4-7 포트에 필터 추가 192.168.10.0 Net #2 192.168.11.0 Net #3 192.168.12.0 Net #4 192.168.13.0 IF #3 : 192.168.11.254 IF #3 : 192.168.13.254 Port #8 Net #5 210.116.39.0/25 Net #6 210.116.39.129/25 IF #2 : 192.168.12.254 IF #2 : 192.168.10.254 IF : 10.1 IF : 12.1 IF : 11.1 IF : 13.1 4-7 포트에 필터 추가 - 리다이렉션 필터는 외부와 내부에서 트래픽이 들 오는 포트에 추가한다. - 명령어 : /cfg/slb/po 8 [SLB port 8 Menu] client - Enable/disable client processing server - Enable/disable server processing hotstan - Enable/disable hot-standby processing intersw - Enable/disable inter-switch processing proxy - Enable/disable use of PIP for ingress traffic pip - Set Proxy IP address for port filt - Enable/disable filtering add - Add filter to port rem - Remove filter from port cur - Display current port configuration >> SLB port 8# add 224/fil en - 설정 된 리다이렉션 필터와 허용필터를 모두 걸어 준다. >> SLB port 8# /ma/slb/on >> Main# apply/save

5. 리던던시를 사용한 구성 예 A1 B1 A2 B2 FW1 Primary FWLB 시 주의 사항 5. 리던던시를 사용한 구성 예 FWLB 시 주의 사항 - 알테온 스위치 자신에게로 오는 트래픽은 리다이렉션 시키지 말아야 한다. 알테온 스위치에 설정 된 네트웤에 대한 트래픽은 허용처리한다. - 리던던시 사용에 의한 구성에서 Vrrp에 사용 되는 멀티케스트 트래픽은 허용하여 주어야 한다.(224.0.0.0에 대한 허용 필터를 정의 한다.) I/F A11 I/F A21 I/F A12 I/F A22 A1 A2 B2 FW1 FW2 B1 I/F B11 I/F B21 I/F B12 I/F B22 Primary Secondary Real servers = A11, A21, A12, A22 Static routes: I/F A11 ----> FW1 I/F A21 ----> FW1 I/F A12 ----> FW2 I/F A22 ----> FW2 Real servers = B11, B21, B12, B22 Static routes: I/F B11 ----> FW1 I/F B21 ----> FW1 I/F B12 ----> FW2 I/F B22 ----> FW2

VRRP(Virtual Router Redundancy Protocol) 1. 기능 2. 개념 3. 구성가능 형태 4 VRRP(Virtual Router Redundancy Protocol) 1. 기능 2. 개념 3. 구성가능 형태 4. VRRP 구성 예 - Hot-Standby - Active-Standby - Active-Active

3. 구성 가능 형태 1. 기능 - 스위치에 대한 리던던시(Redundancy)를 제공한다. 1. 기능 - 스위치에 대한 리던던시(Redundancy)를 제공한다. - Cisco의 HSRP와 유사한 개념 - 기존의 RFC 2338에 기반하여 알테온사가 그 기능을 확장하여 VIP(SLB에서 사용되는)에 대한 VSR(Virtual Server Routing)기능을 제공한다. - 엑티브-엑티브 설정을 위하여 인터페이스에 대한 공유기능을 지원한다. - 스위치의 동적인 상태 변화에 따라 VRRP 라우터의 우선 순위를 변화시키는 트래킹(Tracking) 기능이 제공된다. 2. 개념 - VRRP Router : VRRP 를 구동 중인 라우터/스위치 - VIR (Virtual Interface Router-Alteon에서 개선한 기능) - VSR (Virtual Server Router-Alteon에서 개선한 기능) - Virtual ID(VRID) LAN 상에서 유일, Virtual Router MAC 주소를 설정하는데 사용된다. VRID가 1인 경우 MAC은 00-00-5E-00-01-01 - IP Address Owner : VRRP의 IP와 같은 IP를 가지고 있는 스위치를 말한다. - Renter : Owner가 아닌 VRRP 라우터를 말한다. - Virtual Router Master : 실제 패킷을 전달하는 스위치, ARP요청에 응답을 한다. - Virtual Router Backup : 마스터 라우터가 작동 불가인 경우에 구동 되기 위해 준비된 스위치 3. 구성 가능 형태 - Hot-Standby - Active-Standby - Active-Active

Hot-Standby ……. Internet Link with traffic Link without traffic Active VIP #1 VIP = 205.178.13.226 Active VIP #2 VIP = 205.178.13.227 Active VIP #3 VIP = 205.178.13.228 Standby VIP #1 VIP = 205.178.13.226 Standby VIP #2 VIP = 205.178.13.227 Standby VIP #3 VIP = 205.178.13.228 Hot Standby Active Link with traffic Link without traffic ……. VIP #1 VIP #2 VIP #3

Active-Standby ……. Internet Link with traffic Link without traffic Active VIP #1 VIP = 205.178.13.226 Standby VIP #2 VIP = 205.178.13.227 Active VIP #3 VIP = 205.178.13.228 Standby VIP #1 VIP = 205.178.13.226 Active VIP #2 VIP = 205.178.13.227 Standby VIP #3 VIP = 205.178.13.228 Active Active Link with traffic Link without traffic ……. VIP #1 VIP #2 VIP #3

Active-Active ……. Internet Link with traffic Link without traffic Active VIP #1 VIP = 205.178.13.226 Active VIP #2 VIP = 205.178.13.227 Active VIP #3 VIP = 205.178.13.228 Active VIP #1 VIP = 205.178.13.226 Active VIP #2 VIP = 205.178.13.227 Active VIP #3 VIP = 205.178.13.228 Active Active Link with traffic Link without traffic ……. VIP #1 VIP #2 VIP #3