![[정종철] 뚜따에 진심인 형+과학자코스프레+현미경을구입했어
CPU 뚜따 교육자료ㅋㅋ](https://raptor-hw.net/xe/files/thumbnails/739/203/241x165.crop.jpg "뚜따에 진심인 형+과학자코스프레+현미경을구입했어")
1. 트래픽 관리의 기초
"인터넷이 왜 이렇게 느려요?" "네트워크 접속이 잘 안되거든요?"
이 말은 네트워크 관리자들이 가장 듣기 싫어하는 말 중의 하나죠. ^^
하지만 아무리 골치아픈 상황이라하더라도 구성된 네트워크 장비들이 정상으로 동작하고 있다면, 그 원인은 주어진 대역폭보다 훨씬 많은 트래픽이 폭주하여 사용율이 증가하였을 경우이거나 단위시간동안 유발되는 Connection이 엄청나게 증가하였을 경우 두가지 중 하나로 정리 할 수 있습니다.
그렇다면 대량의 트래픽을 유발하는 서비스 유형에는 무엇이 있을까요?
이는 국가마다, 지역마다, 대학이나 기업등 네트워크의 환경에 따라 조금씩 차이가 있습니다. 대표적인 대량트래픽 유발 서비스인 파일공유(웹하드 or P2P)의 경우 유럽이나 미주지역에선 BitTorrent, Kazza, eDonkey(법적 제한으로 감소추세)등이 주로 사용되고있으며 중국에서는 QQ, 국내에는 클럽박스를 비롯하여 전세계 어디에서도 찾아볼 수 없는 다양한 웹하드, P2P유형이 사용되고 있습니다. 보안이나 업무생산성이 강조되는 기업 네트워크 환경의 경우에도 네이트온, IRC, FTP, 심지어 HTTP서비스를 이용한 알리바바나 다이하드와 같은 파일공유가 이루어지고 있음을 쉽게 찾아볼 수 있습니다. 또한 이렇게 비교적(?)정상적인 서비스 유형 이외에도 Virus감염에 의하여 무차별 적인 트래픽 폭주가 발생할 수 있습니다.
Connection의 경우 소리바다와 같은 P2P에서의 파일 써치명령시 적게는 200에서 4000개 정도의 Un-Established Connection이 발생되며, Worm감염, DOS공격이 있을경우 순간적으로 수십만개의 Un-established Connection이 발생할 수 있습니다.
네트워크 관리자 입장에서의 트래픽의 관리란 네트워크 상에서 발생되는 다양한 트래픽 유형 중 정상적인 것과 그렇지 않은 것, 중요한 것과 아닌 것, 급한 것과 그렇지않은 것을 정확하게 구분하여 보호받아야 할 트래픽 유형을 보호하고 유해 트래픽을 차단함으로서 서비스의 품질(QoS)과 대역폭 사용효율을 극대화하는 것을 의미합니다.
2. QoS Architecture
현재까지 국내에 소개된 QoS Solution은 매우 다양하며 장비마다 고유의 특장점과 문제점을 가지고 있으나 기본 구조는 매우 유사합니다.
QoS 구성요소
- Classifier
- Packet Marker
- Policer
- Buffer Manager
- QoS Scheduler
그래야 정확한 처방전(대역폭 관리 및 차단/Drop)이 발행될 수 있겠죠... ^^
위의 그림에서와 같이 일반적인 QoS핵심기능의 처리과정은 매우 Simple합니다.
첫번째 과정은 유입되는 Traffic유형이 무엇인지를 구분(Classifier)하는 것이고 이 과정은 시스템의 성능과 가장 밀접한 관계를 가지게 됩니다.
첫번째 Classifier Block 이후의 과정은 Marker, Policer, Buffer Manager, Queue Scheduler등의Traffic manager Block에서 각 장비마다의 다양한 알고리즘(FIFO, SPQ, FQ, WFQ, WRR, CBQ, DWRR 등)이 적용되어 처리되어지게 됩니다.
3. QoS의 핵심기능
어느정도 네트워크 관리 경험이 있으신 분들은 과거 인터넷 대란을 기억하실 것 입니다.
당시 많은 QoS장비들은 유입되는 Traffic과 순간적으로 생성되는 엄청난 Connection을 감당하지 못해 장렬하게 전사했으며 이후 QoS장비에 대한 인식은 매우 부정적으로 인식되어 한동안 시장에서 호응을 얻을 수 없었습니다.
잘 아시는 바와 같이 TCP, UDP, ICMP등 다양한 유형의 인터넷 Protocol을 만족하는 Traffic은 Header부분에 미리 약속한 Format이 지정되어 전송됩니다. 현재까지 시장의 주류를 이루고 있는 대부분의 QoS장비들은 상기 Classifier Block에서 약속된 Format Field중 Layer4에 해당하는 Port정보(0 ~ 65535)를 이용하여 Traffic유형을 구분하는 작업을 합니다.
Port정보를 기반으로한 Classifier Block은 비교 대상이 매우 단순함으로 ASIC화 가능하며 실제 ASIC을 적용한 장비도 있습니다. 그러나, Port정보를 기반으로한 Traffic유형의 분류는 장비의 처리용량을 향상시킬 수는 있으나 원치않는 부작용을 초래할 수 있으므로 정책설정에 많은 제약을 가져오게됩니다.
인터넷 서비스 유형 저마다 정해진 고유의 Port정보만을 이용하는 것 아니라 아래 그림과 같이 매우 다양한 Port값으로 변환해 가며 사용되는 서비스가 존재하기 때문입니다.
HTTP(웹) 서비스에서 사용되는 Port정보 예)
기존 QoS장비가 Traffic유형을 구분하지 못하는 Others(Unknown,미분류등)의 비율이 40%이상일 수 밖에 없는 이유는 여기에서 기인한 것이기도 합니다. 단적으로 Others의 비율이 높다는 이야기는 그 비율 만큼은 관리자가 관리할 수 없음을 의미합니다.
따라서, QoS장비의 평가에 있어서 트래픽 관리의 핵심인 Classifier Block에서의 Layer7 Signature인식은 물론 관리자의 네트워크 환경에서 발생하는 서비스 유형에 대한 Signature의 제공여부가 가장 높은 우선순위로 고려되어야 할 것입니다. 아무리 획기적인 대역폭 보장이나 제한 알고리즘이 구현되어있다 하더라도 그 관리 대상이 되는 서비스 유형 구분이 근본적으로 잘못되어있다면 그 결과는 의미없는 것이기 때문입니다. 이것은 쉽게... 조금은 극단적으로 설명하자면 오렌지색 고무공을 가지고 단지 오렌지색이라는 이유로 귤이라고 단정하고 갖은 야채와 함께 최고의 요리사를 통하여 만든 샐러드를 자신의 아이에게 먹으라고 강요하는 것과 다르지 않을 것입니다...
몇몇 QoS제품들은 이러한 문제점을 보완하기 위하여 Layer7 Signature를 이용하여 구분하는 기능이 탑재된 Model들을 출시하고 있습니다. L7 Signature란 서비스 유형 저마다 가지고있는 고유의 Pattern을 의미합니다. 일반적으로 IPS에 적용되어 있는 Virus Pattern역시 L7 Signature의 하나로 생각하셔도 될 것입니다. 그러나, 현재까지는 L7기능의 처리에 있어 HTTP, FTP, eDonkey, Bittorient등 잘 알려진 외산 서비스 유형으로 제한되고 있으며 L7처리기능을 활성화할 경우 처리용량에 있어 급속한 성능저하를 보이는 문제점을 가지고 있습니다.
또한, 기술지원이 안되는 일부 외산 장비의 경우 다양한 국내 서비스 유형에 적응하지 못하고 L7기능의 지원 가능함과 관계없이 L4기반으로 운영되고 있습니다.
IT강국 대한민국 네티즌들이 대형 Traffic을 유발시키는 P2P나 웹 하드 유형으로 당나귀나BitTorrent만을 사용하지는 않겠죠...?
서구의 엔지니어들은 한국내의 다양한 서비스 유형에 혀를 내두르곤 합니다.
클럽박스, 소리바다, 토토디스트, 폴더플러스등...
한국처럼 다양한 웹 하드, P2P유형이 존재하는 나라는 드물다고 합니다.
네트워크 관리를 위한 장비군은 매우 다양하게 나뉘어져 있습니다.
Firewall, IDS, IPS, QoS, TMS, 웹 방화벽, 스니퍼, 로그서버... 등 등 등
이렇게 다양한 장비군들이 다양한 각도로 시장에서 소개되고 있지만 네트워크 관리자들이 원하는 것은 매우 Simple합니다.
Layer7단계에서 이루어지는 모든 Host, Connection, Service에 대한 투명한 네트워크 관리...
L7 Contents를 기반으로한 QoS 및 Firewall정책의 적용 및 Log관리...
국산 Signature 제공을 통한 관리영역의 극대화...
한글 Client및 한글 통계보고서의 추출...
더불어 1Gbps급 Traffic이 유발되는 Network에서 성능저하 없이 운영될 수 있는 장비가 있다면 최고일 것입니다.
이러한 기능과 성능지원이 가능할까요? 어렵겠죠...?
이러한 장비가 신동엽의 있다?/없다?... ^^
