L4스위치의 다양한 구성 방안4

ADC, L4-L7스위치

L4스위치의 다양한 구성 방안4 - FLB 구성 방식

테스트마이아이디 2023. 4. 20. 22:16

FLB란?

Firewall Load Balancing의 약자이다. 부르는 사람에 따라 FWLB라고 부르기도 한다.

일반적으로 L4스위치에서 Load Balancing을 얘기하면 SLB(Server Load Balancing)를 칭한다. (즉, 서버를 대상으로 Load Balancing을 한다는 의미이다.)

FLB의 경우 방화벽을 대상으로 부하분산(Load Balancing)을 한다는 의미이다.

가장 대중적인 FLB의 구성도는 다음과 같다.

1. 기본적으로 상단 L4 2식 + 방화벽 2식 + 하단 L4 2식 = 총 6대의 장비가 구성된다.

2. 일반적으로 각각 방화벽에 연결되는 회선별로 IP대역 + VLAN을 구성한다. 위 구성도의 경우 4개의 IP대역, VLAN으로 구성된 사례이다.

3. L4스위치간 Interlink는 2개 이상의 VLAN을 처리하기위해 VLAN Tagging을 사용한다.

기타)

방화벽을 기준으로 상단/하단 2개의 IP대역,VLAN으로 구성하는 경우도 있다. 해당경우 Health Check에 대한 고려가 필요하다.

운영 환경에 따라 네트워크 Zone + VPN 운영Zone 등 다양한 장비들이 추가로 구성되기도 한다.

FLB 구성의 특징1 - AsymmetricTraffic Flow 방지

Request / Response 경로가 하나의 장비에서 처리되는 것을 symmetric(대칭형) Traffic Flow라고 칭하고,

Request / Response 경로가 서로 다른 장비에서 처리되는 것을 Asymmetric(비대칭형) Traffic Flow라고 칭한다.

FLB에서 가장 중요한 내용중 하나는 Asymmetric Traffic Flow를 방지 하는 것이다.

일반적으로 방화벽은 Traffic을 처리할 때 Session Table을 생성하여 처리하는데, Asymetric Traffic Flow가 발생하면 해당 트래픽을 처리하지 못해 Drop 된다.

(물론 방화벽간에 Session Sync 기능을 사용할 수 있지만, 방화벽의 CPU와 같은 자원사용률 증가되고, FLB의 원래 목적에서 벗어난다고 보는 사람들도 있다.)

FLB 환경에서 Asymmetric Traffic Flow에 의한 장애 예시

위의 그림과 같이 Request는 FW #1으로 들어왔으나, Response가 FW #2로 돌아서 들어가게 되면,

FW #2에서는 Session table을 생성하지 않았기 때문에, Response Traffic이 Drop 된다.

이러한 경우를 방지하기 위해, L4스위치에서 다음과 같은 방법들을 사용할 수 있다.

1. 방화벽과 연결된 구간에 대하여, 들어왔던 경로를 기억하여 처리하는 Return to Sender 기능을 설정한다.

(Alteon : RTS / F5 : Last Hop)

2. EXT L4와 INT L4에서 HASH 등과 같은 방식을 사용하여, 항상 같은 경로를 보장한다.

(Alteon 에서 많이 사용하는 방식이다.)

3. EXT L4와 INT L4에서 FW #1, FW #2의 처리하는 IP대역을 사전 정의하여 보내준다.

4. FW #1, FW #2를 Active - Standby 처럼 구성하여, 평상시 하나의 방화벽만 트래픽을 처리하도록 한다.

FLB 구성의 특징2 - 경로 Health Check

SLB의 경우 서비스 대상 Real Server를 대상으로 Health Check 수행하지만,

FLB의 경우 L4스위치 간 이중화로 설정된 VIP를 대상으로 Health Check를 수행한다.

위 그림과 같이 FW #1 하단의 링크 장애가 발생하는 경우를 가정하면,

EXT L4 구간에서 FW #1의 Interface IP인 10.10.10.4를 Health Check 하는 경우, 장애를 감지할 수 없다.

이와같은 경우를 방지하려면, 방화벽의 Interface IP인 10.10.10.4를 Next Hop으로 하여 VIP 30.30.30.1을 Health Check를 수행하게 된다.

이는 각 방화벽에 연결된 IP대역, VLAN 등을 고려하여 전부 별도로 설정해야 하며, Static Routing에 대한 고려도 필요하다.

'ADC, L4-L7스위치' 카테고리의 다른 글

L4스위치의 Health Check 종류 (0)	2023.05.08
L4스위치에서 Persistence란? (0)	2023.05.04
L4스위치의 다양한 구성 방안3 - Proxy IP 구성 방식 (0)	2023.04.12
L4 스위치의 다양한 구성 방안 2 - One Arm 구성 방식 (0)	2023.04.01
L4 스위치의 다양한 구성 방안 1 - In Line 구성 방식 (0)	2023.03.28

현재글L4스위치의 다양한 구성 방안4 - FLB 구성 방식

네트워크 엔지니어의 항해일지

업무에서, 경험에서, 생활에서, 기타 겪었던 내용들의 기록장소

l4스위치, 코엑스, 석촌동, 돈까스, 쿠팡파트너스, 삼성동, ADC, 패널파워, 쿠팡, 티스토리챌린지, 오블완, L4, 부가가치세, 모우다, 그랜저ig, 토스, 이벤트, 석촌호수, 부동산임대사업자, 홈택스,

Today :
Yesterday :

일	월	화	수	목	금	토
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

네트워크 엔지니어의 항해일지