네트워크 엔지니어의 항해일지

Alteon에서 SSL Offload와 같은 서비스를 할 때, SSL 패킷에 대해 복호화 하여 트러블슈팅을 해야할 경우가 있다. Alteon에서 SSL 패킷을 복호화 하여 분석하려면 다음과 같이 패킷캡쳐를 진행 후 wireshark에서 분석한다. 1. Alteon에서 Pre Master Key(또는 Pre Master Secret)을 포함하여 패킷캡쳐패킷캡쳐 수행 시 -M 옵션을 포함하면 Pre Master Key(또는 Pre Master Secret)을 포함하여 패킷캡쳐를 진행한다.>> Standalone ADC - Main# /maint/pktcap/data/capture -M -E Current Free HD Space is 75280 MBs. Packet capture is starting, ty..

SSL Offload란?SSL Offload는 로드 밸런서나 ADC제품에서 SSL/TLS 암호화 및 복호화 작업을 서버 대신 처리하는것을 말한다.Alteon 또한 ADC 제품이며, SSL Offload 기능을 제공한다.SSL Offload 통신과정클라이언트와 Alteon간의 SSL/TLS 세션:클라이언트는 HTTPS 요청을 Alteon으로 보내며, Alteon은 SSL 인증서를 사용하여 클라이언트와 암호화 통신을 진행Alteon과 서버 간의 평문 HTTP 통신: 클라이언트로부터 받은 암호화된 데이터를 Alteon가 복호화한 후, 백엔드 서버로 평문(HTTP) 형태로 전달하며, 서버의 응답을 Alteon에서 암호화한 뒤 클라이언트로 전달  Alteon에서 SSL Offload 설정 방법에 대해서 기록해 보..

Alteon OS 30.2 버전부터, Alteon에서 패킷캡쳐를 할 때 Extrainfo 기능을 지원하며, 해당 기능을 이용하면 패킷캡쳐를 할 때 좀더 다양한 정보를 수집할 수 있다. - 물리 포트 번호 - 패킷을 처리한 SP 번호 - 패킷 In/Out 여부 - Session ID 정보 - 그 외 기타 Alteon에서 다음과 같이 패킷캡쳐를 수행할때 -E 옵션을(대문자 E) 추가하면 Extrainfo가 추가된다. /maint/pktcap/data/capture -E Extrainfo를 이용하려면, Wireshark에 Extrainfo전용 Lua파일을 설정해야 한다. Lua파일은 아래 링크에서 다운로드 가능하며, Wireshark 4.x 이후버전에서 Lua파일 설정은 다음 링크를 참고한다. 참고링크 : H..

ICMP Health Check L4스위치가 LB대상으로 Ping Request를 보내고, LB대상이 L4스위치로 Ping Response를 보내면 UP으로 인식하는 방식이다. TCP Health Check L4스위치와 LB대상이 TCP 3 Way Hand Shake를 진행해서 UP으로 인식하는 방식이다. 이 때, TCP Connection을 TCP FIN(4 Way Close)으로 종료할지, TCP RST으로 종료할지 옵션을 선택할 수 있다. TCP Half Health Check L4스위치가 LB대상으로 TCP SYN을 보내고, LB대상이 L4스위치로 TCP Half를 보내면 UP으로 인식하는 방식이다. 즉, TCP 3 Way Hand Shake를 Full로 수행하지는 않으므로, L4스위치 및 LB대..

L4스위치를 이용하여 SLB를 구성하다보면, 여러가지 요구사항을 듣게된다. 예를들면.. case1) 동일한 사용자들은 몇시간이 지난 후라도, 동일한 서버에 접속하도록 하고싶다. case2) 동일한 사용자들은 동일한 WEB/WAS/DB 등에 접속하게 하고싶다. case3) 공유기 또는 방화벽 backend 사용자라 할지라도, 고르게 분배하면서 유지하고싶다. 이러한 경우들에 사용되는 기능이 Persistence 이다. 단어 뜻 그대로, "유지, 지속" 가능할 수 있도록 하는 기능이다. 일부 제조사에서는 sticky 방식이라고 부른다. 위의 각각 case에 대하여, L4스위치에서 선택할 수 있는 방법들은 다음과 같다. (내가 겪었던 ADC 제품이 Alteon과 F5이기에, 해당 제품들을 기준으로 설명한다.) ..

FLB란? Firewall Load Balancing의 약자이다. 부르는 사람에 따라 FWLB라고 부르기도 한다. 일반적으로 L4스위치에서 Load Balancing을 얘기하면 SLB(Server Load Balancing)를 칭한다. (즉, 서버를 대상으로 Load Balancing을 한다는 의미이다.) FLB의 경우 방화벽을 대상으로 부하분산(Load Balancing)을 한다는 의미이다. 가장 대중적인 FLB의 구성도는 다음과 같다. 1. 기본적으로 상단 L4 2식 + 방화벽 2식 + 하단 L4 2식 = 총 6대의 장비가 구성된다. 2. 일반적으로 각각 방화벽에 연결되는 회선별로 IP대역 + VLAN을 구성한다. 위 구성도의 경우 4개의 IP대역, VLAN으로 구성된 사례이다. 3. L4스위치간 I..

Proxy IP란? Proxy의 사전적인 뜻을 찾아보면 "대리인" 이라는 뜻을 가지고 있다. 'proxy'의 검색결과 : 네이버 영어사전 (naver.com) Proxy IP란, (L4스위치 입장에서) Server Side의 처리를 L4스위치가 가지고 있는 별도의 IP로 대신하여 처리하는 IP를 칭한다. (줄여서 PIP라고 부르기도 한다.) 이 때, 원래 통신하였던 Client IP가 Proxy IP로 변경되며(즉, Source IP가 변경되며), 이러한 점 때문에 제조사별로 source nat 또는 snat 이라고 부르기도 한다. Proxy IP가 사용될 때 Traffic Flow는 다음과 같다. ① Client와 L4스위치간에는 "Client VIP(1.1.1.80)"로 Request/Response..

해당 단어를 사전에서 검색해보면 "외팔", "한팔" 이라는 뜻을 가지고 있다. https://en.dict.naver.com/#/entry/koen/0a3b5332d53b4f2ab0216df59672a510 단어 뜻 그대로, L4 스위치가 네트워크 스위치에 하나의 케이블만, (LACP/Trunk 등으로 구성되었다면) 하나의 데이터회선만 연결하여 구성하게되며, 구성도로 보았을 때 "외팔" 모양을 하게된다. One Arm 방식의 네트워크 구조 및 구성방식, Traffic Flow 등을 확인하면 크게 3가지 정도로 구분할 수 있다. 1. DSR 구성 Direct Server Return의 약자로, "Server가 Client에 직접 트래픽을 돌려준다"는 의미이다. 과거에는 L4스위치에서 Request/Resp..

해당 단어를 사전에서 검색해보면 " 직렬의, 일렬로 늘어선" 이라는 뜻을 가지고 있다. 'in-line': 네이버 영어사전 (naver.com) 네이버 영어사전 미국/영국식 발음, 여러 종류의 출판사 사전 뜻풀이, 풍부한 유의어/반의어, 대표사전 설정 기능, 상세검색 기능, 영어 단어장 제공 en.dict.naver.com 단어 뜻 그대로, 각각 연결된 네트워크 장비들이 일렬로 늘어선 형태를 뜻한다. (One Arm 방식과 비교하여 말하기 위해) Two Arm 방식 이라고도 한다. In Line 구성방법도 여러가지가 있으며, 물리적 및 네트워크적 관점에서 봤을 때 다음과 같이 3가지 정도로 구분할 수 있다. 1. L3 - L4 - Server가 단일 Network 이고, Server의 Gateway가 L..

GSLB: Global Server Load Balancing의 약자. DNS를 이용하는 기술이며, 주로 웹(HTTP) 서비스를 대상으로 한다. 서비스를 구성하는 방안은 여러가지가 있다. - 도시(City) / 국가 등을 지역기반의 정보를 활용하여 Load Balancing을 우선하여 서비스 (Geolocation base) - Latency / RTT 등 사용자와 서비스간 회선속도/응답속도 등을 우선하여 서비스 - Health Check를 수행하여 가용성을 우선하여 서비스 - 가중치를 설정하거나, Active-Backup 방식으로 서비스 DNS 및 GSLB가 구성되어있을 때, 일반적인 DNS의 Traffic Flow를 도식화 하면 다음 그림과 같다. 1. Client 1.1.1.1이 통신사 등의 LDN..