목차/07. 네트워크 관리 — 인터페이스와 라우팅

07네트워크 관리 — 인터페이스와 라우팅네트워크 관리 — 인터페이스와 라우팅

네트워크 관리는 Gaia 운영의 가장 큰 영역으로, 인터페이스를 종류별로 만들고, ARP·DHCP·DNS를 설정하고, static route로 경로를 정하고, NetFlow로 트래픽을 내보내는 일을 모두 아우릅니다. 이 장은 화면 클릭 단위 절차 대신 각 기능이 무엇이고 언제 쓰는지 를 개념·흐름 위주로 정리합니다. 세부 절차는 원문 "Network Management" 절을 참고하세요.

Gaia가 지원하는 인터페이스 종류

Gaia는 다양한 인터페이스를 다룹니다. 바탕은 물리 인터페이스(Ethernet)로, Gaia가 NIC을 자동으로 식별 하므로 Portal·CLI에서 물리 인터페이스를 추가·삭제할 수는 없고, 카드 교체는 시스템을 끈 상태에서만 합니다. 그 위에 여러 가상 인터페이스를 얹습니다 — Alias(한 인터페이스에 보조 IP 추가), VLAN, VXLAN, Bond(링크 묶음), Bridge(L2 브리지), Loopback, VPN Tunnel(VTI), 6in4·PPPoE·GRE 터널 입니다. Maestro·Chassis용으로는 MAGG 도 있습니다. 다만 VXLAN·VTI·6in4·PPPoE·GRE 등 상당수는 Scalable Platform에서 지원되지 않 으니 주의해야 합니다.

VLAN과 Bridge — 기존 토폴로지에 녹여 넣기

VLAN 인터페이스는 Ethernet 인터페이스 위에 가상 LAN을 올려, 기존 토폴로지를 그대로 둔 채 안전한 사설 링크로 서브넷을 나누 게 합니다. 스위치 포트가 Access 모드인지 Trunk 모드인지에 따라 구성이 달라지며, 서로 다른 VLAN 번호를 Bridge로 묶으면 VLAN 변환(translation)도 됩니다.

① Security Gateway ② 스위치 ③ VLAN 변환 Access mode bridge 1 ④ VLAN 변환 Access mode bridge 2 ⑤ VLAN 3(eth1.3) — VLAN 변환 토폴로지 예
① Security Gateway ② 스위치 ③ VLAN 변환 Access mode bridge 1 ④ VLAN 변환 Access mode bridge 2 ⑤ VLAN 3(eth1.3) — VLAN 변환 토폴로지 예

*① Security Gateway ② 스위치 ③ Access mode bridge 1(VLAN 변환) ④ Access mode bridge 2(VLAN 변환) ⑤ VLAN 3(eth1.3)*

Bridge 인터페이스는 IP 라우팅 구조를 다시 짜지 않고도 보안 장비를 끼워 넣는 강력한 방법입니다. 두 인터페이스(bridge port)를 연결해, 한 포트에 들어온 모든 Ethernet 프레임을 다른 포트로 전달 하면서 그 프레임을 보안 정책으로 검사 합니다 — 즉 두 포트가 같은 브로드캐스트 도메인에 속하는 가상 2포트 스위치가 됩니다. 한 Bridge에는 두 인터페이스만 연결 할 수 있고, 이름은 br<번호>(예: br5)이며 IP 없이 동작합니다. Gaia는 native L2 브리징을 지원하되 STP(Spanning Tree Protocol)는 지원하지 않습니다.

Bond — 링크 묶어 이중화·증속

Bond(Link Aggregation)는 여러 물리 인터페이스를 하나의 가상 인터페이스로 묶어, 부하를 나누고 장애에 견디며 처리량을 높이 는 기술입니다. 동적 묶음에는 IEEE 802.3ad LACP 를 씁니다. Bond에는 IP가 붙고, 묶인 물리 인터페이스(subordinate)에는 IP가 없 으며, 한 Bond에 최대 8개까지 넣을 수 있습니다.

① Security Gateway(1A 인터페이스 1 · 1B 인터페이스 2) ② Bond 인터페이스 ③ 라우터 — 두 인터페이스를 하나의 Bond로 묶음
① Security Gateway(1A 인터페이스 1 · 1B 인터페이스 2) ② Bond 인터페이스 ③ 라우터 — 두 인터페이스를 하나의 Bond로 묶음

*① Security Gateway(1A 인터페이스 1 · 1B 인터페이스 2) ② Bond 인터페이스 ③ 라우터*

동작 전략은 두 갈래입니다. High Availability(Active/Backup) 는 한 인터페이스만 Active로 쓰다가 다운되면 다른 것으로 자동 페일오버 해 이중화를 주고(스위치 이중화도 지원), Load Sharing(Active/Active) 는 UP 상태의 모든 인터페이스를 동시에 써 처리량을 극대화 합니다(SecureXL 필요, 스위치 이중화는 미지원). Load Sharing의 분배 방식으로는 순차로 도는 Round Robin, LACP로 링크를 완전히 감시하는 802.3ad, 해시로 나누는 XOR, 묶음(bundle) 단위로 하나만 Active인 ABXOR 가 있습니다.

ARP·DHCP·DNS — 기본 네트워크 서비스

ARP(Address Resolution Protocol)는 IP 주소만으로 같은 물리 네트워크 안 대상의 물리(MAC) 주소를 찾는 저수준 프로토콜로, Gaia에서 동적·정적 ARP 항목을 보고 관리합니다. DHCP Server 로는 Gaia 장비가 직접 네트워크 호스트에 IP와 네트워크 파라미터를 나눠 주 게 해(IPv6는 DHCPv6), 호스트마다 수동 설정하는 수고와 오류를 덜 수 있습니다(Scalable Platform 미지원). Hosts and DNS 페이지에서는 호스트 이름·도메인, 정적 host 항목, DNS 서버 를 한자리에서 설정합니다.

정적 라우팅과 동적 라우팅

Static Route목적지와 그곳에 닿는 하나 이상의 경로(next hop)를 수동으로 정의 하는 것으로, set static-route 명령(Security Group에서는 gClish)이나 Portal로 만듭니다. 동적 라우팅이 모르는 목적지에 경로를 더하거나, 여러 경로에 우선순위를 주거나, 기본 경로(default route)를 정할 때 씁니다. IPv4·IPv6를 각각 다루며, IPv6 Neighbor 항목도 여기서 설정합니다.

더 큰 규모의 라우팅은 Advanced Routing 으로 넘어갑니다. 동적 라우팅은 Gaia Portal·Gaia Clish에 완전히 통합 되어 BGP·OSPF·RIP 와 동적 멀티캐스트 라우팅(PIM SM/DM/SSM, IGMP)을 지원합니다. 동적 라우팅의 상세 구성은 별도 문서인 R82 Gaia Advanced Routing Administration Guide에서 다룹니다.

NetFlow Export — 트래픽 흐름 내보내기

NetFlow트래픽 모니터링의 업계 표준 으로(Cisco가 개발), 한 호스트(NetFlow Exporter)가 자신의 네트워크 흐름 정보를 다른 호스트(NetFlow Collector)로 보내 분석하게 합니다. 여기서 흐름(flow)이란 같은 특성을 가진 단방향 패킷 스트림을 뜻합니다. Gaia에서는 게이트웨이·Cluster Member를 통과하는 모든 트래픽에 대해 NetFlow 레코드를 내보내는 Exporter로 설정 할 수 있으며, SecureXL의 상태와는 무관하게 동작합니다.