목차/02. QoS 소개

02QoS 소개Introduction to QoS

QoS는 한정된 회선을 누구에게 얼마만큼 줄지 정책으로 정하는 Check Point의 대역폭 관리 솔루션입니다. 이 장은 QoS가 무엇을 해 주는지, 어떤 기술로 그것을 해내는지, 정책에는 어떤 종류가 있고 둘이 기능 면에서 어떻게 다른지, 그리고 정책을 만드는 전체 작업 흐름과 적용 한계까지를 큰 그림으로 빠짐없이 잡습니다.

QoS가 해 주는 일

QoS는 정책 기반 대역폭 관리(policy based bandwidth management) 솔루션으로, 크게 세 가지를 할 수 있습니다.

  • ERP·데이터베이스·웹 서비스 같은 업무 핵심 트래픽을 낮은 우선순위 트래픽보다 우선 시킵니다.
  • VoIP·화상회의 같은 스트리밍 애플리케이션에 대역폭을 보장하고 지연(latency)을 통제 합니다.
  • 특정 직원에게는 원격으로 네트워크 자원에 접근하는 중에도 보장되거나 우선되는 접근권 을 줍니다.

QoS는 Security Gateway에 얹어 배포하며, 암호화 트래픽과 비암호화 트래픽 모두 에 대해 동작합니다.

QoS 기본 구성
QoS 기본 구성

① SmartConsole ② Security Management Server ③ QoS 정책 ④ QoS Software Blade를 켠 Security Gateway ⑤ 인터넷 ⑥ 내부 네트워크

동작의 바탕에는 업계에서 가장 앞선 트래픽 검사·대역폭 제어 기술이 깔려 있습니다. Check Point의 특허 기술인 Stateful Inspection모든 네트워크 트래픽의 상세 상태 정보를 잡아 동적으로 갱신 하고, 이 상태 정보를 이용해 트래픽을 서비스나 애플리케이션별로 분류 합니다. 분류가 끝나면 QoS는 혁신적이고 계층적인 WFQ(Weighted Fair Queuing) 알고리즘 을 적용해 대역폭 배분을 정확하게 통제합니다.

특징과 이점

QoS가 주는 특징과 이점을 하나씩 풀어 보면 다음과 같습니다.

  • 가중치·제한·보장으로 짜는 유연한 QoS 정책 — 기본 정책을 만든 뒤 이 장에서 설명하는 고급 QoS 기능을 덧붙이도록 수정할 수 있습니다.
  • Security Gateway와의 통합 — 조직의 보안 정책과 대역폭 관리 정책을 통합하면 정책 정의와 시스템 구성이 한결 쉬워집니다. 덕분에 VPN 트래픽과 비암호화 트래픽 모두에서 네트워크 성능을 최적화할 수 있습니다.
  • 성능 분석 — SmartConsole의 Logs & Events 뷰로 시스템 성능을 모니터링합니다.
  • DiffServ 통합 지원 — QoS 정책 Rule Base에 하나 이상의 DiffServ Class of Service 를 추가할 수 있습니다.
  • Low Latency Queuing 통합 — 음성·영상처럼 ="지연에 민감한"== 애플리케이션을 위한 특별한 Class of Service를 QoS 정책 Rule Base에 정의할 수 있습니다.
  • VPN·Firewall·QoS 장비를 따로 둘 필요 없음 — QoS와 Firewall은 공통 아키텍처와 다수의 핵심 기술 컴포넌트를 공유 합니다. 사용자가 정의한 네트워크 객체를 두 솔루션에서 함께 쓸 수 있습니다.
  • 네트워크 비용의 선제적 관리 — QoS 모니터링 시스템으로 네트워크를 선제적으로 관리하고 비용을 통제할 수 있습니다.
  • IP 네트워크의 종단 간(end-to-end) QoS 지원 — 집행을 네트워크 하드웨어·소프트웨어 전반에 분산해, IP 네트워크에 대한 종단 간 QoS를 완전히 지원합니다.
  • CoreXL·SecureXL 지원 — 패킷 가속을 지원하며, IPv6도 지원합니다.
  • VSX 지원 — QoS는 VSX를 완전히 지원합니다.

정책 종류 — Express와 Recommended

이번 릴리스에는 두 가지 QoS 정책 종류가 있습니다.

  • Express — 기본 QoS 정책을 빠르게 만드는 모드입니다.
  • Recommended — QoS의 전체 기능을 갖춘 고급 정책을 만드는 모드입니다.

다음 표는 Recommended와 Express 정책 종류가 어떤 기능을 지원하는지를 비교한 것입니다(는 지원).

기능RecommendedExpress자세히
IPv6 지원
가중치(Weights)Weight
제한(Limits, 규칙 전체)Limits
로깅(Logging)Overview of Logging
어카운팅(Accounting)●*
하드웨어 가속 지원
High Availability·Load Sharing
보장(Guarantees, 연결 단위)Guarantees
제한(Limits, 연결 단위)
LLQ(QoS에서 패킷 지연 제어)Low Latency Queuing
DiffServDifferentiated Services (DiffServ)
서브 규칙(Sub-rules)
URI 리소스로 매칭
DNS 문자열로 매칭
SecureXL 지원
CoreXL 지원
SmartLSM 클러스터
VSX 지원

규칙을 붙여넣을 때 Paste 를 선택하면 Paste 메뉴가 열립니다. 그러면 Bottom, Top, Above, Below 중 하나를 골라 Rule Base의 어느 위치에 규칙을 붙일지 지정해야 합니다.

정책 종류는 다음과 같이 선택합니다.

  1. SmartConsole 메뉴에서 Manage policies and layers 를 클릭합니다.
  2. Manage Policies 창에서 New 를 클릭하거나, 기존 정책을 선택한 뒤 Edit 를 클릭합니다.
  3. QoS 를 선택하고, 이어서 Recommended 또는 Express 를 선택합니다.

가중치·제한·보장의 자세한 동작은 기본 정책 관리에서 다룹니다.

R77 정책의 가속 지원

R82로 새로 설치하거나 업그레이드하면 QoS는 SecureXL·CoreXL 가속 기술을 지원 합니다.

이런 옛 기능을 그대로 써야 한다면 QoS 가속을 꺼야 합니다(절차는 정규표현식 부록의 "Disabling QoS Acceleration Support" 참고).

작업 흐름

좋은 QoS 정책을 만드는 큰 흐름을 단계별로 정리합니다.

먼저 SmartConsole 에서 다음을 수행합니다.

  1. 해당하는 각 Security Gateway에서 QoS를 켭니다.
  2. QoS Global Properties를 구성합니다.
  3. QoS 정책을 만들거나 변경합니다.
  4. QoS에 대한 로그 수집과 시스템 모니터링을 구성합니다.
  5. SmartConsole 세션을 게시(Publish)합니다.

다음으로 SmartDashboard 에서 다음을 수행합니다.

  1. 게이트웨이 네트워크·서비스와 관련 객체들을 정의합니다.
  2. QoS 규칙(기본·고급)을 정의합니다.
  3. 특수 QoS 기능을 구성합니다.
    • Differentiated Services(DiffServ)
    • Low Latency Queuing

그런 다음 다시 SmartConsole 로 돌아와 다음을 수행합니다.

  1. SmartConsole 세션을 게시(Publish)합니다.
  2. Install Policy(정책 설치)를 합니다.

구체적인 켜기 절차는 시작하기에서 단계별로 이어집니다.

한계

다음 한계는 Scalable Platforms(Maestro·Chassis)에 적용됩니다.

  • Security Group이 Layer 4 분산(distribution) 모드로 구성된 경우 QoS를 지원하지 않 습니다.
  • QoS 정책은 각 Security Group Member마다 개별로 적용 됩니다.