05QoS 기본 아키텍처Basic QoS Architecture
QoS의 내부 구조와 흐름 제어는 방화벽과 거의 똑같 습니다. 이 장은 QoS가 어떤 컴포넌트로 이뤄지고, 패킷이 어떤 경로로 처리되며, 방화벽·VPN과 어떻게 맞물리는지를 정리합니다.
세 컴포넌트
QoS는 방화벽처럼 세 컴포넌트 로 나뉩니다 — SmartConsole, Security Management Server, Gateway. 이들은 한 장비에 다 올릴 수도 있고, 여러 장비에 나눠 배치(distributed)할 수도 있습니다.
역할 분담은 이렇습니다. 대역폭 정책은 SmartConsole에서 구성 하고, Security Management Server에서 정책을 검증해 QoS 게이트웨이에 설치 합니다. 실제 트래픽을 다루는 QoS Security Gateway는 방화벽의 체이닝(chaining) 메커니즘으로 패킷을 받고·처리하고·보내 며, 자체 분류·규칙 매칭 인프라로 패킷을 검사 합니다. 로그 정보는 방화벽 커널 API로 만들어집니다.
QoS Blade — 커널 드라이버와 데몬
QoS Blade 의 본래 임무는 네트워크 접점에서 QoS 정책을 집행 하고 들어오고 나가는 트래픽의 흐름을 통제 하는 것입니다. 이 블레이드는 QoS 커널 드라이버 와 QoS 데몬 두 부분으로 이뤄집니다.
이 중 QoS Engine 이 QoS 동작의 심장 입니다. Firewall-1과 SecureXL의 일부로서, IP 패킷을 검사하고 큐에 넣고 스케줄링해 내보내는 일을 하며, 바로 이 과정이 QoS의 트래픽 통제를 가능하게 합니다.
사용자 모드 프로세스인 QoS 데몬(fgd50) 은 두 가지를 맡습니다. 커널을 위해 DNS를 해석 해 Rule Base 매칭에 쓰게 하고, Cluster Load Sharing 구성에서는 클러스터 상태 변화를 커널에 알 립니다. 예를 들어 클러스터 멤버 하나가 죽으면, 데몬이 게이트웨이들의 상대 부하를 다시 계산해 커널을 갱신합니다.
SmartConsole과 SmartDashboard
정책을 짜는 도구는 둘로 나뉩니다. SmartConsole로 QoS 정책을 만들고 바꾸 며, 활성 게이트웨이와 정책 정보는 Logs & Events로 봅니다. 한편 실제 규칙과 거기 딸린 네트워크 객체·서비스 작업은 SmartDashboard 에서 합니다. QoS 정책의 규칙들은 QoS Rule Base 에 나타납니다.
QoS 구성 — 분산 배치
Security Management Server와 QoS Security Gateway는 한 장비에 둘 수도, 두 장비에 나눠 둘 수도 있습니다. 따로 두는 구성을 분산(distributed) 이라 부릅니다.
!분산 구성 *① 내부 네트워크(본사) ② QoS를 켠 Security Gateway ③ Security Management Server ④ SmartConsole ⑤ 인터넷 ⑥ QoS를 켠 Security Gateway(지점) ⑦ 내부 네트워크(지점)*
이 예에서는 하나의 Security Management Server가 네 대의 QoS 게이트웨이를 제어 하고, 그 게이트웨이들이 세 개의 QoS 회선에서 대역폭을 관리합니다. 한 Management Server가 여러 QoS 게이트웨이를 제어·모니터링 할 수 있고, 각 QoS Security Gateway는 Management Server와 독립적으로 동작합니다.
Client-Server 구조
SmartConsole과 Security Management Server도 같은 장비에 둘 수도, 나눌 수도 있습니다. 나누면 SmartConsole(클라이언트)이 Security Management Server(서버)를 제어하는 Client/Server 모델 이 됩니다.
!Client-Server 구성 *① 내부 네트워크(본사) ② Security Management Server ③ SmartConsole ④ QoS를 켠 Security Gateway ⑤ 인터넷*
이 그림에서는 Management Server의 기능이 두 워크스테이션(Tower와 Bridge)으로 나뉘어, 데이터베이스를 가진 Management Server는 Tower에, SmartConsole은 Bridge에 있습니다. Bridge에서 작업하는 사용자가 Tower에 있는 QoS 정책·데이터베이스를 유지하고, London의 QoS 게이트웨이가 회선에 정책을 집행합니다.
Management Server는 cpstart 명령으로 시작하며, 클라이언트에서 SmartConsole을 쓰려면 이 서버가 떠 있어야 합니다. 또 SmartConsole에 로그인한 관리자와 그 PC가 모두 서버 접근 권한을 받아야 서버를 관리할 수 있습니다. 권한 부여와 관리자 정의는 cpconfig 로 합니다.
동시 세션
여러 관리자가 동시에 각자 다른 세션에서 QoS 정책을 작업 할 수 있습니다. 다만 잠금(locking) 메커니즘이 같은 객체를 둘이 동시에 건드리지 못하게 막습니다. 작업을 마치고 Publish 를 누르면 변경 내용이 다른 세션·관리자에게 공개됩니다.
방화벽·VPN과의 상호작용
QoS와 방화벽은 많은 핵심 기술 컴포넌트를 공유 합니다. 같은 사용자 정의 네트워크 객체를 양쪽에서 쓰고, 효율적 검사와 성능을 위해 상태 테이블 정보를 함께 씁니다. 덕분에 암호화 트래픽과 NAT된 트래픽에도 대역폭 규칙 을 정의할 수 있습니다.
또 QoS는 방화벽과 객체 데이터베이스(네트워크 객체·서비스·리소스)를 공유 합니다. 다만 객체 중에는 제품별 고유 속성도 있습니다. 예를 들어 방화벽의 암호화 속성은 QoS와 무관하고, QoS 네트워크 인터페이스의 속도 속성은 방화벽과 무관합니다.