07기본 정책 관리Basic Policy Management

SmartConsole은 Windows 시작 메뉴에서 엽니다. SmartDashboard 는 QoS 정책을 만들거나 기존 정책을 열면 자동으로 뜨므로 따로 열 일이 드뭅니다. 굳이 직접 열려면 SmartConsole에서 QoS 정책을 연 뒤 Security Policies > Access Control > QoS 로 가서 Open QoS Policy in SmartDashboard 를 누릅니다.

QoS 정책은 Rule Base에 규칙을 정의해 구현 합니다. Rule Base는 패킷을 어떻게 다룰지 — 트래픽의 출발지·목적지, 쓸 수 있는 서비스, 시간, 로깅 여부와 수준 을 정합니다. 규칙은 우리가 만든 것들과 자동으로 생기는 Default Rule 로 이뤄지는데, Default는 수정은 되지만 삭제는 안 되고 항상 맨 마지막 에 있으며, 다른 규칙에 안 걸린 모든 패킷에 적용됩니다.

검사 방식은 순차적 입니다. QoS는 패킷을 첫 규칙부터 차례로 비교하다가 매칭되는 규칙을 찾으면 멈추고 그 규칙을 적용 합니다. 매칭된 규칙에 서브 규칙이 있으면 다시 서브 규칙들을 차례로 검사하고, 아무것도 안 맞으면 Default(또는 서브 Default)를 적용합니다. 가장 잘 맞는 규칙이 아니라, 가장 먼저 맞는 규칙 이 적용된다는 점이 핵심입니다.

한 연결은 네 가지 기준 으로 분류됩니다 — Source(출발지), Destination(목적지), Service(서비스), Time(시간). Source·Destination은 특정 컴퓨터·네트워크·사용자 그룹·도메인 같은 네트워크 객체 묶음이고, Service는 TCP·UDP·ICMP·URL 같은 IP 서비스 묶음이며, Time은 특정 요일·시간대입니다.

여기 쓰이는 객체들은 종류가 다양합니다. 네트워크 객체 는 워크스테이션·네트워크·도메인·그룹을 포함하고, 사용자 그룹(User Group) 으로 예컨대 마케팅 부서 사용자를 묶어 규칙의 Source로 쓸 수 있습니다. 서비스·리소스 는 TCP·Compound TCP·UDP·ICMP·IP 서비스를 쓰며, 리소스는 QoS에서 URI 타입만 됩니다. 시간 객체(Time Object) 는 규칙이 언제 집행될지를 요일·날짜로 지정합니다.

규칙은 분류된 연결의 대역폭에 세 가지 요소 를 적용할 수 있습니다.

먼저 가중치(Weight) 는 한 규칙에 배정되는 가용 대역폭의 비율 입니다. 계산식은 간단합니다.

가중치 비율 = (이 규칙의 우선순위) / (열린 연결이 있는 모든 규칙의 우선순위 합)

예를 들어 이 규칙의 우선순위가 12이고, 현재 연결이 열린 모든 규칙의 우선순위 합이 120이면, 이 규칙의 연결들은 12/120 = 10% 를 받습니다. 다만 다른 규칙이 최대치를 안 쓰면 이 규칙이 그보다 더 받 을 수 있습니다. 즉 남는 대역폭은 회선이 놀지 않도록 나머지 규칙들이 상대 가중치대로 나눠 갖습니다.

다음으로 보장(Guarantee) 은 매칭된 연결에 최소 대역폭을 할당 합니다. 규칙 전체 연결의 합 에 보장하거나(연결이 많을수록 연결당 몫은 줄어듦), 연결마다 개별 로 보장할 수 있습니다. 가중치도 대역폭 몫을 보장하지만, 절대값으로 못 박는 건 보장뿐 입니다.

마지막으로 제한(Limit) 은 연결들이 받을 수 있는 최대 대역폭 입니다. 남는 대역폭이 있어도 이 점을 넘으면 더 주지 않 습니다. 제한도 규칙 전체 합 또는 개별 연결 단위로 정할 수 있습니다.

Default Rule 은 각 Rule Base에 자동으로 추가되어 전역 속성에 정해진 가중치 를 받습니다. 가중치는 바꿀 수 있어도 삭제는 안 되며, 다른 규칙에 안 걸린 모든 연결에 적용됩니다. 서브 규칙 묶음에도 각각 Default가 자동으로 생깁니다.

규칙의 동작은 QoS Action Properties 창에서 정의하며, Action 타입은 둘입니다. Simple 은 양쪽(Recommended·Express) 모두 쓸 수 있고 — 암호화 트래픽만 적용·규칙 가중치·규칙 제한·규칙 보장을 다룹니다. Advanced 는 Recommended 전용 으로 — 연결 단위 보장·제한, 영구 연결 수, 추가 연결 허용 같은 정교한 속성을 더합니다.

여기서 VPN 트래픽이란 이 Security Gateway가 직접 암호화한 트래픽 을 말합니다(다른 제품이 미리 암호화해 들어온 건 IPSec 서비스로 매칭). Action Properties에서 Apply rule only to encrypted traffic 을 켜면 VPN 트래픽만 그 규칙에 걸립니다.

QoS가 First Rule Match로 동작하므로, VPN 규칙은 Rule Base 맨 위에 두 어야 합니다. 그러면 VPN 트래픽이 위 규칙에 먼저 걸리고, 그 아래 규칙들은 비-VPN 트래픽만 검사 하게 됩니다. VPN 규칙 아래에 서브 규칙을 두어 VPN 트래픽을 더 세분할 수도 있습니다.

연결이 서브 규칙을 가진 규칙에 매칭되면 서브 규칙들을 검사하고, 아무것도 안 맞으면 서브 Default를 적용합니다. 서브 규칙은 중첩(nesting) 도 되어, 서브 규칙이 또 서브 규칙을 가질 수 있습니다.

배분은 위에서 아래로(top/down) 흐릅니다. 그래서 서브 규칙은 부모 규칙보다 많은 대역폭을 줄 수 없 고, 중첩 서브 규칙도 마찬가지입니다. 또 규칙의 Guarantee는 그 서브 규칙의 Guarantee보다 같거나 커야 합니다. 보장과 제한이 얽힐 때의 정확한 규칙은 고급 정책 관리에서 예제로 따집니다.

규칙을 다 정의했으면 SmartConsole 세션을 게시(Publish)한 뒤 게이트웨이에 정책을 설치 합니다. 설치 과정에서 규칙과 객체가 자동 검증되고, 오류가 있으면 Install Policy Details 탭에 메시지가 뜹니다. 설치가 성공하면 게이트웨이가 규칙을 집행합니다.

설치 절차는 QoS 튜토리얼·QoS 관리와 같습니다 — SmartDashboard에서 Update, SmartConsole에서 Install Policy → 정책 선택 → Policy Targets 에서 대상 선택 → Install. 기본적으로 어떤 게이트웨이도 선택되어 있지 않으니 직접 골라야 하고, 설치 전 게이트웨이에서 QoS 블레이드가 켜져 있는지 확인합니다.