목차/09. QoS 관리

09QoS 관리Managing QoS

이 장은 QoS를 실제로 구성하고 운영하는 모든 작업 을 처음부터 끝까지 다룹니다. 전역 속성과 인터페이스 속성을 잡는 일, 정책을 만들고 여는 일, 규칙을 추가·수정·복사·삭제하는 일, 규칙의 각 필드(Source·Destination·Service·Action·Track·Install On·Time·Comment)를 다듬는 일, 서브 규칙을 정의하는 일, DiffServ·LLQ 클래스를 만들어 인터페이스에 거는 일, 게이트웨이 상태를 보고 로깅을 켜는 일까지가 한 흐름입니다. 모든 절차는 SmartConsole을 이미 연 상태 를 전제로 하며, GUI 클라이언트를 여는 방법은 기본 정책 관리에서 다룹니다.

QoS 전역 속성 정의하기

QoS 전역 속성에는 QoS 규칙 파라미터의 기본값과 측정 단위 가 들어 있습니다. 새 규칙을 만들 때 어떤 값으로 시작할지, 전송률을 어떤 단위로 표시할지를 여기서 정해 둡니다. 전역 속성은 SmartConsole에서 구성합니다.

QoS 전역 속성 구성 절차

  1. SmartConsole에서 Application Menu > Global properties > QoS 를 클릭합니다.
  2. Global Properties 창에서 다음 파라미터를 구성합니다.

Weight(가중치) 영역

  • Maximum weight of rule — 규칙에 줄 수 있는 최대 가중치 입니다. 기본값은 1000 입니다.
    • Default weight of rule — 새 규칙(새 Default Rule 포함)을 만들 때 Action 열에 기본으로 들어가는 가중치 입니다.

Rate(전송률) 영역

  • Unit of measure — QoS 창에서 전송률을 표시할 때 기본으로 쓰는 단위 입니다(예: Bps — 초당 바이트).
  1. Set Default 를 클릭해 기본값을 저장합니다.

QoS 전역 속성 변경하기

이미 정해 둔 전역 속성을 나중에 바꾸는 절차도 있습니다.

  1. Policy 메뉴에서 Global Properties 를 고르거나, 툴바의 Edit Global Properties 아이콘을 클릭합니다. Global Properties 창이 열리며 다음 필드가 나타납니다.

Weight 영역

  • Maximum weight of rule — 규칙에 줄 수 있는 최대 가중치. 기본값 1000이지만 어떤 숫자로도 바꿀 수 있습니다.
    • Default weight of rule — 새 규칙(새 Default Rule 포함)에 Action 열로 기본 지정되는 가중치.

Rate 영역

  • Unit of measure — 전송률을 표시할 기본 단위(예: Bps).
  1. OK 를 클릭해 변경 사항을 QoS 전역 속성에 저장합니다.

인터페이스 QoS 속성

QoS가 트래픽 흐름을 통제하려면, 먼저 네트워크 객체 — 즉 Security Gateway와 트래픽을 통제할 인터페이스 — 를 정의 해야 합니다. 인터페이스를 정의한 뒤에는 그 인터페이스의 QoS 속성을 지정할 수 있는데, 이 작업은 Interface Properties 창의 QoS 탭 에서 합니다. 인터페이스 QoS 속성을 정의한다는 것은 Inbound·Outbound 활성 전송률을 정하고, DiffServ(Differentiated Services)와 Low Latency 클래스를 지정 한다는 뜻입니다. 이 정의는 언제든 다시 바꿀 수 있습니다.

인터페이스 QoS 속성 구성 절차

Security Gateway 인터페이스를 구성하려면 다음과 같이 합니다.

  1. SmartConsole을 엽니다.
  2. Gateways & Servers 를 클릭하고 대상 Security Gateway 객체를 더블클릭합니다.
  3. General Properties에서 Network Management 를 클릭합니다. Check Point Gateway - Topology 창이 열립니다.
  4. 인터페이스 목록이 보이지 않으면 Get Interface 를 클릭합니다.
  1. 해당 인터페이스를 더블클릭합니다.
  2. Interface Properties 창에서 QoS 탭 을 클릭합니다.
  3. DiffServ and Low Latency classes 영역에서 그 인터페이스에 쓸 DiffServ·Low Latency Queuing 클래스를 지정합니다. 여기서 클래스를 Add·Edit·Remove 할 수 있습니다. 추가·편집 방법은 아래의 DiffServ 다루기, Low Latency 클래스 정의에서 더 자세히 다루며, DiffServ·Low Latency 클래스의 개념은 고급 QoS 정책 관리를 참고합니다.
  4. OK 를 클릭합니다. 인터페이스 QoS 속성이 저장됩니다.

해당하는 각 인터페이스마다 4~7단계를 반복 합니다.

활성 인터페이스와 전송률에 대한 원칙

인터페이스를 active로 둘 때 다음을 알아 두어야 합니다.

  • WAN 쪽(또는 더 느린 망에 연결된) 인터페이스를 보통 active로 정의합니다. 인터페이스가 둘뿐인 게이트웨이라면 WAN에 연결된 인터페이스에만 QoS를 켭 니다. 게이트웨이가 DMZ 트래픽도 통제한다면, DMZ에 연결된 인터페이스에도 QoS를 설치할 수 있습니다.
    • Inbound Active 를 선택하면 이 인터페이스의 인바운드 방향 트래픽을 통제합니다.
    • Rate 목록에서 인바운드 방향의 가용 대역폭을 고르거나 입력합니다.
    • Outbound Active 를 체크하면 아웃바운드 방향 트래픽을 통제합니다.
    • Rate 목록에서 아웃바운드 방향의 가용 대역폭을 고르거나 입력합니다.

QoS 정책 다루기

QoS 정책은 Rule Base에 순서대로 놓인 QoS 규칙의 집합 입니다. Rule Base에는 사용자가 만든 규칙과 자동으로 만들어지는 Default Rule이 들어 있습니다. Default Rule은 Rule Base와 함께 자동 생성되며, 수정은 되지만 삭제는 안 됩니다. 근본 개념은 다른 규칙이 적용되지 않으면 모든 데이터 패킷에 Default Rule이 적용 된다는 것입니다. 그래서 Default Rule은 항상 Rule Base의 맨 마지막 에 있습니다.

Rule Base는 데이터 패킷에 어떤 동작을 취할지를 정합니다. 통신의 출발지와 목적지, 쓸 수 있는 서비스, 적용 시간, 연결을 로깅할지와 로깅 수준을 지정합니다.

QoS Rule Base는 특정 게이트웨이와 인터페이스에 적용 됩니다. 정책을 만들고 그 안에 QoS 규칙을 정의한 뒤에는, 관련 QoS 게이트웨이에 설치 해야 효력이 생깁니다.

새 QoS 정책 만들기

  1. 게이트웨이에서 QoS 블레이드가 활성화되어 있는지 확인합니다.
  2. SmartConsole의 File 메뉴에서 Manage Policies and Layers 를 고릅니다.
  3. New 를 클릭합니다.
  4. Policy 창에서 Policy name 을 입력합니다. 이름에는 다음이 들어가면 안 됩니다.
    • 예약어나 공백을 포함할 수 없 습니다.
    • 숫자로 시작할 수 없 습니다.
    • 다음 문자를 포함할 수 없 습니다 — %, #, ', &, *, !, @, ?, <, >, /, \, :.
    • 다음 접미사로 끝날 수 없 습니다 — .pf, .W.
  5. QoS 를 선택한 뒤 QoS 정책 유형을 고릅니다.
    • Express — 기본적인 QoS 정책을 빠르게 만듭니다.
    • Recommended(기본값) — QoS 기능 전체를 쓰는 고급 정책을 만듭니다.
  1. OK 를 클릭합니다. 시스템이 새 정책을 저장하고 SmartDashboard가 자동으로 열 립니다. 여기서 규칙을 정의하기 시작합니다.

기존 QoS 정책 열기

  1. SmartConsole에서 Security Policies > Manage Policies 를 클릭합니다.
  2. Manage Policies 창에서 QoS 정책을 더블클릭 합니다. SmartDashboard가 열립니다.

새 규칙 만들기

규칙은 SmartDashboard에서 다룹니다. 규칙을 추가할 때는 맨 마지막 규칙 뒤를 빼고 어디든 새 규칙을 넣을 수 있습니다. Default Rule은 항상 Rule Base의 맨 아래 에 있어야 하기 때문입니다.

새 규칙을 만들려면 다음과 같이 합니다.

  1. QoS 탭 에서 새 규칙을 추가할 위치를 잡습니다.
  2. Rule 메뉴, 툴바, 또는 규칙의 Name 열을 우클릭해 나타나는 Rule 메뉴에서 새 규칙을 추가합니다. Rule Name 창이 열립니다.
  3. Rule Name 필드에 규칙 이름을 입력합니다.
  4. OK 를 클릭합니다.

규칙이 선택한 위치에 추가되며, Global Properties 창의 QoS 페이지에 정의된 값으로 생성됩니다.

추가 위치는 메뉴에서 다음과 같이 고릅니다.

규칙을 넣을 위치메뉴에서 선택
맨 마지막 규칙 뒤Rules > Add Rule > Bottom
맨 첫 규칙 앞Rules > Add Rule > Top
현재 규칙 뒤Rules > Add Rule > Below
현재 규칙 앞Rules > Add Rule > Above
현재 규칙의 서브 규칙으로Rules > Add Sub-Rule

우클릭 메뉴 명령

규칙을 우클릭하면 다음 메뉴 명령을 쓸 수 있습니다.

메뉴 옵션설명
Add Rule above현재 규칙 앞에 규칙을 추가합니다.
Add Rule below현재 규칙 뒤에 규칙을 추가합니다.
Add Sub-Rule현재 규칙에 서브 규칙을 추가합니다.
Delete Rule현재 규칙을 삭제합니다.
Copy Rule현재 규칙을 클립보드로 복사합니다.
Cut Rule현재 규칙을 잘라내 클립보드에 넣습니다.
Paste Rule클립보드의 규칙을 붙여넣습니다(현재 규칙의 위·아래 중 어디에 붙일지 고르는 하위 메뉴가 나타납니다).
Add Class of ServiceClass of Service를 지정합니다(고급 QoS 정책 관리 참고). 현재 규칙의 위·아래 중 어디에 더할지 고르는 하위 메뉴가 나타납니다.
Hide Rule현재 규칙을 숨깁니다. 규칙은 여전히 Rule Base의 일부이고 정책을 설치할 때 포함 됩니다.
Disable Rule현재 규칙을 비활성화합니다. 규칙은 Rule Base에 보이지만 QoS 정책에 의해 집행되지 않 습니다.
Rename Rule현재 규칙의 이름을 바꿉니다.

규칙 이름 바꾸기

  1. QoS 탭 에서 이름을 바꿀 규칙의 Name 열을 더블클릭합니다.
  2. Rule Name 창에서 새 규칙 이름을 입력합니다.
  3. OK 를 클릭합니다.

규칙 복사·잘라내기·붙여넣기

규칙은 Edit 메뉴, Rules 메뉴, 또는 선택한 규칙의 우클릭 메뉴로 복사·잘라내기·붙여넣기 할 수 있습니다.

  1. QoS 탭 에서 복사·잘라내기·붙여넣기 할 규칙을 선택합니다.
  2. Edit 또는 Rules 메뉴에서 다음 중 하나를 고릅니다.
동작메뉴에서 선택
Cut(잘라내기)Edit > Cut
Copy(복사)Edit > Copy
Paste(붙여넣기)Edit > Paste

Paste 를 고르면 Paste 메뉴가 열립니다. 규칙을 Rule Base의 어디에 붙일지 Bottom·Top·Above·Below 중에서 골라야 합니다.

규칙 삭제하기

규칙은 선택한 규칙의 우클릭 메뉴로, 또는 툴바의 Delete 버튼으로 삭제할 수 있습니다.

  1. QoS 탭 에서 삭제할 규칙을 선택합니다.
  2. 툴바에서 Delete 를 클릭합니다.
  3. Yes 를 클릭해 선택한 규칙을 삭제합니다.

규칙의 각 필드 다루기

규칙의 필드는 원하는 형태가 될 때까지 원하는 만큼 몇 번이고 바꿀 수 있습니다. 통신의 출발지와 목적지, 쓸 수 있는 서비스(TCP·Compound TCP·UDP·ICMP), 데이터 패킷에 취할 동작, 선택한 규칙의 항목을 로깅할지, 규칙이 집행될 QoS Security Gateway 인터페이스를 구성합니다. 규칙에 대한 더 자세한 내용은 기본 정책 관리를 참고합니다.

규칙의 Source(출발지) 수정

규칙에서 통신의 출발지를 수정할 수 있습니다. 출발지는 원하는 만큼 추가 할 수 있고, 출발지를 특정 사용자 그룹으로, 또는 특정 위치에서 출발한 사용자 그룹으로 제한 할 수도 있습니다.

출발지 추가

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Source 열을 우클릭하고 Add 를 고릅니다. Add Object 창이 열리며 Security Policy와 QoS Policy에 정의된 네트워크 객체가 나열됩니다.
  1. 규칙의 Source에 더할 네트워크 객체를 하나 이상 선택합니다(표준 Windows 선택 키 사용).
  2. OK 를 클릭합니다. 객체가 Source 필드에 추가됩니다. 출발지는 원하는 만큼 추가 할 수 있습니다.

출발지에 사용자 액세스 추가

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Source 열을 우클릭하고 Add Users Access 를 고릅니다. User Access 창이 나타납니다.
  3. 규칙의 Source에 더할 사용자 그룹 중 하나를 선택합니다.
  4. 위치(Location)를 제한할지 다음 중에서 고릅니다.
    • No restriction — 사용자의 출발지에 제한이 없 습니다. 예를 들어 All Users를 고르고 No restriction을 체크하면, 규칙의 Source에 AllUsers@Any 가 들어갑니다.
    • Restrict to — 출발지가 목록에서 고른 네트워크 객체로 제한 됩니다. 예를 들어 규칙의 출발지 객체가 AllUsers@Local_Net 이 됩니다.
  5. OK 를 클릭해 사용자 액세스를 규칙 출발지에 추가합니다.

출발지 편집·삭제·잘라내기·복사·붙여넣기

선택한 출발지의 우클릭 메뉴로 편집·삭제·잘라내기·복사·붙여넣기 할 수 있습니다.

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Source 를 우클릭합니다.
  3. 다음 중 하나를 고릅니다.
    • Edit — 선택한 객체 유형에 맞는 창이 열려 객체 속성을 바꿀 수 있습니다. Source 열의 객체를 더블클릭해도 됩니다.
    • Delete — 선택한 객체를 삭제합니다. 규칙의 마지막 출발지 객체를 지우면 Any로 대체 됩니다.
    • Cut — 선택한 객체를 잘라내 클립보드에 넣습니다.
    • Copy — 선택한 객체를 클립보드로 복사합니다.
    • Paste — 클립보드의 객체를 규칙의 Source에 붙여넣습니다.

객체가 어디에 쓰이는지 보기(Where Used)

선택한 객체가 어디(쿼리·활성 정책 등)에 쓰이는지 볼 수 있습니다.

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Source 를 우클릭합니다.
  3. Where Used 를 고릅니다. Object References 창이 열려 객체가 쓰이는 곳을 보여 줍니다.
  4. Close 를 클릭해 규칙으로 돌아갑니다.

규칙의 Destination(목적지) 수정

규칙에서 통신의 목적지를 수정할 수 있습니다. 목적지는 원하는 만큼 추가 할 수 있습니다.

목적지 추가

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Destination 열을 우클릭합니다.
  3. Add 를 고릅니다. Add Object 창이 열리며 Security Policy와 QoS Policy에 정의된 네트워크 객체가 나열됩니다.
  1. 규칙의 Destination에 더할 네트워크 객체를 하나 이상 선택합니다.
  2. OK 를 클릭합니다. 객체가 Destination 필드에 추가됩니다. 원하는 만큼 추가할 수 있습니다.

목적지 편집·삭제·잘라내기·복사·붙여넣기

선택한 목적지의 우클릭 메뉴로 편집·삭제·잘라내기·복사·붙여넣기 할 수 있습니다.

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Destination 을 우클릭하고 다음 중 하나를 고릅니다.
    • Edit — 객체 유형에 맞는 창이 열려 속성을 바꿉니다. Destination 열의 객체를 더블클릭해도 됩니다.
    • Delete — 선택한 객체를 삭제합니다. 규칙의 마지막 목적지 객체를 지우면 Any로 대체 됩니다.
    • Cut — 선택한 객체를 잘라내 클립보드에 넣습니다.
    • Copy — 선택한 객체를 클립보드로 복사합니다.
    • Paste — 클립보드의 객체를 규칙의 Destination에 붙여넣습니다.

객체가 어디에 쓰이는지 보기는 Source와 같은 방식으로, 우클릭 후 Where Used 를 고르면 Object References 창이 열립니다.

규칙의 Service(서비스) 수정

규칙에서 서비스를 수정할 수 있습니다. 서비스는 원하는 만큼 추가 할 수 있지만, 하나의 규칙에는 URI for QoS 리소스를 하나만 더할 수 있습니다.

서비스 추가

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Service 열을 우클릭합니다.
  3. Add 를 고릅니다. Add Object 창이 열리며 정의된 네트워크 객체가 나열됩니다.
  4. 규칙의 Service에 더할 객체를 하나 이상 선택합니다.
  5. OK 를 클릭합니다. 객체가 Service 필드에 추가됩니다.
    • 서비스는 원하는 만큼 추가할 수 있습니다.
    • URI for QoS 서비스는 하나만 허용됩니다.

리소스를 단 서비스 추가

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Service 열을 우클릭하고 Add with Resources 를 고릅니다. Services with Resource 창이 열립니다.

리소스를 단 서비스는 규칙당 하나만 더할 수 있으므로, 이 옵션은 아직 리소스 단 서비스를 더하지 않은 규칙에서만 활성화됩니다.

  1. Location 영역에서 서비스 중 하나를 선택합니다.
  2. Resource 목록에서 적절한 리소스를 선택합니다.
    • QoS Rule Base에는 URI for QoS 타입 리소스만 더할 수 있습니다. URI for QoS는 URL(URI)에 따라 HTTP 트래픽을 식별하는 데 씁니다.
    • URI 리소스를 설정할 때는 http:// 같은 프로토콜 접두어를 쓰지 마 세요. URI for QoS 리소스를 단 HTTP 서비스는 모든 포트에서 정의 할 수 있습니다.
    • QoS가 지원하는 정규표현식은 ab 형태입니다(a·b는 문자열, 는 와일드카드). 자세한 문법은 정규표현식 부록을 봅니다.
    • 전체(full) URI와 상대(relative) URI를 모두 지원합니다.
      • 전체 URI — 프로토콜 접두어 없이 전체 URI를 씁니다(http:// 등 사용 금지). 올바른 예: www.my-site.com/pic/qos.gif
      • 상대 URI — 도메인 이름 바로 뒤부터 시작하는 URI를 씁니다. 슬래시로 시작 해야 합니다. 예: /pic/qos.gif
  3. OK 를 클릭해 URI for QoS 리소스를 단 서비스를 규칙에 추가합니다.

서비스 편집·삭제·잘라내기·복사·붙여넣기

선택한 서비스의 우클릭 메뉴로 처리합니다.

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Service 를 우클릭합니다.
  3. 다음 중 하나를 고릅니다.
    • Edit — 객체 유형에 맞는 창이 열립니다. Service 열의 객체를 더블클릭해도 됩니다.
    • Delete — 선택한 객체를 삭제합니다. 규칙의 마지막 서비스 객체를 지우면 Any로 대체 됩니다.
    • Cut / Copy / Paste — 잘라내기·복사·붙여넣기.

객체가 어디에 쓰이는지 보기도 우클릭 후 Where Used 로 확인합니다.

규칙의 Action(동작) 수정

규칙의 기본 속성을 수정할 수 있습니다. 쓸 수 있는 옵션은 그 규칙이 단순(Simple) 유형인지 고급(Advanced) 유형인지 에 따라 다릅니다. 고급 동작 유형에서는 연결 단위(per connection)로 제한과 보장 할당 을 지정할 수 있습니다.

규칙 Action 편집 절차

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Action 열을 우클릭하고 Edit Properties 를 고릅니다. QoS Action Properties 창이 열립니다.
    • Action Type이 Simple 이면 단순 동작 속성 창이 열립니다.
    • Action Type이 Advanced 면 고급 동작 속성 창이 열립니다.
  1. 단순(Simple) 동작 유형의 규칙에는 다음 속성이 표시됩니다. 이 필드는 모두 바꿀 수 있습니다.

Action Type 영역

  • Simple — Guarantee Allocation과 연결 단위 제한을 전체 동작 집합.
    • Advanced — Guarantee Allocation 기능까지 포함한 전체 동작 집합.

VPN Traffic 영역

  • Allow rule only to encrypted traffic — 규칙이 VPN 트래픽에만 매칭 되게 하려면 체크합니다. 체크하지 않으면 VPN·비VPN을 가리지 않고 모든 트래픽 유형에 매칭됩니다. 여기서 VPN 트래픽이란 같은 Security Gateway에서 IPsec VPN으로 암호화된 트래픽 을 말합니다. 이 Security Gateway에 도착하기 전에 이미 암호화된 트래픽에는 적용되지 않 으며, 그런 트래픽은 "IPSec" 서비스로 매칭할 수 있습니다. VPN 트래픽을 비VPN보다 우선시하는 방법은 "Example of a Rule Matching VPN Traffic"(VPN 트래픽 매칭 규칙 예시)을 참고합니다.

Action Properties 영역 — 규칙이 적용되는 연결의 대역폭 제한을 다음 필드로 정의합니다.

  • Rule Weight — 규칙의 가중치 를 정의합니다. 이 필드는 기본으로 체크되어 있으며, Global Properties 창의 값을 가집니다(QoS 전역 속성 정의 참고). 대역폭을 완전히 잃지 않으려면 이 값을 그대로 두 세요. 자세한 내용은 "Weight"를 참고합니다.
  • Rule Limit — 규칙이 소비하는 전체 대역폭을 제한 합니다. 자세한 내용은 "Limits"를 참고합니다.
  • Rule Guarantee — 규칙에 할당되는 절대 대역폭 을 정의합니다. 자세한 내용은 "Guarantees"를 참고합니다.
  1. (선택) 고급(Advanced) 동작 유형의 규칙에는 다음 속성이 추가로 표시됩니다. 이 필드도 모두 바꿀 수 있습니다.

Limit 영역

  • Rule Limit — 규칙이 소비하는 전체 대역폭을 제한합니다.
  • Per connection limit연결 단위로 규칙 제한 을 설정합니다.

Guarantee Allocation 영역

  • Guarantee — 규칙에 매칭된 연결에 최소 대역폭을 할당 합니다.
    • Per rule — 규칙에 할당되는 절대 대역폭 을 정의합니다.
  • Per connection연결 수준에서 대역폭을 관리합니다.
    • Per connection guarantee연결당 할당되는 절대 대역폭 을 제한합니다.
    • Number of guaranteed connections최소 보장 연결 수 를 할당합니다.
  • Accept additional connections — 연결당 보장이 없는 연결도 이 규칙을 통과해 남는 대역폭을 받을 수 있게 합니다. 텍스트 상자에 이 옵션에 허용할 최대 대역폭을 입력합니다. 이는 다른 모든 조건이 충족된 경우에만 일어납니다.
  1. OK 를 클릭해 규칙의 QoS Action Properties를 업데이트합니다.

Action을 기본값으로 되돌리기

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Action 열을 우클릭하고 Reset to Default 를 고릅니다. 규칙의 동작 속성이 기본값으로 초기화됩니다. 기본값은 Global Properties 창의 QoS 페이지에 정의된 값입니다(QoS 전역 속성 정의 참고).

규칙의 Track(추적·로깅) 수정

선택한 규칙의 항목을 로깅할지 고를 수 있습니다. 로깅한다면 Account 형식으로도 로깅할 수 있습니다. 로깅 동작은 "Overview of Logging"(로깅 개요)을, 로깅을 켜는 방법은 아래 로그 수집 켜기를 참고합니다.

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Track 열을 우클릭합니다. 다음 옵션이 표시됩니다.
    • None — 이 연결에 대해 로깅하지 않습니다.
    • Log — 이 연결에 대해 로깅합니다.
    • Account — 이 연결에 대해 Accounting 형식으로 로깅합니다.
  3. 원하는 옵션을 고릅니다.

규칙의 Install On(설치 대상) 수정

Install On 필드는 규칙이 어느 QoS Security Gateway 인터페이스에서 집행될지 를 지정합니다. Install On 객체는 몇 개든 선택할 수 있습니다.

Install On 수정 절차

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Install On 열을 우클릭하고 Add 를 고릅니다. Add Interface 창이 나타납니다.
  3. (선택) Select Targets 를 클릭해 설치 대상을 더 고를 수 있습니다. Select Installation Targets 창이 나타납니다.
  4. 대상을 Installed Targets 목록에 더하려면, Not in Installation Targets 영역에서 대상을 선택하고 Add 를 클릭합니다. 선택한 대상이 In Installation Targets 영역으로 옮겨집니다.
  5. 대상을 In Installation Targets 영역에서 빼려면, 대상을 선택하고 Remove 를 클릭합니다. 선택한 대상이 Not in Installation Targets 영역으로 돌아갑니다.
  6. OK 를 클릭합니다. 선택한 대상이 Add Interface 창에 나타납니다.
  7. Add Interface 창의 대상 목록에서 다음 중 하나를 고릅니다.
    • Security Gateway(그리고 QoS가 정의된 모든 인터페이스), 또는
    • 인터페이스(양방향), 또는
    • 인터페이스의 한 방향
  8. OK 를 클릭합니다. 선택한 인터페이스가 Install On 필드에 추가됩니다.

Install On 삭제

인터페이스를 규칙에서 뺄 수 있습니다. 그러면 그 인터페이스에서는 규칙이 더 이상 집행되지 않습니다.

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Install On 을 우클릭합니다.
  3. Delete 를 고릅니다. 선택한 객체가 삭제됩니다.

객체가 어디에 쓰이는지 보기Install On 을 우클릭한 뒤 Where Used 로 확인하며, Object References 창이 열립니다.

규칙의 Time(시간) 수정

규칙이 집행되는 시간대 를 지정할 수 있습니다. 시간 객체는 몇 개든 규칙에 더할 수 있습니다.

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Time 열을 우클릭합니다.
  3. Add 를 고릅니다. Add Object 창이 열립니다.
  4. (선택) 시간 객체를 편집할 수 있습니다.
    1. 원하는 시간 객체를 선택하고 Edit 를 클릭합니다. Time Properties 창이 열립니다(Time 열의 객체를 더블클릭해도 됩니다).
    2. Time Properties 창의 필드를 필요한 대로 편집합니다.
    3. OK 를 클릭합니다.
  5. Add Object 창에서 원하는 시간 객체를 고릅니다. 시간 객체가 규칙에 추가됩니다.

시간 객체 편집·삭제

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Time 열을 우클릭합니다.
  3. 다음 중 하나를 고릅니다.
    • Edit — 객체 유형에 맞는 창이 열립니다. Time 열의 객체를 더블클릭해도 됩니다.
    • Delete — 선택한 객체를 삭제합니다. 규칙의 마지막 시간 객체를 지우면 Any로 대체 됩니다.

객체가 어디에 쓰이는지 보기도 우클릭 후 Where Used 로 확인합니다.

규칙에 Comment(코멘트) 추가

규칙에 코멘트를 더할 수 있습니다.

  1. Rule Base에서 수정할 규칙을 선택합니다.
  2. 선택한 규칙의 Comment 열을 우클릭합니다.
  3. Edit 를 고릅니다. Comment 창이 열립니다(Comment 열을 더블클릭해도 됩니다).
  4. 텍스트 상자에 코멘트를 입력합니다.
  5. OK 를 클릭합니다. 코멘트가 규칙에 추가됩니다.

서브 규칙 정의

서브 규칙은 하나의 규칙 안에서 대역폭을 더 구체적으로 나누는 규칙입니다. 예를 들어 ABC_VPN 규칙에 할당된 대역폭은, 그 아래의 서브 규칙들(ABC_VPN_ERP 부터 Default under ABC_VPN 까지)로 더 잘게 나뉩니다.

서브 규칙 정의 절차

  1. 서브 규칙을 정의할 상위 규칙을 선택합니다.
  2. Rule Name 열을 우클릭합니다.
  3. 메뉴에서 Add Sub-Rule 을 고릅니다. Rule Name 창이 나타납니다.
  4. 서브 규칙 이름을 입력하고 OK 를 클릭합니다. 새 서브 규칙과 서브 Default Rule이 함께 자동으로 생성 되며, 1단계에서 고른 규칙 아래에 기본값으로 만들어집니다.
  5. 서브 규칙은 QoS 정책 다루기의 규칙 편집 절차와 같은 방법으로 수정할 수 있습니다.
  6. 새 서브 규칙도 같은 절차로 더할 수 있습니다.

서브 규칙 보기

상위 규칙 아래의 서브 규칙은 QoS Rule Tree에서 그 규칙을 펼쳐 보면 됩니다. Rule Base에서 서브 규칙을 보려면, 해당 상위 규칙의 서브 규칙 하나를 클릭합니다. 그러면 Rule Base에 그 규칙의 모든 서브 규칙 이 나타납니다.

DiffServ 다루기

DiffServ 규칙은 다른 QoS 정책 규칙과 마찬가지로 QoS Class뿐 아니라 가중치(weight) 도 지정합니다. 이 가중치는 규칙이 설치된 인터페이스에서만 집행 됩니다. DiffServ에 대한 자세한 내용은 고급 QoS 정책 관리를 참고합니다.

DiffServ Class of Service 정의

  1. SmartDashboard 메뉴에서 Manage > QoS > QoS Classes 를 고릅니다.
  2. QoS Classes 창에서 New > DiffServ Class of Service 를 클릭합니다.
  3. Class of Service Properties 창에서 다음을 구성합니다.
    • Name — Class of Service의 이름.
    • Comment — QoS Classes 창에서 이 클래스를 골랐을 때 표시될 텍스트.
    • Color — 목록에서 색을 고릅니다.
    • Type — 목록에서 타입을 고릅니다. 미리 정의된(predefined) 클래스나 사용자 정의(user defined) 클래스 를 고를 수 있습니다.
    • DiffServ code — DiffServ 마킹을 비트맵으로 표시하는 읽기 전용 필드 입니다.
  4. OK 를 클릭합니다.

DiffServ Class of Service Group 정의

여러 DiffServ 클래스를 하나로 묶는 그룹입니다.

  1. SmartDashboard에서 Manage > QoS > QoS Classes 를 클릭합니다.
  2. QoS Classes 창에서 New > DiffServ Class of Service Group 을 클릭합니다.
  3. Group Properties에서 다음을 구성합니다.
    • Name — 그룹 이름.
    • Comment — QoS Classes 창에서 이 클래스를 골랐을 때 표시될 텍스트.
    • Color — 목록에서 색을 고릅니다.
    • 그룹에 DiffServ 클래스를 더하려면 Not in Group 목록의 클래스를 더블클릭합니다.
    • 그룹에서 클래스를 빼려면 In Group 목록의 클래스를 더블클릭합니다.
  4. OK 를 클릭합니다.

DiffServ를 위한 인터페이스 구성

인터페이스를 구성하고 DiffServ 클래스를 인터페이스에 더하는 절차입니다.

  1. SmartConsole에서 Gateways & Servers 로 갑니다.
  2. 대상 Security Gateway를 더블클릭합니다.
  3. Check Point Gateway 창에서 Network Management 를 클릭합니다.
  4. 대상 인터페이스를 더블클릭합니다.
  5. Interface 창에서 QoS 탭 을 클릭합니다.
  6. Diffserv and Low Latency classes 영역에서 Add > DiffServ Classes > Others 를 클릭합니다.
  7. Inbound Active 또는 Outbound Active 를 선택하고 Rate 속성을 설정합니다.
  8. Object Editor 창에서 목록의 QoS Class를 선택합니다.
  9. Inbound·Outbound 트래픽에 대해 다음 파라미터를 선택·구성합니다.
    • Guaranteed bandwidth우선 표시(priority)를 위해 보장되는 대역폭 입니다.
  • Bandwidth Limit — 이 클래스의 최대 대역폭 입니다. Bandwidth Limit보다 큰 트래픽 양은 QoS 우선순위로 표시됩니다.
  1. OK 를 클릭합니다.

Rule Base에 QoS Class 더하기

  1. SmartDashboard를 엽니다.
  2. 다음 중 하나를 합니다.
    • QoS 규칙의 Name 열에서 규칙의 Add Class of Service > Above 를 클릭합니다.
    • 클래스 헤더에서 헤더를 우클릭하고 Add Class of Service Above 또는 Add Class of Service Below 를 클릭합니다.
  3. 목록에서 클래스를 골라 OK 를 클릭합니다.

DiffServ 클래스 헤더가 Rule Base에 나타납니다. 이것이 처음 정의한 클래스라면, 새 DiffServ 클래스 헤더 바로 아래에 Best_Effort 헤더 가 나타납니다.

  1. 다음 절들의 절차로 클래스 속성을 정의합니다.

Expedited Forwarding 클래스 속성 정의

  1. SmartDashboard의 Network Objects 트리에서 대상 Security Gateway를 더블클릭합니다.
  2. Gateway 창에서 Network Management 를 클릭합니다.
  3. Interface 창에서 QoS 탭 을 클릭합니다.
  4. DiffServ and Low Latency classes 영역에서 Add 또는 Edit 를 클릭합니다.
  5. DiffServ Classes > Expedited Forwarding 을 클릭합니다.
  6. 다음 속성을 구성합니다.
    • Class — 정의된 클래스 목록에서 Low Latency 클래스를 고릅니다.
    • Inbound — 예약할 인터페이스 인바운드 용량의 비율을 정의합니다.
    • Constant Bit Rate — 이 클래스의 패킷이 전송될 일정 비트율 입니다.
    • Maximal Delay — 이 클래스의 패킷에 허용되는 최대 지연 입니다. 이 지연을 넘긴 패킷은 드롭 됩니다.
    • Outbound — 위와 같이 Constant Bit Rate와 Maximum Delay를 정의해 예약할 인터페이스 아웃바운드 용량의 비율을 정의합니다.

두 방향(Inbound / Outbound) 속성 중 최소 하나는 반드시 구성 해야 하며, 둘 다 구성할 수도 있습니다.

  1. OK 를 클릭합니다.

DiffServ 클래스 속성 정의

  1. SmartDashboard에서 해당 Security Gateway를 찾습니다.
  2. Gateway Properties 창에서 Network Management 를 클릭합니다.
  3. Interface 창에서 QoS 탭 을 클릭합니다.
  4. DiffServ and Low Latency classes 영역에서 Add 또는 Edit 를 클릭합니다.
  5. DiffServ Classes > Others 를 클릭합니다.
  6. 다음 속성을 구성합니다.
    • Class — 정의된 클래스 목록에서 DiffServ 클래스를 고릅니다.
    • Inbound — 예약할 인터페이스 인바운드 용량의 비율을 정의합니다.
    • Guaranteed bandwidth — QoS Class로 표시되도록 보장되는 대역폭 입니다.
    • Bandwidth Limit — QoS Class로 표시할 대역폭의 상한 입니다. Bandwidth Limit를 초과하는 트래픽은 표시되지 않습니다. 예를 들어 인터페이스 용량이 256MB이고 Bandwidth Limit를 192MB로 두면, 192MB를 넘는 트래픽은 표시되지 않 습니다.
    • Outbound — 위와 같이 Guaranteed Bandwidth와 Bandwidth Limit를 정의해 표시할 인터페이스 아웃바운드 용량의 비율을 정의합니다.
  7. OK 를 클릭합니다.

Low Latency Queuing 다루기

QoS Low Latency Queuing은 음성·영상 같은 "지연에 민감한(delay sensitive)" 애플리케이션을 위한 특수 Class of Service 를 정의할 수 있게 해 줍니다. 이 클래스 아래의 규칙은 QoS 정책 Rule Base의 다른 규칙과 함께 쓸 수 있습니다. Low Latency 클래스는 허용할 최대 지연과 Constant Bit Rate 를 지정해야 하며, QoS는 이 유형의 규칙에 매칭되는 트래픽이 정해진 지연 한계 안에서 전달 되도록 보장합니다. 자세한 내용은 고급 QoS 정책 관리를 참고합니다.

Low Latency 클래스 정의

  1. SmartDashboard에서 Manage > QoS > QoS Classes 를 고릅니다.
  2. QoS Classes 창에서 New > Low Latency Class of Service 를 클릭합니다.
  3. Class of Service Properties 창에서 다음 속성을 구성합니다.
    • Name — Class of Service의 이름.
    • Comment — QoS Classes 창에서 이 클래스를 골랐을 때 표시될 텍스트.
    • Color — 목록에서 색을 고릅니다.
    • Type — 목록에서 타입을 고릅니다.
  4. OK 를 클릭합니다.

Low Latency를 위한 인터페이스 구성

Low Latency 클래스나 DiffServ Expedited Forwarding 클래스를 쓰도록 인터페이스를 구성하는 절차입니다.

  1. SmartDashboard가 닫혀 있는지 확인합니다.
  2. SmartConsole에서 Gateways & Servers 로 갑니다.
  3. 대상 Security Gateway를 더블클릭합니다.
  4. Check Point Gateway 창에서 Network Management 를 클릭합니다.
  5. 대상 인터페이스를 더블클릭합니다.
  6. Interface 창에서 QoS 탭 을 클릭합니다.
  7. Inbound Active 또는 Outbound Active 를 선택하고 Rate 속성을 설정합니다.
  8. Diffserv and Low Latency classes 영역에서 Add > Low Latency Classes 를 클릭합니다.
  9. Low Latency QoS 창에서 목록의 클래스를 선택합니다.
  10. Inbound Active 또는 Outbound Active 를 선택합니다.
  1. 다음 Low Latency 속성을 구성합니다.
    • Constant Bit Rate — 이 클래스의 패킷이 전송될 일정 비트율.
    • Maximal Delay — 이 클래스의 패킷에 허용되는 최대 지연. 이 값을 넘긴 패킷은 드롭 됩니다.

해당하는 각 인터페이스마다 이 단계들을 반복 합니다.

Low Latency 클래스 속성 정의

  1. SmartDashboard에서 Gateways & Servers 를 클릭하고 대상 Security Gateway를 더블클릭합니다.
  2. Gateway 창에서 Network Management 를 클릭합니다.
  3. Interface 창에서 QoS 탭 을 클릭합니다.
  4. DiffServ and Low Latency classes 영역에서 Add 또는 Edit 를 클릭합니다.
  5. Low Latency 를 클릭합니다.
  6. 다음 속성을 구성합니다.
    • Class — 정의된 클래스 목록에서 Low Latency 클래스를 고릅니다.
    • Inbound — 예약할 인터페이스 인바운드 용량의 비율을 정의합니다.
    • Constant Bit Rate — 이 클래스의 패킷이 전송될 일정 비트율.
    • Maximal Delay — 이 클래스의 패킷에 허용되는 최대 지연. 이 지연을 넘긴 패킷은 드롭됩니다.
    • Outbound — 위와 같이 Constant Bit Rate와 Maximal Delay를 정의해 예약할 인터페이스 아웃바운드 용량의 비율을 정의합니다.

두 방향 속성 중 최소 하나는 반드시 구성 해야 하며, 둘 다 구성할 수도 있습니다.

  1. OK 를 클릭합니다.

QoS Security Gateway 상태 보기

QoS Security Gateway의 상태를 보려면, SmartConsole의 Gateways & Servers 뷰에서 Security Gateway를 클릭합니다. 상태 정보가 뷰 아래쪽 Summary 탭 에 나타납니다.

로그 수집 켜기

연결이 로그에 남으려면 두 가지 조건 이 모두 맞아야 합니다. QoS 로깅 플래그가 켜져 있어야 하고, 그 연결에 매칭되는 규칙의 Track 필드가 Log 또는 Account 로 표시 되어 있어야 합니다. 로깅 기능이 동작하는 방식은 "Overview of Logging"(로깅 개요)을 참고합니다.

QoS 로깅 켜기

QoS Security Gateway는 Properties 창의 Additional Logging 페이지(Logs and Masters 아래)에서 Turn on QoS Logging이 체크 되어 있으면 로그에 기록합니다. 기본으로 QoS Logging은 켜져 있습니다.

규칙이 로깅되는지 확인하기

  1. SmartDashboard에서 연결이 로깅될 규칙을 선택합니다.
  2. Track 필드에 Log 또는 Account가 표시 되는지 확인합니다.

로그가 실제로 어떻게 보이는지와 이벤트 조회는 Logs & Events에서 다룹니다.