05내부 네트워크 배포 전략Deploying VSX - Internal Network Deployment Strategies

비교의 출발점으로 물리 네트워크를 떠올려 보면, 큰 물리 배포에서는 여러 Security Gateway가 각자 자기 내부망과 라우터에 물리적으로 연결되어 망 구간들을 보호합니다.

VSX는 이 그림을 게이트웨이 한 대 안으로 옮기는 것이고, 옮기는 방법이 아래 네 가지입니다.

가장 기본적인 구성입니다. 각 Virtual System이 VSX Gateway의 물리 인터페이스를 통해 보호 대상 내부망에 직접 연결되고, 내부망들 사이와 인터넷 쪽은 Virtual Switch가 이어 줍니다. 구조가 단순해서 적고 고정된 수의 내부망을 보호할 때 적합합니다.

다만 분명한 단점이 있습니다. 보호할 네트워크마다 VSX Gateway에 전용 물리 인터페이스가 하나씩 필요하다는 점입니다. 물리 포트 수는 한정돼 있으니, 많은 Virtual System이 필요한 환경에는 맞지 않습니다.

이 방식에서는 Virtual System들이 VLAN 인터페이스를 통해 내부 보호망에 연결됩니다. VSX Gateway는 802.1q VLAN 트렁크 하나로 VLAN 스위치에 연결되는데, 이 트렁크가 그 위를 지나는 모든 VLAN을 한데 묶어 나릅니다.

이 구성은 하나의 VSX Gateway나 클러스터로 많은 Virtual System이 많은 내부망을 보호하는 환경에 알맞습니다. VLAN이 확장성과 세분성을 주기 때문에, 기존 IP 주소 구조를 바꾸지 않고도 Virtual System과 보호망을 빠르게 늘릴 수 있습니다. 실무에서 가장 흔히 쓰는 방식이 바로 이것입니다.

이 방식은 VLAN 기술 없이 단일 물리 인터페이스만으로 Virtual System들을 보호망에 연결합니다. 핵심은 Virtual Router가 출발지 IP 주소를 보고 알맞은 Virtual System으로 트래픽을 보내는 출발지 기반 라우팅(source-based routing) 규칙을 쓴다는 점입니다. 각 Virtual System이 하나의 Virtual Router에 연결된 구성에서, VR에 출발지 기반 라우팅 규칙을 설정해 트래픽을 분배합니다.

이 시나리오에는 몇 가지 전제가 있습니다. 각 Virtual System은 공인 IP로 Virtual Switch에 연결되고, Virtual Router에 연결된 각 로컬 네트워크는 사설 IP를 씁니다. 이 구성은 IP 주소 중복을 지원하지 않으며, 공유 내부 인터페이스에서 나온 패킷에 대해서는 Anti-Spoofing 보호가 동작합니다. 체크포인트는 내부 물리 라우터에서도 Anti-Spoofing 보호를 설정할 것을 권합니다. 그리고 앞서 여러 번 언급했듯 Maestro·Scalable Chassis Security Group은 Virtual Router를 지원하지 않으므로(Known Limitation 01413513) 이 방식 자체를 쓸 수 없습니다.

이 방식의 가장 큰 장점은 기존 IP 라우팅 구조를 건드리지 않고도 기존 네트워크 토폴로지에 Virtual System을 투명하게 끼워 넣을 수 있다는 것입니다. 특히 대규모 클러스터 환경에 잘 맞습니다. Bridge 모드의 자세한 동작과 설정은 Bridge 모드 챕터에서 다룹니다.