12Bridge 모드Bridge Mode

Bridge 모드에서는 Virtual System의 인터페이스에 IP 주소가 필요 없습니다. 다만 인터페이스가 아니라 Virtual System 자체에는 선택적으로 IP를 줄 수 있는데, 이렇게 하면 네트워크 장애를 감지하는 L3 모니터링이 가능해집니다.

VSX는 두 가지 Bridge 모드를 지원합니다. Active/Active Bridge 모드는 중복 스위치 사이의 원치 않는 루프를 막으면서 이중화를 제공하고, Active/Standby Bridge 모드는 경로 이중화와 루프 방지를 제공하면서 VSLS를 매끄럽게 지원하고 STP의 여러 한계를 넘어섭니다.

Active/Active 모드는 고속 스위치 네트워크에서 루프를 막는 업계 표준인 STP(Spanning Tree Protocol) 에 기댑니다. 따라서 이 모드를 쓰려면 네트워크에 STP가 배포되고 제대로 설정되어 있어야 합니다. 지원하는 L2 프로토콜은 802.1d, 802.1q, 802.1s, 802.1w, 그리고 PVST+입니다. STP를 네트워크 하드웨어에 어떻게 배포·설정하는지는 해당 벤더 문서를 참고하면 됩니다.

Active/Standby 모드는 High Availability를 크게 개선하고, VSX Cluster 환경에서 VSLS의 처리량을 Virtual System들에 분산시킵니다. 구체적인 이점은 즉각적인 페일오버, 관리자가 브리지 페일오버를 더 잘 통제할 수 있다는 점, VSLS 지원, 그리고 VLAN 변환입니다. 반면 가장 큰 한계는 STP 트리 구조를 깬다는 점입니다. 그래서 이 모드로 Virtual System을 설정할 때는 스위치의 STP 데이터베이스에서 해당 Virtual System의 VLAN을 빼 두어야 트렁크 인터페이스 복구 지연을 막을 수 있습니다.

이 모드는 대규모 고트래픽 환경의 3계층 계층 모델에 자연스럽게 들어맞습니다. 인터넷·외부망과 트래픽을 주고받는 고속 백본 스위치의 코어 계층, 코어와 액세스 계층을 잇는 라우터들의 분배 계층, 내부망과 트래픽을 주고받는 이중화 LAN 스위치의 액세스 계층으로 나뉘는데, Active/Standby Bridge 모드의 VSX는 분배 계층에 들어가 보안 정책을 적용합니다. 라우터가 분리된 VLAN으로 외부 트래픽을 알맞은 Virtual System에 보내면, 검사된 트래픽은 또 다른 분리된 VLAN으로 빠져나가 라우터를 거쳐 내부 목적지로 향합니다.

표준 STP 설정으로는 동작하지 않는 VLAN 공유 인터페이스 배포도 이 모드에서 가능합니다. 각 VSX Cluster 멤버가 VLAN 트렁크로 한 쌍의 이중화 스위치에 연결되고, 한 멤버 안의 모든 Virtual System이 같은 VLAN 트렁크를 공유하는 구성입니다. High Availability에서는 관리자가 정한 우선순위와 상태에 따라 트래픽이 멤버로 향하고, VSLS에서는 VSLS 설정에 따라 부하가 멤버들 사이에 분산됩니다.

설정 자체는 단순합니다. 새 Virtual System 객체의 General Properties에서 Bridge Mode를 선택하고 다음으로 넘어가면 네트워크 설정 창이 열리는데, 여기서 외부·내부 인터페이스를 설정합니다. 필요하면 Enable Layer 3 Bridge Interface Monitoring을 켜는데, 이때 주는 IP는 고유해야 하고 보호 대상 네트워크와 같은 서브넷이어야 합니다. 그리고 마치면 됩니다. 참고로 R81부터는 vsx_provisioning_tool로, R81.10부터는 SmartConsole로 일반 Virtual System에도 브리지 인터페이스를 추가할 수 있게 되었습니다.

Multi Bridge는 하나의 Bridge 모드 Virtual System을 통해 여러 VLAN의 트래픽을 흐르게 하는 기능으로, VSX Gateway와 Active/Active·Active/Standby Bridge 모드 클러스터에서 지원됩니다. Bridge 모드 Virtual System에 물리·VLAN 인터페이스를 추가하다가 VLAN 인터페이스를 두 개보다 많이 추가하면 Multi Bridge가 자동으로 켜집니다. 브리징하려는 두 인터페이스에는 같은 VLAN 태그를 설정하면 됩니다.

여기에는 지켜야 할 규칙이 있습니다. 모든 인터페이스가 VLAN이어야 하고, 브리지는 두 VLAN 트렁크 사이에서만 만들 수 있으며, 하나의 Multi Bridge에 최대 64쌍의 VLAN 인터페이스를 넣을 수 있습니다. 그리고 그 두 VLAN 트렁크는 서로 짝으로만 함께 써야 하고, 다른 Bridge 모드 Virtual System의 다른 트렁크와 섞어 쓸 수 없습니다. 예를 들어 eth1.10, eth2.10, eth1.20, eth2.20을 정의하면 eth1과 eth2 트렁크는 묶인 것이라, eth1.30을 eth3.30과 브리징할 수는 없습니다. 참고로 Multi Bridge 인터페이스의 이름은 brXXXXXX(X는 숫자) 형태로 붙습니다.

새 Multi Bridge를 만들려면 해당 Virtual System을 관리하는 Security Management Server나 Target Domain Management Server에 SmartConsole로 접속해 새 Virtual System 객체를 만들고 Bridge Mode를 선택한 뒤, Interfaces 섹션에서 VLAN 인터페이스를 쌍으로 추가합니다. 이때 각 쌍의 두 인터페이스는 서로 다른 트렁크에서 온 같은 VLAN 태그여야 하고(예: eth2.50/eth2.51, eth3.50/eth3.51), 같은 두 VLAN 트렁크를 써야 합니다. 다 만들면 Access Control 정책을 설치합니다. 기존 브리지를 Multi Bridge로 바꿀 때는 객체를 열어 Bridge Configuration > Topology에서 물리 인터페이스가 있으면 제거하고 VLAN 인터페이스 쌍을 더 추가한 뒤 정책을 설치하면 됩니다.

새 VSX 클러스터를 Active/Standby Bridge 모드로 만들려면, 각 멤버의 Gaia 최초 설정 마법사에서 ClusterXL을 선택합니다. 이후 VSLS에 필요한 Per Virtual System State 기능을 켰다면 Active/Standby Bridge 모드가 자동으로 켜지고, 켜지 않았다면 각 멤버의 CLI에서 cpconfig를 실행해 Active/Standby Bridge 모드 옵션을 활성화합니다. 그다음 SmartConsole에서 VSX 클러스터 객체를 열어 Other > VSX Bridge Configuration으로 가서 Check Point ClusterXL을 선택하면 ClusterXL의 루프 감지 알고리즘이 켜지고, 마지막으로 <클러스터명>_VSX 정책을 설치합니다.

기존 클러스터를 Active/Standby로 바꿀 때도 같은 화면에서 Check Point ClusterXL을 고르고 정책을 설치한 뒤, 각 멤버에서 cpconfig로 "Enable ClusterXL for Bridge Active/Standby"를 선택하고 재부팅합니다. 반대로 Active/Active로 바꾸려면 VSX Bridge Configuration에서 Standard Layer 2 Loop Detection Protocols를 고르고 정책을 설치한 뒤, 각 멤버에서 cpconfig로 "Disable ClusterXL for Bridge Active/Standby"를 선택하고 재부팅하면 됩니다.

cpconfig    # 멤버 CLI에서 Bridge Active/Standby 활성/비활성 선택 후 재부팅