L4스위치없이 방화벽 이중화하기(Failover)
본인이 근무하고 있는 사이트의 네트워크 구조는 아래와 같다.
4개의 건물이 있고 가운데 백본스위치가 2개있으며 양쪽에 무선AP 제어용 모듈이 있는 구조이다
위 구성도중 녹색으로 음영표시되어 있는 4개의 장비가 L4스위치이고 이것을 이용해서 Active-Active 구조로 되어있는 네트워크이다.
근데 이 L4스위치가 말썽을 일으켜서 지금 처럼 이중화를 유지하면서 L4스위치를 제거해야하는 미션이 생겼다.
백본스위치와 L3스위치를 이용해서 약간 어거지(?)를 부려서 구현하게 되었다.
이 작업을 하면서 나름 배우게 된 점이 많이 있기 때문에 이걸 기억하고자 이번 포스팅을 하게 되었다.
먼저 핵심은 위에서 이야기한 것 처럼 백본 스위치와 방화벽 상단에 L3스위치를 두어서 망 전체를 Active-Standby로 구현하는 것이다.
그러기 위해서는 디폴트 라우팅을 복수개로 config해야 하는 상황이었고 단순히 distance값만 조절하여 라우팅테이블을 설정하면 connected되어 있지 않은 링크에 대해서는 장애를 감지할 수 없기 때문에 icmp-echo를 이용한 Track옵션을 이용하도록 했다.
실제 망에서는 이미 작업이 끝났고 또 이런 테스트에 직접 이용 할 수 없으므로 GNS3를 이용하여 위 네트워크를 구성하였다.
위 망에서 자잘한 장비들을 없애고 제거하기로 했던 L4스위치를 제거하면 위 네트워크처럼 2개의 백본스위치와 1개의 L3스위치, 2개의 방화벽이 남는다.
이 장비를 위 그림처럼 구현하고 BB1을 Active로, BB2를 Standby로 해서 Track을 이용한 디폴트라우팅 Failover를 구현하였다.
설정 config를 하나하나 보며 설명하면 좋겠지만 GNS에서 PPT로 object 연동이 되지 않아서 그냥 통으로 설명하도록 하겠다.
백본1 설정 값이다.
위에서 이야기한 것 처럼 track 100을 생성하고 여기에 sla 1을 적용하였다.
sla 1 옵션을 icmp-echo로 해서 출발지 IP주소를 192.168.10.1 목적지 IP를 10.10.10.14로 설정하였다.
한마디로 요약하면 10.10.10.14까지 60초에 한번씩(기본값) ping을 보내도록 설정하고 ping이 성공하지 않으면
디폴트 라우팅경로를 Stnadby 네트워크로 변경하겠다는 뜻이다.
백본2번와 L3스위치의 설정값도 이에 기반을 둔다.
기본 디폴트 라우팅을 BB1으로 가도록 설정한 뒤(Active-Standby로 구현) 세컨 경로를 FW_B로 설정하였다.
track이 DOWN상태가 되면 디폴트 라우팅 테이블이 FW_B로 향하게 되는것이고 10.10.10.14(L3스위치 인터페이스)까지 핑이 성공하게되면 ## 링크에 이상이 없다면 ## 백본스위치1을 기본 경로로 설정하게 되는 설정값이다.
여기에서 방화벽의 설정은 중요하지 않다. static 라우트만 설정해 주었다.
마지막으로 L3스위치 이다. 마찬가지로 FW_A가 기본 Active network이며 백본스위치1까지의 링크가 문제가 생겼다고 감지 했을 때 백본2번으로 경로를 변경하도록 하는 구성이다.
L4스위치가 있을 땐 VIP를 이용해서 하나의 라우팅테이블로 구현이 가능했지만 망 특성상 당장 L4스위치를 구현 할 수 없어 이런 식으로 Failover를 구현하였다.
이런것도 가능하구나... 라는 정도로 알아두면 좋겠다.
4개의 건물이 있고 가운데 백본스위치가 2개있으며 양쪽에 무선AP 제어용 모듈이 있는 구조이다
위 구성도중 녹색으로 음영표시되어 있는 4개의 장비가 L4스위치이고 이것을 이용해서 Active-Active 구조로 되어있는 네트워크이다.
근데 이 L4스위치가 말썽을 일으켜서 지금 처럼 이중화를 유지하면서 L4스위치를 제거해야하는 미션이 생겼다.
백본스위치와 L3스위치를 이용해서 약간 어거지(?)를 부려서 구현하게 되었다.
이 작업을 하면서 나름 배우게 된 점이 많이 있기 때문에 이걸 기억하고자 이번 포스팅을 하게 되었다.
먼저 핵심은 위에서 이야기한 것 처럼 백본 스위치와 방화벽 상단에 L3스위치를 두어서 망 전체를 Active-Standby로 구현하는 것이다.
그러기 위해서는 디폴트 라우팅을 복수개로 config해야 하는 상황이었고 단순히 distance값만 조절하여 라우팅테이블을 설정하면 connected되어 있지 않은 링크에 대해서는 장애를 감지할 수 없기 때문에 icmp-echo를 이용한 Track옵션을 이용하도록 했다.
위 망에서 자잘한 장비들을 없애고 제거하기로 했던 L4스위치를 제거하면 위 네트워크처럼 2개의 백본스위치와 1개의 L3스위치, 2개의 방화벽이 남는다.
이 장비를 위 그림처럼 구현하고 BB1을 Active로, BB2를 Standby로 해서 Track을 이용한 디폴트라우팅 Failover를 구현하였다.
설정 config를 하나하나 보며 설명하면 좋겠지만 GNS에서 PPT로 object 연동이 되지 않아서 그냥 통으로 설명하도록 하겠다.
백본1 설정 값이다.
위에서 이야기한 것 처럼 track 100을 생성하고 여기에 sla 1을 적용하였다.
sla 1 옵션을 icmp-echo로 해서 출발지 IP주소를 192.168.10.1 목적지 IP를 10.10.10.14로 설정하였다.
한마디로 요약하면 10.10.10.14까지 60초에 한번씩(기본값) ping을 보내도록 설정하고 ping이 성공하지 않으면
디폴트 라우팅경로를 Stnadby 네트워크로 변경하겠다는 뜻이다.
백본2번와 L3스위치의 설정값도 이에 기반을 둔다.
기본 디폴트 라우팅을 BB1으로 가도록 설정한 뒤(Active-Standby로 구현) 세컨 경로를 FW_B로 설정하였다.
track이 DOWN상태가 되면 디폴트 라우팅 테이블이 FW_B로 향하게 되는것이고 10.10.10.14(L3스위치 인터페이스)까지 핑이 성공하게되면 ## 링크에 이상이 없다면 ## 백본스위치1을 기본 경로로 설정하게 되는 설정값이다.
마지막으로 L3스위치 이다. 마찬가지로 FW_A가 기본 Active network이며 백본스위치1까지의 링크가 문제가 생겼다고 감지 했을 때 백본2번으로 경로를 변경하도록 하는 구성이다.
L4스위치가 있을 땐 VIP를 이용해서 하나의 라우팅테이블로 구현이 가능했지만 망 특성상 당장 L4스위치를 구현 할 수 없어 이런 식으로 Failover를 구현하였다.
이런것도 가능하구나... 라는 정도로 알아두면 좋겠다.
댓글
댓글 쓰기