Day 10: 네트워크 장비들

1) 학습 목표

• 이더넷 스위치의 주요 기능과 역할을 이해한다.
• 충돌 도메인과 브로드캐스트 도메인의 차이를 이해한다.
• 스위칭 방식(cut-through, store-and-forward)의 개념과 차이를 설명할 수 있다.
• 라우터의 주요 기능과 OSI 계층 내 위치를 이해한다.
• 패킷 포워딩 방식(프로세스 스위칭, 패스트 스위칭, CEF)을 구분하고 동작 원리를 설명할 수 있다.
• 방화벽의 역할과 동작 원리를 설명할 수 있다.
• Stateless, Stateful, Application Layer 기반 방화벽의 차이점을 이해하고 적용할 수 있다.
• 로드 밸런서의 역할과 필요성을 설명할 수 있다.
• 서버 로드 밸런싱의 구성 요소 및 고급 기능들을 이해하고 활용할 수 있다.
  

2) 개념 정리

1. 이더넷 스위치의 구조와 동작 방식 이해

 

이더넷 스위치의 개요

• 스위칭과 라우팅은 네트워크 계층에서 수행되는 기능이다.
• 스위치는 TCP/IP 모델의 네트워크 접근 계층, OSI 모델의 2계층(Data Link Layer)에서 동작한다.
• 스위치는 장치와 MAC 주소 정보를 학습하여 MAC 주소 테이블을 구성하고, 이를 기반으로 프레임을 필터링하거나 플러딩한다.

브로드캐스트 도메인(Broadcast Domain)

• 같은 브로드캐스트 도메인 내 장비는 데이터링크 계층에서 브로드캐스트 프레임을 모두 수신한다.
• 기본적으로 스위치의 모든 포트는 동일한 브로드캐스트 도메인에 속한다.
• 라우터(Layer 3 장비)는 브로드캐스트 도메인의 경계를 형성한다.
• VLAN은 각기 다른 브로드캐스트 도메인으로 작동한다.

충돌 도메인(Collision Domain)

• 허브 환경에서는 한 번에 하나의 장치만 전송 가능하며, 동시에 송수신이 불가(half-duplex 통신).
• 두 장치가 동시에 전송 시 충돌 발생 → 해당 영역이 충돌 도메인.
• 스위치는 포트별로 충돌 도메인을 분리해 충돌을 제거함.

Duplex Mode 비교

• Half-Duplex: Walkie-Talkie처럼 한 번에 한 방향만 통신 가능. 충돌 발생 가능.
• Full-Duplex: 전화처럼 양방향 동시 송수신 가능. 충돌 없음.

스위치의 기본 기능

• MAC 주소 학습 및 프레임 전달
• 고속의 Full-Duplex 포트 제공
• 프레임 버퍼를 이용해 혼잡한 포트 처리
• 매우 빠른 내부 스위칭 (내부 버스, 공유 메모리, 크로스바 스위치 패브릭 등 사용)

MAC 주소 테이블

• 각 포트에 연결된 장비의 MAC 주소를 동적으로 학습하고 저장
• 이를 바탕으로 프레임을 정확한 포트로 전달

스위칭 방식

(1) Cut-Through Switching

• 수신 프레임의 목적지 MAC 주소만 확인 후 바로 전달 시작
• 전체 프레임을 다 받기 전에 전송 → 지연 시간 짧음
• 오류 검사는 하지 않음
• Fragment-Free Switching: Type 필드까지 수신 후 전송 시작 (간단한 오류 방지 기능 포함)

(2) Store-and-Forward Switching

• 전체 프레임 수신 후 CRC(Cyclic Redundancy Check)로 오류 검사
• 오류 없는 경우에만 전송 → 신뢰성 높음
• 전체 수신 대기 → 지연 시간 증가

[요약 정리]

• 스위치는 MAC 주소 기반으로 프레임을 전달하는 Layer 2 장비이며, 포트마다 충돌 도메인을 분리함
• Cut-Through는 빠른 속도, Store-and-Forward는 높은 신뢰성 제공
• 스위치의 동작 이해는 VLAN 구성, 네트워크 성능 최적화, 트래픽 제어에 매우 중요함

 

2. 라우터의 역할과 패킷 전달 방식 이해

 

라우터의 계층

• TCP/IP 모델: Internet Layer
• OSI 모델: Layer 3 (Network Layer)

라우터의 주요 기능

• 서로 다른 네트워크(서브넷 포함) 간 패킷 전달 수행
• 라우팅 테이블을 기반으로 목적지 IP 주소에 따라 경로 결정
• 포트 수는 스위치보다 적지만 LAN/WAN 다양한 포트 타입을 지원 (구리/광 포트 포함)
• 각 인터페이스에는 IP 주소를 설정해야 함

라우터의 핵심 기능

 

① 경로 결정(Path Determination)

• 라우팅 테이블을 사용해 최적 경로 선택

② 패킷 전달(Packet Forwarding)

• 결정된 경로로 패킷 전송

패킷 포워딩 방식

 

① Process Switching

• 패킷이 들어올 때마다 제어 플레인으로 전달
• CPU가 매번 라우팅 테이블 조회 후 포워딩
• 동일한 목적지 패킷도 매번 반복 계산
• 매우 느려서 현재는 거의 사용되지 않음
• 비유: 매번 수학 문제를 손으로 다시 계산

② Fast Switching

• 첫 번째 패킷은 Process Switching처럼 처리
• 이후 동일한 목적지 패킷은 캐시에 저장된 next-hop 정보 재사용 → CPU 개입 없음
• 속도 개선됨
• 비유: 한 번 손계산 후 답을 외워서 다음엔 바로 대답

③ Cisco Express Forwarding (CEF)

• Cisco의 기본 포워딩 방식 (가장 빠름)
• FIB(Forwarding Information Base)와 Adjacency Table을 사전 생성
• 패킷 발생이 아닌 네트워크 변화에 따라 테이블이 갱신됨 (변화 기반)
• 라우터가 수신 즉시 참조 테이블만 보고 빠르게 처리 가능
• 비유: 모든 가능성에 대한 답을 미리 스프레드시트에 정리해 둠

라우터의 인터페이스

• 일반적으로 스위치보다 적은 포트를 가짐
• 그러나 다양한 매체(LAN/WAN, 구리/광)를 지원
• 각 인터페이스는 서로 다른 네트워크(서브넷)에 연결되어야 하며 IP 주소 설정 필수

[요약 정리]

• 라우터는 서로 다른 네트워크 간 패킷을 전달하며, 라우팅 테이블을 기반으로 최적 경로를 선택하고 포워딩한다.

 

3. 방화벽(Firewall)의 유형과 계층별 동작 방식 이해

 

방화벽이란?

• 네트워크 내부와 외부 간의 비인가 접근을 차단하는 하드웨어 또는 소프트웨어 보안 장비
• 모든 입출력 트래픽은 방화벽을 반드시 통과해야 하며, 설정된 보안 정책에 따라 허용/차단됨
• 보안 아키텍처에서 핵심 역할 수행

Stateless Packet Filtering (비상태 기반 필터링)

• 가장 기본적인 방화벽 형태
• 정적인 ACL(접근 제어 목록) 기반으로 패킷의 헤더 정보만 보고 허용 또는 차단
• 검사 대상 필드: 출발지/목적지 IP, 프로토콜(TCP/UDP/ICMP), 포트 번호, 플래그 등
• 장점: 단순하고 빠름
• 단점: 세션 상태를 인식하지 못해 응답 패킷도 막을 수 있음, 유동 포트를 사용하는 애플리케이션에 취약
• 비유: 상대가 누구인지 모르고 조건만 맞으면 들여보내는 보안관

Stateful Packet Filtering (상태 기반 필터링)

• 패킷 헤더 분석 + 세션 상태 추적
• 연결이 시작될 때 상태 테이블(state table)에 기록하고, 응답 패킷은 테이블 정보와 비교해 허용
• 신뢰할 수 없는 외부가 먼저 접속 시도하는 것은 차단
• 비유: 먼저 초대한 사람만 들여보내는 보안관, 응답인지 아닌지 인식 가능
• 제한사항: OSI Layer 3~4까지만 이해 가능, 응용 계층 수준의 분석은 불가

Application Layer Firewall (애플리케이션 계층 방화벽)

• OSI Layer 7까지 딥 패킷 검사 수행 가능
• 트래픽이 실제 수행하는 동작까지 분석 가능 (예: FTP put vs get)
• 예: 특정 IP의 FTP 업로드만 허용, 특정 파일명(os.bin)만 허용
• HTTP 요청의 형식 준수 여부까지 분석 가능 → 웹 공격 탐지 가능
• 장점: 세밀한 제어, 애플리케이션 수준 보안
• 단점: 성능 저하 가능성 (딥 인스펙션), 버퍼링 부족 시 처리 지연
• 비유: 방문 목적까지 확인하고 허가 여부를 결정하는 보안관

방화벽 설계 전략 요약

• 기본 정책은 '허용된 것만 통과, 나머지는 차단'
• 인바운드: 외부 → 내부는 최소한의 허용 정책만 설정
• 아웃바운드: 내부 → 외부 요청은 추적 기반 허용 + 필터링

 

4. 로드 밸런서의 구조, 기능 및 동작 방식 이해

 

로드 밸런싱이란?

• 여러 서버, 네트워크 링크 등에 워크로드를 분산시켜 가용성, 확장성, 보안성을 향상시키는 기술
• 단일 서버에 집중되는 요청을 여러 서버로 분산하여 과부하 방지 및 서비스 안정성 확보

기본 동작 원리

• 클라이언트 요청(예: 웹 페이지 요청)을 적절한 서버에 전달
• 요청 처리 가능 상태, 부하 수준, 응답 시간 등을 고려해 최적의 서버 선택

장비 수준 기능

 

① 장비 이중화 (Device Redundancy)

• 하나의 로드 밸런서 장애 시 대기 중인 장비가 자동으로 역할 승계

② 가상화 기반 확장성 (Scalability)

• 로드 밸런서를 가상 장비로 독립 실행 가능, 리소스 분리 배정

③ 보안 기능 (Security)

• ACL을 통한 접근 제어 가능 (특정 클라이언트 또는 네트워크 제한)

1. 네트워크 서비스 수준 기능 ① 고가용성 (High Availability)

• 다수의 서버 또는 서버 팜 간 요청 분산
• 헬스 체크(Health Probe)를 통한 서버 상태 모니터링

② 고급 분산 알고리즘 (Predictor)

• 응답 시간, 부하 수준, 사용 가능 여부 등을 고려한 지능형 분산 처리
• 예: Round Robin, Least Connections, Fastest Response 등

③ 세션 지속성 (Persistence, Stickiness)

• 특정 세션 내 모든 요청은 동일 서버로 유지 → 장바구니 같은 이커머스 환경에 필수

④ SSL 처리 및 오프로딩

• 클라이언트와의 SSL 세션을 로드 밸런서가 직접 처리 (SSL termination)
• 백엔드 서버의 부하 감소
• 인증서 관리, 암복호화 수행

구성 요소 정리

 

① Virtual Server

• 클라이언트 입장에선 하나의 서버처럼 보이나, 실제론 다수의 실제 서버로 구성

② Real Server (Physical Server)

• 서비스 처리 역할 담당. 같은 기능의 서버들을 묶어 서버 팜(Server Farm) 구성
• 미러링 콘텐츠 구성 → 장애 시 다른 서버가 즉시 역할 수행

③ Health Probe

• 서버 또는 서버 팜의 상태를 주기적으로 검사
• 응답 여부에 따라 서비스 대상 서버를 동적으로 선택 또는 제외

요청 분산 흐름

• 클라이언트 요청 → Virtual Server → Predictor 판단 → Real Server
• 세션 유지 설정 시: 기존 서버로 요청 지속 전송
• 로드 밸런싱 방식 설정 시: 조건 기반 최적 서버로 요청 분산
  

 

5. Cisco NOS 정리표

NOS	이름	주요 용도	장비
IOS	Enterprise (지사/캠퍼스)	단일 OS 구조, 전통적인 CLI, 라우팅/스위칭 기능 혼합	라우터(2900, 3900), 스위치(2960 등)
IOS XE	Enterprise (고성능)	모듈형 OS (Linux 기반), 고가용성, 서비스 분리 가능	Catalyst 9000 시리즈, ASR 1000 등
IOS XR	Service Provider	고가용성, 분산처리 구조, 프로세스 격리	ASR 9000, NCS 시리즈, CRS 라우터
NX-OS	Data Center	고성능, 가상화 지원, L2/L3 혼합 스위칭 최적화	Nexus 시리즈 (Nexus 3k, 5k, 7k 등)

 

1. IOS (Internetwork Operating System)

• 가장 오래된 Cisco OS
• 단일 프로세스, 단일 스레드 구조
• 한 프로세스가 죽으면 전체 장비가 영향받음
• 간단한 네트워크나 소규모 지사에서 여전히 많이 쓰임

2. IOS XE

• IOS 기능을 유지하면서 Linux 기반 모듈형 구조로 진화
• Control Plane과 Data Plane을 분리해서 안정성 향상
• Service Plane 지원 (예: DPI, NetFlow 등)
• 고성능 라우터와 스위치에서 사용됨

3. IOS XR

• 서비스 프로바이더용으로 설계된 고신뢰성 OS
• 프로세스 격리 (Process isolation) 기능으로 HA(High Availability) 지원
• 멀티 루트 커널 기반 (QNX → Linux로 점차 이동 중)
• 대용량 트래픽과 MPLS, L3VPN 등에 특화됨

4. NX-OS (Nexus OS)

• Data Center 전용, 스위치용 OS
• SAN, DC Fabric, VXLAN, EVPN 등 DC 중심 기능 제공
• 구조적으로 IOS와는 다르며, Python, Bash 접근 가능
• Dual Supervisor와 같은 HA 기능 지원