[안정성을 위한 기술] 게이트웨이 이중화

 

 

 컴퓨터 네트워크에서 호스트가 외부 네트워크와 통신하기 위해 게이트웨이를 사용하는 방식은 기본적이면서도 매우 중요하다.

 

1. 게이트웨이 이중화란?

 게이트웨이 이중화는 네트워크의 안정성을 확보하기 위한 중요한 기술이다. 네트워크 환경에서 내부 네트워크와 외부 네트워크 간의 통신은 게이트웨이를 통해 이루어진다. 만약 게이트웨이 장비에 장애가 발생하면, 해당 네트워크의 호스트들은 외부 네트워크와 통신할 수 없게 되는 문제가 발생한다.

 

- L2 통신과 L3 통신

 

• 동일한 서브넷에 있는 호스트 간의 통신은 L2 통신으로, 라우터와 같은 3계층 장비 없이 ARP 프로토콜로 통신이 이루어진다.
• 하지만 외부 네트워크와 통신할 경우에는 반드시 게이트웨이를 통해야 하며, 이를 L3 통신이라고 한다.
• 따라서 게이트웨이가 설정되지 않거나 잘못 설정된 경우, 내부 네트워크에서는 통신이 가능하지만 외부 네트워크와의 통신은 불가능하다.

 

 

- 게이트웨이 장애 영향

 게이트웨이에 장애가 발생하면 다음과 같은 상황이 발생할 수 있다.

 

1. 게이트웨이 장비 장애: 호스트는 외부 네트워크와의 통신이 불가능하다.
2. 인터페이스 또는 연결 케이블 장애: 광 모듈이나 케이블 문제가 생겨도 동일한 결과가 나타난다.
3. 스위치 장애: 게이트웨이와 연결된 하단 스위치 장애로 인해 통신이 끊길 수 있다.

 이러한 장애 상황에서도 물리적으로 이중화된 경로가 있더라도, 호스트는 하나의 게이트웨이만 사용하므로 통신이 두절된다.

 

2. FHRP(First Hop Redundancy Protocol)

 위 문제를 해결하기 위해 FHRP(First Hop Redundancy Protocol)이라는 게이트웨이 이중화 프로토콜이 사용된다.

 

- FHRP(First Hop Redundancy Protocol)

 

• FHRP는 외부 네트워크와 통신하는 게이트웨이를 다수의 장비로 구성하여 고가용성을 제공한다.
• 가상 IP 주소(Virtual IP) 및 가상 MAC 주소(Virtual MAC)를 사용하여 단일 게이트웨이처럼 동작한다.
• FHRP 그룹 내 장비는 동일한 가상 IP를 공유하며, 우선순위 값을 기준으로 Active(마스터)와 Standby(백업) 역할을 분배한다.

 

※ 참고 : 프록시 ARP  호스트에 게이트웨이 설정이 없거나 잘못 설정된 경우에도 게이트웨이 장비가 대신 ARP 응답을 보내 다른 네트워크와의 통신을 가능하게 하는 기술이다. 그러나 이러한 구성은 FHRP(First Hop Redundancy Protocol) 프로토콜이 도입되기 전의 오래된 방식으로, 보안상의 취약점과 여러 가지 문제를 일으킬 수 있다. 이로 인해 프록시 ARP는 비활성화하는 것이 권장되며, 보다 안전하고 효율적인 네트워크 운영을 위해 FHRP와 같은 대체 기술을 사용하는 것이 좋다.

 

- FHRP의 주요 기능

가상 IP주소와 MAC 주소	두 대 이상의 게이트웨이 장비가 가상 IP와 MAC을 공유함
우선순위 기반 Active/Standby 상태	우선순위가 높은 장비가 Active 상태로 ARP 요청에 응답함. Active 상태의 장비에 장애가 발생하면 Standby 상태의 장비가 Active로 전환됨.
호스트의 지속적인 통신 보장	호스트는 게이트웨이를 하나의 가상 IP 주소로 인식하므로, Active 장비에 장애가 발생하더라도 통신이 유지됨.

 

- FHRP 동작

 

• ARP 요청 처리
  • 호스트 장비가 ARP 요청을 보내면, Active 장비가 응답하여 외부 네트워크와의 통신을 담당한다.
  • Standby 장비는 대기 상태로, Active 장비에 장애가 발생하면 자동으로 Active 역할을 승계한다.

• 장애 시 절체(Failover)
  • Active 장비에 장애가 발생하면 Standby 장비가 장애를 인식하고 Active 역할을 가져온다.
  • 가상 IP와 MAC 주소는 동일하게 유지되므로, 하단 호스트의 ARP 및 라우팅 설정을 변경할 필요없다.
  • 장애는 장비 자체뿐 아니라 외부 인터페이스의 상태를 기반으로도 감지된다.

 

 

- 표준 및 주요 프로토콜

 

• VRRP(Virtual Router Redundancy Protocol):
  • IETF 표준 프로토콜로, 대부분의 네트워크 장비에서 지원된다.
  • 멀티캐스트 주소 224.0.0.18를 통해 Hello 패킷을 주고받아 Active와 Standby를 결정한다.
• Cisco HSRP(Hot Standby Router Protocol):
  • Cisco 장비에서 제공하는 독점 FHRP 기술이다.
• 클러스터링 방식:
  • 가상 IP 한 개만 사용하여 이중화를 구현하는 비표준 기술도 존재한다.

 

 

- VRRP의 상세 동작

 

VRID 설정	동일 VRID를 가진 장비는 하나의 VRRP 그룹으로 묶임. VRID는 가상 MAC 주소 생성에 사용되므로 네트워크 내 중복되지 않도록 설정해야 함.
우선순위 설정	VRRP는 기본적으로 우선순위(priority) 값을 기반으로 마스터를 선출함. 우선순위 기본값은 100이며, 높은 값이 마스터로 선출됨. 마스터 장비의 장애가 발생하면 VRRP 알고리즘에 따라 백업 장비가 새로운 마스터로 선출됨
preempt 옵션	Standby가 Active 역할로 승격된 후, 원래 Active 장비의 우선순위가 높아지면 다시 Active로 복귀할 수 있음. preempt를 활성화하면 이런 복귀가 가능하지만, 플래핑(flapping) 문제를 방지하기 위해 지연 타이머를 설정하는 것이 좋음.
트래킹 기능	외부 인터페이스 상태를 감지하여 조건 충족 시 우선순위를 조정함. 예를 들어, 외부 링크가 다운되면 우선순위를 낮춰 Active 역할을 Standby로 전환함.

 

- Cisco NX-OS에서 VRRP 설정 예

interface Ethernet1/1 ip address 192.168.1.2/24 vrrp 10 ip 192.168.1.1 vrrp 10 priority 110 vrrp 10 preempt vrrp 10 track 1 decrement 20

 

• vrrp 10 ip : 가상 IP 설정
• vrrp 10 priority : 우선순위 설정
• vrrp 10 preempt : Active 복귀 설정
• vrrp 10 track : 외부 링크 상태에 따른 우선순위 조정

 

 

- MAC 주소와 VRID 관계

• VRRP 가상 MAC 주소는 00-00-5E-00-01-XX 형식이다.
  • XX는 VRID를 16진수로 변환한 값이다.
  • VRID 충돌 시 동일한 MAC 주소를 생성하므로, 네트워크 내에서 고유해야 한다.

※ 참고 : HSRP의 가상 MAC  HSRP(Hot Standby Router Protocol) 역시 Cisco의 전용 FHRP(First Hop Redundancy Protocol)로, 가상 MAC 주소를 사용하여 게이트웨이 이중화를 구현한다. HSRP에서 사용되는 가상 MAC 주소는 '00-00-0c-07-AC-XX' 형식이며, 여기서 'XX'는 HSRP 그룹 번호에 따라 달라진다. 예를 들어, HSRP 그룹 1의 가상 MAC 주소는 '00-00-0c-07-AC-01'이 되며, 각 그룹에 대해 고유한 MAC 주소를 할당하여 네트워크에서의 트래픽 흐름을 제어한다. 이를 통해 HSRP는 네트워크 내에서 고가용성과 무중단 서비스를 제공한다.

※ 참고 : VRID와 Priority  VRRP(Virtual Router Redundancy Protocol)에서 중요한 역할을 한다. VRID는 가상 라우터 식별자로, 최대 255까지 설정할 수 있다. 반면, Priority 값은 254까지 설정할 수 있다. VRRP에서 Priority 값 255는 "Active" 상태의 라우터를 의미하는 예약된 값으로, 이를 사용할 수 없다. 따라서 VRRP에서 Priority 값은 0에서 254까지 설정 가능하며, 가장 높은 Priority 값을 가진 라우터가 Active 상태로 선택되어 가상 라우터 역할을 하게 된다.

※ 참고 : 멀티 VRRP  하나의 스위치가 여러 VRRP(Virtual Router Redundancy Protocol) 그룹에 속하도록 구성하는 방법이다. 기존에는 VRID(VRRP Identifier)를 하나만 설정하여 게이트웨이 이중화를 구성했지만, 멀티 VRRP에서는 하나의 스위치에 두 개 이상의 VRID를 설정할 수 있다. 이 방식은 하나의 스위치가 여러 VRRP 그룹에 속하게 하여, 각 그룹에 대해 독립적인 가상 라우터 IP를 제공하면서도, 네트워크의 고가용성과 유연성을 더욱 향상시킬 수 있다.

 

3. All Activie 게이트웨이 이중화

Active-Active 게이트웨이 이중화는 네트워크의 효율성을 극대화하기 위해 사용하는 기술로, 여러 장비가 동시에 게이트웨이 역할을 수행하여 트래픽 처리 능력을 향상시키고 장애 발생 시 빠르게 대처할 수 있게 한다.

 

- 기존 Active-Standby 구조에서의 동작

 

 기존의 Active-Standby 방식에서는 가상 IP 주소를 사용하여 두 개의 장비를 이중화한다. 사용자가 가상 IP 주소에 대해 ARP 요청을 보내면, Active 장비가 응답하고, Standby 장비는 가상 IP의 MAC 주소를 Active 장비와 연결된 인터페이스로 학습한다. 이 구조에서 외부로 나가는 경로는 반드시 Active 장비를 통해 이루어진다. 따라서, Standby 장비는 트래픽을 처리하지 않으며, 모든 외부 통신은 Active 장비를 통해서만 흐른다.

 

- MC-LAG 기반의 비효율성

 

 MC-LAG(Multi-Chassis Link Aggregation) 구조를 사용할 경우, 각 장비가 물리적으로는 다르지만, 논리적으로 하나의 게이트웨이처럼 동작할 수 있다. 그러나 MC-LAG 환경에서의 전통적인 Active-Standby 구조에서는 여전히 트래픽이 Active 장비를 통해 우회하게 되어 비효율적이다. 이로 인해 피어 장비가 모두 게이트웨이 역할을 할 수 있음에도 불구하고 불필요한 우회가 발생하여 네트워크 성능에 영향을 미칠 수 있다.

 

- Active-Active 게이트웨이로의 전환

 

 이러한 비효율성을 해결하기 위해 Active-Active 게이트웨이 이중화가 도입된다. MC-LAG 환경에서는 Active-Active 구성을 통해 가상 IP의 MAC 주소를 Active 장비와 Standby 장비 모두에서 사용할 수 있게 된다. 이로 인해 Standby 장비도 트래픽을 직접 처리할 수 있게 되어, 트래픽 흐름이 최적화된다.

 

 Active-Active 구조에서는 Active 장비로 들어오는 트래픽뿐만 아니라, Standby 장비로 들어오는 트래픽도 Standby 장비에서 직접 처리하므로, 네트워크의 효율성과 트래픽 처리 능력이 크게 향상된다. 이를 통해 네트워크의 안정성과 성능을 동시에 개선할 수 있다.

 

4. 애니캐스트 게이트웨이

 

 애니캐스트 게이트웨이는 네트워크 트래픽을 효율적으로 분산하기 위해 활용되는 기술이다. 전통적인 Active-Active 게이트웨이 방식은 네트워크가 하나의 위치에 집중되어 있을 때 게이트웨이를 이중화하여 안정성을 높이는 방법이다. 하지만 오버레이 기반의 SDN 네트워크처럼 네트워크가 여러 위치에 분산될 경우, 기존의 방식은 비효율적인 트래픽 경로를 유발할 수 있다. 이는 모든 트래픽이 하나의 게이트웨이를 거쳐 통신하게 되어 네트워크 성능 저하를 초래할 수 있기 때문이다.

 

 이 문제를 해결하기 위해 애니캐스트 게이트웨이 기술을 적용할 수 있다. 애니캐스트는 동일한 IP 주소를 가진 여러 개의 게이트웨이가 존재할 수 있도록 허용하는 기술이다. 이 기술을 통해, 네트워크의 각 위치에 동일한 주소를 가진 게이트웨이가 동작하되, 트래픽은 가장 가까운 위치에 있는 게이트웨이를 통해 전달된다. 따라서 사용자나 네트워크 장비는 물리적으로 가장 가까운 게이트웨이와 통신하게 되어, 통신 속도와 효율성이 개선된다.

 

 애니캐스트 게이트웨이의 가장 큰 장점은 고가용성이다. 여러 위치에 동일한 IP를 가진 게이트웨이가 분산 배치되므로, 한 곳에서 장애가 발생하더라도 다른 위치에 있는 게이트웨이를 통해 외부와의 통신이 계속 가능하여 시스템 다운타임을 최소화할 수 있다. 이는 네트워크의 안정성과 서비스 연속성을 보장하는 데 중요한 역할을 한다.

 

 또한, 애니캐스트 게이트웨이는 Active-Active 게이트웨이와 함께 활용될 수 있다. 두 기술을 결합하면, 네트워크가 여러 위치에 분산되어 있을 때 트래픽을 더 효율적으로 분산시키고, 장애 발생 시 빠르게 대처할 수 있는 안정적인 네트워크 구조를 구축할 수 있다.

 

5. 게이트웨이 고려사항

게이트웨이 설계 시 고려해야 할 중요한 사항들은 여러 가지가 있으며, 특히 서로 다른 네트워크를 가진 서버 간의 통신을 어떻게 처리할지, 네트워크 가상화의 도입이 어떻게 통신 경로에 영향을 미치는지에 대한 고민이 필요하다.

 

- 가상화 서버 내의 서로 다른 네트워크를 가진 가상 서버 간 통신

 

 가상화 서버 내에서 서로 다른 네트워크를 가진 가상 서버 간 통신이 이루어질 경우, 물리적으로 동일한 서버에 있는 가상 서버라도, 각 서버가 속한 네트워크가 다르면 외부 게이트웨이를 거쳐야 한다. 이는 네트워크가 분리되어 있는 경우에 발생하며, 물리적 위치는 같더라도 각 네트워크의 라우팅이 필요하기 때문이다.

 

- 동일한 스위치에 연결된 서로 다른 네트워크를 가진 서버 간 통신(가상화 포함)

 

 비슷한 원리로, 동일한 스위치에 연결된 서버 간 통신에서도 서로 다른 네트워크에 속한 서버들은 물리적으로 가까운 위치에 있더라도 외부에 위치한 게이트웨이를 거쳐야 한다. 이는 물리적 연결이 동일해도 네트워크 구성이 다르면 통신을 위한 라우팅이 필요하기 때문이다.

 

- 가상화 버서 내에서 게이트웨이 역할 수행

 

 최근 몇 년 사이에 네트워크 가상화 기술이 발전하면서, 게이트웨이 역할을 가상화 서버 자체의 가상 스위치나 ToR(Top of Rack) 스위치에서 직접 수행할 수 있는 기능이 등장했다. 이를 통해, 물리적 네트워크 장비를 거치지 않고 더 빠른 경로로 통신이 가능해졌습니다. 이는 트래픽의 우회를 줄여 네트워크 성능을 최적화하는 데 도움을 준다.

 

- VMware NSX와 Cisco ACI의 네트워크 가상화

 

• VMware의 NSX: VMWare는 가상화 서버의 각 하이퍼바이저에 가상 라우터를 두어 각 서버 호스트별로 개별 게이트웨이를 제공한다. 이를 통해 가상화된 네트워크 환경에서 트래픽을 빠르고 효율적으로 처리할 수 있다.
• Cisco ACI: Cisco의 ACI에서는 각 ToR(Leaf) 스위치가 게이트웨이 역할을 하며, 물리적 네트워크 환경에서 더욱 최적화된 트래픽 흐름을 제공한다.

- 데이터 센터 설계에서의 보안 고려

 

 데이터 센터 설계 시 트래픽 경로 최적화만큼 중요한 요소는 바로 보안입니다. 데이터 센터의 트래픽 경로는 보안 요구사항에 맞춰 설계되어야 하며, 이를 위해 보안 설정이나 서비스 간 보안을 강화할 수 있는 기술적 지원이 필요하다. VMware NSX나 Cisco ACI와 같은 네트워크 가상화 솔루션들은 보안을 고려한 가상화 호스트 내 보안 설정과 서비스 간 보안 설정을 지원하여, 네트워크 보안이 강화된 상태로 최적화된 트래픽 경로를 제공한다.

 

 

게이트웨이 이중화는 네트워크의 안정성과 가용성을 높이는 데 중요한 역할을 하며, 시스템 장애나 장애 발생 시에도 서비스 중단을 최소화할 수 있는 핵심 기술이다. 이를 통해 더 나은 서비스 품질을 제공하고, 예상치 못한 다운타임을 방지할 수 있다.