루슨트 「브릭 1000 및 LSMS 6.0(베타)」
상태바
루슨트 「브릭 1000 및 LSMS 6.0(베타)」
  • Network Computing
  • 승인 2001.12.04 00:00
  • 댓글 0
이 기사를 공유합니다
최근에 공장에서 막 나온 루슨트 테크놀로지스의 VPN 파이어월 브릭 1000과 루슨트 시큐리티 매니지먼트 서버 6.0은 서비스 사업자와 기업 모두를 위한 기능들을
최근에 공장에서 막 나온 루슨트 테크놀로지스(Lucent Technologies)의 VPN 파이어월 브릭 1000(VPN Firewall Brick 1000)과 루슨트 시큐리티 매니지먼트 서버(Lucent Security Management Server: LSMS) 6.0은 서비스 사업자와 기업 모두를 위한 기능들을 포함시킨 제품이다.

모든 루슨트 브릭들은 현재 정적 오류복구, 802.1Q VLAN 지원, 데스크탑 방화벽 및 VPN UDP 봉입(encapsulation) 등을 지원하고 있다. LSMS는 향상된 모니터링과 중복성을 제공한다. 이러한 기능과 몇 가지 사소한 GUI 인핸스먼트들로 인해 강력한 방화벽 제품은 더욱 더 힘을 갖추게 되었다.

브릭 1000은 브릭 201보다 더 크고 멋있어졌다. 브릭 1000은 펜티엄 Ⅲ 1GHz 프로세서, 1GB 메모리 및 이중 PCI 버스를 자랑하고, 10/100 이더넷 및 기가비트 파이버를 지원하며, 240만개의 동시 TCP 세션을 처리하고 1.7Gbps의 작업처리량을 제공함으로써 고성능 네트워크에서 방화벽의 성장을 주도할 것을 약속한다고 루슨트는 말했다.

중단 없는 오류복구

이전 버전에서는 외부 부하조절 제품들이 브릭을 둘러싸고 있을 때만 오류복구가 가능했었다. 현재 오류복구는 자연적으로 지원된다. 여러 개의 브릭들이 관련 브릭들의 영역(domain) 안으로 구성된다.

브릭이 부팅되면, 이것은 그 신원을 동보하고 자기 영역 내의 다른 브릭들을 찾는다. 아무 것도 발견되지 않으면, 브릭은 스스로를 주 방화벽으로 셋업한다. 부팅되는 다음 브릭은 주 브릭을 로케이팅하고 스스로를 수동 모드로 설정한다.

브릭 구성이나 방화벽 상태 테이블에 생기는 어떠한 변화든 주 브릭에서 백업 브릭으로 커뮤니케이팅된다. 주 브릭은 최고의 인터페이스(예를 들어, 패스트 이더넷이 아닌 기가비트)를 선택해서 백업 브릭에 업데이트를 보낼 수 있으며, 아니면 각 브릭용 인터페이스를 수동으로 설정할 수 있다.

LSMS는 또한 관리 고 가용성(HA)을 위한 중복성을 제공한다. LSMS HA 설치는 백업 브릭과 약간 다른데, 그 이유는 이들의 LSMS는 데이터베이스 복제를 셋업해야 하므로 주 LSMS의 어드레스를 알아야 하기 때문이다.

일단 오류복구 모드에 들어서면, 주 LSMS는 변화가 발생할 때 이들을 백업 LSMS로 복제한다. 게다가 브릭은 LSMS가 실패했을 때 하트비트(heartbeat)를 이용해 이를 자동감지하며, 자신들의 구성에 지정된 순서대로 백업 LSMS로 리홈(rehome) 시킬 것이다.

필자는 주 LSMS를 닫음으로써 이 기능을 테스트했다. 30초가 지나자 브릭은 보조 LSMS로 리홈을 했다. 브릭은 주 LSMS로 리홈되도록 구성돼 있다면 그렇게 될 것이며, 수동으로 다른 LSMS로 리홈될 수도 있다.

802.1Q 태깅 지원

인프라 관점에서 볼 때, 브릭은 레이어 3 라우터라기보다는 레이어 2 브리지에 가까우며, 이는 즉 이것이 네트워크상에 투명하게 놓인다는 것을 의미한다. 루슨트는 이것을 한 단계 더 발전시켜 802.1Q VLAN 태깅(tagging)을 지원하도록 했다.

필자는 복수 VLAN이 있는 기가비트 파이버 포트를 셋업함으로써 이것을 테스트했다. 불행히도, 브릭은 포트에 있는 VLAN의 수를 자동감지하지 못하기 때문에, 브릭에 VLAN을 추가해야 했다. 일단 이것이 이루어지자 IP 어드레스가 아닌 VLAN 할당을 기반으로 방화벽 규정을 추가할 수 있었다.

이러한 기능은 그 고객에게 특정 VLAN이 할당되고 다양한 IP 어드레스들에게 수많은 서버를 가져다주는, 그리고 각각의 서버에 대해 개별적 규정을 추가하기가 불편할 서비스 사업자들을 생각하고 만든 것이다.

VLAN 2에서는 HTTP 트래픽만을 허용하는 규정과 VLAN 3에서는 FTP 트래픽을 허용하는 또 다른 규정을 정해주는 보안 정책을 만들었다. 다른 모든 트래픽은 유실될 것이었다.

정책은 성공적으로 테스트되었으며, 그 다음에는 HTTP 클라이언트와 서버의 IP 어드레스를 변경해 보았다. 브릭은 사용한 IP 어드레스에 관계없이 VLAN 기반 규정을 바탕으로 트래픽을 계속해서 통과시켰다. IP 어드레스 제한까지 추가했다면 정책을 한층 더 다듬을 수 있었을 것이다.

저작권자 © 데이터넷 무단전재 및 재배포 금지
Network Computing
Network Computing
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사