Cover Story - 무선랜 스위치 제품 분석
상태바
Cover Story - 무선랜 스위치 제품 분석
  • 승인 2005.05.13 00:00
  • 댓글 0
이 기사를 공유합니다

엄격한 자격 요건으로 조촐한 파티

보안·액세스 제어·IDS 기준 강화 … 에어이스페이스 2회째 우승

제 1부에서 시장의 맥을 짚어본 데 이어 2부에서는 엔터프라이즈 무선랜 영역에서 최고를 다투는 네 가지 제품을 테스트해 보았다. 한층 엄중해진 기준으로 치뤄진 이번 리뷰에서, 지난 번 리뷰때 에디터즈 초이스였던 에어이스페이스 제품이 다시 한번 승리를 차지했으며, 그 비결은 잘 구성된 스위치와 정교한 액세스 포인트 덕분이었다.

본지에서 실시한 최초의 기업용 무선랜 테스트는 다윗과 골리앗의 싸움이었다. 결과적으로 볼 때 신생업체들은 선발 업체들에 맞설 수 있는 자신들만의 무기가 있었으며, 어떤 업체는 이번에 다시 초청될 만큼 좋은 성능을 보여주기도 했다.
물론 그렇다고 해서 모든 무선랜 인프라 신생업체들이 살아남은 것은 아니다. 레그라 시스템즈(Legra Systems)는 2004년 10월 문을 닫았으며, 지적 자산의 상당수를 매각했다. 12월에는 챈트리 네트웍스(Chantry Networks)가 8천만달러에 지멘스로 인수되는 데 동의했으며, 무선 액세스 포인트 게이트웨이 업체인 리프에지 네트웍스(ReefEdge Networks)는 주력 부문을 바꾸고 그 과정에서 많은 직원들을 해고했다.
이렇게 오래전부터 예상되던 시장의 지각 변동 결과로, 시스코시스템즈와 심볼 테크놀로지스(Symbol Technologies)가 엔터프라이즈 무선 시장 점유율을 주도하고 있으며, 에어이스페이스(Airespace), 아루바네트웍스(Aruba Networks) 및 트래피즈 네트웍스(Trapeze Networks)가 그 뒤를 바짝 좇고 있다. 그리고 시스코의 에어이스페이스 인수는 고객들에게 어떤 의미가 되는지 1부에서 설명했지만, 우리의 리뷰 기사는 특정 기술을 제 시간에 살펴보는 것이기 때문에 시스코와 에어이스페이스의 장비를 따로 분석한 것을 그대로 내보내기로 했다.
무선랜 스위치 시장의 급격한 진보는 아찌무스 시스템즈(Azimuth Systems)와 베리웨이브(VeriWave)의 무선랜 분석기를 이용해 테스팅의 강도를 높이도록 우리를 자극했다. 우리는 또한 보안, 액세스 제어, 그리고 침입 탐지 및 방지를 보다 깊이 조사하면서 동시에, 성능과 확장성, 관리 및 모니터링, 폴트톨러런스와 WPA2(Wi-Fi Protected Access 2) 및 VoWLAN(Voice over WLAN) 지원도 여전히 강조했다.
업체들에게는 밀집 AP 배치(dense AP deployment)를 지원함으로써 커버리지에는 보다 적게 주력하면서 널리 퍼지고 일관성 있는 무선 경험을 제공하는 데 보다 역점을 둔 배치를 요청했는데, 이것은 앞으로의 확장성 있는 무선랜을 지원하는 데 있어 매우 중요한 능력이다. 밀집 배치는 곧 로밍 이벤트의 수가 늘어나고, 자동 RF 구성 및 인식을 물리적인 RF 환경의 변화로서 수행해야 할 필요가 한층 중요해진다는 것을 의미하기도 한다.
18개 업체들에게 보낸 초청장에는 다음과 같은 자격 요건이 포함돼 있었다. 중앙 구성 관리; 802.11a, 802.11b, WPA 및 802.11i(반드시 WPA 인증일 필요는 없음); 로그(rogue) AP 탐지 능력; 고 가용성 옵션; 무선 자원 관리; 그리고 WMM(Wi-Fi 멀티미디어)이나 다른 메커니즘을 통한 트래픽 우선순위 지정. 이런 모든 요건을 다 충족시켜주는 제품이 많지 않으리라는 사실은 알고 있었지만, 요건에 맞는 제품을 갖고 있으면서 테스트에 출품하겠다는 업체는 놀랍게도 네 곳(에어이스페이즈, 아루바, 시스코 및 트래피즈)에 불과했다.

새로워진 모습들
단일 업체의 AP와 스위치를 사용해야 하거나, 혹은 유선 네트워크에서 IP 어드레싱 방안을 수용하도록 변경하던 시절은 갔다. 우리는 각 업체의 AP를 임의의 네트워크에 두고, DHCP 정보나 DNS 레졸루션(DNS resolution)을 기반으로 해 터널링된 접속을 이용해 스위치와 대화를 나눴다.
여기서 각각의 AP는 ESSID(Extended Service Set ID)에 의존해 멀티 레이어 3 네트워크를 지원했다. 물론 어떤 업체도 아직 강력한 무선 백홀 능력을 주지 못하기 때문에 모든 AP 로케이션으로 여전히 유선을 사용해야 할 것이다. 하지만 무선 AP를 배치하기는 과거 그 어느 때보다도 간단하다. 각 시스템은 대량 배치 시나리오에서 IEEE 802.3af PoE(Power over Ethernet) 표준을 지원하며, 따라서 일단 유선이 깔리면 이름이나 로케이션만 할당하면 끝난다.
보안 부문에서는 장족의 발전이 있었다. 지난해 6월 비준된 IEEE 802.11i 표준은 802.1X와 래디우스를 이용해 인증 및 프라이버시 서비스를 제공한다. 이 표준의 엘러먼트들은 Wi-Fi 얼라이언스의 WPA2 인증 프로그램으로 지난해 9월 통합됐다.
시스코와 에어이스페이스는 많은 제품에 WPA2 인증을 받았다. 아루바의 5000 시리즈 스위치는 52 AP(이번 리뷰에는 나오지 않음)로 인증이 됐다. VPN을 강조하는 다른 업체들에 비해 802.1x와 래디우스를 이용하는 트래피즈는 아직 WPA 인증을 따지 못했다. 어쨌든 우리가 테스트한 모든 시스템은 WPA2 서플리컨트(supplicant)를 이용해 암호화된 보안 접속을 수립했다. 그리고 혼합 모드 암호화에서 문제가 있었던 시스템은 하나도 없었다. 여기서 혼합 모드란 하나의 ESSID에서 WPA/TKIP(Temporal Key Integrity Protocol)나 WPA2/AES처럼 두 가지 암호화를 사용하는 것을 말한다. WPA2 대신 VPN을 사용하고자 하는 사람들은 에어이스페이스나 아루바 제품에서 통합 VPN 종료 기능을 찾을 수 있을 것이다.

보안 대폭 강화
무선 IDS 쪽에서는 결과가 혼합된 양상을 보였다. 모든 제품이 로그 AP 탐지 기능을 지원하지만, 여기서부터는 다른 모습들이었다. 시스코는 에어디펜스와 공조해 성숙한 IDS 기능을 추가했으며, 아루바와 에어이스페이스는 자신들의 플랫폼에 이런 서비스를 통합시켰다. 두 회사 모두 다른 업체와 협력해 클라이언트 무결성 점검과 애플리케이션 기반 NAC(Network Accss Control)를 제공하고 있는데, 에어이스페이스는 인포익스프레스(InfoExpress)와 존랩(Zone Labs: 체크포인트 회사)와 공조체제인 반면 아루바는 포티넷(Fortinet), 사이게이트(Sygate) 및 존랩와 협력 관계를 맺고 있다. 트래피즈의 보안 부문은 한 마디로 말해 별로 감동적이지는 않다.
로밍 서비스는 어떤 무선 네트워크에서나 기반이 되는 기능이지만, 이런 기능을 테스트한다는 것은 도전이 되기도 하고 빛이 되기도 한다는 사실이 입증됐다. 과거는 FTP 세션을 돌리는 랩톱을 들고 다니면서 클라이언트가 AP들간을 이동할 때 접속이 유지되는지를 확인하기만 했다. 이번에는 아찌무스 W-시리즈 무선랜 테스트 플랫폼을 이용해 로밍 이벤트를 보다 정밀하게 측정했다. 각각의 로밍에 대해서는 지난 번 데이터에서 지난 번 확인응답 시간까지, 그리고 지난 번 확인응답에서 첫 번째 탐색자 요청까지의 시간 등이 기록된 보고서를 받았다.
비록 결과가 놀랍도록 정밀할 때도 있었지만, 이런 테스트들은 어떤 때는 거대한 몇 개의 주문들로 인해 카드의 로밍 알고리즘과 작동이 가장 큰 지연을 만들어낸다는 사실을 드러냈다. 가장 좋은 결과는 시스코의 CB21AG 카드와 그 1131AG 액세스 포인트 사이에서 나왔다. 개방형 로밍에서 우리는 소스 AP에 있는 마지막 데이터에서 타깃 AP에 있는 첫 번째 데이터까지 약 20ms란 시간을 목격했다. 일반적으로 로밍 시간은 1~3초 범위지만, 무선랜 업체들이 자신들의 시스템 성능을 강조하기 위해 수치를 마음대로 선택한다는 사실을 알아야 한다. 공평하게 말하자면, 로밍 행동은 클라이언트 카드에 따라 크게 달라지며, 고객은 클라이언트 제어 로밍이 여전히 문제가 되고 있다는 사실을 인식하고 있어야 한다.
어떠한 기업 배치에서든 한 가지 중요한 요소는 높은 가용성이다. 무선 배치가 전술적인 것에서부터 널리 보급되고 전략적인 것으로 진화해감에 따라, 무선랜 가동시간은 유선과 비슷한 수준이 돼야만 한다. 커버리지보다 작업처리량에 맞게 최적화된 밀집 AP 디자인을 이행하면 욕구도 충족시키면서 폴트 톨러런스를 강화할 수 있어, AP가 자동으로 자신들의 전원 레벨과 커버리지 영역을 높임으로써 오류난 컴포넌트용 커버리지를 채울 수 있게 해준다.
마찬가지로 우리가 테스트한 시스템들은 유선 장비에서 익숙한 것과 같이 번개처럼 빠른 속도는 아니겠지만, 컨트롤러 중복성을 제공한다. 아루바는 7~9초라는 인상적인 페일오버 시간을 기록했으며, 시스코는 이만큼 빠르지는 못해서 주 스위치를 고장냈을 때 서비스 복구에 1~2분의 시간이 걸렸다. 시스코의 AP와 스위치 비율이 300:1에 도달할 수 있음 감안하면 무선 블레이드(WLSM)나 카탈리스트 5400의 오류로 전체 무선랜이 중단되는 상황도 상상해 볼 수 있다. 결론적으로 말해 클라이언트 접속 단절없이 몇 초 안에 신뢰성 있고 연속성 있게 페일오버를 할 수 있는 능력이 반드시 필요하다.

가격 비교
초청장에 우리는 캠퍼스, 본사 및 지사 배치를 염두에 두면서 기업 배치용으로 무선랜 시스템이 적합한지 여부를 우선적으로 평가할 것이라고 밝혔다. 그리고 업체들에게 고 가용성의 밀집 무선 서비스 배치를 대체하기에 충분한 스위치와 최소 5개의 AP를 보내줄 것을 요청했다.
이전 리뷰에서는 에어이스페이스가 대부분의 802.11a/ b/g 테스트에서 업스트림과 다운스트림 모두 성능 테스트에서 최고 성적을 보였으며, 시스코의 보다 새로운 802.11a 칩셋에도 불구하고 시스코 셋업보다 전체적으로 더 좋은 커버리지를 자랑했다. b/g 혼합 모드 테스트에서 에어이스페이스는 10.9Mbps로 시스코보다 거의 2Mbps가 더 빠른 속도를 냈다.
에어이스페이스의 시스템은 아루바나 시스코보다 더 분산돼 있기 때문에, 대형 설치기반에서는 아마도 많은 컨트롤러가 필요할 것이다(아루바 식으로 표현하자면 스위치).
따라서 그 AP 가격이 시스코의 절반밖에 되지 않는다 하더라도 뒤에서는 더 많은 돈을 쓰게 될 것이다. 대략적인 가격을 알아보기 위해, 우리는 다음과 같은 세 가지 시나리오를 업체들에게 제시했다. <표: 무선랜의 상황별 가격비교>를 보면 간단한 가격 비교를 해볼 수 있다.

1. 5개 층에서 지원이 되고 약 50개의 AP가 있는 큰 다층 건물
2. 건물당 각각 25개의 AP와 VPN 지원을 갖춘 25개 건물이 있는 다건물 캠퍼스
3. 15개 지사가 분산된 회사

에어이스페이스는 가격 때문에 약간의 타격을 입었다. 물론 다른 것들에 비해 많이 비싼 것은 결코 아니지만, 그렇다고 가장 경제적이라고 할 수도 결코 없었다. 다건물 캠퍼스 시나리오에서 그 가격은 아루바에 비해 거의 두 배로 시스코 다음으로 비쌌는데, 이는 시스코가 6개의 카탈리스트 6500을 필요로 한다는 점을 감안할 때 매우 비싼 편이다. 스위치들만 대충 비교해 보면 아루바의 포트당 가격이 높은 축에 속한다는 사실을 잘 알 수 있다. 이 회사는 최대 36개 AP를 지원하는 자사의 4100 시스템과, 아루바와 시스코가 고성능 AP 시스템에서 제공하는 것 사이의 갭을 메꿀 필요가 있어 보였다. 트래피즈의 경우는 중간대 가격이다.

두 번째 영광 ‘에어이스페이스’
지난 번 랩에서 에어이스페이스 제품을 테스트했을 때와 마찬가지로 이번에도 이 제품은 아무런 문제없이 두 번째 에디터즈 초이스에 선정됐다. 에어이스페이스의 AP는 정교하고 유연하며, 그 무선랜 시스템은 성숙하고, 또 이 회사는 시스코의 눈을 따라잡기 위해 많은 노력을 기울였다. 에어이스페이스는 몇 군데 IEEE 및 IETF 위원회와 스터디 그룹에 참여하고 있으며, 알카텔, NEC 및 노텔에서 얼마동안 이나마 이 회사 장비를 재판매하고 있다.
아루바의 단일 무선 AP는 이번 리뷰에서 가장 어포더블한 제품이었는데, 단 새로 나온 이 회사의 듀얼 무선 AP를 이용할 경우 두 번째로 비싸지는 두 번째 시나리오를 제외하고는 모든 경우에 가장 값비싼 시스템이 될 수도 있다는 계산이 나왔다. 하지만 아루바 시스템의 안정성과 그 성능 수치는 에어이스페이스를 따라잡을 수 없었다. 긍정적인 측면을 보자면, 아루바는 많은 정밀한 액세스 제어 기능을 제공하며, 별도의 윈32 박스를 요구하지 않으면서 비교적 강력한 웹 인터페이스를 담고 있다.
시스코는 테스트 도중에 소프트웨어 업그레이드가 필요하지 않았던 유일한 제품이었으며, 이는 곧 보다 높은 내부 품질보증 테스팅 기준을 암시해준다. 모든 요소가 매우 안정적이었으며, 그 AP는 자랑스러운 시스코의 기술력을 보여주었다. 이 시스템에서는 하나의 AP에서 a와 g 무선 사이에 거의 50Mbps에 달하는 집합 처리량이 인상적이었는데, 이는 에어이스페이스와 트래피즈보다 각각 3Mbps와 4Mbps가 더 빠른 속도다. 시스코는 또한 보안 기능 부문에서도 선두권을 유지했다.
트래피즈의 경우는 보안이 취약했다. 즉 우리는 AP를 전담 센서로 할당할 수는 있었지만 IDS 지원이 부족해, 로그 AP나 애드혹 클라이언트를 발견할 수는 있었지만 DoS 공격이나 서명은 찾아낼 수 없었다. 성능 결과 또한 일관적이지 못했다.

에어이스페이스
와이어리스 엔터프라이즈 플랫폼

에어이스페이스의 아키텍처는 이전 테스트에 비해 크게 달라진 게 없었다. 에어이스페이스는 VPN 서비스를 지원하기 위한 암호화 카드가 있는 두 개의 4024 스위치를 보내왔다. 이와 함께 보다 작은 3500도 보내주었는데, 이것은 자그마치 6개의 액세스 포인트를 지원했다(이 회사의 4012 컨트롤러는 12개의 AP를, 4100은 36개를 지원한다). 우리는 1200 AP와 1200R 원격 사무소 AP로 라인업을 마무리했다.
우리는 스위치를 데이터센터에 쌓아두거나, AP에 보다 가깝게 분산시킬 수 있었다(예를 들어 건물이나 몇 개 층들당 하나). 어떤 경우든 스위치들간 N+1의 중복성이 가능하지만, 컨트롤러당 확장성은 최대 36개 AP만으로 제한돼 있다. 이와 대조적으로 아루바와 시스코는 각기 256개와 300개의 AP를 지원하는 모델을 판매하고 있다. 4024는 자그마치 24개의 AP를 지원하며, 우리는 각각의 박스에서 에어웨이브 디렉터 2.2(AirWarve Director 2.2)를 돌려 이들을 테스트했다.
스위치들은 연관은 돼 있지만 물리적으로는 떨어진 박스의 활동을 조정하기 위한 에어이스페이스의 접근 방안인 ‘모빌리티 그룹(mobility groups)’에 합류를 하고 있다. 스위치들은 개별적인 명령어 라인과 웹 인터페이스를 제공하며, 이것은 작은 단일 장비 설치기반에서 유용할 수 있겠지만, 우리는 대부분의 관리 작업을 우아하고 확장성 있는 에어이스페이스 컨트롤 시스템 웹 관리 플랫폼에서 수행했다.
IP 어드레스 할당이 생각보다 덜 직관적이긴 했지만(아루바에서도 같은 경험을 했다) 시스템 구성은 간단했다. 필요한 모든 설정값으로 새 무선랜을 쉽게 만들고 이들을 우리 스위치로 푸싱했다. 새로운 AP를 추가하기는 이보다 더 쉬울 수가 없었다. 일단 DNS 서버에 엔트리를 만들어 스위치들 가운데 하나를 지정하자, 다른 서브넷에 있는 AP가 소프트웨어 지정 호스트 이름을 해석해서 통신을 수립하고 LWAPP(Lightweight Access Point Protocol)를 이용해 스스로를 구성했다.
한 가지 마음에 들지 않았던 부분은, 스위치를 트렁킹하고자 하는 각각의 서브넷용으로 IP 어드레스를 할당해야 했던 점이었다. 아루바와 트래피즈는 이것이 없이도 IEEE 802.1q 태깅을 사용할 수 있게 해줬다. 에어이스페이스는 다음 번 큰 개정판에서 이 문제가 해결될 것이라고 말했다. 하지만 특정 서브넷을 호스팅하지 않는 스위치라 하더라도 클라이언트가 여기로 로밍을 할 경우 스위치로 터널을 셋업할 수가 있다.
에어이스페이스의 자동 RF 기능은 주어진 환경을 기반으로 AP의 전원 출력과 채널 선택을 역동적으로 조정해준다. 이것은 의도하지 않았던 결말을 피하기 위해 변화가 조심스럽게 적용된다는 점을 감안할 때 매우 도움이 되는 기능이다. 테스트 결과 에어이스페이스는 시스템이 포트 플래핑(port flapping) 없이 반응력을 갖출 만큼 충분히 완충적인 제어를 엔지니어링했다는 확신을 남겨줬다.

AP 전원 출력·채널 선택 역동적
모바일 장비를 들고 돌아다니면서 RF 교육을 받아야 할 필요가 있는 에어이스페이스의 로케이션 및 로그 AP 탐지능력도 또한 뛰어나다는 사실이 입증됐다. 이런 AP는 로그 탐지와 로케이션 탐지라는 두 가지 역할을 하고 있음에도 불구하고 성능은 여전히 강력했다. 보안 정책에서 집중적인 모니터링과 불량 완화용 전담 센서를 지정하지 않는 한, 에어이스페이스의 AP는 밀집 배치에서 매우 잘 수행될 것이다. 아루바는 이와 달리 전담 센서를 추천하고 있다. 아루바의 센서는 에어이스페이스 가격의 절반에도 미치지 못하지만, 케이블링과 스위치 포트로 추가되는 비용이 문제다.
테스트 과정에서 몇 가지 문제를 던지긴 했지만, 에어이스페이스의 무선랜 안전 제어 시스템은 마음에 들었다. 첫째, 이것은 DoS(Denial of Service) 공격이나 다른 악성 행동으로부터의 손해를 최소화하기 위한 방편으로 클라이언트 측 인증해제를 무시한다. 둘째, 속도 제한(rate limiting)은 부하 기반의 DoS 공격을 막기 위해, 접속 가능한 새 클라이언트의 수에 따라 수행된다. 마지막으로 이것은 클라이언트 IP 어드레스를 학습하고, IP 어드레스 자원 고갈 공격(IP-address resource depletion attack)을 완화시키기 위해 DHCP 프록시를 작동시킨다.
뿐만 아니라 부하조절 기능도 최고였다. 테스트에서 정지 상태(idle state)에 있는 클라이언트들은 두 개의 AP들 사이를 신뢰성 있게 이동했다. 일부 무선 관리자들은 802.11 분리 요청을 공격적이다 싶을 정도로 보냄으로써 클라이언트 조작을 염두에 두겠지만, 클라이언트 카드가 시스템 전체의 용량을 고려하지는 않는다.
한편, 몇 가지 짚고 넘어갈 부분들이 있다. 에어이스페이스는 사용자에게 무선랜과 보안 정책을 할당하는 데 있어 아루바나 트래피즈만큼 정밀하지는 않다. 비록 에어이스페이스가 래디우스 속성을 통해 사용자에게 가상랜(VLAN)을 할당하기는 하지만, 특정 무선랜으로 특정 래디우스 서버를 할당할 수 있는 방법은 없었으며, 이것은 공항과 같은 다중업체 환경에서 문제가 될 수 있다. 게다가 웹 포털이 특별히 강력하지도 않았다. 에어이스페이스는 주로 대학이나 핫스팟 배치에서 인기가 높은 이 기능을 자사 고객들은 요청하지 않고 있다고 말했다.
에어이스페이스는 중복 전원공급기나 컨트롤러 카드의 방식으로 많은 고 가용성을 제공하진 않지만, 페일오버 시간이 좋은 편에 속했다. 아루바와 트래피즈는 둘 다 ‘ 하나의 스위치나 어플라이언스에 마스터’나 ‘시드’와 같은 특수 모드를 할당하지만, 에어이스페이스에서는 모든 것이 동등하게 생성이 된다.
N+1 페일오버 기능을 기반으로 이 시스템은 우리 모빌리티 도메인에 있는 스위치들 사이에 충분한 용량이 있는 한, 혹은 훨씬 더 단순하게 최대 컨트롤러의 부하를 처리할 수 있는 용량을 갖춘 여분의 스위치가 있는 한 어떠한 한 가지 오류에도 문제가 없이 계속 돌아갔다. 각각의 AP에는 자그마치 세 개나 되는 ‘홈(home)’ 스위치가 할당될 수 있으며, 모두 사용 불가능하다 하더라도 다른 사용 가능한 스위치를 찾을 것이다. 페일오버에서는 17~20초 정도만 접속이 단절됐으며, 제어되는 페일백(failback)은 약 4초 정도의 다운타임만을 만들어냈다.

아루바
2400 와이어리스 랜 스위칭 시스템·아루바 61 GP

스위치의 확장성 테스트는 이번 리뷰에 포함되지 않았기 때문에, 아루바는 자사의 아루바 5000 라인 어플라이언스 대신 한 쌍의 아루바 2400 그리드 컨트롤러를 보냈다. 2400은 약 50개의 AP를 지원하는 반면, 5000 시리즈 어플라이언스는 256개의 AP를 지원한다. 이 회사는 또한 최고 16개 AP의 중소기업이나 지사 배치용으로 보다 낮은 용량의 모델인 아루바 800을 제공하고 있다.
아루바는 또 AP용으로 아루바 61 GP(Grid Point, 액세스 포인트를 가리키는 아루바식 표현)를 보냈다. 61 GP의 저렴한 가격 덕분에 아루바는 우리가 만든 세 가지 가격 시나리오 중 두 곳에서 경쟁자들을 물리쳤다. 불행히도 이것은 지불하는 만큼 얻게 된다는 것을 나타내주는 좋은 예이기도 하다. 아루바의 디자인은 에어이스페이스나 시스코 것보다 훨씬 빈약해 보였으며, 테스트 결과 아루바는 타사 AP를 이용하면 성능이 저하되는 것으로 드러났다.
아루바 61 GP에는 b/g나 클라이언트를(둘 다 동시에는 안 됨) 지원하는 하나의 무선밖에 포함돼 있지 않으며, 이는 약 30달러에 듀얼 무선 지원을 포함하고 있는 보다 앞서 나온 아루바 52 GP 보다 훨씬 떨어지는 사양이다. 아루바는 최근 듀얼 무선 GP에 600달러 아래로 가격을 맞춘 아루바 70을 새로 발표했다.
관리용으로 별도의 윈32를 사용하는 에어이스페이스의 셋업과 달리, 아루바는 한 개 이상의 스위치가 마스터 스위치로 지정되고 나머지는 슬레이브다. 마스터 스위치는 고 가용성을 위해 이중 모드로 구성이 가능하며, 슬레이브는 기본적인 셋업만 하면 된다. 우리는 마스터에서 세부적인 구성 선택을 했으며, 그런 다음 이 세팅이 슬레이브 스위치로 푸싱됐다. 이러한 계층적 모델은 슬레이브와 관련해 마스터 스위치를 분산 배치하는 데 한계가 있어 보였다.
각각의 AP는 각 스위치로 특정 구성을 할당하기보다 x.y.z 형태로 로케이션이 할당되며, 여기서 구성은 같은 x나 y 값을 공유하는 것들로부터 계층적으로 상속을 받을 수가 있다. 이로 인해 모든 AP용으로 디폴트 구성을 만든 다음, 아마도 기능이나 건물 로케이션에 따라 액세스 포인트의 그룹 및 서브그룹으로 고유의 설정값을 할당하기가 수월해진다.
아루바의 CLI는 시스코 IOS를 본딴 것으로, 이 환경에 있는 사람들이 즉시 생산적으로 이용할 수 있게 돼 있다. 하지만 웹 인터페이스는 에어이스페이스 것만큼 사용이 간편하지가 못했다. 예를 들어 특정 AP에 대한 세부 사항들을 보기 위해서는 무선 버튼을 선택한 다음 페이지 아래에 있는 버튼을 클릭해야 했다. 나아가 인터페이스는 온라인 도움말을 전혀 제공하지 않기 때문에, PDF 매뉴얼이나 문서로 된 매뉴얼을 공부해야 할 것이다.
아루바는 언제나 보안에 큰 가치를 두어 왔으며, 이번에도 그것이 여실히 증명됐다. 경쟁 제품들과 달리 아루바는 레이어 2 암호화, 즉 WEP(Wired Equivalent Privacy)용 RC4와 CCMP(Counter Mode CBC MAC Protocol)용 AES를 AP 대신 스위치의 캐비엄(Cavium) 칩에서 수행한다. 덕분에 새로운 암호화 기술로의 업그레이드가 한층 수월하며, 사용되고 있는 어떠한 레이어 2 암호화도 무선 클라이언트에서 스위치로 확장되도록 보장해준다. 이는 유선 네트워크의 분산 및(혹은) 액세스 계층의 보안에 자신이 없는 조직들에게는 큰 매력이 될 것이다. 반면 코어에서 암호화를 수행하기 때문에 AP는 다운스트림 트래픽용으로 QoS와 같은 고급의, 혹은 역동적인 프레임 조작을 실행시킬 수가 없다.
암호화가 여러 AP에 분산돼 있는 대신 하나의 칩에 집중돼 있기 때문에 생기는 또 하나의 문제로 확장성을 들 수 있다. 컨트롤러에서 암호화를 하려면 다른 모든 것이 같을 때 더 강력한 컨트롤러나 더 빠른 암호 모듈이 필요하기 때문이다. 이 회사는 아루바 2400에서 암호화된 처리속도가 400Mbps라고 주장하고 있으며, 각각 8Mbps로 약 50개의 AP를 처리하는 것으로 기록돼 있다. 계산을 해보면, 예상되는 트래픽 패턴을 평가하고 거기에 맞게 자신의 무선 스위칭 인프라를 디자인해야 할 필요를 느끼게 될 것이다.

인증 방화벽 포함
에어이스페이스와 마찬가지로, 아루바는 여전히 서브넷 로밍을 지원하면서 동시에 VPN을 이용해 레이어 3 보안을 제공할 수 있도록 해준다. WPA 지원으로 인한 복잡함을 원하지 않거나, 혹은 WPA2와 VPN 보안 조합을 허용하고자 하는 조직에서는 이 방안이 마음에 들 것이다. 아루바의 VPN 지원에는 자신들의 시스템과 함께 사용할 수 있도록, 우리 윈도 2000과 XP 네티이브 IPSec 클라이언트를 구성했던 다운로드 가능 에이전트가 포함돼 있다. 이러한 방안은 매력적으로 작동했으며, 뿐만 아니라 써드파티 VPN 클라이언트까지 확보할 수 있었다.
시스코와 마찬가지로 아루바에는 ICSA 인증 방화벽이 포함돼 있다. 우리는 액세스에 특정 사용자 및 정책을 연관시킬 수 있었으며, 덕분에 테스트한 제품들 가운데 최고의 통합 및 제어 경험을 제공했다. 분리를 원하는 부서, 원격 사무소 및 중소기업들은 강력히 통합된 이 방화벽으로 보안 능력 향상을 목격하게 될 것이다. 물론 엔터프라이즈 보안 팀에서는 이것을 관리해야 할 또 하나의 대상으로만 볼 것이고. 어쨌거나 모든 무선랜 업체들은 아루바의 뒤를 따라 네트워크 에지에서의 제어와 정책, 그리고 개별적인 것들 사이의 보다 강력한 결합을 이뤄내야 할 것이다.
아루바의 보안 기능들이 인상적이고, 모든 것이 제 자리에 있음에도 불구하고, 성능과 확장성으로 인해 이 시스템은 최고 점수를 받지 못했다. WPA2 연합 용량 테스트(association capacity test)를 하는 동안(물론 대부분의 조직에서 경험하지 못할 수준으로 제품에 압력을 주기는 했지만), 아루바의 스위치는 자동으로 재부팅이 됐다. 새 판에서는 이 문제는 해결됐다. 하지만 7, 6Mbps의 혼합 모드 802.11b/g 테스팅에서는 이번 제품들 가운데 가장 낮은 결과치가 나왔으며, 순수 802.11g 테스트에서조차 16.9Mbps밖에 얻지 못했다.
아루바의 어댑티브 무선 관리 기능이 켜져 있는 상태에서 우리는 7개 VoWLAN 호출에서 괜찮은 통화 품질로 이 베이스라인을 지탱할 수가 없었다. VoWLAN 서비스를 제공하기 위해 불량 탐지 기능을 꺼둬야 하는 시스템의 능력에 대해서도 의문이 갔다. 여기에 대해 아루바는 VoWLAN용 모니터로 추가 AP를 배치할 것을 권했다. 가능한 모든 세팅을 최적화하자 이 셋업은 트래픽 부하가 있는 VoWLAN 테스트에서 1위를 차지했으며, 최고의 R 값(호 품질 결정을 위한 ITU의 G.107 사양)과 경쟁 제품들보다 훨씬 낮은 지터를 보여주었다.
반면에 아루바의 WPA 연관 클라이언트용 로밍 시간은 경쟁 제품들의 경우 2초도 채 되지 않는 데 비해 약 8~9초나 됐다. 아루바의 관계자는 문제가 구성과 관련이 있다고 말했지만, 다른 AP와 클라이언트 카드를 이용해 여러 번 이 테스트를 반복해 보아도 테스트 기간이 끝날 때까지 이 문제를 해결할 수가 없었다.
아루바는 VRRP(Virtual Router Redundancy Protocol)를 사용함으로써 고 가용성용으로 구성하기를 비교적 쉽게 만들었다. 하나의 스위치는 마스터로 지정이 되며, 이것이 하나 이상의 슬레이브로 광고를 한다. 마스터 스위치가 고장이 나면, 가중치 방안을 기반으로 하여 같은 서브넷에 있는 슬레이브 하나가 마스터의 IP 어드레스를 떠맡는다. AP는 자신들이 같은 스위치와 얘기하고 있다고 생각하며, 잠깐의 접속 단절만을 경험한다. 페일오버 시간을 7~9초로 줄였지만, 문제를 알아내기 위해 아루바와 긴밀히 작업을 했음에도 불구하고 페일백에서와 같은 결과에는 결코 근접할 수가 없었다.

시스코
카탈리스트 6500 WLSM·에어로넷 1131AG

지난 번 리뷰에서 시스코는 스위치에 대해 별로 할 얘기가 많지 않았다. 그리고 이번에는 심지어 그 스위치의 비만성 때문에 무선랜 시험장에서 테스트된 후에도 또 다른 헤비급, 즉 스탠드얼론 AP에서 지원되는 AP를 60개에서 300개로 WDS(Wireless Domain Services)를 확장해주는 카탈리스트 6500용 블레이드를 보냈다. WDS는 많은 RF 통계와 불량 정보의 집합 지점이며, 보안 증명서를 캐싱해 보다 넓은 지역에서 신속한 레이어 3 로밍을 가능하게 한다. 시스코의 1100 시리즈 AP는 새로운 외관을 자랑하며, 1200 시리즈 장비는 현재 5GHz 대역에서 외장 안테나를 지원하고 있다. 또 한 가지 새로운 것은 11a 칩셋으로, 이것은 믿을 수 있는 5GHz 엔터프라이즈 솔루션을 제공한다.
시스코의 아키텍처와 약자들은 혼란스러울 수 있기 때문에, 간단하게 먼저 설명을 하자면, WLSM(Wireless LAN Services Module)은 카탈리스트 6500 섀시에 장착되는 블레이드다. 여기에는 WDS의 모든 기능성이 포함돼 있지만, 앞서 언급한 것처럼 300개 AP로 확장을 시켜준다. 시스코는 향후 훨씬 더 많이 지원할 것이라는 암시를 한 바 있었다. WLSM에는 각각의 무선 네트워크나 AP가 지원하는 SSID용으로 mGRE(multipoint Generic Routing Encapsulation) 터널을 종료시키는 데 또 다른 고성능 스위칭 블레이드인 수퍼바이저 720(Supervisor 720)이 필요하다. 시스코의 WLSE(Wireless LAN Solutions Engine)는 WDS에서 전송돼 오는 RF 트래픽을 집합 및 분석하는 1U 리눅스 서버로, 퍼즐에서 관리, 구성 및 경보 조각이라고 보면 된다.
SWAN(Structured Wireless-Aware Network) 아키텍처에서 시스코의 주 목표는 무선을 유선 네트워크로 완전히 통합시킨다는 것이다. 따라서 엔터프라이즈 스위칭 섀시에 장착되는 블레이드를 이용해 무선 사용자가 유선 사용자와 같은 방화벽, VPN 및 웹 인증 시스템을 채택할 수 있으며, 모든 게 유사하게 확장되는 패키지로 꾸려져 있다.
대부분의 경우 복잡성을 굳이 제거하지 않고도 시스코는 성공을 거뒀다. 구성과 지능, 그리고 프로세싱 파워가 AP에 있긴 하지만, 지능이 있다고 해서 쉽다는 얘기는 아니다. 에어이스페이스와 아루바, 그리고 트래피즈는 모두 이보다 셋업을 한층 쉽게 만들어 뒀다. 이번 테스트에서 보다 복잡한 것들 가운데 두 가지, 즉 다중송신과 웹 인증 테스트에서는 제품의 보호 구성과 호스트 네트워크의 재구성이 필요했다.

유·무선 통합 전략
시스코는 DHCP와 WLSE를 통해 자사의 AP를 아웃 오브 더 박스로 배치할 수 있다고 말하지만, 우리는 이것을 확인할 수 없었다. 연장 방문 기간 동안 시스코 엔지니어들은 WLSE의 AP 템플릿이 아니라 명령어 라인이나 웹 인터페이스를 이용해 AP를 구성했다. 이로 인해 우리는 복잡성이 대폭 추가됐지만, 이것은 아마도 새로운 시스템을 이행하는 데 많은 시간을 투자하는 데 익숙한 IT 전문가들보다는 제품 분석가들에게 더 큰 문제가 되는 것 같았다.
앞서 말했다시피, 시스코 장비의 품질와 안정성은 흠잡을 데가 없다. 자사의 CB21AG 클라이언트 카드가 있을 경우 시스코는 대부분의 속도 대 범위 테스트에서 최고의 성능을 냈지만, 프록심 오리노코(Proxim Orinoco) 카드가 있을 때는 성능이 급격히 떨어졌다. LEAP(Light Extensible Authentication Protocol)와 EAP-FAST(EAP Flexible Authentication via Secure Tunneling)를 시스코의 CCKM(Cisco Centralized Key Management, 신속한 보안 로밍을 위한 전용의 필수조건)과 함께 이용하는 사람들은 시스코 350 카드를 이용할 경우 50ms 아래의 로밍 시간을 향유하게 될 것이다. 종단간 시스코 아키텍처라면 최고의 로밍 성능을 낼 수 있다. CB21AG 카드는 현재 LEAP만을 지원하며, EAP-FAST 지원이 있는 CCKM이 최근 나왔다.
데이터 부하가 있는 상태에서의 VoWLAN 테스트는 R 값이 아루바에 약간 미치지 못했으며 지터는 두 배였다. 카탈리스트 6500이 별도의 전원공급기와 수퍼바이저 카드를 이용해 많은 중복성을 제공하고, 일 대 일 논스테이트풀 페일오버(nonstateful one-to-one failover)를 지원하긴 하지만, 테스트한 어떤 제품보다도 페일오버 시간이 가장 길었다. 가장 좋은 샘플에서 페일오버는 1분보다 약간 못미쳤으며, 최악의 샘플에서는 거의 2분이 걸렸다. 시스코는 다음 번 주요 WLSM 코드 릴리즈에 스테이트풀 페일오버를 포함시킬 것이며, 초 단위 페일오버 시간을 달성할 것이라고 밝혔다. 이대로만 된다면 시스코의 무선랜 시스템은 이 회사 유선 제품들의 페일오버 능력을 답습해 경쟁자들을 훨씬 능가하게 될 것이다.
시스코는 유무선 통합 노력과는 별도로, 자사의 기존 IDS에 투자를 하거나 내부적으로 WLSE 기능을 대폭 확장시키는 대신, 무선 IDS 회사인 에어디펜스(AirDefense)와 합력 관계를 맺고 향상된 보안 서비스를 제공하고 있다. 시스코는 이러한 통합의 첫 단계를 시연하고 있는데, 특정 고객들에게만 배치되고 있다.
이것은 인상적이었으며 두 번째 단계도 기대가 되는데, 이것은 올 상반기 중으로 예정돼 있으며, 에어디펜스 센서를 요구하는 대신 시스코 AP에서 센서같은 기능성을 지원한다는 게 골자가 될 것이다. AP로부터 오는 정보는 에어디펜스 서버로 전달될 것이며(비용이 추가됨), 예를 들어 첫 번째 무선 클라이언트가 유효 에어디펜스 인증서를 가지고 802.1X를 통해 접속을 할 경우 에어디펜스와 WLSE간에 교환되는 정보는 그 클라이언트를 ‘로그(rogue)’에서 ‘아는 것(known)’으로 바꿔줄 것이다.
대형 캠퍼스 환경에 중복성이 포함된 시스템의 경우 가격은 87만달러를 넘으며, 이는 아루바 가격의 두 배가 넘는다. 시나리오 1과 3에서는 블레이드 WSLM이 있는 값비싼 카탈리스트 6500의 견적을 내지 않았다. 시나리오 1에 카탈리스트가 포함된다면 가격은 다섯 배가 불어나 220만 달러가 될 것이다. 소규모 환경에서는 기존의 AP를 WDS처럼 작동하도록 할 수 있겠지만, 서브넷들간의 고속 보안 로밍과 VPN 지원은 포기해야 할 것이다.
시스코는 중소기업들에게 맞게 가격과 규모가 짜여진 완전한 WLSE 및 WDS 시스템을 발표해야 한다는 게 우리의 생각이며, 이 회사에서는 기능성의 갭을 잘 알고 있다고 답했다. 아마 에어이스페이스의 인수로 이 간격이 메워질 수도 있을 것 같다.

트래피즈 네트웍스
모빌리티 시스템과 MP-252

트래피즈는 40개나 되는 AP를 지원하는 MX-20 스위치와 몇 개의 MP-252를 보내왔으며, 이들은 모두 최근에 발표된 트래피즈의 모빌리티 시스템 소프트웨어(Mobility System Software) 버전 3.0을 돌렸다. 트패피즈는 지사 배치용의 MXR-2에서부터 최고 100개 AP를 지원하는 MX-400에 이르기까지 다양한 스위치들을 내놓고 있지만, 아마도 플래닝, 배치 및 관리 툴인 링마스터(RingMaster)로 가장 잘 알려져 있을 것이다.
트래피즈의 MP-252는 두 개의 듀얼 대역 무선과 듀얼 이더넷 커넥터가 있는 잘 디자인된 화재 경보기 모양의 AP로, 이는 다중 컨트롤러로 장비를 듀얼홈(dule-home)할 수 있게 해줬지만, 시스템의 성능과 기능성이 약간 부족했다.
트래피즈의 아키텍처는 아루바 것과 유사하다. 하나의 스위치, 즉 트래피즈 식으로 표현하자면 ‘모빌리티 익스체인지(Mobility Exchange)’가 메인 스위치, 즉 ‘시드(seed)’로 지정돼 있으며, 모빌리티 도메인에 참여한 다른 스위치들은 ‘멤버(members)’다. 물리적으로 스위치에 연결된 AP들은 MP(Mobility Points)라고 하며, 연결되지 않은 AP는 DAP(Distributed Access Points)라고 부른다. 에어이스페이스와 마찬가지로 트래피즈도 링마스터를 돌리는 데 별도의 윈32 박스가 필요했다.
하지만 에어이스페이스의 셋업과는 대조적으로, 웹 인터페이스가 아니라 윈32 애플리케이션을 통해 여기에 액세스를 해야 하며, 이는 곧 우리가 애플리케이션을 설치한 시스템에 묶여 있었다는 것을 의미한다. 로컬 서버에 설치를 하는 옵션이 있는데, 로컬 서버는 얼마간의 RF 및 데이터 집합 기능을 수행했다. 이것이 웹 인터페이스로 연결이 된다면 더 좋았을 것이다. 한 가지 멋진 기능을 들자면 우리는 링마스터를 이용해 평면도를 임포팅하고 dB 유실 값을 벽과 다른 구조물에 할당했으며, 소프트웨어는 자동으로 우리 AP를 맵에 적절하게 배치시키고 심지어 자재 목록까지 만들어냈다.
MX-20은 불량 탐지 테스트에서 매 5분마다 폴링해 문제의 소지가 있는 것으로 드러났다. 이는 새로운 로그 AP를 표시하는 데 평균 2.5분이 걸린다는 얘기다. 우리는 원시적인 웹 콘솔이나 보다 완벽한 CLI를 이용해 개별적인 스위치들을 구성했다. 랩에서 우리와 함께 작업한 트래피즈 엔지니어들은 도메인에서 한번 구성한 다음 이 구성을 각각의 연관 장비로 푸싱하는 대신 각각의 스위치를 구성한 다음 설정값을 복사하는 쪽을 택했다. 모든 구성 변경은 윈32 인터페이스의 서로 다른 부분으로부터 모든 스위치로 푸싱돼야 했다. 덕분에 큰 변경 세트가 동시에 푸싱될 수 있긴 했지만, 연속적인 트위킹을 할 때 배치 프로세스가 낡은 것이 돼버리는 문제가 있었다.
나아가 시스템의 구성도 직관적인 것과는 거리가 멀었다. MX-20 특성 페이지에서 마법사와 유사한 기능들을 얼마간 발견하긴 했지만, 또 다른 무선랜을 추가하기 위해서는 언제나 몇 가지 객체를 만들고 이들을 함께 연결시켜야 했다. 개방형 무선랜(인증이 필요없는 것)을 추가하기 위해서는 인증을 ‘라스트 리소트(last resort)’로 구성한 다음, 특정 SSID를 포함하고 있는 특정 네이밍 방안을 이용해 래디우스 사용자를 만들어야 하는데, 이는 단순히 인증받지 않은 사용자들이 접속할 수 있게 하기 위해서다. 가상랜 멤버십이나 세션 타임아웃 등과 같은 몇 가지 다른 요소들을 AAA(authentication, authorization, accounting) 서버로부터 끌어올 수 있다는 점은 마음에 들었다.
지난 번 테스트에서 트래피스는 역동적 AF 적응에는 큰 관심이 없었지만, 경쟁자들의 압력이 심해지자 변화가 생겼다. 이번에 트래피즈는 관리 인터페이스에서 공식적으로 WPA2를 지원하지 않았던 유일한 업체이긴 했지만, CLI에서 이것을 켤 수 있었다. 이것은 우리 테스트를 방해했는데, 그 이유는 이로 인해 링마스터가 새 DAP가 추가된 후에 시드와 동기화를 할 수가 없었기 때문이다.
또한 CLI에서 접속된 사용자를 보여주는 명령어를 실행시키면, 수백 개의 클라이언트가 연관돼 있을 경우 MS-20이 재부팅됐다. 모빌리티 시스템 소프트웨어의 두 가지 패치된 빌드가 이 문제를 해결하긴 했지만, 트래피즈는 표준들에 미치지 못했다.
성능은 혼합된 양상이었다. VoWLAN 테스트에서 트래피즈는 가장 높은 R 값을 얻고 가장 낮은 지터를 보였지만, 마감이 끝나기 전에 데이터 부하가 있는 테스트를 완수할 수가 없었다. 트래피즈는 또한 시스코 a/b/g 카드가 있을 때 최고의 개방형 인증과 WPA 로밍 시간을 보여주었지만, 오리노코 카드에서는 결과가 훨씬 나빴다. 혼합 모드 b/g 테스트에서는 중간 정도의 성적을 냈으며, 가격도 세 가지 시나리오에서 모두 중간 수준이었다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.