남서울대학교 - “10기가비트로 네트워크 초고속화”

남서울대학교
"10기가비트로 네트워크 초고속화"

시스코 카탈리스트 도입 … 네트워크 보안에 중점
남서울대학교(총장 공정자)가 기존 ATM 155Mbps에서 10기가비트 네트워크로 백본망을 비롯한 캠퍼스 전체 네트워크를 새롭게 단장, 정보화시대에 걸 맞는 대학으로 변신을 꾀하고 있다. 올해로 개교 10주년을 맞이한 남서울대는 든든한 네트워크 및 보안 인프라를 토대로 대학 정보화의 집합소인 포털 시스템 구축까지 고려 중 이다.
남서울대학교는 멀티미디어·정보통신 관련 학과가 상당히 활성화돼 있어서 정보화 활용이 높은 편. 수년 전 구축한 네트워크 인프라로는 이를 감당할 만큼 대역폭이 충분치 못해, 네트워크에 대한 근본 개선책이 시급했다. 정보시스템의 전반적인 운영이 한계에 이르렀다는 판단도 섰고, 장기적으로는 향후 새로운 종합정보시스템을 구축, 운영할 목적으로 프로젝트를 추진하기로 결론을 내렸다.
웜 바이러스 공격으로 하루에도 수차례 네트워크가 마비되는 것도 다반사. 특히 대역폭을 많이 쓰는 멀티미디어 관련 학과가 많은 남서울대이기에 네트워크 장애는 곧바로 수업 차질로 이어진 것. 비단 대역폭뿐 아니라 기존 네트워크에 대한 문제점도 노출됐다.
기존 네트워크는 본관·공학관의 사용자를 직접 수용하는 ATM 백본 스위치에 도서관과 각 건물들이 155Mbps 대역폭으로 연결되는 ATM망이었다. 구축 초기에는 별 문제 없이 잘 운영됐다. 하지만 지난 몇 년간 캠퍼스에 새로운 건물들이 들어섰고 구성원(학생·교수·직원) 역시 2배 가까이 늘면서 지난해 초부터 ATM 네트워크의 한계가 드러나기 시작했다.
특히 대학이라는 개방적 특성상 모든 구성원의 PC를 통제하기 불가능했기에 각종 바이러스성 트래픽에 대해 ATM망은 속수무책이었다. 네트워크가 교체되기 직전에는 하루에 두세 번씩 장비가 다운돼서 교내 인터넷 사용이 몇 번씩 중단되는 사태가 벌어졌다. 그나마 대책이라곤 바이러스에 걸린 PC를 찾아서 해당 스위치 포트를 빼버리는 수밖에 없었다. 네트워크 교체의 가장 큰 이유는 이렇듯 원활한 네트워크 사용이 불가능했기 때문이었다.

웜 바이러스에 ATM망 '속수무책'
먼저 시스템 구축을 위한 환경 조성과 함께 올해 1월부터 2월 말까지 광케이블을 새로 깔았다. 향후 모든 디스트리뷰션 레이어에서 10Gbps 대역폭을 수용하기 위해 단일 모드 16코어를 각 건물에서 전산소까지 포설했다. 3월 초, 시스템이 입고된 뒤 기존 시스템을 본격 교체했다. 13개 동 건물을 하루 만에 모두 새로운 장비로 교체할 수 없는 상황이어서 일정 기간 신·구 네트워크가 공존해야만 했다. 우선 인터넷 관문 간의 방화벽 교체 및 보안 시스템(IPS, 바이러스 월)을 구축한 뒤, 4월 5일까지 각 건물의 백본 스위치를 바꾸었다. 그 이후로는 시스템 안정화를 위한 세부 보안 정책들을 적용했다.
특히 네트워크 교체의 결정적인 계기가 교내 웜 바이러스였던 만큼 네트워크에서 보안 정책을 구현하는 데 가장 역점을 두었다. 물론 각 개인의 PC 관리가 가장 중요했고 새로 구축한 시스템은 바이러스 정도에 거의 영향을 받지는 않는다. 다만 앞날을 대비해 접근제어정책(ACL)을 인터넷 관문 구간뿐 아니라 내부 네트워크에 분산, 적용했다.
대개 보안 시스템은 인터넷 구간, 즉 캠퍼스 외부로부터 학교의 정보 자원을 보호하기 위해 도입한다. 하지만 실제로 시스템에 악영향을 미치는 트래픽은 대부분 내부에서 발생한다. 이런 이유로 트래픽의 내부 유포 및 확산을 막는 건 중요하다. 이번에 도입한 시스코의 카탈리스트 장비는 다양한 방법으로 이를 차단할 수 있어서 보안 정책을 효과적으로 구현할 수 있었다.

백본 스위치 4대 메시 구조

시스코의 10기가비트 카탈리스트 6509 백본 스위치 3대로 본관·공학관·도서관을 10Gbps 메시(Mesh) 형태로 구성했으며, 캠퍼스 코어망 역할을 한다(실제 백본 스위치 3대는 본관 내 전자계산소에, 나머지 1대는 도서관에 있다). 이와 함께 도입된 카탈리스트 6506 스위치가 각 건물 디스트리뷰션 레이어의 백본 역할을 한다. 이뿐 아니라 본관 전산소의 백본 스위치와 1Gbps로 듀얼로 연결돼 있으며, VLAN 기반의 ACL 적용을 통해 하부에서 들어오는 유해 트래픽의 접근을 제어한다. 또 각 건물의 워크그룹 스위치로 도입된 카탈리스트 2950-48 장비는 카탈리스트 6506과 1Gbps로 연결돼 있다. 이밖에 카탈리스트 3508은 보안 시스템의 기가비트 인터페이스들에 대한 집선 스위치(Aggregation Switch) 기능을 맡는다.
넷스크린의 방화벽 장비(NS5200)는 HA를 통한 액티브-스탠바이로 구성돼 있다. 특히 Untrust/Trust/DMZ 구간별 1Gbps로 인터페이스를 제공하며, 외부(Untrust) 구간에서 들어오는 유해 트래픽을 1차로 제어하는 기능을 제공한다. 윈스테크넷의 IPS인 스나이퍼는 방화벽이나 백본 스위치의 1차 ACL을 통과한 트래픽에 대해 패킷 필터링을 수행한 뒤 정책 위반에 대해서는 실시간으로 드롭한다. 바이러스 월은 방화벽의 DMZ 인터페이스와 서버 팜의 집선 스위치인 카탈리스트 3508 장비 사이에서 패킷 필터링 기능과 DMZ의 서버 팜 보호 기능을 제공한다.
특히 넷스크린 방화벽과 시스코 백본 장비는 보안 측면에서 캠퍼스 전체의 부하를 서로 분담하고 있다. 즉 내부에서 외부로 나가는 트래픽은 1차로 백본 스위치의 ACL을 통과하고, 그 다음 IPS를 통과한 뒤 방화벽에 도착하므로 방화벽에서 내부 트래픽에 대한 부담은 상당히 적어진다. 실제로 과거에는 내부 트래픽에 대한 필터링으로 인해 방화벽의 과부하 현상이 종종 발생했는데, 이번 시스템 구성에선 그럴 염려는 거의 없다는 게 전산 담당자의 설명이다.


프로젝트명 : 남서울대학교 기가비트 네트워크 구축 사업
담당자 : 전자계산소 조춘식 과장
구축 기간 : 2003. 12. 22 ∼ 2004. 4. 13
구축 참여 업체별 인원과 역할 :
- 한진정보통신: 5명 프로젝트 수행(주사업자)
- 시스코 시스템즈 코리아: 1 명 기술 지원
- 아이넷 뱅크: 1명 기술 지원
- 에스컴: 1명 기술 지원
새로 도입된 HW 및 SW :
- 백본 스위치: 시스코 카탈리스트 6509 + 슈퍼바이저 720 (10G) / 시스코 카탈리스트 6506 + 슈퍼바이저 Ⅱ
- 워크그룹 스위치: 시스코 카탈리스트 2950-48G
- 집선 스위치: 시스코 카탈리스트 3508
- 방화벽: 넷스크린의 NS5200
- IPS: 윈스테크넷의 스나이퍼(Sniper)
- 바이러스 월: 지모컴의 웜브레이커(WormBreaker)
- NMS: 인네트의 넷맥스(NetmaX)
주요 구축 내용: 기존 ATM 155Mbps 캠퍼스 백본망을 10기가비트 솔루션을 도입한 기가비트 네트워크로 마이그레이션



[인터뷰] 신현용/남서울대학교 전자정보통신공학부 부교수 전산계산소장

"네트워크 장애 이상 무"

백본망까지 네트워크 구축을 추진한 배경은
결정적 계기는 지난해 2학기 개학하면서 웜 바이러스로 인해 발생한 네트워크 장애 때문이다. 하루에도 서너 차례 인터넷이 불통되기 일쑤였다. 학생들로부터 전화가 빗발쳤고, 총장도 인터넷을 살리라는 지시를 내렸다. 때마침 학교에서도 종합정보화추진위원회를 구성해 대학 정보화를 추진하려던 참이었다. 서울시 주요 대학들을 대상으로 정보화 투자 규모를 벤치마킹한 결과, 50억 원 정도의 예산이 필요했다. 적잖은 비용이어서 일단 급한 대로 네트워크 공사부터 시작한 것이다.

프로젝트 구축 이후 실제 업무 효과는
가장 큰 변화는 인터넷이 안정화돼 사용자들의 불평 전화가 없어졌다. 예전에는 실습실에서 수업 도중 네트워크가 다운돼 학생들이 피해를 보는 사례가 있었는데, 교체 후에는 그 같은 일은 없다. 그밖에 교직원들도 인트라넷을 사용하는 데 만족하고 있으며, 그만큼 업무 효율도 높아졌다는 얘기를 듣고 있다. 특히 조형관은 시각디자인과나 애니메이션과 등 대용량 멀티미디어 파일을 주로 다루는 학과라는 특성 탓에 대역폭이 많이 필요하다. 예전에는 대용량 파일 전송 시 바이러스에 감염되면 바로 다운됐는데, 이제 그런 일은 없다. 또 하나 대역폭을 많이 잡아먹는 기숙사관은 학내 바이러스를 퍼뜨리는 온상이었다. 개학 후 학생들이 각종 노트북 등 PC를 가져오는데, 여기에 바이러스가 묻어오곤 했다. 현재는 보안 시스템으로 그런 문제는 없다. 그야말로 네트워크 장애와 보안 위협이 없는 전산소의 '태평성대' 시대가 왔다고나 할까.

성능비교시험(BMT)은 어떻게 진행됐나.
기존 네트워크 유지보수 업체인 에스넷시스템과 한진정보통신이 주사업자로 참여했다. 장비로는 파운드리 네트웍스와 시스코의 대결로 압축됐다. 개학을 얼마 앞두고 시간이 빠듯해 시스템을 놓고 실제 BMT를 실시하지는 않았다. 대신 다른 BMT 결과를 되도록 많이 참조했다. 제안설명회와 함께 몇 차례 평가를 진행했다. 10여 명으로 구성된 평가위원회에서 제품 성능과 가격 비교를 통해 업체를 선정했다. 주된 선정 기준은 시스템 안정성과 브랜드 인지도 및 유지보수. 특히 백본 스위치가 풀 10Gbps의 성능을 내는지 여부가 관건이었다. 그 당시 시스코 장비는 10기가비트 성능을 냈던 반면, 파운드리는 8기가비트밖에 안 나왔다.

올해 정보화 계획은
남서울대가 충청 지역 대학에선 10기가비트 백본 네트워크를 도입한 첫 사례가 됐다. 앞으로 대학 정보화의 나머지 축인 포털 시스템 구축을 추진하려고 한다. 올 하반기쯤 추진하려고 고려중인데, 비용이 적잖게 들어 고민이다.


맨위로