Special Report 19호

The Penalty Box

지나친 대역폭 사용 "옐로우 카드!"

르하이大, Cisco QoS 활용 네트웍 대역폭 관리

현재 대부분의 대학들은 학생들과 교수진, 임직원들을 위해 LAN과 인터넷 서비스를 제공하고 있다. 하지만 냅스터 같이 대역폭을 엄청나게'잡아먹는'P2P 애플리케이션 사용이 많아졌으며, 온라인 관리 기능 즉, 교과과정 개발이나 문서 관리 등과 결합돼 대역폭 소비량이 더욱 높아지고 있다. 때문에 대학 네트워크에 대한 기술적인 부담이 가중되고 있다. 미국 펜실베니아주에 위치한 르하이 대학(Lehigh University)은 시스코의 스위치와 라우터에 탑재된 서비스 품질(QoS) 기능을 통해 학생들의 인터넷 사용을 성공적으로 제어해 대역폭 문제를 해결했다. 대학측은 최근 캠퍼스 네트워크를 150대의 시스코 카탈리스트 3550 시리즈 스위치로 업그레이드했으며, 네트워크 사용 통제를 위해 QoS 기능을 캠퍼스 네트워크에 구현했다. 이 대학은 50Mbps의 인터넷 대역폭과 100Mbps의 인터넷2 대역폭 통제를 위해 카탈리스트 3550 시리즈의 포트당 속도 제한 기능을 사용하고 있다. 만일 학생들이 캠퍼스 내부에서 과도한 양의 대역폭을 사용할 경우 일정 수준으로 돌아올 때까지 포트 속도를 제한하게 된다.

르하이 대학의 네트워크 엔지니어인 마크 밀러(Mark Miller)는 "이러한 기능을 우리는 '페널티 박스(Penalty Box)'라 부른다"면서 "기본적으로 학생들이 원하는 모든 애플리케이션을 구동하게 해주지만 너무 많은 양은 허용하지 않고 있다. 이는 공정한 시스템이라 할 수 있다. 과도한 양의 대역폭을 사용하는 학생들에게만 페널티를 부여할 뿐, 나머지 학생들에게는 최적의 속도를 제공하고 있기 때문"이라고 밝혔다.

시스코의 전문가들이 제공하는 시스코 네트워크 프로페셔널 커넥션의 '네트워크 인프라스트럭처 포럼' (cisco.com/discuss/infrastructure)에서 LAN 스위칭 및 라우팅에서의 QoS 기능에 대한 상세 정보를 얻을 수 있다.



펄/SNMP로 정보 수집


르하이 대학은 펄(Perl)로 작성된 맞춤형 SNMP(Simple Network Management Protocol)를 사용, 스위치와 라우터에서 정보를 수집한다.
이러한 펄/SNMP 프로그램은 르하이 대학의 시스코 라우터에서 모든 ARP(Address Resolution Protocol) 정보를 지속적으로 탐지하고 있기 때문에 모든 IP 어드레스와 이에 대응하는 이더넷 어드레스가 어떤 것인지 밝혀낼 수 있다. 다른 펄/SNMP 프로그램은 모든 이더넷 어드레스의 이동 및 변화를 시스코 카탈리스트 3550 시리즈 스위치로부터 기록 및 추적하기 때문에 각 사용자의 해당 이더넷과 IP 어드레스에 대응하는 스위치 포트가 정확하게 규명될 수 있다.
르하이 대학의 캠퍼스 외부 라우터로부터 생성되는 넷플로우 정보는 리눅스를 구동하는 컴퓨터로 끊임없이 전송된다. 넷플로우 데이터는 공중 도메인 넷플로우 프로세싱 툴을 사용해 한시간마다 처리된다. 모든 캠퍼스 IP 어드레스에 대한 캠퍼스 외부 네트워크 사용이 프로세싱되며, 각 플로우의 소스 잭이 ARP와 스위치 포트 정보로부터 밝혀진다. 72시간 전에 사용된 각 잭의 사용량이 계산되며 2G 이상의 인터넷 대역폭을 사용한 잭이 어떤 것인지 밝혀진다.
대학측의 사용 정책을 위반한 이러한 잭들은 페널티 박스에 추가된다. 64Kb를 초과하는 캠퍼스 외부의 트래픽에 대한 속도 제한에 대해 자동 펄 스크립트가 스위치 포트를 위한 입력 및 출력 정책을 설정한다. 캠퍼스 외부의 트래픽에 대해서만 속도 제한을 하고 캠퍼스 내부의 트래픽은 최고 속도로 이동되도록 액세스 리스트가 사용된다.
펄 스크립트는 속도 제한에 걸린 포트와 설정된 시간을 기록한다. 포트의 트래픽이 '정상'으로 회복되면 72시간의 페널티가 부여된 뒤 속도 제한 기능이 해제된다. 밀러는 "웹 페이지 역시 업데이트 되기 때문에 학생들은 자신들의 현재 상태를 확인할 수 있다"고 설명했다.

"기본적으로 학생들이 원하는 모든 애플리케이션을 구동하게 해주지만 너무 많은 양은 허용하지 않고 있다. 이는 공정한 시스템이라 할 수 있다. 과도한 양의 대역폭을 사용하는 학생들에게만 페널티를 부여할 뿐, 나머지 학생들에게는 최적의 속도를 제공하고 있기 때문이다"
- 마크 밀러(Mark Miller), 르하이 대학 네트워크 엔지니어



규칙 위반 PC '대역폭 제한'


다른 펄 스크립트는 IP 어드레스나 이더넷 어드레스를 바꾸는 학생들을 관찰한다. IP나 이더넷 어드레스 변경은 인터넷을 통해 프로그램을 다운 받아 실행하기만 하면 되기 때문에 매우 간단하게 이뤄진다. 밀러는 "이러한 학생들의 경우 직접 호출하게 된다. 이들은 어드레스 정보를 '적극적'으로 바꾸어 감시 체제를 벗어나려고 하는 의도적인 행위를 했기 때문이다. 이러한 포트 역시 정상으로 돌아올 때까지 속도 제한 벌칙에 걸린다"고 밝혔다.
이러한 과정이 꽤 복잡하게 보이지만 밀러는 이 시스템이 비교적 간단하고 매우 신뢰성이 높다고 주장했다. 그는 "시스템 구동 및 결과가 매우 훌륭하며 카탈리스트 3550 스위치를 통해 이루어지는 속도 제한 프로세싱에 대한 확장성도 매우 높다"고 밝혔다.
하지만, 페널티 박스 시스템 도입에도 불구하고, P2P 트래픽은 캠퍼스 외부 접속에 문제를 일으킬 수 있다. 이는 주로 카자(Kazza)가 설치된 다음 관리 사무실의 PC에서 주의를 기울이지 않고 구동할 경우 페널티 박스 시스템을 통해 통제되기 않아 발생한다.
이 경우 대학측은 캠퍼스 외부의 시스코 7260 라우터의 NBAR(Network-Based Application Recognition)을 사용해 카자나 모르퓨즈(Morphues)와 같은 인터넷 파일 공유 애플리케이션의 사용을 밝혀내고 제한할 수 있다. 대학 네트워크 정책은 이러한 유형의 트래픽을 5Mbps로 제한하고 있어, 캠퍼스 외부에서의 접속이 이러한 애플리케이션으로부터 영향을 받지 않고 구동하도록 하고 있다.


간단·손쉽게 구동


르하이 대학은 시스코 카탈리스트 3550 시리즈의 다른 기능을 사용해 캠퍼스 네트워크에서 발생하는 일반적인 문제를 해결하고 있다.
  • 포트별 액세스 목록(Per-port access lists) : 각 사용자 포트는 DHCP(Dynamic Host Control Protocol) 응답 패킷을 거부하는 진입 액세스 목록을 갖고 있다. 시스코 스위치를 도입하기 전에 르하이 대학은 모호한 DHCP 서버가 급증하는 문제를 겪었다. 밀러에 따르면, 카탈리스트 3550 시리즈의 포트별 액세스 목록을 통해 이러한 문제를 완벽하게 해결할 수 있게 되었다.
  • 스톰 제어(Storm control) : 각각의 사용자 포트는 브로드캐스트와 멀티캐스트 전송의 속도를 제한할 수 있도록 스톰 제어 기능이 구현돼 있다. 이러한 기능을 통해 게임 플레이나 서비스 거부(DoS) 공격 등 네트워크에 과부하를 일으키는 형태의 문제를 차단할 수 있다.
  • 포트 보안(Port security) : 각각의 포트는 브리지나 무선 액세스 포인트 등과 같은 제어 장비에 허용된 이더넷 어드레스의 수에 따라 제한된다. 이러한 기능은 MAC 어드레스와 관련된 보안 문제에 대응할 수 있다.
  • 관리 기능 : 르하이 대학은 개별적인 관리 가상랜(VLAN)을 통한 SSH(Secure Shell)와 NTP(Network Time Protocol), SNMP, PortFast, 자동 errDisable(automatic error-disable) 회복 등과 같은 기능을 사용해 네트워크의 신뢰성과 성능을 최대한 높여준다. 밀러는 "각 스위치 포트는 IEEE 802.1X가 구현돼 있으며, 네트워크에 대한 액세스 제어를 보다 심도 있게 구현할 수 있다"고 덧붙였다.
추가자료

■ Cisco Catalyst 3550 시리즈에서의 QoS 스케줄링과 우선 순위 배열 :
  cisco.com/packet/162_4b1
■ QoS 기술 정보 :
  cisco.com/packet/162_4b2
■ QoS와 최대 성능 :
  cisco.com/packet/162_4b3
■ 고등 교육 기관과 대학교를 위한 LAN 솔루션 가이드 :
  cisco.com/packet/162_4b4



Packet 지난 호 보기