[네트워크 응용] 네트워크 장치의 구조

[외워서 끝내는 네트워크 핵심이론 - 응용] 강의 정리 글

 

3가지 네트워크 장치 구조

1. Inline
2. Our of Path
3. Proxy

 

하나씩 간단히 살펴보자. 각각의 특징을 보면 다음과 같다.

• Inline : Packet, Drop/ByPass + Filtering
  • 다루는 데이터 단위는 Packet이다.
  • 패킷이 통과할 때 Drop(차단)할지, ByPass(허용)할지 필터링 한다.
• Out of Path : Packet, Read Only, Sensor
  • 데이터 단위는 Packet
  • 주 목적은 인지하는 것. 즉, 센서다.
  • 네트워크 장치 중 패킷을 복사해 전달받아 이를 분석하는 장치가 있다. 이  결과를 알려주는 장치들을 연결할 수 있는 포인트를 Tapping Point라고 하고, Tapping Point에 연결되는 장치는 out of path 구조를 가진다.
• Proxy : Socket Stream, Filtering
  • 데이터 단위는 Stream
  • File 수준의 데이터를 다루려면 Proxy를 사용해야 한다.
  • proxy, 말 그대로 대리자 역할이다. 대리자를 통해 데이터가 지나가기 때문에 어플리케이션 스트림 전체를 모니터링 할 수 있다.

 

패킷은 IP 레벨의 데이터고, 스트림은 Socket 레벨의 데이터다.

아래와 같이 묶어서 암기하면 좋다.

• 유저모드, 어플리케이션, 소켓, 스트림, Proxy
• 커널모드, 패킷, Inline, Out of Path

 

Inline

다루는 데이터 단위는 패킷이고, 데이터를 Drop 또는 ByPass 시킨다. = Filtering

공유기, 라우터, 방화벽, IPS 등이 있다.

 

라우터를 기준으로 내부와 외부(인터넷)가 나뉜다고 생각해보자.

이때 내부에서 외부로 나가는 트래픽을 Out-bound, 외부에서 내부로 들어오는 트래픽을 In-bound라고 한다.

 

라우터는 랜카드가 여러개 달린 컴퓨터라고 이해하면 쉽다.

왼쪽 인터페이스를 A, 오른쪽 인터페이스를 B라고 한다면, 랜카드1이 A고 2가 B다.

 

일반적으로 패킷이 들어오면 L7까지 올라갔다 내려오지만,

인라인 디바이스의 경우 데이터가 인라인까지만 들어왔다가 나간다.

HW → Driver → Inline → Driver → HW

즉, 트래픽이 유저모드까지 가지 않고 커널모드에서 처리한다.

 

NIC이 가속기인 경우도 있는데, 패킷에서 IP 헤더 빼고 TCP 찾고 하는 이런 과정을 하드웨어 수준에서 미리 해준다. 이런걸 가속이라 한다.

가속기를 이용하는 이유는 속도 때문이다.

인라인 디바이스는 Throughput 처리율, 즉 데이터가 통과해서 지나가는 이 투과율이 얼마나 좋으냐에 따라 성능이 달라진다.

 

인터넷이 10Gbps 급으로 빠르다고 해도 중간에 라우터 하나가 인라인 디바이스인데 1Gbps 밖에 처리를 못한다고 가정하면 속도가 하향평준화 되는 것이다.

인라인 디바이스로 어떤 구조를 만들 때는 속도가 떨어지면 전체 성능이 떨어지는 문제가 발생한다.

최대한 하드웨어 수준에서 바로바로 들어오고 나가는 것이 좋다.

 

Out of Path

out of path 구조 = 센서, 라고 보면 된다.

센서 + 수집장치 → 이렇게 조합해서 쓰기도 한다.

이 구조는 분석 또는 탐지 목적으로 사용한다.

 

수집장치는 크게 2가지가 있다.

1. L2 Port Mirroring : 항상 카피를 떠준다.
2. L2 Switch인데 Mirroring 기능을 제공 = Distribution Switch

미러링이 많은 부하를 일으킨다. 장치의 성능이 좋아야 한다.

 

Tab Switch라는 복사 전문 수집장치가 있다.

여러 인터페이스에 다 복사를 해준다. (고성능 스위치고 가격이 비싸서 중간중간 둔다.)

 

Packet Payload를 들여다보는 행위를 DPI(Deep Packet Inspection)라고 하고,

Packet Header를 들여다보는 행위를 SPI(Shallow Packet Inspection)라고 한다.

• 한국은 SPI가 허용되는 국가다.

 

센서의 핵심 기술은 놓치지 않고 수집하는 것.

네트워크로 회선이 들어오면 미러링되서 카피본이 들어온다. 그럼 이걸 읽어서 수집한 다음 수집한 걸 가지고 분석한다.

다만 이를 위해선 수집한 걸 저장하기 위한 저장장치가 필요하다.

네트워크 속도가 하드디스크에 쓰는 속도보다 빠르기 때문에, 수집해서 분석하기 위해 저장하는 것 자체가 굉장히 고도화된 기술이다. (정밀할수록, 무손실일수록 비싸다)

 

Proxy

는 따로...