L7 스위치 기술동향과 발전방향
최근 ITM(Internet Traffic Management) 관련 업무를 맡고 있는 담당자들은 누구보다 L7 스위치에 시선을 집중하고 있다. 각종 바이러스 출현이 잇따르면서 L7 스위치의 보안 기능에 관심이 집중되고 있기 때문이다. 이와 관련해 L7 스위치의 트래픽 관리 능력, 라우터 등 각종 장비들과의 관계를 살펴보고 향후 발전방향을 짚어본다.
통상적으로 L2/3 스위치는 패킷의 MAC 주소나 IP 주소를 이용해 패킷을 전달하는 역할을 수행하기 때문에 엔터프라이즈 네트워크를 구성하는데 없어서는 안될 장비로 자리잡았다.
또한 급속히 증가하는 인터넷 트래픽을 효율적으로 처리하기 위해 엔터프라이즈 네트워크에 도입되기 시작한 L4 스위치의 경우 부하분산 및 리디렉션(Redirection) 등 지능적인 트래픽 관리 기능이 부각되어 서버와 네트워크 장비의 가용성과 확장성을 높이기 위한 수단으로 각광을 받고 있다.
하지만 지난해 1.25 인터넷 대란과 웜바이러스의 출현 사태 이후 네트워크 보안에 대한 관심이 늘어나면서 기존의 L4 스위치에 보안기능을 강화한 제품이 많이 등장하고 있으며 이들 장비가 L7 스위치로 불리고 있다.
L7 스위치 정의와 역할
하지만 L7 스위치를 단순히 기존 L4 스위치에 보안기능을 강화한 제품으로만 볼 수는 없다. L7 스위치는 기존 L4 스위치가 수행하는 기능들을 모두 수행할 수 있고, 최근 사회적인 문제가 되고 있는 네트워크 보안문제(웜바이러스, 이메일 바이러스, DoS/DDoS 공격 등)를 어느 정도 해결해 줄 수 있다. 나아가 L7 스위치는 패킷의 내용을 분석하고 이를 바탕으로 지능적인 동작을 수행하기 때문에 ‘L4스위치+보안’을 넘어서는 여러 가지 역할을 수행할 수 있다.
L7 스위치는 Layer 7에 해당하는 애플리케이션 정보를 바탕으로 지능적으로 트래픽을 관리하는 네트워크 스위치 장비로 정의될 수 있다. 이러한 L7 스위치는 애플리케이션 스위치(Application Switch), 콘텐츠 스위치(Content Switch), 다계층 스위치(Multi-Layer Switch) 등 다양한 이름으로 불리는데, 이는 L7 정보가 주로 애플리케이션과 직접 연관이 있고 패킷의 내용을 분석하여 이를 바탕으로 패킷에 대한 부하분산, 리디렉션, 필터링 등을 수행하기 때문에 자연스럽게 붙여진 이름이다.
그렇다고 L7 스위치가 패킷의 내용만을 참조하는 것은 아니며, 통상적으로 L2∼7 사이의 모든 정보를 바탕으로 패킷을 전송/제어하기 때문에 L7 스위치에는 기존의 L2/3/4 스위치의 특징들이 모두 포함되어 있다.
L7 스위치의 특징
L7 스위치는 통상적인 L4 스위치의 연장선상에서 출발했지만 L4 스위치가 처리할 수 없는 일들을 수행한다. L4 스위치의 경우 통상적으로 TCP/UDP 포트정보와 같은 Layer 4 정보를 이용해 패킷을 관리하는 기능을 수행하며, 다음과 같은 기능을 담당한다.
△서버장비(웹서버, 파일서버, 캐시서버)에 대한 부하분산.
△네트워크장비(파이어월/VPN/인터넷라인)에 대한 부하분산.
△Cache Redirection 기능.
하지만 L4스위치는 Layer 4까지의 정보만 참조하기 때문에 패킷의 내용을 봐야 제대로 처리할 수 있는 애플리케이션에 대해서는 동작하지 않는다. 예를 들어 VoIP나 P2P와 같이 요즘 각광을 받고 있는 애플리케이션의 경우 패킷의 내용을 살펴보지 않고서는 관련된 세션들을 제대로 관리할 수 없다.
또한 많은 인터넷 사용자들이 사내 방화벽이나 ISP의 캐시서버를 경유하여 서버로 들어오기 때문에 이들 사용자를 IP나 포트정보를 이용하여 구별할 수 없는 경우가 많다. 이 경우 패킷의 정보를 살펴보지 않는다면 사용자별로 차등화된 서비스를 제공하기가 매우 어렵다. 또한 사용자의 IP가 수시로 바뀌는 경우 해당 사용자에 대한 연속적인 서비스를 제공하기 어렵게 된다.
L7 스위치에서는 기존 L4가 갖고 있는 이러한 문제점들을 해결하기 위하여 패킷의 IP/Port 정보만이 아니라 패킷의 URL 정보, Cookie 정보, Payload 정보 등을 종합적으로 검사해 사용자별로 연속적이고 차별화된 서비스를 제공해줄 수 있다.
△URL-based Load Balancing.
△URL-based cache redirection for non-cacheable traffic.
△Cookie-based Load Balancing.
△SSL-ID Load Balancing.
L7 스위치가 기존 L4 스위치와 차별화되는 가장 핵심적인 부분은 L4 스위치가 Layer 4 정보(TCP/UDP port)를 바탕으로 패킷을 분류하고 원하는 서버나 장비로 전송하는 반면 L7 스위치는 패킷의 내용을 보고 이를 바탕으로 패킷을 전달하는 것이다. L7 스위치가 패킷의 내용을 살펴보고 이를 바탕으로 적절한 서버를 선택하기 위해서는 먼저 클라이언트와 L7 스위치 사이에 TCP 3-way handshake 과정을 거쳐야 하며, 클라이언트로부터 요청패킷을 받아서 이를 분석할 수 있어야 한다. 또한 빠른 패킷 전송을 위하여 클라이언트와 서버측에 맺은 연결을 서로 적절히 관계시켜야 하는 것이다. L7 스위치가 가져야 하는 중요한 특징들은
△클라이언트 및 서버와의 연결관리 능력
△Layer7 수준의 패킷 분석능력 등이다.
지능적인 트래픽 관리
최근 시장에서 각광을 받고 있는 것이 다름 아닌 네트워크 보안분야이다. 지난 1.25 인터넷 대란 이후 많은 사람들이 무차별적인 트래픽이 들어올때 웹서버와 네트워크의 가용성을 높이기 위한 여러 가지 솔루션을 찾았고, 이에 대한 하나의 대안으로 제시된 것이 L7 스위치이다. L7 스위치는 기존 L4 스위치가 갖고 있던 기능들을 모두 수용하면서 불필요한 트래픽에 대한 차단이나 네트워크에 대한 공격을 완화시켜줌으로써 서버와 네트워크의 가용성을 한층 향상시켜주었다.
요즘 크게 이슈가 되고 있는 네트워크 보안은 크게 두 가지로 나눌 수 있다. 하나는 웜이나 이메일 바이러스와 같이 특정한 패턴을 갖고 있는 패킷으로서 서버나 네트워크에 불필요한 트래픽을 발생시켜 전체 네트워크 자원의 효율성을 심각하게 저하시키는 경우이다. 최근 사회적으로 많은 파장을 몰고 온 Nimda virus, CodeRed virus, SQL Slammer Worm virus, MyDoom 등이 이러한 범주에 속한다고 할 수 있다. 이러한 패킷들은 패킷의 내용에 어떤 패턴을 갖고 있는 것이 특징이다. 따라서 L7 스위치에서는 이 패킷의 내용을 분석하여 바이러스 패킷으로 판단되면 그에 맞는 조치를 수행하게 된다.
최근 L7 스위치업체와 바이러스 차단업체들이 서로 제휴하여 새로운 바이러스 패턴이 나타날 경우 이를 빠르게 업데이트하여 네트워크를 보호하는 형태로 진행되고 있다. 결국 기존 L7 스위치가 갖고 있던 패킷의 내용분석 기능과 바이러스 차단업체들이 보유하고 있는 패턴분석기능을 하나로 합쳐서 보다 빠르고 강력한 보안기능을 제공해주고 있는 것이다.
다른 하나는 DoS/DDoS와 같이 비정상적으로 트래픽이 과도하게 서버에 집중되어 서버가 정상적으로 서비스하지 못하게 만드는 부분이다. 이를 해결하기 위해 L7 스위치에서는 트래픽의 유입수준을 일정 정도로 제한하여 서버가 항상 정상적인 서비스를 할 수 있게끔 보호해준다.
각종 장비들과의 차이
물론 기존 엔터프라이즈 네트워크에서 이러한 기능들을 수행하는 장비가 없었던 것은 아니다. 방화벽과 IDS/IPS 및 QoS 장비들은 독자적인 기능들을 이용하여 전체 네트워크의 보안과 대역폭관리를 수행하였다. 하지만 L7 스위치는 서버의 확장성을 지원하면서 동시에 서버의 가용성을 높이기 위해서 불필요한 트래픽이나 공격패킷이 서버로 향하지 않도록 서버 앞단에서 이를 차단하는 역할을 수행한다.
최근 사회적으로 문제가 되고 있는 다양한 종류의 웜 패킷과 서비스 거부공격 등을 서버의 앞단에서 최종적으로 차단함으로써 서버의 가용성을 보다 높일 수 있다. 여기에 L7 스위치의 특징이 있는 것이다. 물론 각각의 기능을 수행하는 장비를 일렬로 배치하여 원하는 기능을 얻을 수도 있으나, 관리자는 많은 장비들이 연속적으로 설치되어 있는 경우 문제가 생겼을 때 문제의 원인을 찾고 이를 조치하는데 매우 큰 어려움을 느끼게 된다. 따라서 서버와 네트워크 운용을 위한 기본기능과 부가기능을 하나의 장비에서 제공함으로써 서버 및 네트워크의 가용성을 향상시킴은 물론 관리자가 보다 쉽고 간편하게 네트워크 리소스를 관리할 수 있도록 하는 것이 L7 스위치가 부상하는 있는 이유라 할 수 있다.
이러한 내용을 바탕으로 현재 엔터프라이즈 네트워크에서 많이 사용되고 있는 다양한 장비들을 비교해보면 그 차이점을 명확히 알 수 있다. 물론 L4 스위치만이 L7 스위치로 발전할 수 있는 것은 아니다. 기존의 파이어월, IPS, QoS 등 엔터프라이즈 네트워크에서 각각의 고유기능을 담당하고 있는 장비들도 패킷 내용을 분석하는 기능을 갖고 있으며, 이를 바탕으로 여러 가지 보안정책과 대역폭조절 정책을 수행해왔다. 따라서 이들 장비도 각각의 고유기능에 부하분산기능, 리디렉션 기능 등 고급 트래픽 관리기술을 결합하고, 대용량의 트래픽을 빠르게 처리할 수 있는 스위치 구조를 도입한다면 얼마든지 L7 스위치의 형태로 발전할 수 있다.
다만 L4 스위치의 경우 기존의 고급 트래픽 관리기술과 대용량처리를 위한 스위치 구조를 이미 채택하고 있기 때문에 L7 패킷의 분석을 통한 보안 및 대역폭 관리기능을 발빠르게 탑재하여 시장을 주도하고 있는 것일 뿐이다.
스위치는 트래픽 관리에 필요한 다양한 기능들을 하나의 장비에서 수행함으로써 보다 고성능의 플랫폼과 이를 효과적으로 운용할 수 있는 고급 소프트웨어 구조가 필요하다. 또한 애플리케이션의 속성을 잘 이해하고 이를 효율적으로 관리해야 하며, 새로운 기능의 탑재가 손쉽게 이루어질 수 있어야 한다. 현재 나와있는 L7 스위치의 구조를 살펴보면 대략 3가지 정도로 나뉠 수 있다.
△중앙집중형구조: 다수의 이더넷 포트 + CPU.
△포트별 분산구조: 다수의 이더넷 포트 + 포트별 CPU.
△Hybrid 구조: 다수의 이더넷 포트 + L2/3 전용 패킷프로세서 + L4/7 전용 패킷프로세서.
각각의 구조를 살펴보면 나름대로의 장단점이 있으나 고성능 패킷 분석 및 전송을 위한 Hybrid 구조로 변화해나가고 있는 추세라고 볼 수 있다. 즉 패킷분류를 전담으로 하는 ASIC 을 탑재한다거나 패킷처리를 고속으로 할 수 있는 네트워크 프로세서를 탑재하는 등 패킷 분석 및 처리를 고성능으로 수행하기 위한 구조로 진화하고 있는 것이다.
L7 스위치의 향후 전망
L7 스위치를 생산하고 있는 대표적인 업체로는 시스코, 노텔, 라드웨어, 파운드리, F5 등이 있고, 국내에서는 파이오링크가 Pinkbox 3000/4000을 출시하고 본격적으로 시장에 진입하여 경쟁하고 있다. 최근 한국IDC는 오는 2005년에는 전세계적으로 콘텐츠 네트워킹 시장의 46%를 L7 스위치가 점유하며 총 36억달러 이상의 매출을 보일 것으로 예상했다. 또 국내에서도 2005년에는 1천억원 규모를 훌쩍 뛰어넘는 시장으로 성장할 것으로 예측, 많은 업체들이 관심을 보이고 있는 상황이다. 특히 새로운 네트워크 서비스가 나올 때마다 새 장비를 구입하는 것이 간단하지 않기 때문에, L7 스위치는 모듈 추가를 통해 새로운 서비스를 쉽게 제공해줄 수 있다는 점에서 향후 효용성은 더욱 증가할 것으로 보인다.
궁극적으로 L7 스위치는 Layer 7까지의 정보분석을 통한 강력한 세션관리능력과 스위치로서의 패킷전송능력을 바탕으로 인터넷 트래픽 관리분야에서 핵심장비로 자리잡을 것이다. 인터넷 트래픽관리 분야가 각종기능(부하분산,QoS,프로토콜가속기술)들의 통합, 보안기능의 강화, 기가급의 고성능 패킷처리, 네트워크관리의 편의성 및 활용성 증대, 고가용성 및 높은 투자수익률(ROI) 달성 등의 목표로 모든 네트워크 장비들의 발전방향이 맞춰질 것이며, 이 과정에서 L7 스위치가 핵심적인 역할을 수행하게 될 것이다.
* 참조 : 경영과 컴퓨터
