물론 최고의 것이라고 해서 불안의 여지가 남아있는 것을 선택할 수는 없다. 실제로 스위치 아키텍처를 업그레이드하는 이유가 무엇인지 묻는 질문에 56%의 네트워크 관리자들이 신뢰성을 가장 큰 동력으로 꼽았으며, 그 다음이 코어와 액세스 레이어에서의 대역폭 증대였다.
스위치 업그레이드 이유, ‘신뢰성’ 꼽아
속도에 대한 이러한 요구는 최근의 인포네틱스(Infonetics) 보고서에서도 반영됐는데, 보고서에 따르면 기가비트 이더넷 포트 판매가 10%, 10기가비트 이더넷 포트 판매는 두 배가 늘어날 것이다. 이것은 우리로서 그리 놀랄 일은 아니었다. 10/100포트보다 기가비트 이더넷 포트에 36%, 약 63달러 정도를 더 지불하는 일은 추가 대역폭과 네트워크 퓨처 프루핑(future-proofing)을 감안하면 아무 것도 아니다.
시스코는 출시되는 장비에 있어서는 두말할 나위 없는 시장 선도업체지만, 그렇다고 해서 새로운 기술이나 서비스 및 지원, 신뢰성, 혹은 가격에서도 확실한 일인자라고 할 수는 없다. 알카텔-루슨트, 익스트림네트웍스, 파운드리네트웍스, HP 프로커브 및 쓰리콤 등의 스위치들이 나란히 경합을 벌이고 있으며, 예를 들어 프로커브 스위치 라인에 대한 HP의 무료 펌웨어 업그레이드 정책은 지원 계약을 무효로 할 수 있거나 중고 장비를 구입할 경우 큰 혜택이 된다.
업체들이 스위칭 장비용으로 무엇을 제공하고 있는지 알아보기 위해 대규모 스위치 인프라 업그레이드를 위한 RFI를 만들었다. 질문은 가상으로 만든 패스트푸드 음식 납품업자인 택도(TacDoh)를 두고 만들었는데, 이 회사는 지난 2003년 네트워크 관리 아웃소싱 업체를 찾을 때 처음 등장했던 곳이다.
여느 기업들과 마찬가지로 택도는 인수 합병을 통해 유기적으로 성장해왔으며, 여전히 칙칙대며 돌아가는 낡은 장비와 새 장비가 혼합돼 있는 상태다. 장비는 필요에 따라 교체되지만 이런 단편적인 방식으로는 최신 기술의 혜택을 누릴 수가 없다. 이것은 대역폭과 보안에 대한 필요가 패스트리처럼 부풀어오르고 있기 때문에 문제가 되고 있다.
RFI는 5년간 계획이 담긴 것으로 만들었다. 우선 기존의 센트렉스(Centrex) 서비스로부터 VoIP로 마이그레이팅을 지정함으로써 강력하고 확장성 있는 네트워크를 요구했다. 또한 PoE(Power over Ethernet)를 요구하고, 흐름 기반 분석같은 새로운 모니터링 기술을 활용하도록 했다. 마지막으로 웜 침입, 불량 액세스 포인트와 DHCP 서버, 그리고 기타 악의적 행동에 의해 발생되는 손상을 줄이기 위해 네트워크 액세스 제어와 기타 보안 기능도 포함했다. 물론 새로운 수요를 충족시킬 수 있도록 용량을 늘릴 수 있어야 하며, 탄력성도 반드시 보장돼야 한다.
개선된 기능들
최근 출시되는 대다수의 스위치에는 포트 구성에서부터 트래픽 제어에 이르기까지 모든 것을 개선할 수 있는 기능이 있다. 사실 RIP, OSPF 및 BGP같은 다중 프로토콜들로 가득찬 레이어 3 라우팅이 일반적이기 때문에 순수한 레이어 2 스위치를 찾으려면 힘이 들 것이다. 택도는 분명 코어 라우터를 교체하는 것을 고려하고 있긴 하지만 배포 및 액세스 레이어에서는 라우팅이 필요가 없다.
가상랜은 직원들이 있는 곳을 기준으로 네트워크를 효과적으로 세그먼팅할 수 있는 수단이지만 가상랜에 포트를 정적으로 할당하는 것은 패치 케이블을 옮기는 것보다 아주 약간 덜 번거로울 뿐이다. 택도는 중앙 콘솔을 통해 관리가 가능한 단일 스위치 아키텍처의 효율성을 얻고 싶었으며, 배치와 백업 구성은 말할 것도 없고 추가, 이동 및 변경을 단순화하고 싶었다.
효율성 향상을 위한 노력의 일환으로, LLDP(Link Layer Discovery Protocol)나 LLDP-MED(LLDP-Media Endpoint Discovery) 같은 자동화 기능들이 VoIP 전화로의 전환을 수월하게 해줄 것이다. LLDP-MED는 전화기가 네트워크에서 다른 위치로 이동할 때 전화기 위치를 수동으로 매핑하고 스위치 포트를 구성할 필요없이 종단지점을 찾아서 가상랜 할당이나 전력 필요조건같은 구성 파라미터를 결정하고, 비상시 전화기 위치를 찾아내는 데 사용되는 위치 정보를 수집한다.
보안 기능 강화
한편, 스위치에는 보안 기능도 놀라운 속도로 탑재되고 있다. 802.1x 포트 기반 인증 외에도 새로운 스위치들은 이용량 급증같은 비정상적인 트래픽, 스캔과 웜 활동, ARP 스푸핑, 그리고 다른 로우 레벨의 문제들을 탐지할 수 있다.
보다 중요한 것은 어떤 장비들은 DHCP 임대를 MAC 어드레스로 역동적으로 매핑할 수 있으며, DHCP 교환을 완료하지 못했을 경우에는 심지어 호스트가 액세스하는 노드를 거부함으로써 IP 주소를 정적으로 할당하는 사용자로 하여금 DHCP를 피해 가게 할 수도 있다. 게다가 802.1x는 같은 포트에 있는 다중 호스트를 인증할 수 있고, 스위치 포트가 MAC 어드레스 인증용의 802.1x 서플리컨트(supplicant)로 작동하게 할 수 있도록 개선되고 있다.
분명 적법한 액세스를 차단하는 일은 피하고 싶지만, 에지에 더 많은 보호책을 마련해 둘수록 보안의 효과는 더 높아질 것이다.
하지만 멋진 기능들이 있다 하더라도 탄력성과 유연성을 보장하려면 중복 핫스왑 하드웨어가 필수다. 네트워크의 탄력성은 링크 집합, 스패닝 트리, 그리고 링크나 스위치 오류시에 접속을 신속하게 리라우팅해주는 고속 스패닝 트리 같은 레이어 2 기술에 의해 개선될 수 있다.
마지막으로 허브나 구식 액세스 스위치 같은 다운스트림 장비가 802.1x를 인식하지 못하는 포트에서 다중 호스트를 지원해야 할 필요가 있을 것이다. 많은 업체들이 하나의 포트에서 여러 개의 인증된 호스트를 지원한다고 주장하고 있지만, 이것은 포트 상태가 최초의 성공적인 인증을 기반으로 한다는 의미일 수 있다. ACL을 통한 호스트당 인증 및 구성, 가상랜 할당 및 QoS와 같은 고급 기능들은 정밀한 제어 능력을 제공한다.
원하는 것을 다 얻었다면 이제 가격과 지원으로 넘어가 보자. 택도는 비용 및 유지보수와 기능간에 균형을 맞추고 싶어하고 있다. 지원과 비상용 부품 비용을 감안하면 처음에 돈이 덜 들어간다고 해서 장기적으로도 늘 최선인 것은 아니다.
공정한 평가를 위해 정가를 알려달라고 요청했지만, 스위칭은 전반적으로 범용화된 시장이다. 즉 정가를 다 주고 하드웨어를 구입하는 시대는 지나간 지 오래다는 얘기다. 관리자들과 얘기를 나눠본 바에 의하면 구매력에 따라 정가에서 15~25% 정도를 낮춰 잡으면 될 것 같다.
802.1x 적응하기
802.1x 포트 인증은 인증받은 사용자만 네트워크로 액세스할 수 있게 보장하지만 이것은 쉬운 일이 아니며, 사실 자동화의 폐해를 맛볼 수도 있다. 완전한 세상이라면 어떤 장비나 어느 포트에든 꽂을 수 있을 것이며, 포트는 이에 따라 적절히 반응할 것이다. 하지만 인증되지 않은 상태에서의 802.1x 포트라면 디폴트로 모든 트래픽을 거부한다.
예를 들어 LLDP나 LLDP-MED같은 프로토콜은 IP 전화기가 구성 정보를 요청하기 위해 사용하는 링크 레이어 탐색 프로토콜로서 인증을 먼저 하지 않으면 LLDP 트래픽을 전달할 수 없으며, 데스크톱 배치를 자동화하는 데 사용되는 PXE 부트 에아전트나 웨이크온랜(Wake-on-LAN) 등도 마찬가지 영향을 받는다.
802.1x 환경에서 자동화를 지원할 수 있는 몇 가지 전략이 있다. 직접 물리적인 액세스를 제어하는 규모가 작은 네트워크에서는 802.1x가 지원되는 포트와 그렇지 못한 포트를 수동으로 지정하고 호스트가 이에 따라 적절히 접속되도록 할 수 있다. 하지만 호스트 수가 많을 때는 물리적 접속을 보장하기가 힘들다. 대부분의 스위치들은 서플리컨트가 802.1x에 반응하지 않을 경우 디폴트 가상랜으로 포트를 배치하도록, 혹은 802.1x가 인증에 실패할 경우 가상랜으로 옮겨져서 개방되도록 구성될 수 있다. 혹은 그 대안으로 MAC 인증을 사용해 IP 전화기를 온라인으로 만드는 방법도 있다.
네트워크 액세스 제어를 배치하려 할 경우에는 제어를 시행하는 데 802.1x가 좋은 선택이 되는 경우가 많다. 스위칭을 업그레이드하고 802.1x에의 경험을 쌓아가는 회사들이 많아지고 있기 때문에 앞으로는 더 폭넓은 채택이 이뤄질 것으로 기대된다. 하지만 게스트가 802.1x 서플리컨트가 설치되도록 할 수 있다는 보장은 없기 때문에, 웹 포털이나 사용자로 하여금 스위치로 인증되게 하는 리다이렉트(redirect)같은 대체 인증 방안이 도움이 될 것이다.
스위치 아키텍처 롤링 리뷰
택도는 전세계적으로 주요 소매 아웃렛을 통해 판매되는 패스트푸드 조달업체다. 본사에는 영업 지원, 마케팅, R&D, 그리고 집중식으로 운영되는 IT가 있으며, 세 곳의 지사에서는 현지의 영업 지원을 담당하고 있다. 직원 생산성은 택도의 핵심 경쟁력이며, 잘 연결된 네트워크와 애플리케이션 인프라에 의해 진작이 되고 있다.
우리 랜은 택도의 데이터 필요조건을 잘 지원했지만 시간이 흐르면서 여러 업체들로부터 인프라를 소싱받아 덩치가 커지고 있다. 네트워크에 투자된 돈을 제대로 활용하려면 어쩔 수 없이 완전한 네트워크 재설계 작업을 해야만 하게 되었다. 택도는 특히 새로운 전략과 디자인을 모색하고 있으며 특히 새로운 엔터프라이즈 스위치들의 보안 기능, 유연성, QoS 및 가용성에 큰 관심을 보이고 있다.
새로운 네트워크에서 지원해야 할 핵심 요소는 변화와 성장이다. 이를 위해서는 사이트 접속성과 애플리케이션 지원을 유지보수해야 하며, RFI를 잘 만들어서 택도 네트워크에 생기게 될 많은 변화들을 지원해야 할 것이다. 우리는 몇 년 전 케이블링을 Cat-5E로 업그레이드했으며, 앞으로 몇 년 간 여기에 다른 업그레이드는 할 필요가 없어 보인다. 일반적으로 말해 각각의 책상에는 사용자 PC용의 네트워크 포트가 하나씩 있으며, 필요하다면 와이어링 클로짓과 데이터 센터 사이에 파이버를 깔 생각이다.
파일로트 프로젝트는 향후 6개월에 걸쳐 배치로 옮겨질 것이다. 그리고 그에 앞서 우리 랜 네트워크에는 다음과 같이 준비를 갖출 계획이다:
>> 회사와 원격 사무소에 있는 모든 데스크탑에서 PBX를 VoIP로 교체하기.
>> 회의와 협업을 보다 잘 관리하기 위해 UC 통합하기.
>> 네트워크 액세스 제어 기능 추가. 제품이나 기술은 아직 결정하지 않았지만 어떤 것을 선택하든 인프라에서 이것을 지원할 수 있기를 바란다.
>> 데이터 서버에 모든 서버를 집중시킴으로써 부서용 애플리케이션 서버 없애기.
네트워크는 음성, 동영상, SAP 트랜잭션 및 로터스 노츠를 지원한다. 음성에는 호 프로세싱용의 텔레포니뿐만 아니라 IP 트렁킹도 포함이 된다. 음성은 각 책상에 있는 SIP 기반 전화기를 이용해 지원이 된다. 동영상 스트리밍은 사내 방송에 사용돼 왔지만 협업용으로도 동영상 추가를 고려하고 있는 중이다. 애플리케이션 공유도 또한 중요하게 생각되는 기능이다. 택도의 고객 접촉 애플리케이션은 데이터 센터 내에 놓여 있다. 게다가 이 회사는 자체의 인스턴트 메시징 서버를 돌리고 있으며, 인터넷으로의 직원 액세스도 지원하고 있다. 하지만 인터넷 트래픽은 회사 정책에 따라 필터링 및 모니터링된다.
우리의 데이터 센터 통합 프로젝트는 비용을 줄이고 관리와 규정 준수를 위해 데이터를 집중화시켜야 하는 필요에 의해 주도되고 있다. 때문에 우리 IT 계획에서는 데이터 센터의 가용성이 가장 중요하다. 선택된 네트워크 디자인은 우리 데이터 센터의 오류내구성을 반드시 강화시 한다. 게다가 우리는 가용성, 지터, 에러율 및 작업처리량에 따라 결정되는 네트워크 성능용으로 서비스 레벨을 측정한다. 업체에서는 네트워크 디자인을 제공하고, 자기 회사 솔루션이 성능을 어떻게 극대화해줄 것인지를 설명해야 한다.
● 목표
우리는 새 네트워크가 향후 5년간의 IT 계획을 지원해주기를 바란다. 우리는 네트워크 대역폭을 쓰는 직원과 애플리케이션을 더 많이 추가하고 있으며, 실시간 미디어 이니시어티브들 또한 랜에서 좋은 응답 시간을 누릴 수 있어야 한다. 하지만 그렇다고 더 많은 IT 직원을 추가할 계획은 없기 때문에 자동화와 지원 시스템으로의 통합이 필수다. 우리가 달성하고자 하는 목표들은 다음과 같다.
>> 관리와 배치를 단순화하기 위해 인프라 통합.
>> 음성이나 동영상같은 실시간 미디어 지원 능력 향상.
>> 로밍 사용자로 인해 보안이 훼손되지 않도록 네트워크 액세스 제어 지원.
>> 쉽게 관리되는 네트워크를 실현하기 위해 개선된 스위치 서비스 활용.
>> 데이터 센터를 집중화시키고, 더 많은 데이터가 네트워크에서 푸싱됨에 따라 지원 역량 향상. 즉 성장에
