본문 바로가기
  • AI (Artificial Intelligence)
Legacy Skills/VM

Nexus 1000V를 말한다 - 7편

by 로샤스 2014. 6. 19.

Nexus 1000V 고급 구성하기


가)    Port Mirroring 적용하기


①    Port Mirroring


Port Mirroring은 특정 Source Network의 인입과 출입되는 Traffic을 Copy하여, 특정 Destination Network으로 보내는 기능입니다. 일반 스위치에서는 널리 사용되는 기능으로 특정 인터페이스로 입/출입되는 트래픽을 분석하기 위해 많이 사용되는 기술입니다. 하지만 vSwitch에서는 이러한 기능을 제공하지 않으므로 트래픽 분석이 어렵습니다.

[그림44]에서 보면 쉽게 이해할 수 있습니다.
 

[그림44-vSwitch에서의 Port Mirroring 컨셉]


따라서 Nexus 1000V를 통해 이러한 기능을 사용하도록 하는 것입니다.


②    Port Mirroring 구성
 


[그림45-Nexus 1000V vEthernet]


[그림45]에서 처럼 Nexus 1000V에서 모니터링 하려는 Source Interface와 Destination Interface를 확인 합니다. Nexus 1000V VSM은 vCenter와 연동을 기본으로 하고 있기 때문에 vCenter에서 구성된 네트워크와 관련된 대부분의 정보들을 확인하실 수 있습니다. [그림45]에서 보면 vEthernet Port 정보와 VM의 정보를 쉽게 매핑하여 확인 할 수 있으며, 어떤 Host에 구성되어 있는지를 확인 할 수 있습니다.
[그림45]에서 vEthernet 1번 포트의 VM을 모니터링하여, vEthernet 7번 포트에 연결되어 있는 관리서버 쪽에서 포트를 미러링한다면 아래와 같은 구성으로 간편하게 구성할 수 있습니다.


 

[그림46-Nexus 1000V Port Mirroring 구성]


Port Mirroring 구성은 Cisco NX OS의 SPAN(Switch Port Analyzer) 기능을 통해 구성이 가능합니다.
A.    먼저 [그림46]에서 처럼 monistor session 번호를 지정해 줍니다.
B.    Source Interface는 vEthernet, Vlan, Port-Profile 단위로 지정이 가능합니다.
C.    Source Interface는 Receive, Transmit 또는 양방향 Traffic Copy도 가능합니다.
D.    Destination Interface는 Traffic Copy를 받는 인터페이스를 지정해 줍니다.
E.    마지막으로 no shutdown을 시키면 SPAN이 동작합니다.


 

[그림47-Nexus 1000V Port Mirroring 구성 확인]


Nexus 1000V에서 “show monitor session” 을 통해서 구성된 Source, Destination Interface를 확인할 수 있습니다.


 

[그림48-관리서버에서의 Port Mirroring 확인]


[그림48]은 관리서버, 즉 Destination Interface가 연결된 Server에서 Wireshark를 통해서 Source Interface의 Traffic을 그대로 Copy하여 모니터링 하는 화면입니다.
이렇게 되면 정상적으로 모든 Port Mirroring 구성을 완료합니다.
이러한 Port Mirroring 기능이 필요한 이유는 동일 Host 서버내의 VM 또는 서로 다른 Host 서버간의 VM들의 트래픽 분석이 자주 필요한데 이러한 구성이 매우 어렵기 때문에 많은 고객사에서 요구합니다.
Nexus 1000V는 이러한 기능을 간단하게 구현할 수 있습니다.


나)    ACL 적용하기


①    ACL (Access Control List)


ACL(Access Control List)는 네트워크 스위치 기반에서 Traffic을 제어하는 방법으로 가상화 환경에서 보안을 적용할 수 있는 매우 간편한 방법입니다.
현재 vSwitch에서는 이러한 기능을 지원하지 않으므로, 동일 서버내에서의 VM Traffic 제어가 어렵기 때문에 이러한 기능은 Public Cloud 또는 Private Cloud내에서 서로 다른 목적으로 사용되는 VM간 트래픽 제어를 위해 많이 요구되는 기능입니다.


②    ACL 적용하기


 

[그림49-Nexus 1000V 기반의 ACL 적용 구조]


Nexus 1000V는 [그림49]에서 처럼 동일 Port-Profile 내에서 Traffic 제어를 할 수 있습니다. 기본적으로 Port 기반 ACL이 동작하기 때문에 각 VM별 Traffic 제어가 가능합니다.
vEthernet 또는 ethernet, Port-Profile 기반으로 모두 ACL을 적용할 수 있습니다.
아래는 Port-Profile 기반의 VM별 Traffic 제어의 예입니다. 동일 Port-Profile에 속해 있지만 서로간의 ICMP에 대한 Traffic을 제어하기 위한 구성 방식입니다.


 

[그림50-Nexus 1000V기반의 ACL 정책 구성]


A.    [그림50]에서 처럼 Nexus 1000V VSM에 ACL 정책을 구성합니다.


 

[그림51- Nexus 1000V Port-Profile 기반의 ACL적용]


B.    적용하려는 Port-Profile에 ACL 정책을 적용합니다.
C.    적용 후 동일 Vlan 내부의 ICMP 제어가 되는 것을 확인할 수 있습니다.


 

[그림52 – 동일 IP Segment에서의 Traffic 제어]

 

 

 

 

 

 

 

출처 : http://youngmind.tistory.com/entry/Nexus-1000V를-말한다-7

 

 

 

 

 

 

 

 

 

 

 

 

댓글