SECUI MF2 2100 FW,SSL VPN 동시에 사용시 발생될 수 있는 장애

SECUI MF2 2100 모델에서 FW와 SSL VPN을 동시에 사용 시 발생될 수 있는 장애 대해서 알아보자.

 

 

 

적용 장비 : SECUI MF2 2100 V4.3

적용 OS : SecuiOS V2.0(64bit)

 

장애 발생 구간 사용 Protocol

 - Active - Standby 구성(VRRP)

 - External 포트에 2개의 VIP를 사용(사설 IP, 공인 IP)

 - HA VIP 포트에 대하여 참조 IP 설정하여 모니터링 실시

 

정상 서비스 : FW 정상 동작, SSL VPN 정상 동작

장애 발생 이유

 - External 구간 최상단 포트에 Shutdown 발생

 

장애 증상

 - HA VIP 포트에 설정된 참조 IP로 Ping Loss 발생

 - FW Active - Standby 구성(VRRP)에서 Active - Active 구성으로 오동작

 - 약 7회 정도 테스트해본 결과 장애 증상이 간혈적으로 발생

 - FW  Active - Standby 정상 Failover 동작할 때도 있으나, 정확하지 않음

 - Active - Active 구성으로 오동작시 트래픽이 비동기 전송 방식(Asynchronous)  동작

 

장애 원인

 - External 포트에 2개의 VIP를 사용(사설 IP, 공인 IP)으로 인한 오동작

 - 벤더사 시큐아이(SECUI)에서도 FW와 SSL VPN을 동시에 사용 시 발생될 수 있는 장애는 레퍼런스 없음

 - 위험 리스크를 감소한 구성이 장애 발생의 최종 원인

조치 내역

 - External 포트에 사용 중인 SSL VPN 전용 공인 VIP를 제거 

 - 동일 장애 발생으로 TEST 시 FW Failover 없이 Active 라인으로 정상 서비스

 - External 구간 최상단 포트에 Shutdown 되어도 참조 IP로는 정상 Ping 체크가 가능하기에 Active 라인으로 정상 서비스

 

 

 

 

 

 

 

 

 

※ 참고 자료

 

비동기 전송 방식(Asynchronous)  - 동기 전송 방식(Synchronous) 개념과 차이점

네트워크 쪽에서 async 및 sync는 교환 방식(전송방식)에서 차이를 나타냅니다.
async의 개념을 사용하는 대표적인 예가 ATM이 되겠고요, sync의 개념을
사용하는 대표적인 예가 TDM이 됩니다.

먼저 TDM에 대해서 이야기하면, 잘 알고 계신 것처럼, 시간을 타임 슬롯이라는
동일한 구간으로 나누고 각 타임 슬롯을 특정 포트나 채널에 할당하는 방식이죠.
각 포트나 채널은 자신에게 할당된 타임 슬롯에만 트래픽을 교환/전송할 수
있게 돼서 비효율적이게 됩니다. 즉, 특정 포트나 채널이 트래픽을 보내는 주기가
일정하다는 말이죠. 다시 말하면, 입력 쪽과 출력 쪽이 동기가 맞추어졌다는
말입니다.

반면에 ATM은 자신에게 할당된 타임 슬롯이 존재하지 않습니다. 데이터가 있는
포트나 채널이 빈 타임슬롯이 있으면 사용하게 됩니다. (물론, 여러 포트가
하나의 타임 슬롯을 놓고 경쟁할 수도 있는데, 이럴 경우는 스케줄러가 포트를
선택해 줍니다.) 이처럼 빈 타임슬롯을 사용하게 되니까 효율은 아주 뛰어나게
됩니다. 즉, 각 포트나 채널에 할당된 고정 타임 슬롯이 존재하지 않죠. 따라서,
비동기 방식이라고 합니다.