QoS(서비스 품질)는 예측 가능한 네트워크 동작과 성능을 제공하기 위한 많은 방법을 지칭합니다. VoIP(Voice over IP), 멀티미디어 콘텐츠 또는 업무상 중요한 응용 프로그램(예: 주문 또는 신용 카드 처리) 등의 특정 응용 프로그램 유형에서는 이와 같은 예측 가능성이 반드시 필요합니다. 분량에 상관없이 모든 대역폭은 일정한 시점이 되면 궁극적으로 네트워크에서 해당하는 용량에 사용되므로 이와 같이 예측할 수는 없습니다. 따라서 QoS를 올바르게 구성 및 구현해야 트래픽을 적절하게 관리하고 원하는 수준의 네트워크 서비스를 보장할 수 있습니다.
이 섹션에 포함된 하위 섹션은 다음과 같습니다.
• 분류
• 표시
• 조건
관리해야 하는 트래픽을 식별할 수 있도록 첫 단계로 분류 작업을 수행해야 합니다. SonicOS Enhanced에서는 트래픽 분류 인터페이스로 액세스 규칙을 사용합니다. 따라서 주소 개체, 서비스 개체 및 일정 개체 요소를 조합하여 정밀하게 제어할 수 있으며, 모든 HTTP 트래픽 등의 일반적인 분류 조건과 수요일 오전 2:12 호스트A에서 호스트B로의 SSH 트래픽 등의 구체적인 분류 조건을 모두 사용할 수 있습니다.
Dell SonicWALL NSA 시리즈 어플라이언스의 SonicOS Enhanced에서는 산업 표준 외부 CoS 지정자, DSCP 및 802.1p(802.1p 및 DSCP QoS 참조)를 인식, 매핑, 수정하고 생성하는 기능이 있습니다.
식별 또는 분류된 트래픽은 관리할 수 있습니다. SonicOS의 BWM을 사용하면 내부에서 관리할 수 있습니다. 네트워크가 자체적으로 모든 기능을 포함하는 자치 시스템이라면 이 방식이 매우 효율적입니다. 그러나 구성을 알 수 없는 외부 네트워크 인프라나 대역폭을 경합하는 기타 호스트(예: 인터넷) 같은 외부 요소 또는 중간 요소가 도입되면 이처럼 동작을 예측하고 서비스를 보장하는 기능의 효율성이 떨어집니다. 즉 네트워크 끝점과 그 사이에 있는 모든 요소가 관리 범위 내에 있으면 BWM이 정확히 구성된 대로 작업을 수행하지만 외부 엔터티가 도입되면 BWM 구성의 정밀도와 효력이 저하될 수 있습니다.
SonicOS에서는 이러한 현상을 방지할 수 있습니다. SonicOS Enhanced는 트래픽을 분류한 후 트래픽에 태그를 지정하여 CoS 태그를 따를 수 있는 특정 외부 시스템에 해당 분류를 전달함으로써 이러한 시스템도 QoS 제공 과정에 참가할 수 있도록 합니다.
Note 대부분의 서비스 공급자는 802.1p 또는 DSCP 같은 CoS 태그를 지원하지 않습니다. 또한 표준 구성이 적용된 대부분의 네트워크 장비에서는 802.1p 태그를 인식하지 못하므로 태그가 지정된 트래픽을 삭제할 수 있습니다.
DSCP 때문에 호환성 문제가 발생하지는 않지만 대다수 서비스 공급자는 DSCP 태그를 단순히 스트립하거나 무시하여 코드 포인트를 고려하지 않습니다.
자체 네트워크 또는 서비스 공급자의 네트워크에서 802.1p 또는 DSCP 표시를 사용하려면 먼저 이러한 방법이 지원되도록 설정해야 합니다. 내부 네트워크 장비가 CoS 우선 순위 표시를 지원하며 해당 지원을 제공하도록 올바르게 구성되어 있는지 확인하십시오. 또한 일부 서비스 공급자는 이러한 CoS 방법을 사용한 QoS 지원을 유상 제공하므로, 사용 중인 서비스 공급자에게 먼저 확인하십시오.
분류된 트래픽을 QoS 가능 외부 시스템(예: 프리미엄 서비스 공급자의 인프라 또는 개인 WAN에서 제공될 수 있는 CoS 인식 스위치 또는 라우터)에서 처리하려는 경우 외부 시스템이 분류를 사용하고 올바른 처리 방식 및 PHB(홉당 동작)를 제공할 수 있도록 트래픽에 태그를 지정해야 합니다.
원래는 IP 레이어(레이어 3)에서 RFC791의 세 가지 우선 순위 비트 및 RFC1394 ToS(서비스 유형) 필드를 사용하여 태그를 지정하려고 했지만 그동안 이 필드의 사용자는 총 17명에 불과했습니다. 그 이후 제공된 RFC 2474에는 훨씬 더 실용적이고 폭넓게 사용되는 DSCP(Differentiated Services Code Point)가 도입되어 최대 64개의 분류와 사용자 정의 가능한 클래스가 제공되었습니다. DSCP는 RFC2598(임대 라인 동작을 제공하기 위한 EF(Expedited Forwarding)) 및 RFC2697(클래스 내의 AF(Assured Forwarding) 수준. 골드/실버/브론즈 수준이라고도 함)을 통해 더욱 향상되었습니다.
비호환성 문제가 발생할 위험이 없는 DSCP는 공용 네트워크를 통과하는 트래픽에 안전한 표시 방법입니다. 최악의 경우 경로를 통과하는 홉이 DSCP 태그를 무시하거나 스트립할 수도 있지만 패킷이 잘못 처리되거나 삭제되는 경우는 거의 없습니다.
역시 많이 사용되는 또 다른 CoS 표시 방법은 IEEE 802.1p입니다. 802.1p는 MAC 레이어(레이어 2)에서 적용되며 IEEE 802.1Q VLAN 표시와 밀접하게 관련(같은 16비트 필드 공유)되어 있지만 실제로는 IEEE 802.1D 표준에서 정의됩니다. DSCP와 달리 802.1p는 802.1p 가능 장비에서만 작동하며, 공통적으로 상호 운용할 수는 없습니다. 또한 802.1p는 패킷 구조가 다르기 때문에 거의 WAN(Wide Area Network)을 통과할 수 없습니다(개인 WAN 포함). 그러나 802.1p는 음성 및 Voice over IP 공급업체에서 널리 지원되고 있으며 WAN 링크처럼 네트워크 경계에서 802.1p를 지원하는 솔루션이 802.1p-DSCP 매핑의 형식으로 도입되었습니다.
802.1p-DSCP 매핑을 사용하는 경우 SonicOS Enhanced에서 특정 LAN의 802.1p 태그를 DSCP 값으로 매핑할 수 있으므로 패킷이 WAN 링크를 안전하게 통과할 수 있습니다. 패킷이 VPN 또는 WAN의 반대쪽에 도달하면 수신 SonicOS Enhanced 어플라이언스가 DSCP 태그를 802.1p 태그로 다시 매핑하여 해당 LAN에서 사용할 수 있습니다. 자세한 내용은 802.1p 및 DSCP QoS를 참조하십시오.
사용 가능한 여러 정책 지정, 큐 및 구성 방법을 이용하여 트래픽 조건을 지정(관리)할 수 있습니다. SonicOS에서는 수신/발신 BWM(대역폭 관리)을 통해 내부 조건 기능을 제공합니다(자세한 내용은 대역폭 관리 참조). SonicOS의 BWM은 대역폭이 충분한 완전 자치 개인 네트워크에는 매우 효율적인 솔루션이지만 알 수 없는 외부 네트워크 요소가 도입되고 대역폭이 경합하면 효율성이 다소 낮아질 수 있습니다. 경합 문제에 대한 설명은 예제 시나리오를 참조하십시오.
QoS 가능 네트워크를 통한 사이트 투 사이트 VPN
두 끝점 간의 네트워크 경로에서 QoS가 인식되면 SonicOS는 내부 캡슐화 패킷이 터널 반대쪽에서 올바르게 해석되도록 해당 패킷에 DSCP 태그를 지정할 수 있으며, 외부 ESP 캡슐화 패킷의 클래스가 전송 네트워크의 각 홉에서 해석 및 적용될 수 있도록 해당 패킷에도 DSCP 태그를 지정할 수 있습니다. SonicOS는 내부 네트워크에서 만들어진 802.1p 태그가 전송 네트워크를 안전하게 통과하도록 해당 태그를 DSCP 태그에 매핑할 수 있습니다. 그러면 패킷이 반대쪽에서 수신될 때 수신 Dell SonicWALL 어플라이언스가 해당 내부 네트워크에서 해석 및 적용할 수 있도록 DSCP 태그를 802.1p 태그로 다시 변환할 수 있습니다.
공용 네트워크를 통한 사이트 투 사이트 VPN
SonicOS에 통합된 BWM은 VPN으로 연결된 네트워크 간의 트래픽을 관리하는 데 매우 효율적입니다. 수신/발신 트래픽을 두 끝점에서 모두 분류 및 제어할 수 있기 때문입니다. 끝점 간의 네트워크는 QoS가 인식되지 않으면 모든 VPN ESP를 동일하게 간주 및 취급합니다. 일반적으로 이러한 중간 네트워크나 해당 경로를 제어하는 방법은 없으므로 QoS를 완전히 보장하기 어렵지만 BWM을 사용하면 동작을 더 쉽게 예측할 수 있습니다.
종단 간 QoS를 제공하기 위해 IP 네트워크에서 트래픽 조건 서비스를 제공하는 기업 대상 서비스 공급자가 갈수록 증가하고 있습니다. 이러한 서비스는 일반적으로 고객 프레미스 장비를 사용하여 트래픽을 분류하고 태그를 지정하며, 보통 DSCP 같은 표준 표시 방법을 사용합니다. SonicOS Enhanced에서는 분류 후 트래픽에 DSCP 표시를 사용할 수 있을 뿐만 아니라, 802.1p 태그를 DSCP 태그로 매핑하여 외부 네트워크를 통과하고 CoS를 보존할 수 있습니다. VPN 트래픽에서 SonicOS는 내부(페이로드) 패킷과 외부(캡슐화) 패킷에도 DSCP 표시를 사용할 수 있으므로 QoS 가능 서비스 공급자가 암호화된 VPN 트래픽에서도 QoS를 제공할 수 있습니다.
서비스 공급자가 실제로 적용하는 조건은 공급자별로 다를 수 있지만 일반적으로 트래픽 우선 순위를 지정하기 위한 가중 공평 큐(Weighted Fair Queuing) 등의 클래스 기반 큐 방법과 후행 자르기, 무작위 조기 탐지(Random Early Detection) 등의 혼잡 방지 방법이 사용됩니다.
다음 섹션에서는 802.1p 표준 및 DSCP QoS를 자세히 설명합니다. 이러한 기능은 Dell SonicWALL NSA 210 어플라이언스를 제외한 Dell SonicWALL NSA 플랫폼에서 지원됩니다.
SonicOS Enhanced에서는 QoS 사용 가능 환경에 참가하는 외부 시스템과 폭넓게 상호 운용할 수 있도록 레이어 2/레이어 3 CoS 방법을 지원합니다. 레이어 2 방법은 IEEE 802.1p 표준으로, 다음 그림과 같이 이더넷 프레임 헤더에 삽입되는 추가 16비트 중 3비트를 사용하여 프레임 우선 순위를 지정할 수 있는 방법입니다.
.
• TPID: 태그 프로토콜 식별자는 6바이트 지정 필드 및 소스 필드 뒤 바이트 12에서 시작되고 길이는 2바이트이며, 태그가 지정된 트래픽의 경우 이더넷 형식이 0x8100입니다.
• 802.1p: TCI(태그 제어 정보 - 14바이트에서 시작, 길이는 2바이트)의 첫 3비트가 사용자 우선 순위를 정의하며 우선 순위 수준이 8개(2^3)제공됩니다. IEEE 802.1p는 이러한 세 사용자 우선 순위 비트에 대한 작업을 정의합니다.
• CFI: Canonical Format Indicator의 약어로, 단일 비트 플래그이며 이더넷 스위치의 경우 항상 0으로 설정됩니다. CFI는 이더넷 네트워크와 토큰 링 네트워크 간의 호환성을 유지하는 데 사용됩니다. 이더넷 포트에서 수신된 프레임의 CFI가 1로 설정되어 있으면 태그가 지정되지 않은 포트이므로 해당 프레임을 전달하면 안 됩니다.
• VLAN ID: 바이트 14의 비트 5에서 시작되는 VLAN ID를 통해 VLAN을 식별합니다. VLAN ID는 12비트 길이이며 고유 VLAN ID를 4,096개(2^12)개 식별하는 데 사용할 수 있습니다. 식별 가능한 4,096개 ID 중에서 ID 0은 우선 순위 프레임을 식별하는 데 사용되고 ID 4,095(FFF)는 예약되므로 사용 가능한 최대 VLAN 구성은 4,094개입니다.
802.1p를 지원하려면 먼저 802.1p 태그를 처리하려는 인터페이스에서 802.1p 표시를 사용하도록 설정합니다. 모든 Dell SonicWALL 어플라이언스의 모든 이더넷 인터페이스에서 802.1p를 사용하도록 설정할 수 있습니다.
이러한 태그 내의 802.1p 필드 동작은 액세스 규칙을 통해 제어할 수 있습니다. 기본 802.1p 액세스 규칙 작업인 없음을 선택하면 달리 구성하지 않는 한 기존 802.1p 태그가 0으로 재설정됩니다. 자세한 내용은 QoS 표시 관리를 참조하십시오.
802.1p 표시를 사용하도록 설정하면 대상 인터페이스가 802.1p 가능 네트워크 장치에서 생성된 수신 802.1p 태그를 인식할 수 있으며, 액세스 규칙에 따라 제어되는 802.1p 태그를 생성할 수도 있습니다. SonicOS에서 삽입한 802.1p 태그가 포함된 프레임의 VLAN ID는 0이 됩니다.
802.1p 태그는 액세스 규칙에 따라서만 삽입되므로 인터페이스에서 802.1p 표시를 사용하도록 설정해도 기본 설정을 적용하면 802.1p 불가 장치와의 통신이 중단되지 않습니다.
802.1p를 사용하려면 이 우선 순위 지정 방법을 사용하려는 네트워킹 장치에서 특정 기능을 지원해야 합니다. 많은 음성/Voice over IP 장치에서 802.1p를 지원하는데 이 기능을 사용하도록 설정해야 합니다. 802.1p의 지원 여부가 확실하지 않으면 장비 설명서에서 해당 정보를 참조하십시오. 마찬가지로 많은 서버/호스트 네트워크 카드(NIC)에도 802.1p 지원 기능이 있지만 이 기능은 보통 기본적으로 사용하지 않도록 설정됩니다. Win32 운영 체제에서는 네트워크 카드 속성 페이지의 고급 탭에서 802.1p 설정을 확인하고 구성할 수 있습니다. 카드에서 802.1p를 지원하는 경우 802.1p QoS, 802.1p 지원, QoS 패킷 태깅 등이 표시됩니다.
802.1p 태그를 처리하려면 이 기능이 제공되어야 하고 네트워크 인터페이스에서 사용하도록 설정되어 있어야 합니다. 그러면 네트워크 인터페이스가 QoS 가능 응용 프로그램에서 지정하는 대로 802.1p 태그가 설정된 패킷을 생성할 수 있습니다. 일반적인 네트워크 통신에서는 기본적으로 태그가 삽입되지 않으므로 802.1p 불가 장치와의 호환성이 유지됩니다.
Note 802.1p를 지원하지 않는 네트워크 인터페이스는 802.1p 태그가 지정된 트래픽을 처리하지 못하므로 무시합니다. 802.1p 표시를 사용하도록 설정하는 액세스 규칙을 정의할 때는 대상 장치에서 802.1p를 사용할 수 있는지 확인하십시오.
또한 진단 도구 Ethereal을 사용하는 등의 방법으로 802.1p 가능 장치에서 패킷 캡처를 수행할 때 일부 802.1p 가능 장치는 패킷 캡처에 802.1p 헤더를 표시하지 않습니다. 반대로 802.1p 불가 장치에서 패킷 캡처를 수행할 때는 거의 대부분 헤더가 표시되지만 호스트는 패킷을 처리할 수 없습니다.
QoS 표시 관리로 진행하기 전에 'DSCP 표시'를 소개하고 넘어가겠습니다. 두 표시 방법은 상호 종속될 수 있으므로, 해당 상호 종속성과 상호 종속성이 적용되는 이유에 대해 설명하겠습니다.
위의 시나리오에서는 원격 사이트 1이 IPsec VPN을 통해 '기본 사이트'에 연결되어 있습니다. 회사에서는 내부 802.1p/DSCP 가능 VoIP 전화 시스템을 사용하고 기본 사이트에서는 개인 VoIP 신호 서버가 호스팅됩니다. 기본 사이트에서는 기가비트/고속 이더넷이 혼합된 인프라가 사용되고 원격 사이트 1에서는 고속 이더넷만 사용됩니다. 두 사이트에서는 모두 802.1p 가능 스위치를 사용하여 내부 트래픽의 우선 순위를 지정합니다.
1. 원격 사이트 1의 PC-1은 23TB의 PowerPoint™ 프레젠테이션을 파일 서버 1로 전송하며, 작업 그룹 스위치와 업스트림 스위치 간의 100mbit 링크는 완전히 포화된 상태입니다.
2. : 기본 사이트에서 802.1p/DSCP 가능 VoIP 전화 10.50.165.200의 발신자가 VoIP 전화 192.168.168.200 사용자에게 전화를 겁니다. 전화를 거는 VoIP 전화의 802.1p는 우선 순위 태그 6(음성)을 사용하여 트래픽에 태그를 지정하고 DSCP에서는 트래픽에 태그 48을 지정합니다.
a. 코어 스위치와 방화벽 간의 링크가 VLAN인 경우 일부 스위치는 수신된 802.1p 우선 순위 태그와 DSCP 태그를 방화벽으로 전송되는 패킷에 포함합니다. 스위치별로 다른 이 동작은 구성 가능한 경우가 많습니다.
b. 코어 스위치와 방화벽 간의 링크가 VLAN이 아니면 스위치는 802.1p 우선 순위 태그를 포함할 수 없습니다. 그러면 802.1p 우선 순위가 제거되고 DSCP 태그만 포함하는 패킷이 방화벽으로 전달됩니다.
방화벽은 VPN/WAN 링크를 통해 패킷을 전송할 때 DSCP 태그를 패킷에 포함할 수 있지만 802.1p 태그는 포함할 수 없습니다. 따라서 VoIP 트래픽에 대한 우선 순위 지정 정보가 모두 손실될 수 있습니다. 패킷이 원격 사이트에 도달할 때 스위치에는 트래픽 우선 순위를 지정하는 데 사용할 802.1p MAC 레이어 정보가 없기 때문입니다. 링크가 포화 상태이므로 원격 사이트 스위치는 VoIP 트래픽을 우선 순위가 낮은 파일 전송과 동일하게 처리합니다. 이 때문에 VoIP 흐름에 지연 현상이 발생하여 패킷이 삭제될 수도 있어 결과적으로 통화 품질이 떨어집니다.
이 시나리오에서 기본 사이트 LAN의 중요 802.1p 우선 순위 정보를 원격 사이트 LAN의 VPN/WAN 링크에서도 그대로 유지해야 합니다. 이렇게 하려면 QoS 매핑을 사용하면 됩니다.
QoS 매핑은 레이어 2 802.1p 태그를 레이어 3 DSCP 태그로 변환하여 해당 태그가 802.1p 불가 링크를 매핑된 형식으로 안전하게 통과할 수 있도록 합니다. 패킷이 배달을 위해 다음 802.1p 가능 세그먼트에 도달하면 QoS 매핑이 레이어 2 QoS를 적용할 수 있도록 DSCP 태그를 다시 802.1p 태그로 변환합니다.
앞에서 살펴본 시나리오에서는 기본 사이트의 방화벽이 DSCP 태그(예: 값 48)를 VoIP 패킷과 캡슐화 ESP 패킷에 모두 할당하므로 WAN에서 레이어 3 QoS를 적용할 수 있습니다. 이 할당 작업은 기존 DSCP 태그를 보존하거나 802.1p 태그 값(있는 경우)을 매핑하는 방식으로 수행할 수 있습니다. VoIP 패킷이 링크 반대쪽에 도달하면 수신 Dell SonicWALL이 매핑 프로세스를 반대로 수행하여 DSCP 태그를 802.1p 태그에 다시 매핑합니다.
3. 원격 사이트의 수신 Dell SonicWALL은 DSCP 태그 범위 48~55를 802.1p 태그 6으로 매핑하도록 구성되어 있습니다. 즉 Dell SonicWALL에서 나가는 패킷은 802.1p 태그 6을 포함하게 됩니다. 스위치는 이 패킷을 음성 트래픽으로 인식하여 파일 전송보다 높은 우선 순위를 지정하므로 링크가 포화 상태여도 QoS가 보장됩니다.
DSCP(Differentiated Services Code Point) 표시는 IP 헤더의 8비트 ToS 필드 중 6비트를 사용하여 트래픽에 대해 최대 64개의 클래스(코드 포인트)를 제공합니다. DSCP는 레이어 3 표시 방법이므로 802.1p 표시와 달리 호환성 관련 문제가 발생하지 않습니다. DSCP를 지원하지 않는 장치는 단순히 태그를 무시하거나 최악의 경우 태그 값을 0으로 재설정합니다.
위 다이어그램에는 헤더의 ToS 부분이 자세하게 표시된 IP 패킷이 나와 있습니다. ToS 비트는 원래 우선 순위 및 ToS(지연, 처리량, 안정성, 비용)를 설정하는 데 사용되었지만 이후 RFC2474에서 용도가 변경되어 보다 폭넓게 DSCP 설정을 사용할 수 있습니다.
다음 표에는 일반적으로 사용되는 코드 포인트와 여기에 해당하는 레거시 우선 순위 및 ToS 설정이 나와 있습니다.
|
모든 인터페이스 및 영역 유형 간의 트래픽에 대해 DSCP 표시를 수행할 수 있습니다(예외 없음). DSCP 표시는 QoS 탭에서 액세스 규칙을 통해 제어할 수 있으며 802.1p 표시 및 SonicOS의 내부 대역폭 관리와 함께 사용할 수 있습니다.
DSCP 표시 및 혼합 VPN 트래픽
IPsec VPN은 여러 보안 기능과 특성 중에서 ESP 헤더에 추가되는 단조 방식 증가 시퀀스 번호를 기준으로 재생 방지 메커니즘을 적용합니다. 시퀀스 번호가 중복되는 패킷 및 시퀀스 조건을 따르지 않는 패킷은 삭제됩니다. 이러한 조건 중 하나를 통해 비순차적 패킷 처리를 관리합니다. SonicOS Enhanced에서는 64개 패킷 재생 기간이 제공됩니다. 즉 SA(보안 연결)의 ESP 패킷이 64개 패킷에 해당하는 기간보다 오랫동안 지연되면 삭제됩니다.
DSCP 표시를 사용하여 VPN을 통과하는 트래픽에 레이어 3 QoS를 제공할 때는 이 점을 고려해야 합니다. VPN 터널에서 여러 트래픽을 전송할 때, 즉 일부는 DSCP 태그가 지정된 높은 우선 순위의 패킷(예: VoIP)을 전송하고 일부는 DSCP 태그가 지정된 낮은 우선 순위의 패킷 또는 태그 미지정/최상의 노력 패킷(예: FTP)을 전송하는 경우, 서비스 공급자는 최상의 노력 ESP 패킷보다 우선 순위가 높은 ESP 패킷의 처리 및 배달을 우선 처리합니다. 이 때문에 특정 트래픽 상황에서 최상의 노력 패킷이 64개 패킷에 해당하는 기간보다 오래 지연되어 수신 Dell SonicWALL의 재생 방지 방어 기능에서 삭제될 수 있습니다.
우선 순위가 낮은 트래픽이 과도하게 재전송되는 등 이러한 시나리오와 같은 현상이 발생하는 경우 우선 순위가 높은 트래픽과 낮은 트래픽 클래스에 별도의 VPN 정책을 만드는 것이 좋습니다. 이렇게 하는 가장 쉬운 방법은 VoIP 네트워크 등의 우선 순위가 높은 호스트를 자체 서브넷에 배치하는 것입니다.
802.1p CoS 4용으로 구성 – 제어된 로드
DSCP 태그 15의 인바운드 매핑을 기본 802.1p 매핑 1에서 802.1p 매핑 2로 변경하려는 경우에 매핑 범위는 겹칠 수 없으므로 두 단계를 수행해야 합니다. 겹치는 매핑을 할당하려고 하면 DSCP 범위가 이미 존재하거나 다른 범위와 겹칩니다.라는 오류가 발생합니다. 이 경우 먼저 802.1p CoS 1의 현재 종료 범위 매핑에서 15를 제거합니다(종료 범위 802.1p CoS 1을 DSCP 14로 변경). 그런 다음 DSCP 15를 802.1p CoS 2의 시작 범위 매핑에 할당하면 됩니다.
QoS 매핑
QoS 매핑은 기본적으로 802.1p 태그가 WAN 링크 등의 802.1p 비호환 링크에서도 유지되도록 하는 데 사용됩니다. 이렇게 하기 위해 WAN 링크로 패킷을 전송하기 전에 802.1p 태그를 해당하는 DSCP 태그로 매핑한 다음, 패킷이 반대쪽에 도달하면 다시 DSCP에서 802.1p로 매핑합니다.
Note 액세스 규칙의 QoS 탭에서 작업으로 맵을 할당해야 매핑이 수행됩니다. 매핑 테이블에서는 액세스 규칙의 맵 작업을 통해 적용되는 대응만 정의됩니다.
예를 들어 기본 테이블에 따르면 값이 2인 802.1p 태그는 DSCP 값 16에 아웃바운드 매핑되고 DSCP 태그 43은 802.1 값 5에 인바운드 매핑됩니다.
이러한 각 매핑은 재구성할 수 있습니다. 802.1p 태그 4의 아웃바운드 매핑을 기본 DSCP 값인 32에서 DSCP 값 43으로 변경하려면 4 - 제어된 로드의 구성 아이콘을 클릭하고 드롭다운 상자에서 새 대상 DSCP 값을 선택하면 됩니다.
QoS 설정 다시 설정 단추를 클릭하여 기본 매핑을 복원할 수 있습니다.
관리 인터페이스의 방화벽 > 액세스 규칙 페이지에 있는 액세스 규칙의 QoS 탭에서 QoS 표시를 구성합니다. SonicOS Enhanced 액세스 규칙을 통해 관리되는 802.1p 및 DSCP 표시에는 모두 없음, 보존, 명시적 또는 맵의 4개 작업이 제공됩니다. DSCP의 기본 작업은 보존이고 802.1p의 기본 작업은 없음입니다.
다음 표에는 두 표시 방법에서 제공되는 각 작업에 대한 설명이 나와 있습니다.
|
예제는 양방향 DSCP 태그 작업이 나와 있는 다음 그림을 참조하십시오.
웹 브라우저(192.168.168.100)에서 웹 서버(10.50.165.2)로 HTTP 액세스가 수행되면 내부(페이로드) 패킷 및 외부(캡슐화 ESP) 패킷에 DSCP 값이 8인 태그가 지정됩니다. 터널 반대쪽에서 생성되어 10.50.165.2로 배달되는 패킷에는 DSCP 태그 8이 지정됩니다. 10.50.165.2에서 터널을 통해 응답 패킷을 192.168.168.100으로 다시 보내면(첫 번째 SYN/ACK 패킷부터 시작) 액세스 규칙은 192.168.168.100으로 배달되는 응답 패킷에 DSCP 값 8을 지정합니다.
이 동작은 DSCP 및 802.1p 표시에 대한 네 가지 QoS 작업 설정에 모두 적용됩니다.
이 동작을 실제로 적용하는 방법 중 하나는 VPN 영역을 대상으로 하는 트래픽에 대해 802.1p 표시 규칙을 구성하는 것입니다. 802.1p 태그는 VPN을 통해 전송할 수 없지만 VPN을 통해 돌아오는 회신 패킷의 경우 터널에서 발신 시 802.1p 태그를 지정할 수 있습니다. 이렇게 하려면 물리적 발신 인터페이스에서 802.1p 태그 지정이 활성화된 상태이고, [영역] > VPN 액세스 규칙의 802.1p 표시 작업이 없음으로 지정되어 있지 않아야 합니다.
관련 네트워크 장치와 802.1p의 호환성을 확인하고 해당하는 Dell SonicWALL 인터페이스에서 802.1p 표시를 사용하도록 설정한 후 802.1p 태그를 관리하도록 액세스 규칙을 구성할 수 있습니다.
다음 그림을 참조하면 원격 사이트 1 네트워크에 다음과 같이 구성된 액세스 규칙 두 개를 포함할 수 있습니다.
| ||||||||||||||||||||||||||||||||||||||||||||||||
첫 번째 액세스 규칙(LAN > VPN 관리)은 다음과 같이 적용됩니다.
• : VPN을 통해 기본 사이트 서브넷으로 전송되는 LAN 기본 서브넷의 VoIP 트래픽(서비스 그룹에서 정의됨)의 경우 DSCP 및 802.1p 태그를 모두 평가합니다.
– : DSCP 및 802.1p 표시 작업을 모두 맵으로 설정하는 조합은 앞부분의 QoS 표시 관리에 수록된 표에 설명되어 있습니다.
– 802.1p 태그(CoS = 6)만 포함하는 전송된 트래픽의 경우 VPN 바인딩 내부(페이로드) 패킷 DSCP 태그가 지정됩니다(값 48). 외부(ESP) 패킷도 값 48로 태그가 지정됩니다.
– 반환된 트래픽이 기본 사이트의 Dell SonicWALL에 의해 DSCP 태그(CoS = 48)가 지정되었다고 가정하면 반환 트래픽은 송신 시 802.1p 태그가 지정됩니다(CoS = 6).
– DSCP 태그(CoS = 48)만 포함하는 전송된 트래픽의 경우 내/외부 패킷에서 모두 DSCP 값이 보존됩니다.
– 반환된 트래픽이 기본 사이트의 Dell SonicWALL에 의해 DSCP 태그(CoS = 48)가 지정되었다고 가정하면 반환 트래픽은 송신 시 802.1p 태그가 지정됩니다(CoS = 6).
– 802.1p 태그(CoS = 6) 및 DSCP 태그(CoS = 63)를 모두 포함하는 전송된 트래픽의 경우 802.1p 태그가 우선 지정되며, 그에 따라 매핑됩니다. VPN 바인딩 내부(페이로드) 패킷에는 DSCP 태그가 지정됩니다(값 48). 외부(ESP) 패킷도 값 48로 태그가 지정됩니다.
반환된 트래픽이 기본 사이트의 Dell SonicWALL에 의해 DSCP 태그(CoS = 48)가 지정되었다고 가정하면 반환 트래픽은 송신 시 802.1p 태그가 지정됩니다(CoS = 6).
두 번째 액세스 규칙(VPN > LAN)의 영향을 확인하기 위해 기본 사이트에 구성된 액세스 규칙을 살펴보겠습니다.
| ||||||||||||||||||||||||||||||||||||||||||||||||
원격 사이트 1 서브넷에서 VPN을 통해 기본 사이트의 LAN 영역에 있는 LAN 서브넷에 도달하는 VoIP 트래픽(서비스 그룹에서 정의됨)의 경우 인바운드 VoIP 호출에 대한 액세스 규칙이 적용됩니다. VPN 영역에 도달하는 트래픽에는 802.1p 태그가 없고 DSCP 태그만 있습니다.
– 터널에서 나가는 DSCP 태그(CoS = 48)가 포함된 트래픽의 경우 DSCP 값이 보존됩니다. 또한 패킷은 LAN의 목적지로 배달되기 전에 기본 사이트의 Dell SonicWALL에서 QoS 매핑 설정에 따라 802.1p 태그(CoS = 6)가 지정됩니다.
– : 반환된 트래픽이 기본 사이트에서 전화를 받는 VoIP 전화에 의해 802.1p 태그(CoS = 6)가 지정되었다고 가정하면 반환 트래픽은 VPN을 통해 다시 전송되는 내/외부 패킷에서 모두 변환 맵에 따라 DSCP 태그(CoS = 48)가 지정됩니다.
– 반환된 트래픽이 기본 사이트에서 전화를 받는 VoIP 전화에 의해 DSCP 태그(CoS = 48)가 지정되었다고 가정하면 VPN을 통해 다시 전송되는 내/외부 패킷에서 모두 반환 트래픽의 DSCP 태그가 보존됩니다.
– : 반환된 트래픽이 기본 사이트에서 전화를 받는 VoIP 전화에 의해 802.1p 태그(CoS = 6)와 DSCP 태그(CoS = 14)가 모두 지정되었다고 가정하면 반환 트래픽은 VPN을 통해 다시 전송되는 내/외부 패킷에서 모두 변환 맵에 따라 DSCP 태그(CoS = 48)가 지정됩니다.
BWM(대역폭 관리)에 대한 자세한 내용은 대역폭 관리 개요를 참조하십시오.
• 802.1p – IEEE 802.1p는 레이어 2(MAC 레이어) 서비스 클래스 메커니즘으로, 802.1q 헤더의 추가 16비트 내에 있는 세 가지 우선 순위 비트(총 8개 우선 순위 수준)를 사용하여 패킷에 태그를 지정합니다. 802.1p 처리 시에는 태그를 생성, 인식하고 처리하기 위한 호환 장비가 필요합니다. 또한 호환 네트워크에서만 해당 처리를 수행할 수 있습니다. 802.1p는 Dell SonicWALL NSA 플랫폼에서 지원됩니다.
• BWM(대역폭 관리) - 트래픽을 구성하거나 제어하는 데 사용되는 다양한 알고리즘 또는 방법을 총칭하는 명칭입니다. 여기서 구성은 아웃바운드 트래픽을 지칭하고, 제어는 인바운드 트래픽을 지칭하는 경우가 많습니다(허용 제어라고도 함). 다양한 큐 및 취소 기술을 비롯해 여러 가지 대역폭 관리 방법이 있으며, 각 방법에는 설계상의 장점이 있습니다. Dell SonicWALL에서는 인바운드/아웃바운드 BWM용 토큰 기반 클래스 기반 큐 방법과 특정 유형의 인바운드 트래픽용 취소 메커니즘을 동시에 사용합니다.
• CoS(서비스 클래스) – 분류 후 트래픽에 적용되는 레이어 2 또는 레이어 3 태그와 같은 지정자/식별자입니다. CoS 정보는 QoS(서비스 품질) 시스템에서 네트워크의 각 트래픽 클래스를 구분하고 QoS 시스템 관리자가 정의한 특수 처리 기능(예: 우선 순위가 지정된 큐, 낮은 대기 시간 등)을 제공하는 데 사용됩니다.
• 분류 – 특정 트래픽 유형/클래스를 식별 또는 구분하는 작업입니다. QoS 컨텍스트에서는 지연, 대기 시간 또는 패킷 손실에 대한 트래픽 민감도를 기준으로 사용자 지정된 처리 방법(보통 우선 순위 지정 또는 우선 순위 지정 해제)을 제공하기 위해 분류를 수행합니다. SonicOS Enhanced 내의 분류는 액세스 규칙을 사용하며 출발지 영역, 목적지 영역, 출발지 주소 개체, 목적지 주소 개체, 서비스 개체, 일정 개체 등의 요소 중 일부 또는 전부를 기준으로 수행될 수 있습니다.
• 코드 포인트 – 호스트 또는 중간 네트워크 장치가 IP 패킷의 DSCP 부분에 표시하거나 태그로 지정하는 값입니다. 현재 사용 가능한 코드 포인트는 0~63의 64개이며, 태그가 지정된 트래픽의 오름차순으로 우선 순위가 지정된 클래스를 정의하는 데 사용됩니다.
• 조건 – 네트워크 트래픽에 서비스 품질을 제공하는 여러 방법을 설명하는 데 사용되는 광범위한 용어입니다. 여기에는 삭제, 큐, 감시, 구성 등의 다양한 방법이 포함됩니다.
• DiffServ – Differentiated Services의 약어로, 요구 사항을 기준으로 적절하게 조정된 트래픽 처리 방법을 제공하기 위해 IP 네트워크에서 각 트래픽 유형이나 클래스를 구분하는 표준입니다. DiffServ는 기본적으로 IP 패킷의 ToS 헤더에 표시된 코드 포인트 값을 사용하여 각 트래픽 클래스를 구분합니다. DiffServ 서비스 수준은 표시된 트래픽이 통과하는 각 라우터 또는 기타 DiffServ 사용 네트워크 장치에서 홉별로 실행됩니다. 현재 DiffServ 서비스 수준에는 최소한 기본값, AF(Assured Forwarding) 및 EF(Expedited Forwarding)가 포함됩니다. DiffServ는 Dell SonicWALL NSA 플랫폼에서 지원됩니다. 자세한 내용은 DSCP 표시를 참조하십시오.
• 삭제 – 네트워크에서 혼잡이 발생할 수 있는 시기를 예측하고 한계 초과 트래픽을 삭제하는 방법으로 혼잡을 방지하기 위해 QoS 시스템에서 사용하는 혼잡 방지 메커니즘입니다. 삭제는 큐가 가득 차는 상황도 방지하므로 큐 관리 알고리즘으로도 생각할 수 있습니다. 고급 삭제 메커니즘은 중요한 트래픽 삭제를 방지하기 위해 CoS 표시를 따릅니다. 일반적으로 사용되는 방법은 다음과 같습니다.
– 후행 자르기 – 가득 찬 큐를 처리하는 임의 방법으로, 큐로 들어오는 마지막 패킷이 CoS 표시에 관계없이 삭제됩니다.
– RED(Random Early Detection, 무작위 조기 탐지) – RED는 큐 상태를 모니터링하여 큐가 가득 차는 시기를 예상합니다. 그런 다음 패킷을 지그재그형으로 임의 삭제하여 전역 동기화 가능성을 최소화합니다. 후행 자르기 등의 기본 RED 구현에서는 CoS 표시를 고려하지 않습니다.
– WRED(Weighted Random Early Detection, 가중 무작위 조기 탐지) – 삭제 결정 프로세스에서 DSCP 표시를 고려하는 RED 구현입니다.
• DSCP – Differentiate Services Code Points의 약어로, RFC2747에 설명된 대로 IP 헤더의 ToS 필드 용도를 변경하는 것입니다. DSCP에서는 64개 코드 포인트 값을 사용하여 DiffServ(Differentiated Services)를 사용하도록 설정합니다. 이처럼 해당 클래스에 따라 트래픽을 표시하면 네트워크의 모든 홉에서 각 패킷을 적절하게 처리할 수 있습니다.
• 전역 동기화 – 가득 찬 큐를 처리하기 위한 혼잡 방지 방법인 삭제의 잠재적 부작용입니다. 후행 자르기에서처럼 혼잡한 링크를 통과하는 여러 TCP 흐름이 동시에 삭제되는 경우 전역 동기화가 발생합니다. 이러한 각 흐름에 대해 기본 TCP 느린 시작 메커니즘이 거의 동시에 시작되면 흐름 때문에 또다시 링크에서 서비스 장애가 발생합니다. 그러면 혼잡과 사용률 저하 현상이 주기적으로 반복됩니다.
• 보장된 대역폭 – 인터페이스에서 사용 가능한 총 대역폭 중 항상 특정 트래픽 클래스에 부여되는 선언된 대역폭의 백분율입니다. 인바운드 BWM과 아웃바운드 BWM에 모두 적용됩니다. 모든 BWM 규칙의 보장된 총 대역폭은 사용 가능한 총 대역폭의 100%를 초과할 수 없습니다. SonicOS Enhanced 5.0 이상에서는 대역폭 관리 기능이 개선되어 속도 제한 기능이 제공됩니다. 이제 레이어 2, 3, 4 네트워크 트래픽의 최대 속도를 지정하는 트래픽 정책을 만들 수 있습니다. 그러면 기본 WAN 링크가 보조 연결로 장애 조치(failover)되었는데 해당 연결이 기본 링크만큼 트래픽을 처리할 수 없는 경우 대역폭 관리를 사용할 수 있습니다. 보장된 대역폭을 0%로 설정할 수도 있습니다.
• 인바운드(수신/IBWM) – 트래픽이 특정 인터페이스로 들어오는 속도를 구성하는 기능입니다. TCP 트래픽은 발신 승인(ACK)을 지연시켜서 보낸 사람이 속도를 낮추도록 해 수신 흐름의 속도를 조정할 수 있는 경우 실제로 구성할 수 있습니다. UDP에는 기본 피드백 컨트롤이 없으므로 UDP 트래픽에는 취소 메커니즘이 사용됩니다.
• IntServ – RFC1633에서 정의하는 통합 서비스(Integrated Services)입니다. DiffServ의 대체 CoS 시스템인 IntServ는 각 장치가 트래픽을 전송하기 전에 해당 네트워크 요구 사항을 요청하거나 예약하도록 한다는 점에서 DiffServ와 근본적으로 다릅니다. 이렇게 하려면 네트워크의 각 홉이 IntServ를 인식해야 할 뿐만 아니라 모든 흐름의 상태 정보를 유지 관리해야 합니다. SonicOS에서는 IntServ가 지원되지 않습니다. 가장 일반적인 IntServ 구현은 RSVP입니다.
• 최대 대역폭 – 인터페이스에서 사용 가능한 총 대역폭 중 특정 트래픽 클래스에 허용되는 최대 대역폭을 정의하는 선언된 대역폭의 백분율입니다. 인바운드 BWM과 아웃바운드 BWM에 모두 적용됩니다. 대역폭 속도 제한을 지정하는 제한 메커니즘으로 사용됩니다. 대역폭 관리 기능이 개선되어 속도 제한 기능이 제공됩니다. 이제 레이어 2, 3, 4 네트워크 트래픽의 최대 속도를 지정하는 트래픽 정책을 만들 수 있습니다. 그러면 기본 WAN 링크가 보조 연결로 장애 조치(failover)되었는데 해당 연결이 기본 링크만큼 트래픽을 처리할 수 없는 경우 대역폭 관리를 사용할 수 있습니다. 최대 대역폭을 0%로 설정할 수 있는데, 그러면 모든 트래픽이 차단됩니다.
• 아웃바운드(송신/OBWM) – 트래픽이 인터페이스에서 나가는 속도의 조건을 지정합니다. 아웃바운드 BWM은 8가지 우선 순위 큐가 포함된 크레딧(토큰) 기반 큐 시스템을 사용하여 액세스 규칙에 따라 분류된 각 트래픽 유형을 처리합니다.
• 우선 순위 – 트래픽 분류에서 사용되는 추가 차원입니다. SonicOS에서는 8가지 우선 순위(0 = 실시간, 7 = 가장 낮음)을 사용하여 BWM에 사용되는 큐 구조를 구성합니다. 큐는 우선 순위 순서대로 처리됩니다.
• 매핑 – SonicOS의 QoS 구현과 관련한 매핑이라는 용어는 802.1p 태그 지정을 지원하지 않는 네트워크 링크에서 802.1p 태그를 보존하기 위해 레이어 2 CoS 태그(802.1p)를 레이어 3 CoS 태그(DSCP)로 변환한 후 다시 원래대로 변환하는 방식입니다. 맵 대응은 완전히 사용자 정의 가능하며 매핑 작업은 액세스 규칙을 통해 제어됩니다. 매핑은 Dell SonicWALL NSA 플랫폼에서 지원됩니다.
• 표시 – 태그 지정 또는 색 지정이라고도 하며, 구분하기 위해 패킷에 레이어 2(802.1p) 또는 레이어 3(DSCP) 정보를 적용하는 작업입니다. 이를 통해 패킷이 대상으로 이동하는 경로에서 네트워크 장치가 패킷을 적절하게 분류(인식)하고 우선 순위를 지정할 수 있습니다. 표시는 Dell SonicWALL NSA 플랫폼에서 지원됩니다.
• MPLS – Multi Protocol Label Switching(다중 프로토콜 레이블 전환)의 약어로, QoS 분야에서 자주 등장하는 용어지만 Dell SonicWALL 어플라이언스를 비롯한 대부분의 고객 프레미스 IP 네트워킹 장치에서는 기본적으로 지원되지 않습니다. MPLS는 네트워크에 연결 중심 경로(LSP: 레이블 전환 경로) 개념을 추가하여 IP 네트워크 환경을 개선하려는 사업자 클래스 네트워크 서비스입니다. 고객 프레미스 네트워크에서 전송되는 패킷에는 LER(레이블 에지 라우터)로 태그가 지정되므로 레이블을 사용하여 LSP를 확인할 수 있습니다. MPLS 태그 자체는 레이어 2와 레이어 3 사이에 상주하며 두 네트워크 레이어의 MPLS 특징에 모두 적용됩니다. VPN 분야에서 널리 사용되는 MPLS는 레이어 2 및 레이어 3 VPN 서비스를 모두 제공하는 동시에 기존의 IPsec VPN 구현과도 계속 상호 운용할 수 있습니다. 또한 MPLS는 QoS 기능을 제공하며 기존 DSCP 표시와도 효율적으로 상호 운용되는 것으로도 유명합니다.
• PHB(홉당 동작) – 패킷이 통과하는 각 DiffServ 가능 라우터에서 패킷의 DSCP 분류에 따라 패킷에 적용하는 처리 방식입니다. 이러한 동작으로는 삭제, 다시 표시(다시 분류), 최상의 노력, AF(Assured Forwarding), 긴급 전달 등의 작업이 있습니다.
• 감시 – 네트워크 링크를 드나드는 트래픽의 속도를 제어하는 트래픽 조건 지정 기능입니다. 감시 방법으로는 임의 패킷 삭제, 알고리즘 방식 구성, 다양한 큐 분야 등이 있습니다.
• 큐 – 큐는 사용 가능한 링크 대역폭을 효율적으로 사용하기 위해서 보통 분류된 트래픽을 정렬하고 개별적으로 관리하는 데 사용됩니다. 그런 다음 여러 가지 방법과 알고리즘으로 큐를 관리하여 우선 순위가 높은 큐가 항상 트래픽을 더 받을 수 있도록 하고 우선 순위가 낮은 큐보다 먼저 서비스를 받을 수 있도록 합니다(큐에서 제거되거나 처리됨). 몇 가지 일반적인 큐 분야는 다음과 같습니다.
– FIFO – 선입 선출(First In First Out) 방식으로, 먼저 들어온 패킷이 먼저 처리되는 매우 단순한 임의 큐입니다.
– CBQ(클래스 기반 큐) – 우선 순위가 높은 트래픽이 우선 처리되도록 패킷의 CoS를 고려하는 큐 분야입니다.
– WFQ(가중 공평 큐) – 패킷의 IP 우선 순위와 총 흐름 수를 기준으로 하는 간단한 수식을 사용해 큐를 처리하는 분야입니다. WFQ는 처리해야 하는 우선 순위가 높은 흐름이 매우 많은 경우 불균형 상태가 되기 쉬운데, 바람직하지 않은 경우가 많습니다.
– 토큰 기반 CBQ – 토큰(점수 기반 시스템)을 사용하는 향상된 CBQ로, 링크 사용률을 평탄화/정규화하여 버스트와 사용률 저하를 방지합니다. SonicOS의 BWM에 적용되는 방식이기도 합니다.
• RSVP – Resource Reservation Protocol의 약어입니다. 일부 응용 프로그램에서 사용하는 IntServ 신호 프로토콜로, 필요할 것으로 예상되는 네트워크 동작(예: 지연 및 대역폭)을 네트워크 경로에서 예약할 수 있도록 요청하는 방식입니다. 이 Reservation Protocol을 설정하려면 경로의 각 홉이 RSVP를 사용할 수 있어야 하고 요청된 리소스 예약에 동의해야 합니다. 이 QoS 시스템의 경우 각 홉이 기존 흐름의 상태를 유지 관리해야 하므로 리소스를 비교적 많이 사용합니다. IntServ의 RSVP는 DiffServ의 DSCP와는 크게 다르지만 RSVP와 DSCP는 상호 운용할 수 있습니다. SonicOS에서는 RSVP가 지원되지 않습니다.
• 구성 – 보통 보낸 사람에게 일부 피드백 메커니즘을 적용하여 QoS 시스템에서 트래픽 흐름 속도를 수정하려는 시도입니다. 이러한 작업의 가장 일반적인 예로는 TCP 속도 조작이 있습니다. 여기서는 계산되는 RTT(왕복 시간)를 늘리기 위해 TCP 보낸 사람에게 다시 전송되는 승인(ACK)이 대기 및 지연되는데, 이때 TCP의 기본 동작을 사용하여 보낸 사람이 데이터를 전송하는 속도를 줄이도록 강제 지정합니다.
• ToS(서비스 유형) – CoS 정보를 지정할 수 있는 IP 헤더 내의 필드입니다. 다소 드물기는 하지만 그동안 IP 우선 순위 비트와 함께 CoS를 정의하는 데 사용되었습니다. 현재 ToS 필드는 DiffServ의 코드 포인트 값에 일반적으로 사용됩니다.