귀사의 네트워크 운영 팀이 액세스 네트워크에 대해 알아야 할 4가지 사실 | NETSCOUT
| 어플리케이션 노트 |

귀사의 네트워크 운영 팀이 액세스 네트워크에 대해 알아야 할 4가지
사실

지난 10년 동안 기업들은 사업을 계획하고 수행할 때 직원과 고객들을 참여시키기 위해 이들과 연결하는 것에 점점 더 많은 의존도를 보이고 있습니다. 또한 기계-대-기계(M2M) 통신 방식의 클라우드 기반 사물인터넷(IoT)의 인기가 IT 운영 팀과 함께 호불호 관계를 구축하게 되었는데, 이러한 많은 기기들이 관련 지식 없이 그리고 잠재적으로 치명적인 보안 및 운영 위험을 야기하지 않고 네트워크에서 작동할 수 있기 때문입니다. 그럼에도 불구하고, 결국에는 모든 사물을 연결하고 있는 스위치 방식 네트워크는 진화했고 구성과 보안 관점에서 모두 점점 더 복잡해지고 있습니다. 본 백서는 스위치 네트워크의 상태와 IT 운영 팀이 가시성을 확보해야 하는 주요 속성에 대해 설명합니다. 본 백서는 IT 팀이 스위치 네트워크의 제어를 좀 더 효율적으로 유지 관리하고, 팀 협업을 개선하며, 사람과 사물을 연결된 상태로 유지하는 데 도움이 되는 모범 사례에 대해 논의합니다.

현재의 스위치 방식 네트워크

스위치 방식 네트워크의 역할은 90년대 초기에 처음 고안된 이후로 여러 해를 거치면서 변했습니다. 모바일 사용자 수와 BYOD(bring-your-own-기기) 제품 사용이 점점 증가하면서 스위치 네트워크는 회사 네트워크의 보안을 유지 관리하면서 다양한 유형의 단말 기기를 연결해야 하는 중요한 역할을 맡게 되었습니다. 네트워크 운영 팀이 제어를 유지 관리해야 하는 다음과 같은 현재의 스위치 네트워크의 4가지 핵심 기능과 제안된 모범 사례에 대해 살펴보겠습니다.

핵심 기능 관리할 주요 속성
연결성 이더넷을 통한 전원공급(PoE), 이중성, 속도를 기기에 제공하며 이를 용이하게 하기 위해 링크 제어 메커니즘을 제공.
인증 및 주소 처리 기기 및 사용자 인증 메커니즘과 주소 및 액세스 구성 서비스.
라우팅 스위치 및 VLAN 토폴로지 그리고 클라이언트에서 그 대상으로 IP 패킷을 가져오는 DNS, 게이트웨이, NAT과 같은 패킷-라우팅 서비스.
효율 전송 효율성에 영향을 주고 사용자 경험을 향상시키는 네트워크 경로 대역폭, 패킷 손실, 지연 및 지터 특성.

연결하기 위해 그리고 연결된 기기에 대한 접근 권한을 제공하기 위해 스위치 네트워크가 함께 작동하는 방법

연결성

전원 연결성
이더넷을 통한 전원공급(PoE)은 구축 및 유지 관리 비용을 줄일 수 있기 때문에 단말 기기에 전원을 공급하는 인기 있는 방법입니다. 액세스 포인트, VoIP 전화기 및 좀 더 최근에는 IoT와 같은 많은 네트워킹 기기는 사실상 PoE를 통해서만 모든 전원을 공급 받습니다. PoE는 IEEE 802.3 표준이 전원 등급을 결정하며 기기는 그 전압과 와트에 의해 분류됩니다. PoE 기기는 다음과 같은 두 가지입니다.

  1. 이더넷 케이블에 전원을 공급하는 전원 공급 장치(PSE). 새로운 구축에서는 PSE가 일반적으로 스위치이며 보통 엔드스팬(endspan)으로 불립니다. 미드스팬(midspan)으로 불리는 PoE 인젝터는 비PoE 스위치와 레트로피트로서 PoE 동력 장치 사이에 배치됩니다. PSE가 지원하는 PoE 표준에 기반하여, PoE 유형은 0 – 4으로 분류됩니다(표 1 참). PSE는 다음과 같은 두 가지 모드에서 작동합니다. 모드 A PSE는 12, 4페어 UTP 케이블의 36페어를 사용하고 모드 B PSE는 예비 페어 45 및 78을 사용하여 전원을 공급합니다. PSE는 어떤 모드로 전원이 공급되는지를 정의한다는 점에 유의하는 것이 중요합니다. 표준은 PSE가 모드 A와 B를 모두 지원하도록 요구하지 않습니다.
  2. 동력 장치(PD)는 전원 공급 장치가 전원을 공급하는 장치입니다. 따라서 에너지를 소비합니다. 802.3af 및 802.3at 준수 PD는 모드 A와 B를 모두 지원할 수 있어야 합니다. PD가 요구하는 와트에 기반하여 PoE 클래스는 0 – 4으로 분류됩니다(표 2 참조).

 

POE 유형 공통 이름 관련 표준 사용된 페어 최대 PSE 포트 전원 최대 PD 전원
1 PoE 802.3af 2 15.4W 12.95W
2 PoE+, PoE Plus 802.3at 2 30W 25.5W
3 4페어 PoE, PoE++, UPoE# 802.3bt* 4 60W 51W
4 고전력 PoE 802.3bt* 4 100W

표 1: PoE PSE 유형
#: UPoE는 Cisco가 “Digital Ceiling” 솔루션에서 언급한 독점권을 가진 분류 표현입니다.
*: 802.3bt는 2018년 초에 비준될 것으로 예정된 IEEE 표준 제안입니다.

PoE PD 클래스 Type/표준 PSE의 DC 전압 PD의 DC 전압 PSE 포트의 최소 전력 PD 소비 전력
0 1 / 802.3af 44-57V 37-57V 15.4W 0.44 – 12.95W
2 1 / 802.3af 44-57V 37-57V 4.5W 0.44 – 3.84W
3 1 / 802.3af 44-57V 37-57V 7.5W 3.84 – 6.49W
4 1 / 802.3af 44-57V 37-57V 15.4W 6.49 – 12.95W
4 1 / 802.3at 50-57V 42.5–57V 30W 12.95 – 25.5W

표 2: PoE PD 클래스

802.3 표준은 LLDP를 PSE와 통신하기 위해 PD가 사용하는 프로토콜이 될 것으로 정의하며 PSE가 올바른 전압/전류를 제공할 수 있도록 클래스도 포함되어 있습니다. 그러나 시장에는 표준이 비준되기 전에 출시된 독점 프로토콜을 사용하는 Cisco Discovery Protocol(CDP)과 같은 PoE 기기가 있습니다. 모든 PoE 기기가 표준을 완전히 준수하는 것은 아니기 때문에 우리는 확인을 해야 합니다.

잘못 될 수 있는 것:
네트워크 운영 팀이 어려움을 겪는 문제는 다른 클래스의 PD가 점점 더 많이 네트워크에 구축되고 있어서 PSE의 전력 예산뿐만 아니라 PD와 PSE 간의 상호 운용성에 대한 관리와 이해가 필요합니다. 또한 모든 PoE 구현이 표준을 준수하거나 기존 배선 시스템이 PoE를 지원할 수 있는 것은 아닙니다.

증상 가능한 원인
전원이 들어오지 않음 1. 케이블 결함:
  • a. 개방/단락
  • b. 모드 B PSE와 함께 사용되는 2페어 케이블.
2. 호환되지 않는 다른 유형 또는 모드의 PSE 및 PD
3. PoE를 제공할 수 없는 PSE 포트
4. PSE 및/또는 PD가 표준을 완전히 준수하는 것은 아닙니다(예: PD는 동력 페어에서 25ohms이 없으며 또는 모드 A 및 B 모두를 지원하지 않음).
5. PSE는 연결된 모든 PD에 전원 공급을 지원할 충분한 전력 예산을 가지고 이@지 않습니다.
간헐적 지연 1. 케이블 결함:
  • a. 너무 김(100m 이상)
  • b. 내무 많은 저항
2. PSE는 최대 전력 소비(예: 모터가 장착된 보안 카메라가 스캔하는 경우)에서 연결된 모드 PD를 지원할 충분한 전력 예산이 없습니다.

모범 사례:

  1. PoE의 작동 방법에 대해 직원을 교육시킵니다.
  2. 장비 사양을 주의해서 읽고 표준 준수 기기만 구축합니다. 이더넷 Y케이블(이미 금지됨) 또는 단순히 48VDC 공급 장치를 볼트로 고정시켜 모든 “아이들” 페어에 전원을 공급하는 소위 말하는 “8포트 PoE 패시브 스플리터”와 같은 비표준 호환 미드스팬 PSE의 사용을 피합니다.
  3. PSE와 PD의 와트를 문서화합니다.
  4. PD를 충전하거나 추가할 때 PSE가 연결된 모든 PD를 지원하는지를 확인합니다.
  5. 팀이 구축 및 문제 해결 과정에서 PD, PSE 및 케이블의 상태를 확인할 수 있도록 표준화된 도구와 절차를 제공합니다(예: PD 쪽의 전압과 와트를 사용할 수 있는지 그리고 요구사항을 충족하는지 확인합니다).

 

링크 연결성

연결된 기기와 관련하여 고려할 다른 사항은 기기와 네트워크 간의 연결 프로세스입니다. 고려할 첫 번째 사항은 단말 기기와 스위치 사이의 케이블이 링크를 지원하는 것입니다. 현재 대부분 구조화된 배선 시스템은 구축하는 동안 4개의 페어가 모두 100m 미만의 길이로 연결되고 검증되어야 합니다. 이것은 아래 표에 표시된 바와 같이 최대 1Gbps의 모든 네트워크를 지원하기에 충분합니다. 아래 표 2은 다른 유형의 구축을 지원하는 데 요구되는 최소 케이블 표준을 보여줍니다. 업그레이드 시에는 마모와 손상 또는 문서화되지 않은 변경으로부터 문제가 발생하지 않도록 배선 시스템을 다시 확인하는 것이 중요합니다.

표준 인증 레벨 사용된 페어
10BASE-T Cat3 12 및 36
100BASE-T Cat5 12 및 36
1000BASE-T Cat5 12, 36, 45, 78

연결 프로세스는 속도, 이중성 및 케이블 페어를 확정하여 데이터 통신을 허용하기 위해 단말 기기와 스위치 사이에서 협상을 거칩니다. 자동 협상 기능이 스위치 포트에 기본으로 설정되고 보통 네트워크 인터페이스 카드(NIC)가 상호 운용성을 유지 관리하고 잘 이해하기 때문에 이것은 문제가 되지 않습니다. 다음 표는 특정 속도 및/또는 이중성을 사용하기 위해 NIC 또는 스위치가 수동으로 설정되는 경우의 예측하기 어려운 상황을 보여줍니다. 경험된 바에 따르면 한 쪽이 강제되면 다른 쪽도 똑같이 강제되어야 합니다. 한 쪽이 자동 협상되면, 다른 쪽도 그렇게 되어야 합니다. 심지어 한 쪽이 자동으로 설정되고 다른 쪽은 그렇지 않게 설정되어 링크가 연결된 경우라도 자동으로 설정된 쪽이 주기적으로 재협상을 시도하여 일시적인 링크 손실을 일으킬 가능성이 매우 높습니다. 10G 용량의 스위치 가격이 하락하여 1/10G 포트 스위치가 더 많이 구축되고 있습니다. 대부분의 경우, 1/10G 스위치 포트는 반이중 또는 자동 협상을 지원하지 않습니다. 따라서 스위치 포트와 NIC는 연결이 일치해야 합니다.


링크 설정에 기반한 10/100/1000Mbps 이더넷 스위치 및 NIC의 링크 결과

잘못 될 수 있는 것:

증상 원인
링크 연결 실패(링크 표시 꺼짐) 배선 결함
  - 전송 페어의 개방, 단락
잘못된 광케이블 SFP 사용: 싱글모드 대 멀티모드
스위치와 NIC 간의 링크 설정 불일치
최적의 링크 속도/이중성 미만 및 간헐적 재연결 NIC 또는 스위치가 자동 협상으로 설정된 반면 다른 쪽은 10/100/1000Mbps 고정 속도로 설정됨
배선 결함
  - 분할 페어

모범 사례:

  1. 10/100/1000Mbps 포트에서 NIC 및 스위치 포트에 항상 자동 협상을 사용합니다. 1/10G 스위치 포트인 경우, 필요한 속도로 변경하지 못하게 코드화합니다.
  2. 스위치 포트 설정과 사용된 구조화 배선 경로를 문서화하고 더 중요하게는 모든 팀 구성원이 정보에 쉽게 접근할 수 있게 만듭니다.
  3. LLDP를 사용하여 직접 또는 관리 시스템을 통해 현재 스위치 포트 링크 구성을 쉽게 확인할 수 있는 방법을 제공합니다. 가장 좋은 방법은 제공된 링크 기능과 페어가 설치된 링크/이중성을 관찰하기 위해 NIC와 스위치 사이를 인라인으로 연결할 수 있는 패시브 도구를 사용하는 것입니다.

 


스위치 포트는 PoE 유형/클래스에 대해 PoE를 테스트하여 PD 클래스에서 사용할 수 있는 TruePower™ 를 표시할 수 있습니다.

링크 테스트는 스위치 포트의 링크 기능을 보여줍니다.

스위치와 기기 간에 알려지고 사용된 속도/이중성을 보여주는 인라인 분석.

인증

기기가 네트워크상에서 다른 기기와 통신하려면 먼저 보안, 주소 및 액세스 구성을 목적으로 인증 프로세스를 거쳐야 합니다. 인증은 승인된 기기가 네트워크에 접속하도록 허용할 뿐만 아니라 비인증 기기가 네트워크에 연결하는 것을 차단합니다.

과거에는 Wi-Fi 기기만 인증이 필요했었고 케이블로 연결된 경우에는 플러그에 연결하여 바로 사용할 수 있었습니다. IoT 기기의 급증으로 기기 인증이 그 어느 때보다 중요해졌습니다. 인증 메커니즘은 많이 있지만, 가장 일반적으로 사용되는 것은 DHCP 서비스와 결합된 802.1x와 Radius에 기반합니다. 802.1x에 기반하는 인증 프로세스에는 최소 3개의 당사자가 있습니다.
  1. 신청자: 보안 카메라와 같이 네트워크에 접속하기를 원하는 요소.
  2. 인증자: 스위치 또는 Wi-Fi 액세스 포인트와 같이 신청자가 네트워크에 접속할 수 있는 도록 허용하는 요소.
  3. 인증 서버: 신청자가 네트워크 리소스에 접속할 수 있는지 여부를 결정하기 위해 사용되는 정보를 포함합니다. 일반적으로 Radius 프로토콜을 실행하는 서버입니다. 인증 메커니즘은 기기의 MAC 주소, BYOD의 게스트 SSID에 대한 게스트 암호와 같은 사용자 계정 또는 보안 카메라의 스마트 카드에 프로그래밍된 개인 인증서에 기반할 수 있습니다. 아래 예는 고정 위치 보안 카메라가 인증되는 방법을 보여줍니다. 이 경우의 EAP 프로토콜은 Wi-Fi 단말 기기 인증 과정에서 일반적으로 볼 수 있는 추가 보안용으로 사용됩니다.

 

위의 예에서 인증자는 인증 서버에 인증 요청을 통신하는 프록시 역할을 합니다. 해당 기기는 인증된 후에 로컬 DHCP 서버에 DHCP 요청을 보내 IP 주소를 받으며 그 전까지는 받을 수 없습니다. 여기서 중요한 점은 인증과 할당된 IP 주소의 풀이 동기화되어야 한다는 것입니다. 다음과 같은 Wi-Fi 사용자 인증을 하나의 예로 들어 보겠습니다.

게스트 BYOD 기기가 게스트 SSID를 통해 네트워크에서 인증된 후에 AP는 트래픽을 VLAN 1로 보내도록 설정되며 회사 SSID에 연결된 회사 사용자는 VLAN 101로 보내집니다. 이러한 VLAN은 WLAN 네트워크 상의 스위치에 설치되어야 하며 각 VLAN은 IP 주소가 기기에 제공될 수 있도록 계층 2 브로드캐스트 메커니즘을 통해 로컬 DHCP 서버에 연결되어야 합니다. 경우에 따라 Wi-Fi 컨트롤러와 같은 DHCP 프로토콜 브리지가 DHCP 요청을 다른 VLAN에 있는 클라이언트에서 단일 DHCP 서버로 전달하는 데 사용될 수 있습니다. 일반적으로 각 VLAN의 IP 주소는 아래에서 다른 그룹에 속해 있는 클라이언트가 자신의 개별 네트워크 자산에 접속할 수 있는 것과 같이 상호 배타적입니다.

사용자 그룹 SSID VLAN IP 주소 풀 접근 가능한 자산
게스트 게스트 1 10.10.10.1-10.10.11.255 제한적인 인터넷 대역폭, 게스트 프린터
회사 사용자 회사 101 20.10.10.1-20.10.19.255 인터넷, 회사 VPN, 회사 서버, 프린터…
보안 카메라 201 20.10.20.1-20.10.21.255 비디오 서버 및 스토리지
네트워크 관리자 NetAdmin 301 20.10.30.1-20.10.30.127 Wi-Fi 컨트롤러, 스위치/라우터 관리 포트

IP 주소를 기기에 할당하는 것 외에도 DHCP는 작동에 중요한 다른 정보를 단말 기기에 제공합니다. 예를 들어, VoIP 전화는 DHCP 옵션 코드66(TFTP 서버) 또는 150(VoIP 구성 서버)를 통해 사용할 통화 관리자와 SIP 포트 번호의 주소를 포함하는 구성 서버의 IP 주소를 수신합니다.
아래 표는 일반적으로 사용되는 DHCP 옵션과 그 코드 법호를 보여줍니다.

DNS 옵션 코드 설명
1 서브넷 마스크(라우터 옵션 이후에 전송되어야 함, 옵션 3, 모두 포함된 경우에 한함)
3 라우터
6 DNS 서버, 환경설정의 순서대로 나열되어야 함
15 DNS 도메인 이름, 환경설정의 순서대로 나열되어야 함
44 WINS 서버(NetBIOS 이름 서버)
45 NetBIOS 데이터그램 배포 서버(NBDD)
46 WINS/NetBIOS 노드 유형
47 NetBIOS 범위 ID
51 할당 시간
66 TFTP 서버 이름(RFC2132) 또는 이름 필드 내(RFC2131)
150 VoIP 구성 서버의 IP 주소 [옵션 66에 선행(RFC5859)]

잘못 될 수 있는 것:

증상 가능한 원인
IP 주소를 가져올 수 없음 인증 문제
  - 잘못된 단말 기기 설정(인증 프로토콜, 잘못된 인증)
  - 인증 서버에 단말 기기 구성이 없음
사용 가능한 IP 주소 없음
  - IP 주소 폴 부족
네트워크 문제
  - VLAN에서 DHCP 서버에 연결할 수 없음
잘못된 IP 주소 네트워크 문제
  - 잘못된 VLAN 할당
다중 DHCP 서버가 있을 때 잘못된 또는 비인가 DHCP 서버가 IP 주소를 제공

모범 사례:

  1. 스위치 상의 VLAN 구성, 스위치-스위치 업링크 포트, VLAN-사용자 그룹/주소 상관 관계 및 각 VLAN/브로드캐스트 도메인에 구성된 DHCP를 문서화합니다.
  2. 문서는 스위치 네트워크의 설치 및 문제 해결을 담당하는 팀 구성원이 접근할 수 있습니다.
  3. 어떤 팀 구성원도 클라이언트 위치에서 적절한 VLAN 및 주소까지 스위치 구성을 확인할 수 있도록 테스트 워크플로 및 절차를 표준화합니다.
  4. 사용자 자격 증명으로 클라이언트에 제공된 비인가 DHCP 서버, IP 주소 및 옵션을 탐지하기 위해 네트워크에서 모든 DHCP 반응에 대한 가시성을 제공할 수 있는 도구를 준비합니다.

 


OneTouch AT는 사용자의 EAP를 제거하기 위해 EAP를 포함하는 802.1x를 지원합니다.

다중 DHCP 반응이 수신되는지 그리고 어떤 매개변수가 제공되었는지 판단합니다.

스위치 포트에서 구성된 VLAN의 가시성과 연결된 기기의 사용률과 번호와 같은 기타 상태를 확보합니다.

라우팅

단말 기기가 IP 주소와 주요 구성 정보를 얻게 되면 네트워크 상의 다른 기기와 통신할 수 있게 됩니다. 라우팅은 사설 및 공공 소유 네트워크에서 모두 다양한 IP 기반 기기에 연결하기 위해 사용하는 기본적인 메커니즘입니다. 네트워크 상에는 네트워크 운영 팀이 알아야 하거나 인식하고 있어야 하는 다음 기능을 이용하는 데 도움이 되는 중요하고 기본적인 서비스가 다수 있습니다.

라우팅 요소 설명
VLAN 가상 LAN은 스위치가 단말 기기와 스위치 포트를 하나의 브로드캐스트 도메인으로 그룹화할 수 있는 계층 2 메커니즘입니다.
라우터 라우터는 네트워크를 함께 연결하고 각 네트워크 간의 트래픽을 특정 경로를 통해 전송하는 기기입니다. 라우터는 최소한 두 개의 네트워크 인터페이스 카드(NIC)를 가지게 됩니다. 하나는 물리적으로 하나의 네트워크에 연결되고 다른 하나는 물리적으로 다른 네트워크에 연결됩니다. 일부 라우터는 잘 알려진 특정 포트에서만 트래픽을 허용하도록 구성할 수 있습니다. 특별 포트가 있는 프로토콜에서 실행되는 어플리케이션은 이러한 포트를 열기 위해 구성을 변경해야 합니다.
DNS 도메인 이름 서버DNS 서버 또는 이름 서버로 불리며 도메인 이름과 IP 주소를 연결하는 방대한 데이터베이스를 관리합니다. URL을 웹 브라우저에 입력하면 기본 DNS 서버가 해당 리소스를 사용하여 이름을 적절한 웹 서버에 대한 IP 주소로 변환합니다.
NAT 네트워크 주소 전환은 라우터와 같은 단일 기기가 인터넷(또는 "공용 네트워크")과 로컬(또는 "사설") 네트워크 사이에서 에이전트 역할을 할 수 있도록 허용합니다. 이것은 IP 주소가 인식되지 않는 기기의 전체 그룹을 대표하기 위해 단일 또는 몇 개의 인식되는 IP가 필요하다는 것을 의미합니다.

이러한 서비스가 함께 작동하는 방식은 다음 예에서 요약할 수 있습니다.
인트라넷에서 서버와 통신하는 클라이언트

  1. 클라이언트는 서버의 이름을 알고 있습니다
  2. 클라이언트는 기본 DNS IP(DHCP의 매개변수)로 쿼리를 보냅니다
      a. 기본 DNS는 동일한 IP 서브넷 상에 있지 않으며 쿼리를 VLAN 상의 기본 라우터로 전송합니다
      b. 라우터는 쿼리를 DNS IP 서브넷에 연결된 라우터 포트로 전달하며, VLAN ID는 대부분 바뀌게 됩니다
  3. DNS 서버는 필요에 따라 라우터를 통해 인트라넷 서버의 IP 주소로 응답합니다.
  4. 연결 요청을 인트라넷 서버의 IP 주소로 보냅니다. 이 때도 필요에 따라 라우터를 사용합니다
  5. 라우터는 쿼리를 인트라넷 서브넷에 연결된 라우터 포트로 전달하며, VLAN ID가 바뀌게 됩니다
클라이언트가 인터넷에 연결됩니다
  1. 처음 4단계는 서버의 이름이 웹 브라우저를 통해 웹사이트가 될 수 있다는 점을 제외하고 인트라넷 서버와 통신할 때와 동일합니다
  2. 라우터는 IP 패킷을 인터넷 링크에 연결된 라우터 포트로 전달합니다
  3. NAT이 사용된 경우, NAT이 클라이언트 A의 소스 주소를 인터넷 링크로 전달되기 전에 인식 가능한 공용 주소로 바꿉니다

 

잘못 될 수 있는 것:

증상 가능한 원인
동일한 VLAN 상에 있는 모든 사용자가 인트라넷 서버에 연결할 수 없습니다 잘못된 IP 주소 또는 기본 DNS 실패
라우터 연결 불가능 또는 실패
끊어진 또는 초과 가입된 VLAN 트렁크 경로
동일한 VLAN 상의 모든 사용자가 인터넷에 연결할 수 없습니다 인터넷에 연결된 라우터 포트 또는 링크 다운
라우터 연결 불가능 또는 실패
DNS 연결 불가능 또는 실패
NAT 실패
일부 어플리케이션이 실행되지 않음 라우터가 어플리케이션이 요구하는 프로토콜 포트를 차단했을 수 있습니다
VoIP 통화가 작동하지 않음 통화 관리자 연결 불가능
DHCP VoIP 구성 서버 정보를 사용할 수 없거나 또는 잘못 구성됨

모범 사례:

  1. 설치하는 동안 기술자가 VLAN 엣지에서 각 자격 증명을 사용하여 로컬 라우터 및 중요 서버, 인트라넷 및 인터넷에 대한 접근성과 경로를 샘플 검사할 수 있도록 도구와 절차가 표준화되었습니다.
  2. 문제 해결 시 참조할 사용자/기기 자격 증명에 기반한 클라이언트에 구성되어야 하는 올바른 기본 라우터, DNS IP 주소를 문서화합니다. 팀이 정보에 접근할 수 있도록 만듭니다.
  3. 문제 해결을 위해 사용된 트레이스라우트 및 스위치 경로를 표시할 수 있는 도구를 준비하고 로컬 서브넷/브로드캐스트 도메인 이상의 자산에 접근할 때 DNS 프로세스 통과/실패를 기록합니다.

 


DNS 확인을 위해 TCP로 연결하고 서버 연결과 응답 시간을 모두 확인합니다.

기본 게이트웨이/라우터에 연결 가능한지 확인합니다.

스위치 포트와 대상 기기 사이의 스위치 경로를 결정합니다.

효율

연결성, 인증 및 경로 지정이 확인된 경우, 마지막이지만 가장 중요한 것은 네트워크가 어플리케이션 트래픽을 효율적으로 전달할 수 있도록 하는 것입니다. 네트워크가 어플리케이션의 사용자 경험에 영향을 줄 수 있는 몇 가지 주요 요인은 다음과 같습니다.

  1. 네트워크의 부하량뿐만 아니라 사용 가능한 대역폭은 특히 WAN 연결에서 서비스 구성의 클래스에 영향을 줄 수 있습니다.
  2. 사용된 네트워크 경로는 횡단 대기 시간 외에도 사용 가능한 대역폭에 영향을 줄 수 있습니다.
  3. 로드 밸런서와 WAN 가속기와 같은 스마트 장치는 어플리케이션 트랜잭션을 리엔지니어링할 수 있습니다.
네트워크의 설계가 대체로 이러한 요인들을 기술하기 때문에 네트워크 운영 팀의 책임은 네트워크가 구축되고 부하가 걸리기 전에 그리고 사용할 네트워크가 구축된 후에 네트워크가 어플리케이션을 지원할 수 있도록 설계를 검증하는 것입니다. 가장 일반적으로 테스트되는 매개변수는 정보 속도(IR) 또는 대역폭, 지터, 지연 및 패킷 손실 등입니다. 가장 일반적으로 사용되는 3가지 네트워크 테스트 접근 방법으로는 iPerf, IETF RFC2544 및 ITU Y.1564가 있습니다. 아래 표는 이러한 테스트의 비교 결과를 보여줍니다.

 

  RFC2544 iPerf Y.1564
프레임 유형 UDP만 TCP, UDP UDP
주요 네트워크 테스트 정보 속도, 지연 및 데이터 손실. 지터는 옵션 TCP: 정보 속도,
UDP: 정보 속도,
지연, 지터 및 데이터 손실
정보 속도, 지연, 지터 및 데이터 손실, CBS 및 EMS
조정 가능한 주 매개변수 IPv4, DSCP, TOS 및 VLAN,
7가지 프레임 크기(바이트):
64, 128, 256, 512, 1024,
1280, 1518, 동일한 포트 번호
보내기 받기
IPv4 또는 IPv6,
DSCP, TOS 및 VLAN,
TCP: 보낸 총 바이트,
MTU/MSS, TCP 윈도우 사이즈,
및 보낼 파일, UDP:
사용자 정의 프레임, 크기
Diff 포트 번호 보내기 및 받기
IPv4 또는 IPv6,
계층 3 태그: MPLS,
802.1p, 802.1ad,
DSCP 및 COS
스트림 프로필: MTU,
CIR, EIR, EMIX
Diff 포트 번호 보내기 및 받기
동시 연결 수 1개 다중 다중
HW 플랫폼 전문 테스트 장비 Window/Linux/Unix 기반 컴퓨터 전문 테스트 장비
이점 최대 대역폭을 위한 단순 구성 TCP 및 UDP 테스트
다중 스트림 테스트
BSD 라이선스 하에 무료
TCP 및 UDP 테스트
다중 스트림 테스트
짧은 테스트 시간
단점 UDP만
전용 HW 필요
NIC 드라이버 명령줄 UI에 의존하는 전송 속도 기업 LAN에 일반적이지 않은 복잡한 구성, 전용 HW 필요

이러한 3가지 테스트 접근 방법 중 RFC2544가 가장 먼저 사용되었고 아직도 가장 폭넓게 사용되고 있습니다. 이 방법은 단말 간 네트워크 성능을 검증하는 데 충분했습니다. iPerf는 TCP 흐름으로 대역폭 테스트를 수행할 수 있는 기능과 낮은 구축 비용으로 네트워크 엔지니어 커뮤니티 사이에서 인기를 얻기 시작했습니다. Y.1564는 SLA가 필수인 대도시 네트워크 연결에서 주로 사용됩니다. 이 방법은 기업들이 광범위하게 채택하고 있습니다.

어플리케이션을 느리게 만드는 원인은 무엇입니까?
사용자가 네트워크의 성능이 느리다고 불평할 때는 네트워크에 문제가 있는지 판단하기 위해 하는 다음과 갈은 몇 가지 질문이 있습니다.
  a. 어플리케이션에 영향을 주는 것은 무엇입니까? 실시간 음성/데이터 또는 데이터 트래픽
  b. 기업 어플리케이션이 아닌 경우, 질문을 통해 어플리케이션 스트림이 기업 네트워크 내에 포함되어 있는지 판단합니다
  c. 많은 클라이언트에 어떻게 영향을 줍니까? 이러한 클라이언트 사이의 관계는 어떻습니다?

증상 문제가 될 수 있는 부분
단 하나의 인트라넷 어플리케이션의 모든 사용자가 느린 성능을 경험했습니다 어플리케이션 또는 서버에 문제가 있습니다
어플리케이션 서버까지의 네트워크 상태가 좋지 않습니다
하나의 인터넷 어플리케이션의 모든 사용자가 느린 성능을 경험했습니다 인터넷 어플리케이션 문제
인터넷 어플리케이션 흐름이 막혔습니다
어플리케이션을 사용하는 사용자 중 한 사람만 나쁜 성능을 경험했습니다 클라이언트 기기 또는 계정 구성
클라이언트와 네트워크 연결성 문제, 특히 Wi-Fi를 통해 연결된 경우
동일한 VLAN 내의 일부 사용자가 나쁜 성능을 경험했습니다 VLAN과 어플리케이션의 네트워크 경로 문제
VLAN 그룹 구성 문제

모범 사례:
구축 과정:

  1. 가장 약한 링크의 최대 대역폭까지 그리고 가장 약한 링크의 SLA 요구사항에 대해 중요한 경로 사이에서 단말 간 링크의 네트워크 성능 테스트를 실행합니다. 사용 가능한 SLA 매개변수가 없는 경우에는 다음 지침을 사용할 수 있습니다. 150msec 미만 단방향 단말 간 지연, 100msec 미만 지터 및 1% 미만 패킷 손실.
  2. 다음에 참조할 수 있도록 링크의 테스트 결과를 문서화합니다.
문제 해결 과정:
  1. TCP 어플리케이션인 경우, 서버에 TCP 연결 테스트를 실행합니다. 테스트 결과 100%로 지연이 거의 없는 경우, 네트워크 지연이 아닌 서버 자체의 문제일 가능성이 매우 큽니다. 다음은 클라이언트와 서버 사이의 네트워크 경로 상에서 손실되는 패킷의 양이 네트워크를 원인으로 제거해도 좋은지 증명하는 단계입니다. 일반적으로 우리는 최대 정보 속도가 어플리케이션에 요구하는 속도에서 1% 미만을 원합니다. 서버가 기업 네트워크의 외부에 있는 경우에는 스트림이 네트워크를 떠나기 전 지점까지만 확인하면 됩니다.
  2. 어플리케이션 실시간 음성/비디오인 경우, 일부 VoIP 전화기는 통화에 대한 지터/패킷 손실의 통계 정보를 제공할 수 있습니다. 그렇지 않을 경우, 대상 단말 지점에 대해 RFC2544 또는 iPerf 테스트를 실행합니다. 일반적인 음성 및 비디오는 음성/비디오 스트림 정도의 UDP 스트림 속도에서 150msec 미만의 단방향 단말 간 지연, 40msec 미만의 지터 그리고 1%, 미만의 패킷 손실을 요구합니다.
  3. 테스트 결과를 문서화합니다. 네트워크 문제가 아닌 경우, 클라이언트와 서버에서 가까운 어플리케이션의 양쪽 끝단에서 어플리케이션 트랜잭션을 캡처해 보십시오.. 가장 좋은 방법은 인라인 TAP을 사용하거나 SPAN/미러 포트를 통해 트래픽을 캡처하는 것입니다.

 



어플리케이션 서버에 대한 연결 상태를 확인하고 DNS 확인과 경로 지정 응답 시간을 모두 확인합니다.

OneTouch AT의 성능 테스트를 통해 라우터의 유선 링크 성능을 확인합니다. 최대 1Gbps의 업스트림 및 다운스트림 처리량뿐만 아니라 손실, 지터 및 대기 지연을 측정합니다.

스위치와 기기 사이에서 인라인으로 패킷을 캡처하고 필터를 적용하여 SD-RAM에 관련 정보를 저장합니다.

Getting it all together

네트워크 팀은 현재 스위치 네트워크를 효율적으로 지원하기 위해 모든 것을 가능하게 만드는 기술을 최신 상태로 유지해야 합니다. 또한 네트워크를 작동하게 만드는 구성과 같은 지식뿐만 아니라 문제 해결 또는 구축 과정에서 현장 정보를 효과적으로 공유하는 것도 팀 구성원들에게 중요합니다. 이러한 최선의 노력에도 불구하고 모든 팀 구성원이 같은 기술 수준을 가지고 있는 것은 아닙니다. 시장에서 사용할 수 있는 프리웨어와 도구는 많이 있지만, 모든 팀 구성원이 그러한 도구를 활용하는 것뿐만 아니라 테스트 결과를 해석하고 공유할 수 있는 지식을 가지고 있는 것이 아닙니다. 또한 프리웨어는 쉽게 공유할 수 있는 문서와 테스트 보고서 기능이 없는 것으로 악명이 높습니다. 네트워크에 대한 실시간 정보를 저장하고 공유할 수 있는 능력은 문제 해결 과정에서 팀 간의 협업 능률을 개선할 뿐만 아니라, 서비스 제공자와 같은 제3자가 일으킨 문제를 해결하도록 해당 업체에게 요청할 때 증거로도 중요한 역할을 합니다.


NETSCOUT 휴대용 네트워크 테스트 도구는 네트워크 운영 팀에게 가시성을 확보할 수 있는 수단을 제공하며 이러한 도구 제품군은 팀이 좀 더 효과적으로 업무를 수행하는 데 도움이 되는 두 가지 중요한 속성을 제공합니다.

1. 프로그래밍 가능한 자동 테스트 기능을 통해 테스트 절차를 표준화할 수 있습니다.
이 기능을 제공하는 AutoTest는 사용자가 프로그래밍할 수 있는 통과/실패 기준 및 자동 보고 기능과 함께 버튼 하나로 스위치 네트워크의 4가지 측면 모두에 대한 가시성을 제공합니다. 테스트의 세부 사항과 깊이의 정도에 따라 다른 3가지 선택 사항이 있습니다.

AutoTest 기능             LinkSprinter
            LinkRunner
            OneTouch AT
연결성 – PoE 유형 1 유형 1 및 2
(TruePower 사용)
유형 1 및 2
(TruePower 사용)
연결성 - 링크 10/100/1000Mbps
TP 케이블
10/100/1000Mbps
TP케이블 또는 광케이블
10/100/1000Mbps
구리선로 또는 광케이블 및
최대 802.11ac
연결성 – 스위치 ID LLDP/CDP 보고서
스위치 이름/포트 번호
LLDP/CDP 보고서
스위치 이름/포트 번호
LLDP/CDP 보고서
스위치 이름/포트 번호
인증 802.1x/EAP 802.1x/EAP
주소 DHCP 및 고정 DHCP 및 고정 DHCP 및 고정
VLAN ID
라우팅 게이트웨이,
IP 기기 1대 Ping,
DNS 확인 포함
게이트웨이,
IP 기기 10대 Ping
DNS 확인 포함
게이트웨이,
Ping, TCP 연결,
이메일, FTP, IGMP,
사용자 웹 테스트
정의 가능한 기기 수
효율 Ping 테스트 응답 시간 Ping 테스트 응답 시간 응답 시간 -
경로 지정 테스트
RFC2544 최대 1Gbps
유명한 도구 • 모바일 앱에서
Wi-Fi를 통해
테스트 결과 확인
• PoE 또는 AA 배터리를 통해 전원 공급
• 장애 지점까지의 거리
• 케이블 추적용
톤 발생기
• 케이블 테스트용
와이어맵
• 장애 지점까지의 거리
• 패킷 캡처
• 인라인 PoE 및 VoIP 분석
• 기기 검색 및
인벤토리 보고
• 원격 제어
• 장애 지점까지의 거리

표: 스위치 방식 네트워크용 NETSCOUT 휴대용 네트워크 테스트 간의 주요 기능 비교

2. 클라우드 포털을 이용해 테스트 결과를 저장 및 공유할 수 있는 협업 작업 흐름.

모든 NETSCOUT 휴대용 테스트 도구는 전체 네트워크 운영 팀이 가시성과 협업 능률을 올릴 수 있도록 Link-Live라고 부르는 클라우드 기반 결과 및 보고서 관리 데이터베이스를 공유합니다. Link-Live는 모든 휴대용 도구에서 테스트 결과를 자동으로 업로드하는 무료 클라우드 기반 서비스입니다. 네트워크 구축 과정에서 매일 테스트한 스위치 포트와 각 포트의 링크 속도 및 이중성 분포 그리고 PoE 테스트 결과를 보여주는 진행 상황 보고서를 쉽게 생성할 수 있습니다. 문제 해결 중에는 스위치 포트의 이전 테스트 결과를 현재 테스트 결과와 비교하여 변화를 빠르게 식별할 수 있습니다.

 

그림: 테스트 결과의 요약을 보여주는 Link-Live 결과 대시보드

그림: 세부 정보를 보여주는 확장 테스트 결과

그림: 특정 시간 동안의 테스트 결과 관점에서 진행 상황을 보여주는 Link-Live의 요약 보고서

결론

스위치 네트워크는 기기를 단순히 네트워크에 연결하는 단계에서 전원을 공급하고, 기기와 사용자를 인증하며, 트래픽의 경로를 효과적으로 그리고 자동으로 지정하는 단계로 진화했습니다. 네트워크 운영 팀은 특히 기기와 사용자가 계속 이동하고 새로운 M2M 기기가 추가되는 엣지 지역에서 스위치 네트워크를 구축하고 변경하기 위해 채택한 기술의 지식뿐만 아니라 가시성을 확보하는 방법을 유지 관리해야 합니다. 테스트 절차의 표준화, 정보의 공유, 설계 및 구성에서 실시간 현장 상태에 대한 모범 사례를 활용하면 팀의 전체적인 효율성이 향상됩니다. NETSCOUT 휴대용 네트워크 테스트 도구는 네트워크 운영 팀이 스위치 네트워크의 4가지 주요 측면을 효율적으로 제어할 수 있도록 동종 최고의 테스트 기능 및 자동 테스트 절차를 제공합니다.

 
 
Powered By OneLink