방화벽 고가용성

네트워크 장비는 언제든지 죽을 수 있다는 가정하에 디자인

:방화벽처럼 민감한 장비는 일반 스위치나 라우터에 비해 CPU 사용률이 100%에 치닫는 일이 매우 흔함

 

해결책

1. HA를 사용

한 대의 방화벽이 죽었을 때 다른 한 대의 방화벽이 활성화되면서 백업함

모드	설명
AS(active-standby)	한 대를 메인으로, 한 대는 레디 상태로 두는 것
AA(active-active)	두 대 모두 메인으로 사용하는 것

failover: 자동으로 백업 방화벽이 전환되는 과정

 

AS 모드의 경우 failover로 한 대가 사망하더라도 문제가 없을 것 같지만 실제로는 몇 초에서 몇 십초에 이르는 네트워크 순단 현상이 발생함

 

2. 바이패스 스위치

장비가 죽었을 때를 대비해서 우회 경로를 만들어주는 장비

 

3. Full Mesh

안정성은 보강되지만 실제 장애가 발생했을 때 정확히 어느 구간에서 문제가 발생했는지를 찾기가 어려움

그러나 연속성을 보장하기 위해 full mesh를 기본 디자인을 삼고 있음