Bridge Table Ageing Time

네트워크 장비에서 기본적으로 Layer2 패킷을 처리하는 방법으로 MAC주소 테이블을 참조하거나 MAC 주소가 없을 경우 ARP BroadCast를 통해 해당 MAC 주소를 찾는 방법(ARP Resolving)으로 통신을 한다.

ARP Resolving을 통해 얻은 MAC 주송는 Bridge Table이란 MAC 주소와 IP 주소 Mapping 테이블에 기록(Cache)되며, 매번 ARP Resolving을 하는 것이 아니라 Bridge Table을 먼저 확인하고 해당 조건이 테이블에 있을 경우 활용하는 방식을 사용한다.

넷스케일러라는 장비 또한 동일한 알고리즘을 사용하며, 아래의 명령어를 통해 해당 테이블의 상태를 확인하거나 Cache Time(Ageing Time)설정을 변경할 수 있다.

>show bridgetable

Ageing time for bridge table entries : 120 seconds

MAC Iface VLAN
--- ----- ----
1) 00:04:96:23:ae:70 1/3 3
2) 00:15:17:1f:7b:bc 1/3 3
3) 00:0a:5e:04:ae:06 LO/1 1
4) 00:04:96:21:dc:b0 1/3 3
Done

기본 값을 다른 값으로 갱신할 경우 아래의 명령어를 통해서 가능하다.

>set bridgetable -bridgeAge
(설정 값은 최소 60sec에서 최대 300sec까지 설정이 가능함)

날짜(date) 및 시간(time) 설정

넷스케일러에 NTP 설정을 하지 않았을 때 초기 설치 후 시간 설정을 반드시 확인할 필요가 있으며, 시간 설정이 맞지 않는다면 기록되는 로그에 잘못된 시간이 표기되어서 향후 분석에 문제가 발생할 수 있다.

아래와 같이 넷스케일러 SHELL 명령어를 통해서 시간 및 날짜의 설정 확인 및 변경이 가능하다.

• 시간확인
  >shell (shell mode로 변경)
  #dateMon Jan 19 11:06:08 KST 2009
  
• 시간설정변경
  >shell (shell mode로 변경)
  #date ccyymmddHHMM- ccyy, 20(cc)09(yy)-mm, 월-dd, 일-HH, 시간(0~23시)-MM, 분(0~59분)
  
  예제, 2009년 01월19일오전10시45분으로 변경 시
  #date 200901191045

거의 모든 버젼의 넷스케일러 적용이 가능함을 확인하였습니다.

how to perform a netscaler core-dump

Document ID: CTX114430 / Created On: 2007. 8. 31 / Updated On: 2008. 2. 19

요약
이 문서는 넷스케일러에서 Core Dump를 강제적으로 생성하는 두 가지 방식에 대해서 설명함.

방법
콘솔에서 아래의 명령어를 통해서 Core Dump의 생성콘솔에서 "~"키를 한번 누른 후 "Ctrl + B"키를 누르면 db 프롬프트로 변경되며, db 프롬프트 상태에서 아래의 순서대로 명령을 입력 함.

db>trace* db>call panic

다른 하나의 방법은 내부명령어(nsapimgr)를 통해서 Core Dump를 생성

/netscaler/nsapimgr -B "w debugger_on_panic 0"/netscaler/nsapimgr -B "call 0"

적용범위
NetScaler Application Delivery Software 7.0 NetScaler Application Delivery Software 8.0 NetScaler Application Delivery Software 8.1

about fin_wait action method

일반적으로 fin_wait 상태는 zombie connection 상태라고 하며, 이는 웹서버에서 설정된 time out 설정을 통해서 메모리 할당을 해제하도록 설정되어 있다.

근래 발생하는 공격의 유형 중에 zombi connection을 많이 발생시켜 웹서버의 부하를 발생하는 case도 종종 볼 수 있는데, 이를 넷스케일러를 통해서 효율적으로 관리할 수 있다.
(기본 설정으로 Apache 웹서버는 15sec 그리고 IIS 웹서버는 120sec를 기준으로 메모리 할당을 해제함.)

넷스케일러의 내부명령어(nsapimgr)을 통해서 해당 설정을 아래와 같이 변경할 수 있으며 내부명령어(nsconmsg)를 통해서 설정 내용을 확인할 수 있다.

• 설정변경 : nsapimgr -ys zombie_timeout=6000 (60sec로 설정할 경우)
• 설정확인 : nsconmsg -g zombie_timeout -d stats설정확인결과 예제

Displaying current counter value informationPerformance Data Record Version 2.0reltime:mili second between two records Wed Jan 14 09:48:20 2009Index reltime counter-value symbol-name&device-no 0 0 17 pcb_tot_force_zombie_timeout 1 0 12007 cfg_zombie_timeout_ticks 2 0 6000 cfg_natpcb_zombie_timeout_10msticks Done.

패킷포워딩을 위한 설정

넷스케일러는 L2 및 L3 Mode를 통해 최종 목적지가 넷스케일러가 아닌 환경에서 해당 패킷을 포워딩할 수 있는 방법을 제공한다.

만약 특정 브리지 패킷이 넷스케일러를 지나서 포워딩되어야 하는 환경이라면, 넷스케일러는 L2 Mode 설정을 통해서 해당 패킷을 포워딩 한다. 라우팅 패킷에 대해서는 L3 Mode를 통해서 라우팅 패킷을 전달 한다.

아래의 그림은 넷스케일러의 포워딩 프로세스에 대해서 자세하게 보여주는 도식이다.

만약 패킷 포워딩 프로세스에서 MBF(Mac Based Forwarding) 기능을 사용한다면 넷스케일러는 L2 ARP 테이블 및 L3 Routing 테이블을 참조하지 않고 패킷을 효율적으로 프로세싱 할 수 있다.

하지만 MBF를 사용할 때는 기존의 네트워크 디자인이 Asymmetric 환경일 경우 이런 네트워크 디자인이 더 이상 유지되지 못한다. MBF 기능은 VPN이나 Firewall과 같이 동일한 장비로 패킷을 전달해야 할 경우 유용하게 적용될 수 있는 기능이다. 물론 ISP 이중화와 같은 환경에서도 잘 고려하여 구성할 수 있다.

단, ISP 이중화 회선을 이용하며 넷스케일러의 LLB 설정을 사용한다면 MBF 기능을 더 이상 사용할 수 없다.
위 그림은 넷스케일러 MBF 기능의 동작 방식에 대한 간단한 예제 화면이다.