소규모 엔터프라이즈의 수요 해결을 위한 MPX 제품 출시!

5월 21일 인터롭에서 시트릭스는 500 메가바이트(Mbps)에서 3 기가바이트(Gbps)에 걸친 7개의 레이어와 함께 최고의 가격-성능을 가진 세 가지의 새로운 MPX 어플라이언스를 소개했습니다.

새로운 넷스케일러 MPX 7500과 MPX 9500 어플라이언스는 중소 엔터프라이즈에 현저한 향상을 가져다 주었으며 새로운 MPX 5000은 처음으로 소규모 엔터프라이즈에 진보한 넷스케일러 MPX 아키텍처를 제공했습니다.

새로운 모델은 최고급 넷스케일러 MPX 솔루션에서 이용할 수 있는 것과 동일한 풍성한 특징을 제공합니다. 하지만 소규모 업체에 걸맞게 가격 면에서 훨씬 경제적입니다.본 디자인은 향상된 멀티코어 MPX 아키텍처를 이용해 애플리케이션 가속화, 서버의 이용 가능성 그리고 통합된 애플리케이션 방화벽 및 SSL VPN 보안을 위해 완벽한 콘커런스 기능(Concurrency feature)를 제공하도록 고안되었습니다.

이 모든 기술은 저 전력 및 1U의 공간 효율적 디자인을 채택 함으로써 친환경적인 컴퓨팅을 지원합니다. 소규모 엔터프라이즈의 경우에는 대부분의 기능을 동시에 사용하고 경쟁적으로 제공하기 때문에 모듈 사용에 심각한 제한이 있었습니다.

MPX 5000은 지금 바로 사용 가능하며 유닛 당 12,000달러이고 전 세계적으로 수만 건의 젠앱 구현 해결했습니다. MPX 7500 주문도 곧 가능합니다.8월부터 MPX 9500이 이용 가능 하다는 소식과 함께, 6월 8일부터 새로운 모델을 세 가지 소프트웨어 에디션과 함께 이용할 수 있음을 알려드립니다.

참고 : 새로운 제품의 대략적인 Spec은 아래와 같습니다.

• MPX5500( DualCore, 4GRAM, 4x10/100/1000 base-T, 500Mbps throughtput)
• MPX7500( QuadCore, 8GRAM, 8x10/100/1000 base-T, 1Gbps throughput)
• MPX9500( QuadCore, 8GRAM, 8x10/100/1000 base-T, 3Gbps throughput)

자세한 Spec 내용은 아래의 링크를 통해 확인이 가능합니다.

넷스케일러 Spec 확인

Bridge Table Ageing Time

네트워크 장비에서 기본적으로 Layer2 패킷을 처리하는 방법으로 MAC주소 테이블을 참조하거나 MAC 주소가 없을 경우 ARP BroadCast를 통해 해당 MAC 주소를 찾는 방법(ARP Resolving)으로 통신을 한다.

ARP Resolving을 통해 얻은 MAC 주송는 Bridge Table이란 MAC 주소와 IP 주소 Mapping 테이블에 기록(Cache)되며, 매번 ARP Resolving을 하는 것이 아니라 Bridge Table을 먼저 확인하고 해당 조건이 테이블에 있을 경우 활용하는 방식을 사용한다.

넷스케일러라는 장비 또한 동일한 알고리즘을 사용하며, 아래의 명령어를 통해 해당 테이블의 상태를 확인하거나 Cache Time(Ageing Time)설정을 변경할 수 있다.

>show bridgetable

Ageing time for bridge table entries : 120 seconds

MAC Iface VLAN
--- ----- ----
1) 00:04:96:23:ae:70 1/3 3
2) 00:15:17:1f:7b:bc 1/3 3
3) 00:0a:5e:04:ae:06 LO/1 1
4) 00:04:96:21:dc:b0 1/3 3
Done

기본 값을 다른 값으로 갱신할 경우 아래의 명령어를 통해서 가능하다.

>set bridgetable -bridgeAge
(설정 값은 최소 60sec에서 최대 300sec까지 설정이 가능함)

날짜(date) 및 시간(time) 설정

넷스케일러에 NTP 설정을 하지 않았을 때 초기 설치 후 시간 설정을 반드시 확인할 필요가 있으며, 시간 설정이 맞지 않는다면 기록되는 로그에 잘못된 시간이 표기되어서 향후 분석에 문제가 발생할 수 있다.

아래와 같이 넷스케일러 SHELL 명령어를 통해서 시간 및 날짜의 설정 확인 및 변경이 가능하다.

• 시간확인
  >shell (shell mode로 변경)
  #dateMon Jan 19 11:06:08 KST 2009
  
• 시간설정변경
  >shell (shell mode로 변경)
  #date ccyymmddHHMM- ccyy, 20(cc)09(yy)-mm, 월-dd, 일-HH, 시간(0~23시)-MM, 분(0~59분)
  
  예제, 2009년 01월19일오전10시45분으로 변경 시
  #date 200901191045

거의 모든 버젼의 넷스케일러 적용이 가능함을 확인하였습니다.

how to perform a netscaler core-dump

Document ID: CTX114430 / Created On: 2007. 8. 31 / Updated On: 2008. 2. 19

요약
이 문서는 넷스케일러에서 Core Dump를 강제적으로 생성하는 두 가지 방식에 대해서 설명함.

방법
콘솔에서 아래의 명령어를 통해서 Core Dump의 생성콘솔에서 "~"키를 한번 누른 후 "Ctrl + B"키를 누르면 db 프롬프트로 변경되며, db 프롬프트 상태에서 아래의 순서대로 명령을 입력 함.

db>trace* db>call panic

다른 하나의 방법은 내부명령어(nsapimgr)를 통해서 Core Dump를 생성

/netscaler/nsapimgr -B "w debugger_on_panic 0"/netscaler/nsapimgr -B "call 0"

적용범위
NetScaler Application Delivery Software 7.0 NetScaler Application Delivery Software 8.0 NetScaler Application Delivery Software 8.1

about fin_wait action method

일반적으로 fin_wait 상태는 zombie connection 상태라고 하며, 이는 웹서버에서 설정된 time out 설정을 통해서 메모리 할당을 해제하도록 설정되어 있다.

근래 발생하는 공격의 유형 중에 zombi connection을 많이 발생시켜 웹서버의 부하를 발생하는 case도 종종 볼 수 있는데, 이를 넷스케일러를 통해서 효율적으로 관리할 수 있다.
(기본 설정으로 Apache 웹서버는 15sec 그리고 IIS 웹서버는 120sec를 기준으로 메모리 할당을 해제함.)

넷스케일러의 내부명령어(nsapimgr)을 통해서 해당 설정을 아래와 같이 변경할 수 있으며 내부명령어(nsconmsg)를 통해서 설정 내용을 확인할 수 있다.

• 설정변경 : nsapimgr -ys zombie_timeout=6000 (60sec로 설정할 경우)
• 설정확인 : nsconmsg -g zombie_timeout -d stats설정확인결과 예제

Displaying current counter value informationPerformance Data Record Version 2.0reltime:mili second between two records Wed Jan 14 09:48:20 2009Index reltime counter-value symbol-name&device-no 0 0 17 pcb_tot_force_zombie_timeout 1 0 12007 cfg_zombie_timeout_ticks 2 0 6000 cfg_natpcb_zombie_timeout_10msticks Done.

패킷포워딩을 위한 설정

넷스케일러는 L2 및 L3 Mode를 통해 최종 목적지가 넷스케일러가 아닌 환경에서 해당 패킷을 포워딩할 수 있는 방법을 제공한다.

만약 특정 브리지 패킷이 넷스케일러를 지나서 포워딩되어야 하는 환경이라면, 넷스케일러는 L2 Mode 설정을 통해서 해당 패킷을 포워딩 한다. 라우팅 패킷에 대해서는 L3 Mode를 통해서 라우팅 패킷을 전달 한다.

아래의 그림은 넷스케일러의 포워딩 프로세스에 대해서 자세하게 보여주는 도식이다.

만약 패킷 포워딩 프로세스에서 MBF(Mac Based Forwarding) 기능을 사용한다면 넷스케일러는 L2 ARP 테이블 및 L3 Routing 테이블을 참조하지 않고 패킷을 효율적으로 프로세싱 할 수 있다.

하지만 MBF를 사용할 때는 기존의 네트워크 디자인이 Asymmetric 환경일 경우 이런 네트워크 디자인이 더 이상 유지되지 못한다. MBF 기능은 VPN이나 Firewall과 같이 동일한 장비로 패킷을 전달해야 할 경우 유용하게 적용될 수 있는 기능이다. 물론 ISP 이중화와 같은 환경에서도 잘 고려하여 구성할 수 있다.

단, ISP 이중화 회선을 이용하며 넷스케일러의 LLB 설정을 사용한다면 MBF 기능을 더 이상 사용할 수 없다.
위 그림은 넷스케일러 MBF 기능의 동작 방식에 대한 간단한 예제 화면이다.