Data Center Networking / Edge Study / Tech Lesson

[ACP-DC 교육#9] VSX (1)

오늘날 네트워크 가용성에 대한 요구는 끊이지 않습니다.
고객들은 24시간 365일 작동하는 네트워크를 필요로 하며, HPE의 VSX 기술은 이 문제에 대한 해결책을 제시합니다.

HPE Aruba Networking의 VSX 기술은 AOS-CX 운영 체제에서 실행되는 데이터센터 및 코어 스위치를 위한 가상화 기술입니다.
이 솔루션은 스위치들이 중요한 영역에서 마치 하나의 가상화된 스위치처럼 작동하여 네트워크에 이중화 및 복원력을 추가합니다.

오늘 이 글을 통해 VSX가 데이터센터에서 어떻게 더 나은 성능, 복원력 및 안정성을 달성하는 데 도움이 되는지 배우게 될 것입니다.

스위치 가상화 솔루션

HPE Aruba Networing VSX는 AOS-CX 운영 체제에서 실행되는 가상화 기술입니다.

이 솔루션은 스위치들이 중요한 영역에서 하나의 가상화된 스위치처럼 작동하도록 합니다.
구성 동기화는 이 VSX 솔루션 기능으로, 주 스위치(Primary switch)에서 보조 스위치(Secondary switch)로 동기화됩니다.

VSX는 두 스위치의 컨트롤 플레인(Control Plane)을 가상화하여 L2에서는 하나의 장치처럼 기능하고, L3에서는 독립적인 장치처럼 기능하도록 합니다. 데이터 경로(Datapath) 관점에서는 각 장치가 독립적으로 포워딩을 수행하여 트래픽을 처리하는 방법을 결정합니다.

MAC 포워딩 데이터베이스 및 인접 테이블(Neighbor Table)과 같은 일부 포워딩 데이터베이스는 독점적인 VSX 컨트롤 플레인을 사용하여 두 장치 간에 동기화됩니다. 각 스위치는 일부 포워딩 데이터베이스를 독립적으로 구축합니다.

HPE Aruba Networking Virtual Switching Framework (VSF)는 동일 모델의 여러 스위치가 단일 가상 장치처럼 작동하도록 하는 HPE Aruba의 네트워킹 스태킹 기술입니다. VSF는 빠른 Failover, 확장성, 관리 용이성 및 고가용성을 제공합니다.

VSF 패브릭은 다음과 같은 특징을 가집니다.

  • 컨덕터(Conductor) 스위치의 관리 모듈이 제공하는 하나의 활성 관리 플레인과 하나의 활성 컨트롤 플레인을 가짐
  • 컨덕터는 컨트롤 플레인을 대기 멤버(standby member)에게 프록시(proxy)합니다.
  • 패브릭의 두 멤버 모두 포워딩 플레인에 참여합니다.
  • 두 멤버의 인터페이스 모듈은 VSF 링크로 연결된 하나의 큰 스위치처럼 결합됩니다.

HPE는 실제 운용 중인 데이터센터 네트워크 환경에서 VSF 사용을 권장하지 않습니다.
대신, VSF는 여러 대의 OOBM 스위치를 묶어서 스태킹할 때 사용할 수 있습니다.

HPE 스위치 가상화 솔루션: VSX와 VSF의 차이점

HPE는 네트워크의 다양한 계층과 요구사항에 맞춰 두 가지 주요 스위치 가상화 솔루션을 설계했습니다:

  • VSX (Virtual Switching eXtension)
  • VSF (Virtual Switching Framework)

각 솔루션별 차이점은 아래 표로 요약해볼 수 있습니다.

특징VSX (Virtual Switching eXtension)VSF (Virtual Switching Framework)
주요 적용 계층코어 및 어그리게이션 레이어 (데이터센터/캠퍼스)
대규모 트래픽이 집중되고 높은 안정성이 요구되는 핵심 구간		액세스 레이어 (캠퍼스)
최종 사용자 장비가 연결되는 스위치 단
설정 방식수동 설정 (엄격한 제어)
관리자가 두 스위치 모두에 수동으로 기능을 설정		플러그 앤 플레이 (자동 합류)
컨트롤/관리 플레인이중 컨트롤/관리 플레인 (동기화 옵션)
각 스위치가 자체적인 제어 및 관리 기능을 가지지만, 필요한 경우 특정 기능에 대해 동기화		단일 활성 컨트롤/관리 플레인
여러 스위치가 하나의 가상 장치처럼 작동하여 관리의 단순성을 제공
트래픽 처리액티브-액티브 (L2, L3 유니캐스트, L3 멀티캐스트)
네트워크의 다른 장치들에게는 마치 하나의 장치처럼 작동		(패브릭 멤버 모두 포워딩 참여)
포트 기본값비활성화, L3 작동활성화, L2 작동
업그레이드소프트웨어 업그레이드 중에도 거의 제로 다운타임
(높은 가용성 제공)		(빠른 페일오버, 고가용성 제공)

이처럼 HPE는 네트워크의 다양한 요구사항에 맞춰 VSX와 VSF라는 두 가지 강력한 가상화 기술을 제공하며, 각 기술은 특정 네트워크 계층에서 최적의 성능과 안정성을 발휘하도록 설계되었습니다.

VSX의 이점

여기 HPE가 권장하는 3-계층 토폴로지 예시가 있습니다.
이 토폴로지에서는 액세스 및 어그리게이션 레이어에 VSX를 배포합니다.

만약 토폴로지가 요구한다면 코어 레이어에도 VSX를 배포할 수 있지만, 일반적으로 이중화된 코어 스위치들을 완전히 독립적으로 유지하는 것을 선호할 수 있습니다.

이중 컨트롤 플레인(Dual Control Plane)은 최고의 복원력과 거의 제로 다운타임(near zero downtime)으로 소프트웨어 업그레이드를 제공합니다.

동시에 VSX는 관리자가 동기화하기로 선택한 기능에 대해 통합 관리를 허용합니다.

VSX와 링크 어그리게이션 (LAG)

VSX 쌍은 양쪽 VSX 스위치에 걸쳐 링크 어그리게이션(LAG)을 사용하여 액세스 레이어의 스위치에 연결됩니다.

이러한 유형의 LAG를 멀티-섀시(multi-chassis), 분산(distributed), 또는 VSX LAG라고 부릅니다.
액세스 레이어의 스위치가 라우팅을 하지 않기 때문에 이 VSX LAG는 L2에서 작동합니다.
애그리게이션(Aggregation) 레이어의 VSX 쌍이 액세스 VLAN의 기본 게이트웨이(Default Gateway) 역할을 합니다.

이러한 L2 LAG는 링크 이중화 환경에서 MSTP1 또는 RPVST2의 필요성을 제거합니다.
이들은 루프 없는(loop-free) 경로를 제공하여 애그리게이션 스위치의 모든 링크를 활성 상태로 사용할 수 있도록 합니다.

LAG 기반 토폴로지를 구성하는 것은 간단하며, 링크 하나가 실패해도 페일오버(Failover)가 매우 빠르게 발생합니다.

VSX와 L3 연결

VSX 쌍은 코어 스위치에 대한 L3 링크를 가집니다.

각 VSX 스위치는 ROP3 또는 해당 포트에 할당된 L3 VLAN 인터페이스4를 통해 각 스위치에 독립적으로 연결할 수 있습니다.

또 다른 방법으로는, 두 VSX 스위치 모두 VSX LAG를 통해 각 코어 스위치에 함께 연결될 수도 있습니다.
이 LAG는 L2에서 작동하며 하나 이상의 VSI(Virtual Switch Interface)와 연결됩니다.

어떤 옵션을 선택하든, VSX는 ECMP5를 통해 액티브-액티브 L3 라우팅과 유니캐스트 트래픽을 위한 효율적인 경로를 지원합니다.
마지막 옵션(L3 ECMP와 VSX LAG의 조합)은 높은 내결함성 시스템을 구축합니다.

액티브 게이트웨이 (Active Gateway) 기능

VSX 쌍은 액세스 VLAN의 기본 게이트웨이 역할을 한다는 점을 기억해야 합니다.

이를 위해 VSX 쌍은 액티브 게이트웨이 기능을 사용합니다.
이 기능은 각 스위치가 공유 가상 IP 주소와 가상 MAC 주소를 사용하여 각 VLAN의 기본 게이트웨이 역할을 하도록 합니다.

그리고 VRRP6 또는 HSRP7의 필요성을 없애줍니다.

액티브 게이트웨이 기능은 구성이 간단하며, VSX 작동에 의존하므로 추가적인 프로토콜 오버헤드를 발생시키지 않습니다.
또한 DHCP 릴레이 기능에 대한 이중화도 지원합니다.

VSX 관리 플레인 동기화

VSX는 이중 관리 플레인(dual management plane)을 사용하지만, 이 관리 플레인은 서로간의 동기화를 지원합니다.
이러한 동기화는 AOS-CX의 혁신적인 데이터베이스 중심 설계 덕분에 부분적으로 가능합니다.

VSX 동기화의 핵심 원리 및 이점
  • 피어 간 상태 인지: VSX 쌍 내의 스위치들은 자신들의 데이터베이스 일부를 동기화할 수 있어, 각 스위치가 트래픽을 활성적으로 포워딩하면서도 다른 스위치(피어)의 상태를 정확히 인지할 수 있습니다.
  • 관리의 단순성: VSX는 CLI, REST 인터페이스, 웹 사용자 인터페이스(UI)를 통해 두 컨트롤 플레인을 관리자와 비즈니스 애플리케이션에 쉽게 노출시켜 관리의 단순성을 제공합니다. 이는 관리를 단순화할 뿐만 아니라, 이중화된 스위치 쌍에 걸쳐 분석(analytics)을 가능하게 합니다.
  • 선택적 동기화: 관리자는 인터페이스나 VLAN과 같은 특정 구성 요소를 VSX 쌍 간에 동기화하도록 선택할 수 있습니다. 그러면 해당 구성 요소에 대한 설정이 지속적으로 동기화되어, 스위치 쌍의 구성을 더 쉽게 하고 오류 발생 가능성을 최소화합니다.
  • 손쉬운 설정 비교: 관리자는 여러 구성 요소에 대한 정보를 두 스위치에서 집계하고 비교하는 show 명령을 사용할 수 있어, 불일치하는 설정을 빠르게 찾아낼 수 있습니다.
  • 통합 뷰 제공: 또한, 많은 명령에 vsx-peer 옵션을 추가하여 로컬 스위치와 피어 스위치 모두에 대한 정보를 볼 수 있으므로, VSX 시스템에 대한 단순하고 통합된 뷰를 제공합니다.
  • 무중단 라이브 업그레이드 지원: VSX 동기화는 무중단(hitless) 라이브 업그레이드를 조율하는 데도 도움이 됩니다. 한 스위치가 업그레이드를 받아야 할 때, 다른 스위치는 이를 인지하고 트래픽을 업그레이드할 스위치에서 다른 스위치로 능동적으로 이동시킬 수 있습니다.
HPE Aruba Networking NAE (Network Analytics Engine) 통합

각 VSX 쌍의 스위치는 센서 값을 로컬에 저장하는 자체 NAE8 에이전트를 유지합니다. NAE는 VSX를 인식합니다.

  • 상호 모니터링: 각 멤버의 에이전트는 다른 멤버의 데이터베이스에 연결하여 교차 모니터링을 통해 불일치를 감지할 수 있습니다. 예를 들어, 각 NAE 에이전트는 주 스위치와 보조 스위치 데이터베이스의 객체 수를 모니터링합니다.
  • 건강 상태 검증: 동기화가 올바르게 작동하면 객체 수는 동일해야 합니다. 예를 들어, 주 데이터베이스의 객체 수가 보조 데이터베이스보다 5분 이상 20% 더 많을 경우 경고가 트리거될 수 있습니다. 이러한 액티브-액티브 분석은 전체 솔루션의 건강 상태를 검증하는 데 도움이 됩니다.

VSX 구성 요소

VSX는 일반적인 LAG(링크 어그리게이션 그룹)의 한계를 뛰어넘어 네트워크의 안정성과 효율성을 크게 높여주는 기술입니다.

분산 LAG (Multi-Chassis LAG)

앞서 소개한 것처럼 VSX는 링크 어그리게이션 기술을 지원합니다.

이는 두 개 이상의 링크를 두 개의 스위치에 걸쳐서 묶어 하나의 논리적인 인터페이스인 LAG로 만드는 방식입니다.
일반적인 IEEE 802.3ad 표준은 단일 스위치 또는 장치 내에서만 링크를 묶을 수 있도록 제한되어 있습니다.

하지만 VSX 기능은 고유한 기술을 사용하여 이러한 한계를 극복합니다.
VSX는 동일한 VSX 스택 내의 여러 스위치에 걸쳐 있는 링크에 대해 링크 어그리게이션을 지원합니다.

이 두 스위치는 ISL(Inter-Switch Link)이라는 전용 링크로 연결됩니다.

노드 레벨 이중화

또한 VSX는 네트워크에서 스위치 하나가 고장 났을 때를 대비하여 노드 레벨(스위치 자체)의 이중화를 제공합니다.

다운스트림 장치(하위에 연결되는 서버나 다른 스위치 등)는 802.3ad LAG 인터페이스로 구성해야 합니다.
비록 LAG가 두 개의 개별 장치(VSX 스위치)에 연결되지만, 다운스트림 장치 입장에서는 이들이 하나의 단일 장치처럼 보입니다.

다운스트림 장치는 LACP(802.3ad)를 지원하는 모든 장치일 수 있습니다.

Primary/Secondary 및 설정 동기화

VSX 환경에서는 한 스위치가 메인(Primary) 역할을 하고 다른 스위치는 백업(Secondary) 역할을 합니다.
만약 config-sync 기능을 활성화하면, 프라이머리 스위치의 설정이 세컨더리 스위치로 동기화됩니다.

하지만 여기서 중요한 점은 전체 설정이 동기화되는 것은 아니라는 것입니다.

관리자가 VSX-sync를 통해 수동으로 활성화한 요소들만 동기화됩니다.

ISL (Inter-Switch Link): VSX 스위치 간의 생명선

ISL (Inter-Switch Link)은 두 개의 VSX 피어 스위치 간에 설정되는 레이어 2 인터페이스입니다.
이 링크는 두 VSX 스위치가 서로 직접 연결되도록 구성되어야 합니다.

ISL의 주요 기능:
  • 데이터 경로 (Datapath): 실제 사용자 및 서비스 트래픽을 포워딩하는 역할을 수행
  • 제어 경로 (Control Path): VSX 프로토콜 메시지를 교환하고, 관리 플레인(예: 설정, 상태 정보)을 동기화하는 데 사용
ISL 구성 권장 사항:
  • 링크 어그리게이션 (LAG): 단일 물리적 링크로도 구성할 수 있지만, HPE는 복원력을 높이기 위해 최대 8개의 물리적 링크를 묶어 LAG로 구성하는 것을 권장합니다.
  • 링크 속도: LAG 내의 모든 링크는 10Gbps, 40Gbps, 또는 100Gbps와 같이 동일한 속도여야 합니다.
    데이터 경로의 충분한 대역폭 확보를 위해 일반적으로 여러 개의 40Gbps 또는 100Gbps 링크를 사용하는 것이 좋습니다.
  • 포트 및 미디어: ISL은 멤버 스위치의 플레인 포트를 사용하며, 어떤 미디어 타입(예: 구리, 광섬유)이든 사용할 수 있습니다. 광섬유를 사용하면 파이버 또는 트랜시버 유형에 따라 장거리 연결도 가능합니다.
ISL 인터페이스의 특징:
  • VLAN 멤버십: 기본적으로 장치 내의 모든 VLAN의 멤버입니다.
    CLI를 통해 변경할 수 있지만, VSX LAG를 통해 전달되는 모든 VLAN은 반드시 ISL에도 포함되어야 합니다.
  • 트래픽 포워딩: 데이터 경로에서 트래픽은 VSF와 달리 추가적인 캡슐화 없이(natively) 포워딩됩니다.
  • 정책 제어: 스위치의 다른 인터페이스와 마찬가지로 QoS(Quality of Service) 및 ACL(Access Control List) 정책을 ISL에 적용하여 트래픽을 제어할 수 있습니다. (필수 트래픽이 차단되지 않도록 주의해야 합니다.)
  • DSCP 보존: ISL은 DSCP(Differentiated Services Code Point) 리마킹을 보존합니다. 예를 들어, 로컬 스위치의 LAG 링크가 실패하여 ISL을 통해 트래픽을 전송하더라도 패킷은 원래 LAG를 통해 전송되었을 때의 DSCP 값을 유지합니다. 단, 다른 피어 스위치의 ISL 인터페이스는 수신 프레임의 DSCP 설정을 신뢰하도록 구성해야 합니다.
ISLP (Inter-Switch Link Protocol):

ISLP는 ISL 위에서 실행되는 프로토콜로, VSX 쌍의 핵심적인 기능들을 담당합니다.

초기 및 지속적인 동기화:

VSX 쌍을 처음 구성할 때 스위치를 동기화합니다.
이후에는 LACP 상태, MAC 테이블, ARP 테이블설정 정보를 지속적으로 동기화합니다.

피어 상태 감지:

기본적으로 1초 간격으로 헬로(hello) 패킷을 주기적으로 교환하여 피어의 상태를 감지합니다.
데드 인터벌(dead interval)은 기본 20초로, 이 시간 동안 헬로 패킷을 받지 못하면 피어가 다운되었다고 판단하고 스플릿 디텍션(split detection)을 시작합니다.

빠른 페일오버:

데드 인터벌이 길어 보일 수 있지만, 각 VSX 스위치는 자체 컨트롤 플레인을 유지합니다.
한 스위치가 다운되면, 해당 스위치의 VSX LAG 링크들도 즉시 다운되고 트래픽은 이미 활발히 포워딩 중인 다른 피어 스위치로 즉시 페일오버되어 서비스 중단 없이 계속됩니다.

ISL 링크 다운 감지:

일반적으로 ISL 링크의 모든 물리적 링크가 홀드 타임(기본값 0초) 동안 다운되면 ISL 링크가 “다운”으로 간주되고 스플릿 디텍션이 트리거됩니다.

Keepalive

VSX 환경에서는 ISL외에도 Keepalive 연결을 각 VSX 스위치에 구성하여 다른 스위치와의 상태를 확인해야 합니다.

Keepalive(KA)의 필요성 및 역할
ISL 장애 시 보호:

ISL이 다운될 경우, 각 VSX 피어는 KA 통신을 사용하여 피어가 여전히 작동 중인지(ISL을 통해 접근할 수 없을 뿐인지) 확인합니다.
즉, VSX 쌍이 스플릿-브레인(Split-brain) 상태에 빠졌는지 감지하는 데 사용됩니다.

스플릿-브레인 시나리오 처리:

만약 KA 통신이 피어가 여전히 작동 중임을 나타내면, 메인 VSX 스위치는 자신의 VSX LAG 링크를 계속 활성화 상태로 유지합니다.
반면에 세컨더리 VSX 스위치는 자신의 VSX LAG 링크를 강제로 다운시킵니다.

프라이머리 스위치는 VSX 설정 시 사용자가 구성한 역할(role) 설정에 따라 선택됩니다.
만약 스위치들을 동일한 역할로 구성했다면, 가장 낮은 MAC 주소를 가진 스위치가 우선권을 가집니다.
이 메커니즘은 두 스위치가 모두 액티브 상태라고 착각하여 네트워크 루프나 트래픽 손실을 유발하는 스플릿-브레인 상황을 방지합니다.

Keepalive 연결 경로 및 설정
  • 독립적인 경로: 피어들은 라우팅된 네트워크를 통해 Keepalive 패킷을 교환합니다.
    이 경로는 직접적인 L3 링크일 수도 있고, 업스트림 L3 네트워크를 통한 간접적인 링크일 수도 있습니다.
  • ISL 우회: 중요한 점은 Keepalive 패킷이 ISL을 통과하지 않도록 해야 한다는 것입니다.
    이는 ISL 자체가 고장 났을 때도 피어 간의 상태를 독립적으로 확인할 수 있도록 하기 위함입니다.
  • 소스 인터페이스: 안정성을 위해 Keepalive 패킷의 소스(source)를 루프백 인터페이스로 설정할 수 있습니다.
Keepalive 패킷의 기술적 특징
  • UDP 기반: Keepalive 패킷은 UDP(User Datagram Protocol)를 사용
  • 기본 포트: 기본적으로 포트 7678을 사용하지만, UDP 포트는 구성 가능
  • 헬로 패킷 간격: Keepalive 헬로 패킷은 기본적으로 1초마다 전송되며, 이 간격은 1초에서 5초 사이로 구성 가능
  • 데드 인터벌: Keepalive 데드 인터벌은 3초이며, 2초에서 20초 사이로 구성 가능

장치가 데드 인터벌 시간 내에 피어로부터 킵얼라이브 패킷을 수신하지 못하면, 해당 피어 장치를 ‘서비스 불가(out-of-service)’ 상태로 간주하고 스플릿-브레인 보호 메커니즘을 작동시키지 않습니다.
(이미 피어가 완전히 다운되었다고 판단하여 보호 메커니즘이 필요 없게 됨).

액티브 포워딩 (Active Forwarding): ISL을 거치지 않는 최적의 트래픽 흐름

액티브 포워딩은 포워딩을 최적화하여 트래픽이 코어에서 어그리게이션 VSX 쌍의 어느 스위치로든 흐른 다음 액세스 레이어로 전달될 때, ISL(Inter-Switch Link)을 건너지 않고도 처리될 수 있도록 합니다.

이는 각 스위치가 피어의 SVI MAC 주소를 학습하여 대신 라우팅할 수 있게 함으로써, 네트워크 효율성과 성능을 향상시킵니다.

액티브 포워딩의 작동 원리
  1. 피어의 MAC 주소 학습: 액티브 포워딩을 사용하면, 각 VSX 스위치는 특정 SVI(Switch Virtual Interface)와 연결된 자신의 피어 스위치의 MAC 주소를 자신의 인터페이스에 추가적인 MAC 주소로 구성합니다.
  2. 라우팅 전용 조회: 이 추가적인 MAC 주소는 라우팅을 위한 조회(look up) 기능만 수행합니다.
    즉, 스위치는 해당 MAC 주소를 목적지로 하는 이더넷 프레임을 수신하면, 그 안의 패킷에 대해 레이어 3 처리를 수행하고 패킷을 피어 스위치를 대신하여 라우팅합니다.
  3. 최적의 포워딩 경로 보장: 이는 코어에서 액세스 레이어로 라우팅되는 모든 트래픽에 대해 최적의 포워딩 경로를 보장합니다. 코어가 특정 트래픽에 대해 어떤 넥스트 홉(next hop)과 링크를 선택하든 상관없이, VSX 스위치가 피어 스위치의 MAC 주소를 목적지로 하는 프레임을 수신하면, 해당 패킷을 내부적으로 처리하고 피어를 대신하여 라우팅합니다.
  4. 자체 트래픽 및 다운스트림 트래픽: 그러나 VSX 스위치가 자체적으로 트래픽을 생성하거나 다운스트림에서 트래픽을 라우팅할 때는 여전히 자신의 MAC 주소를 사용하며, VSX 피어의 추가적인 MAC 주소를 사용하지 않습니다.
액티브 포워딩 구성 및 제한 사항
  • SVI에만 지원: 액티브 포워딩을 활성화하려면, VSX 쌍의 업스트림 LAG와 연결된 모든 SVI에 이 기능을 구성해야 합니다.
  • 예시: 제시된 예시에서는 VLAN 101 및 102 인터페이스에서 이 기능을 활성화합니다. 이는 SVI만 액티브 포워딩을 지원하기 때문입니다.
  • 최대 VLAN 인터페이스 수: 이 과정이 발행된 시점 기준으로, VSX 쌍에서 액티브 포워딩을 사용할 수 있는 VLAN 인터페이스는 최대 16개입니다.

액티브 게이트웨이 (Active Gateway)

액티브 게이트웨이 기능은 VSX 환경에서 기본 게이트웨이 이중화를 제공하는 혁신적인 솔루션입니다.

액티브 게이트웨이는 액세스 네트워크에서 기본 게이트웨이 서비스의 단일 장애 지점(Single Point of Failure)을 제거하는 퍼스트-홉 리던던시 프로토콜(FHRP)입니다. 이 액티브 게이트웨이 기능은 가상 라우터가 해당 네트워크의 기본 게이트웨이 역할을 하도록 함으로써 호스트 네트워크의 안정성과 성능을 향상시킵니다.

VRRP에 비해 구성이 훨씬 간소하며, 특히 양쪽 VSX 스위치 모두 트래픽을 활발히 포워딩할 수 있다는 점에서 데이터 플레인의 효율성을 극대화합니다.

액티브 게이트웨이 설정 및 작동 방식
  • 가상 IP/MAC 사용: 이 기능을 구성하려면, 두 VSX 스위치의 SVI에 공유 가상 IP 주소(VIP)와 공유 가상 MAC 주소(VMAC)를 사용합니다. 이 VIP/VMAC는 각 액세스 VLAN의 기본 게이트웨이 역할을 합니다.
  • 트래픽 처리: 액세스 VLAN으로부터 특정 트래픽이 VSX 쌍의 어느 스위치로 수신될지는 다운스트림 액세스 스위치의 LAG(링크 어그리게이션 그룹)가 어떤 링크를 선택했는지에 따라 달라집니다. 어떤 스위치가 트래픽을 수신하든, 해당 스위치는 트래픽을 L3 도메인으로 라우팅합니다.
  • VRRP 불필요: 특정 VLAN에 액티브 게이트웨이를 사용하면, 해당 VLAN에는 VRRP가 필요 없습니다.
    이 두 기능은 상호 배타적입니다.
  • 출발지 MAC 주소: VRRP와 마찬가지로, VSX 피어로부터 라우팅된 트래픽은 VMAC 주소가 아닌 스위치 인터페이스 MAC 주소에서 출발됩니다.
  • VMAC 에이징 방지: 3분마다 (설정 불가능) 각 액티브 게이트웨이는 VMAC로부터 헬로(hello) 패킷을 브로드캐스트하여 액세스 스위치에서 VMAC 에이징(aging)이 발생하는 것을 방지합니다. 양쪽 피어에서 전송되는 헬로 패킷은 동일한 VSX LAG를 통해 전달되므로, 동일한 MAC 주소가 다른 포트에서 나타나는 문제(MAC flapping)는 발생하지 않습니다. 이 헬로 패킷은 IP가 아닌 이더넷 패킷이며, HP EtherType (080009 Hewlett-Packard)과 예약된 멀티캐스트 목적지 주소를 사용합니다.
VRRP와 액티브 게이트웨이의 주요 차이점

액티브 게이트웨이 기능과 VRRP 사이에는 몇 가지 중요한 차이점이 있습니다:

특징VRRP (Virtual Router Redundancy Protocol)액티브 게이트웨이 (Active Gateway)
구성 복잡성VLAN의 VRID(Virtual Router Identification), 각 VRID의 역할, 각 VRID의 가상 IP 주소, 광고 타이머 등 여러 구성 옵션 필요VLAN 인터페이스당 단 한 줄의 구성만 필요 (가상 IP/MAC 구성)
트래픽 포워딩 방식액티브-스탠바이(Active-Standby) 데이터 플레인 사용; VRRP 오너(owner)인 활성 라우터만 트래픽 라우팅양쪽 장치 모두 트래픽을 포워딩 (액티브-액티브 유사)
프로토콜 종류개방형 표준 (IEEE 표준)HPE AOS-CX 스위치에 특화된 기능
오버헤드VRRP 프로토콜 자체의 오버헤드 존재VSX 작동에 의존하며, 추가적인 프로토콜 오버헤드가 없음
목적기본 게이트웨이 이중화기본 게이트웨이 이중화 및 VSX 환경에서의 효율적인 트래픽 분산 최적화

VSX 스위치 재부팅 및 초기 동기화 과정

VSX 환경에서 스위치가 재부팅될 때, 네트워크 트래픽의 중단을 최소화하고 데이터베이스를 일관성 있게 유지하는 것이 중요합니다. 이 과정은 다음과 같은 단계를 거칩니다.

초기 동기화 단계 (Initial Sync Phase)

VSX 노드들은 ISLP(Inter-Switch Link Protocol)를 통해 매초마다 피어의 상태를 동기화합니다.

동기화되는 주요 정보는 다음과 같습니다:

  • 학습된 MAC 주소
  • LACP 상태
  • MSTP 상태

VSX 시나리오에서 코어에서 액세스로 향하는 모든 트래픽이 한 스위치로만 흐르더라도, 다른 스위치는 VSX 피어를 통해 ARP/ND(Neighbor Discovery) 정보를 학습하게 됩니다. 이는 일반적인 데이터 경로 기반 학습 기능에 영향을 주지 않습니다.

VSX가 분할되었다가 다시 결합되는 시나리오(예: 주기적인 동기화)는 대량 동기화(bulk synchronization) 이후 재개됩니다.

IVRL(Inter-VRF Route Leaking)은 한 VRF에 있는 라우팅 정보를 다른 VRF로 “유출”시키는 기술입니다.
하나의 스위치 안에 여러 개의 독립된 라우팅 테이블(VRF)을 만들어 서로 다른 네트워크를 운영할 수 있습니다.

일반적인 VSX 동기화(MAC, ARP 테이블 등)는 잘 작동하지만, IVRL을 통해 생성된 이웃(neighbor) 정보는 VSX 피어 스위치 간에 자동으로 동기화되지 않습니다. 왜냐하면 IVRL은 각 스위치에서 개별적으로 작동하는 라우팅 메커니즘이기 때문입니다.

한 스위치가 IVRL을 통해 어떤 VRF에서 다른 VRF로 경로를 넘겨받았다고 해서, 그 정보가 VSX 동기화 프로토콜을 통해 다른 스위치로 전달되지는 않습니다. 대신 각 스위치는 로컬(자신)의 데이터 경로를 통해 IVRL Neighbor 항목을 학습합니다.

따라서, IVRL로 인해 생성된 네이버 항목들은 VSX 쌍의 각 스위치에서 각자 다시 학습해야 합니다.

한쪽에서 IVRL이 작동하여 네이버 항목이 생겼다고 해도, 다른 쪽 스위치가 그 정보를 받아서 바로 네이버로 등록하는 것이 아니라, 동기화된 ARP 정보 등을 기반으로 자신의 IVRL 메커니즘을 통해 스스로 재학습하는 과정을 거쳐야 합니다.

VSX 스위치 재부팅 시의 작동 방식

VSX 스위치가 재부팅되면 ARP, MAC, 경로에 대한 정보가 전혀 없는 상태가 됩니다.

만약 이 스위치가 모든 정보를 다시 학습하기 전에 다운스트림 VSX LAG 포트가 활성화되면, 트래픽 손실이 발생합니다.
이러한 트래픽 손실을 방지하기 위해, 재부팅된 스위치의 VSX LAG는 LACP, MAC, ARP 데이터베이스 및 MSTP 상태가 복원될 때까지 비활성 상태(down)를 유지합니다.

VSX LAG의 학습 과정은 두 단계로 이루어집니다:

1. 초기 동기화 단계 (Initial sync phase):

LACP 상태, MAC주소/ARP 테이블, 그리고 잠재적으로 MSTP 상태가 포워딩 스위치에서 새로 재부팅된 스위치로 다운로드됩니다.

  • 다운로드 과정: 재부팅된 스위치가 ISLP를 통해 VSX 피어로부터 모든 LACP, MAC, ARP, 그리고 MSTP 데이터베이스 엔트리를 다운로드하는 단계
  • 타이머: 이 초기 동기화 타이머는 설정이 불가능하며, 데이터베이스 정보를 피어로부터 다운로드하는 데 필요한 시간만큼 소요
2. 링크-업 지연 단계 (Link-up delay phase): VSX 스위치 재부팅 시 트래픽 손실 방지 메커니즘

이 단계는 재부팅된 스위치가 다운로드받은 정보를 안정적으로 처리하고 네트워크에 다시 완전히 합류할 수 있도록 기다리는 시간입니다.

시스템이 다운로드된 항목을 ASIC에 설치하고, 코어 노드와의 라우터 인접 관계9를 설정하며, 업스트림 경로를 학습합니다.
이 단계는 linkup-delay-timer <DELAY-TIMER> 명령으로 구성할 수 있습니다. 기본값은 180초입니다.
MAC 주소, ARP 테이블, 또는 라우팅 테이블이 많은 경우, 링크-업 지연 타이머를 최대 600초까지 설정할 수 있습니다.

두 스위치가 모두 재부팅되는 경우

두 VSX 스위치가 모두 재부팅되면, 두 스위치 모두 LACP 상태, MAC 주소 테이블, ARP 테이블을 다시 학습해야 하므로 링크-업 지연 타이머는 사용되지 않습니다.

  • 업스트림 LAG 제외: 링크-업 지연 중에 업스트림 라우터 인접 관계를 빠르게 설정할 필요가 있을 수 있습니다<=.
    이때는 업스트림 LAG를 링크-업 지연 범위에서 제외해야 합니다.
  • 제외 명령: linkup-deal-timer exclude lag-list <LAG-LIST> 명령을 실행하여 제외할 LAG들을 식별합니다.

하나의 VSX 스위치에서 다음 명령어들 중 하나 이상을 입력했지만,
다른 VSX 스위치에는 입력하지 않으면 두 스위치의 ARP 엔트리(항목)가 동기화되지 않습니다.

  • clear ARP: ARP 테이블을 지우는 명령어입니다.
  • interface VLAN: VLAN 인터페이스 설정 모드로 진입하는 명령어입니다.
  • shutdown for a VLAN: 특정 VLAN을 종료하는 명령어입니다.
  • no shutdown for a VLAN: 특정 VLAN을 다시 활성화하는 명령어입니다.

Multi-Chassis LAG (VSX LAG)

VSX LAG는 두 개 이상의 링크를 두 개의 스위치에 걸쳐서 묶어 하나의 논리적인 인터페이스인 LAG를 형성하는 기술입니다.

이를 통해 업스트림/다운스트림 장치와의 이중화 및 대역폭 확장을 제공합니다.
특히 로컬 최적화는 트래픽이 불필요하게 ISL을 거치지 않고 가장 효율적인 경로로 전달되도록 보장하여 네트워크 성능을 극대화합니다.

VSX LAG의 주요 특징
  • 단일 장치처럼 인식: VSX 쌍과 LAG를 구성하는 업스트림 또는 다운스트림 파트너 장치 입장에서는 두 스위치가 하나의 피어 ID(Peer ID)를 가진 단일 장치처럼 보입니다.
  • 포트 속도: LAG에 속한 모든 포트는 동일한 속도를 가져야 합니다.
    기존 포트보다 낮은 속도의 여분(spare) 포트는 추가할 수 없습니다.
  • 링크 수: VSX LAG는 피어 스위치당 최대 4개의 물리적 링크를 포함할 수 있어, 총 8개의 링크로 구성될 수 있습니다.
  • 레이어 및 프로토콜: 이 과정이 발행된 시점 기준으로, VSX LAG는 L2 또는 L3에서 작동할 수 있으며, LACP 기반 또는 non-LACP(정적) 방식일 수 있습니다.
트래픽 부하 분산 및 최적화
  • 상태 동기화: VSX 쌍의 두 스위치는 ISLP를 사용하여 LAG 상태를 동기화합니다.
  • 해시 스킴 (Hash Scheme): 사용자는 LAG 해시 스킴을 구성하여 LAG 내의 링크들로 트래픽을 어떻게 부하 분산할지 결정할 수 있습니다.
  • 로컬 최적화 (Locally Optimized): VSX LAG는 로컬 최적화(locally optimized)되어 있습니다.

이는 로컬 링크를 가진 스위치가 LAG 해시 스킴을 오직 로컬 링크만 고려하도록 제한한다는 의미입니다.
이 스위치는 VSX LAG의 로컬 링크가 모두 다운되었을 때에만 트래픽을 ISL을 통해 피어 링크로 포워딩합니다

데이터센터 네트워크에서는 성능도 중요하지만 그보다 더 우선시 되어야 할 것은 바로 가용성입니다.
상시 운용 가능하고 다운타임을 최소화하는 것이 안정적인 데이터센터 운영의 핵심 필요 기능입니다.

HPE Aruba Networking의 VSX 기술은 최신의 가상화 기술을 통해 Active-Active 운영 상태를 유지하도록 해줍니다.
오늘은 VSX에 대한 기본적인 개념과 이점, 그리고 구성요소들을 알아보았습니다.

다음에는 VSX 구성 상태에서의 소프트웨어 업그레이드 및 Split brain 기능 등을 살펴보겠습니다.

  1. Multiple Spanning Tree Protocol ↩︎
  2. Rapid Per-VLAN Spanning Tree ↩︎
  3. 라우트 전용 포트(ROP: Routed-Only Port) ↩︎
  4. SVI(Switch Virtual Interface) ↩︎
  5. Equal Cost Multipath: 비용(Cost)이 동일한 여러 개의 최적 경로가 존재할 경우, 이 경로들을 모두 사용하여 트래픽을 분산시키는 라우팅 ↩︎
  6. Virtual Router Redundancy Protocol ↩︎
  7. Hot Standby Router Protocol: 여러 라우터가 협력하여 하나의 가상 라우터(Virtual Router)처럼 작동하도록 만듬 ↩︎
  8. Network Analytics Engine ↩︎
  9. Router adjacencies ↩︎

Related Posts

Leave a Reply

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

이 사이트는 Akismet을 사용하여 스팸을 줄입니다. 댓글 데이터가 어떻게 처리되는지 알아보세요.