본문 바로가기

IT기반지식/디지털신기술

가상화 - IBM Virtual I/O Server와 VLAN

POWER5 가상화: IBM Virtual I/O Server와 VLAN

developerWorks
 

 

 

JavaScript가 필요한 문서 옵션은 디스플레이되지 않습니다.




난이도 : 초급

Nigel Griffiths, EMEA Linux on POWER Technical Advocate, IBM

2005 년 9 월 29 일

논리적 네트워크들 간 보안을 향상시키는 방법을 배워보자. Nigel Griffiths가 IBM Virtual I/O Server (VIO 서버)를 사용하여 VLAN과 함께 작업할 때의 효용성에 대해 설명한다.

머리말

이 글을 읽기 전에 다음 사항들을 검토하기 바란다.

  • 이더넷 네트워크(Ethernet networks) 설정 시 시스템을 관리한 적은 있지만 가상 로컬 영역 네트워크(VLAN)에 대한 경험이 없다.
  • pSeries® 하드웨어와 특히 POWER5™ 기반 머신을 다룰 수 있다.
  • Hardware Management Console (HMC)과 논리적 파티션(LPAR)을 생성할 수 있다.
  • 간단한 구성의 IBM Virtual I/O Server (VIO 서버)를 다룰 수 있다.

주의: 이 글에 사용된 VIO 서버 라는 용어는 pSeries POWER5 기반 머신에서 실행되는 IBM Virtual I/O Server LPAR을 일컫는다. VIO Client는 가상 SCSI(small computer system interface)와 VIO 서버의 가상 이더넷 서비스(virtual Ethernet services)를 사용하는 LPAR을 지칭한다.




위로


기본 네트워크와 기본 VLAN

같은 이더넷 케이블 세그먼트(Ethernet cable segment)에 두 개의 다른 IP 주소를 실행할 수 있다. 예를 들어, 모든 케이블들이 같은 허브로 플러그인 될 때가 있다. 이것은 하나의 물리적 네트워크에 두 개의 논리적 네트워크가 있는 경우이다. 여기에 큰 문제가 있다. 네트워크가 올바르게 설정되고 여기에 올바른 소프트웨어를 갖춘 한 개의 머신이 두 IP 주소 범위에 대한 모든 패킷들을 잡을 수 있다. 따라서 논리적 네트워크들간에는 "보안" 개념이 없어진다. 그림 1은 이러한 문제를 묘사하고 있다.


그림 1. 한 개의 물리적 네트워크에 있는 두 개의 논리적 네트워크

이러한 보안 허점 때문에 CISCO는 ISL(Inter Switch Link)을 발명했다. 이것은 이후 VLAN을 담당하는 IEEE-802.1Q 표준이 되었다. 이 표준은 IEEE-802.1Q VLAN이 있는 이더넷 스위치(Ethernet switch)가 외부 애트리뷰트(VLAN 태그)을 가진 스위치(switch)에 대한 포트들을 지원할 것을 명시하고 있다. 따라서 머신(또는 PCI 어댑터)는 VLAN 태그를 사용할 수 있다. 그림 1에서 Ethernet hub를 Ethernet switch로 대체해야 한다. 이것은 패킷을 보내는 지능적인 방식이다. 스위치(switch) 내의 포트에는 그 포트용 디폴트 VLAN(Port VLAN ID (PVID))과 한 개 이상의 VLAN들을 가질 수 있다. VLAN 태그와 함께 스위치(switch)에 도달한 패킷은, 포팅의 일부인 VLAN에 매치하는지의 여부에 따라 전달될 수 있다. VLAN 태그 없이 패킷이 도착하면 스위치(switch)는 여기에 그 스위치(switch) 포트의 PVID 태그를 붙인다. 네트워크 내에서의 패킷 라우팅은 서브넷에 의존할 뿐만 아니라 VLAN 태그에도 의존한다. VLAN 태그는 이 포트들을 개별적인 물리적 네트워크로 분리한다. 예를 들어, 두 개의 VLAN들을 VLAN ID 31과 VLAN ID 45를 가진 두 개의 VLAN들을 사용하는 것이다. 머신 A, B, C가 플러그인 되는 포트에 같은 VLAN ID(31)를 플러그인하고, VLAN ID 45를 머신 1, 2, 3이 플러그인되는 포트에 플러그인하면 이 스위치(switch)는 두 개의 논리적 네트워크들 간 패킷을 전송하지 않는다. 대부분의 장치들이 이 태그들을 수락하고 인식하도록 설정되었더라도, 스위치(switch)에 있는 이 VLAN 태그를 절대로 인식하지 못하고 VLAN 태그를 가진 패킷들을 수락하지 않는다. 대부분의 스위치(switch)들은 PVID와 매치되는 VLAN 태그를 가진 패킷을 받으면 이것을 부속 장치에 보내기 전에 이 패킷에서 태그를 떼어낸다. VLAN 태그가 그 포트가 속한 추가 VLAN들 중 하나와 맞으면 태그는 그대로 남겨진다. 결과적으로 VLAN을 인식하는 장치나 VLAN을 인식하지 못하는 장치 모두 나란히 놓이게 된다. (그림 2)


그림 2. 두 개의 VLAN 네트워크 상의 두 개의 논리적 네트워크

그림 3을 보자. VLAN ID와 포트 태그를 사용하여 이더넷 스위치(Ethernet switch)는 두 개의 VLAN들로 논리적 분리가 되어 패킷들이 두 개의 머신들 간 더 이상 통신할 수 없도록 한다.


그림 3. 한 개의 이더넷 스위치(Ethernet switch)를 사용하는 두 개의 VLAN 네트워크들에 대한 두 개의 논리적 네트워크

VLAN ID 태그를 추가할 때 스위치(switch)를 사용하는 것은 네트워크 관리자가 패킷들이 오가는 방향과 이를 볼 수 있는 사람들에 대한 완벽한 제어권을 가진다는 것을 의미한다. 이것은 대부분의 네트워크 관리자들이 좋아하는 방식이다. 머신과 시스템 관리자들에게 보이지 않기 때문이다. 아마도 네트워크 관리자들은 VLAN을 사용하여 큰 네트워크를 실행할 때 많은 효용을 누리고 있는지도 모른다. 전에는 전혀 알지 못했지만 내가 일하는 IBM 빌딩의 모든 층은 개별적인 VLAN이다. 다음은 VLAN을 사용하는 이유이다.

  • 기업의 네트워크 중추의 서브셋으로 패킷을 제한한다.
  • 서버가 아닌 머신들 간 패킷의 무분별한 네트워크 흐름을 제한한다.
  • 퍼포먼스를 증대시킨다.
  • 악의적인 연결(직접적인 인터넷 연결)을 제한하는 VLAN을 사용하여 보안을 확립한다.
  • 네트워크 트래픽을 감시할 수 있다.

여러분의 OS에서도 사용할 수 있다면, VLAN들을 머신에 추가할 수 있다. 게다가, 이더넷 스위치(Ethernet switch)는 포트에 VLAN 태그들이 자동으로 추가된 것을 알 수 없다. 스위치(switch)에 제어 포인트를 많은 머신들로 분산시키기 때문에 제어가 더욱 힘들어진다. 단순한 관리상의 실수로도 장치들은 네트워크 상의 모든 이더넷 패킷들을 읽을 수 있다. 일반적으로 스위치(switch)에서 VLAN 태그를 제어하는 것이 더 낫다.

주의:VLAN이 할 수 있는 것들을 표면적으로만 다루었다. Swich 포트는 다중의 VLAN들을 갖고 있고 모든 패킷들을 (모니터링과 보안상의 이유로) VLAN에 상관없이 특정 포트로 보내고 훨씬 더 복잡한 설정을 갖고 있다. 하이퍼바이저(Hypervisor)에 있는 VLAN으로 주제를 옮겨보자.




위로


하이퍼바이저의 가상 이더넷

IBM eServer™ p5 pSeries 머신에는 하이퍼바이저가 있다. 이것은 머신의 LPAR을 제어하는데 사용된다. 하이퍼바이저는 모든 OS(AIX®와 Linux®) 들이 하드웨어와 인터랙팅하는데 사용하는 펌웨어이다. 또한 가상 이더넷 서비스를 제공하여 이더넷 어댑터 없이도 LPAR이 TCP/IP (Transmission Control Protocol/Internet Protocol)를 사용하여 (메모리를 통해) 하이퍼바이저와 통신할 수 있도록 한다.

하이퍼바이저 가상 이더넷은 VLAN을 인식하는 이더넷 스위치처럼 작동하도록 구현된다. 따라서 하이퍼바이저 가상 이더넷을 사용하면 알게 모르게 VLAN 기술을 사용하는 것이 된다. (그림 4)


그림 4. 하이퍼바이저 가상 이더넷을 사용하여 두 개의 VLAN 네트워크상의 두 개의 논리적 네트워크

가상 이더넷을 사용하여 두 개의 LPAR이 통신하도록 하려면 가상 이더넷 어댑터를 각 LPAR에 추가하고 PVID를 같은 숫자로 설정해야 한다. 두 개의 LPAR은 표준 TCP/IP 툴을 사용하여 Telnet, FTP, SSH 등과 통신할 수 있다. 이것은 기본 네트워크와 기본 VLAN 섹션에 설명된 것과 같은 모델이다. 머신 A와 B는 통신하지만 머신 A와 머신 2는 통신할 수 없다.

PVID는 LPAR에서 아웃고잉(outgoing) 패킷에 추가된다. 이것을 태그 또는 VLAN 태그이라고 한다. 이 태그들은 패킷이 어디로 가고, 같은 PVID를 가진 다른 LPAR에 이 패킷이 전달되면 무엇을 없애야 하는지를 결정하는데 사용된다. LPAR은 이 태그/언태그(untagging)을 인식하지 못한다. VLAN 태그는 다른 PVID를 사용하여 LPAR들을 분리하는데 사용된다. 또한 여러 개의 내부 네트워크도 가질 수 있다. 이 네트워크는 패킷들이 PSeries 내에서 LPAR의 서브셋들 간 라우팅된다. 잘못된 LPAR로 가는 것을 방지하기 위해서이다.

주의: VLAN 보안 모델은 잠재적인 해커들이 하나의 내부 네트워크에서 다른 네트워크로 이동하지 못하도록 하기 위해 사용된다. LPAR은 해당 VLAN 상의 패킷들만 볼 수 있다.

반드시 알아두어야 할 또 다른 VLAN 기능이 있다. 예를 들어, 한 패킷이 매칭 VLAN 태그(VLAN ID가 PVID와 일치하는 태그)와 함께 가상 이더넷 어댑터(이더넷 Switch 포트)에 도착하면 이 태그가 떨어져나간다. 이것은 IEEE 802.1Q 표준의 일부이고 VLAN 태그가 어떻게 그곳에 다다르게 되었는지에 상관없이 발생한다. 태그 포트(가상 이더넷 어댑터)에 도착했는지 또는 머신 또는 LPAR의 원래 어댑터에 추가되었는지에 상관이 없다. 패킷 VLAN ID가 PVID와는 일치하지 않지만 포트가 전달할 수 있는 추가 VLAN ID들 중 하나와 일치한다. VLAN 태그는 제거되지 않고 패킷은 그대로 남겨진 VLAN 태그로 전달될 수 있다.




위로


예제

이전 섹션에서 한 머신 안의 이더넷 패킷들과, 내부 하이퍼바이저 네트워크를 통해 서로 통신하는 LPAR을 설명했다. 물론 패킷들은 외부 Local Area Network (LAN)와도 통신해야 한다. VIO 서버 환경에서 내부 LAN과 외부 LAN들간 링크를 제공하는 것은 VIO 서버이다. 머신 밖의 여러 VLAN들에 연결되어야 하는 VLAN들을 머신 내에 두게 되면 조금 복잡해진다. VIO 서버는 모든 VLAN들에 연결되어야 한다. 하지만 패킷들이 VLAN들간 이동하지 못하도록 해야 한다.

그림 5는 설정 방법이다.


그림 5. 예제

이것이 제대로 작동하기 위해서는 여러 요구사항들에 부합해야 한다.

  1. LPAR은 같은 VLAN 상에서 다른 LPAR들과 통신할 수 있어야 한다. 요구사항 – 내부 VLAN 통신들은 설정이 간단해야 한다.
  2. VIO 서버에서 하나의 가상 이더넷 어댑터와 통신하는 많은 LPAR들의 경우, VIO 서버의 가상 이더넷 어댑터에 IEEE 802.1Q 표준을 사용하여 한 개 이상의 PVID 태그가 있는 패킷들이 가상 이더넷 어댑터에서 수락될 수 있어야 한다. 요구사항 – VIO 서버상의 다중의 VLAN들을 위한 하나의 가상 이더넷 어댑터/포트.
  3. 도착하는 패킷에서 VLAN 태그들을 떼어내서는 안된다. VIO 서버가 이들을 올바른 외부 VLAN으로 전달할 수 없기 때문이다. 요구사항 – VIO 서버에서 VLAN 태그를 떼어내지 않는다.
  4. Shared Ethernet Adapter (SEA)로 많은 VLAN을 가진 패킷들이 전달되도록 한다. 요구사항 – SEA가 많은 VLAN들에 대한 패킷들을 전달할 수 있도록 한다.

이 예제에서 VLAN ID 23, 150, 160을 사용할 것이다. 이 숫자를 선택 한데는 특별한 이유는 없다. 주의: VLAN ID8과 89 역시 여기에 사용된다. 숫자들에 주의하도록 한다.




위로


요구사항 1: 내부 VLAN 통신 설정은 간단히!

내부 VLAN 통신은 HMC 상에서 간단한 설정이다. LPAR 프로파일은 가상 이더넷 어댑터에 할당된다. 이것은 어디까지나 여러분이 HMC에 익숙하다는 가정하에서다. LPAR과 LPAR 프로파일을 만들었다면 가상 리소스 패널들을 볼 수 있다. 아래 각 LPAR은 가상 이더넷 어댑터에 PVID를 부여한다. TrunkIEEE802.1Q역시 선택되지 않는다. 위에서 언급했지만, PVID는 하나의 LPAR에서부터 패킷에 추가된다. 패킷들을 올바른 LPAR로 라우팅하고, 전달 전에 제거될 것이다. 그림 6을 보자. LPAR3과 LPAR4는 같은 PVID(160)를 갖고 있다. 직접 통신할 수 있도록 하기 위해서이다. LPAR1과 LPAR2는 다른 PVID를 갖고 있다. LPAR3 또는 LPAR4와 통신할 수 없도록 하기 위해서이다. 하지만 LPAR1과 LPAR2는 VLAN의 다른 머신들과는 통신할 수 있다.


그림 6. 요구사항 1: 내부 VLAN 커뮤니케이션 설정은 간단히!

그림 7은 LPAR1에 대한 가상 이더넷 어댑터 구현 모습이다. 가상 이더넷 어댑터 설정은 PVID = 23이고 Trunk 어댑터와 IEEE 802.1Q는 선택되지 않는다. 슬롯 번호는 각 가상 장치에 대한 LPAR 내에서 유일한 것이 되어야 한다. 그렇지 않으면 가상 이더넷 장치에서 중요한 의미가 없다.


그림 7. LPAR1용 가상 이더넷 어댑터

LPAR 2, 3, 4의 경우도 PVID를 제외하고는 같은 설정이 사용된다.




위로


요구사항 2: VIO 서버에 있는 내부 VLAN을 위한 한 개의 가상 이더넷 어댑터/포트

VIO 서버는 내부의 여러 VLAN들 간 한 개의 릴레이 포인트이자, 물리적인 외부 이더넷 어댑터와 LAN이다. 가상 네트워크와 물리적 네트워크를 연결하려면 Shared Ethernet Adapter (SEA) 장치를 사용하여 한 개 이상의 가상 어댑터에서 물리적 어댑터로 연결해야 한다. 내부의 다중 VLAN들에 연결되는 가상 이더넷 어댑터 설정은 간단하다. 가상 이더넷은 시스템의 내부 메모리를 통해 실행된다. 외부의 가상 어댑터로는 퍼포먼스를 기대할 수 없다. 물리적 어댑터, 가상 어댑터, SEA 등의 완벽한 세트를 갖고 있을 경우가 있다. 이것을 설정하려면 VIO 서버에 가상 이더넷 어댑터가 만들어질 때 연결되는 모든 내부 VLAN들에 이름을 붙여야 한다. (그림 8)


그림 8. VIO 서버상의 내부 VLAN들을 위한 한 개의 가상 이더넷 어댑터/포트

그림 9는 VIO 서버의 Additional VLAN IDs를 위해 (가상 이더넷 어댑터 구현 다이얼로그에) 여러 필드를 갖추는 이유를 설명하고 있다.


그림 9. 가상 이더넷 어댑터 속성

여기에서 VIO 서버가 SEA 함수를 사용하여 외부 네트워크와 패킷들을 전송할 것이기 때문에 Trunk 어댑터가 선택된다. 추가 VLAN ID를 추가하기 위해 IEEE 802.1Q가 선택된다. 추가 VLAN IDAdd 필드에서 타이핑되었고, Add 버튼을 클릭하여 패널 아래에 있는 VLAN ID리스트에 추가한다. 이것은 내부 네트워크 상에 모든 VLAN ID를 주는 것이다. VIO 서버는 이 특정 가상 이더넷 어댑터/포트에 접근할 수 있다. 주의: 이것은 VIO 클라이언트 LPAR에서의 PVID와 같다. 이것은 하이퍼바이저가 추가한 VLAN 태그와 함께 도착한 패킷들이 SEA를 통해 전달될 수 있다는 것을 의미한다




위로


요구사항 3: VIO 서버 상에 VLAN 태그를 없애지 말것.

패킷들에 추가된 VLAN ID가 필요 없다. 이것은 VIO 클라이언트 LPAR(PVID 번호를 사용하여 설정함)이 이 VIO 서버 LPAR에 들어갈 때 제거되기 때문이다. 아래 그림 10에서, PVID는 88로 설정되었다. 이 숫자는 사용되지 않는 VLAN ID어야 한다. (분명히 말하면, PVID에 없어야 한다.) VLAN ID(88)를 가진 패킷이 도달하면 VLAN ID 태그가 없어지고(untagged) 올바른 외부 VLAN으로 전달될 수 없다. 예를 들어, VLAN ID 88을 가진 패킷이 도착하면 88은 제거된다. 이것이 SEA를 통해 외부 물리적 네트워크로 보내졌다면 태그가 없는 이더넷 스위치(Etherner Switch)에 도착할 것이다. 그 뒤에 일어날 일은 이더넷 스위치(Etherner Switch) 설정에 달려있다. 폐기되거나 디폴트 VLAN으로 보내질 수 있지만 네트워크 관리자가 이것을 명확히 설정하지 않고서는 기회가 희박하다. (이더넷 스위치 포트는 88이라는 PVID를 갖고 있다.) VLAN 환경에서 태그가 없어진 패킷들은 일반적으로 실수 또는 중요하지 않은 네트워크 또는 레거시 네트워크 상에 있는 것으로 간주되고 피하는 것이 상책이다.


그림 10. 요구사항 3: VIO 서버 상에 VLAN 태그를 없애지 말것.



위로


요구사항 4: SEA가 많은 VLAN들을 위한 패킷을 전송할 수 있어야 함.

비 VLAN 환경에서 SEA를 만드는데 익숙하다면 VIO 서버 명령어, mkvdev –sea도 익숙할 것이다. 이것은 내부의 가상 이더넷을 외부의 물리적 이더넷으로 연결하는 저수준의 "가교(bridge)"역할을 한다. 하지만 이것은 TCP/IP 스택에서 저수준으로 이를 수행하고, 패킷이 포워딩 되기 전에 TCP/IP 스택을 통해 발생하는 것을 막기 때문에 효율적이다. 이 명령어는 가상 이더넷 어댑터, 물리적 이더넷 어댑터, 두 개의 다른 매개변수들을 취하고, 고급의 어댑터를 만든다. 아래 예제에서, 가상 어댑터 ent2와 물리적 어댑터 ent0은 새로운 수퍼 어댑터 ent3을 만든다. 이것이(실제로 en3) IP 주소가 추가될 어댑터이다. 나중에 자세히 설명하기로 하고 예제 명령어를 보자.

mkvdev –sea ent0 –vadapter ent2 –default ent2 –defaultid 89 

이 VIO 서버 명령어는 en3 예제에 새로운 수퍼 어댑터 이름을 디스플레이 하거나 VIO 서버 명령어를 사용하여도 찾을 수 있다.

 lsdev -virtual

이 리스트에서 SEA 엔트리를 찾아라.

주의 1: "–default ent2"는 디폴트 내부 가상 VLAN으로서 태그가 붙어있지 않을 경우 패킷을 보낸다. 이 예제에서, 단 하나의 가상 이더넷 어댑터가 있지만, 이것은 보다 복잡한 다중 가상 이더넷 어댑터에도 사용된다.

주의 2: "–defaultid 89"는 태그가 없는 패킷에 사용하기 위한 VLAN ID이다. 실제로 이것은 SEA의 PVID이다. 그림 11을 참조하라. 이 다이어그램에서 태그가 없는 패킷을 기대하지는 않는다. 사용되지 않는 숫자를 사용하여 이 패킷들은 없어진다. 어떤 클라이언트도 VLAN 89 패킷을 수락하지 않는다.


그림 11. 태그가 없는 패킷에 사용할 VLAN ID

새롭게 만들어진 SEA는 PVID 89를 사용하여 태그가 없는 패킷들을 포워딩한다. 하지만 이 뒤에 있는 Virtual Ethernet 어댑터는 VLAN ID를 수락하지 않을 것이다. 태그가 없는 모든 패킷들이 없어진다. VIO 서버 SEA에게 다른 VLAN 아이디들이 허용된다는 것을 알려야 한다. 다음은 VIO 서버 명령어를 사용하여 수행된 것이다.

mkvdev –vlan 

이 예제에서 세 가지 VLAN이 외부 이더넷에 접근하도록 해야 한다. 다음 명령어를 실행한다.

mkvdev –vlan ent3 –tagid 23mkvdev –vlan ent3 –tagid 150mkvdev –vlan ent3 –tagid 160

이것은 이전 각 명령어들에 대한 이더넷 어댑터 이름을 만든다.

보안 때문에 보이지 않는 내부의 가상 이더넷을 갖고 있다면, 그 VLAN에 대해 이전의 명령어를 사용하지 말라. 애플리케이션 서버 LPAR과 관계형 데이터베이스 관리 시스템(RDBMS) LPAR 사이의 네트워크가 물리적 이더넷에 나타날 필요가 없다.




위로


IP 주소에 대한 VIO 서버

다음은 네트워크에 VIO 서버를 설치할 때 고려해야 할 사항들이다.

  1. VIO 서버 네트워크 접근은 선택적이다.

    안전하고 비공개적인 HMC를 사용하여 VIO 서버에 접근하여, HMC에서 서비스 프로세서 네트워크로 접근할 수 있다. 이것은 네트워크 주소를 사용하여, VIO 서버에 선택적으로 접근한다. VIO 서버가 어떤 네트워크에도 나타나지 않으면 VIO 서버가 매우 안전한 상태가 된 것이다. 네트워크가 없다는 것은 보안 위험성도 없다는 뜻이니까.

  2. 위험한 네트워크

    위험한 네트워크 환경에서 VIO 서버를 설치하는 것은 위험하다. VIO 서버가 해킹되면 모든 네트워크들이 해킹에 노출된 것이다. VIO 서버가 이 모든 것에 접근할 수 있기 때문이다. 해커는 각 VLAN 어댑터에 IP 주소를 할당하여 접근 권한을 얻는다. VLAN들 중 하나라도 인터넷 네트워크에 직접 연결되면 문제가 생긴 것이다. 이를 방지하기 위해서는 LPAR에 직접 연결되는 물리적 어댑터를 사용하는 것이 최선이다. 물리적을 연결을 끊어서 공격을 방지할 수도 있다.

  3. SEA의 퍼포먼스 히트

    VIO 서버의 IP 주소가 SEA에 배치된다면 TCP/IP 스택 상의 모든 패킷들이 VIO 서버용인지 또는 아닌지가 검사된다. 이렇게 되면 SEA는 이 모든 트래픽을 감당하기 때문에 느려진다. 이것이 없다면 패킷들은 레벨 2에서 보다 효율적으로 전송된다.

  4. VIO 서버 업그레이드

    VIO 서버 코드를 업그레이드하는 두 가지 방법이 있다. CD를 사용하거나 FTP를 사용한다. FTP 옵션을 사용하려고 한다면 VIO 서버에 IP 주소를 추가하는 옵션을 사용하라.

위험하지 않은 네트워크의 경우, VIO 서버가 네트워크에 설치되어 보다 유연하게 관리되는 것이 일반적이다. 이렇게 하려면 제 2의 가상 이더넷 어댑터를 사용하여 IP 주소를 추가하고 VIO 서버 명령어(mktcpip)를 실행한다. 제 2의 가상 이더넷 어댑터이지 SEA가 아니다. LPAR용 VLAN을 실행하고 있다면 특정 VLAN에 VIO 서버를 설치해야 할 것이다. 그림 12는 VLAN 23에 설치된 VIO 서버이다.


그림 12. 네트워크에 VIO 서버 설치하기

VIO 서버에서 mktcpip 명령어를 사용한다.

mktcpip -hostname op34 -inetaddr 9.137.62.34 -interface en3 -netmask 255.255.255.0 -gateway 9.137.62.1

주의:

  • 추가 가상 이더넷 어댑터는 SEA 어댑터 이름을 하나 더 높은 en4로 한다.
  • VIO 서버 명령어는 "ent"와 "en" 인터페이스를 필요로 한다. 혼란스럽다. 예를 들어, "en"이 사용되어야 할 때 "ent"를 사용 중이라면 "entt"라는 에러 메시지를 받을 것이다. ("t"가 하나 더 붙어있다.) 이 명령어는 "en"을 "ent"로 변환하기 위해 "t"를 붙인 것이다.




위로


SEA에 VIO 서버의 IP 주소를 부여하지 않는 이유

답은 퍼포먼스(performance)이다. VIO 서버의 IP 주소가 SEA에 배치된다면 TCP/IP 스택 상의 모든 패킷들이 VIO 서버용인지 또는 아닌지가 검사된다.

IP 주소에 대한 VIO 서버 섹션에서 설명한 대로 이 방식을 사용했다면, 이 VIO 서버의 제 2의 가상 이더넷 어댑터는 클라이언트 LPAR 처럼 작동하고, SEA를 사용하여 외부 LAN과 통신할 것이다. 패킷들은 가상 이더넷을 통해 en3에서 en2로 이동하고, TCP/IP 스택의 아래 부분에서 SEA로 이동한다. 큰 네트워크 대역폭을 사용하여 VIO 서버를 관리하는 것이 아니기 때문에 이것은 좋은 구현이라 할 수 있다.

또 다른 방법으로, 이 VIO 서버에 제 2의 물리적 이더넷을 사용할 수 있다. 네트워크 트래픽을 VIO 서버로 직접 가도록 하는 방식이다. 예를 들어, VIO 서버에서 네트워크를 통해 백업을 한다. 이 경우 제 2의 물리적 이더넷 어댑터는 좋은 옵션이다. 제 2의 물리적 이더넷 어댑터는 클라이언트 LPAR 네트워크 트래픽을 큰 IP 패킷들을 사용해야 하는 큰 용량의 백업과 분리하기 때문이다. 이 예제에서는 VIO 서버에 en1이라고 하는 제 2의 어댑터를 사용했다.

이 예제에서 사용되지 않은 물리적 이더넷 포트가 있다면 그것은 우연의 일치다. 많은 머신들이 마더보드에 듀얼 이더넷 포트 어댑터 또는 듀얼 이더넷 포트를 갖고 있기 때문에 이 예제에도 포함되었다.




위로


요약

이 글에서 VLAN의 작동 방법과 하이퍼바이저의 가상 이더넷이 VLAN 스위치처럼 작동한다는 것을 설명했다.

VIO 서버를 설정하여 다양한 VLAN 아이디를 사용하여 많은 클라이언트 LPAR로부터 접근할 수 있도록 하는 방법과, 이더넷 패킷들과 외부 VLAN들간 전송되도록 SEA를 설정하는 방법도 설명했다.

원격 시스템 관리 또는 백업 액세스를 위해 VLAN 또는 직접 네트워크에 VIO 서버를 설치할 수 있다.

감사의 말

Dave Williams와 Chris Milsted에게 감사의 말을 전한다


'IT기반지식 > 디지털신기술' 카테고리의 다른 글

MEMS - 3. 도시바의 RF 이노베이션  (0) 2009.05.25
MEMS - 2. 카메라모듈 혁신  (0) 2009.05.25
MEMS - 1.시장동향  (0) 2009.05.25
상황인식 컴퓨팅 기술동향  (1) 2009.05.14
Semantic WEB  (0) 2009.05.14
가상화 - IBM Virtual I/O Server와 VLAN  (1) 2009.05.12