클라우드로 크고 싶은 블로그 입니다

※ 과거 제가 쓴 블로그 포스트를 옮긴 포스트 입니다.

 

최근 회사에서 기존 물리 서버(Bare Metal Server)를 가상화 환경으로 전환하기로 하고, VMWare사의 가상화 플랫폼인 vSphere를 구매하였습니다. 각 서비스 간 네트워크가 다르니, 서비스 별로 VLAN을 만들어 네트워크를 분리하였습니다.

 

같은 네트워크의 VM 간 통신

먼저 같은 네트워크 간의 통신은 Host 내에서 처리되며 VM 외부로 트래픽이 나오지 않습니다. 그러나 다른 네트워크 간 통신을 하기 위해서는 라우터(Router) 역할을 하는 무엇인가가 필요합니다.

 

vSphere 상 의 서로다른 VLAN 간 통신을 위해서는 2가지 방법이 있습니다.

 

방법 1. 물리적인 라우터를 활용 -  VM의 Gateway를 물리적인 라우터의 IP로 설정하여, 다른 네트워크와 통신을 위해 VM - 물리적인 라우터(Gateway) - VM 간 통신을 하게 설정

방법1. 물리적인 라우터를 활용

 

 방법 2. VM Host 안에 라우터 역할을 하는 VM을 올려 처리 - DLR(Distributed Logical Router), DD-WRT, pfSense, Mikrotik RouterOS 등을 VM에 설치해 라우팅을 하거나, 라우터 용도로 리눅스 VM을 설치

방법2. VM 라우터를 활용

 

방법 1은 router-on-a-stick inter-VLAN routing 고전적인 방법으로 서로 다른 네트워크 간 통신하는 모든 트래픽 들이 Trunk 를 통해 VM 밖으로 나와, 처리 되므로, 비효율 적이며 보안에 상대적으로 취약합니다.

방법 2는 모든 트래픽이 VM 내에서 처리되므로, 메모리 속도로 처리되며 물리적 네트워크 장비를 거치지 않아 네트워크 오버헤드가 상대적으로 적습니다.

 

위 내용을 보면 누구나 방법 2가 가상화 환경에 더 적합한 방법이라는 사실을 알수 있습니다.

 

다시 회사 이야기로 돌아와, 저는 기존 물리 서버와 그에 연결 된 물리 L3 스위치를 담당하고 있습니다. 서버를 가상화 하면서 가상화 서버를 관리하는 담당자가 별도로 있고, 저는 단지 VM의 사용자가 되었습니다.

 

담당자에게 물었습니다.

 

우리 NSX 샀어요? 아니면 VM라우터 설치할껀 가요?

아니요. 돈이 없어서 NSX는 내년에 투자될지 안될지도 모르고 VM라우터는 뭐에요?

 

모르는 사람 데려다가 강의할수도 없고, 윗분들에게 East-West, South-North 부터 설명할 자신이 없었습니다.

네, 그렇습니다. 그냥, 방법 1로 진행하기로 했습니다. 

 

그래서 아래 시스코 L3 스위치에서 설정 샘플을 작성합니다.

우선 vSwitch와 L3 스위치 간 dot1q 트렁크 설정을 합니다.

lacp 방식으로 이더채널설정을 해도 됩니다.

 

(config)# interface GigavitEthernet1/2

(config-if)# switchport (포트를 L2 스위치 용도로 사용)

(config-if)# switchport trunk encapsulation dot1q (ESXi/ESX 는 ISL이 아닌 dot1q 만 사용합니다. 최신 시스코 IOS에서도 dot1q 만 지원하여 해당 설정이 없을 수도 있습니다.)

(config-if)# switchport trunk allowed vlan 10-100 (ESXi/ESX에서 허용할 VLAN 추가합니다.)

(config-if)# switchport mode trunk (트렁크 모드로 변경합니다)

(config-if)# switchport nonegotiate (ESXi/ESX는 DTP를 미지원 합니다. 최신 시스코 IOS는 dot1q 만 지원하므로 해당 설정이 없을 수도 있습니다.)

(config-if)# no ipaddress

(config-if)# no cdp enable (ESXi/ESX 3.5 이상은 CDP 를 지원합니다)

(config-if)# spanning-tree portfast trunk (링크가 바로 up이 될수 있도록 portfast 설정을 합니다.)

 

이 후, VM에서 Default Gateway로 사용할 IP를 설정합니다.

 

(config)# interface Vlan200

(config-if)# ip address 10.10.100.1 255.255.255.0 (이 IP는 VLAN 200 Gateway 역할을 합니다.)

 

VLAN 마다 Gateway 로 사용할 IP를 설정 합니다.

이중화를 위해서 HSRP 등을 사용해도 됩니다.

 

자 이제 저는 다른 사람들을 설득/설명할 자신이 없으니 모릅니다.

그러나 궁금한 점이 있으면 언제든 댓글 달아주세요. 확인 후 답변 드리겠습니다.