ATM을 10기가비트 이더넷으로 업그레이드, 인터넷 회선도 증속
네트워크 서비스 속도 향상, 안정성·보안성 강화, 향후 유무선 통합인증 계획
한양대학교는 서울캠퍼스 전산망의 전면적인 업그레이드 사업을 펼쳐 10기가비트 이더넷 네트워크 장비를 도입하고 지난 2월 14일 정식 개통에 들어갔다. 한양대의 이번 프로젝트는 세계 100대 대학 진입을 목표로 벌이고 있는 'HYU 프로젝트 2010'의 핵심 전략의 하나인 '인텔리전스 캠퍼스' 구축 계획에 따라 추진된 것으로 기존의 ATM 망을 최신 10기가비트 이더넷 기술로 대폭 업그레이드하는 것을 뼈대로 하고 있다. 사업자 선정에서 장비 설치까지 석달 동안 학사지원 서비스에 차질 없이 기가비트 네트워크 장비를 교체하고, 인터넷 전용회선도 함께 증속한 한양대는 현재 학생들과 직원들에게 보다 빠르고 안정적인 정보 서비스를 제공하고 있다. 이유지 기자 yjlee@rfidjournalkorea.com
네트워크 기술은 1990년대 후반 ATM, 2000년대 초반 기가비트 이더넷, 10기가비트 이더넷 등으로 발전 추세를 보이고 있다. 이러한 네트워크 신기술 채택이 가장 빠른 곳이 바로 대학이다. 학생, 교수, 직원 등 다양한 구성원으로 이뤄진 대규모의 사용자를 보유하고 있는 대학의 특성상 가장 앞선 네트워크 환경을 수용할 수밖에 없는 조건에 처해 있기 때문이다.
기가비트 및 10기가비트 네트워크 기술이 소개된 지도 꽤 많은 시간이 흘렀지만 지금까지 전방위 산업군으로의 확산은 더딘 편이었다. 그러나 대학에서는 시장 초반부터 눈에 띄는 사례들이 많이 나왔다. 서울대, 연세대, 카이스트(KAIST), 포항공대, 한양대 등이 대표적이다. 이 가운데 한양대는 다른 대학보다 뒤늦게 10기가비트 이더넷으로 업그레이드했지만 2003년부터 2년에 걸쳐 사전준비 작업을 철저히 진행해 좀더 안정적이고 효율적인 네트워크 운영관리 환경을 구축했다는 평가를 받고 있다. 또 앞으로 나올 네트워크 및 컴퓨팅 신기술을 수용할 수 있는 미래 지향적인 네트워크를 구축한데다 최근 가장 문제가 되고 있는 보안 및 위험관리에서도 단연 앞서있다는 평.
한양대가 이러한 평가를 받는 이유는 외부 망에서부터 내부 사용자단에 이르는 네트워크에 보안을 실현할 수 있는 '클린 존(Clean Zone)' 망을 구현했기 때문이다. ATM 장비가 최신 장비에 비해 처리용량이 떨어지면서 보안 문제는 네트워크 환경에 크게 영향을 끼쳤는데 보안 문제의 해소 방안으로 세운 체계적인 방책이 바로 '클린 존' 네트워크 구현이다.
현재 한양대는 내·외부망과 서버팜에 이르는 네트워크단의 보안뿐만 아니라 1만 5천대에 달하는 사용자 컴퓨터가 네트워크에 접근할 때 안타바이러스, 안티스파이웨어 등 악성코드 차단 솔루션을 의무적으로 설치하도록 권하고 있다. 즉 일정수준의 보안정책을 준수하지 않은 PC는 네트워크 사용을 격리, 고립시키고 있는 것이다.
시스코 카탈리스트 시리즈로 백본 구성
한양대 네트워크 망은 캠퍼스(서울/안산)와 병원(서울/구리), 부속 중·고등학교가 모두 하나로 연결된 통합망으로 구성되어 있다. 서울캠퍼스 전산망은 한양대 관련 네트워크망의 거점으로, 현재 한양대 서울과 구리병원, 부속 중·고등학교가 서울캠퍼스 네트워크를 통해 인터넷을 사용하고 있다. 안산캠퍼스와는 45Mbps의 이중회선으로 연결되어 서울의 데이터센터의 자원을 활용하는 등 업무교류와 장애 시 백업이 가능하도록 되어 있다.
따라서 한양대학교 서울캠퍼스는 ATM 전산망 운영의 안정성을 높이기 위해 여러 방책을 강구해왔다. 특히 장비 노후화와 2002년부터 급격히 증가한 해킹 시도 및 웜 발생으로 기가비트 네트워크로의 교체가 시급했다. 네트워크 장비가 정상 통신을 위한 역할만이 아니라 공격 라우팅에 이용되면서 장비의 처리용량(CPU)이 한계에 달해 네트워크 속도 저하 현상이 나타났기 때문이다. 급기야는 사용자 PC 한두대가 웜·바이러스에 감염되어 지엽적으로 네트워크가 다운되는 상황이 발생하기도 했다. 또 기존 ATM 장비가 노후화 되면서 잦은 고장이 발생한데다 대체 부품 조달이 어렵고 다양한 사용자의 서비스 요구에 능동적으로 대응하지 못했다.
이에 따라 한양대 정보통신처는 지난해 9월부터 본격적으로 10기가비트 이더넷으로 서울캠퍼스 전산망 업그레이드 사업을 추진했다. 준비작업 기간에 설계한 새로운 네트워크 토폴로지를 기반으로 먼저 각 사용기관의 네트워크 담당자와 인터뷰를 진행하면서 네트워크 장비에 대한 사전조사를 실시했다. 그리고 기존 ATM 장비로 사용해온 알카텔과 시스코, 파운드리, 화웨이(쓰리콤) 4군데에 제안요청을 하고 2곳으로 장비 업체를 압축했다. 이후 수행업체의 제안요청, 내부 전문가로 구성된 평가위원회의 평가 등 엄격한 절차를 거쳐 에스넷시스템을 사업자로, 시스코 시스템즈의 '카탈리스트' 시리즈를 구축 장비로 최종 선정했다.
시스코와 에스넷이 제안한 내용은 3년 동안 단종되지 않는 동시에 최대 7년 이상 사용할 수 있으면서 U-캠퍼스와 IPv6 등 향후 신기술을 적용할 수 있다는 것이었다. 이는 안전성과 보안성을 가장 중요하게 여겼던 한양대의 요구와 잘 맞아 떨어졌다. 또한 시스코의 레퍼런스가 많은데다 시스코 캐피탈의 리스 프로그램을 이용해 5년 동안 분할상환할 수 있는 점도 선정 요인이 되었다.
이 사업을 주도적으로 추진한 정보통신처의 장익성 인프라관리팀장은 "장비의 감가상각 기간이 긴 상황에서 윈도우 비스타와 IPv6, 음성 및 비디오 통합과 같은 최신 트렌드와 향후 신기술 적용 환경을 만드는 것이 가장 중요했다"고 설명했다. 또 "한양대 서울캠퍼스 전산망은 한양대의 모든 네트워크의 거점 역할을 담당하기 때문에 안정성과 보안에 특히 민감하다"고 덧붙였다.
계층적·구조적 네트워크 체계 구현
한양대는 시스코 카탈리스트 6500 시리즈 중 최상위 장비인 6513을 가장 상위단의 코어 백본에 이중으로 구성, 병목이 발생되는 지점을 최소화 했다. 캠퍼스를 정보통신처, 신소재공학관, HIT, 체육관, 자연관을 중심으로 5개 영역으로 구분, 백본 장비를 이중화해 구성했다. 건물 백본도 건물별로 사용자의 성격과 통신량, 사용자 수 및 설치포트 수량에 따라 구간별 속도(10G, 4G, 2G, 1G)와 장비의 크기를 적절히 분배해 4가지 모델의 시스코 카탈리스트 스위치를 적절히 분배해 설치했다. 따라서 사용량이 많은 곳은 영역 백본과 동일한 장비를 설치해, 현재 코어와 영역 백본뿐 아니라 건물 백본도 절반에 가까운 정도가 10기가비트 백본으로 구성되어 있다.
서울캠퍼스의 모든 네트워크는 장애에 대비할 수 있는 구조로 안정성과 안전성, 운영관리 효율성을 높인 것이 가장 두드러진다. 코어와 영역 단의 백본 스위치는 섀시와 파워를 이중화했으며 OSPF(Open Shortest Path First) 라우팅 프로토콜을 적용해 이중화된 회선의 효율적 사용과 빠른 복구시간 보장, 트래픽 분산 처리, 장애 최소화를 보장했다. 코어 백본 스위치에는 또한 슈퍼바이저 모듈과 NAM(Network Analysis Module) 모듈을 장착해 학내 및 외부에 흐르는 네트워크 통신 흐름을 분석 관리하고 보안 위협에 대응할 수 있도록 구성했다.
건물 백본도 슈퍼바이저 모듈과 파워이중화로 세션 단절 없이 빠르게 복구되는 페일오버(Fail-over)가 가능하도록 구성했다. 백남학술정보관의 경우에는 도서관 내에서 운영하고 있는 서버가 있어 학내망에 장애가 나더라도 자체적으로 내부 업무를 할 수 있도록 구성했다.
이에 따라 한양대 서울캠퍼스 학내 기가망은 크게 코어-5개 영역 백본-건물백본으로 구성된 3티어(Tier) 구조를 갖게 되었다. 건물 백본 스위치 45대는 100Mbps 속도를 제공하는 317대의 워크그룹 스위치가 사용자 단말과 연결된다. 코어에서 영역 및 건물 백본, 워크그룹, 단말단에 이르는 모든 네트워크상에서 나타나는 유해트래픽을 탐지해 보안위협에 능동적으로 대응할 수 있는 구조적인 네트워크 보안체계를 갖췄다.
이에 더해 한양대는 인터넷 관문인 외부망과 서버팜의 네트워크 보안 체계도 함께 변경했다. 방화벽과 QoS 장비를 새로 설치했으며, 기존에 사용해온 IDS를 IPS로 교체했다. 그리고 사용하던 IDS와 QoS는 서버팜으로 내려 보안을 강화했다.
한양대는 외부망의 경우 QoS와 방화벽, 침입방지시스템(IPS)을 순차적으로 연결해 다단계 보안을 구현해 네트워크 보안체계를 한층 강화했다. 그 체계는 먼저 QoS에서 P2P 트래픽을 포트와 패턴 분석에 의해 제어하고, 방화벽에서 교내외의 알려진 포트에 대해 2차 방어하며, IPS를 통해 각종 스캐닝을 포함한 공격패턴을 분석해 최종적으로 제어하는 것으로 되어 있다. 서버팜에는 방화벽을 기준으로 내·외부 간 2대의 스위치를 두었으며 침입탐지시스템(IDS)을 이용해 서버로 접근하는 로그를 탐지하도록 했다.
20일만에 장비 설치 완료
한양대 서울캠퍼스 전산망 기가비트 업그레이드 작업은 총 50개 건물에 코어백본 장비(시스코 카탈리스트 6513)와 5개 영역 백본 장비(시스코 카탈리스트 6509), 건물 백본으로 다량의 시스코 카탈리스트 6509, 4510, 4507, 3750, 다량의 워크그룹 스위치가 설치되어 있다. 서버팜용으로 시스코 카탈리스트 4507, 4510 2대와 한양학원망(병원 및 부속 중·고등학교) 용도로 시스코 3750 4대도 설치했다. 다수의 워크그룹 스위치는 재활용해 기존 투자를 보호했다.
이러한 대대적인 네트워크 변경 사업을 진행한 한양대의 프로젝트 기간은 4개월 남짓. 지난해 12월 중순 사업자와 계약한 후 2006년 1월 초 장비를 들여와 20일만에 설치를 모두 끝냈으며 지난 3월 8일 검수를 최종 완료했다. 2월 14일을 개통일로 삼은 것은 사용자들에게 실질적으로 개선된 네트워크 서비스를 제공하기 위해 현재 사용하고 있는 인터넷 전용회선도 증속, 이의 완료 시점에 맞췄던 것이다.
이렇게 빠르게 설치를 끝낼 수 있었던 데에는 한양대가 네트워크 구축 작업에서 '시간'을 가장 중요하게 고려했기 때문이다. 정보통신처는 연말 연초에 몰려 있는 학사일정과 중복되지 않도록 하며 변경 작업으로 인해 사용자 네트워크 단절 시간을 최소화하는 것을 원칙으로 잡았던 것이다.
장 팀장은 "기존의 ATM 망을 유지하면서 기가비트 이더넷 백본을 구축했으며, 겨울방학 기간 중에서도 입시와 수강신청을 비롯한 학사일정에 겹치지 않도록 하기 위해 장비 입고를 촉박하게 당기고 야간에 주로 작업했다"고 당시 작업 상황을 전했다. 또 "광케이블이나 UTP케이블 등 기본 케이블링 인프라는 손을 대지 않고 유지한채 광 패치코드만을 변경하는 등 네트워크 공사를 최소화해 필요한 조치만 수행했다"고 말했다.
속도 및 장애 문제 크게 개선
기가비트 네트워크를 개통한 후 한양대는 실질적으로 하드웨어의 용량이 대폭 증가되고 자주 발생했던 장비 결함에 의한 장애문제도 크게 해결되었다. 또 내부망의 PC나 서버 간 업로드, 다운로드 속도가 월등히 좋아졌다.
현재 인터넷 구간의 QoS 정책을 적용해 P2P 트래픽은 막으면서 웹은 빠르게 사용하고 있으며, 연구실 간 자료전송의 경우에도 최대량인 100Mbps로 이루어져 속도가 월등이 좋아졌음을 느낄 수 있는 상황이다.
외부망에서도 초기에 실감할만한 속도 향상을 느낄 수 있었다. 하지만 "초기와는 달리 시간이 지날수록 요구사항이 높아져 현재에는 예전 수준으로 복귀했다"는 것이 정보통신처의 설명이다. 그렇지만 한양대는 장비교체 후 현재 더욱 많은 서비스를 지원할 수 있게 되어, 현재 확보된 대역폭을 QoS 장비를 이용해 기숙사 학생들에게 밤 11시부터 오전 5시까지 게임과 P2P 서비스를 사용할 수 있도록 제공하고 있다.
무엇보다 속도에 대한 불만이나 장애 때문에 정보통신처에 걸려오는 문의전화 량이 확실히 줄었다고. 더욱이 담당자가 장애 때문에 주말에도 대응하는 경우가 많았지만 현재는 편하게 쉴 수 있다고 한다. 장 팀장은 "이것이 바로 내부 네트워크 서비스의 향상과 안정적인 네트워크 인프라 운영체계가 마련되어 있다는 반증"이라며, "앞으로 학내 트래픽과 현재 사용 중인 포트 및 서비스를 조사해 서비스 수준을 더욱 향상시킬 것"이라고 전했다.
현재 한양대는 학내에 산재되어 있는 많은 네트워크 장비를 효율적으로 운영하기 위해 EMS(전사적관리시스템)로 시스코웍스, NMS(네트워크관리시스템)로 PRTG와 MRTG를 병행 구축해 놓았다. 또 전문업체인 구더스를 통해 외부 MSP 서비스로 네트워크 관제서비스를 받고 있다. 이에 따라 내부 트래픽 및 대역폭 등 네트워크 모니터링과 분석, 외부에서 모든 장비의 인터페이스와 발열상태를 실시간 감시해 장애 시 문자 및 전화통보 서비스를 받는 장애대응시스템을 갖추고 있다.
보안의 경우 방화벽 관리서버에 쌓여있는 로그를 로그분석 서버를 이용해 가공, 분석하고 있다. 또 일정 기간별 학내 트래픽 현황을 분석해 QoS의 정책에 따라 각종 서비스는 대역폭을 보장하고 P2P 등 학내 교육연구 및 업무 외의 서비스는 제한하고 있다.
한양대는 기가비트 이더넷망을 개통해 사용한지 석달이 되어가는 현재 시점에서 네트워크 사용 및 서비스 현황을 면밀히 분석해 네트워크 서비스 체계를 재정립할 방침이다. 이와 함께 현재 학내에 구축되어 있는 무선랜의 사용자 요구를 분석해 무선랜 장비의 재정비와 유무선 통합 형태의 인증시스템을 도입할 예정이다. 그리고 보안을 강화하기 위해 사용자 PC에 실시간으로 각종 패치를 배포하는 PMS(패치관리시스템) 구축도 준비하고 있다.
Interview
장익성인프라관리팀장
한양대학교 정보통신처
10기가비트 네트워크 장비의 도입 배경은.
기존에 사용해온 ATM 장비가 노후화 되면서 잦은 고장이 발생하고 대체 부품 조달이 어려운데다 2002년부터 급격히 증가한 해킹 시도 및 웜 발생 등으로 장비의 처리용량(CPU) 한계로 네트워크 속도저하 현상이 나타났다. 학사행정 및 연구 업무와 같은 정상적인 트래픽은 기존 환경에서도 얼마든지 수용 가능하지만 유해트래픽 등 비정상적인 트래픽이 네트워크 대역폭과 장비 처리용량(CPU)에 크게 부하를 주기 때문에 기가비트 장비 업그레이드가 필요했다. 직접적인 네트워크 장비의 부담을 덜 수 있는 다양한 보안 체계가 있었지만 보안 위협이 증가하면서 점점 불안해질 것이며, ATM 환경에서는 다양한 사용자의 서비스 요구에 능동적으로 대응하지 못하는 한계도 있었다.
가장 큰 도입 효과는.
무엇보다 안정된 시스템과 네트워크를 사용할 수 있게 된 점이다. 속도에 대한 불만이나 장애 때문에 정보통신처에 걸려오는 문의전화가 상당히 줄어들었고, 주말에까지 이뤄졌던 잦은 장비의 장애 대응이 이제는 거의 없어졌다.
전체적으로는 네트워크 대역폭 및 처리속도가 대폭 증가되어 빠른 자료 전송 등 사용 속도와 서비스 향상, 안정적인 운영환경이 구축되었다고 평가하고 있다. 네트워크 장애 및 보안관리 체계도 강화되어 문제 발생 시 보다 신속하게 조치를 수행할 수 있을 것으로 보인다.
구축 과정에서 어려웠던 점이나 문제점은.
구축작업 당시 겨울방학이었지만 사용자의 네트워크 단절 시간을 최소화하고 입시, 수강신청 등 학사일정과 중복되지 않도록 하기 위해 작업 일정을 최소한으로 잡았다. 이 때문에 3차에 걸쳐 장비 입고가 이뤄져 이에 맞춰 작업일정을 잡아 작업하고 야간과 휴일에 주로 작업했다. 짧은 기간 내 많은 장비를 공급하는 것이 쉽지는 않았을텐데 장비 입고 스케줄링과 구축작업 지원을 잘 해준 에스넷과 시스코 엔지니어에게 감사하다는 말을 하고 싶다.
향후 추가 또는 확대 계획은.
개통 후 사용해온 네트워크 트래픽과 현재 사용 중인 포트 및 서비스를 분석해 전반적인 캠퍼스 네트워크 서비스 체계를 재정립할 방침이다. 이와 함께 현재 학내에 구축되어 있는 무선랜 관련 사용자 요구를 분석해 무선랜 장비의 재정비와 유무선 통합 형태의 인증시스템을 도입할 계획이다. 현재 건축하고 있는 경영관과 제3법학관, 건축관, 한양테크놀리지센터 등 신규 건물 네트워크 설치와 장비 설치도 진행할 예정이다. 또 보안을 강화하기 위해 사용자 PC에 실시간으로 각종 패치를 배포하는 PMS(패치관리시스템) 구축도 준비하고 있다.