IT 관리자, 특히 네트워크 관리자라면 BPS, bps, pps 관리를 빼놓을 수 없습니다.
BPS, bps, pps란 무엇이고, 어떤 부분을 중점적으로 관리해야 할까요?
1. BPS, bps, pps의 개념
BPS는 초당 Byte 수, bps는 초 당 bit 수, pps는 초당 packet의 수
BPS와 bps는 초당 처리된 트래픽의 Byte 혹은 bit입니다.
BPS는 BPS는 Byte per second의 약자로 초당 처리된 Byte입니다. 소문자로 표기된 bps는 bit per second의 약자로 초당 처리된 bit입니다. 트래픽의 파일 크기를 나타내기 때문에 BPS와 bps는 유사한 개념이지만, 1Byte는 8bit로 환산되기 때문에 어떤 단위를 사용하는지 유의해서 확인해야 합니다. Byte와 bit 중 더 큰 단위인 Byte를 사용하는 Byte per second가 주로 대문자로 표기됩니다.
pps는 packet per second의 약자로 초당 처리된 패킷의 수입니다. 네트워크를 통해 데이터가 전송될 때, 데이터는 패킷 단위로 구성됩니다. 패킷의 크기는 최소 64Byte에서 1,500Byte까지도 될 수 있습니다. 하나의 패킷 내에 얼마나 큰 용량의 데이터가 담겨있느냐에 따라 1 패킷의 크기는 달라집니다.
2. BPS, bps, pps의 모니터링의 필요성
사용률이 70%가 넘지 않도록 모니터링, 급격한 증가는 사이버 공격을 받고 있다는 신호
네트워크 장비가 처리할 수 있는 BPS, bps, pps는 제한적이기 때문에 만약 처리해야 하는 데이터가 늘어나고 있다면 장비 증설과 같은 방안을 준비해야 합니다. 일반적으로 네트워크 장비를 안정적으로 사용하기 위해서는 최대한 처리할 수 있는 BPS, bps, pps의 70% 수준까지 사용하는 것을 권장합니다. 평상 시에는 이 부분에 초점을 맞추어 관리합니다.
와치올 같은 상용 NMS(네트워크 관리 시스템, Network Management System)나 Zabbix, LibreNMS 같은 오픈소스 NMS는 네트워크 관리자들이 BPS, bps와 pps를 쉽게 확인할 수 있도록 그래프 형태로 보여주거나, 정해진 임계치에 도달하면 알람을 제공합니다.
BPS, bps, pps 모니터링과 알람을 제공하는 NMS '와치올' 예시
BPS, bps, pps를 모니터링해야 하는 또 하나의 이유는 사이버 공격을 인지하기 위함입니다. 디도스(DDoS) 같은 사이버 공격을 받을 경우 BPS, bps, pps가 급격하게 증가하는 형태로 나타나기 때문입니다.
한국인터넷진흥원에서 배포한 DDoS 공격대응 가이드에는 총 4단계로 디도스에 대한 대응 방안을 제시하는데, 첫 번째 단계가 '공격 인지'입니다. 공격 인지 단계에서 해야할 대응 방안은 BPS, bps, pps 규모가 평소 대비 비정상적인 증감이 있는지 확인하는 것입니다.
때문에 NMS를 사용해 BPS, bps, pps의 현황을 모니터링하는 것은 네트워크 관리의 기본이라 할 수 있습니다.
3. BPS, bps, pps 관리 방안과 불편한 점
장애 근원지를 찾아 차단/장비 증설 등의 조치 필요, 별도의 패킷 분석 툴을 사용해야 한다는 것은 불편한 점
만약 BPS, bps, pps를 모니터링하던 중 임계치에 도달하거나, 트래픽이 급증했다는 것을 발견한다면 장애의 영향력이 전체 네트워크로 퍼지지 않도록 장애 근원지를 찾아서 차단하거나, 장비를 증설하는 등의 조치가 필요합니다.
장애 근원지를 찾을 때는 보통 패킷 분석 툴을 사용합니다. pps의 개념을 설명드릴 때, 패킷이란 네트워크를 통해 전송되는 데이터의 단위라고 했는데요. 패킷을 분석하면 데이터에 대한 정보를 파악할 수 있습니다. 해당 데이터가 어떤 프로토콜을 사용했는지, 어떤 Source IP에서 시작되어서 어떤 Destination IP를 향해 전송되었는지 등을 분석하여 장애 근원지를 추적할 수 있습니다.
대표적인 패킷 분석 툴 '와이어 샤크(WireShark)'
이 때 패킷 분석 툴이 사용됩니다. 와이어 샤크(WireShark)가 대표적인 패킷 분석 툴입니다. 수집한 패킷 내 정보를 분석하여 IP, 프로토콜 등의 정보를 보여줍니다. 원하는 조건에 따라 필터링해서 확인할 수도 있고요.
다만 불편한 점은 NMS를 통해 BPS, bps, pps 모니터링을 하다가 특이사항이 발견되면 별도의 패킷 분석 툴을 사용해야 하기 때문에 관리자 입장에서는 관리 포인트가 늘어나게 됩니다. 또한 패킷 분석 툴을 사용할 경우 관리자가 직접 패킷을 캡쳐해야지만 패킷에 대한 데이터가 확보되기 때문에 지나간 트래픽에 대해서는 확인하기 어렵다는 제약사항이 있습니다. 또한 패킷 분석 툴이 텍스트 기반으로 되어 있기 때문에 직접 필터링 조건을 입력해야 한다는 점, 시각화된 형태로 확인할 수 없다는 점도 불편한 점입니다.
4. 와치올 하나로 BPS, bps, pps 모니터링부터 패킷 분석까지 한번에
BPS, bps, pps 모니터링 중 특이사항을 발견하면 바로 GUI 기반의 패킷 분석까지 와치올에서 한번에!
와치올은 BPS, bps, pps 모니터링부터 패킷 분석까지 GUI를 통해 쉽게 할 수 있는 솔루션입니다. 일반적인 패킷 분석 툴은 캡쳐된 패킷에 대해서 텍스트 형태로 정보를 보여주는 것에서 그치지만, 와치올은 과거의 트래픽 정보도 샘플링을 거쳐 부하 걱정 없이 보존하기 때문에 지나간 트래픽에 대한 분석도 제공합니다. 와치올은 스마트 추적 기능을 통해 트래픽이 많이 발생한 IP에서 어떤 포트를 많이 사용했고, 누구와 Conversation을 많이 했는지, 어떤 프로토콜을 통해 트래픽이 많이 유발되었는지 드릴 다운 방식으로 범위를 좁혀가며 추적할 수 있도록 제공합니다.
와치올에서 제공하는 트래픽 드릴 다운 추적 기능
네트워크 장비 및 인터페이스에 대한 통합 관제 화면
네트워크 품질 관리를 위해서는 BPS, bps, pps와 같은 트래픽 모니터링 뿐만 아니라 트래픽을 전송하는 네트워크 장비의 성능도 함께 모니터링해야 합니다. 와치올은 네트워크 장비의 CPU, 메모리, 장비 온도와 같은 성능 정보와 SNMP/ICMP 기준 응답 속도, 장비 가동률, 시스템 로그 까지도 하나의 플랫폼에서 통합 관제할 수 있도록 제공합니다.
솔루션을 사용하는 이유는 보다 편하게, 보다 빠르게 업무를 수행하기 위함입니다. 동일한 정보라도 더 보기 쉽게 제공하기 위해 오늘도 연구하는 와치올이 되겠습니다.