F5 및 Windows Server 2012 DirectAccess/원격 액세스 서비스

Windows 8과 Windows Server 2012의 경우 Microsoft는 이전 버전의 Windows Server에서 사용되던 DirectAccess와 VPN Server라는 두 가지 원격 액세스 기술을 가져와 간단히 원격 액세스라는 이름의 동일한 관리 체계로 통합했습니다. F5 기술은 이러한 서비스의 트래픽을 관리하고 부하를 분산하는 데 사용될 수 있습니다.

DirectAccess는 원래 Windows Server 2008 R2와 Windows 7에 도입되었으며, 이전의 원격 액세스 기술을 전환했습니다. 사용자 수준에서 수동으로 연결을 시작하는 기존 VPN과 달리 DirectAccess는 원활한 시스템 수준의 연결을 활용합니다. 즉, 원격 도메인 가입 시스템은 부팅 시 자동으로 안전하게 기업 네트워크를 구축합니다.

VPN은 이전에 원격 액세스 서비스(RAS)로 알려져 있었으며 Windows NT에서 도입되었으며 IKEv2, SSTP, PPTP, L2TP를 비롯한 기존 Windows VPN 기술을 포함합니다. Windows Server 2012 고객은 DirectAccess, VPN 또는 둘 다를 배포할 수 있으며, 둘 다 배포하는 것이 유익한 경우가 많습니다. DirectAccess는 적절한 권한이 부여된 도메인에 가입된 Windows 7(이상) 클라이언트에 원격 액세스를 제공하는 반면, VPN은 도메인에 가입되지 않았거나 아직 Windows 7을 실행하지 않는 컴퓨터에 원격 액세스를 제공합니다.

Windows Server 2012의 DirectAccess에서는 로컬 및 광역 부하 분산을 모두 지원하는 새로운 기능이 추가되었습니다. F5 BIG-IP 로컬 트래픽 관리자(LTM)는 로컬 영역 부하 분산을 제공하는 데 사용할 수 있으며, F5 BIG-IP 글로벌 트래픽 관리자(GTM)는 광역(일명 글로벌) 부하 분산을 제공할 수 있습니다.

F5 제품은 Windows Server 2012 원격 액세스 배포에서 중요한 역할을 할 수 있습니다.

• 고가용성 BIG-IP LTM은 실제 DirectAccess/VPN 서비스를 인식하여 사용자가 항상 새로운 연결을 위해 준비된 DirectAccess/VPN 서버로 전송되도록 보장하여 사용자가 다운되거나 성능이 저하된 서버로 전송되는 상황을 제거합니다. 또한 BIG-IP LTM은 서비스 전반에 걸친 지속성 기능을 제공합니다. 이 기능은 Windows 95 R2 이후 모든 버전의 Windows 클라이언트와 함께 제공되는 PPTP(지점 간 터널링 프로토콜)와 같은 트래픽을 처리할 때 유용하며, 이를 통해 클라이언트 컴퓨터에서 매우 광범위한 적용 범위를 제공합니다. PPTP를 통해 DirectAccess에 연결하는 각 클라이언트는 두 개의 독립적이지만 필수적인 흐름(제어 연결과 데이터 연결)을 생성합니다. 부하를 분산할 때 연결이 끊어지는 것을 방지하기 위해 각 클라이언트의 두 흐름은 모두 동일한 PPTP 서버로 전송되어야 합니다. BIG-IP LTM은 특정 클라이언트에서 동일한 서버로 두 흐름을 모두 전송할 수 있는 인텔리전스를 갖추고 있어 연결이 끊어지지 않도록 보장합니다.

• 확장성 BIG-IP LTM은 트래픽을 지능적으로 관리하여 DirectAccess/VPN 서버의 다중 사이트 팜에 처리량을 분산할 수 있으므로 시스템이 다른 경우보다 훨씬 더 많은 사용자를 처리할 수 있도록 확장할 수 있습니다.

• 성능 BIG-IP LTM은 TCP 최적화, SSL 오프로드, 서버 성능 인식 등 다양한 방법으로 성능 향상에 도움을 줄 수 있습니다. 그 결과, 사용자는 더 빠른 접속과 최상의 네트워크 경험을 누릴 수 있게 되었습니다. 특히, BIG-IP LTM SSL/TLS 암호화 오프로드는 DirectAccess/VPN 서버의 대량 작업 부하를 덜어줄 수 있습니다. 클라이언트와의 SSL 연결을 종료하고 트래픽을 암호화하지 않은 채 서버로 전송함으로써 BIG-IP LTM은 서버 CPU를 클라이언트 서비스에 사용할 수 있게 해줍니다.

• 보안 DirectAccess/VPN 서버의 트래픽 관리를 제공하는 동일한 BIG-IP LTM 장치는 ICSA 인증 네트워크 방화벽으로, 기업에서 이를 이중 용도 애플리케이션 전송 컨트롤러(ADC) 및 경계 보안 어플라이언스로 배포할 수 있도록 하는 데이터 센터 보안 표준을 충족합니다.

DirectAccess/VPN에 적합한 네트워크 아키텍처를 신중하게 고려하는 것은 배포 프로세스에서 중요한 단계입니다. 다양한 옵션과 토폴로지를 사용할 수 있으며, 여기에 있는 내용은 모든 배포를 다루는 완전한 목록이 아니라 주요 결정 기준과 몇 가지 권장 토폴로지에 대한 검토일 뿐입니다. 배포 토폴로지에 일반적으로 영향을 미치는 기준에는 규모, 보안 요구 사항, 예산, 서비스 수준 계약(SLA)이 포함됩니다. 이러한 고려 사항은 종종 특정 아키텍처를 주도하거나 다른 아키텍처를 방해하기 때문에 배포하기 전에 F5 및 Microsoft 팀과 상의하는 것이 가장 좋습니다.

고가용성을 위해 F5는 활성/대기 배포 모델이나 서로를 적극적으로 지원하는 두 개 이상의 장치 그룹(activeN 모델이라고도 함)을 사용하여 BIG-IP LTM 어플라이언스를 배포하는 것을 적극 권장합니다. 두 모델 모두 네트워크 연결을 중단하지 않고도 BIG-IP LTM 장애 조치를 허용합니다. 다음 다이어그램에서 단일 BIG-IP LTM 아이콘은 장애 조치 쌍 또는 activeN 그룹을 나타냅니다.

DirectAccess에 대한 애플리케이션 전송 및 부하 분산을 제공하기 위해 기업에서는 종종 DirectAccess/VPN 서버 앞에 BIG-IP LTM을 공식 프런트 엔드로 배포합니다. BIG-IP 장치는 무엇보다도 DirectAccess/VPN 서비스의 가용성을 모니터링하고, 서버로 들어오는 클라이언트 연결을 분배하는 역할을 담당합니다.

Windows Server 2012 DirectAccess 서버 팜

간단한 DirectAccess/VPN 부하 분산에는 필요하지 않지만, DirectAccess 팜과 회사 네트워크 사이에 BIG-IP LTM 장치를 배치하면 상당한 이점을 얻을 수 있습니다. 구체적으로, 이 구성은 내부 네트워크의 클라이언트나 서버가 원격으로 연결된 DirectAccess 클라이언트에 대한 관리 연결을 시작할 수 있는 "관리형" 시나리오를 가능하게 합니다. 또한, 애플리케이션 서버의 내부 팜에 부하를 분산하고 다른 유용한 트래픽 관리 작업을 수행할 수 있습니다.

최적의 가용성을 위해서는 DirectAccess/VPN 팜 앞에 BIG-IP LTM 장치를 두는 것이 필수로 간주되며, 팜의 회사 네트워크 쪽에 또 다른 장치를 두는 것이 좋습니다. 이는 반드시 별도의 BIG-IP LTM 장치가 필요하지 않습니다. 동일한 BIG-IP LTM 장치를 외부 및 내부 역할에 재사용하면 계층화된 모델을 쉽게 배포할 수 있습니다. 그림 3을 참조하세요.

Windows Server 2012 DirectAccess Farm BIG-IP 기업 네트워크

프런트엔드나 계층적 접근 방식을 선택하는 것 외에도 조직에서는 직접 액세스/VPN 서버를 이중 홈/네트워크 인터페이스나 단일 네트워크 인터페이스 컨트롤러(NIC)로 배포할지 여부도 선택해야 합니다.

DirectAccess는 외부 네트워크와 회사 네트워크를 분리하는 이중 인터페이스 라우팅 구성을 지원합니다. 이 구성은 분할된 배포를 제공하며 DirectAccess 제품군에서 제공하는 Teredo 액세스 프로토콜을 사용하는 데 필요합니다. 가볍고 보안성이 뛰어난 Teredo 프로토콜은 네트워크 주소 변환(NAT)에 친화적입니다.

DirectAccess는 또한 각 DirectAccess 서버에 NIC가 하나만 있는 단일 인터페이스 배포 모델을 지원합니다. 기업 네트워크.

대규모 다국적 사용자 기반이 있거나 사이트 수준의 복원력이 필요한 경우 다중 사이트 배포를 선택할 수 있습니다. 이러한 시나리오에서는 F5 BIG-IP GTM을 BIG-IP LTM과 함께 구축하여 광역 트래픽 관리 및 상황 인식 부하 분산을 제공할 수 있습니다.

BIG-IP GTM은 사이트 수준 상태를 모니터링하고, 사이트 외부에서 발생하는 트래픽(원격 클라이언트 요청 포함)을 처리하고, 사이트 수준의 재해 복구 기능을 제공하여 BIG-IP 플랫폼의 이점을 확장하는 글로벌 트래픽 관리 장치입니다. BIG-IP GTM의 기능에는 지리적 인식과 원격 사용자를 지리적으로 가장 가까운 DirectAccess 팜으로 안내하는 기능이 있습니다. BIG-IP GTM은 계획된 또는 계획되지 않은 중단이 발생할 때 활성 데이터 센터로의 사이트 수준 장애 조치를 보장합니다.

조직의 아키텍처와 요구 사항에 가장 적합한 구성 토폴로지에 관계없이 F5 제품은 Windows Server 2012 DirectAccess/VPN 배포에서 중요한 역할을 할 수 있습니다. BIG-IP LTM과 BIG-IP GTM은 함께 작동하여 DirectAccess 및 원격 액세스 서비스에 대한 서버 및 사이트 수준의 복원력을 제공할 수 있습니다. BIG-IP 플랫폼은 서비스, 컨텍스트, 사용자 인식을 기반으로 트래픽을 지능적으로 관리하고 서비스 지속성과 탁월한 처리량 기능을 제공함으로써 가용성을 극대화하고 확장성을 보장합니다. 정교한 하드웨어 기반 최적화 기술과 암호화/복호화 오프로드를 통해 시스템 성능과 서버 용량이 향상되고 사용자 경험도 향상됩니다. ICSA 인증 네트워크 방화벽이자 ADC인 BIG-IP LTM은 경계 보안 장치 역할도 수행하며, BIG-IP 제품군의 다른 정책 관리 및 보안 모듈과 함께 사용하면 더욱 강화될 수 있습니다. DirectAccess/VPN과 함께 BIG-IP 제품을 배포함으로써 조직은 원격 액세스 투자의 전반적인 이점과 보안을 극대화할 수 있습니다.