바이패스(bypass) 이해하기

바이패스(bypass): L4 장비가 문제가 생겼을 때 트래픽을 장비 안 거치고 통과시키도록 하는 기능입니다.

목적: 장비 장애로 전체 서비스가 끊기는 걸 막기 위함(가용성 확보).

동작 방식 — 경우별

정상(장비 동작)

L4가 트래픽을 검사/처리(세션관리, NAT, 로드밸런싱 등)합니다.

장비 내부 장애로 L4 기능만 멈춤(소프트웨어/프로세스 죽음)

바이패스가 자동으로 활성화되면 L4는 패킷 검사·변환 없이 단순 2계층 포워더(transparent switch) 처럼 동작합니다.

즉 MAC 학습/프레임 포워딩만 되고, 세션·NAT·프리필터 규칙 등은 사라집니다.

장비 전원 끊김 또는 물리적 파손

하드웨어 바이패스(릴레이·패시브 스위치)가 있으면 전원 없어도 회로가 닫혀 트래픽은 통과됩니다(서비스 유지).

바이패스 하드웨어가 없거나 설계가 다르면, 링크가 끊겨 통신이 중단될 수 있습니다.

바이패스는 항상 완전 대체가 아님

L4에서 제공하던 가상 IP(VIP), 세션 유지, SNAT/DSR 같은 기능은 바이패스 상태에서 실행되지 않음.

따라서 클라이언트가 직접 서버로 가면 정상 동작하지 않는 애플리케이션(예: 세션 기반 인증, NAT 필요 서비스)은 장애가 발생할 수 있음.

 

운영상 주의점(짧게)

바이패스가 하드웨어 기반인지 소프트웨어 기반인지 확인하세요. (하드웨어면 전원 없어도 트래픽 통과 가능)

VIP/NAT 의존 서비스면 바이패스가 되어도 서비스가 완전 유지되지 않을 수 있음.

장애 시 ARP/MAC 테이블, 라우팅/포트 매핑 재학습으로 잠깐 단절(순단)이 발생할 수 있음.

정기적으로 장애 시나리오(전원 차단, 프로세스 중단)를 테스트하세요.

 

권장 설정

fail-to-wire(또는 하드웨어 bypass) 기능 활성화

바이패스 전환 감지 타임아웃 및 헬스체크(서버/포트) 적절 설정

VIP가 필수면 L4 이중화(HA) 또는 외부 NAT 대안 마련

장애 후 클라이언트와 서버의 ARP 갱신(또는 gratuitous ARP) 고려