확장성 문제의 해결사
대형 내트워크에서... `확실한 보안, 저가' 돋보여
- 관리 문제 줄일 수 있어
- ‘보안 확실’
- 구성 어렵지않아
- 1단계:각 VPN의 VRF
- 2단계:라우팅프로토콜의 선택
- 3단계:ELSR 사이의 MP-BGP 구성
- 4단계:VPN 사이트인터페이스 식별
- VPN 대인터넷라우팅
- 통합 서비스 클래스지원
- 참고 자료
 |
|
하지만 통신 서비스 사업자의 입장에서 ATM 또는 프레임 릴레이의 레이어2 가상회선기술을 이용해 확장 가능한 VPN 서비스를 신속하게 구축하려 할 때 관리가 문제다. 사설 WAN회선을 조달할 때와 거의 마찬가지이기 때문이다.
레이어2 기술은 수만개에 달하는 폐쇄적 사용자 그룹을 지원하기 위한 확장성이 떨어진다. 가상회선 기반 VPN을 이용할때는 서비스 사업자가 각 사용자 그룹내의 모든 통신사이트에 별도의 논리적 경로를 구축및 관리 해야한다. 이는 거의 각각의 고객에 대해 완벽한 가상회선망을 구축하는 것과 같다.
| 맨위로 |
관리 문제 줄일 수 있어
다중프로토콜 라벨 스위칭(MPLS) 기술이 이러한 확장성 문제를 해결한다. 이 기술은 통신서비스 사업자들이 각 고객 VPN에 대해 지점간 논리망을 완벽하게 구성하기 위해 수작업 인력을 투입하지 않고서도 하나의 초대형 물리 네트워크 상에서 다중 VPN 서비스를 구축할 수 있도록 한다.
MPLS는 IP 주소에 들어 있는 정보를 이용해 레이어3 비연결 네트워크 상에서 무작위 연결을 구축할 수 있다. IP 네트워크와 같은 비연결 네트워크는 호스트 간에 통신을 하기 위해 사전 조치가 필요하지 않기 때문에 양측이 간편하게 통신할 수 있다.
MPLS기반 VPN의 피어(peer) 지향 모델은 고객 사이트에서 VPN를 구성하는 모든 CPE 라우터가 아니라 단 하나의 사업자 에지 라우터하고만 라우팅 정보를 직접 교환하도록 한다. 이 비연결 아키텍쳐는 레이어3에서 VPN을 구축할 수 있도록 하며, 레이어2 터널 또는 가상회선을 필요로 하지 않는다.
각 VPN의 구성원은 MPLS 라벨을 이용해 폐쇄적 사용자 그룹에 속하는 것으로 식별할 수 있다. 이들 라벨이 VPN 식별뿐만 아니라 패킷 포워딩을 위해서 다음 홉(hop) 스위칭 정보를 지니고 있어 VPN 영역 내에서 통신을 가능케 한다.
MPLS의 특징은 라벨에 있다. 통신서비스 사업자는 라벨에 특수한 의미를 부여할 수 있다. 이 방법은 대규모 네트워크 상에서 확장 가능한 서비스를 구축하는 간편하고 강력한 방법이다.
라벨링 패러다임이 IP 헤더 내용에서 패킷 포워딩을 분리시키고 MPLS가 레이어3 서비스를 레이어2 인프라로 부여하는 메커니즘을 제공한다. 라벨은 패킷 경로, 사용자 그룹, 서비스 속성 등을 포함한다. 사업자 네트워크로 진입하면서 입력 패킷이 처리되고 VPN 라우팅 및 포워딩(VRF) 사례 테이블을 이용해 라벨이 선택 및 적용된다.
코어 장치는 단순히 라벨에 기반해 패킷을 전송하고, 기존의 스위칭 또는 라우팅 테이블을 교체한다. 포워딩 테이블이 사전에 계산되기 때문에 트래픽은 통신서비스 사업자의 ELSR(에지 라벨 스위치 라우터)에서 한 번만 분류되는 한편, 레이어3 시각 및 서비스는 종단에서 종단으로 적용된다.
MPLS는 레이어2 터널링 프로토콜 또는 암호화를 이용하지 않고 MPLS 라벨에 정보를 구성하여 트래픽을 분리하고 보안성을 제공한다. MPLS는 레이어2 백본에서까지 레이어3 시각을 제공해 통신서비스 사업자 코어가 VPN을 인식하도록 한다.
| 맨위로 |
‘보안 확실’
이 시각은 사용자 및 서비스를 상당히 간편하고 융통성 있게 그룹화할 수 있게 한다. 다시 말해 한 사용자에게 다중 서비스를 지정하거나, 반대로 다중 서비스를 한 사용자에게 지정할 수 있다. 뿐만 아니라 모든 MPLS 기능이 사업자 네트워크에 상주하므로 고객 장비를 구성하지 않아도 된다. 그러므로 고객측은 편리하게 단지 IP 접속만을 인식한다.
비연결 MPLS VPN은 연결지향적 VPN과 같은 수준의 보안성을 제공한다. 한 VPN의 패킷이 실수로 다른 VPN으로 전달되지 않기 때문이다. 고객에게서 수신된 패킷이 적절한 VPN으로 전달되도록 함으로써 사업자 네트워크의 에지에서 보안성이 제공된다.
뿐만 아니라 백본 VPN에서 트래픽이 사용자 그룹간에 분리되어 유지된다. 악의적인 접근(통신서비스 사업자의 에지 라우터에 액세스하려는 시도)은 불가능하다. 고객에게서 수신된 패킷이 특정 인터페이스 또는 서브인터페이스에서 수신되고 VPN 라벨을 통해 고유한 방식으로 신원확인을 거쳐야 되는 IP 패킷이기 때문이다.
| 맨위로 |
구성 어렵지 않아
MPLS를 위해 통신서비스 사업자의 IP 또는 IP+ATM 코어를 구성하기 위해서는 시스코 IOS 버전 12.1의 강력한 기능이 필요하다. 이와 함께 MPLS 네트워크에서 패킷 포워딩을 가능하게 하기 위해서는 시스코 익스프레스 포워딩(CEF)을 이용해야 한다. CEF는 시스템 자원 경쟁을 막기 위해 프로세싱 작업을 분리시키는 토폴로지 지향 스위칭 아키텍쳐이다. 이 기법은 패킷 처리를 간소화하고 네트워크 성능을 일관되고 예측 가능하도록 한다.
대부분의 구성은 통신서비스 사업자 네트워크 에지의 ELSR에서 이루어진다. CEF를 실행하고 ELSR 식별이 이루어지면 VPN을 구성하는 것이 레이어2 네트워크의 시간소모적인 지점간 가상회선망 구성에 비해 너무 쉽고 간편하다.
MPLS를 이용해 VPN 서비스를 배치하는 것은 다음과 같은 절차로 이루어진다.
- 각 VPN의 VRF 사례를 구성한다.
- 고객과 사업자 에지 사이의 라우팅 프로토콜을 선택한다.
- ELSR 사이에 MP-BGP(다중프로토콜 경계 게이트웨이 프로토콜)을 구성한다.
- VPN 사이트로 연결되는 인터페이스를 지정한다.
| 맨위로 |
1단계 : 각 VPN의 VRF 사례 구성
사업자 네트워크 에지에서 ELSR이 자신에게 연결되어 각 VPN에 관해 정보를 가지고 있어야 한다. 먼저 LDP(라벨 분배 프로토콜)을 실행하여 패킷이 MPLS 백본의 모든 인터페이스로 전송되는지 확인한다.
그 다음에는 고유의 VRF 사례 및 경로 구분자(route-distinguisher: RD)를 포함하도록 ELSR 장치(일반적으로 시스코 라우터)를 구성한다. VRF 사례는 각 VPN에 대해 각각의 포워딩 테이블을 작성함으로써 라우터를 다중 가상 라우터로 변환한다. RD는 64비트 VRF기반 헤더로서, 고객의 IPv4 접두부호 앞에 첨가되어 이 접두부호를 세계적으로 유일한 VPN-IPv4 접두부호로 변환한다. VPN에 대해 단일 RD를 구성할 수도 있지만, VRF에 대해 RD를 지정하면 IBGP(내부 BGP)를 이용해 로드밸런싱을 할 수 있을 뿐만 아니라 VPN 관리도 간소화된다.
그 다음 단계는 경로 목적지에 따라 VRF 가져오기 및 내보내기 정책을 수립하는 것이다. 경로 목적지는 한 VPN 내 모든 라우터의 확대집단 식별자이다. MPLS는 경로 목적지를 이용해 VRF 사례 테이블 갱신을 허용한다.
| MPLS VPN 백본 |
 |
|
네트워크 에지 대부분의 MPLS 구성은 사업자의 네트워크 에지 에서 이뤄진다. 각각의 ELSR에서 각 VPN을 위한 VRF 사례 테이블이 보안성을 위해 트래픽을 분리한다. 때문에 통신 서비스 사업자가 고객 구내장비와 사업자에지 장치사이에 어떤 라우팅 프로토콜 이라도 실행할 수 있다. |
| MPLS VPN 플랫폼 | |
| 통신서비스 사업자 에지 | 통신서비스 사업자 코어 |
| 시스코 3640 시리즈 |
시스코 7200 시리즈 |
| 시스코 7200 시리즈 | 시스코 7500 시리즈 |
| 시스코 7500 시리즈 | 시스코 8650 시리즈 |
| 시스코 8800 시리즈 | |
| 시스코 12000 시리즈 인터넷 라우터 | |
|
안과 밖 MPLS 네트워크는 MPLS 서비스가 적용되는 네트워크 에지 장치와 고용량 코어 스위칭 라우터로 구성된다. |
| 맨위로 |
2단계 : 라우팅 프로토콜의 선택
라우팅 프로토콜이 네트워크 장치로 하여금 서로 자신의 상태와 최적경로 포워딩 정보를 알리도록 한다. 고객 구내 및 사업자의 네트워크 에지 사이에 라우터 대 라우터 통신을 위해 MPLS가 정적 경로, 라우팅 정보 프로토콜 버전 2(RIPv2), 외부 경계 게이트웨이 프로토콜(EBGP), OSPF (Open Shortest Path First) 프로토콜을 지원한다.
학습된 경로가 프로토콜이 구성된 인터페이스와 관련된 VRF를 채운다. MPLS 코어에서는 VPN 서비스에 어떤 라우팅 프로토콜이나 이용할 수 있지만, 일부 라우팅 프로토콜(링크상태 프로토콜 등)은 트래픽 엔지니어링과 같은 다른 MPLS 기반 서비스에 이용할 수 있다(27쪽의 관련 기사 참조).
MPLS는 특정 VPN에 대해 VRF 사례를 지정해 각 VPN의 트래픽을 자동으로 분리시켜 한 물리 네트워크가 수천 개의 사설 VPN을 지원할 수 있도록 한다. VRF 사례를 기반으로VPN을 디자인하면 사업자가 한 고객에 대해 다중 VPN을 구축할 수 있다.
사업자 에지에서 입력 패킷이 입력 인터페이스에 따라 특정 VPN으로 연결된다. ELSR이 사업자 네트워크에서의 출구를 지정하는 라벨과 특정 VPN을 지정하는 보조 라벨을 포함한 일련의 MPLS 헤더를 입력 패킷에 첨가한다.
그렇게 되면 코어 장치가 첫 번째 MPLS 헤더를 읽고 패킷을 전송할 수 있도록 라벨을 교체한다. 끝에서 두 번째 LSR(출구 LSR 바로 전 홉)이 MPLS 헤더에서 첫 번째 라벨을 제거한다. ELSR이 두 번째 라벨을 읽고 목적지 VPN으로 고유의 IP 패킷을 전송한다.
MPLS 네트워크가 입구 및 출구에서 원래 패킷 헤더만 읽기 때문에 고객이 사업자 네트워크 상에서 자신들의 내부 IP 어드레싱 체계를 이용할 수 있다. 인터넷 액세스가 필요하지 않는 한 또 어떤 통신서비스 사업자의 하나 이상의 VPN 고객 주소범위가 겹치지 않는 이상 네트워크 주소 변환 (NAT)을 실행할 필요가 없다.
고객은 다른 고객의 어드레싱 계획에 상관없이 자신의 어드레싱 계획을 수립할 수 있다. 대부분의 고객은 IETF(Internet Engineering Task Force) RFC 1918에 규정된 대로 사설 주소 공간을 이용하며, 인트라넷 연결을 위해 시간과 비용을 들여 공중 IP 주소로 변환하고 싶어하지 않는다.
MPLS VPN은 주소에 대해 공중 및 사설 뷰를 제공함으로써 NAT를 거치지 않고도 계속해서 현행 주소 공간을 이용할 수 있다. 그러므로 고객은 등록하지 않은 자체 사설 주소를 이용하면서도 공중 IP 네트워크 상에서 자유롭게 통신할 수 있다.
| 맨위로 |
3단계 : ELSR 사이의 MP-BGP 구성
MPLS는 IETF RFC 2547에서 규정한 경로 목적지 및 VPN-IPv4 주소와 같은 확대집단을 지원한다. 코어 LSR은 BGP를 실행하지 않는다.
대신 BGP는 ELSR 장치에만 이용되며, 경로 테이블은 코어 홉에 관계 없이 직접 연결된 VPN의 에지 장치만 열거한다.
MP-BGP는 동일 VPN의 구성원에게만 VPN에 관한 정보를 배급하며, 어떤 에지 장치가 어떤 장치와 통신할 수 있는지 정의한다.
MP-BGP는 이를 위해 각 경로 목적지의 가져오기 정책을 이용해 각 ELSR에서 BGP 정보를 여과한다.
VPN 서브셋의 경로를 저장하기 위해 경로 반사자를 분할하면 각 ELSR에 저장되는 정보량이 크게 줄어서 BGP 테이블의 데이터량이 첨부된 VRF 사례와 같은 수준이 된다. 이 방법은 수천 경로를 포함하고 있는 초대규모 네트워크를 위한 아주 핵심적인 확장성 기능이다. 마지막으로 MP-BGP와 사업자 대 고객 라우팅 프로토콜 사이에 상호 재분배가 이뤄지면 두 네트워크 간에 통신이 가능하다.
| 맨위로 |
4단계 : VPN 사이트 인터페이스 식별
마지막 구성 단계는 VRF 사례에 기반해 ELSR에서 VPN 사이트로 나가는 인터페이스를 식별하는 것이다. 이 단계에서는 두 가지가 이뤄진다.
- VPN의 모든 라우터가 서로를 인식한다.
- 라우터의 비VPN 인터페이스는 다른 서비스에 이용할 수 있다.
| MPLS VPN 용어 |
| 에지 라벨 스위치 라우터(ELSR)-초기 패킷 처리 및 분류를 실행하고 첫 번째 MPLS 라벨을 적용하는 사업자 에지 장치 라벨 -LSR이 패킷을 전송할 때 이용하는 패킷 헤더. 헤더 형식은 네트워크 특성에 따라 다르다. 라우터 네트워크에서는 이 라벨이 독립된 32비트 헤더이다. ATM 네트워크에서는 라벨이 가상회선 식별자/가상경로 식별자 (VCI/VPI) 셀 헤더에 첨가된다. 라벨 분배 프로토콜(LDP)-에지 장치와 코어 장치 사이에 통신을 제공한다. 에지 장치와 코어 장치에서 라벨을 지정 하여 라우팅 프로토콜과 공동으로 라벨 스위치드 경로(LSP)를 구축한다. 라벨 스위치 라우터(LSR)-사전에 계산된 스위칭 테이블에 첨가된 패킷을 스위칭하는 코어장치 라벨 스위치드 경로(LSP)-종단점 간에 지정된 모든 라벨이 정의하는 동적 또는 정적 경로 경로 구분자(RD)-VPN의 접두부호를 구분하기 위해 이용되는 각 경로의 속성(64 비트). (VRN 기반이 아니라)VRF 기반이다. 경로 목적지-64비트. 경로를 수신할 라우터를 식별한다. VPN 인식 네트워크-MPLS VPN이 구축되어 있는 통신사업자 백본 VPN 라우팅 및 포워딩 사례(VRF)-라우팅 프로토콜 컨텍스트로 채워진 라우팅 테이블 및 포워딩 정보 베이스(FIB) 테이블 VPN-IPv4 주소-64비트 경로 구분자와 32비트 IP 주소를 포함한 주소 |
| 맨위로 |
VPN 대 인터넷 라우팅
어떤 경우에는 VPN 사이트가 인터넷 연결성을 필요로 할 수 있다. 이는 다시 말해 그 사이트가 인터넷 목적지에 도달하거나, 반대로 어떤 인터넷 위치에서 액세스할 수 있어야 한다는 뜻이다. 당연히 인터넷으로부터 원치 않는 트래픽이 유입되는 것을 막기 위해 방화벽이나 액세스 제어 목록(ACL)과 같은 보안 메커니즘을 이용해야 한다. 인터넷 연결성은 하나 또는 두 개의 인터페이스를 이용해 제공할 수 있다. 단일 인터페이스 디자인은 사업자 에지 인터페이스에서 VPN과 인터넷 트래픽을 분리시킨다. 일반적으로 VRF 사례 테이블에 단일 디폴트 경로를 지정하며, 고객의 IP 주소를 은폐하기 위해 NAT를 필요로 한다. 디폴트 VRF 경로에서 지정된 인터넷 게이트웨이가 반드시 ELSR에 직접 연결될 필요는 없으며, 각 VRF가 서로 다른 인터넷 게이트웨이를 이용할 수 있다. 인터넷 라우팅을 위한 디폴트 경로를 이용하면 내부 VPN 라우팅을 위해 다른 디폴트 경로를 이용할 수 없다.
다른 대안은 VRF 사례 테이블 내에 완전 BGP 테이블을 이용하는 것이다. 이 방법은 융통성은 향상되나 메모리를 더 많이 소모한다.
이중 인터페이스 디자인은 고객 에지에서 트래픽을 분리시킨다. 사업자 에지에 VPN 연결을 위한 하나의 VRF 인터페이스와 인터넷 연결을 위한 이차 IP 인터페이스가 있다. 이 디자인은 각 인터페이스에서 이종 라우팅 테이블을 이용하며 VPN 보안성을 향상시키기 위해 트래픽을 분리시킨다. 고객 에지에서 VRF 인터페이스가 아닌 IP 인터페이스에서 NAT가 이루어진다.
| VPN 조달플랫폼 결정 도표 | |||
| 레이어 가상회선 | 레이어3 터널링 | MPLS(레이어2/3 결합) | |
| 구성 및 관리 |
복잡하고 확장성이 제한적. 지점간 임대 회선 조달과 유사. | 덜 복잡하고 확장성 제한적임. 각 라우터가 모든 고객 네트워크에 관한 모든 라우팅 정보를 유지한다. | 가장 덜 노동집약적이며 확장성이 거의 무제한적임. 경로테이블이 코어홉에 관계 없이 각 VPN에 연결된 에지 장치만 열거한다. |
| 보안성 | 뛰어남 | 뛰어남 | 뛰어남 |
| 서비스품질 | 본질적으로 뛰어남 | 충족 되지못함. 별도의 기술을 이용해 구현해야함. | 본질적으로 뛰어남 |
| 조달비용 | 높음 | 중간 | 낮음 |
|
보안 옵션 VPN플랫폼은 비용은 점점 낮아지면서도 보안성은 여전히 뛰어나다. |
| 맨위로 |
통합 서비스클래스 지원
서비스클래스(CoS)는 많은 IP VPN 고객들에게 매우 중요한 요소이다. 이 요소는 두 가지 기본적인 VPN 조건을 충족한다.
- 예측 가능한 성능 및 정책 구현
- MPLS VPN에서 다양한 서비스 수준 지원
네트워크 에지에서 네트워크 트래픽에 클래스를 부여하고 라벨을 첨가한 다음, 트래픽을 통합한다. 가입자가 정의하고 사업자가 구현한 정책에 따라 클래스가 부여되고 사업자 코어 간에 전송된다. 그 다음 네트워크 에지 및 코어에서 트래픽은 드롭 가능성이나 지연으로 인해 서로 다른 클래스로 구분될 수 있다.
다른 제품이나 서비스와 마찬가지로 비용이 저렴하면 시장이 넓어진다. MPLS는 초대규모 네트워크에서 VPN 서비스를 구축할 수 있는 혁신적인 아키텍쳐이다. MPLS는 통신서비스 사업자가 단일 인프라를 통해 수천 개의 VPN을 구축할 수 있으므로 서비스를 신속하게 조달하여 시장 변화에 대처하고 관리비용을 절감할 수 있다.
이와 같은 장점 덕택에 기업, 특히 중소기업은 새로운 시장에 재빨리 진입할 수 있다. 중소기업들은 경쟁하기 위해 VPN 서비스를 필요로 하기는 하지만 지금까지 비용 때문에 시장에 뛰어들지 못하고 있었다.
또 MPLS는 공중 인프라를 통해 기업들에게 확장가능한 사설 네트워크 서비스를 신속하고 저렴하게 제공할 수 있는 IP VPN 인프라를 제공함으로써 이와 같은 비즈니스 기회를 최대한 활용할 수 있도록 한다.
| 맨위로 |
자히르 아지즈 (Zaheer Aziz)
CCIE No. 4217, 백본 VPN 세그먼트에 관한 트래픽엔지니링및 ‘MPLS 기반 트래픽관리와 VPN 백본구축’ 네트워커스 세션의 강연자이다. 시스코의 인터네트워킹 엔지니어인 그는 대규모 IP 네트워크의 디자인 및 지원에 관한 전문가이다.
또 MPLS와 같은 신기술 교육에도 적극적으로 관여하고 있으며, 현재 IP 네트워크 장애진단에 관한 시스코 홍보책자를 집필중이다. 궁금한 점은 이메일주소 zaziz@cisco.com 로 연락하면된다.
| |||
출처 URL: http://www.cisco.com/global/KR/about/packet/cs/5_5.shtml