텔레워커 경쟁력을 높여라

DMVPN Extends Business Ready Teleworker
"텔레워커 경쟁력을 높여라"
시스코, TCO 절감 가능한 DMVPN 출시 … 보안 강화·손쉬운 관리 돋보여
최근 기업들은 무수히 많은 기존 IP 기반 가상사설망(VPN) 솔루션을 통해 거리의 전사들(road worriors; 출장이나 이동이 많은 직원들)과 확장 근무자들(day extenders; 퇴근 후에도 집에서 기업 네트워크에 접속해 업무를 계속하는 직원들)을 비롯해 풀 타임 재택 근무자들 등 세 가지 부류의 사용자들을 위해 기업 네트워크에 대한 홈 액세스를 제공하고 있다.
모든 시스코 VPN 솔루션은 이러한 부류 사용자들을 위한 단일한 솔루션으로 폭 넓게 사용돼 왔다. 하지만 클라이언트 또는 웹 기반의 VPN 솔루션은 주로 거리의 전사들을 대상으로 하고 있으며, 시스코의 사이트 투 사이트(site-to-site) IOS VPN 솔루션은 확장 근무자와 소규모/원격지 및 지사 직원들을 대상으로 제공되고 있다.
최신 시스코 IOS VPN 솔루션은 이러한 텔레워커 프로그램을 강화하기 위해 출시됐다. 이 솔루션은 엔드 투 엔드 접속과 엔드 투 엔드 구축 모델 및 관리 기능을 확장 및 향상시켰다. 이러한 VPN 혁신 제품은 시스코의 라우팅 프로토콜 프레임워크 내에서 계층화된 IOS 보안 기능과 엔터프라이즈급 접속, 엔터프라이즈급의 음성, 비디오 및 데이터, 멀티캐스트 품질을 제공한다.

헤드엔드와 원격지
완벽한 진화 과정을 거친 이 엔드 투 엔드 솔루션은 기업과 인터넷 서비스 제공업체(ISP)를 위한 데이터 및 VoIP와 무선랜(WLAN) 네트워크를 비롯해 안전하며 상호 운영 가능한 네트워크를 포함하고 있다.
기능적인 차원에서 볼 때 이러한 확장성은 4가지 주요 구성 요소로 나뉜다. 이 주요 구성 요소는 엔드 투 엔드 보안을 비롯해 IOS 기반 엔드 투 엔드 접속, 엔드 투 엔드 구축, 엔드 투 엔드 관리 등이다(표 참조). 시장조사 기관인 사게 리서치에 따르면 엔드 투 엔드 모델은 운영과 지원 및 관리 비용을 대폭 절감해 주는 것으로 나타났으며, 이를 통해 총소유비용(TCO)의 80%까지 절감 가능한 것으로 드러났다.
이 솔루션은 헤드엔드에서 시스코 IP 솔루션 센터(ISC), 인텔리전스 엔진 2100(IE2100) 시리즈 시스코 네크워킹 서비스(CNS) 엔진, IOS 기반 공개 키 인프라 인증, 권한 부여 및 계정(PKI-AAA) 통합, 보안 관리 게이트웨이, 수많은 보안 데이터 게이트웨이와 연동한다. 헤드엔드는 원격지 라우터에서 구동하는 향상된 CNS 에이전트를 토대로 원격지를 통제한다.

엔드 투 엔드 접속
원격지에서는 로우엔드 라우터(일반적으로 홈 유저용 시스코 830 시리즈)나 미드레인지 라우터(지사 사용자용 시스코 1700, 2600, 3600 시리즈)와 연동한다. 또 손쉽게 구축할 수 있는 IOS 기능인 절도 방지 보호, 구성 무결성 보안, 다양한 인증 메커니즘(Auth-Proxy-AAA과 포트 IEEE 802.1X-AAA 포함) 등을 지원한다. 헤드엔드의 정책을 토대로 원격지는 시스코 네트워크 어드미션 콘트롤(NAC), 네트워크 기반 애플리케이션 승인(NBAR), 침입 탐지 시스템(IDS)과 같이 향상된 기능을 제공할 수 있다.
엔드 투 엔드 상호 운용성을 촉진하기 위해서, 여러 자동화 기능이 이 솔루션에 추가되었다(표 참조).
DMVPN(Dynamic Multipoint VPN)은 엔드 투 엔드 접속 모델 특히 안전한 P2P(peer-to-peer) VPN을 안전한 엔드 투 엔드 VPN으로 변환시켜주는 IPSec(IP Security) VPN 프레임워크로 시스코 라우팅 프로토콜을 연동시킬 때 중요한 요인이다. 기술적인 측면에서 볼 때, DMVPN은 IPSec과 Next Hop Resolution Protocol(NHRP), 멀티포인트 Generic Routing Encapsulation(mGRE)으로 구성돼 있다.
디자인 측면에서 보면 DMVPN은 탁월한 유연성을 제공하기 때문에 강력한 허브 앤 스포크(hub-and-spoke)와 가상 부분 메시(partial-mesh) 구조, 가상 풀 메시 구조(대규모 풀 메시 구조는 시분할 다중화 및 프레임 릴레이 환경에서 비용이 매우 높고 관리하기가 어렵다)를 가능케 해준다. 구축 관점에서 본 DMVPN은 헤드엔드 관리의 부담을 가볍게 해주기 때문에 TCO를 절감할 수 있다.
일반적으로 기업과 ISP들은 다음과 같은 기본적인 구축 모델을 적용하고 있다:
  • 인 하우스(In-house) 모델 - IT 팀이 라우터를 구성하고 이를 지사나 홈 유저에게 보내는 형태로 비용 대비 효과가 가장 낮은 모델이다. 중소 기업들에게 비교적 많이 적용된다.
  • 아웃 소싱 모델 - 일부 대기업들은 전세계에 지사를 두고 있어 큰 고객에게 아웃소싱하는 것을 선호하고 있다. 이 경우 발주 받은 업체가 구성 및 일련의 구축 과정 전체 프로그램을 총괄하며 발주 기업은 프로비저닝을 보장한다. 이 모델은 장비 인도나 구축 관리 면에서 비용이 추가될 수 있다.
  • 아웃 오브 하우스(out-of-house) 모델 - 일부 대기업이나 ISP들의 경우, CPE 구성에 대한 초기부터 끝마무리까지 단계별 진행을 자체 설비로 진행한다. CPE는 최종 사용자나 관리자들에게 선적되며, 장비를 인도 받을 때 추가적인 비용이 투입된다. 때때로 이 비용은 구매 가격보다도 높을 수가 있다.
  • Touchless 또는 ZTD 모델 - 기업용 AAA 서버의 AAA 계정과 같이 필요한 자격을 갖춘 최소한 한 명의 사용자가 있어야 하며, 가장 저렴한 모델로 추가 비용이 들지 않는다.
자동화된 엔드 투 엔드 구축
물론 이러한 모델은 매우 다양할 수 있으며 여기서는 세부 사항과 비용 분석 측면은 다루지 않는다. 이 코너에서는 기업을 위한 텔레워커 솔루션이 가능한 모든 구축 시나리오를 지원하며, 가장 낮은 TCO의 경우 어떠한 비용도 포함되지 않는 모델에 적용된다.
ZTD 모델의 경우 원격지는 자동으로 구성될 수 있다. ZTD는 EzSDD(Easy Secure Device Deployment)라 불리는 새로운 시스코 IOS 소프트웨어 기능을 토대로 하고 있다. 이는 최종 사용자들에게는 매우 간단하지만 백엔드에서는 그리 간단치가 않다. 때문에 ZTD는 "가상으로 간단한"이라는 말이 사용되며, 모든 시스템 요소들이 동시에 작동하며 모든 시나리오가 예측 가능하고 자동화되어야 하는 신속한 프로세스가 필요하다.
일반적인 경우를 생각해보자. 가정 사용자의 경우 케이블 ISP 서비스에 가입하게 되면 ISP들은 케이블 모뎀을 제공해준다. 사용자는 자신의 PC를 케이블 모뎀에 연결해 DHCP(Dynamic Host Control Protocol)를 통해 IP 어드레스를 할당 받고 인터넷에 접속하게 된다.
대부분의 경우, 사용자는 SDM(Security Device Manager)을 사용, PPPoE(Point-to-Point Protocol over Ethernet)나 고정 IP로 라우터를 구성한 다음 인터넷에 접속한다. 또한 가정 사용자는 기업으로부터 VPN 서비스 사용 승인을 받아 새로운 시스코 830 시리즈 라우터를 주문할 수 있다. 가정에서 이 라우터를 구축한 다음 케이블 모뎀에 연결해 라우터에서 IP 어드레스(일반적으로 10.10.10.0/24)를 할당 받아 인터넷에 접속하게 된다.
아래의 단계를 통해 기업에서 VPN을 사용하는 것처럼 쉽게 VPN 서비스를 구현할 수 있다(최종 사용자의 관점에서 본 구현 방법):
Step 1(환영)사용자가 브라우저를 열고 브라우저의 어드레스 필드에 다음과 같이 입력한다; http://10.10.10.1/ezsdd/welcome
Step 2(소개)웹 페이지에 https://www.join-mycompany.com/ezsdd/intro라고 친 다음 Next 키를누른다.
Step 3(완료)사용자 이름과 일회성 비밀번호(OTP; one-time-password. IT 그룹이나 통합 업체가 이용자에게 제공) 입력. 이러한 과정이 끝나면 완료 상태를 알리는 메시지가 뜨게 된다. 이후에는 PC의 IP 어드레스를 갱신한다.
헤드엔드에서 이러한 "가상으로 간단한" 프로세스는 좀 더 복잡한 준비 및 실행 단계가 포함된다. 준비 단계의 경우, 사용자는 라우터가 도착하기를 기다리는 동안 ISC가 구성되며 모든 정책이 구축할 때까지 대기 상태에 있게 된다. 실행 단계에서는 사용자가 CPE와 상호 작용하면서 CERT 라우터(등록기관)와 TTI(Trusted Transitive Introduction)를 구성하게 된다. 등록기관은 사용자 인증을 위한 프록시 역할을 담당한다.
인증이 완료되면, ISP에서 초기 부트스트랩(bootstrap) 구성을 위한 요청과 로그인 이름을 활용해 CPE의 구동 환경에 붙여넣는다. 그런 다음 CNS 에이전트가 활성화된다. CNS 접속 이벤트가 CNS 엔진에 전송되며 접속 메시지가 ISC에 포워딩된다. 대기하고 있던 모든 정책이 관리 터널을 지나 CPE로 전송된다. 이후 마지막 서비스 요청(정책)에 대한 프로세스가 완료되는데, 평균 200초 정도가 소요된다.


엔드 투 엔드 VPN 일람(一覽)
IOS 엔드 투 엔드 계층화된 보안 IOS 엔드 투 엔드 접속 IOS 엔드 투 엔드 구축 IOS 엔드 투 엔드 관리
장비 및 사용자 인증, 도난 방지 보호
■ 안전한 RSA 잠금 키
■ 안전한 ARP 프록시
■ Auth-Proxy-AAA
■ IEEE 802.1X-AAA

IOS 기반 PKI
인증 서버(CA와 RA 모드) 자동 ■ 등록 다중 신뢰 지점

기존 보안 기능
■ IPSec(3DES나 AES)
■ Stateful Firewall
■ NBAR과 IDS
DMVPN
■ 장애복구/로드 밸런싱
■ 다이나믹 라우팅
■ 풀 메시 및 부분 메시 토폴로지
■ 허브 투 스포크(hub-to-spoke) 및 스포크 투 스포크 터널
■ mGRE, IPSec, NHRP; 전송 및 터널 모드
■ 헤드엔드 라우터당 여러 개의 DMVPN, 복구성

IP 애플리케이션에 대한 완벽한 지원
■ 데이터
■ VoIP
■ QoS
■ Wi-Fi
■ 멀티캐스트
■ 비디오

구성 자동화 IP 솔루션 센터

시스코 CNS 2100 시리즈 인텔리전스 엔진
■ CNS Configuration Engine
■ CNS Notification Engine
■ 시스코 Image Management Engine

자동화된 ZTD(Zero Touch Deployment)
■ Bootstrap Configuration 및 PKI 인증서(EzSDD)
■ 다이나믹 어드레스

자동화된 정책 구축, 재구축 및 감사
■ DMVPN/IPSec
■ 방화벽
■ NAT
■ NBAR과
■ IDS
지속적인 관리 IP 솔루션 센터

시스코 IE2100-기반의 CNS 통지 엔진
■ CNS Configuration Engine
■ CNS Notification Engine
■ 시스코 Image Management Engine

EMAN 프레임워크 통합
■ 자동화된 사용서 서비스 애플리케이션
■ 자동화된 구성/감사
■ 자동화된 이미지 관리
■ 자동화된 통제, 모니터링, 보안 관리
■ 인터랙티브/자동화된 의사 결정 및 서비스 종결
■ 안티바이러스, DoS 보호
■ 자동 이벤트 로그 관리
■ 지원 팀에 대한 자동 통지


엔드 투 엔드 관리의 자동화
기업을 위한 텔레워커 솔루션의 첫째가는 목표는 보안이다. 이 솔루션의 경우 애플리케이션 프로그래밍 인터페이스(API)와 SOAP/XML(Simple Object Access Protocol/ Extensible Markup Language)을 토대로 하고 있으며, 새롭게 도입되는 제품들이 기존의 기업이나 ISP 인프라에 통합될 수 있다. 또한 AAA, DNS(Domain Name System)와 DHCP 서비스와 상호 작용한다.
원격지는 완벽하게 통제 및 관리할 수 있으며, 보안 정책도 적용되거나 변경할 수 있다. 따라서, 기존의 헤드엔드 기능인 안티바이러스 보안이나 안티 DoS 공격 등 상당한 기능이 원격지에서 관리될 수 있으며, 헤드엔드 사이트의 가용성을 효과적으로 높이고 네트워크와 연동할 수 있다.
시스코의 전세계 IT 구축 사례를 보면 헤드엔드는 시스코 IT 프레임워크와 통합되고 있다. 시스코 IT가 개발한 인 하우스 관리 툴 제품군을 통해 EMAN은 다양하게 이용할 수 있는 API를 사용해서 시스템의 내장된 지능과 연동하며 시스코 ISC 및 IE2100 기반의 CNS 엔진과 상호 작용한다. EMAN은 이미지 관리를 비롯해, 트렌드 모니터링 및 성능 관리, 임계치 기반의 경고 및 통지 등과 같은 부가 기능을 구현했다. 관리 부문의 경우 모니터링 및 분석, 의사 결정 등 전반적인 정보 서비스를 포괄하고 있다.
시스코 ISC는 완벽한 관리형 서비스(FMS)의 개념을 도입하고 지원한다. 어떠한 구성에 대한 변경도 계획 하에 진행될 수 있으며, ISC/EMAN을 통해 실행될 수 있다. FMS는 변경된 사항을 수용하고 등록한다. 변경 사항이 ISC/EMAN 소스에서 나온 것이 아니면 FMS는 CPE의 구성을 확인하기 위해 일련의 기능을 트리거하며 구성/정책 변경, 보안 위반, 접속/단절 상황 등을 관련 팀에게 통지한다. 또 정책 위반 사항이 발생하거나 바이러스 또는 웜의 공격, DoS가 발견되면 EMAN은 위반을 차단하기 위해 자동화/양방향 프로세스를 트리거한다.
시스코 고객이 아닌 기업들은 자사의 관리 시스템을 운영하기 위해 동일한 방법을 적용하도록 로직을 추가할 수 있다. EMAN 경험 및 스크립트, 가용한 API를 통해 모든 기업들과 ISP들은 자체 정책을 적용해 자사 환경의 보안 위험을 관리 및 통제할 수 있다.

탁월한 통합 기능
기업의 텔레워커에 대한 시스코의 확장 솔루션은 지금까지 업계에서 보지 못했던 수준 높은 네트워킹 및 보안 통합 기능을 제공한다. 가상의 단순함과 관리의 자동화 극대, 디자인의 유연성 및 확장성은 대규모 도입과 관리를 위한 주요 요인이다. 이러한 요인을 달성하기 위해 시스코의 솔루션은 낮은 TCO를 효과적으로 유지할 수 있게 해준다.
시스코의 글로벌 구축 사례에는 엔터프라이즈 홈과 지사, ISP 구축 모델 등에 대한 구조 및 디자인 솔루션이 포함돼 있으며 엔터프라이즈급 접속, 엔터프라이즈급 음성, 비디오, 데이터, 멀티캐스트를 제공한다. 기업의 전체 솔루션 및 기존의 네트워크 인프라와 연동 및 통합될 수 있어 그 효율성 및 효과는 배가될 수밖에 있다.

추가자료
 
■ Business Ready Teleworker 포털 사이트 :
  
cisco.com/go/teleworker
■ DMVPN 백서 :
  
cisco.com/packet/162_7c1


맨위로


Packet 지난 호 보기