Tech Tips and Training 22호

Enterprising Extranets

"엑스트라넷 활용하세요"

IP 기반의 VPN으로 분할된 엑스트라넷 서비스 구현 가능
기업이 성장하면서 경쟁력을 강화할 수 있는 방안 중의 하나는 전략적인 제휴 관계를 구축하는 것이다. 이러한 비즈니스 파트너들의 정보 교환에 있어서 엑스트라넷을 통한 커뮤니케이션이 인기를 끌고 있다.
많은 기업들은 다른 기업들과 데이터를 교환하고 제품 정보를 공유하며 협력하고, 교육 프로그램을 개발 및 실행하며 서비스를 제공 또는 액세스하기 위해 회사 외부의 사용자들에게 확장된 인트라넷의 제한된 용도로 엑스트라넷을 사용하고 있다. 엑스트라넷은 방화벽 서버 관리와 디지털 인증서 또는 이와 유사한 사용자 인증 수단을 비롯해 메시지 암호화 등의 메커니즘을 포함한 보안과 프라이버시를 갖추어야 한다. 엑스트라넷 VPN은 가상사설망으로, 기업들이 공급 업체와 벤더, 협력 업체, 고객들과 일부 정보나 운영을 안전하게 공유할 수 있도록 해준다.

엑스트라넷 VPN을 통해 외부 트래픽이 기업 인트라넷과 동일한 링크를 연동하기 때문에 기업들은 여기에서 일부 의구심을 나타내고 있다. 예를 들면, 라우팅과 데이터 분리를 어떻게 처리할 수 있는지, 주소 변경은 어떻게 되는지, 보안 문제는 없는지 등에 대한 물음이 이에 해당된다. 멀티프로토콜 라벨 스위칭 VPN(MPLS VPN)은 기업들의 이러한 우려를 해결해줄 수 있다.

라우팅과 데이터 분리


MPLS VPN은 두 가지 방법으로 라우팅 분리를 실행한다. 하나는 각 엑스트라넷 VPN을 가상 라우팅 및 포워딩(VRF) 객체로 할당하는 것이다. 고객 라우터의 각 VRF는 정적으로 구성된 라우터나 고객 라우터 사이에서 구동하는 라우팅 프로토콜을 통해 생성된 특별한 VPN의 경로로 채워진다.

두 번째 방법은 MP-BGP(Multiprotocol-Border Gateway Protocol)에 독특한 VPN 식별기(경로 식별기)를 추가하는 것이다. MP-BGP는 관련된 에지 라우터 사이에서 VPN 경로를 교환하며, 이를 통해 VPN 전용 VRF의 라우팅 정보를 유지한다. 경로 식별기를 사용함으로써 고객 인트라넷 네트워크에서 라우팅이 각 엑스트라넷 VPN을 위해 분리되고 익스트라넷 글로벌 라우팅 테이블에서 분리되는 것을 보장해준다.


주소 변경 없어


엑스트라넷 VPN 서비스는 기업의 내부 IP 네트워크와 데스크톱 또는 서버에 대한 변경 작업을 요구해서는 안 된다. 비용과 보안 등의 이유로 기업들은 기존의 주소 체계를 유지하고 싶어 한다. IP VPN을 통해 주소 공간이 겹치도록 할 수 있으며, 그렇기 때문에 NAT(Network Address Translation) 서비스와 적절한 라우팅을 공급 및 제어할 수 있다.

분할·암호화된 커뮤니케이션


엑스트라넷 VPN 서비스는 기업의 내부 IP 네트워크와 데스크톱 또는 서버에 대한 변경 작업을 요구해서는 안 된다. 비용과 보안 등의 이유로 기업들은 기존의 주소 체계를 유지하고 싶어 한다. IP VPN을 통해 주소 공간이 겹치도록 할 수 있으며, 그렇기 때문에 NAT(Network Address Translation) 서비스와 적절한 라우팅을 공급 및 제어할 수 있다.



IP 터널링


기업들은 협력 업체들에 대한 엑스트라넷을 구현할 때 보안과 비용 간의 상충관계를 완화할 수 있다. 모든 경우에 있어서, 기업들은 VPN 분리에 대한 완벽한 제어를 유지할 수 있다. 기업은 엑스트라넷 고객을 신뢰 되지 않은 것으로 처리하고 순수한 IP 패킷만을 받아들일 수 있다. 기업의 인트라넷 네트워크에서 엑스트라넷 트래픽을 분리할 수 있을 뿐만 아니라, 엑스트라넷 파트너들은 서로를 분리시킬 수도 있다. 호스트 보안을 위해 공유된 서비스 네트워크에서 방화벽과 침입 탐지 장비들이 VPN과 함께 사용될 수도 있다.

기업들은 적절하게 구성된 엑스트라넷 서비스를 통해 암호화된 트래픽을 전송할 수도 있어 규제 사항을 준수하고 데이터 보안을 향상시킬 수 있다. 암호화는 기업 라우터 사이에서 구동한다. MPLS VPN과 IPSec(IP Security) 암호화가 동시에 구현될 수도 있지만 패킷 페이로드가 기업 네트워크로 적용될 경우, 자체적인 암호화 체계 또는 애플리케이션 계층의 암호화 체계 역시 호환 가능하다.

MPLS VPN, 엑스트라넷 VPN 솔루션


MPLS VPN은 엑스트라넷 에지 라우터의 고객 주소 공간(엑스트라넷 VPN 고객)을 분리시켜준다. 엑스트라넷 트래픽이 엑스트라넷 에지 라우터에 들어갈 때, 들어오는 IP 패킷에 독특한 VPN 라벨이 첨부되며, 그런 다음에 패킷이 터널 라벨 스위치 경로(LSP)로 전환된다. 이 경우, LSP는 기업의 인트라넷을 따라 이동하는 터널로 구성된다.

VPN 경로와 더불어 VPN 라벨은 MP-BGP 확장을 사용해 엑스트라넷 에지 라우터 사이에 배포되며, 라벨은 코어 네트워크로 이동하기 전에 고객 트래픽에 부착된다. 그런 다음 외부 라벨을 대체한 IP 터널 헤더는 트래픽이 목적지 엑스트라넷 에지 라우터에 도달할 때까지 기업의 인트라넷 라우터 사이에서 경로 트래픽으로 사용된다. 터널 IP 헤더와 VPN 라벨은 트래픽을 목적지 네트워크로 전송하기 바로 전에 제거된다. 라벨과 터널 헤더 부과 및 배치는 엑스라넷 고객에게 완벽히 투명하게 이뤄진다. 이 서비스를 구현하기 위해서는 엑스트라넷 에지부터 기업 에지 경계까지 엑스트라넷 고객 라우팅에 기업들이 참여해야 한다.

다음은 GRE 터널로의 MPLS VPN과 L2TPv3 터널로의 MPLS VPN 등 엑스트라넷 서비스를 제공하는데 있어 두 가지 옵션을 보여주고 있다. 두 방법 모두 IETF(Internet Engineering Task Force) RFC 2547을 토대로 하고 있다.


GRE 터널을 통한 MPLS VPN


GRE는 하나의 네트워크 시스템에서 패킷이나 프레임을 취해서 이들을 피어 투 피어 구성의 다른 네트워크 시스템의 프레임에 위치시킨다. GRE는 관련된 피어에 도착할 때 프로세싱을 위해 데이터를 식별할 수 있는 콤포넌트를 가진 패킷 헤더로 구성된다. 이러한 콤포넌트에는 IPv4 터널링 또는 전송 헤더가 포함되며, 터널 키와 체크섬(checksum), 시퀀스 필드, 페이로드(또는 터널링된 레이어 3 패킷)을 포함한 옵션 필드를 가진 GRE 헤더가 포함된다.

"엑스트라넷은 방화벽 서버 관리와 디지털 인증서를 비롯해
메시지 암호화 등의 메커니즘을 포함한 보안과 프라이버시를 갖추어야한다."


L2TPv3 터널을 통한 MPLS VPN


L2TP는 주로 통신서비스 제공 업체들이 기업 고객들에게 VPN을 직접 구축할 때 사용되거나 ISP에 의해 홀세일(wholesale)로 또는 원격지 사용자들을 위해 기업에 의해 구축될 때 주로 사용된다. L2TP는 마이크로소프트의 PPTP(Point-to-Point Tunneling Protocol)와 시스코 레이어 2 포워딩(L2F) 프로토콜의 콤포넌트를 결합한 업계 표준이다.

현재 IETF 드래프트 표준인 L2TPv3는 L2TP를 확장해 일부 새로운 서비스 모델을 포함하고 있다. 또한 PPP만이 아니라 레이어 2 프로토콜 데이터 유닛(PDU)의 터널링을 지원한다. L2TPv3의 주요 애플리케이션은 통신서비스 사업자들이 다양한 레이어 2 네트워크를 하나의 단일한 고속 IP 네트워크 인프라로 통합해 운영 비용을 절감하게 해주며, 전통적인 L3 서비스 제공 업체들은 별도의 코어를 구축하지 않고도 전통적인 레이어 2 서비스를 제공할 수 있게 해준다.

비고: 다음과 같은 GRE와 L2TPv3 터널 구성을 위해 시스코 IOS 소프트웨어 릴리즈 12.0.(29.4).S2가 개념 증명의 시험용으로 사용되었다.

구성 예 : GRE 터널을 통한 MPLS VPN


아래의 구성 예는 BGP 피어로 터널 인터페이스를 사용하는 MP-eBGP 피어로서 엑스트라넷 라우터를 보여주고 있다. MP-iBGP를 구동할 경우, 터널 인터페이스에서 LDP를 구동해야 하며 터널이 완벽히 메시(mesh)되지 않으면 전송 LDP 라벨이 필요하다. 아래의 예에서는 터널의 한쪽만 제시되었다. 터널 반대쪽의 라우터는 아래의 예와 동일하다고 가정한다.

필자

로라 앙드리(LAURE ANDRIEUX)는 시스코의 솔루션 엔지니어링 그룹에서 MPLS VPN과 MPLS 네트워크 관리를 담당하고 있는 네트워크 엔지니어이다. 이메일 주소는 andrieux@cisco.com이다.

자히르 아지즈(ZAHEER AZIZ)는 시스코의 서비스 프로바이더 솔루션 엔지니어링에서 IP VPN을 담당하고 있는 기술 리더로, 시스코 프레스 북인 트러블슈팅 IP 라우팅 프로토콜의 공동 저자이다. 이메일 주소는 zaziz@cisco.com이다.

제임스 클라인(JAMES KLINE)은 시스코의 솔루션 엔지니어링 그룹에서 MPLS 네트워크를 담당하고 있는 네트워크 엔지니어이다. 라우팅&스위칭과 보안 분야의 CCIE를 보유하고 있다. 이메일 주소는 jakline@cisco.com이다.




터널비전.

GRE 터널을 통한 MPLS VPN은 피어 투 피어(peer-to-peer) 구성에서 작동한다. L2TPv3 터널링은 일부 새로운 서비스 모델을 포함하도록 L2TP를 확장한다.

 

Enterprise-C-Router#
ip cef
ip vrf extranet-customer
description extranet customer vrf
rd 200:1
route-target export 200:1
route-target import 300:1
!
!
interface Loopback0
ip address 20.1.1.1 255.255.255.255
no ip directed-broadcast
!
interface Loopback1
description Tunnel5 source interface
ip address 20.121.121.1 255.255.255.0
no ip directed-broadcast
!
interface Tunnel5
ip address 120.120.120.1 255.255.255.0
no ip directed-broadcast
mpls bgp forwarding
tunnel source 20.121.121.1
tunnel destination 20.129.129.1!
interface Ethernet0/0
description Interface Facing the Enterprise IP Core
ip address 21.20.1.1 255.255.255.0
no ip directed-broadcast
!
interface Ethernet1/0
description Extranet Customer Facing Interface

ip vrf forwarding extranet-customer
ip address 30.1.1.1 255.255.0.0
no ip directed-broadcast
!
router eigrp 200
network 21.20.1.0
network 20.1.1.0
network 20.121.121.0
!
router bgp 200
no bgp default ipv4-unicast
bgp log-neighbor-changes
timers bgp 10 30
neighbor 120.120.120.9 remote-as 300
!
address-family ipv4
no auto-summary
no synchronization
exit-address-family
!
address-family vpnv4
neighbor 120.120.120.9 activate
neighbor 120.120.120.9 send-community extended
exit-address-family
!
address-family ipv4 vrf extranet-customer
redistribute connected
no auto-summary
no synchronization
exit-address-family
!

엑스트라넷 서비스를 위한 대안 솔루션


다음으로 VRF-Lite와 CSC(Carrier Supporting Carrier) 가상랜(VLAN) 기반의 엑스트라넷 등 엑스트라넷 서비스를 제공하는데 있어 대안으로 사용할 수 있는 솔루션을 간략히 살펴본다.

VRF-Lite. 시스코 IOS 소프트웨어 릴리즈 12.2(20)EWA 이상에서 지원되는 VRF-Lite 기능(Multi-VRF CE라는 용어로도 사용됨)을 사용하는 CE 라우터에서 네트워크 분할이 제공될 수 있다. 이러한 기능을 통해 시스코 카탈리스트 4500 시리즈 스위치는 CE 장비에서 여러 개의 VPN 라우팅/포워딩 객체를 지원할 수 있다. VRF-Lite 옵션에서 기업들은 트래픽을 분리하기 위해 여러 개의 인터페이스나 서브 인터페이스를 사용하는 기존의 MPLS VPN이나 프레임 릴레이를 VRF-Lite와 결합시킨다.

VRF-Lite를 통해 통신서비스 제공 업체 PE에서 기업의 CE 라우터로 논리적인 트래픽 분리가 확장될 수 있다. 하지만 통신서비스 제공 업체 PE와 CE는 개별 인터페이스나 서브 인터페이스, 개별 VRF, 개별 라우팅 프로토콜을 엑스트라넷별로 구성해야 한다.

CSC(Carrier Supporting Carrier). CSC는 기업의 CE 라우터에서 엑스트라넷 서비스를 제공하는데 있어 매력적인 솔루션이지만 통신서비스 제공 업체로부터 라벨 전송 서비스를 필요로 한다. 라벨 전송 서비스는 기업들이 현재 MPLS VPN 서비스를 이용하고 있다는 것과 통신서비스 제공 업체가 CSC 구축을 지원한다는 것을 전제로 한다. CSC 구축이 증가할 경우, 기업들은 엑스트라넷을 손쉽게 준비할 수 있게 된다. 기업들 스스로가 MPLS VPN 제공 업체와 같은 역할을 할 수 있기 때문이다.

VLAN 기반의 엑스트라넷. 기업의 CE는 엑스트라넷을 위해 별도의 VLAN을 구성할 수 있지만 액세스 컨트롤 리스트(ACL)나 정책 기반의 라우팅(PBR)을 사용해 VLAN 상호간의 트래픽을 관리해야 한다. 이는 그다지 매력적이지 않은 솔루션으로, 일단 엑스트라넷 트래픽이 L3 글로벌 라우팅 테이블에 도착하게 되면 통제하기가 매우 어려워지기 때문이다. 대규모 환경에서 ACL과 PBR을 관리하는 것은 쉽지 않다.

시스코는 기업들의 글로벌 네트워크와 협력 업체 사이에 저렴하고 신뢰성 있는 네트워크 연결을 위한 많은 솔루션을 제공하고 있다. 위에서는 기업들이 통신서비스 제공 업체들로부터 얼마나 많은 WAN 접속을 제공받든지 상관없이 엑스트라넷 서비스를 제공하는데 MPLS VPN 솔루션으로부터 어떻게 이점을 얻을 수 있는지를 보여준다.

추가자료

  • IETF RFC "BGP/MPLS VPN"
    cisco.com/packet/171_4a

  • CE 라우터를 위한 MPLS 확장 설계
    cisco.com/packet/171_4a2

  • VPN을 위한 MPLS
    cisco.com/packet/171_4a3

  • MPLS Carrier Supporting Carrier
    cisco.com/packet/171_4a4




Packet 지난 호 보기