Netpro Expert 25호

DMVPN 솔루션 구축하기

시스코 네트워킹 전문가 커넥션은 네트워킹 솔루션과 제품, 기술에 관한 제언, 정보를 공유하는 정보 제공의 장이다. 다음은 시스코의 하지브 니아지가 주도한 '다이나믹 멀티포인트 VPN(DMVPN, Dynamic Multipoint VPN) 솔루션 구축하기'란 주제로 '전문가 포럼에 물어보기(Ask the Expert forum)'에서 발췌한 질문과 대답이다. 기사 전문은 cisco.com/packet/174_10a1을 방문하면 된다. 온라인 토론에 참여하고 싶으면 cisco.com/discuss/networking을 주소창에 입력하면 된다.


다이나믹 VPN은 라우터와 마찬가지로 방화벽에서도 지원됩니까? 방화벽은 압축 기능을 지원하나요? 현재 라우터에서 GRE(Generic Routing Encapsulation)를 사용하고 PIX 허브 앤 스포크(hub and spoke)에서 IP 보안 기능을 사용하고 있습니다. 멀티포인트 GRE(mGRE)와 NHRP(Next Hop Resolution Protocol)는 이런 디자인에서 작동되는지요?

현재 DMVPN은 IOS 상에서만 지원됩니다. PIX와 VPN 3000 시리즈 컨센트레이터는 mGRE(혹은 GRE)를 지원하지 않습니다. IOS와 PIX가 결합된 환경이라면 DMVPN은 사용할 수 없습니다. 라우터가 넉넉하게 갖춰져 있고, 허브가 IOS 디바이스라면, 라우터에 DMVPN을 구축할 수 있으며, PIX와 IOS 헤드엔드 사이에서 IPSec을 계속 실행시킬 수 있습니다. DMVPN과 동일하지 않아도 PIX는 EzVPN 하드웨어와 소프트웨어 고객들을 차단하기 위해 동적 VPN을 지원합니다.


DMVPN을 구축하려고 하는데 실제 시뮬레이트하게 될 트래픽 분량을 전송할 수 없었습니다. 터널 인터페이스가 트래픽을 45Mbps 이상 실행할 수 있나요? 터널 인터페이스 상에서 아래와 같은 결과가 나타납니다. 최대 8Mbps 데이터 속도를 나타낸다는 의미인가요?

Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)

위에 나타난 대역은 라우터(터널 인터페이스)가 처리할 수 있는 실제 트래픽 총량은 아닙니다. 대역폭 측정은 라우팅 프로토콜 계산에서 사용되죠. 라우터 한 대 당 처리할 수 있는 암호화트래픽 총량은 플랫폼이나 암호화 카드, 패킷 사이즈에 따라 다릅니다. 예를 들어 VAM2나 VAM2+로 시스코 7200을 구축한다면, 1,400바이트 패킷 사이즈로 250Mbps 양방향 쓰루풋을 처리할 수 있습니다.


시스코는 같은 터널 소스를 사용하는 복합 mGRE 터널을 지원하지 않습니다. 지원할 수 있는 방법은 없습니까?

같은 터널 소스(하지만 다른 터널 키)를 사용하는 복합 터널들 간의 IPSec 보안을 공유할 수 있는 방법이 있습니다. 'shared'라는 키워드를 아래와 같이 사용해보세요.

tunnel protection ipsec profile <name> shared

이 명령어가 12.3(11)T와 12.3(14)T 코드에 있고 특정 환경에서 실행된다 해도, 실행 가능한 몇 가지 대안이 있습니다. 버그 툴킷에서 CSCed68627 버그 디테일을 참조하세요.


허브-앤-스포크 시나리오로 데이터 패킷만 암호화시키고 싶은데, 같은 장소로 가는 GRE 터널로는 보이스 패킷을 암호화시키고 싶지 않습니다. 이런 경우 DMVPN을 어떻게 사용하나요? 암호화된 트래픽과 암호화되지 않은 트래픽을 선별해서 보낼 수도 있는지요?

ACL(access control list)을 사용해 흥미로운 트래픽을 정의할 수 있는 크립토 맵(crypto map)과는 달리 GRE 터널을 통과하는 트래픽은 라우팅을 통해 컨트롤됩니다. 패킷이 GRE 패킷으로 암호화되고 나면 IOS가 암호화됩니다. 제시한 시나리오대로라면 허브 앤 스포크에서 두 개의 터널을 가질 수 있습니다. 허브에서 두 개의 서로 다른 공적 어드레스로부터 터널 소스를 받고, 터널 보안을 하나의 어드레스에만 적용시키세요. 그에 따라 데이터와 보이스 트래픽 루트를 정하세요. VRF(VPN Routing and Forwarding)를 사용해 모든 트래픽을 분리할 수도 있습니다. 음성용 VRF와 데이터용 VRF를 하나씩 가지세요. 즉, 서로 다른 VRF에 속할 수 있는 두 개의 터널을 사용해보세요. 하나의 VRF에 데이터 트래픽을, 다른 VRF에 음성 트래픽 루트를 정하세요. 테이블 루트를 분리시킬 수 있을 겁니다.



HASEEB NIAZI,
하시브 니아지(HASEEB NIAZI)는 네트워크 기반 보안 서비스 부문에서 5년간의 근무경험을 가진 솔루션 엔지니어다. 현재 확장성을 테스트하고 대규모 서비스를 실행하는 데 주력하고 있으며, 통신서비스 사업자 및 주요 기업들의 구축을 지원하고 있다. 이메일 주소는 hniazi@cisco.com이다.


맨위로

Cisco에 문의하세요



Packet 지난 호 보기