Tech Tips and Training 26호

Enterprising MPLS

IP MPLS 뒤집어 보기

MAN/WAN 구축 유일 대안 … 시스코 파워드 네트워크 제공 여부 확인해야


MAN(Metropolitan-Area Networks)과 WAN용으로 ATM이나 프레임 릴레이 전송에 의존해온 기업들이 유연성과 확장성을 위해 IP MPLS(Multiprotocol Label Switching)를 검토하고 있다. 이런 솔루션을 검토하는 동기는 기업 측이 코어 MPLS 네트워크의 장점을 잘 이용할 수 있도록 이끄는 통신사업자에서 나온다. 혹은 기업 스스로가 느끼는 경우도 있다. 어떤 경우든, IT 부서 대부분은 기업용 툴인 MPLS에 대해 잘 모르고 있다고 밝히고 있다. 즉, 기업이 MPLS 네트워크를 자체적으로 설정할 것인지, 아니면 MPLS WAN을 아웃소싱해서 사업적 요구를 만족시킬 것인지가 명쾌하지 않다는 의미이다.

또 MPLS 네트워크는 MAN과 WAN 구축에 있어 유일한 대안이다. 다양한 VRF(Virtual Routing and Forwarding) 분할이나 암호화된 개별 연결을 선택하는 곳도 있긴 하지만, 지금까지 WAN에서 IP를 사용하는 기업 대부분이 IPSec을 선택해왔다. MPLS 같은 제품들은 기업의 필요에 따라 실행 가능한 솔루션이다(박스 기사 참조).

IP MPLS MAN/WAN 네트워크를 위한 주요 시장은 TDM(Time-Division Multiplexing) 서킷 스위칭, 프레임 릴레이, ATM이나 데이터 및 음성 전달용 SONET/SDH 같은 L2 기술을 이용하는 조직들로 이뤄져 있다. 시스코 엔터프라이즈 시스템 엔지니어링 그룹 솔루션 이사인 케빈 루(Kevin Loo)에 의하면, 이러한 조직들은 유연성과 넓은 지역적 가용성, 거리별로 책정되지 않은 가격, 액세스 스피드와 기술을 혼합한 기능을 제공하고, 단일 네트워크 내부에서 다양한 분야나 실행 유닛, 애플리케이션, 서비스를 안전하게 분할하기를 원하고 있다는 것이다. 위치 및 상호 위치 고대역(high inter-location bandwidth), 엔드 투 엔드 QoS 사이에서 완전한 메시 연결 기능을 제공하는 동안 MPLS 네트워크는 공유된 WAN이나 MAN 시설에서 VPN을 제공하는 다른 아키텍처처럼 비용 절감효과를 낼 수 있다.

기업이 스위칭 투 MPLS(switching to MPLS)를 생각한다면 사내에 MPLS 네트워크를 인스톨하고 관리할 것인가, 아니면 통신사업자 측에 아웃소싱을 맡길 것인가? IT 전문가가 내부 네트워크를 완전히 컨트롤하길 원하는 대기업들은 MPLS 자체 구축을 선택할 수도 있다. 그러나 기업 경영에서 효율성을 고려해볼 때 아웃소싱이 보다 실용적인 방안일 수 있다.

MPLS 네트워크 아웃소싱


시장조사 기관인 포레스터 리서치(Forrester Research)가 발표한 2005년 6월 보고서에 따르면, 기업들은 운영 단순화, 비용 감소, 기술의 변화 위험도 완화 같은 이유를 들며 자체적인 MPLS MAN 및 WAN 구축 보다는 아웃소싱을 선호하는 것으로 나타났다. 다양한 통신사업자를 평가할 때 다음과 같은 비즈니스 목표를 염두에 둘 필요가 있다. 예를 들어, 새로운 네트워크가 비즈니스 애플리케이션을 연결하고, 사업의 다양한 분야들을 안전하게 구분하거나, 필요한 대역을 다른 장소로 전송할 수 있을 것인가를 자문해봐야 한다.

기업과 통신사업자 네트워크를 잇는 연결고리는 L2나 L3에서 발생할 수 있다. L3 피어링과 함께 통신사업자의 네트워크는 안전한 전송을 보장하면서 공유 네트워크에서 고객 IP 패킷의 루트를 정한다. 이런 기능은 고객 트래픽을 다른 트래픽과 격리시키는 각 사용자용 VRF 테이블을 인스톨하면서 실행된다. 시스코 통신사업자 시스템 엔지니어링 그룹 엔지니어인 밥 비질(Bob Vigil)는 "두 가지 네트워크가 라우팅 정보를 직접 교환할 수 있는 것이 L3 피어링의 장점 중 하나"라고 말한다. 덧붙여 통신사업자 대부분이 L2보다는 L3에서 보다 많은 지능을 QoS에 공급한다. MPLS는 모든 곳을 서로 연결하므로 효율적인 라우팅 기능도 제공해준다.

L2 패킷이나 셀이 MPLS 네트워크에서 전달되는 AToM(Any Transport over MPLS)의 경우, 포인트 투 포인트 L2를 연결해야 하는 ATM, 프레임 릴레이, 이더넷 네트워크를 갖춘 기업에게는 좋은 해결책이 될 수 있다. L2 네트워크의 포인트 투 포인트 가상 회로 기능이 VPN에서 셋업된다.

요청되고 있는 매니지드 MPLS 서비스가 L2에서 일어나는가, 아니면 L3에서 일어나는가. 이처럼 기업들이 궁금해 하는 질문들은 유사하다.




가용성·어드레싱·토폴로지


가용성은 중요하다. 통신사업자의 가용성은 몇 퍼센트나 되나? 어떤 백업이 지원되나? 대체 백업 수단이 프레임 릴레이인가, ATM인가, 임대선인가, 아니면 공공 인터넷인가? 어떻게 데이터를 보호할 것인가?

제일 먼저 IP 어드레싱이 링크에서 어떻게 처리될 것인가? 보통 어드레싱 지정 기법을 결정하는 것은 통신사업자다. 이러한 어드레싱 지정 기법은 통신사업자나 기업의 번지 공간(address space), 사설 번지 공간이나 링크의 수많은 어드레싱 중 하나를 사용할 수 있다. 기업의 사설 번지 공간이 사용되면, 어드레싱을 담당하는 누군가는 고객이 사설 번지 공간을 보유하고 표준 컴플라이언트 주소들이 링크에서 전송되는 것을 보장해야 한다. 그래야 기업의 자체 주소나 통신사업자의 자체 주소 사이에서 혼란이 일어나지 않는다.

네트워크 토폴로지 역시 중요한 고려사항이다. MPLS 네트워크가 본질적으로 애니 투 애니 아키텍처를 제공할 때, L2 네트워크는 종종 허브 앤 스포크(hub-and-spoke) 역할을 한다. 스포크 사이에서 커뮤니케이션을 컨트롤하거나 방화벽을 유지할 경우, 기업은 L2 네트워크를 선호할 수 있다. 이 같은 이유로 MPLS 네트워크를 선택하는 기업은 통신사업자가 네트워크 내부에서 허브 앤 스포크 디자인을 유지할 수 있다는 사실을 확인해야 한다. 비질은 기업이 허브 앤 스포크 디자인에서 MPLS 네트워크로 이동하면, 기존 구축에 의존하고 있는 물리 회로와 가상 회로 숫자를 줄일 수 있다고 지적한다.

기업 MAN/WAN 구축 옵션

시스코는 IP MPLS와 함께 기업 MAN/WAN 구축용 솔루션으로 다음과 같은 제품을 구비하고 있다:

암호화된 사설 연결 기능(Encrypted private connectivity)은 DES(Digital Encryption Standard)와 3DES(Triple DES), AES(Advanced Encryption Standard)를 기존 프레임 릴레이, ATM이나 다른 링크에 추가한다. 안전한 전용 연결 기능을 원하고 성장 가능성 있는 회사에 이상적인 옵션.

IPSec VPN은 공공 네트워크와 사설 네트워크 전송용으로 강도 높은 암호화 표준을 사용하며, 대부분 지사와 재택근무자를 연결하는데 사용된다.

멀티-VRF 분할은 VPN 기술의 확장 판으로, WAN에서 분리된 트래픽을 유지하는데 도움을 준다. IP VPN, IPSec VPN, 암호화된 사설 연결 기능과 사용되는 멀티 VRF 분할은 부서와 사업 기능, 유저 그룹 간의 보안을 한층 강화시켜준다.


라우팅과 라우팅 컨버전스


통신사업자가 얼마나 많은 라우팅 프리픽스(routing prefix)를 수용할 것인가? EIGRP(Enhanced Interior Gateway Routing Protocol), OSPF(Open Shortest Path First)나 BGP(Border Gateway Protocol) 중 어떤 라우팅 프로토콜이 사용될 것인가? 통신사업자가 기업사업자 링크를 관리한다면 통신사업자는 프로토콜을 선택하고 링크를 유지하는 업무를 담당하게 된다. 통신사업자 측은 조직이 사용할 수 있는 루트 수를 제한하는가? 루트 수를 초과할 경우 어떻게 되는가?

기업 네트워크용 라우팅 컨버전스는 통신사업자가 네트워크 내부에서 컨버전스를 처리하는 방식에 달려 있다. 링크에서 오류가 나거나 루트를 사용할 수 없다면 컨버전스 시간을 최대한 얼마로 잡을 것인가? 통신사업자가 SLA에서 컨버전스를 보장하나? 통신사업자가 재택/이동 근무자, 원격 근무자를 위한 MPLS VPN에 원격 액세스를 전송할 수 있나? 기업 사이트가 로드 밸런싱을 관리하는 통신사업자와 연결된 복합 링크를 갖는가? 공급업체나 고객용 엑스트라넷을 만들고자 한다면, 통신사업자가 다른 회사의 VRF 테이블을 통해 IP VPNs 루트를 지정할 것인가?




QoS·보안·SLA


자체 MAN이나 WAN 내부 뿐만 아니라 통신사업자의 공유 네트워크에서도 적절한 우선순위에 따라 수신하기 위해 속도에 민감한 트래픽이 필요하다. 통신사업자는 어떤 서비스 유형을 제공하고, 얼마나 많이 제공하는가? 통신사업자가 일반적으로 네트워크에서 자체 엔드 투 엔드 보다 훨씬 많은 LAN 유형을 매핑할 수 있나? 트래픽이 커버리지 영역을 확대하기 위해 통신사업자 네트워크를 떠나 다른 통신사업자와 상호 연결된 다른 네트워크로 향한다면, 엔드 투 엔드 QoS와 보안은 유지될 것인가?

멀티캐스팅 같은 특정 기능이 필요하다고 해도 모든 통신사업자들이 이를 지원하지는 못한다. 루에 의하면, 본래 형식 보다는 GRE(Generic Routing Encapsulation) 터널을 통해 멀티캐스트 기능을 계속 전송할 수 있다. 통신사업자가 멀티캐스트 VPN을 지원한다면 얼마나 많은 멀티캐스트 배포 트리(distribution tree)가 이를 제공해줄 것인가?

아마도 고려할 사항 중 가장 중요한 것은 보안이다. MPLS 네트워크에 내재한 보안 수준은 ATM이나 프레임 릴레이 네트워크와 동일하지만, 그래도 몇 가지 질문이 남아있다. 네트워크 인프라가 공유된다는 가정 하에, 네트워크 보안을 위반할 수 있는 설정 오류를 방지하기 위해 어떤 조치를 취할 것인가? MPLS 네트워크는 본래 라벨 스푸핑이나 기타 공격에 저항력을 갖추고 있다. 그러나 통신사업자가 모든 종류의 공격에서 코어 네트워크를 방어하는 방식이나 MPLS 네트워크 및 공공 인터넷 트래픽이 동일한 라우터를 사용하는지, 아니면 다른 장비를 사용하는지에 따른 여부를 이해해야 한다. 그리고 이해했다면 전용 PE(Provider Edge) 라우터를 얻을 수 있는지, 가격은 얼마인지 알아야 한다.

마지막으로 SLA를 잊어서는 안된다. SLA가 처리해야 하는 아이템들은 다음과 같다. 통신사업자가 전송에 실패할 경우 나타나는 결과, 네트워크 가용성의 정의, 새로운 서비스, VPN, 사이트 요청에 걸리는 리드타임 및 발생할 수 있는 문제에 필요한 해결 대응 시간, 대역폭, 레이턴시, QoS, SLA 리포팅이 그 것이다. 시스코는 시스코 IOS 소프트웨어의 SLA 즉, IP SLA와 OER(Optimized Edge Routing) 기능으로 통신사업자의 컴플라이언스를 모니터할 수 있는 툴을 보유하고 있다. 예를 들어 MPLS가 허용된 딜레이를 초과하면, OER은 인터넷의 GRE 터널이나 다른 MPLS 사업자 같은 대안 경로를 사용해 트래픽 루트를 재설정한다.

자체 MPLS 네트워크 구축


포레스터 리서치에 따르면 MPLS MAN과 WAN을 자체적으로 인스톨하고 관리하는 방식을 선택한 회사들의 경우, 사내에 하드웨어와 전문 기술진을 구비하고 있으며, 네트워크 컨트롤을 계속 유지하길 원하고, 자체적으로 해결함으로써 비용을 절감할 수 있다고 믿는다. 루는 "네트워크를 CUG(closed user groups)로 분할할 수 있는 기능에 의해 자체 구축이 가능해진다"고 설명했다. 특히 이런 자체 구축은 내부 네트워크를 독립적으로 유지해주는 복합 유닛을 갖춘 대규모 조직의 관심을 끌고 있다. 예를 들어, 종합대학교는 논리적으로 분리된 개별 학과용 네트워크가 더 잘 작동된다는 사실을 숙지하고 있다. 루는 전체적인 분할은 대기업에게 더 중요하다고 지적한다. 중요한 애플리케이션을 독립적으로 안전하게 유지하기 위해, 경영진들은 다른 직원들에게는 지원이 안 되는 VPN을 쓰거나, 비즈니스 유닛 및 부서 밖에서 고객, 파트너, 단체의 액세스가 제한되는 CUG를 설정하고 있다.

기업은 동일한 인프라를 공유하는 복합적인 가상 네트워크를 만들 수 있다. 이러한 복합 가상 네트워크는 다양한 기업 고객을 위해 MPLS 네트워크를 관리할 때, 통신사업자가 가상 네트워크를 만드는 횟수만큼 다양하다. 예를 들어, 웜이 가상 네트워크를 사용하는 PC를 감염시키면 위협은 다른 가상 네트워크로 퍼져나가지 않는다. 방화벽, 침입 감지, 보안 기능 같은 확장 가능하고 가상화된 서비스를 지원하기 위해 기업에서 주소 투명성(address transparency) 기능을 만드는 것도 좋은 아이디어다.

자체 MPLS 네트워크를 구축하는 기업의 IT 담당 직원들은 BGP, EIGRP, OSPF, LDP(Label Distribution Protocol), MPLS 같은 라우팅 프로토콜에 관한 교육을 받아야 한다. 이러한 프로토콜이 백도어 링크와 어떻게 작용되는지 이해하는 것도 매우 중요하다. 기업 IT 팀은 로드 밸런싱도 처리해야 한다. MPLS 네트워크가 일반적으로 두 가지 포인트 간에 사용 가능한 복합 경로를 갖고 있기 때문이다. 다양한 방법들이 시스코 익스프레스 포워딩(Cisco Express Forwarding) 같은 효율적인 라우팅이나 서로 다른 코스트 값의 로드밸런싱(unequal cost load balancing)에서 사용할 수 있다.




엔터프라이즈 MPLS용 시스코 솔루션

기업 구축 70건 등 300 여 고객에게 MPLS를 구축한 시스코는 MPLS 네트워크를 구축하고 관리하는 전문 기술을 보유하고 있다. MPLS 네트워크를 자체적으로 관리하는 기업들은 CE(customer edge)와 PE(provider edge), P(Provider) 라우터를 선택할 수 있다. 아웃소싱의 경우 통신사업자가 지원하는 CE 라우터가 무엇인가에 따라 영향을 받을 수 있다. 어떤 경우라도 시스코 파워드 네트워크 사업자가 보여준 엔드 투 엔드 시스코 네트워크의 장점은 CE와 LAN으로 확장된다.

추천 가능한 PE와 P 라우터로는 시스코 12000, 7600, 7200 시리즈와 7304 라우터가 있다. 12000 시리즈는 슬롯당 2.5Gbps~nx10Gbps까지 확장 가능한 모듈형 분산 아키텍처를 제공해주며, 1,000 VRF 인스턴스까지 지원한다. 시스코 에지/애그리게이션 라우팅 포트폴리오의 고성능 밀도 플랫폼 중 하나인 7600 시리즈의 경우, 완벽한 L2 혹은 L3 MPLS 솔루션, QoS, 모듈형 보안 서비스를 제공하고 1,000 VRF 인스턴스까지 지원한다. 가장 널리 구축된 MPLS 라우터인 7200 시리즈는 종합적인 IOS 라우팅, QoS, 보안 서비스가 OC-3 속도까지 지원되는 유연성을 제공한다. 7200 역시 1,000 VRF 인스턴스까지 지원하고 L2와 L3 VPN 서비스 실행을 돕는다. 시스코 7304 라우터의 경우, 완벽한 AToM 기능과 1,000 VRF, QoS로 하드웨어 가속화 기능을 지원하고 있다.

아웃소싱된 MPLS 네트워크의 경우, 시스코 3800, 2800, 1800 시리즈 통합 서비스 라우터뿐만 아니라 시스코 7200시리즈도 CE 라우터로 사용할 수 있다. 통합 서비스 라우터는 모델별로 5 VRF~1,000 VRF 인스턴스, 10,000~백만 VRF 루트를 지원하고, T3/E3 속도의 동시 서비스를 제공해준다.

네트워크 성능에서 컨버전스와 그 효과는 아웃소싱 네트워크만큼 자체 구축된 MPLS 네트워크에서도 중요하다. 백본과 VPN 사이트, VPN 루트재설정 시간에서 컨버전스는 특히 더 중요한 사안이다. 비질은 "지능적인 네트워크 디자인이 컨버전스 시간을 큰 폭으로 향상시켜준다"면서 "네트워크 엔지니어들은 각 라우팅 프로토콜과 모니터링 네트워크 로드, 애플리케이션에 등록된 타이머를 돌리면서 컨버전스 시간을 최대한 활용할 수 있다"고 말했다.

분할에서 가장 중요하다고 여겨지는 자체 구축 MPLS 네트워크를 보유한 채, 자체 구축하거나 아웃소싱된 MPLS 네트워크를 섞어 사용하는 경우도 있다.

루에 의하면 MPLS WAN을 아웃소싱 하건 기업이 자체적으로 구축하건 그 방식은 크게 상관없다. 중요한 것은 통신사업자가 시스코 파워드 네트워크를 갖추고 있느냐의 여부라는 것이다. 가용성, QoS, 통합 보안 같은 성능은 시스코 장비와 기술을 엔드 투 엔드로 사용하고 시스코 지원 표준을 만족시키는 통신사업자를 통해 기대할 수 있다(cisco.com/go/cpn).

자체 구축이냐 아웃 소싱이냐를 떠나 MPLS로 이동은 한 단계 업그레이드가 가능하다는 사실을 의미한다. 산업 데이터를 보면 기업이 서서히 MPLS IP VPN으로 이동하고 있다는 사실을 알 수 있다. 기업은 라우터와 스위치에서 시스코 IOS 소프트웨어 성능을 업그레이드하는 것부터 시작할 수 있다. 이를 통해 MPLS 네트워크의 라우팅과 보안 기능들도 지원 가능하다. 결국 MPLS WAN이 많은 기업들에게 현실로 다가올 것이며, 사용자와 IT 직원들 역시 이 사실을 반기게 될 것이다.


Cisco에 문의하세요



Packet 지난 호 보기