Tech Tips and Training 27호

the ABCs of VPNs

VPN ABC 배워보세요

다양한 VPN 비교 분석 … 상황 따라 적용해야


 
터널링. 기업 조직에서는 VPN을 수립함으로써 데이터를 기밀속에 유지할 수 있게 해준다.
VPN(Virtual Private Network)은 오랫동안 인터넷이나 WAN 백본 등과 같은 공유 공중 인프라에서 전용 네트워크 서비스 프로비저닝을 허용해 왔다. 하지만 지난 수년간 VPN 프로토콜과 기술이 확산되면서, 다양한 VPN 유형들을 차별화하고 이들이 어떻게 비교되는지를 이해하기가 점점 힘들어지고 있다. 많은 기술들이 사이트 대 사이트(site-to-site) VPN과 원격 액세스 VPN을 둘 다 지원하고 있다. 사이트 대 사이트 VPN은 지리적으로 떨어진 고정된 사이트들간의 접속성을 허용하는 반면(본사와 지사처럼), 원격 액세스 VPN은 모바일 사용자나 가정 사용자가 회사의 데이터나 기타 자원으로 액세스할 수 있게 해준다.

두 가지 VPN 모두에서는 다른 패킷 안에 사용자의 트래픽을 캡슐화(encapsulating)시킴으로써 로케이션들간에 터널이 만들어진다. 이렇게 되도록 하기 위해 터널링된 트래픽은 터널링 프로로콜에 상응하는 추가 헤더나 태그 혹은 레이블을 확보한다. 추가 패킷 헤더, 태그 혹은 레이블을 이용한 캡슐화를 통해 VPN 게이트웨이, CE(customer edge) 디바이스, 혹은 PE(provider edge) 디바이스는 고객이나 사용자를 구분할 수가 있게 된다. 따라서 터널링은 각 조직이나 사용자의 트래픽을 공유 네트워크에서 돌아다니는 다른 트래픽과 별도로 유지해 준다.

보안 강화를 위해 여기에 암호화(encryption)를 추가함으로써 전송 중인 데이터를 스크램블링(scrambling)할 수 있다. 이것은 VPN 전송에 사용되는 WAN이 공중 인터넷일 때 종종 일어나는 일이다. 공중 인터넷은 한 통신서비스 사업자의 운영권 안에 있는 게 아니고, "언트러스티드(untrusted)" 네트워크로 인식돼 있기 때문이다. 프레임 릴레이, ATM 및 MPLS(Multiprotocol Label Switching) 기반 서비스 같이 통신사업자 백본에서 제공되는 네트워크 서비스를 사용하는 많은 조직들이 암호화를 사용하지 않고 있다. 그 이유는 통신사업자가 레이어 2 가상회선이나 레이블 같은 기술들을 이용해 고객의 트래픽을 분리시키기 때문이다. 이런 VPN을 트러스티드(trusted) VPN이라고 한다.

이와 대조적으로 보안 VPN에서는 고객 데이터 트래픽이 인증되고 암호화된다. 보안 VPN의 예로는 IPsec(IP Security), SSL(Secure Sockets Layer) VPN, 그리고 IPsec을 이용해 보안이 되는 L2TP(Layer 2 Tunneling Protocol) VPN 등이 있다. 사이트 대 사이트 VPN에서는 데이터 트래픽이 CE 라우터간에 혹은 공중망 서비스 사업자의 PE 라우터간에 터널링된다. 그 차이는 CE간 구성에서는 VPN 터널과 여기 연관된 보안이 WAN을 가로질러 고객 전체 장비까지 확장된다는 데 있다. PE간 구성에서는 터널이 공유 서비스 사업자 네트워크 내부로만 한정된다. 통신서비스 사업자 프로비전(service provider-provisioned) 사이트 대 사이트 VPN은 레이어 2나 레이어 2 프로토콜을 터널링하는 데 사용될 수 있다. PPP(Point-to-Point Protocol), 프레임 릴레이, ATM 및 이더넷과 같이 다양한 프로토콜을 터널링하기 위해 L2TP 버전 3나 AToM(Any Transport over MPLS) 같은 기술을 사용할 수 있다. 또 이더넷만 터널링하는 데는 IEEE 802.1Q 터널링(Q-in-Q)을 사용할 수 있다.

  • 레이어 2 사이트 대 사이트 VPN : 이것은 독립된 사이트간에 데이터 링크 레이어 접속성을 사용하며, 스위치, 호스트 및 라우터간에 구축될 수 있다. 커뮤니케이션은 레이어 2 어드레싱을 기반으로 하며, PE 디바이스는 MAC 어드레스나 프레임 릴레이 DLCI(Data Link Connection Identifier) 같은 레이어 2 헤더 정보나 들어오는 링크(incoming link) 정보를 기반으로 고객의 네트워크 트래픽을 전송한다. AToM(마티니 표준)과 L2TPv3 유사회선(pseudowires)은 VPWS(Virtual Private Wire Service) 레이어 2 사이트 대 사이트 VPN을 지원하는 데 필요한 레이어 2 프로토콜 포인트 투 포인트 전송을 제공한다. AToM은 MPLS 네트워크에서 레이어 2 프레임을 전송하며, LDP(Label Distribution Protocol) 시그널링 유사회선 능력과 서로 다른 고객의 라스트 마일 접속회선(last-mile attachment circuit)과 연관된 레이어 2 트래픽을 구분하는 데 사용되는 VC(virtual circuit) 레이블 등과 같은 속성들을 갖고 있다. L2TPv3는 이와 유사한 시그널링 능력을 제공하며, '세션 ID'와 쿠키를 이용해 고객 레이어 2 트래픽에 적절한 접속회선을 연관시킨다. VPWS 레이어 2 VPN은 포인트 투 포인트 접속성을 제공하는 반면, VPLS(Virtual Private LAN Service)와 IPLS(IP-Only LAN Service) 레이어 2 VPN은 다지점(any-to-any) 접속성에 필요하다. VPLS와 IPLS는 MPLS나 L2TPv3 유사회선 같은 기술뿐만 아니라, 멀티포인트 이더넷과 IP 전용 접속성을 각각 허용하기 위한 IEEE 802.1Q 터널링 같은 기술들도 또한 활용한다.

  • 레이어 3 사이트 대 사이트 VPN : 이들은 독립된 고객 사이트에 있는 호스트와 라우터를 상호 연결한다. 고객의 호스트와 라우터는 네트워크 레이어 어드레싱을 기반으로 커뮤니케이션을 하며, PE 디바이스는 들어오는 링크와 IP 헤더에 있는 어드레스를 기반으로 고객 트래픽을 전달한다.

IETF RFC 4364(구 RFC 2547bis)를 기반으로 하는 BGP/MPLS IP VPN은 보통 PE 디바이스가 각각의 VPN용으로 별도의 라우팅 및 전송 테이블을 관리할 수 있도록 통신서비스 사업자가 준비하는 레이어 2 VPN 기술이다. 고객의 경로는 MP-BGP(Multiprotocol Border Gateway Protocol)를 이용해 PC 디바이스들간에 광고가 되며, 고객의 어드레스 공간과 경로는 GBP 속성을 이용해 구분이 된다.

BGP/MPLS VPN에 대한 대안으로 "버추얼 라우터를 사용한 네트워크 기반 IP VPN 아키텍처" (cisco.com/packet/182_4b1)라는 IETF 표준을 기반으로 하는 버추얼 라우터 VPN(Virtual Router VPN)이 있다. 여기서는 완전히 독립된 논리적 라우터가 각 VPN용의 PE 디바이스에서 관리된다. 그리고 각각의 논리적 라우터는 완전히 독립적인 자체의 라우팅 프로토콜 인스턴스들을 관리한다.


POP QUIZ

레벨 : CCNA / IP 라우터
질문(정답은 Cache file에)

1. 시스코 라우터에서 정적 경로(static route)를 어떻게 구성하는가?

2. 분할 수평(split horizon)이란 무엇인가?

3. AD(administrative distance)란 무엇인가?

4. 거리 벡터 라우팅 프로토콜이 네트워크간 변화를 어떻게 계속 추적하는가?

5. 컨버전스(convergenge)란 무엇인가?


원격 액세스 VPN

원격 액세스 VPN을 실현하는 프로토콜과 기술로는 IPsec, L2TP 및 SSL/TLS가 있다. IPsec과 (클라이언트가 시작한) L2TP 원격 액세스 VPN에서는 원격 사용자 디바이스에 클라이언트 소프트웨어가 설치돼 있어야 하며, 사용자가 마치 중앙 사이트에 있는 것처럼 중앙 사이트 자원으로의 접속과 액세스를 누릴 수 있다.

SSL VPN(시스코식 표현으로는 WebVPN)은 신속한 배치가 가능하다. 그 이유는 특정 클라이언트 소프트웨어를 설치 및 유지 보수할 필요가 전혀 없으며, 애플리케이션 레이어 액세스 제어를 제공하기 때문이다. 이러한 역동적인 능력 덕분에 모바일 사용자와 장애 상황에 있는 사용자들은 브라우저가 지원되는 어떤 클라이언트 디바이스에서든 인터넷 액세스를 이용해 네트워크로 액세스를 할 수가 있다.

SSL은 디지털 인증 기반의 인증 방안과 무결성 점검(integrity checking), 그리고 기밀성(confidentiality)을 제공한다. 전송 레이어 기밀성은 비밀 키 암호화(secret key cryptographoy)를 통해 지원된다. 클라이언트 SSL VPN을 사용할 때는 애플리케이션 레이어에서의 웹 접속을 통해 원격 사용자와 VPN 게이트웨이간에 암호화된 접속이 이뤄진다. 이러한 특성 덕분에 기업에서는 사용되는 접속 유형이나 사용자 액세스 권한 등에 따라 특정 사용자가 어떤 애플리케이션에 액세스할 수 있는지에 대한 세부적인 규정을 만들 수가 있다.

이것은 특별한 액세스 정책이 세워져 있지 않은 한 인증된 모든 사용자에게 모든 자원으로 액세스할 수 있는 IPsec VPN의 레이어 2 네트워크 터널과는 다른 방식이다. 하지만 SSL VPN에서 추가 자원으로 액세스가 필요할 경우에는 역동적 다운로드가 가능한 클라이언트 소프트웨어를 원격 사용자의 워크스테이션에 설치할 수 있다. 이것은 IPsec 원격 액세스 VPN이 제공하는 것과 유사한 "풀(full)" 네트워크 액세스를 지원할 것이다.

SSL VPN과 IPSec VPN이 둘 다 필요한 조직을 위해서는 VPN 3000 시리즈 컨센트레이터(Concentrator)와 보다 뒤에 나온 시스코 ASA 5500 시리즈 어댑티브 시큐리티 어플라이언스(Adaptive Security Appliance) 등과 같은 시스코 VPN 게이트웨이들이 두 가지를 모두 만족시켜 준다. 최근에 개선된 ASA 5500에는 이러한 VPN 서비스에다 방화벽, 침입 방지 및 네트워크 안티 바이러스 서비스 등이 하나의 어플라이언스에 통합돼 있다.




프로비전은 누구 몫?

고객 프로비전 사이트 대 사이트 VPN은 라우터, 방화벽 및 VPN 컨센트레이터와 같은 CE 디바이스에서 구성된다. 이 경우 터널은 VPN에 있는 CE 디바이스들간에 구성이 되며, 고객 데이터 트래픽은 이런 터널을 통해 전송된다.

CE 기반의 레이어 3 VPN에서는 PE 디바이스가 고객 네트워크 라우팅에 참여하지 않는다(이것을 인지하지도 못한다). 그보다 이들은 글로벌하게 고유한 어드레싱을 기반으로 고객 트래픽을 전송한다. 이 경우 터널은 IPsec과 GRE 같은 프로토콜을 이용해 CE 디바이스들간에 구성이 된다. 이러한 구성은 가끔 오버레이(overlay) VPN이라고 불리기도 한다. 오버레이 VPN의 예로는 GRE나 IPsec 터널을 이용해 구축된 것들 뿐만 아니라 프레임 릴레이나 ATM 가상회선을 이용해 구축된 것들도 포함돼 있다.

PE 디바이스가 CE 라우팅에 참여할 때의 구성은 피어(peer) VPN이라고 한다. 피어 VPN에서는 CE 디바이스와 PE 디바이스들간에 경로가 상호 교환이 된다. 피어 VPN 프로비전은 통신서비스 사업자의 몫이다.


다양한 VPN 유형들
VPN 유형
애플리케이션
속성
프로비전 주체
VGP/MPLS IP VPN(RFC 4364/RFC 2547bis)
사이트 대 사이트;
멀티포인트
레이어 3; 보통 풀 메시 접속성 지원(허브 앤 스포크, 부분 메시, 엑스트라넷 접속성도 또한 프로비전 가능하다).
통신서비스 사업자*
마티니 표준(AToM)
사이트 대 사이트,
포인트 투 포인트
레이어 2; MPLS 백본에서 레이어 2 트래픽의 포인트 투 포인투 전송 허용. 통신사업자는 레거시 인프라와 IP/MPLS 네트워크 인프라를 통합할 수 있다.
통신서비스 사업자
VPLS/IPLS
사이트 대 사이트,
멀티포인트
레이어 2(이더넷이나 IP 전용) 전송; 풀 메시 접속성 지원
통신서비스 사업자
GRE
사이트 대 사이트;
포인트 투 포인트
레이어 3; IP 백본에서 레거시 프로토콜과 IP 전송
통신서비스 사업자나 기업
IEEE 802.Q 터널링(Q-in-Q)
사이트 대 사이트
레이어 2; 이더넷 VLAN 헤더 시작 부분에 별도의 802.1Q 태그를 추가함으로써 고객 이더넷 트래픽을 분리
통신서비스 사업자
IPsec
사이트 대 사이트나 원격 액세스; 포인트 투 포인트 터널; 언제나 공중 인터넷에서 사용됨
레이어 3; 보안 게이트웨이나 호스트간에 IP 트래픽을 암호화, 혹은 인증
통신서비스 사업자나 기업
L2TPv2(Layer 2 Tunneling Version 2)
원격 액세스
레이어 2; IP 백본에서 PPP(Point-to-Point Protocol)를 캡슐화 및 터널링
통신서비스 사업자나 기업
L2TPv3
원격 액세스;
사이트 대 사이트
레이어 2; 포인트 투 포인트 IP 접속에서 레이어 2 프로토콜 캡슐화
통신서비스 사업자
SSL VPN(WebVPN)
원격 액세스
레이어 4-7; 필요한 클라이언트 소프트웨어가 없기 때문에 사용자가 역동적으로 배치할 수 있다
통신서비스 사업자나 기업

* 공유 네트워크 서비스로 가정; 일부 초대형 기업에서는 자체적인 전용 MPLS 네트워크를 구축하고 있다.


VPN은 진화 중 다양한 애플리케이션을 지원하고 보다 새로운 IP 및 MPLS 네트워크가 레거시 사용자 트래픽을 전송할 수 있게 하기 위해 여러 가지 종류의 VPN들이 진화를 거듭하고 있다.


여러 속성 고려해야

통신서비스 사업자 프로비전과 고객 프로비전의 사이트 대 사이트 VPN을 둘 다 비교할 때는 다음과 같은 요소들을 염두에 둬야한다 :

  • 접속성(connectivity) : 포인트 투 포인트나 멀티포인트 접속성이 VPN에 상속돼 있는가? 예를 들어 BGP/MPLS IP VPN 서비스는 원래부터 멀티포인트인 반면("전형적" 구성이라고 가정할 때), IPsec과 GRE VPN은 포인트 투 포인트 기술이다. 이러한 특성들은 풀 메시(full mesh), 허브 앤 스포크(hub-and-spoke), 그리고 부분 메시(partial mesh) 등과 같은 다양한 네트워크 토폴로지를 얼마나 쉽게 배치할 수 있느냐에 영향을 미친다. 포인트 투 포인트 VPN에는 멀티 포인트 투 포인트 터널에서부터 토폴로지를 구축해야 하는 반면, 멀티포인트 VPN은 원래부터 메시 형태다.

  • 지리적 범위(geographic reach) : 지리적 범위가 통신서비스 사업자 백본에 한정돼 있는가, 아니면 인터넷으로 확장될 수 있는가? BGP/MPLS IP VPN 및 마티니 표준 VPN 등과 같은 MPLS 기반 VPN은 보통 트래픽을 하나 이상의 통신사업자 백본 네트워크 경계선 안으로 제한한다. 이와 대조적으로 레이어 3 IPsec과 GRE 네트워크는 전용 IP와 공중 인터넷 링크를 가로지를 수 있다.

  • 보안 : MPLS 레이어 3와 L2TP 기반 VPN 트래픽을 IPsec에서 전송하면, 보안이 좋은 상태에서 뛰어난 수준으로 향상된다. L2TPv3는 스스로가 터널 인증을 채택할 수 있으며, 쿠키는 블라인드 삽입(blind insertion) 공격에 대한 저항을 지원한다.

  • 상속적 멀티캐스트 지원 : 멀티캐스트가 VPN에서 상속적으로 지원이 되는가? 레이어 2 VPN에서 대답은 "그렇다"이다. BGP/MPLS IP VPN과 IPsec 레이어 3 VPN에서는 GRE 터널을 이용하거나, GBP/MPLS IP VPN일 경우는 MVPN(multicast VPN), IPsec VPN에서는 VTI(virtual tunnel interface) 같은 기술을 배치해야 한다.

  • QoS(quality of service) 지원 : 기술이 음성, 비디오 및 데이터 애플리케이션용의 서비스 레벨을 어떻게 차별화하는가? MPLS 네트워크는 보통 심 헤더(shim header)에 있는 MPLS EXP(experimental) 필드의 우선순위 마킹(priority marking)을 이용한다. 전송 품질과 서비스 가용성을 모두 포함하는 하드(hard) QoS 보증에서는 추가적으로 지원을 필요로 한다. IPsec, L2TP, 혹은 GRE VPN에서는 트래픽 차별화가 외부 IP 헤더의 ToS(Type of Service)에 있는 마킹에 의존한다.

넓은 의미에서 사이트 대 사이트 VPN이나 원격 액세스 VPN으로 분류될 수 있는 다른 많은 VPN 기술과 프로토콜들이 있다. 이런 VPN의 대부분은 시스코 라우터에서 운용되는 시스코 IOS 소프트웨어에서 지원이 된다. 기업(고객) 프로비전 VPN에서는 사용자가 IPsec과 SSL VPN 운영을 라우터에서 ASA 5500이나 VPN 300 시리즈와 같은 시스코 VPN 게이트웨이 장비로 넘길 수도 있다.

VPN 기술은 여러 가지 문제를 해결하는 방향으로 진화해 왔다. 사이트 대 사이트 레이어 2 VPN 기술은 PE나 CE 디바이스간 레이어 2 프로토콜 터널링을 허용하며, 통신서비스 사업자로 하여금 레거시 및 IP/MPLS 네트워크를 통합할 수 있게 해준다. 또 보다 새로운 이더넷 MAN/WAN 서비스를 배치할 수 있도록 해준다. 이와 대조적으로 사이트 대 사이트 레이어 3 VPN 기술은 IPsec의 경우에는 강력한 보안과 비교적 낮은 가격, BGP/MPLS IP VPN의 경우에는 애니 투 애니(any-to-any) IP 접속성, 단순화된 고객 WAN 라우팅, 그리고 QoS를 강조한다. IPsec이나 SSL과 같은 원격 액세스 VPN 기술은 모바일 사용자나 원격 사용자가 조직의 데이터 및 기타 자원으로 보안 액세스를 할 수 있게 해준다.

MARK LEWIS
필자 마이크 루위스(MARK LEWIS)는 MJL 네트워크 솔루션즈(MJL Network Solutions)의 기술 이사로서 IETF에서 적극적인 활동을 펼치고 있으며, IEEE 멤버이자 시스코시스템즈의 공인 인스트럭터이다. 시스코 프레스에서 출간된 'Comparing, Desining, and Deploying VPN'과 'Troubleshooting Virtual Private Networks'의 저자로도 알려져 있다. CCIE NO.6280, 이메일 주소는 mark@mjlnet.com 이다.


추가자료




Cisco에 문의하세요



Packet 지난 호 보기