소개
이 문서에서는 Cisco IWAN(Intelligent WAN) 및 Cisco PfR(Performance Routing)에 대해 설명합니다.
IWAN
Cisco IWAN은 협업 및 클라우드 애플리케이션 성능을 향상하는 동시에 WAN의 운영 비용을 절감하는 시스템입니다. IWAN 솔루션은 지능형 경로 제어, 애플리케이션 최적화, 인터넷 및 지사 위치에 대한 보안 연결을 통해 전송 독립적인 WAN을 구축하고 WAN의 운영 비용을 절감하려는 조직을 위한 설계 및 구현 지침을 제공합니다. IWAN은 프리미엄 WAN 및 비용 효율적인 인터넷 서비스를 최대한 활용하여 협업 또는 클라우드 기반 애플리케이션의 성능, 신뢰성 또는 보안의 저하 없이 대역폭 용량을 늘립니다. 조직은 인터넷을 WAN 전송으로 활용하는 것은 물론 퍼블릭 클라우드 애플리케이션에 대한 직접 액세스를 위해 IWAN을 사용할 수 있습니다.

R1은 음성 및 비디오 트래픽이 사용 가능한 두 링크 중에서 비교적 적은 지연, 지터 및/또는 손실로 최상의 경로를 선택하는 것을 선호합니다. 다른 트래픽은 대역폭을 최대화하기 위해 로드 밸런싱됩니다.
현재 경로의 성능이 저하된 경우(MPLS(Multiprotocol Label Switching) DIA(Direct Internet Access) 링크가 선택되면 음성과 비디오가 다시 라우팅됩니다.
IWAN을 통해 다음을 수행할 수 있습니다.
- 중요도가 낮은 데이터를 인터넷으로 보다 저렴한 비용 모드에 연결하십시오.
- WAN에서 애플리케이션 최적화, 지능형 캐싱 및 매우 안전한 DIA를 사용할 수 있습니다.
지금까지는 예측 가능한 성능으로 안정적인 연결을 얻는 유일한 방법은 MPLS 또는 임대 회선 서비스를 사용하는 프라이빗 WAN을 활용하는 것입니다. 그러나 통신 사업자 기반 MPLS 및 임대 회선 서비스는 비용이 많이 들 수 있으며 조직이 원격 사이트 연결에 대한 증가하는 대역폭 요구 사항을 지원하기 위해 WAN 전송에 사용하는 것이 항상 비용 효율적이지는 않습니다. 조직은 운영 예산을 절감하면서 원격 사이트에 대한 네트워크 전송을 적절히 제공할 수 있는 방법을 모색합니다.
IWAN을 통해 조직은 어떤 연결에서도 최고의 경험을 제공할 수 있습니다. Cisco IWAN을 통해 IT 조직은 성능, 보안 또는 안정성에 영향을 주지 않고 보다 저렴한 WAN 전송 옵션으로 더 많은 대역폭을 지사 연결에 제공할 수 있습니다. IWAN 솔루션을 사용하면 애플리케이션 SLA(service-level agreement), 엔드포인트 유형 및 네트워크 조건에 따라 트래픽이 동적으로 라우팅되어 최상의 품질 환경을 제공합니다.
IWAN을 사용하면 비디오, VDI(가상 데스크톱 인프라), 게스트 Wi-Fi 서비스와 같이 대역폭 집약적인 애플리케이션을 신속하게 롤아웃할 수 있습니다. 또한 MPLS, 인터넷, 셀룰러 또는 하이브리드 WAN 액세스 모델 중 어떤 전송 모델을 선호하는지는 중요하지 않습니다.
이 그림은 IWAN 솔루션의 구성 요소를 간략하게 보여줍니다. 성능 라우팅은 이 이니셔티브의 핵심 요소입니다.

IWAN의 네 가지 구성 요소는 다음과 같습니다.
- 안전하고 유연한 전송 독립적 설계 - DMVPN(Dynamic Multipoint VPN) IWAN은 MPLS, 광대역 및 셀룰러 3G/4G/LTE를 비롯한 모든 캐리어 서비스 오퍼링을 통해 손쉽게 멀티호밍할 수 있는 기능을 제공합니다.
- 지능적인 경로 제어 - Cisco PfR을 통해 이 구성 요소는 애플리케이션 제공 및 WAN 효율성을 개선합니다. PfR은 애플리케이션 유형, 성능, 정책 및 경로 상태를 확인하여 데이터 패킷 전달 결정을 동적으로 제어합니다. PfR은 애플리케이션 정책을 기반으로 최상의 경로를 통해 트래픽을 지능적으로 로드 밸런싱하면서 비즈니스 애플리케이션의 WAN 성능 변동을 방지합니다. PfR은 지터, 패킷 손실, 지연 등의 네트워크 성능을 모니터링하고 애플리케이션 정책을 기반으로 최상의 경로를 통해 중요한 애플리케이션을 전달하도록 결정합니다. Cisco PfR은 광대역 서비스에 연결하는 보더 라우터와 라우터의 Cisco IOS® Software에서 지원하는 기본 컨트롤러 애플리케이션으로 구성됩니다. 보더 라우터는 트래픽과 경로 정보를 수집하여 애플리케이션 요구 사항에 맞게 서비스 정책을 탐지하고 시행하는 기본 컨트롤러로 전송합니다. Cisco PfR은 회선비용을 기준으로 지능적으로 트래픽을 로드 밸런싱할 이그레스 WAN 경로를 선택하여 회사의 전체 커뮤니케이션 비용을 줄일 수 있습니다. IWAN 지능형 경로 제어는 인터넷 전송에 비즈니스급 WAN을 제공하기 위한 핵심입니다.
- 기술: PfR PfR은 PfRv3라는 새로운 주요 릴리스로 진화합니다.
- 애플리케이션 최적화 - Cisco AVC(Application Visibility and Control) 및 Cisco WAAS(Wide Area Application Services)는 WAN을 통해 애플리케이션 성능 가시성 및 최적화를 제공합니다. HTTP(포트 80)와 같이 잘 알려진 포트의 재사용 증가로 인해 애플리케이션의 불투명성이 증가함에 따라 애플리케이션의 정적 포트 분류만으로는 더 이상 충분하지 않습니다. Cisco AVC는 트래픽에 대한 심층적인 패킷 검사로 애플리케이션 인식을 제공하여 애플리케이션의 성능을 식별하고 모니터링합니다. 애플리케이션 레벨(레이어 7)에서의 가시성 및 제어는 NBAR2(Network-Based Application Recognition 2), NetFlow, QoS(Quality of Service), 성능 모니터링, Medianet 등과 같은 AVC 기술을 통해 제공됩니다.
- 기술: AVC(Application Visibility and Control), WAAS, Akamai Connect
- 보안 연결 - WAN을 보호하고 사용자 트래픽을 인터넷으로 직접 오프로드합니다. 강력한 IPsec 암호화, 영역 기반 방화벽 및 엄격한 액세스 목록을 사용하여 공용 인터넷을 통해 WAN을 보호합니다. 지사 사용자를 인터넷에 직접 라우팅하면 퍼블릭 클라우드 애플리케이션 성능이 향상되는 동시에 WAN을 통한 트래픽이 줄어듭니다. Cisco CWS(Cloud Web Security) 서비스는 인터넷에 액세스하는 사용자 트래픽을 중앙에서 관리하고 보호할 수 있는 클라우드 기반 웹 프록시를 제공합니다.
- 기술: Cisco IOS 방화벽/IPS, CWS(Cloud Web Security)
DMVPN이 사용되는 이유
IWAN은 DMVPN을 기반으로 하는 하이브리드 전송 독립적 설계와 함께 규범적 설계를 사용합니다. DMVPN은 MPLS 및 인터넷 전송 전반에 구축됩니다. 이렇게 하면 두 전송을 모두 포함하는 단일 라우팅 도메인을 사용하여 라우팅이 크게 간소화됩니다. DMVPN 라우터는 IP 유니캐스트, IP 멀티캐스트 및 브로드캐스트 트래픽을 지원하는 터널 인터페이스를 사용하며 여기에는 동적 라우팅 프로토콜의 사용이 포함됩니다. 초기 스포크-투-허브 터널이 활성화된 후, 사이트 대 사이트 IP 트래픽 흐름에 동적 스포크-투-스포크 터널을 필요로 할 때 이를 생성할 수 있습니다.
Transport Independent Design은 사업자당 하나의 DMVPN 클라우드를 기반으로 합니다. 이 가이드에서는 2개의 제공자가 사용되는데, 하나는 기본(MPLS)으로 간주되고 다른 하나는 보조(인터넷)으로 간주됩니다. 브랜치 사이트는 두 DMVPN 클라우드에 모두 연결되어 있으며 두 터널이 모두 가동 중입니다.

다이어그램에서 볼 수 있듯이 각 브랜치 라우터는 두 제공자에 모두 연결되며, 하나는 기본 제공자인 MPLS이고 다른 하나는 보조 제공자인 인터넷입니다.
트래픽 유형에 따라 각 제공자는 트래픽을 전송하는 데 사용됩니다. 예를 들어 우선 순위가 높은 데이터는 MPLS를 통해 보내고 우선 순위가 낮은 데이터는 인터넷을 통해 라우팅할 수 있습니다. 이를 통해 비용 효율성이 높아지고 사용 가능한 리소스를 보다 혁신적인 비즈니스 목적으로 활용할 수 있습니다.
Transport Independent Design(듀얼 DMVPN)
설계 요약
이 설계에서는 일관된 IPsec 오버레이를 위해 DMVPN을 최대한 활용하는 액티브-액티브 WAN 경로를 제공합니다. MPLS 및 인터넷 연결은 단일 라우터에서 종료하거나 복원력을 높이기 위해 두 개의 개별 라우터에서 종료할 수 있습니다. MPLS, 인터넷 또는 3G/4G 전송을 통해 동일한 설계를 사용할 수 있으므로 설계가 전송 독립적입니다.
공급자별로 DMVPN 허브(PfRv3 BR)를 사용하고 허브에서 전송하는 것이 좋습니다. 라우팅 구성이 훨씬 간편해집니다.
DMVPN에서는 DPD(Dead Peer Detection)를 위해 IKEv2(Internet Key Management Protocol version 2) 킵얼라이브 간격을 사용해야 합니다. 이는 빠른 재통합을 촉진하고 DMVPN 허브가 다시 로드된 경우 스포크 등록이 제대로 작동하기 위해 필수적입니다. 이 설계에서는 스포크가 암호화 피어가 실패했으며 해당 피어의 IKEv2 세션이 오래되었음을 감지하도록 하며, 이 경우 새 피어를 생성할 수 있습니다. DPD가 없으면 IPsec SA가 시간 초과되어야 하며(기본값은 60분) 라우터가 새 SA를 재협상할 수 없는 경우 새 IKEv2 세션이 시작됩니다. 최대 대기 시간은 약 60분입니다.
DMVPN 단계 요약
DMVPN에는 다음과 같이 요약된 여러 단계가 있습니다.
DMVPN 1단계는 허브 및 스포크(Hub and Spoke) 기능을 기반으로 합니다.
- 허브의 간소화된 소규모 구성
- NAT(Dynamic Addressed CPE) 지원
- 라우팅 프로토콜 및 멀티캐스트 지원
- 스포크는 전체 라우팅 테이블이 필요하지 않으며 허브에서 요약 가능
DMVPN 2단계에는 허브에 대한 요약이 없습니다.
각 스포크에는 각 스포크 대상 접두사에 대한 next-hop(스포크 주소)이 있습니다.
PfR에는 동적 PBR과 올바른 next-hop 정보를 사용하여 경로를 적용하는 데 필요한 모든 정보가 있습니다.
DMVPN 3단계에서는 경로 요약을 허용합니다.
- 상위 경로 조회가 수행되는 경우 허브에 대한 경로만 사용할 수 있습니다.
- NHRP는 동적으로 바로 가기 터널을 설치하므로 RIB/CEF를 채웁니다.
- PfR은 여전히 허브 next-hop 정보를 가지고 있으며 현재 next-hop 변경을 인식하지 못합니다.
PfRv3는 모든 DMVPN 단계를 지원합니다.
DMVPN에 대한 자세한 내용은 Cisco IOS DMVPN 개요를 참조하십시오.