MPLS VPN(Multi-Protocol Label Switching , Virtual Private Network)

1. VPN(Virtual Private Network)

방화벽, 침입 탐지 시스템과 함께 현재 사용되는 가장 일반적인 보안 솔류션 중 하나로 세가지 경우에 주로 사용된다.

 

(1). (본사와 지사의 연결, 전용회선)원격의 두 지점 간을 내부 내트워크처럼 이용할 수 있다.

본점과 지점을 VPN을 이용하여 연결하면, 양측의 사용자는 중간에 VPN 장비가 있다는 것을 느끼지 못한다. 
Internal Network(= 전용회선: Leased Line): 기업 내부 간 데이터 통신을 위한 네트워크(회사 내의 업무 정보를 내부 네트워크에서만 주고받을 수 있는 네트워크)

 

(2). (재택근무)집에서도 회사 내 서버를 보안된 상태로 접근할 수 있다.

회사 외부에서 회사 서버를 접근할 경우, 대부분 카페 와이파이 등의 유동 IP주소를 사용하여 접속하기 때문에 패킷을 스니핑 당할 확률이 높다. 따라서 회사에 VPN 장비를 마련해두고, VPN 장비의 인증을 거친 후 내부 시스템에 접속하도록 한다. 이를 통해 네트워크 트래픽이 암호화되어 이용하는 VPN인증과 함께 방화벽을 통한 서비스 통제, 접근 대상 서비스 인증을 거치믈오 임의 접근보다 훨씬 높은 수준의 보안을 유지할 수 있다.

(3). (해외접속)해외 여행에서도 국내 온라인 게임을 할 수 있다.
대부분 해당 국가의 IP주소를 사용해야만 게임에 접속 가능하다. 국내에 VPN장비를 마련해두어 해외에서도 VPN장비에 접솓하여 국내 IP주소를 할당받아 국내 게임서버에 접근할 수 있다.

 

2. MPLS(Multi-Protocol Label Switching)

MPLS 도입 전:  IP 헤더의 정보를 통해 데이터를 라우팅하고 전송
-> 네트워크 계층을 지나는 각각의 라우터에서 모든 패킷을 검사하고 라우팅 테이블을 참조하여 다음 홈을 찾는다.

MPLS 도입 후: 프레임이나 패킷 앞에 레이블(Label)이라는 짧은 식별자를 부가하여 전송
-> MPLS망에 진입 시 처음 한 번 헤더를 검사하므로 라우팅을 고속화 가능

라우터가 HW화 됨에 따라 IP패킷 또한 고정 시간안에 처리할 수 있게 되면서 다양한 기능을 실현하는 수단이 됨
->가상사설망(VPN) 및 QoS(Quality of Service), 지해 복구 기능 등을 구현 가능하고, 다양한 클라이언트 프로토콜이 전송 가능하여 IP망 이외의 패킷망을 MPLS 망에 통합 가능하다. 또한 패킷의 통과 경로를 명시적으로 지정하여 트래픽을 분산시키는 트래픽 제어 기능도 구현 가능

 

3. MPLS-VPN

MPLS기술을 이용하여 공용의 인터넷 상에서 가상의 VPN을 구성하는 기술(2,3계층 가능).
하나의 물리적인 VPN망을 논리적으로 여러개로 나누어 각 논리적인 VPN망 간에는 서로 통신을 못하게 하는 것이 목표.

(1). MPLS VPN의 라우터

• CE(Customer Edge): 가입자(Customer)의 가장자리(Edge)에 위치한 장비로 라우터 혹은 스위치입니다. Enterprise VPN 망 관점에서 CE device는 보통 라우터가 되겠지만 LTE 노드가 MPLS L3VPN 망에 연결되는 구성에서는 LTE 노드(예: MME, S-GW, P-GW)가 CE device가 됩니다. 이 CE device가 통신 사업자의 PE 라우터와 연결 되며, CE device는 MPLS aware 하지 않은 그냥 라우터 혹은 스위치입니다.
• PE(Provider Edge): MPLS L3VPN의 핵심이 되는 라우터로, 통신 사업자(Provider)의 MPLS L3VPN 망의 가장자리(Edge)에 놓인다는 의미를 가진다. 보통 여러개의 CE device들이 연결됩니다. PE router는 각 VPN 별로 논리적으로 분리된 라우팅/포워딩 테이블(VRF; Virtual Routing & Forwarding)을 가지며, 동일 VRF(Virtual Routing Table을 이용하여..)를 가진 PE router간에 MPLS L3VPN Tunnel을 연결하여 각 VPN 별로 트래픽 경로를 separation 합니다.
  

  

  
  
• P(Provider): 통신 사업자의 Backbone에 해당하는 라우터이며, CE device가 직접 연결되지 않습니다. 이 라우터는 MPLS L3VPN aware하지 않고(즉, VRF가 없음), 단순히 MPLS packet forwarding(MPLS label switching)을 하는 라우터입니다(Global Routing Table을 이용하여,,).

  

(2). RD & RT

1) RD(Route Distinguisher)
각 VPN 간에 동일한 IPv4 주소를 사용하는 IP 중복을 허용하기 위해 만들어진 메커니즘
PE라우터에서 다른 PE와 VPN NW 정보를 공유할 때 고객들간 IP 중복을 피하고 NW 정보를 구별하기 위해 부여하는 특정 구별자=>서로 다른 VPN 고객이 동일한 IP를 사용한다고 하더라도 PE간에 VPN NW정보를 교한할 때 RD를 부여하여 완전히 다른 IP 형태로 전달

2). RT(Route Target)
고객 VPN 라우팅에 관여하는 정책 메커니즘으로 Export RT, Import RT로 나뉜다
Export RT: PE에 설정된 해당 VRF가 다른 PE로 라우팅 정보를 전달할 떄 사용
Import RT: 다른 PE로부터 해당 RT의 라우팅 정보를 수신할 때 사용

 

넷마니아즈에서의 MPLS L3 VPN Network에 대한 그림도 이해하는데 도움이 될 것이다.