이 페이지에서
VPN 유형
가상 프라이빗 네트워크(VPN)는 공급자의 네트워크와 고객의 네트워크라는 두 가지 토폴로지 영역으로 구성됩니다. 고객의 네트워크는 일반적으로 여러 물리적 사이트에 위치하며 프라이빗(비인터넷)이기도 합니다. 고객 사이트는 일반적으로 단일 물리적 위치에 위치한 라우터 또는 기타 네트워킹 장비 그룹으로 구성됩니다. 공용 인터넷 인프라에서 실행되는 이 프로바이더의 네트워크는 고객의 네트워크에 VPN 서비스를 제공하는 라우터와 다른 서비스를 제공하는 라우터로 구성됩니다. 프로바이더의 네트워크는 고객과 프로바이더가 프라이빗 네트워크로 보이는 다양한 고객 사이트를 연결합니다.
VPN이 다른 VPN 및 공용 인터넷에서 비공개로 유지되도록 하기 위해 프로바이더의 네트워크는 서로 다른 VPN의 라우팅 정보를 별도로 유지하는 정책을 유지합니다. 프로바이더는 정책이 서로 다른 VPN의 경로를 분리된 상태로 유지하는 한 여러 VPN에 서비스를 제공할 수 있습니다. 마찬가지로 고객 사이트는 서로 다른 VPN의 경로를 별도로 유지하는 한 여러 VPN에 속할 수 있습니다.
Junos® 운영 체제(Junos OS)는 여러 유형의 VPN을 제공합니다. 네트워크 환경에 가장 적합한 솔루션을 선택할 수 있습니다. 다음 VPN 각각은 각기 다른 기능을 가지고 있으며 서로 다른 유형의 구성을 요구합니다.
레이어 2 VPN
라우터에 레이어 2 VPN을 구현하는 것은 ATM 또는 프레임 릴레이와 같은 레이어 2 기술을 사용하여 VPN을 구현하는 것과 유사합니다. 그러나 라우터의 레이어 2 VPN의 경우, 트래픽은 레이어 2 형식의 라우터로 전달됩니다. 서비스 프로바이더는 MPLS 전달한 다음 수신 사이트에서 레이어 2 형식으로 다시 변환합니다. 송수신 사이트에서 다른 레이어 2 형식을 구성할 수 있습니다. MPLS 레이어 2 VPN의 보안 및 개인 정보는 ATM 또는 프레임 릴레이 VPN과 동일합니다.
레이어 2 VPN에서 라우팅은 고객의 라우터에서 발생하며, 일반적으로 CE 라우터에서 발생합니다. 레이어 2 VPN의 서비스 프로바이더에 연결된 CE 라우터는 트래픽을 전송할 적절한 서킷을 선택해야 합니다. 트래픽을 수신하는 PE 라우터는 서비스 프로바이더의 네트워크를 통해 수신 사이트에 연결된 PE 라우터로 전송합니다. PE 라우터는 고객의 경로를 저장하거나 처리할 필요가 없습니다. 데이터를 적절한 터널로 보내도록 구성하기만 하면 됩니다.
레이어 2 VPN의 경우, 고객은 모든 레이어 3 트래픽을 전송하도록 자체 라우터를 구성해야 합니다. 서비스 프로바이더는 레이어 2 VPN이 수행해야 하는 트래픽 양을 알아야 합니다. 서비스 프로바이더의 라우터는 레이어 2 VPN 인터페이스를 사용하여 고객 사이트 간에 트래픽을 전송합니다. VPN 토폴로지는 PE 라우터에 구성된 정책에 의해 결정됩니다.
레이어 3 VPN
레이어 3 VPN에서 라우팅은 서비스 프로바이더의 라우터에서 발생합니다. 따라서 계층 3 VPN은 서비스 프로바이더의 PE 라우터가 고객의 경로를 저장하고 처리해야 하기 때문에 서비스 프로바이더에 더 많은 구성이 필요합니다.
Junos OS 레이어 3 VPN은 RFC 4364, BGP/MPLS IP VPN(Virtual Private Networks)을 기반으로 합니다. 이 RFC는 서비스 프로바이더가 IP 백본을 사용하여 고객에게 레이어 3 VPN 서비스를 제공할 수 있는 메커니즘을 정의합니다. 레이어 3 VPN을 구성하는 사이트는 프로바이더의 기존 공용 인터넷 백본을 통해 연결되어 있습니다.
RFC 4364를 기반으로 하는 VPN은 BGP/MPLS VPN이라고도 합니다. BGP는 프로바이더의 백본 전반에 VPN 라우팅 정보를 배포하는 데 사용되며, MPLS 백본을 통해 원격 VPN 사이트로 VPN 트래픽을 전달하는 데 사용됩니다.
고객 네트워크는 프라이빗이기 때문에 RFC 1918, 프라이빗 인터넷에 대한 주소 할당에 정의된 대로 공용 주소 또는 프라이빗 주소를 사용할 수 있습니다. 프라이빗 주소를 사용하는 고객 네트워크가 공용 인터넷 인프라에 연결할 때 프라이빗 주소는 다른 네트워크 사용자가 사용하는 프라이빗 주소와 겹칠 수 있습니다. BGP/MPLS VPN은 VPN 식별자를 특정 VPN 사이트의 각 주소에 접두사를 지정하여 이 문제를 해결합니다. 따라서 VPN 내부와 공용 인터넷 모두에서 고유한 주소를 생성합니다. 또한 각 VPN에는 해당 VPN에 대한 라우팅 정보만 포함하는 고유한 VPN 특정 라우팅 테이블 있습니다.
VPLS
가상 프라이빗 LAN 서비스(VPLS)를 사용하면 지리적으로 분산된 고객 사이트를 동일한 LAN에 연결된 것처럼 연결할 수 있습니다. 여러 가지 면에서 레이어 2 VPN처럼 작동합니다. VPLS 및 레이어 2 VPN은 동일한 네트워크 토폴로지와 유사한 기능을 사용합니다. 고객 네트워크 내에서 패킷이 먼저 CE 디바이스로 전송됩니다. 그런 다음 서비스 프로바이더의 네트워크 내 PE 라우터로 전송됩니다. 패킷은 MPLS LSP를 통해 서비스 프로바이더의 네트워크를 통과합니다. 송신 PE 라우터에 도달한 다음 대상 고객 사이트의 CE 디바이스로 트래픽을 전달합니다.
VPLS의 주요 차이점은 패킷이 서비스 프로바이더의 네트워크를 포인트 투 멀티포인트 방식으로 트래버스할 수 있다는 것입니다. 즉, CE 디바이스에서 생성되는 패킷이 VPLS의 PE 라우터로 브로드캐스트될 수 있다는 의미입니다. 반면, 레이어 2 VPN은 패킷을 포인트 투 포인트 방식으로만 전달합니다. PE 라우터가 CE 디바이스에서 수신한 패킷의 대상은 레이어 2 VPN이 제대로 작동하도록 알려져야 합니다.
레이어 3 네트워크에서만 VPLS(Virtual Private LAN Service)를 구성하여 지리적으로 분산된 이더넷 LAN(로컬 영역 네트워크) 사이트를 MPLS 백본에서 서로 연결할 수 있습니다. VPLS를 구현하는 ISP 고객의 경우, 트래픽이 서비스 프로바이더의 네트워크를 통해 이동하더라도 모든 사이트가 동일한 이더넷 LAN에 있는 것으로 보입니다. VPLS는 MPLS 지원 서비스 프로바이더 네트워크에서 이더넷 트래픽을 전송하도록 설계되었습니다. VPLS는 어떤 면에서 이더넷 네트워크의 동작을 모방합니다. VPLS 라우팅 인스턴스로 구성된 PE 라우터가 CE 디바이스에서 패킷을 수신하면 먼저 VPLS 패킷의 대상에 대한 적절한 라우팅 테이블 확인합니다. 라우터에 목적지가 있는 경우 해당 PE 라우터로 전달합니다. 목적지가 없는 경우 패킷을 동일한 VPLS 라우팅 인스턴스의 멤버인 다른 모든 PE 라우터에 브로드캐스트합니다. PE 라우터는 패킷을 CE 디바이스로 전달합니다. 패킷의 의도된 수신자인 CE 디바이스는 패킷을 최종 대상으로 전달합니다. 다른 CE 디바이스는 이를 버립니다.
가상 라우터 라우팅 인스턴스
VPN 라우팅 및 포워딩(VRF) 라우팅 인스턴스와 같은 가상 라우터 라우팅 인스턴스는 각 인스턴스에 대해 별도의 라우팅 및 포워딩 테이블을 유지합니다. 그러나 VRF 라우팅 인스턴스에 필요한 많은 구성 단계는 가상 라우터 라우팅 인스턴스에 필요하지 않습니다. 특히, 경로 식별자, 라우팅 테이블 정책( vrf-export
, vrf-import
및 문)을 route-distinguisher
구성하거나 P 라우터 간에 MPLS 필요가 없습니다.
그러나 가상 라우터 라우팅 인스턴스에 참여하는 각 서비스 프로바이더 라우터 간에 별도의 논리적 인터페이스를 구성해야 합니다. 또한 서비스 프로바이더 라우터와 각 라우팅 인스턴스에 참여하는 고객 라우터 간에 별도의 논리적 인터페이스를 구성해야 합니다. 각 가상 라우터 인스턴스는 모든 참여 라우터에 고유한 논리적 인터페이스 집합을 필요로 합니다.
그림 1 은 작동 방식을 보여줍니다. 서비스 프로바이더 라우터 G와 H는 가상 라우터 라우팅 인스턴스인 Red 및 Green에 대해 구성됩니다. 각 서비스 프로바이더 라우터는 각 라우팅 인스턴스에서 하나씩 두 개의 로컬 고객 라우터에 직접 연결됩니다. 또한 서비스 프로바이더 라우터는 서비스 프로바이더 네트워크를 통해 서로 연결됩니다. 이러한 라우터에는 네 개의 논리적 인터페이스가 필요합니다. 즉, 로컬로 연결된 각 고객 라우터에 대한 논리적 인터페이스 와 각 가상 라우터 인스턴스에 대해 두 서비스 프로바이더 라우터 간에 트래픽을 전달하는 논리적 인터페이스가 필요합니다.
레이어 3 VPN에는 이러한 구성 요구 사항이 없습니다. PE 라우터에서 여러 레이어 3 VPN 라우팅 인스턴스를 구성하는 경우, 모든 인스턴스는 동일한 논리적 인터페이스를 사용하여 다른 PE 라우터에 도달할 수 있습니다. 레이어 3 VPN은 다양한 라우팅 인스턴스에서 트래픽을 구분하는 MPLS(VPN) 레이블을 사용하기 때문에 가능합니다. 가상 라우터 라우팅 인스턴스에서와 같이 MPLS 및 VPN 레이블이 없으면 다른 인스턴스와 트래픽을 분리하기 위한 별도의 논리적 인터페이스가 필요합니다.
서비스 프로바이더 라우터 간에 이 논리적 인터페이스를 제공하는 한 가지 방법은 그들 사이에 터널을 구성하는 것입니다. 서비스 프로바이더 라우터 간에 IP 보안(IPsec), 일반 라우팅 캡슐화(GRE) 또는 IP-IP 터널을 구성하여 가상 라우터 인스턴스에서 터널을 종료할 수 있습니다.