VPN의 유형

레이어 2 VPN

라우터에서 레이어 2 VPN을 구현하는 것은 다른 레이어 2 기술을 사용하여 VPN을 구현하는 것과 유사합니다. 그러나 라우터의 레이어 2 VPN의 경우 트래픽은 레이어 2 형식으로 라우터로 전달됩니다. 이는 서비스 프로바이더의 네트워크를 통해 MPLS에 의해 전송된 다음 수신 사이트에서 레이어 2 형식으로 다시 변환됩니다. 송신 사이트와 수신 사이트에서 서로 다른 레이어 2 형식을 구성할 수 있습니다.

레이어 2 VPN에서 라우팅은 고객의 라우터, 일반적으로 CE 라우터에서 발생합니다. 레이어 2 VPN의 서비스 프로바이더에 연결된 CE 라우터는 트래픽을 전송할 적절한 서킷을 선택해야 합니다. 트래픽을 수신하는 PE 라우터는 서비스 프로바이더의 네트워크를 통해 수신 사이트에 연결된 PE 라우터로 트래픽을 보냅니다. PE 라우터는 고객의 경로를 저장하거나 처리할 필요가 없습니다. 적절한 터널로 데이터를 전송하도록 구성하기만 하면 됩니다.

레이어 2 VPN의 경우, 고객은 모든 레이어 3 트래픽을 전송하도록 자체 라우터를 구성해야 합니다. 서비스 프로바이더는 레이어 2 VPN이 얼마나 많은 트래픽을 전송해야 하는지만 알면 됩니다. 서비스 프로바이더의 라우터는 레이어 2 VPN 인터페이스를 사용하여 고객 사이트 간에 트래픽을 전송합니다. VPN 토폴로지는 PE 라우터에 구성된 정책에 따라 결정됩니다.

레이어 3 VPN

레이어 3 VPN에서 라우팅은 서비스 프로바이더의 라우터에서 발생합니다. 따라서 레이어 3 VPN은 서비스 프로바이더의 PE 라우터가 고객의 경로를 저장하고 처리해야 하기 때문에 서비스 프로바이더 측에서 더 많은 구성이 필요합니다.

Junos OS에서 레이어 3 VPN은 RFC 4364, BGP/MPLS IP 가상 사설망(VPN)을 기반으로 합니다. 이 RFC는 서비스 프로바이더가 IP 백본을 사용하여 고객에게 레이어 3 VPN 서비스를 제공할 수 있는 메커니즘을 정의합니다. 레이어 3 VPN을 구성하는 사이트는 프로바이더의 기존 퍼블릭 인터넷 백본을 통해 연결됩니다.

RFC 4364를 기반으로 하는 VPN은 BGP/MPLS VPN으로도 알려져 있습니다. BGP는 프로바이더의 백본에 VPN 라우팅 정보를 배포하는 데 사용되고 MPLS는 백본을 통해 원격 VPN 사이트로 VPN 트래픽을 전달하는 데 사용되기 때문입니다.

고객 네트워크는 프라이빗이므로 RFC 1918, 프라이빗 인터넷에 대한 주소 할당에 정의된 퍼블릭 주소 또는 프라이빗 주소를 사용할 수 있습니다. 프라이빗 주소를 사용하는 고객 네트워크가 퍼블릭 인터넷 인프라에 연결할 때 프라이빗 주소는 다른 네트워크 사용자가 사용하는 프라이빗 주소와 겹칠 수 있습니다. BGP/MPLS VPN은 특정 VPN 사이트의 각 주소에 VPN 식별자를 접두사로 붙여 VPN 내와 공용 인터넷 내에서 고유한 주소를 생성하여 이 문제를 해결합니다. 또한 각 VPN에는 해당 VPN에 대한 라우팅 정보만 포함하는 고유한 VPN별 라우팅 테이블이 있습니다.

VPLS

VPLS(가상 프라이빗 LAN 서비스)를 사용하면 지리적으로 분산된 고객 사이트를 마치 동일한 LAN에 연결된 것처럼 연결할 수 있습니다. 여러 면에서 레이어 2 VPN처럼 작동합니다. VPLS 및 레이어 2 VPN은 동일한 네트워크 토폴로지를 사용하며 기능은 비슷합니다. 고객 네트워크 내에서 발생하는 패킷은 먼저 CE 디바이스로 전송됩니다. 그런 다음 서비스 프로바이더의 네트워크 내에 있는 PE 라우터로 전송됩니다. 패킷은 MPLS LSP를 통해 서비스 프로바이더의 네트워크를 통과합니다. 송신 PE 라우터에 도착한 다음 대상 고객 사이트의 CE 디바이스로 트래픽을 전달합니다.

VPLS의 주요 차이점은 패킷이 포인트 투 멀티포인트 방식으로 서비스 프로바이더의 네트워크를 통과할 수 있다는 것입니다. 이는 CE 디바이스에서 발생한 패킷이 VPLS의 PE 라우터로 브로드캐스트될 수 있음을 의미합니다. 반면 레이어 2 VPN은 포인트 투 포인트 방식으로만 패킷을 전달합니다. 레이어 2 VPN이 제대로 작동하려면 PE 라우터가 CE 디바이스에서 수신한 패킷의 대상을 알아야 합니다.

레이어 3 네트워크에서만 VPLS(Virtual Private LAN Service)를 구성하여 MPLS 백본을 통해 지리적으로 분산된 이더넷 근거리 통신망(LAN) 사이트를 서로 연결할 수 있습니다. VPLS를 구현하는 ISP 고객의 경우, 트래픽이 서비스 프로바이더의 네트워크를 통해 이동하더라도 모든 사이트가 동일한 이더넷 LAN에 있는 것처럼 보입니다. VPLS는 MPLS 지원 서비스 프로바이더 네트워크에서 이더넷 트래픽을 전송하도록 설계되었습니다. 어떤 면에서 VPLS는 이더넷 네트워크의 동작을 모방합니다. VPLS 라우팅 인스턴스로 구성된 PE 라우터는 CE 디바이스로부터 패킷을 수신하면 먼저 VPLS 패킷의 대상에 대한 적절한 라우팅 테이블을 확인합니다. 라우터에 대상이 있는 경우 적절한 PE 라우터로 전달합니다. 대상이 없는 경우 동일한 VPLS 라우팅 인스턴스의 구성원인 다른 모든 PE 라우터에 패킷을 브로드캐스트합니다. PE 라우터는 패킷을 CE 디바이스로 전달합니다. 패킷의 의도된 수신자인 CE 디바이스는 패킷을 최종 대상으로 전달합니다. 다른 CE 디바이스는 이를 폐기합니다.

가상 라우터 라우팅 인스턴스

VPN 라우팅 및 포워딩(VRF) 라우팅 인스턴스와 같은 가상 라우터 라우팅 인스턴스는 각 인스턴스에 대해 별도의 라우팅 및 포워딩 테이블을 유지합니다. 그러나 VRF 라우팅 인스턴스에 필요한 많은 구성 단계는 가상 라우터 라우팅 인스턴스에 필요하지 않습니다. 특히, P 라우터 간에 경로 식별자, 라우팅 테이블 정책( vrf-export, vrf-import및 route-distinguisher 명령문) 또는 MPLS를 구성할 필요가 없습니다.

그러나 가상 라우터 라우팅 인스턴스에 참여하는 각 서비스 프로바이더 라우터 간에 별도의 논리적 라우터 인터페이스를 구성해야 합니다. 또한 서비스 프로바이더 라우터와 각 라우팅 인스턴스에 참여하는 고객 라우터 간에 별도의 논리적 인터페이스를 구성해야 합니다. 각 가상 라우터 인스턴스에는 참여하는 모든 라우터에 고유한 논리적 인터페이스 집합이 필요합니다.

그림 1 은 작동 방식을 보여줍니다. 서비스 프로바이더 라우터 G 및 H는 가상 라우터 라우팅 인스턴스 빨간색과 녹색에 대해 구성됩니다. 각 서비스 프로바이더 라우터는 각 라우팅 인스턴스에 하나씩 두 개의 로컬 고객 라우터에 직접 연결됩니다. 서비스 프로바이더 라우터는 또한 서비스 프로바이더 네트워크를 통해 서로 연결됩니다. 이러한 라우터에는 4개의 논리적 인터페이스가 필요합니다. 로컬로 연결된 각 고객 라우터에 대한 논리적 인터페이스 와 각 가상 라우터 인스턴스에 대해 두 서비스 프로바이더 라우터 간에 트래픽을 전달하는 논리적 라우터 인터페이스입니다.

레이어 3 VPN에는 이러한 구성 요구 사항이 없습니다. PE 라우터에서 여러 레이어 3 VPN 라우팅 인스턴스를 구성하는 경우, 모든 인스턴스는 동일한 논리적 인터페이스를 사용하여 다른 PE 라우터에 도달할 수 있습니다. 이는 레이어 3 VPN이 다양한 라우팅 인스턴스로 들어오고 나가는 트래픽을 구별하는 MPLS(VPN) 레이블을 사용하기 때문에 가능합니다. 가상 라우터 라우팅 인스턴스에서와 같이 MPLS 및 VPN 레이블이 없으면 서로 다른 인스턴스에서 트래픽을 분리하기 위해 별도의 논리적 인터페이스가 필요합니다.

서비스 프로바이더 라우터 간에 이러한 논리적 인터페이스를 제공하는 한 가지 방법은 라우터 간에 터널을 구성하는 것입니다. 서비스 프로바이더 라우터 간에 IP 보안(IPsec), 일반 라우팅 캡슐화(GRE) 또는 IP-IP 터널을 구성하여 가상 라우터 인스턴스에서 터널을 종료할 수 있습니다.