| 리포트 | 기술문서 | 테크-블로그 | 글로벌 블로그 | 원샷 갤러리 | 통신 방송 통계  | 한국 ICT 기업 총람 |

제품 검색

| 네트워크/통신 뉴스 | 기술자료실 | 자유게시판 |  
 
 
섹션 5G 4G LTE C-RAN/Fronthaul Gigabit Internet IPTV/UHD IoT SDN/NFV Wi-Fi Video Streaming KT SK Telecom LG U+ OTT Network Protocol CDN YouTube Data Center
 
스폰서채널 |

 

  스폰서채널 서비스란?
SD-WAN의 또 하나의 핵심기술 - 네트워크 분리 (Network Segmentation)
SD-WAN and Network Segmentation
June 12, 2017 | By 손장우 @ Netmanias (tech@netmanias.com)
코멘트 (0)
2

대규모 기업의 각 거점(Site)내에서는 응용별, 부서별, 내부인/외부인(협력사/게스트) 별로 각 거점내 자원에 대한 액세스/통신 권한을 구분하여 여러 개의 security zone(segment)을 구성한다.

 

아래 그림에 security zone의 예로 Intranet zone, PCI DSS zone, VoIP zone, Guest Access zone, 협력사 zone이 나타나 있다.

 

거점내, 즉 LAN에서는 세그먼트별로 VLAN을 할당하여 LAN망을 논리적으로 분리(Segmentation)하고, 각 세그먼트간에 통신이 필요한 경우는 해당 트래픽 Flow를 Firewall에 등록하여 세그먼트간 소통가능하게 해준다.     

 

* 네트워크 분리 ~ Security zone ~ Network Segmentation ~ Network Isolation ~ Network Slicing ~ Multi-tenant ~ vpn/vlan 등은 같은 내용의 다른 표현이다.

 

 

LAN뿐만 아니라, 각 거점을 연결하는 WAN을 통해서도 각 Segments간에 네트워크 분리를 제공해주어야 한다. 즉, LAN-WAN-LAN에 이르는 End-to-end Segmentation이 필요하다.

 

* 이 때 Segment별로 거점간 Connectivity도 다를 수 있고, QoS 요구 사항도 다를 수 있다. 

 

End-to-end segmentation은 복수의 거점을 가진 기업의 전체 네트워크(LAN, WAN)를 부서별, 응용별, 내부인/외부인별로 논리적으로 분리해줌으로써 기업내 보안을 강화시켜준다. 즉, 하나의 Segment가 해킹이 되도 나머지 Segment들은 Attacker에게 보이지 않기 때문에 자연스레 Attack의 범위가 제한된다(피해 지역이 격리된다).

 

* 통신사업자들은 오래 전부터 자신의 End-to-end Network (MPLS 백본, 통신사업자 데이터센터, 등)를 segmentation해서 운영하고 있다. 세그먼트별로 망을 관리(토폴러지, 성능, 장애 등)할 수 있어 운용도 매우 능률적이다.

 

 

통상적으로 WAN 구간에서의 네트워크 분리는 통신사업자가 제공하는 MPLS L3 VPN 서비스를 통해 구현된다. 아래 그림에서 보듯이 각 거점의 WAN uplink는 각 Segment별로 VLAN으로 분리된다. WAN망내의 MPLS PE 라우터가 도착 패킷의 VLAN ID를 보고 해당하는 VRF로 패킷을 보내고, VRF는 해당 VPN으로 패킷을 포워딩한다(vc-lsp label). Egress PE에서는 역과정을 거쳐 목적지 거점으로 패킷을 전달하고, End-to-end Segmentation, 근까 End-to-end VPN이 구현된다. 

 

 

차세대 WAN 기술로 떠오르고 있는 SD-WAN에서도 End-to-end Segmentation을 지원하는 데, MPLS와는 아주 다른 방식으로 제공한다.

 

SD-WAN 벤더들은 각자 고유한 방식으로 End-to-end Segmentation을 지원하며, 본 블로그에서는 Viptela의 네트워크 segmentation방식에 대해서 알아 본다.  

 

* Viptela의 고객인 Gap과 Kindred Healthcare는 Overlay SD-WAN상에 복수개의 segment별 VPN을 만들어, 하나의 SD-WAN을 논리적으로 복수개의 전용망처럼 실제로 사용하고 있다. Gap(의류 쇼핑몰)의 경우 6개 VPN (Intranet, PCI-DSS, VoIP, Kiosk, CCTV, Guest Wi-Fi)를 SD-WAN상에서 구현했다. 

 

각 거점 (본사, 지사, DC, Public Cloud,...)에 SD-WAN CPE (Viptela vEdge)가 도입되고, 각 SD-CPE간에는 하나의 IPsec tunnel이 생성된다. Viptela는 SD-WAN CPE간에 Segment별로 IPsec Tunnel을 생성하지 않고, 하나의 IPsec tunnel내에 여러 개의 슬라이스(즉, VPN)을 생성한다. 

 

어떻게? 아래 그림처럼 IPsec 패킷내에 4 바이트의 VPN 필드(Proprietary)를 삽입한다.

 

SD-WAN CPE (Viptela vEdge)는 지사 LAN에서 유입되는 패킷들을 물리적인 포트 또는 VLAN ID, Prefix를 보고 어느 VPN에 속한 패킷인지 알아내고(Classification), 해당 VPN ID를 붙여 목적지 터널 엔드포인트로 보낸다. 수신측 SD-WAN CPE는 VPN ID를 보고 해당하는 LAN port (물리 포트 또는 VLAN)로 패킷을 포워딩한다     

 

 

통상적으로 SD-WAN은 복수개의 WAN (Hybrid WAN)을 사용한다. 아래 예는 MPLS망과 인터넷망을 통해 지사와 본사 또는 데이터센터를 연결하는 경우로, VPN 1, 2의 실제 underlay 경로는 두 개가 된다. 각 VPN내에서 Application Aware Routing이 적용된다. 

 

 

타 SD-WAN 벤더들은 또 어떤 방식으로 End-to-end Segmentation을 지원하는 지 추후 블로그들 통해 살펴보도록 하자.

 

 

 

참고: Viptela고객인 Kindred Healthcare의 Segmentation 사례

 

 


다음 문서도 보세요

 

SD-WAN 벤더 솔루션 비교 Version 1.1 넷매니아즈 원샷 갤러리

 

 
Thank you for visiting Netmanias! Please leave your comment if you have a question or suggestion.
View All (973)
5G (68) AI (5) ALTO (1) AR (2) ARP (6) AT&T (1) Akamai (5) Authentication (5) BT (1) Backhaul (2) Big Data (2) Bridging (5) C-RAN/Fronthaul (17) CDN (20) CIoT (2) CPRI (6) Carrier Aggregation (5) Charging (2) China Mobile (2) Cisco (6) CoMP (3) Comcast (1) DHCP (6) DNS (15) Data Center (15) EDGE (11) EMM (1) EPS Bearer (7) Ethernet (3) FTTH (8) GSLB (5) Gigabit Internet (17) Google (17) Google Global Cache (8) Google TV (1) HLS (5) HTTP (5) HTTP Adaptive Streaming (7) HTTP Progressive Download (2) Handover (5) Huawei (1) IGMP (3) IP (6) IP Allocation (8) IP Routing (20) IPSec (4) IPTV (25) IoST (2) IoT (45) KT (45) Korea (8) Korea ICT Vendor (1) L3 Switch (5) LG U+ (24) LTE (99) LTE-A (10) LTE-A Pro (1) LTE-M (1) LTE-U (3) LoRa (5) MEC (11) MPLS (3) MWC 2013 (1) MWC 2015 (3) MWC 2016 (2) MWC 2017 (1) Mobile IPTV (1) Multi-Screen (1) Multicast (2) NAT (9) NB-IoT (6) NTT Docomo (1) Netflix (5) Network Protocol (49) Network Slicing (3) OSPF (3) OTT (20) Operator CDN (1) P2P (3) PS-LTE (3) Pooq (2) QoS (5) RCS (1) RRH (1) Request Routing (3) SD-WAN (8) SDN/NFV (34) SK Broadband (1) SK Telecom (38) Samsung (2) Security (8) Self-Driving (3) Shortest Path Tree (2) Small Cell (3) Spectrum Sharing (1) TAU (2) Transparent Caching (9) UHD (7) VLAN (2) VPN (3) VR (3) Video Streaming (22) VoLTE (1) VoWiFi (1) WAN Optimization (1) Wi-Fi (30) WiBro(WiMAX) (2) YouTube (16) eICIC (1) eMBMS (1) ePDG (6) u+ tv G (4) 로컬 5G (1)

 

 

     
         
     

 

     
     

넷매니아즈 회원 가입 하기

2019년 1월 현재 넷매니아즈 회원은 49,000+분입니다.

 

넷매니아즈 회원 가입을 하시면,

► 넷매니아즈 신규 컨텐츠 발행 소식 등의 정보를

   이메일 뉴스레터로 발송해드립니다.

► 넷매니아즈의 모든 컨텐츠를 pdf 파일로 다운로드

   받으실 수 있습니다. 

     
     

 

     
         
     

 

 

비밀번호 확인
코멘트 작성시 등록하신 비밀번호를 입력하여주세요.
비밀번호