대규모 기업의 각 거점(Site)내에서는 응용별, 부서별, 내부인/외부인(협력사/게스트) 별로 각 거점내 자원에 대한 액세스/통신 권한을 구분하여 여러 개의 security zone(segment)을 구성한다.

 

아래 그림에 security zone의 예로 Intranet zone, PCI DSS zone, VoIP zone, Guest Access zone, 협력사 zone이 나타나 있다.

 

거점내, 즉 LAN에서는 세그먼트별로 VLAN을 할당하여 LAN망을 논리적으로 분리(Segmentation)하고, 각 세그먼트간에 통신이 필요한 경우는 해당 트래픽 Flow를 Firewall에 등록하여 세그먼트간 소통가능하게 해준다.     

 

* 네트워크 분리 ~ Security zone ~ Network Segmentation ~ Network Isolation ~ Network Slicing ~ Multi-tenant ~ vpn/vlan 등은 같은 내용의 다른 표현이다.

 

 

LAN뿐만 아니라, 각 거점을 연결하는 WAN을 통해서도 각 Segments간에 네트워크 분리를 제공해주어야 한다. 즉, LAN-WAN-LAN에 이르는 End-to-end Segmentation이 필요하다.

 

* 이 때 Segment별로 거점간 Connectivity도 다를 수 있고, QoS 요구 사항도 다를 수 있다. 

 

End-to-end segmentation은 복수의 거점을 가진 기업의 전체 네트워크(LAN, WAN)를 부서별, 응용별, 내부인/외부인별로 논리적으로 분리해줌으로써 기업내 보안을 강화시켜준다. 즉, 하나의 Segment가 해킹이 되도 나머지 Segment들은 Attacker에게 보이지 않기 때문에 자연스레 Attack의 범위가 제한된다(피해 지역이 격리된다).

 

* 통신사업자들은 오래 전부터 자신의 End-to-end Network (MPLS 백본, 통신사업자 데이터센터, 등)를 segmentation해서 운영하고 있다. 세그먼트별로 망을 관리(토폴러지, 성능, 장애 등)할 수 있어 운용도 매우 능률적이다.

 

 

통상적으로 WAN 구간에서의 네트워크 분리는 통신사업자가 제공하는 MPLS L3 VPN 서비스를 통해 구현된다. 아래 그림에서 보듯이 각 거점의 WAN uplink는 각 Segment별로 VLAN으로 분리된다. WAN망내의 MPLS PE 라우터가 도착 패킷의 VLAN ID를 보고 해당하는 VRF로 패킷을 보내고, VRF는 해당 VPN으로 패킷을 포워딩한다(vc-lsp label). Egress PE에서는 역과정을 거쳐 목적지 거점으로 패킷을 전달하고, End-to-end Segmentation, 근까 End-to-end VPN이 구현된다. 

 

 

차세대 WAN 기술로 떠오르고 있는 SD-WAN에서도 End-to-end Segmentation을 지원하는 데, MPLS와는 아주 다른 방식으로 제공한다.

 

SD-WAN 벤더들은 각자 고유한 방식으로 End-to-end Segmentation을 지원하며, 본 블로그에서는 Viptela의 네트워크 segmentation방식에 대해서 알아 본다.  

 

* Viptela의 고객인 Gap과 Kindred Healthcare는 Overlay SD-WAN상에 복수개의 segment별 VPN을 만들어, 하나의 SD-WAN을 논리적으로 복수개의 전용망처럼 실제로 사용하고 있다. Gap(의류 쇼핑몰)의 경우 6개 VPN (Intranet, PCI-DSS, VoIP, Kiosk, CCTV, Guest Wi-Fi)를 SD-WAN상에서 구현했다. 

 

각 거점 (본사, 지사, DC, Public Cloud,...)에 SD-WAN CPE (Viptela vEdge)가 도입되고, 각 SD-CPE간에는 하나의 IPsec tunnel이 생성된다. Viptela는 SD-WAN CPE간에 Segment별로 IPsec Tunnel을 생성하지 않고, 하나의 IPsec tunnel내에 여러 개의 슬라이스(즉, VPN)을 생성한다. 

 

어떻게? 아래 그림처럼 IPsec 패킷내에 4 바이트의 VPN 필드(Proprietary)를 삽입한다.

 

SD-WAN CPE (Viptela vEdge)는 지사 LAN에서 유입되는 패킷들을 물리적인 포트 또는 VLAN ID, Prefix를 보고 어느 VPN에 속한 패킷인지 알아내고(Classification), 해당 VPN ID를 붙여 목적지 터널 엔드포인트로 보낸다. 수신측 SD-WAN CPE는 VPN ID를 보고 해당하는 LAN port (물리 포트 또는 VLAN)로 패킷을 포워딩한다     

 

 

통상적으로 SD-WAN은 복수개의 WAN (Hybrid WAN)을 사용한다. 아래 예는 MPLS망과 인터넷망을 통해 지사와 본사 또는 데이터센터를 연결하는 경우로, VPN 1, 2의 실제 underlay 경로는 두 개가 된다. 각 VPN내에서 Application Aware Routing이 적용된다. 

 

 

타 SD-WAN 벤더들은 또 어떤 방식으로 End-to-end Segmentation을 지원하는 지 추후 블로그들 통해 살펴보도록 하자.

 

 

 

참고: Viptela고객인 Kindred Healthcare의 Segmentation 사례

 

 

---

다음 문서도 보세요

 

SD-WAN 벤더 솔루션 비교 Version 1.1 넷매니아즈 원샷 갤러리