엄청난 잠재력의 MPLS VPN, 아직은 미성숙
상태바
엄청난 잠재력의 MPLS VPN, 아직은 미성숙
  • Network Computing
  • 승인 2002.07.24 00:00
  • 댓글 0
이 기사를 공유합니다

지난 해 우리는 MPLS(Multiprotocol Label Switching)가 ATM 및 프레임 릴레이와 같은 네트워크를 통과하는 경로를 만들어내며, 동시에 IP의 유연성을 유지함으로써 패킷들이 목적지에 효율적으로 도달할 수 있게 해준다고 설명한 바 있다. 아마도 최근에는 MPLS VPN에 대한 말들을 들어보았을 것이다. 많은 기업 고객들에게 있어 MPLS 회선을 VPN이라고 하는 것은 혼란스러운 일이다. 결국 MPLS VPN은 암호화되지 않으며, 심지어 인터넷을 가로지르지도 않기 때문이다.

MPLS 표준은 수년 동안 오븐 속에 있었지만, 아직도 완전히 구워지지 않았으며, 서비스 사업자용으로 나와 있는 제품들도 몇 되지 않는다. 대다수 기업들은 미성숙하고 안전하지 못한 시스템인 것처럼 보이는 것에는 거의 관심을 기울이지 않는다.

잘못된 것처럼 보이긴 하지만, MPLS 회선은 하나의 VPN이라고 정당하게 불릴 수 있다. IPsec VPN은 인터넷을 가로지르는 하나의 회선을 만들어내는 반면, MPLS는 서비스 사업자의 네트워크를 가로지르는 회선을 만들어낸다. 그렇다면 암호화되지 않기 때문에 MPLS 회선의 비밀성은 떨어질까? 그렇기도 하고 아니기도 하다.

MPLS VPN들은 서비스 사업자 부문이기 때문에 기업에서는 이것을 무시해도 될까? 그렇지 않다. 대다수 기업들은 MPLS를 이행하지 않겠지만, 점점 더 많은 사업자들이 MPLS를 이용해 기업용 왠 회선을 설비할 것이다. MPLS 서비스를 관리하기 위해서는 오늘날 ATM이나 프레임 릴레이 서비스에서 필요로 하는 것과 마찬가지로 종단간 SLA(Service Level Agreement)가 필요할 것이다. 주목해볼 만한 멋진 가능성은 MPLS VPN을 이용한 주문형 자가 설비 왠 회선의 출현이다.

신구의 조화

모든 MPLS 애플리케이션들은 MPLS 라벨에 의해 생성되는 새 어드레스 공간에서 생겨난다. MPLS 라벨은 레이어 2 및 레이어 3 인프라와 공존하면서 트래픽 복제를 결정성으로 만든다. 이것은 이더넷 가상랜에서의 태깅(tagging)과 유사하지만, 다중 프로토콜로 적용된다.

MPLS는 그 속도와 트래픽 처리 능력으로 인해 서비스 사업자에게는 매우 중요하다. 즉 사업자들은 네트워크 코어에서의 IP를 활용하면서 동시에 대역폭이 코어에서 사용되는 방안에 대한 제어를 관리하기 위해 이것을 배치하고 있다. IP 유연성과 트래픽 처리 능력의 결합이야말로 MPLS의 장점이다. 게다가 서비스 사업자들은 맨(MAN) 이더넷과 같은 보다 새로운 가입자 회선 액세스 프로토콜로 이동하면서 계속 프레임 릴레이와 ATM을 액세스 방안으로 사용하고 있다. 이러한 낡은 것과 새로운 것의 혼합은 기존 장비의 가치를 보존하면서 고객을 마이그레이팅할 수 있는 방안을 제공한다.

MPLS 라벨은 경로, 즉 LSP(Label Switch Path)에게 하나의 인덱스며, 따라서 이 라벨은 목적지 IP 어드레스에서 가장 긴 매치를 시키기보다는 각각의 홉(hop)에서 다음 홉의 행동을 인덱싱한다. MPLS는 속도를 높이는 것 외에도, 레이어 3 어드레스 투명성, 프라이버시, 확장성, 그리고 확실히 정의되는 관리 경계선 등과 같은 몇 가지 이점들을 제공한다.

MPLS VPN 표준

MPLS VPN의 역할을 혼란스럽게 하는 것은 현재 제대로 정의 및 이행되는 표준이 없다는 사실이다. 50가지가 넘는 MPLS 표준과 초안들이 돌아다니고 있으며, 이들 중 15개는 MPLS VPN에 대한 것이다.

MPLS VPN 표준은 MPLS 표준을 이루는 것과 동일한 제안서 그룹에 속해 있지만 IETF 표준을 제안하는 MPLS VPN 워크그룹들이 별도로 있다. 예를 들어 PPVPN(Provider Provisioned Virtual Private Network)은 MPLS VPN 보안, 확장성 및 관리성에 대한 베스트 프랙티스를 제안하기 위해 VPN 프레임워크를 만드는 작업을 하고 있다.

PPVPN 그룹이 고려하고 있는 VPN의 세 가지 기본 유형은 MPLS BGP(Border Gateway Protocol) VPN, MPLS 버추얼 라우터(Virtual Router), 그리고 MPLS 레이어 2 VPN이다. PPVPN 워킹그룹은 PWE3(Pseudo Wire Emulation Edge to Edge) 워킹그룹과 협조 작업을 하는데, 이 워킹그룹에서는 레이어 1과 2에서 ATM 및 MPLS 네트워킹 패브릭을 통한 종단간 접속 터널링에 대한 표준을 만들어내고 있다.

마지막으로, 레이어 2 VPN이 현재 IETF PWE3 워킹그룹에 있는 마티니 드레프트(Martini draft)에 규정돼 있다. 이 개념은 MPLS 안에서 이더넷, 프레임 릴레이, ATM 및 PPP(Point-to-Point Protocol) 등을 터널링한다는 것이다. PWE3는 다른 유사한 표준들에 대한 작업도 진행 중이지만, 마티니가 서비스 사업자들로부터 가장 많은 주목을 받고 있다.

가중되는 혼란

혼란을 더욱 가중시키는 것은, VPN이란 용어가 MPLS에 적용될 때 보통 의미하는 것과 다르게 사용된다는 것이다. VPN은 레이어 3 프로토콜이 타고 다니는 암호화된 터널로서 정의돼 왔다. 암호화는 암호화된 패킷의 어드레싱과 데이터를 읽을 수 없게 만들며, 따라서 전용이다. 이 암호화된 페이로드는 이것을 네트워크에서 전달해주는 다른 패킷 안에 위치한다. 암호화된 패킷은 도착과 함께 제거 및 암호해제된다.

MPLS VPN은 또한 IPsec이나 PPTP(Point-to-Point Tunneling Protocol) VPN과 마찬가지로 PVC(Private Virtual Circuit)지만, 여기서 그 유사성은 끝이 난다. MPLS VPN에서는 프라이버시가 봉입(encapsulation)이나 암호화에서 나오는 것이 아니다. 사실, 암호화는 전혀 없다. 프라이버시는 패킷들의 MPLS 라벨을 기반으로 한 패킷 분리에서 비롯된다. 특정 라벨에 대한 트래픽은 그 LSP를 따라 LSR(Label Swith Router)들에 의해서만 읽힌다.

정상적 IP 라우팅 방안은 MPLS 패브릭 안에서는 적용되지 않으며, MPLS 라벨만이 트래픽 전달을 위해 읽힌다. 무슨 말인지 혼란스럽다면, 이런 차원의 보안을 ATM이나 프레임 릴레이 PVC를 통한 데이터 흐름이 역시 암호화되지 않는 기존 레이어 2 프로토콜 링크에 있는 것과 동일하다고 생각하라. 더욱 신경을 날카롭게 만드는 것은, MPLS 헤더가 연결되는 패킷의 암호화를 금지하는 법안이 전혀 없다는 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.