다이나믹 멀티포인트 VPN이란? DMVPN 완벽 정리
다이나믹 멀티포인트 VPN은 조직이 네트워크 운영을 하는 혁신적인 방법을 제공합니다. 각각의 사이트를 일일이 점대 점으로 연결하는 지루한 작업 없이도 여러 지점 사무실들을 기업의 중앙 허브로 연결하는 것을 상상해 보세요. 이 글에서는 DMVPN의 정의와, 작동 방식, 장점, DMVPN 설정을 고려할 때 알아야 할 기타 모든 정보들을 다룹니다.
목차
목차
DMVPN이란? DMVPN의 의미
다이나믹 멀티포인트 가상 사설 네트워크(DMVPN)는 중앙 VPN 서버 또는 “허브”를 통해 데이터를 라우팅 할 필요 없이 “스포크” 라고 하는 여러 개의 원격 사이트들이 서로 직접 안전하게 데이터를 주고 받을 수 있게 하는 네트워크 구성입니다.
네트워크를 자전거 바퀴라고 상상해 보십시오. 허브는 각 바퀴살(스포크)들이 필요한 리소스에 연결하고 접근할 수 있게 해 주는 중앙 지점입니다. 이 연결을 수립하고 나면 바퀴살(스포크)들은 각자의 위치와 상관 없이 서로 직접 통신할 수 있습니다.
이런 정렬 방식은 데이터가 허브를 통과하지 않고도 스포크들 간에 직접 흘러갈 수 있게 하므로 네트워크의 효율성이 향상되고 통신 속도가 올라갑니다.
DMVPN vs. 일반 VPN
DMVPN은 급변하는 니즈를 가진 대기업들을 위한 유연하고도 확장 가능한 네트워크 솔루션을 제공합니다. 네트워크 경로를 자동으로 업데이트 하여 장소 추가 및 제거를 간소화 하여서, 고전적인 VPN보다 노동 집약적이지 않습니다.
추가적으로, DMVPN은 초기 설정 후에 사이트 간의 직접 연결을 활성화하여 네트워크의 효율성을 향상시키는데, 이로 인해 중앙 허브의 속도 저하를 예방해 줍니다. 기존의 VPN들은 작고 정적인 네트워크에 적합하였으나, 네트워크가 확장될 수록 고정된 다수의 연결을 관리하는 것이 더 복잡해지고 자원 집약적일 수 있습니다.
DMVPN vs. 메쉬 네트워크
DMVPN 시스템에서 필요에 따라 허브를 우회하는 스포크 투 스포크(spoke-to-spoke) 터널을 구축할 수 있습니다. 마찬가지로, 메쉬 네트워크는 네트워크 변화에 따라서 자동으로 데이터를 재 라우팅 합니다. 두 시스템 모두 불필요한 홉과 잠재적 지연 시간을 줄임으로써 네트워크 효율성을 최적화 합니다.
DMVPN과 메쉬 네트워크 중에 선택을 내리는 것은 기본적으로 해당 배포 필요사항에 따라 좌우됩니다. 중앙 집중형 통제방식과 쉬운 구성을 우선시 한다면 DMVPN이 더 적합합니다. 반대로, 가동 시간을 최대화하고 높은 결함 허용성을 원한다면 메쉬 네트워크가 더 나은 선택지 입니다.
DMVPN은 어떻게 작동하나요?
DMVPN은 지점끼리 서로 공용 WAN이나 인터넷 연결을 통해서 직접 통신할 수 있도록 하여 작동합니다. 이렇게 설정하면, 각각의 원격 사이트가 VPN 라우터와 방화벽 집중기(Firewall Concentrator)를 통해 회사 헤드쿼터의 VPN 허브로 연결되도록 설정됩니다.
VoIP (Voice over IP) 통화를 할 때 처럼 두개의 스포크가 데이터를 교환해야 할 때, 한 쪽의 스포크가 다른 쪽 스포크의 현재 동적 IP 주소를 얻어내기 위해 허브에 액세스합니다. 시작 스포크가 목적지 IP 주소를 얻어냈으면, 이제 다른 쪽 스포크와 직접 동적 IPsec VPN 터널을 수립할 수 있습니다. 이렇게 집중식 허브 앤 스포크 모델을 활용하여 설정하면 영구적인 VPN 연결이 필요하지 않습니다.
고전적인 스포크와 허브 사이의 VPN 연결은 영구적인 스포크 투 허브(spoke-to-hub) 터널을 포함하지만, DMVPN은 수요에 따른 스포크 투 스포크 터널을 생성함으로써 동적인 접근방식을 도입합니다. 이 동적인 IPsec VPN 터널은 필요한 경우에만 구축됩니다.
DMVPN의 구성 요소
DMVPN은 스포크, 허브, VPN 라우터, 그리고 방화벽 집중기 이외에도 4가지 추가 구성 요소들을 가지고 있습니다:
- 멀티포인트 GRE (mGRE)
- NHRP (Next Hop Resolution Protocol)
- 동적 라우팅 프로토콜
- IPsec (필수는 아니지만 권장 사항)
멀티포인트 GRE
먼저, mGRE가 무엇인가요? Multipoint Generic Routing Encapsulation(mGRE)란 다중 스포크와 중앙 허브를 연결하는 멀티포인트 GRE 터널을 만들기 위한 DMVPN 분배에 사용되는 프로토콜입니다. 두 개의 엔드포인트만 연결하는 기존의 포인트 투 포인트(point-to-point) GRE 터널과 다르게, mGRE 터널은 하나의 VPN 터널로 많은 엔드 포인트에 연결할 수 있습니다.
mGRE 네트워크를 구성원 모두가 모두에게 대화를 할 수 있는 원탁 만찬이라고 생각해 보세요 — 하나의 서버가 독점적으로 대화의 흐름을 제어 하지 않습니다. 우리의 경우에는 대화를 데이터로 생각하면 됩니다. mGRE를 사용하면, 스포크가 DMVPN 네트워크를 통해 서로 직접 통신할 수 있어서, 모든 트래픽이 중앙 허브를 통해 라우트 될 필요가 없어집니다.
NHRP
DMVPN 설정에 있는 Next Hop Resolution Protocol (NHRP) 기능은 디렉토리 서비스로서 스포크 라우터가 서로의 공용 IP 주소를 찾는 것을 적극적으로 돕습니다. 예를 들어, 만약 지점 라우터가 다른 라우터에 연결하기를 원한다면, 목적지 라우터의 공용 IP 주소를 알아내기 위해 NHRP 서버에 쿼리를 보내야 합니다.
NHRP 서버는 캐시를 즉시 확인하여 목적지 IP 주소를 포함한 필요한 정보를 제공합니다. 프로세스가 원활히 동작하여 DMVPN 네트워크 내 라우터 간의 명확하고도 효율적인 통신을 보장합니다.
라우팅 프로토콜
라우팅 프로토콜은 데이터가 네트워크 상에서 이동할 때 최적의 경로를 결정해 줍니다. DMVPN은 EIGRP, OSPF, 그리고 BGP와 같은 동적 라우팅 프로토콜을 지원해 줍니다. 이 프로토콜들은 각각의 강점을 가지고 있어서 서로 다른 다른 네트워크 규모와 유형에 적합합니다. 소규모 네트워크의 경우에는 OSPF를 선호하는 경향이 있습니다. 좀 더 큰 규모의 세팅을 위해서는, EIGRP나 BGP가 좀 더 적합할 수 있습니다.
또한, 라우팅 프로토콜은 네트워크 변화에 따라서 동적으로 조정이 가능합니다. 예를 들어, 만약 새로운 스포크 라우터가 추가되었거나 기존 링크가 실패한 경우, 라우팅 프로토콜이 이런 변화를 반영하여 자동으로 라우팅 테이블을 업데이트합니다.
IPsec
DMVPN 설정에서 IPsec이 허브 라우터와 스포크 라우터 사이를 이동하는 데이터를 암호화합니다. 이 암호화는 민감 정보를 보호하며 공공 네트워크 사이로 이동할 때에도 기밀로 유지해 줍니다.
DMVPN 단계
DMVPN의 설계 모델은 3단계로 구성되어 있습니다.
1단계
DMVPN의 가장 초기 단계에서, 모든 스포크 투 스포크 트래픽은 중앙 허브 라우터를 거쳐야 합니다. 각 스포크는 표준 포인트 투 포인트 GRE 터널 인터페이스를 사용하여 허브 라우터에 연결하며, 다른 스포크에 도달하기 위해서 서머리 또는 기본 루트만 필요로 합니다. 이런 직접적인 방식으로 라우팅 설정을 단순화 할 수 있고, 여러개의 원격 지점을 가진 네트워크 관리를 용이하게 합니다.
2단계
초기에는 스포크 간의 모든 트래픽이 중앙 허브를 통과해서 가야 하므로, 네트워크가 커질 수록 병목 현상이 발생할 수 있습니다. 하지만 DMVPN 2단계는 허브를 통하는 초기 접촉 이후에 스포크가 직접 연결을 수립할 수 있도록 함으로써 이를 해결합니다. 허브에서 받은 정보를 활용하여 각각의 스포크들이 서로 직접 터널을 수립하고 IP 주소와 보안 파라미터를 교환합니다.
이런 설정은 데이터가 허브를 통해 라우팅 되지 않고도 스포크 간에 직접 이동할 수 있도록 합니다. 이 직접적인 연결은 고유한 IP 주소로 식별되고 다수의 IPsec 터널에 의해 수행되는데, 연결이 설정된 기간 또는 더이상 필요하지 않을 때까지 활성화 된 상태로 있습니다.
3단계
DMVPN 3단계는 스포크들이 각자의 연결을 관리하고 허브로부터 오는 최소한의 도움만으로 라우팅을 하도록 하여 독립성과 효율성을 증대시킵니다. 허브 DMVPN 라우터가 초기 연결을 수립하고 나면 스포크들이 OSPF나 EIGRP와 같은 프로토콜을 이용해 라우팅 정보와 트래픽을 직접 공유합니다.
NHRP는 스포크가 네트워크의 레이아웃을 추적할 수 있도록 돕는데, 자신의 경로를 수립하고 처리할 수 있도록 해 줍니다. 이 단계에서는 각각의 터널이 고유한 터널 키를 할당하여 트래픽이 구별되어 각각의 동적으로 수립된 경로를 통해 올바르게 라우트 되도록 합니다.
DMVPN의 장점
다이나믹 멀티포인트 VPN을 설치하면 여러 장점이 있습니다.
저렴한 운영비
DMVPN은 설정 작업을 줄여 광역 통신망(WAN) 관리를 단순화 합니다. 각각의 연결을 위해 복잡한 보안 세팅을 구성하거나 새 스포크를 추가하기 위해 중앙 네트워크 허브를 수정할 필요가 없습니다. 게다가, DMVPN은 네트워크 사이트 간의 값비싼 전용 임대 회선을 사용할 필요가 없습니다.
유연성 증대
DMVPN은 동적으로 새로운 사이트를 추가하고 트래픽 라우팅을 관리하여 네트워크 관리 업무를 단순화합니다. 단순화된 허브 라우터 설정은 네트워크 관리자들이 해야 하는 수동 설정 업무를 줄여주고, 복잡도와 네트워크 관리의 오버헤드 또한 낮춥니다.
또한, DMVPN의 유연한 설계는 조직이 전체적인 네트워크 인프라를 크게 변경하지 않고도 손쉽게 사이트를 추가하거나 제거 할 수 있게 합니다. 이 기능은 네트워크를 동적으로 확장해야 하는 성장중인 비즈니스에 이상적입니다.
대역폭 감소
DMVPN 설정에서 원격 사이트 간의 직접적인 연결은 대역폭 사용을 향상시킬 수 있습니다. 기존의 허브 앤 스포크 모델에서는, 허브가 모든 트래픽을 관리하므로 특히 피크 시간대에 혼잡이 발생할 수도 있습니다. 인터넷 서비스 제공업체(ISP)의 대역폭 제한으로 VPN 속도에 영향을 받을 수도 있지요. DMVPN을 사용하면 데이터가 하나의 원격 사이트에서 허브를 뛰어넘어서 바로 다른 지점으로 이동할 수 있습니다. 이런 직접적인 통신이 트래픽을 균등하게 분배하여 지터(Jitter)를 줄여 줍니다.