t. eo mpls solution oc0%fc%c8... · 2012-07-16 · mpls 용한 solution 싣망연구 v private...
TRANSCRIPT
‘
MPLS 용한 Solution
、
싣망연구
v Private 개요
、
Kcn. T.‘c_ VPN 서비스특성
a특정 사용자 간에만 통제된 연결 허용
0원격 사용자률 포활한 논리적인 보안망 구성
a공중 통신망 혹은 사셜 통신 기반 공유를 통한 경 제성제공
D동일 몰리 네트워크 상에서 다수의 독립적인 서
비스망형성
a서비스 품질 보장 및 보안 등급 구분
써..". KRNET99
•
,
-309-
K'ors. T.“eo’”
•
목차
o Virtual Private Network 개 요
OVPN 구성기술
。 MPLS 특징
디MPLS를 활용한 VPN 구성 방안 “
hbj.on KRNET99 2
lC'ore. T.‘e_ VPN의 정의
DA private communication network existing within a shared or public network platfonn, often the Intemet
DAllows an enterprise to use public or shared network resources to emulate the characteristics of a private network.
σFlexible shared resources replace more expensive prívate communícatíons resources.
Itbj .on KRNET99
,
•
Korc. T_ ... ’ VPN .Benefits: Customers
1
a 장비 및 네트워크 공유와 운영/관리 위탁에 따른 경저|성
제고
a원격 사용자를 포함한 인트라넷 구성 및 유관 기관과의 엑스트라넷 구성 가능에 따른 사실망 확장
o Redundancy 및 장애 복구 능력이 있는 홍신 사업자 네트 워크 사용율 롱한 서비스의 연속성 (Availability) 향상‘
디 Web 호스팅, 메일/뉴스 서비스 및 디렉토리 서비스 기능 등부가서버스이용가능
n 전용앙 휴축보다는 보깐 훌I 정능의 저하 가능정
hbj .. 꺼 KRNET99
;
‘
!
6 1
f
Market Projections KOftI
Te‘ com VPN Benefits: Service Providers 훌훌 t양g
_\IP‘ p’‘@“·
--510‘·에 ’서 ••• ion
_s.‘ ..... P, ... κ‘r -a..녕<H
‘ •
a통신망 및 서비스 장비 공유에 의한 경제성 확보
--xgi=a
드 ‘
a홍신 서비스 고도화 및 차별화를 통한 상풍성 제
고 a다양한 신규 사셜망 구축 수요 수용을 통한 수익
창
a그러니 전체적eJ 수의l에서 감소 가능징
2001
| 1"'0뼈C‘ Reselπh.19911
1$t9 1997
• KRNET99 뼈;<<’ 7 KRNET99 libj.‘”
VPN Applications K야-
Te‘ com Market Drivers 훌훌짧a
OGrowth and popul따ity ofIP
ONeed to streamline processes and cut time to market
κamoIe Moess
‘ τ~34"
101< .. ‘” 30'(.
| Source: TeleCholce, Inc: I
。... E.C_κttI;!%
’ m‘
ODemand for inter-company communications
σExplosion of busÎness travel, telecommuting and nomadic workers
ONeed for international networks
OIncreasingly distributed computing environments
10 KRNET99 IIhj <<Jtl 9 KRNET9’ 뼈;<<’
‘
•
외국서바스현황 I(ONI
r‘ oc_
•
VPN 구성〕
F
ORemote Access VPNs
OSite-to-Site (IntraIiet) VPNs
OExtranet VPNs
OE-Commerce
, .. ‘년 III! '991 년 ,. , .. ’년 '0. '91’년 ••
• ”’?년 ". '991 년 ‘’ -’991 인 ‘ l
PUot ~ .... t --PSlN. -UUNET
-310-
’l KRNET99 hψ'"""
I
훌훌짧a VPN 제공방안-서비스 칩속 형태
디 Remote Access VPN
OClient-lnitiated VPN -사용자의 PCOft서 직접 사내 LAN 징숙
ONAS-Initiated VPN -VPN Servíce Províder의 POP이| 있 는 NAS로 접 숙
o LAN-to-LAN VPN
o Edge-based VPN -sP의 Edge에서 정속정 ~공올 톨히여 서비스 쳐l공
OCore-based VPN -sP의 core 망때서 차월화된 VPN 서비 A 제공
뻐i- KRNEï99
훌훌t;rg Z겨|층 VPN 구성기술
•
디링크계층레벨의 가상망구성
OATM 혹은 Frame Relay 가상 연결 이용
o다중 프로토콜에 의한 VPN 구성 지원
。 VPN-ID (VPN Identifier) Encaps비ation 혹 은 VPN 라 벨 에 의한 다중 VPN 구성 및 다중화 이득
o MPOA (Multi Protoc이 over A TM) VPN 및 MPLS (Multi
Protocol Label Switching) VPN 방 안 표 준화 중
D 연결형이므로 보안성이 있으나 링크 계층 암호화 기능
은미홉
hbj<<JII KRNEï99
Korcl T.‘ c ..... 3겨|층 VPN 구성기술 (11)
13
.,
OPPTP, L2F 터널링 프로토콜은 현재 사용 가능하며 L2TP 는표준화마무리 단계
a주로 비연결형으로 전달되므로QoS 보장이 어려움 9 이 를 보완 하기 위 한 방안으로 RS VP (Reservation Setup
Protocol), IntServ (lntegrated Services) 및 Di않Seπ (Differentiated Services) 등이 표준 화되 었 거 나 연 구 중 일
a보안기술
뻐i-
OIPSec (Secure IP) 혹은 MPPE(Miπosoft Point-to-Point Encryption) 등에 의 한 암호회
o IKE (Intemet Key Exchange)에 의 한 보 안 기 능 협 상
KRNEï99 17
• •
l l
-311-
훌훌 t앓삐 VPN 구성 방안-겨|층별 구성형태
4계훌 VPN
3 계흥 VPN
2 계흥 VPN
•
Itbj .on KRNEï99 14 ’
•
•
KOrI"W.
r“ .. 01’ 3겨|층 VPN 구성기술 (1)
o 네트워크계층레벨의 가상망구성
a 라우팅 경로 통제, 터널링 (Tunneling) 및 주소 변환 기법 등이용
3라우트 및 주소 여과 (Filte디ng), 정잭기반 라우팅 (P이icy based routing)
o BGP Community
o 원 격 접 속 올 위 한 PPTP (Point-to-Point Tunneling Protocol), L2F (Layer 2 Forwárding) 및 L2TP (Layer 2 Tunneling Protocol) 등 터 널링
ONAT(Network Address Translation)에 의 한 사 힐 주 소 할 당 및 변 환
Mjκ, KRNEï99 , 16
훌훌짧@ 4겨|층 VPN 구성기술
σ트랜스포트 계층 혹은 응용 계층 레벨의 가상망
구성
OTLS (Transport Layer Security) 프 로 토 콜
ODNSSec (Domain Name System Security), LDAP
(Lightweight Directory Access Protocol) 등 디 렉 토 리 서 비스그룹형성
σICQ, Socks 등 다양한 응용 프로그램 존재
hbj~on KRNEï99 18
’
’ 훌훌 t앓a VPN 구성의 기본 고려사항 @룰 g짧% VPN Service Level Agreements
[
DPerfOImance and Scalability
DSecurity
σManagement and Administration
DAccess Coverage
전채 네트워크 가용도 (Availability) 다이얼엽 포트 가용도
종단간지연
지역 루프 (μc허Loop} 가용도
패킷 손실
방화벽 갱신
99πi
99.5%
150되:.잉필멜E.
99π‘
<1’‘ CERT 정보 후
24 시간 이내
l
hbjι” KRNET99 19 h야 ..... KRNET99 m
•
Challenges t.o VPN service 훌툴t앓% 인터넷 기반 VPN 서비스 1<-r“ooc:om
‘
o a variety of protocols in enterprise network, such as IP, IPX, SNA, Appletalk
o private address which is not globally unique
σ Security : privacy in shared network
o QoS : minumum bandwidth, maxìmum delay, jitter and loss
。 Pros
〉저렴한접속비용
〉접속가능영역의광역성
>IP 프로토콜 기반의 새로운 데이터 어플리케이션 확산
e.g. , Microsoft’s NetMeeting 이 IP 망에서도 가능. •
o Cons 〉가용 IP 주소의 제한성
>QoS 제공 기능 미비
hψ .• "" KRNET99 21 hψ'000 KRNET99 n
‘
훌톨¥짧해 Shim layer header •
c。5(3) 1 πL(6) 1 s얘야 bit (1)1 S M M
며 디 디
|밸쁘짝
-----Link layer
header “shim" layer I Network layer
header I header Network layer
data
Carrying label in the shim layer header /
./
hφ."" KRNET99 24
(
-312-
’
훌흉 F$tM ’I띠tiprotocol : above and below MPLS 훌융F$삐 Main driver for MPLS VPN r--
IPv6 IPv4 IPX AppleTaJ k Neiw。rk layer protocols
며 MPLS extends over a variety ofinfrastructures such as ATM, frame relay, SONET, WDM and under IP, IPX,.
。 Forwarding by label swapping without IP processing ... suitable for handling private addresses Label Switching
o Explicit routing as well as topology-driven routing
FDDI ATM Frame Relay
PPP Link laver protocols
... map IP service to connection-oriented infrastructure
... QoS support as well as best-effort service
•
Jtbj .an I;RNET99 n hbjeon "RNET99 u;
훌첼 t앓찌 QoS inMPLS-based VPN
용한 -
구성방안
o End user : define QoS requirement through SLA
(service level agreement) and DS-field
σ QoS-based routing : traffic engineering
o Resource reservation: explicit routing using RSVP
σ Guarantee QoS in MPLS-capable nodes (LSR)
/
./ ./
hbjeon "RNET99 21
훌훌t앓% An MPLS-based VPN* §훌 F앓% Handling private addresses*(I)
VPN manacement
‘’‘18m
Tr.lflc enclneerM’‘ .llor’‘hm‘ Packel w얘1 ‘ lackod I.bel
nl.n2.n3.n4
IP
Private dOIT녕 In Private
doπ1a ln
IP packet wilh d.‘ tinaUon addre‘*'- MPLS.벼sed ne삐or1<
dl.d2.d3.d4
based networl< dLd2.d3.d4
- d te 'rom Be/I Lab. Tech. Journa/
S : source o : destination Ne ’ egress node Nj ; j명ress node
LSR : label switchjng rou\er RSVP : resource reservation α'Otα:이 • cite from 8ell Lab. Tech. Journal
hbjeon "RNET99 29 1rbJeon "RNET99 ,。
H q “
•
훌훌 t앓% Handling private addresses*(II)
디 Ingress LER Ni chooses egress LSR Ne for D . ... LER is aware ofthe topology of the enterprise network (using routing messages coming from the enterprise net、~ork)
... multiple routing instances in the LER : one for every connected VPNs
디 Ingress LER Ni chooses path to reach egress LER Ne (using IP routing infouuation)
hb)",끼
c‘ ‘ RNET99
훌흉 t앓빼 MPLS forVPN
o Strengths o Enables sophisticated traffic engineering OEmploys constraint-based routing to avoid network congestion OSupports both frame relay and ATM
OSimplifies netwðrk planning OWεaknesses
OLooks to other mechanisms (Di ffServ) to define classifications OStill relatively new o Requires backbone network upgrades
hbj~on KRNET99
”
31
33
•
-314-
훌훌 t앓$ Features of MPLS-based VPN
o Independent of enterprise network infrastructure
o Map IP servíces to connection-oriented virtual circuit infrastructure
o QoS capable with sUPPOrt oftraffic engineering tools and traffic management schemes
o Capable of private address handling through label stacking
디 Scalable by using of label merginglaggregation
hbj ... ’ KRNET99 31
@훌 F앓% Future?
The GrandConvergence (Vear 20131) •
• Irbjwn ‘ RNET99 J4
‘
,