[2. 가상화의 원리와 기술] VLAN, 오버레이 네트워크, VPN, SDN, NFV, SD-WAN 이론

VLAN

물리적 네트워크 LAN를 분할하여 논리 네트워크로 분할하는 기술

주로 PORT LAN 기술을 이용한다. 포트별로 번호를 매기고 그룹화 한다. 다른 포트간의 통신이 불가능하다.

따라서 다른 포트간의 통신을 제공하기 위한 논리 네트워크 분할인 VLAN을 구축한다.

이를 구현한 기술은 TAG LAN이다. TAG라는 식별자(데이터 프레임)를 이용하여 해당 데이터를 전송할 그룹을 나누는 기술이다.

( 혹시 서로 다른 VLAN 이여도 라우팅 기능의 장비를 통해 전송 가능하다. )

그럼 중앙의 Trunk Port란, 복수개의 VLAN에 소속된 포트를 Trunk port라고 한다. ( 그림의 왼쪽 스위치는 Vlan10,20,30에 속해있음 )

참고

LAN은 OSI 7 계층 중 2계층 데이터링크 계층에 속한다. 2계층은 예를 들어, 이더넷 스위치를 사용하여 컴퓨터 간에 프레임을 전송하고 MAC (Media Access Control) 주소를 사용하여 데이터 프레임을 식별한다.

보통의 데이터 프레임 ( 초록색 제외 )

추가: 꼭 TAG로 식별하여 동작하는 VLAN만 있는것이 아니다. ACCESS VLAN 기술을 TAG와 상관없이 동작한다.

오버레이 네트워크 LAN의 약점을 극복하는 기술

많은 수의 가상서버가 사용되면 기존 네트워크 가상화로는 대응하기 힘들어서 생긴 기술

물리적 네트워크 위에 가상 스위치를 설치하고 이용하여 가상 네트워크를 구축

**도커 컨테이너 오케스트레이션에 있어 오버레이 네트워크는 필수 요소이다.

가상 스위치끼리 통신은 터널링 이라는 기술을 사용한다.

이는 패킷 ( 통신 데이터 - 네트워크 계층 ) 을 다른 패킷으로 덧씌워서 전송한다. VPN 을 위한 통신의 암호화나 IPV6의 패킷을 IPV4 네트워크에 통과시키는 경우등 다양하게 사용된다. 즉, 가상화 네트워크에 데이터를 전달하는데 쓰인다.

VPN

가상 전용선을 구축하는 기술

Virtual Private Network 가상 사설 네트워크. WAN(거점 간 연결하는 네트워크 망) 의 일종이다. 인터넷에 만들어진 가상 전용선을 통해 거점 간 데이터 통신을 LAN처럼 네트워크 환경을 구축할 수 있다.

전용선 없이 통신이 가능함으로 비용 절감이 가능히다. 그러나 폐쇄형 네트워크인 IP-VPN은 비용이 더 많이 든다.

VPN의 원리

VPN도 오버레이 네트워크의 한 종류이다. 따라서 터널링을 이용하는데, 거점 간에는 VPN을 지원하는 라우터로 접속되어 인터넷에 전용 터널을 구축하여 데이터 도난을 예방한다. 또한 암호화 데이터를 송수신하는데 암호화시 IPSec이 사용된다.

SDN

Software Defined Network

네트워크 구성을 소프트 웨어로 관리한다. 이를 구현한 소프트웨어를 SDN 컨트롤러라고 한다.

OpenFlow

SDN을 구현하기 위한 기술로 여러 네트워크 기기를 중앙에서 관리할 수 있다. (그림 참고)

도입한다면, 네트워크 기기의 설정은 각 네트워크 기기에 직접 실시하는 것이 아니라, 일괄로 기기를 관리하는 소프트웨어인 OpenFlow 컨트롤러로 실시한다.

네트워크 컨트롤러가 스위치망을 통해 네트워크 패킷의 경로를 정의할 수 있게 한다. 컨트롤러는 스위치와는 구별한다. ( 위키백과 )

TCP(전송 계층) 위에 계층화 된다. TLS 보안의 이용을 규정한다.

NFV

network functions virtualization SDN을 보완하는 기술이다.

네트워크 장치의 기능을 가상 환경의 소프트웨어로 구현하는 기술이다. 즉 라우터 및 허브 같은 네트워크 기기를 소프트웨어로 탑재한다

구성 요소

• VNF ( Virtual Network Function ) : 가상화된 네트워크 장비
• NFVI ( NFV infrastructure ): NFV를 구성하기 위한 물리적인 리소스. 가상화된 네트워크 장비를 나타내는 VNF(Virtual Network function) 을 제공한다.
• NFV MANO ( NFV Management and Orchestration ): 다수의 소프트웨어, 장비 등을 통합적으로 제어하는 장치

SD-WAN

SDN 개념을 WAN으로 확장한것이다. 여러 거점을 연결하는 광역 네트워크를 중앙화하여 가상 네트워크 환경을 구축하는 것을 추구한다.

소프트웨어로 WAN을 정의하는 기술이다.

클라우드 서비스에 트래픽이 많이 발생하는데, 이러한 다양한 네트워크 회선을 사용하는 상황에서 최적화를 가능하게 해주는 기술이다.

기업이 MPLS, LTE 및 브로드밴드 인터넷 서비스를 포함한 전송 서비스의 모든 조합을 활용하여 사용자를 애플리케이션에 안전하게 연결할 수 있게 지원하는 가상 WAN 아키텍처이다.

SD-WAN 모델은 기존의 라우터 중심 WAN 아키텍처와 달리 온프레미스 데이터센터, 퍼블릭 또는 프라이빗 클라우드에서 호스팅되는 애플리케이션과 Salesforce.com, Workday, Dropbox, Microsoft 365 등과 같은 SaaS 서비스를 완벽하게 지원하는 동시에 애플리케이션이 최고 수준의 성능을 발휘하도록 설계되었다.

SD - WAN의 기능

각 사이트에서 CPE 라는 전용 라우터가 있고, CPE간의 네트워크를 구축한다. GUI에서 관리함으로 트레픽 상황을 확인할 수 있다.

CPE에는 제로 터치 프로비저닝이라는 기능이 있고, 이는 전원을 켜면 인터넷을 통해 설정정보를 읽어 자동으로 초기 설정이 가능히다.

SD-WAN 2.0도 있다.

네트워크 가상화 제공 서비스

아마존 VPC

GCP 의 VPC

에저의 가상 네트워크