|
L2/L3 MPLS기반 VPN 기술 동향
안신영* 허재두** 이형호***
인터넷의 발달은 ATM, FR, X.25등 기존망들이 IP망과 연동되어 진화하도록 요구되고 있으며, 기존망에서 제공되던 VPN 서비스를 IP 백본망에서 제공하기 위한 기술들이 요구되게 되었다. 이에 가입자 장비를 기반으로 하는 VPN 기술인 IPSec이나 L2TP/PPTP 터널링 기술을 이용한 VPN 제품들이 개발되어 사용되고 있다. 그러나 best effort IP기술의 단점을 보완해 줄 수 있는 연결지향 기술인 MPLS 기술이 개발됨에 따라, MPLS 터널을 이용해서 망사업자가 제공하는 VPN 서비스(Provider-Provisioned VPN: PPVPN)의 개발이 요구되고 있으며, 기존의 VPN을 대체할 수 있는 PPVPN 기술은 IETF에 의해 주도적으로 연구되고 있다. 본 고에서는 MPLS를 이용하는 대표적인 PPVPN 기술인 BGP/MPLS VPN, L2 MPLS 기반 VPN 기술 동향을 살펴보고 가상 사설 LAN 서비스 기술과 가상 라우터 기반 VPN 기술을 소개하고자 한다. ▧
I. 서 론
지금까지 기업 가입자들은 망사업자로부터 점대점 기반의 전용선을 임대하여 자신만의 WAN을 구축한 후 사용하여 왔는데 이것을 사설망이라 한다. 사설망은 다양한 종류의 가상 회선들이 전용선을 대체함에 따라 “가상 사설망(Virtual Private Network: VPN)”이라 불리게 되었다[1]. 그리고 인터넷의 발달로 인해 많은 망사업자들은 FR/ATM 망을 IP 망으로 교체하고 있기 때문에 IP 망을 활용하여 VPN을 제공하기 위한 기술들이 개발되고 있다.
통신망에서 제공되는 VPN은 가입자 기반의 VPN (Customer Premise Equipment based VPN: CPE-VPN)과 망사업자가 제공하는 VPN으로 분류할 수 있다(<표1> 참조). 이 가운데 먼저 개발이 시작된 것은 CPE-VPN 기술이다. 계층2 VPN 방식인 L2TP (Layer 2 Tunneling Protocol)나 PPTP(Point-to-Point Tunneling Protocol)를 사용하는 VPN방식은 가입자 망의 IP 혹은 IPX 패킷을 PPP로 캡슐화하고 이것을 다시 L2TP나 PPTP를 사용한 터널을 통해 전송하는 형태이다. 이 방식은 일반적으로 VPN 서비스의 일관성을 제공하기 위해 동일 제품으로 VPN을 구성하며, 아직까지 이종 제품간 상호운용이 되지 않는다. 반면 계층3 VPN 방식인 IPSec은 서로 다른 제품간 호환성과 확장성이 고려되었으며 인증헤더(authentication header)는 데이터 무결성을, ESP(Encapsulated Security Payload)는 데이터 기밀성을 보장하기 때문에 국내외 업체에서 현재 가장 많은 제품들이 나와 있는 상태이다[1-2].
이 가운데 PPVPN은 계층 3에서 BGP/MPLS(RFC2547bis) 방식과 가상 라우터 기반 VPN방식이 있고, 계층 2에는 L2 MPLS 기반 VPN(Martini 초안은 터널링 기술로 L2TP, PPTP, MPLS세 방식을 모두 지원하지만 MPLS를 선호)과 가상 사설 LAN 서비스(Virtual Private LAN Service: VPLS) 방식이 있다.
MPLS는 ATM의 장점을 IP망에서 사용할 수 있게 해주는 기술로서, 연결지향 기술이며 레이블 스택을 이용하는 터널링 기술이다. MPLS는 QoS 기능이 우수하며 폭넓은 보호 기능을 지원하기 때문에 기존의 터널링 프로토콜을 대치함으로써 망사업자가 제공하는 VPN 기술의 핵심 요소로 자리매김하고 있다. IETF에서는 Sub-IP 분야의 PPVPN작업 그룹, 트랜스포트 분야의 PWE3(Pseudo Wire Emulation Edge to Edge) 작업그룹 등을 통해 망사업자가 제공하는 VPN 기술의 표준화 작업을 진행하고 있다.
본 고에서는 표준화 진행 내용과 제품 개발이 빠른 L3 BGP/MPLS VPN과 L2 MPLS 기반 VPN에 대해 살펴본 후 IETF PPVPN 작업 그룹에서 표준화 작업중인 가상 사설 LAN 서비스인 VPLS와 가상 라우터 기반 VPN방식에 대해 소개한다.
II. L3 BGP/MPLS VPN
1. 개요
IETF는 RFC 2547bis에서 VPN 라우팅 정보의 분배를 위해 BGP를 사용하고, MPLS를 트래픽 포워딩을 위해 사용함으로써 IP 백본상에서 VPN을 제공하는 방법을 정의하고 있다[3]. 이 방법은 가입자들의 네트워크 관리 부담을 덜어주며, MPLS를 기반으로 하기 때문에 VPN의 확장성 및 유연성이 우수하고, 망사업자로 하여금 매우 뛰어난 부가 서비스를 제공할 수 있도록 해주며, VPN이 여러 망사업자 네트워크를 통해 구축 가능한 장점을 갖는다.
2. 네트워크 구성 및 요소
BGP/MPLS VPN의 구성 및 그 요소가 되는 장비는 (그림 1)에 도시한 바와 같다. (그림 1)에서 VPN의 가입자 사이트는 하나 이상의 포트를 통해 공중망으로 연결된다. 이 포트들은 VPN 라우팅 테이블에 등록되는데, 이 테이블을 VPN 라우팅 및 포워딩(VPN routing and forwarding: VRF) 테이블이라고 부른다. 각 구성 요소들의 특징은 다음과 같다.
- Customer Edge(CE) 장치: 하나의 데이터 링크를 통해 공중망으로 연결되는 장치로서 호스트나 L2 Switch가 될 수도 있으나 대부분PE 라우터들에 직접 연결된 IP 라우터를 지칭함.
- Provider Edge(PE) 라우터: 정적 라우팅, RIPv2, OSPF 또는 External BGP(EBGP)를 사용하는 동적 라우팅을 통해 CE 라우터들과 라우팅 정보를 교환하는 장치임. PE 라우터는 공중망의 모든 VPN 경로를 보관하는 것이 아니라 직접 연결된 VPN의 라우팅 정보만을 유지하기 때문에 확장성이 우수하다. PE 라우터가 유지하는 VRF 테이블은 각 가입자로부터의 연결(FR PVC, ATM PVC, VLAN)을 특정 VRF 테이블로 매핑하는데 이는 하나의 가입자 사이트로부터의 여러 연결이 각각VRF로 매핑되어 다수의 포워딩 테이블을 유지하도록 한다. PE 라우터는 다른 PE 라우터들과 Internal BGP(IBGP)를 이용하여 가입자 사이트의VPN 라우팅 정보를 교환한다. PE는 MPLS를 포워딩을 위해 사용할 경우 Edge LSR로서 동작한다.
- Provider 라우터: CE 라우터에 연결되지 않는 공중망에 있는 라우터로서 PE 라우터들간에 MPLS 중계 LSR 장치임. 특정 VPN의 라우팅 정보를 유지하지 않는다.
3. 동작 모델
두 가지 기본적인 트래픽 흐름이 BGP/MPLS VPN에서 발생한다. 하나는 VPN 경로 분배와 LSP 설정을 위한 제어 흐름이며, 다른 하나는 가입자 데이터 트래픽을 전송하는 데이터 흐름이다. (그림 2)는 동작 모델을 명시하며 가입자 사이트 1과 가입자 사이트 2가 하나의 VPN을 구성한다고 가정하고 그림을 통해 BGP/MPLS VPN의 동작을 설명한다.
가. 제어 흐름
제어 흐름은 CE와 PE 라우터간에 그리고 PE 라우터들간에 라우팅 정보를 교환하기 위한 것과 PE 라우터들간에 LSP를 설정하기 위한 두 가지가 있다.
RFC2547bis는 VPN-IPv4 주소 체계를 사용함으로써 사설 주소 방식(RFC1918에 정의)을 지원한다. VPN-IPv4주소는 32비트 IP주소 앞에 64비트 RD(Route Distinguisher) 필드를 붙여서 만들어지는 사설망을 위한 주소로서 (그림 2)에 나타낸 바와 같이 PE에서 만들어진 후 백본망으로 보내진다. 또 RFC2547bis는 각 VPN을 구별하기 위해 RT(Route Targets)을 각 VRF에 할당하고 이 정보를BGP 확장 커뮤니티 속성 정보에 담아 방송한다. 또한 각 VRF 테이블은 수신되는 경로 방송 정보를 자신의 VRF에 추가할 것인지 버릴 것인지에 대한 정보가 설정된다. 두 가지 제어 흐름에 대한 상세 내용은 다음과 같다.
- 라우팅 정보의 교환: (그림 2)에서 CE1이 가입자 사이트 1의 프리픽스 a.b/16을 PE1에게 알려주면 PE1은 VRF 테이블에 프리픽스a.b/16, CE1으로의 인터페이스, 사이트 1의 식별을 위해 선택된 하나의 MPLS 레이블(예, 111)을 기록한다. 그리고 나서 RD를 a.b/16에 붙여 VPN-IPv4주소로 만들어 IBGP를 사용 PE2로 방송한다. 이때 미리 선택된 MPLS 레이블과 PE1의 주소를 BGP 인접 홉으로 할당하며 이 정보도 함께 전송된다. PE2는 PE1의 경로 광고를 수신하면 경로 정보와 함께 수신된 RT정보를 참고하여 같은 VPN에 속하면 VRF 테이블에 a.b/16 프리픽스와 MPLS 레이블(예, 111), CE1의 주소를 등록한 후 CE2로 프리픽스 a.b/16을 알려준다.
- LSP 설정: PE1과 PE2간에는 LSP가 설정되어야 VPN 트래픽을 포워딩 할 수 있다. LSP는 LDP나 RSVP를 사용하여 설정되고 관리될 수 있다. 두 PE간에 best-effort LSP가 필요할 경우엔 LDP를 사용하고, QoS 보장이나 특정 트래픽 엔지니어링 목표가 요구될 경우엔 RSVP를 사용한다.
나. 데이터 흐름
(그림 2)에서 가입자 사이트 2의 한 호스트 B에서 가입자 사이트 1의 한 호스트 A로 데이터가 전송된다고 하면, B는 데이터 패킷을 자신의 디폴트 게이트웨이로 보내고, 이 패킷이 CE2에 도착하면 라우팅 경로를 검색하게 한 후 PE2로 패킷이 보내진다. PE2가 VRF 테이블을 검색하여 필요한 정보를 얻는 과정은 다음과 같다.
- PE1이 알려준 MPLS 레이블(예, 111)
- BGP 인접 홉(PE1의 주소)
- PE2에서 PE1으로의 출력 인터페이스
- PE2에서 PE1으로의 터널 LSP의 MPLS 레이블(예, 222)
PE2는 두 개의 레이블 스택(터널 레이블 222와 가입자 사이트 식별 레이블 111)을 갖는 MPLS 패킷을 PE1으로의 출력 인터페이스로 전송하면 PE1의 바로 전 라우터가 터널 레이블(예, 222)을 제거한 후 패킷을 PE1으로 전송한다. 이 패킷을 수신한 PE1은 MPLS 레이블을 분리하고 그 레이블(예, 111)로 VRF를 검색하여 인접 홉이 a.b/16인 CE1을 찾은 다음 CE1으로 IP 패킷을 전송한다.
4. 멀티프로토콜 BGP 확장
기존 BGP4는 IPv4 주소만을 위한 라우팅 정보를 교환하도록 설계되었기 때문에 BGP/MPLS VPN을 지원하기 위해 사용하기엔 약간의 제약이 있다. 그래서 IETF에서는 BGP4를 멀티프로토콜을 지원하도록 확장하는 작업을 하고 있다. 이 작업은 RFC2283, RFC2858에서 정의되었다. 이 확장은 BGP4로 하여금 IPv6, IPX, VPN-IPv4등의 라우팅 정보를 교환하는 것을 가능하게 하였다. 따라서 MPLS/BGP VPN을 지원하는 PE 라우터들은 MP-BGP 확장 프로토콜을 지원해야 한다. 각 PE라우터는 VPN-IPv4 라우팅 정보를 교환하기 전에 상대 PE가 VPN-IPv4주소를 처리할 수 있는지를 사전에 협상해야 한다.
III. L2 MPLS 기반 VPN
1. 개요
망사업자는 가입자 L2 스위치간에 IP/MPLS 터널을 통해 동작하는 점대점 기반의 가상 회선을 제공함으로써 IP 백본상에 계층 2 VPN 서비스를 제공할 수 있다. L2 MPLS 기반VPN은 IETF의 Martini 초안을 통해 표준화가 진행중이며 이미 많은 벤더들에 의해 구현되어 상품으로 출시되고 있다.
2. 구조 및 요소
(그림 3)은 L2 MPLS 기반VPN의 구조를 명시한 것이다. CE 장치는 PE 장치로 가상 회선을 통해 연결되며, 이 연결을 “attachment VC”라 한다. CE1과 CE2간에 L2 연결을 제공하기 위해서 CE1은 PE1으로 CE2는 PE2로 연결되며 PE1과 PE2간에는 “emulated VC”로 연결된다. PE1과 PE2간에 동작하는 다수의 emulated VC들은 하나 이상의 터널안에 만들어진다. 이때 하나의 터널상의 각 emulated VC들은 똑같은 CE 종단을 가질 필요는 없다[4].
PE가 터널로부터 패킷을 받으면, 이 패킷이 어느emulated VC에 속하는지를 식별하고, emulated VC와 attachment VC의 연관성 정보로부터 이 패킷이 보내질 CE를 결정한다. 하나의 emulated VC에 연관된 두 개의 attachment VC가 같은 타입이면(예를 들어 모두 FR이거나 모두 ATM이면), emulated VC는 타입 특성 정보를 각 패킷에 포함할 수 있다. 만약 다르다면 한쪽 PE에서 인터워킹 기능이 요구된다.
Martini 초안에는 표준화된 다양한 터널링 기술들을 PE-PE 터널에 사용할 수 있다고 정의되어 있다. 이 터널링 기술은 터널을 동적으로 설정하고 터널 제어정보를 전달할 수 있는 시그널링 메커니즘을 가져야 하며, 터널상에서 데이터 패킷을 캡슐화할 수 있고, 여러 emulated VC를 다중화 할 수 있어야 한다. L2 PDU를 터널을 통해 전송하기 위해 다음과 같은 3가지가 필요하다.
- 터널 헤더: 터널링 프로토콜에 속하는 헤더(예, MPLS 터널 레이블)
- 역다중화 필드: 하나의 터널 내에서 개별 emulated VC를 식별하는 정보(예, MPLS 레이블)
- emulated VC 캡슐화: 대응하는 L2 프로토콜을 에뮬레이션 하기 위해 필요한 개방된 L2 PDU에 대한 정보
Emulated VC 설정은 터널링 프로토콜이 그 emulated VC의 패킷을 전송할 때 사용하는 다중화 필드와 밀접하기 때문에, emulated VC를 설정하기 위한 시그널링 프로토콜은 특정 터널링 기술에 종속된다.
Attachment VC는 여러 종류의 L2 프레임들을 emulated VC를 통해 전송하기 위한 캡슐화 방법이 필요하다. 터널-독립적인 캡슐화 방법을 사용하며 FR, ATM, 이더넷, HDLC, PPP와 같은 L2 프로토콜 PDU를 MPLS 또는 IP 망을 통해 전송하기 위한 캡슐화하는 방법을 정의한다. 모든 L2 PDU를 PE간에 전송할 필요는 없다. (그림 3)에서, ingress 노드(PE1)는 L2 헤더를 제거하고 egress 노드(PE2)가 재생성하는 것이 일반적이다. 이것은 PE1에서 PE2로 이미 시그널링된 정보와 제어단어 안에 전달되는 정보를 사용하여 이루어진다. 이때 PE2는 PE1이 VC를 통해 제어 단어를 전송함을 구성 설정이나 시그널링을 통해 미리 알고 있어야 한다. 제어단어란 PE1과 PE2간에 전송되는 L2 PDU의 앞에 선택적으로 위치할 수 있는 헤더로서 순서 보장, 작은 패킷의 패딩 보장, L2 프레임 헤더의 제어 비트 전송 보장 기능을 제공하기 위해 사용된다.
3. 시그널링
Martini 초안에서는 emulated VC를 위한 다중화 필드를 설정, 유지보수를 위해 필요한 정보의 설정과 전달을 위해 표준 MPLS 시그널링을 확장하여 사용하는 것을 제안하였다[5]. 만약 터널링 프로토콜이 L2TP 또는 IPSec이라면, 이런 터널링 프로토콜에 종속적인 시그널링을 유사하게 확장하여 사용한다.
MPLS 네트워크에서는 MPLS 레이블 스택을 L2 PDU의 앞에 붙임으로써, L2 PDU를 원격지의 동일 VPN으로 전송할 수 있다. 이를 위해 필요한 레이블로 “터널 레이블”과 “VC 레이블”이 있다. 터널 레이블은 (그림 3)에서 PE1과 PE2간에 MPLS 터널을 사용하기 위한 레이블이며, VC 레이블은 CE와 PE간의 attachment VC들을 식별하기 위한 정보로서, PE1혹은 PE2에 도착한 L2 PDU가 어느 가입자 사이트로 보내져야 하는지를 지시하는 정보이다. 따라서 PE1에서 PE2로 L2 PDU를 보낼 때, PE1은 우선 VC 레이블 스택을 붙이고, 다음에 터널 레이블 스택을 붙여 PE2로 보낸다. PE2는 도착한 패킷의 VC 레이블을 참조하여 출력을 결정한다. 만약 페이로드가 ATM AAL5 PDU이면 VC 레이블의 값으로부터 PE2에서 출력 인터페이스와 VPI/VCI가 유추될 수 있어야 하며, FR일 경우엔 DLCI값으로, 이더넷일 경우엔 출력 인터페이스 또는 VLAN ID가 유추되어야 한다.
터널 레이블의 분배는 MPLS 레이블 분배 방법을 따른다. VC 레이블의 할당과 분배 방법으로는 우선 정적 레이블 할당 방법이 지원되어야 하며, 시그널링을 사용할 경우 VC 레이블은 다운스트림 모드로 LDP를 사용하여 PE2에서 PE1으로 분배되어야 한다. 이때 PE1과 PE2사이에 LDP 세션이 미리 성립되어 있어야 한다. LSR은 확장 발견 기법(extended discovery mechanism)을 사용하여 LDP 세션을 성립한다. 이 목적을 위해 새로운 타입의 FEC(Forwarding Equivalence Classes) 요소를 정의하며, 이 VC FEC 요소가 LDP VC 레이블마다 방송되어야 한다.
IV. 그 외 PPVPN
가상 사설 LAN 서비스와 가상 라우터 기반의 VPN기능은 현재 구조와 요구사항에 대한 기고서가 나와 있으며 구체적인 시그널링 및 동작 모델에 대해서는 아직 표준화가 미미하므로 요구사항과 구조 중심으로 소개한다.
1. 가상 사설 LAN 서비스
가상 사설 LAN 서비스는 지리적으로 분산된 사이트들을 물리적으로는 WAN 혹은 MAN을 통해서, 논리적으로는 마치 LAN을 통해서 연결되어 있는 것처럼 연결해 주는 서비스이다. 종단 사용자를 위한 적용 방안은 LAN 라우팅 응용과 LAN 스위칭 응용의 두 가지 방식으로 나뉜다[6].
LAN 라우팅 응용은 라우터들을 가상의 LAN을 통해 상호 연결하여, 이들간에 브로드캐스트 도메인을 제공함으로써 구성을 단순화한다. 전통적으로, WAN 상에서 VPN의 연결은 라우터들간에 가상 회선의 메시 연결을 요구하며, 새로운 라우터를 추가하는 것은 모든 라우터에 메시 연결을 해야 하기 때문에 상당한 설정 작업을 요구한다. VPLS는 LAN의 브로드캐스트 능력을 라우터 발견에 사용함으로써 상호 연결 문제를 완화시킨다.
LAN 스위칭 응용은 가입자 스위치들을 가상의 LAN으로 연결하는 기법으로, 마치 로컬 이더넷 스위치를 통해 연결되어 하나의 캠퍼스에 함께 존재하는 것처럼 보이게 한다. 이 서비스는 확장성과 효율성이 떨어지기 때문에 대규모 네트워크에 적합하지 않다. 그러나 중소규모 비즈니스 가입자에게는 브리징 도메인을 확장하기 위해 저가의 이더넷 스위치만 있으면 되기 때문에 유리한 방식이다.
(그림 4)는 두 개의VPLS 인스턴스A와 B를 가진 VPLS 시스템을 보여준다. 이 그림은 두VPLS에 속하는 CE들이 논리적으로 하나의 이더넷 브리지를 통해 연결되는 것처럼 보이도록 PE 장치(라우터 혹은 스위치)로 연결됨을 보여준다.
각 VPLS는 PE에 의해 유지되는 상이한 브로드캐스트 도메인을 가지며, 이 도메인은 공중망에서 터널로 매핑된다. IP 터널이 사용될 경우엔 VPLS당 하나의 터널이 사용되며, MPLS 터널이 사용될 경우엔 여러 VPLS들이 하나의 터널로 다중화 될 수 있다. PE는 VPLS A와 B를 위해 분리된 포워딩 인스턴스를 유지한다. CE와 PE간 연결은 이더넷 같은 물리적 링크이거나 ATM, FR같은 논리적 링크이다. PE와 PE간 연결은 터널링 기술(IPSec, GRE, MPLS등)을 사용하여 이더넷 프레임을 교환한다. 각 PE 장치는 원격 MAC 주소를 학습하며, 가입자 트래픽의 전송을 책임진다.
하나의 사이트에 여러 가입자가 존재할 경우 다수의 가입자들을 각각 망사업자의 PE로 각각 연결하는 것 보다는 그 로컬 사이트에 집합 장치를 두어 여러 가입자들의 트래픽을 모아서 하나의 업링크를 통해 전송하는 방식이 효율적이다. 이럴 경우 VPLS 기능은 각 집합 장치로 분산된다. 분산 PE 모델에 기초한 VPLS 시스템은 액세스 대역폭 효율성과 시스템 확장성을 제공할 수 있다[7].
2. 가상 라우터 기반의 VPN
가상 라우터(Virtual Router: VR)란 소프트웨어 또는 하드웨어 레벨로 물리적인 라우터를 에뮬레이션하는 것이다. VR은 VPN 사이트간 경로에 대한 라우팅 테이블을 작성하고 유지하며, VPN 도메인 내에서 패킷 포워딩에 대한 책임을 진다.
가상 라우터 기반의 VPN 서비스 개념은 물리적인 라우터를 쓰는 메커니즘과 같다. 따라서 구성 설정, 운용, 과금, 보전을 위해 물리적인 라우터에서 사용되는 메커니즘과 도구가 그대로 사용될 수 있다. (그림 5)와 (그림 6)에서 볼 수 있듯이 가상 라우터 기반의 VPN은 백본이나 다른 VPN에 완전히 독립적인 라우팅, 포워딩, QoS, 서비스 관리 기능을 제공한다. VPN 도메인 내에서, 라우팅 인스턴스는 VR간에 VPN 도달가능 정보를 분배하는 데 사용된다. 기존의 어떤 라우팅 프로토콜이라도 사용될 수 있으며 VPN관련하여 기존 라우팅 프로토콜에 어떤 수정이나 확장도 필요하지 않다[8].
모든 VR들은 VPN-ID 정보로 특정 VPN에 속함을 표시한다. 백본상의 내부 노드들은 VPN과 VR에 대해 아무런 지식이 필요하지 않기 때문에 백본의 확장성을 제한하지 않는다. VR이 동작하는 PE는 VR과 CE의 수적인 증가에 대해서 안정적으로 대처해야 하는데, 백본 VR를 사용하면 확장성이 향상된다. VR들은 장치를 자동적으로 발견하고, 장치간에 터널을 설정하고, VPN의 내부 라우팅 정보를 교환할 수 있어야 한다. 이 구조는 특정 터널링 메커니즘에 제한되지 않으며 IPSec, GRE, IP in IP, MPLS등이 터널링 프로토콜로 사용될 수 있다.
VPN 사이트들은 CE와 VR간 연결을 통해 백본으로 연결된다. CE는 하나 이상의 VR로 연결되도록 미리 설정되어야 한다. 하나의 PE에는 하나 이상의 VR이 함께 존재할 수 있으며, CE는 어떤 타입의 액세스 링크(ATM, FR, Ethernet PPP, or IP 터널)를 통해서도 VR로 연결 가능하다. 각 VR의 라우팅 테이블은 가입자 사이트간 도착 가능 정보를 정의한다. 백본은 L2 ATM 혹은 FR 네트워크이거나, IP, MPLS 네트워크가 사용된다.
VR들은 VPN 구성 설정에 따라 채용되며, 백본에 따라 두 가지 구조를 갖는다. (그림 5)는 L2 ATM 혹은 FR 네트워크 백본에서 VR를 이용한 VPN 구조를 나타낸다. (그림 6)은 여러 VR을 하나의 VR(백본 VR)로 집합하 VPN간에 공유되는 터널을 통해 연결시킴으로써 VR과 VR간 연결 구조를 보여준다. 이 구조는 VPN 망사업자가 백본을 소유하거나 또는 소유하지 못하는 상황에서도 적용 가능하다.
V. 결 론
본 고에서는 현재 표준화가 한창 진행중인 PPVPN기술 동향에 대해 살펴 보았다. 그 중 L3 BGP/MPLS VPN 기술의 표준화가 가장 빠르게 진행되어 이미 IETF에서 RFC가 나와있는 상태이고 L2 MPLS 기반VPN기술은 현재 초안이 만들어진 상태이다. 그러나 다국적 네트워크 장비 업체들은 이미 자사의 스위치/라우터 장비에 두 기능을 개발하여 제품을 판매하고 있는 실정이고 가상 사설 LAN 서비스나 가상 라우터 기반 VPN 기술은 아직 여러 기술자들이 기고서를 통해 기술적 저변을 확대하면서 표준화를 진행하고 있는 상태이다.
PPVPN 서비스는 기본적으로 IP/MPLS 백본망을 전제로 하고 있고 백본망의 장비들이 MPLS를 지원할 수 있어야 이런 서비스가 가능하다. 따라서 MPLS 망이 확대되어감에 따라 점차 PPVPN 서비스가 망사업자들에 의해 제공될 것이다. PPVPN은 소규모의 VPN을 구축하려는 가입자에는 L2 VPN서비스를, 중대규모의 VPN을 구축하려는 가입자에는 L3 VPN 서비스를 제공할 수 있어 가입자는 기존 가입자 기반의VPN에 비해 적은 장비 비용으로 자신만의 VPN을 구축할 수 있게 될 것이며, 다양한 서비스를 제공하게 되는 망사업자들에게는 새로운 수익 모델로 등장할 것으로 판단된다.
<참 고 문 헌>
[1] 박원주, 나재훈, 손승원, “국내외 VPN 제품 및 시장 동향,” ETRI주간기술동향, 1029호, 2002, 1월, pp.1-9.
[2] 박정현, 김영진, 임선배, “IPsec을 이용한 L2TP 보안,” ETRI주간기술동향, 1046호, 2002, 5월, pp. 1-11.
[3] E. Rosen, “BGP/MPLS VPNs,” IETF, RFC2547, Mar. 1999.
[4] Luca Martini, “An Architecture for L2VPNs,” IETF, draft-ietf-ppvpn-l2vpn-00.txt, July, 2001.
[5] Luca Martini, “Transport of Layer 2 Frames over MPLS,” IETF, draft-martini-l2circuit-trans-mpls-09.txt, Apr. 2002.
[6] Ali Sajassi, “VPLS Architecture,” IETF, draft-sajassi-vpls-architectures-00.txt, Feb. 2002.
[7] Waldemar Augustyn, “Requirement for Virtual Private LAN Service,” IETF, draft-ietf-ppvpn-vpls-requirements-00.txt, Mar. 2002.
[8] Rainer Bach, “Network based IP VPN Architecture using Virtual Routers,” IETF, draft-ietf-ppvpn-vpn-vr-03.txt, July, 2002.