VPN(Virtual Private Network)

VPN(Virtual Private Network)

 

조직 내부 LAN에서의 중요한 네트워크 설정이 VLAN이라면 외부 WAN에서 조직 간의 중요한 네트워크 설정이 이 가상 사설망 VPN이다.

로컬 노드 1과 원격지의 노드 2 사이의 중요한 파일 전송을 일반 인터넷 공중망으로 과감히 전송하는(이를 Road Warrior라고 부른다) 대신 두 지점만 전용선(leased line)으로 연결해서 원격의 두 노드가 마치 내부 LAN에 있는 것처럼 가상으로 묶어주는 것이 VPN이다. 정식 전용선을 사용하면 회선 사용료가 비싸고 회선의 재 사용율 면에서도 효율성이 떨어지기 때문에 두 노드를 가상으로 연결해서 동일한 LAN에 있는 것처럼 해주는 VPN으로 연결해서 데이터를 송수신하는 기법이 널리 사용된다. 이 가상 전용선으로 데이터를 송수신하면 데이터가 안전해지고, 원격진료, 화상회의, 재택근무 등에서 많이 이용된다.

 

VPN에서 사용하는 기법을 다음 표로 정리해 두었다.

VPN 기법	설명
IPSec	(IP Security) 인터넷을 통해서 안전한 통신이 되게 하며 전송모드나 암호화된 데이터를 VPN 터널을 통해서 보내는 기법
SSL	(Secure Sockets Layer) 인터넷을 통해서 암호로 데이터를 보호해서 보내며 서버와 클라이언트에 인증서가 필요한 기법
L2TP	(Layer 2 Tunneling Protocol) 인터넷을 2계층을 통해서 두 사이트 간에 터널로 통신이 되게 하는 기법
PPTP	(Point to Point Tunneling Protocol) 인터넷을 통해서 원격 클라이언트를 터널로 연결해주는 기법

보통 VPN은 IPSec VPN, Site-to-Site VPN, 그리고 GRE Tunneling VPN으로 설정을 해준다. 그리고 VPN에 참여하는 노드1과 노드2 사이는

▪ (라우터_서버)Hardware <=> Hardware(라우터_클라이언트)

▪ (라우터_서버)Hardware <=> Software(리눅스_클라이언트)

▪ (리눅스_서버)Software <=> Software(리눅스_클라이언트) 방식 중 하나로 연결된다.

 

 

IPSec VPN

위 그림과 같이 Branch에서 Main으로 연결할 때 중간의 Branch와 ISP 라우터가 없는 것처럼 공중망을 통과하지 않고 Node1이 Main VPN server로 바로 연결되게 하는 방식이 VPN이다. 다음그림처럼 Node1에서 VPN 항목으로 가면 여러 설정이 있으므로 이에 맞춰서 VPN Server인 Main 라우터에서 설정해주면 IPSec 연결이 된다. 192.168.1.0 네트워크에 있는 원격 node1이 VPN으로 192.168.2.0 네트워크에 로컬 node1으로 들어온 것 같은 경우이다. 스위치의 VLAN 개념과 유사하다고 볼 수 있다. 이런 실습을 통해서 VPN의 개념과 사용법을 더 잘 알 수 있으므로 늘 실습을 중시해야 한다.

 

 

GRE Tunneling VPN

VPN 연결에서 GRE(Generic Routing Encapsulation)를 사용하면 터널로 연결된다. 터널이란 하나의 프로토콜을 캡슐화해서 전송하는 기법으로 VPN에 최적인 기법이다. 예를 들어 IPX 네트워크를 사용하는 본사와 지사에서 이들이 인터넷으로 연결된다면 연결 통신망으로 IP 환경을 사용하는 경우가 대부분일 것이다. 이런 경우 IPX 헤더를 IP 헤더로 캡슐화(덮어씌움)해서 IP 환경에서 IPX 데이터가 전송되게 해줄 수 있다. 이럴 때 IPIP(IP In IP) 프로토콜을 사용하기도 하지만 보통은 두 노드의 출발지 주소와 목적지 주소만 지정해 주면 설정이 완성되므로 구성이 간편한 GRE 프로토콜을 사용한다.

터널 인터페이스도 루프백 인터페이스나 서브인터페이스처럼 가상 인터페이스로 여겨지므로 라우터의 메모리에 영향을 끼쳐서 최대 9Kbps의 대역폭을 소비한다. 터널을 하는 이유가 공용망을 사설망처럼 사용하는데 있으므로 access-list가 적용되고 이들을 묶어서 움직이게 하는 route-map 개념이 들어가며 루핑을 막기 위해서 passive-interface가 설정되어져야 한다. 내부 IPX 네트워크는 주소만 변경하면 된다. 하지만 Tunneling VPN은 어느 사전 공유 키 등을 사용하지 않아서 보안이 취약하다고 여기고 요즘은 IPSec의 키 설정 기법을 여기에 추가하기도 한다.

 

다음 그림과 같이 GRE Tunnel을 이용해서 Node1이 Server에게 연결해보자. 각 2811 라우터를 두고 ISP는 WIC-2T를 장착하고, Branch와 Main은 WIC-1T를 물리고 다음처럼 구성해준다. 터널 부분에 물리적인 인터페이스가 없기 때문에 loopback 0이나 tunnel 0 가상 인터페이스를 사용한다.