인터넷으로 연결된 두 종단 지점 사이를 안전한 터널을 이용하는 암호화된 네트워크 연결을 VPN이라고 합니다. 예를 들어 본점이 서울이고 각 지역별로 지점이 있다고 하면 본점과 지점을 보안된 안전한 인터넷망을 통해 통신할 수 있도록 구성하는 것입니다. 그렇지 않다면 본점과 지점을 연결하는 전용선을 설치해야 하므로 비용이 만만치 않겠죠.
행망은 아래와 같이 광역시/시/군이 연결되며 VPN으로 안전한 통신을 하도록 네트워크가 구성되어 있습니다.
방화벽과 마찬가지로 VPN도 로드밸런싱이 되도록 구성합니다.
여러대의 VPN 장비를 마치 하나의 장비처럼 동작 시켜 성능을 손쉽게 확장하고, 특정 장비에 장애 발생시 지속적인 서비스 보장을 위한 VPN 이중화를 VPN 로드밸런싱(VPNLB)이라고 합니다.
기본적인 네트워크 구성은 방화벽 로드밸런싱과 동일합니다.
VPN의 기본적인 작동방식은 먼저 VPN서버(본점)에서 발행한 인증서를 클라이언트VPN(지점)에 전달한 후 클라이언트VPN은 서버가 전달해준 인증서를 가지고 인증 KEY를 생성합니다. 이렇게 생성된 인증키를 사용하여 본점과 클라이언트는 안전한 터널을 생성하게 됩니다.
정부 행정망은 아래와 같이 광역시/도를 중심으로 시/군/구로 나뉘어 집니다. 펌킨 네트웍스의 VPN Mogaha는 네트워크 클래스별로 VPN 로드밸런싱을 하기 때문에 타사 L4스위치 보다 안정적으로 서비스를 제공할 수 있습니다.
또한, 불필요한 라우팅 정보들을 입력하지 않아도 되므로 네트워크 엔지니어들이 안정적이며 손쉽게 서비스를 구성 할 수 있도록 도와줍니다.
정부 행정망에 사용되는 VPN은 본점 및 지점 VPN을 관리하는 관리용 서버에서 모든 설정들을 관리합니다. VPN 장비는 지점 대 지점(point to point) 장비로 구성이 됩니다. 행망에 사용되는 VPN 장비는 본점 VPN, 지점 VPN 그리고 이들을 설정 및 관리하는 서버로 구성이 되며, 당연히 관리 서버와 모든 VPN간에 통신이 되어야 하겠죠.
지점에서 본점으로 VPN 연결 요청은 L4에 설정된 VIP로 이루어 지며, VPN간 KEY 공유를 위해 KEY공유 서버로 구성됩니다. 사용자는 VPN(Gateway)로 연결이 되며 따로 VPN 프로그램을 설치하지 않아도 사용할 수 있습니다.
주의 사항으로 본점에 있는 VPN1로 연결되어 사용 중에 VPN2로 하나라도 사용자가 연결이 되게 되면 기존 연결은 모두 끊어지고 다시 VPN2로 연결되므로 서비스 순단 현상이 발생할 수 있습니다.
따라서 이러한 순단 현상을 없애기 위해 VPN 세션 유지 및 관리가 중요하며 이러한 세션 관리를 위해 펌킨 L4 스위치에서 VPN Mogaha 기능을 제공 한다고 보시면 되겠습니다.
끝으로 VPN 이중화 구성시 L4 장비의 사용 유무에 따른 장단점을 정리해 보겠습니다.
1. L4 장비를 사용한 경우 장점
- 하나 이상의 VPN 장비를 추가하여 가용성 및 성능 향상을 가져올 수 있습니다.
- VPN 장비의 장애 발생시 여분의 장비를 통하여 중단 없는 서비스 지원이 가능합니다.
- 동적인 로드 분산을 통하여 VPN 응답속도를 향상 시킬 수 있습니다.
2. L4 장비를 사용하지 않은 경우 단점
- VPN 장비들 간에 세션 공유가 되지 않아 패킷 DROP 현상이 발생하여 통신 장애가 발생할 수 있습니다.
- VPN 장비간 트래픽 부하분산의 불균형으로 인하여 VPN 장비에 과부하가 발생할 수 있습니다.
