정보보호개론
이 덕 규 서원대학교 융합보안학과
다중 방송 (Multicast) 다중 서비스 공급자 지원
인트라넷/익스트라넷 (Intranet/ Extranet) 관리 (Management)
규모 (Scaling)
서비스 품질 (QoS: Quality of Service)
VPN 개요
VPN 기능
보안 및 정보보호 (Security/Privacy) 기능
VPN 분류
가입자 단말 기반 VPN(CEBVPN: Customer Edge Based VPN)
VPN관리 부분을 공급업체에서 담당 하게 됨으로써 CEBVPN이라 함
가입자 네트워크의 가입자망 단말(CPE: Customer Premisses Edge 혹은 CE: Customer Edge) 장비 간에 설정된 터널에 의해 지원
VPN 분류
네트워크 기반 VPN (NBVPN: Network Based VPN)
서비스 공급업체(SP: Service Provider)의 시스템 단말 장비에 의해 제공되는 VPN서비 스
SP의 공급자 단말(PE: Provider Edge) 장비간에 설정된 채널에 의해 지원
VPN 분류
가입자간 VPN접속
CE1 PE2 PE2
CE1
CE1
가입자 단말
(Customer Site 1) R3
서비스 공급업체
(SP Network) 가입자 단말
(Customer Site 2) R4
R5
R6 VPN
Tunnel
VPN Tunnel
VPN Tunnel
VPN 분류
제 3계층 네트워크 기반 VPN(3-NBVPN)
IP주소를 이용하여 IP레벨에서의 전달서비스
가입자 망에서 공인 IP주소를 사용하지 않고 서브 네트워크의 사설 IP주소를 사용할 경우 공급자 네트워크 중 최소 1개의 장비는 사설 IP를 해석할 수 있어야 한다
3-NBVPN구성을 위한 PE장비는 IP라우터 장비이어야 한다
VPN 분류
NBVPN 참조 모델
CE
PE
PE CE
CE
가입자 망 서비스 공급업체 망
(SP Network) 가입자 망
VPN Tunnel
CE PE VPN A
VPN B
VPN A
VPN B VPN Tunnel
VPN 분류
3-NBVPN 참조 모델에서의 개체 간의 관계
CE PE Router
VFI
VPN A
CE
CE
가입자 망 서비스 공급업체 망
(SP Network) 가입자 망
VPN Tunnel
VFI
VPN B
CE VPN A
VPN B
VPN A
VPN B PE Router
VFI
VPN A
VFI
VPN B
VPN Tunnel
VPN 분류
제 2계층 네트워크 기반 VPN (2-NBVPN)
데이터 링크 계층에서 작동되는 VPN
CE장비 간의 제 2계층 전달 서비스와 시그날링 서비스를 수행
MAC어드레스 수준의 전달서비스 수행으로 PE장비는 MAC레벨의 라우터 혹은 스위 칭 장비 사용
VPN 분류
2-NBVPN 참조 모델에서의 개체 간의 관계
CE PE Router VSI
VPN A
CE
CE
가입자 망 서비스 공급업체
망
(SP Network) 가입자 망
VPN Tunnel
VSI
VPN B
CE VPN
A
VPN B
VPN A
VPN B PE Router
VSI
VPN A
VSI
VPN B
VPN Tunnel
VPN 유형
VLL (Virtual Leased Lines) 서비스
각 CE (Customer Equipment)라우터에 연결된 사용자 간의 점대점 링크를 구성
ATM VCC (Virtual Circuit Connection) 사용자 혹은 Frame Relay방식의 사용자에게 적용 됨
CE 라우터와 ISP PE(Provider Edge Node)라우터 간에는 2계층 서비스를 이용
3계층은 인터넷 상의 IP백본 시스템에서 제공되는 IP서비스와 ISP업체에서 제공되는 IP Tunnel을 사용하여 구성
VPN 유형
VLL 의 예
CE ISP Edge
Node ISP Edge CE
Node
인터넷 ISP
공급업체 노드 가입자 노드
ISP
공급업체 노드
가입자 노드
IP Tunnel
Subnet IP = 10.1.1.4/30
10.1.1.5 ATM VCC
ATM
VCC 10.1.1.6
VPN 유형
VPRN (Virtual Private Routed Networks) 서비스
NBVPN방식이 주로 사용되며 WAN에서 라우팅에 의한 패킷 전달이 이루어짐
ISP라우터들 간에 설정된 IP터널들의 매쉬로 구성되며 최종 목적지에 패킷을 전달하 기 위하여 ISP PE라우터들에 의해 forward가 수행된다
VPRN을 구성하는 ISP PE라우터들은 패킷 전달을 위한 라우팅 테이블을 보유
VPN 유형
VPRN의 요구사항
특정 VPN을 표기하기 위하여 유일한 VPN ID가 사용되어야 한다
단말 라우터는 VPRN에 접속된 로컬 스터브링크에 대한 정보와
VPRN 내의 멤버를 형성하는 라우터 집합에 대한 정보를 가지고 있어 야 한다
단말 라우터는 각 스터브링크로 전달하기 위한 조소 집합과 주소 영 역을 해석할 수 있어야 한다
스터브링크로 전달하기위한 주소영역을 해석할수 있는 단말 라우터 일때 VPRN 도달정보를 VPRN 내의 모든 라우터가 알 수 있도록 유포 하여야 한다
단말 라우터는 다른 라우터달과 터널을 형성하여야 하며, 터널 상으 로 전송되어야 하는 패킷은 암호화 과정을 수행하여야 한다
VPN 유형
VPRN 예제
CE ISP Edge
Node ISP Edge CE
Node
인터넷 10.2.1.0/30
Stub Link
10.2.2.0/30
CE CE
ISP Edge Node
Stub Link IP Tunnel
10.9.9.12/30 IP Tunnel
10.9.9.8/30 Backup
link Backdoor
link IP Tunnel
Subnet IP = 10.9.9.4/30
10.3.3.0/30 10.4.4.0/30
Stub Link Stub Link
VPN 의 유형
VPDN (Virtual Private Dial Networks) 서비스
장소에 관계없이 터널을 이용한 원격 사용자들을 위한 VPN서비스
Dial UP 네트워크에 해당하는 PSTN혹은 ISDN을 이용하여 접속할 수 있다
VPN 유형
VPDN 의 예제
Host Corp.
Nwtwork
인터넷 10.0.0.1
10.0.0.1/8
강제적인 Tunneling
NAS GW
LAC LNS
dial
connection
L2TP Tunnel PPP Session
VPN 유형
VPDN 의 예제
Host Corp.
Nwtwork
인터넷 10.0.0.1
10.0.0.1/8
자발적인 Tunneling
NAS GW
LAC LNS
dial
connection
L2TP Tunnel with PPP Session
VPN 유형
VPLS (Virtual Private LAN Segment) 서비스
VPRN과 유사한 구조를 가짐
IP주소를 이용하여 ISP단말 라우터 간의 가상 사설 LAN을 구성
TLS(Transport LAN Services)를 제공함
ISP단말 라우터 간의 동일한 IP 터널 채널을 이용하기 때문에 멀티캐스트, 브로드캐스 트 등의 서비스를 제공
VPN 유형
VPLS 의 예제
CE ISP Edge
Node ISP Edge CE
Node
인터넷 10.2.2.1
Stub Link
10.2.2.2
CE
ISP Edge Node
Stub Link
IP Tunnel IP Tunnel
IP Tunnel
10.2.2.3 Stub Link
VPN 구현방법
인트라넷 VPN
Internet
Firewall Firewall
Firewall
Firewall Sales & Marketing
Finance
Management Console
Firewall
Remote Site Public
Server
Intranet VPN
VPN 구성 형태
원격 접속 VPN
Internet
Firewall Firewall
Firewall
Firewall Sales & Marketing
Finance
Management Console
Firewall
Remote User Public
Server
Mobile Device
VPN 구성 형태
익스트라넷 VPN
Internet
Firewall Firewall
Firewall
Firewall Sales & Marketing
Finance
Management Console
Firewall Partner Corp.
Public Server
Firewall Customer
Extranet VPN
