Connecting People To Information
Download
Report
Transcript Connecting People To Information
Connecting People To Information
New Trend & Solution Seminar
감사 합니다
www.innocraft.com
Connecting People To Information
2001. 10. 24
1. VPN 소개
1.1 개요
VPN 정의
Connecting People To Information
- 광의 : NSP의 전용선, F/R, ATM을 이용하여 사설망으로 활용
- 협의 : 인터넷(IP)을 이용한 사설망으로의 활용(Dial,ISDN,xDSL,Cable)
VPN 시장 규모
- 2001년 7월 IDC에서 실시한 시장조사 결과 2000년 23억 달러에서 2005년 75억 달러로 예상
- 올해 국내 시장은 대략 400~500억원으로 추정(매년 50% 이상 성장 예측)
VPN 동향
- xSP를 중심으로 MPLS나 IP-VPN에 기반한 Managed VPN 서비스 진행
- 기업별 특성에 맞는 자사 VPN망 구축
(금융권의 백업 및 Mobile 사용자 지원이나 유통업체 전산망 구축)
- 초고속 통신망을 VPN으로 활용시 저가/고 대역폭 메리트 부상
1.2 IP VPN 종류
Intranet VPN
Home
Office
비용절감, IPSec을 통한
보안성있는 통신 및 QoS를
통한 신뢰성 향상
pop
Connecting People To Information
Frame나 전용선에서도
Main
Office
Remote Access VPN
암호환된 터널을
사용가능
Remote
office
통한 보안, 확장성,
보장
(Client S/W 필요)
VPN
pop
장거리 전화비용
Extranet VPN
절감
business Partner에
대한 WAN 확장
Business
Partner
Safe L3 security
Mobile
Worker
Remote Access
Site-to-site: Internet and Extranet
Mobile 환경지원
WAN 확장 및 비용절감 효과가 큼
사용자 관리 및 확장성 보장
VPN services and scalable
performance
보안 강화
접속점 광역화를 통한 비용과 관리 효율성 향상
1.3 VPN 특징
VPN 도입 장점
- 비용절감(50~70%) : 공중망인 인터넷(IP)을 이용하여 사설 전용망 구축
Connecting People To Information
- 보안 : 사용자/Data 인증 및 암호화
- 확장성 : 도입된 장비(인프라)의 한계용량까지 확장 가능
- 광대역 기술과의 호환성 : xDSL,케이블 등의 초고속 접속기술로 광대역 통신
도입 사유(금융권)
초고속 통신망 확산에 따른 저가,고속 메리트 부상
- 보안강화 : 방화벽과 IDS 등의 보안기능을 VPN 장비로 통합하여 구축
- 백업 솔루션 필요 : 전용회선 장애에 대한 백업 솔루션 제공
- 대역폭 확대 : 저가의 초고속 통신망을 이용한 대역폭 개선
- 인터넷 트래픽 효율화 : VPN의 Split Tunnel을 이용한 인터넷 직접접속
- Mobile 및 재택근무 지원 : 이동 사용자 네트워크 서비스
1.4 VPN 활용방안
업종별 활용형태
Connecting People To Information
업종
현재 구축 및 진행
향후 계획(영업 Point)
특성
제 1금융
전용선 백업, 백업센터 구현
원격영업소 접속
SNA 서비스
제 2금융(보험)
전용선 백업, 재택근무 지원,
인터넷 접속
원격영업소/대리점 접속,
무선데이타
TCP/IP 통합화
증권
인터넷 접속, 전용선 백업
무선데이타, 백업센타 구현
Mobile 지원
카드
전용선 백업
가맹점 접속
X.25, Off-line
기타 금융
원격영업소 접속
협력업체 접속
유통
가맹점 접속
공급자 및 협력업체 접속
기타(제조 등)
Intranet 구축
인터넷/협력업체 접속
- 증권사의 경우 VPN 서비스 정착단계
- 제1금융권의 백업센타 및 전용선 백업추진 가시화
- 손해보험 업계의 대리점망 VPN 정착단계
향후 Mobile, PKI, SSO 등 확산대비 필요
프로토콜 통합
2. VPN 기술
Connecting People To Information
2.1 IP VPN 기술
PPTP
L2F
L2TP
IPSec
Yes
No
Yes
Yes
NAS/Client
NAS
NAS/Client
NAS/Client
Encapsulation
Type
GRE
L2F/UDP
L2TP/UDP
IP/GRE
Encryption
Yes
No
Yes
Yes
Client
Software
Tunnel
Initiated By
- VPN 초기와 Dial/ISDN을 사용시 PPTP와 L2TP가 쓰였으나 보안요구 증대와 표준화에 힘입어 IPSec이 많이 쓰임
2.2 IP-VPN 구성 및 동작원리
IPSec 구성
VPN 서버
Internet
Connecting People To Information
Tunnel Mode(Site ti Site VPN)
R-VPN
Transport Mode(Access VPN)
VPN Client
IPSec 접속절차
Intersting Traffic Received
SA Request
Main Mode IKE Negotiation
ISAKMP Process
Quick Mode Negotiation
IPSec, ISAKMP Process
Establishment of Tunnel
2.3 IPSec 프로토콜 특성
IPSec 헤더
AH Header
ESP Header
Authenticated
Connecting People To Information
IP Header AH Header
Data
IP Header ESP Header
Data
Encryption
IPSec 모드
IP Header
Data
Transport Mode
Original IP
Header
IPSec
Header
Data
Tunnel Mode
Optional Encryption
Outer IP Header
New IP
Header
Inner IP Header
IPSec
Header
Original IP
Header
Data
Optional Encryption
2.4 VPN 인증
- VPN 서버에서 인증을 수행하는 방법은 Local과 ACS 서버를 사용하는 방법이 있으며, ACS를
이용하는 경우는 Access Server와 사용자가 다수이고, Accounting 등의 기능을 수행시 사용.
- ACS 이용시 인사 서버 등과 Application을 통한 DB갱신 가능
Connecting People To Information
- 인증을 수행하는 방법은 ID 와 Password를 이용하는 방법, One Time Password를 이용하는 방법,
PKI 솔루션을 이용한 방법 등이 있음.
- xSP에서는 다수의 사용자 인증을 위해 ACS를 별도로 사용하며, 기업에서는 Local 인증을 주로사용.
- 최근에는 사용자 보안,부인봉쇄 등을 위하여 PKI도 일부 도입되고 있음.
- 아래는 Cisco과 Nortel에서 제공하는 인증기능 임.
기능
Cisco
Nortel
Local 인증
지원
지원
RADIUS 연동
지원
지원(Accounting 미지원)
PKI 지원여부(X,509)
지원
지원
Key Management
지원
지원
Authentication-Data(MD5,SHA-1)
지원
지원
NT Domains
지원
-
SecurelD
지원
-
LDAP 연동
지원
지원
PAP/CHAP
지원
지원
3. Datacraft VPN 컨설팅
3.1 개요
정의
Connecting People To Information
- ADSL VPN 도입시 VPN의 확장성과 가용성을 유지하고, 고객의 요구사항을 수용
하기 위한 장비기능,라우팅,보안,장비/서버 배치 등의 솔루션 제공
- 고품질의 일정 수준의 표준화된 VPN 서비스를 제공하기 위한 적정한 Guide 제공
특징
- 기업에 적합한 VPN 구성상의 새로운 아이디어 제공과 객관적인 접근
- VPN 구성/운영상의 문제진단 및 대응방안 제시(보안,라우팅,프로토콜 통합)
- 기업이 요구하는 VPN 구성지원
- 기존 인력의 운영능력 향상 및 교육
Connecting People To Information
3.2 컨설팅 프로세스
* Planning
* Analysis
기업의 요구 분석
기업의 VPN 용도 정의
업무 및 Data 특성
적용 대상 및 범위
Help Desk
Positive Feedback
Educatio
n
* Design
* Support
보안,라우팅,IP할당 정책
교육, Upgrade등 사용자를
위한 모든 지원 제공
장비 이중화,백업 방안
* Engineering & Customizing
VPN 성능분석 및 확장 방안
구조 최적화
3.3 컨설팅 단계별 주요활동
VPN 대상/요구사항/업무특성 파악
고객측에서 제공한 정보를 통해 현재의 VPN 대상 트래픽, 요구사항, 업무특성을 파악
Connecting People To Information
(VPN 관점의 현황 파악)
네트워크 현황 분석 및 솔루션 도출
고객의 네트워크 현황중 VPN과 관련된 부분의 현황분석 및 적합한 솔루션 도출
(VPN 적용을 위한 네트워크의 적합성, 효율성, 안전성 등)
적용 Test 및 Custimizing
고객이 지향하는 네트워크 요구사항 및 기능수용을 위한 솔루션에 검증
(VPN Business Model 지원을 위한 네트워크 중심의 솔루션)
최종보고 및 교육
고객의 VPN Business 요구를 수용한 최종보고서 작성 및 운영자 교육
(VPN 구성방안, 할용 장비, IP/라우팅 구조, 장비배치, 운영방안, 진화방향 등)
4. 사례연구
4.1 D증권
요구사항
- 지점 ADSL에서 Dynamic IP를 사용하며 Site to Site VPN 구성
Connecting People To Information
- VPN 서버와 내부망의 효과적인 접속 구성 보안, 라우팅, 장비배치
- Traffic의 용량산정에 근거한 VPN장비의 기종/성능/안정성/가용성 검증
- VPN을 경유하는 KMS,DW/CRM,HTS Traffic의 백업체계 구현
- 지점-본사간 Network 장애방지를 위한 전용선과 ADSL간 상호 백업체계 구현
- Network Path 변경시 HTS Traffic의 Session 보전방안 수립
컨설팅 내용
- Site to Site VPN 사용시 Peer 인증을 ID/PWD의 Aggressive Mode로 구현
- DMZ 구성과 VPN를 통한 라우팅 테이블 교환(Cost 조정, BGP 라우팅)
- VPN Zone 구성을 위한 트래픽 특성 파악,서버배치 및 보안적용 기준
- 각 트래픽별 백업 자동화를 위한 라우팅 기술(Cost, Default, 프로토콜 우선순위)
- 여러 개의 VPN Tunnel 생성시 효율적인 전환방안(터널 전환,라우팅,IP관리)
- PAT 개시점 교체 및 Session 유지시간 조정
제안 구성도
본사 백본 LAN
VPN 구성
F1-P
- KMS,DW/CRM: R-V와 V3간 VPN
F1-S
R4
- HTS: R-V에서 V1과 HTS용 VPN 구성(V1 실패시 V2로
S3-P
S3-S
시도)
DW/
CRM
Connecting People To Information
- KMS,DW/CRM 백업: 전용선 활용(R3에서 경로 결정)
- HTS 백업: R-V에서 V2와 VPN 구성(R3에서 경로 결정)
R2-P
전용선
V2
KMS,DW/CRM 구성
- IP: 본사용과 지점용 인터페이스 통합
- R-V와 V3를 주경로로, Intranet을 백업으로 사용
R2-S
S5
전용선 백업
KMS
R1-P
R1-S
R3
S4
S2-P
S2-S
- 시세: 별도 시세라우터 설치 및 GRE 활용
V3
Access VPN(Mobile,재택)
지점
V1-P
V1-S
- 방법: R-V에서 V3로 VPN(Network:지점-본사)
평상시는 BGP에 의해 KMS,DW/CRM만 R-V로
라우팅되다가 EIGRP Down시 모두 R-V로 전송
R-V
- V3에서 별도의 IP를 할당하여 라우팅
- R2에서 Access용 IP는 KMS로 HTTP만 허용
HTS
F2
- 세션유지: 라우터에서 PAT 실행
- 부하분산: R1,2를 이용한 부하분산
HTS
장비
Internet
F1-P: Firewall 1 Primary
S: Layer2 Switch
R1-P: Router 1 Primary
V1-P: VPN Master(서버)
R-V: Remote VPN
- R1-P, R2-P는 안정성과 성능대비 7500급 DualPower
- V1-P/S는 VRRP, R1-P/S와 R2-P/S는 HSRP 지원
구성 Sample(HTS)
본사 백본 LAN
F1-P
F1-S
R4
S6
Connecting People To Information
S3-P
1.BGP
- EIGRP 보다 순위향상
- BGP로 지점망과의 경로체크
2.Static 라우팅
- Default 0.0.0.0
- BGP IA
- 백업 VPN 151 R4
- HTS IA or BGP
3.Interface
- R1에서의 BGP 혼란제거용
loopback 인터페이스 선언
S3-S
DW/
CRM
V2
R2-S
S5
R2-P
R3
R1-P
KMS
S4
V3
HTS
F2
1.지점 R3와 BGP 구성
- V1과 2를 이용한 라우팅 시도
2.라우팅 구성
- BGP Neighbor, HTS
3.R1-P와 S는 Config 동일
1.IP Redirection 제거
2.TCP Retry 횟수 변경
R1-S
R3
S2-P
S2-S
지점
R-V
1. IA와 VPN 구성
- VPN Network 정보
:190.190.100.X-HTS Zone
2. Fail Over
- Private,Public에 대한 VRRP
3. 라우팅
- Default : 인터넷
- HTS Zone R1
V1-P
V1-S
Internet
1.HTS VPN 터널
- HTS VPN Fail시 Retry 시도
:Retry 시도후 V2와 터널생성
- VPN Network 정보
:190.190.100.X-HTS Zone
:BGP 용
2. 라우팅
- Default: ADSL
- 190.190.151.X R3
4.2 H증권
요구사항
- 지점 ADSL이 Dynamic IP를 사용시 Site to Site VPN 구성
- 전용선 Down시 VPN Tunnel을 통한 Multicast 시세전송
Connecting People To Information
(시세 정보에 대한 보안 등급은 높지 않아도 됨)
- Munticast 전송을 위한 PIM(라우팅테이블) 생성
- ADSL을 통한 인터넷 Traffic 수용(Split Routing)
- VPN 적용시 기존환경(Configuration) 보존
컨설팅 내용
- Site to Site VPN 사용시 Peer 인증을 ID/PWD의 aggressive Mode로 구현
- R-V에서 Multicast용 PIM Tree 구현 또는 GRE를 이용한 Multicast 전송방안
- PIM Tree 구성을 위한 PIMD,GATED,MROUTED,MCAST의 기능응용
- 네트워크 구성지원(Split Tunnel, 라우팅 등)
구성도
VPN 구성
시세
서버
- 전용선 Down시 VPN을 통한 시세 전송
- R-V에서 VPN과 Tunnel 생성후 PIM Tree 구성
R4
RP-1
RP-2
PIM Tree
Connecting People To Information
L3
V1
R1-P
- R3에서 전용선 장애시 IA로 Default 라우팅
R1-S
- R-V에서 PIM Tree 구성을 위한 RP까지 Hop-by-Hop
JOIN 전송((*,G),(S,G),(*,*,RP))
- VPN 장비에서도 PIM Tree 생성
- R-V와 VPN에서 PIM Tree 불가시 R3와 R4간 GRE 생성
( GRE Tunnel을 이용한 PIM Tree 생성)
Internet
R2-S
R2-P
노드
IA의 PIM 지원방안
- GATED 5.0을 이용한 PIM Support
- PIMD를 이용한 Tree 생성
- R3에서 R4로의 GRE 생성
R3-P
R3-S
BP 서버
R-V
확장성
- 백업센터 구성을 위한 유연한 구성
- 확장 및 이중화 지원
지점
장비
RP: Rendezvous Point
L3: Layer 3 Switch
R1-P: Router 1 Primary
R-V: Remote VPN
- VPN Master 기종 및 기능
Connecting People To Information
Q&A