본문 바로가기
Networking

SD-WAN (1)

by 포항돼지 2023. 6. 14.

새로운 용어와 기술이 나오는 이유가 기존의 문제점과 나은 방안을 찾는 process때문에..

원거리간 IT를 연결해야하는 통신경로가 필요함, 이러한 상황에 인터넷을 구성하는 과정에서 인터넷 통신 사업자가 필요함

 

 

옛날에는 end to end , 1:1로 연결 또는 MPLS로 연결 했었는데(한 사업자에 가상화된 망 형성해서 2.5 switching으로 더 빠르게 전달) (방법이 없었어서)

 

 

요즘은, 인터넷 사업자 통신망을 통한(저렴함) VPN사용 및 IPsec Tunnel 사용해서 연결 함 (비용적인 측면에서 쌀 수밖에 없음)

 

Mixed로 사용함 (High availability purpose)

 

요즘은 Cloud 로 나가는, VPC 로 virtual 한 data center로 나가야되는 트래픽들이 많이 생겼기 때문에, 이런 service기반 관련 bandwidth 를 save하기위해서, SD-WAN 이 필요함. 옛날에는 end router단에서 ip pool에 assgin 하는 식으로 traffic seperate 시켰는데 요즘은 SD-WAN에서 서비스 관련 자동으로 나갈수 있게 smart 하게 configuration 가능하다고 한다.

 

즉 On-promise 중심에서 (옛날) Cloud 으로 이제 나가기때문에, 이 관련 관리 이슈 컨트롤 하기위해서 SD-WAN이 나온거임

WAN Archtecture trend가 이제 바뀐거임

 

 

 

SD-WAN 구성요소와 주요기능

기본적인 서비스 구조는 Underlay/Overlay 구조 :

다양한 WAN회선 유형 (MPLS VPN, 인터넷회선 , LTE등)을 단순화(추상화)하고, 라우팅을 위한 경로로만 이용

IPsec VPN Tunneling

 

 

  • Overlay : 사전에 통신 사업자(인터넷) 망을 통해 그 위에 layer하나 더 올려서 (VPN) 통신 + Encrypt 가능하게 하는 방법

그래서 어떤 Type의 WAN circuit 이든지 상관없이 다 SD-WAN 으로 Apply 가능함, 단순히 라우팅을 위한 경로로만 이용하기 때문

 

 

 

  • SD방식 (중앙 집중 관리,Software Define) :

별도의 컨트롤/관리자원 + WAN Edge자원 분리를 통한 정책/라우팅/장비 관리

 

 

  • Control plane/data plane 방식으로 통신 -> 구성에서 컨트롤러가 들어감

1.라우팅 path 를 controller 가 다 분석해서 edge router에 assign 하는 방식 (진정한 controller의 역할)

2. 단순히 장비들만 관리하는 controller 방식도 있음

Fullmesh - 모든 edge 끼리 IPsec 터널을 만듬 -> 인터넷 기반으로 터널링 함

만약에 사업장에 2개의 circuit이 있으면, 각각의 circuit 마다 별도의 IPsec Tunnel을 만든다고 생각하면 됨

 

 

  • 어플리케이션 인지 기반 라우팅 (AAR,Application Acknowledge Routing) :어떤 트래픽을 어떻게 보낼지 선택해서 보내야한다

WAN Edge상에 DPI(Deep inspection)을 통한 어플리케이션 인지를 통한 경로 선택

 

업무용/비업무용 으로 나눠서, Traffic load balancing 해야함

갖고 있는 터널 경로중 어떤걸 어디로 보내야할지

패킷을 까보고 트래픽에 대해 DPI Engine을 통해 분류 해서 policy base로 traffic path 를 assign -> 방화벽이랑 비슷하니까 

 

 

 

 

  • Cloud Access:

Public Cloud 사업자 내 Edge구성, 자동화/관리 연동 등

관리 할수 있는 영역 선에서 정책 만드는걸 추천

controller 랑 data plane도 API 형태로 관리 되게 만들어놓음

 

 

  • 기타:

Segmentation ,라우팅의 가상화, DIA (Direct Internet Access), 보안(방화벽), 품질기반 경로 전환 등

 

구축형, 서비스형(인터넷 상의 서비스 업체의 Edge에 사업장을 연결하는 방식)

 - 구축형 (On-promise)

- 서비스형 (특정 고객사에 설치하고 서비스 받는식)

Tenant 를 분리해서 보안 및 다르게 관리

각각의 edge에 quality control 이나 QoA 주기적으로 확인 가능 by policy base

 

 

 

 

 

 

 

 

 

 

 

 

티스토리툴바