주니퍼(Juniper)가 작년에 인수한 SD-WAN 업체 128테크놀로지스(128T)의 핵심 기술인 SVR(Secure Vector Routing)에 대해 간단히 정리해본다.
* 관련 기사: 주니퍼, ‘128T’ 인수…‘SD-WAN’ 패권 경쟁 심화
한국에는 에스넷과 계약을 통해 진출해 128T의 소프트웨어 기반 세션 스마트 라우터(Session Smart Router)와 에스넷의 매니지드 서비스 역량을 결합해 스마트 IT 서비스 플랫폼 ‘S-WAN(Smart-WAN)’으로 출시됐다.
핵심 기술인 SVR(Secure Vector Routing)는 은 기존 SD-WAN이 사용하는 IPsec 터널 방식이 아닌 tunnel free 방식이다. 터널 방식 대비 오버헤드가 약 30% 작아 트래픽을 절감할 수 있다고 한다.
128테크놀로지스(128T) 기술이 어떻게 동작하는지는 아래 PacketPushers에 설명되어 있다.
Packet Walking Through A 128 Technology Network
 |
| <Session-Aware Data Plane> |
SVR 프로토콜에 대한 보다 자세한 설명은 아래 Tech Field Day 녹화 영상이나 데이터넷TV의 '[한국주니퍼네트웍스] SD-WAN 패러다임 전환, 주니퍼 Session Smart Networking' 세미나 영상을 보면 좀더 도움이 된다.
✓ 128 Technology Routing Protocols: SVR (01:06:34)
https://youtu.be/WtLXJibOzFw
✓ [한국주니퍼네트웍스] SD-WAN 패러다임 전환, 주니퍼 Session Smart Networking (32:10)
몇 가지만 요약하면...
▶ 128T SSR(Session Smart Router)은 다양한 middlebox 기능(security, routing, firewall, VPN, and load balancer)을 통합
▶ 기본적으로 5-tuple (original source & destination IP 주소, original source & destination 포트, IP 프로토콜)로 metadata 만듬
▶ Default로 암호화(AES256)와 인증(HMAC-SHA256-128)
▶ Stateful 방화벽처럼 세션 테이블 구성
▶ Waypoint라는 SVR이 설정된 라우터 hop 간의 connection & path attributes는 BFD(Bi-directional Forwarding Detection) 프로토콜로 체크
▶ Public 인터페이스로 패킷을 보내기 전에 default로 double NAT (소스 및 목적지 IP 포트 모두 NAT) 수행, 추가적으로 세션 기반 source & destination NAT (44,64,46) 도 지원
▶ 128T 라우터를 통과하는 모든 세션에 대해 DoS & DDoS 방어 기능
아래 128T의 기술백서도 SVR이 어떻게 동작하는지 잘 설명하고 있다.
Session Smart Routing: How it Works (PDF)
 |
| <Session-based First Packet Processing> |
새로운 TCP 또는 UDP 세션에 해당하는 첫 번째 패킷이 SVR 기반 라우터에 도착하면 세션에 해당하는 적절한 경로를 결정한다.
✓ SVR 기반 라우터는 패킷의 소스 주소를 자체 송신 waypoint IP 주소로 변환한다. 패킷의 목적지 주소는 목적지 SVR 기반 라우터의 waypoint 주소로 변환된다.
✓ SVR 라우터는 패킷에 메타데이터를 추가한다. 이 메타데이터에는 다른 정책·제어 매개 변수와 함께 패킷의 원래 소스 및 목적지 주소가 포함된다. 그런 다음 메타데이터가 서명되고 선택적으로 암호화된다.
✓ 패킷은 다음 SVR 라우터의 waypoint 주소로 전달된다.
✓ 마지막 홉 SVR 기반 라우터에서 인증 및 권한이 부여되면 원래 패킷 내용이 복원되고 최종 목적지로 전달된다.
✓ 동일한 세션의 후속 패킷은 동일한 방식으로 자동 인식되고 전달되지만 "첫 번째 패킷 처리(first packet processing)"는 없다.
✓ 위의 처리와 유사하게 SVR은 첫 번째 순방향 패킷과 동일한 경로를 따르는 첫 번째 역방향 패킷에 메타 데이터를 추가한다. 이제 완전한 경로 대칭(path symmetry)이 설정된다.
* 참고 자료 및 출처
No comments:
Post a Comment