Notice
Recent Posts
Recent Comments
Link
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
Tags more
Archives
Today
Total
관리 메뉴

SYDev

[컴퓨터 네트워크] 14주차 : WAN 개념, VPN, NAT 본문

3학년 1학기 전공/컴퓨터 네트워크

[컴퓨터 네트워크] 14주차 : WAN 개념, VPN, NAT

시데브 2024. 6. 8. 17:42
경희대학교 유인태 교수님의 컴퓨터네트워크 수업을 기반으로 정리한 글입니다.

 

WAN(Wide Area Network)

WAN 목적

  • LAN 경계를 넘는 넓은 지리적 영역을 서비스
지역망(LAN) 광역망(WAN)
좁은 지역 내에서 네트워킹 서비스를 제공 넓은 지역에 네트워킹 서비스를 제공
로컬 컴퓨터, 주변 장치 및 기타 장치를 상호 연결 원격 사용자, 네트워크 및 사이트를 상호 연결
조직 또는 개인 사용자가 소유&관리 인터넷 서비스, 전화, 케이블 및 위성 제공업체가 소유&관리
네트워크 인프라 비용 외에 LAN 사용료 X WAN 서비스는 유료로 제공
유선 이더넷 및 Wi-Fi 서비스를 사용 -> 높은 대역폭과 속도 제공 장거리 상에서 낮은 대역폭과 속도 ~ 높은 대역폭과 속도까지 제공

 

 

일반적 WAN 용어

WAN 용어 설명
DTE
(Data Terminal Equipment)		 가입자 LAN을 WAN 통신 장치에 연결
DCE
(Data Communications Equipment)		 공급자와 통신하는 데 사용되는 장치
CPE
(Customer Premises Equipment)		 Enterprise Edge에 있는 DTE 및 DCE 장치
POP
(Point-of-Presence)		 가입자가 통신 사업자 망에 연결하는 지점
Demarcation Point CPE를 통신 사업자 장비와 공식적으로 분리하는 건물 또는 물리적 위치
Local Loop(last mile) CPE를 통신 사업자의 CO에 연결하는 구리 또는 fiber 케이블
CO
(Central Office)		 CPE를 통신 사업자 망에 연결하는 지역 통신 사업자 시설 또는 건물
Toll Network WAN 사업자 망 내의 backhaul, long-haul, all-digital, 광섬유 통신 회선, 스위치, 라우터 및 기타 장비를 포함
Backhaul Network 통신 사업자 망의 여러 액세스 노드를 연결
Backbone Network 통신 사업자 망을 상호 연결하고 redundant network를 생성하는 데 사용되는 대규모 대용량 네트워크

 

-> 그림의 Enterprise Edge에 위치한 DTE(라우터), DCE(스위치) 등이 CPE

-> Cable Junction Box가 Demarcation Point

-> Co Switch가 위치한 건물이 Central Office

-> Backhaul: LAN 상의 데이터를 기지국에 모아서 통신사업자의 Backbone network에 전달

 

WAN장치

WAN 장치 설명
Voiceband Modem dial-up 모뎀으로도 알려짐. 컴퓨터의 디지털 신호 -> 아날로그 음성 주파수로 변환했던 레거시 장치.
데이터 전송을 위해 전화선 사용
DSL Modem / Cable Modem 광대역 모뎀으로 통칭되는 고속 디지털 모뎀. 이더넷을 사용하여 DTE 라우터에 연결
CSU / DSU
(Channel Service Unit/
Data Service Unit)		 디지털 임대 회선에는 CSU와 DSU가 필요. 디지털 장치를 디지털 라인에 연결
Optical Converter 광섬유 매체 -> 구리 매체연결하고 광 신호 -> 전자 펄스변환
Wireless Router / Access Point WAN 서비스 제공업체에 무선으로 연결하기 위해 사용. 
라우터 또한 셀룰러 무선 연결 사용이 가능
WAN Core devices WAN backbone은 여러 개의 고속 라우터 및 Layer 3 스위치로 구성

 

모뎀(MOdulator and DEModulator): 아날로그 / 디지털 변환기의 일종
CSU/DSU: 디지털 데이터 프레임을 WAN에 적합한 디지털 데이터 프레임으로 변환 or 그 역변환
(https://blog.naver.com/kingwjt/110005440179)

 

WAN 연결(기존 옵션과 최신 옵션)

Leased Line: 사용자가 보유하거나 통신회사로부터 임대하여 사용자가 필요시 항상 사용이 가능한 통신 선로
(https://terms.tta.or.kr/dictionary/dictionaryView.do?subject=%EC%A0%84%EC%9A%A9+%ED%9A%8C%EC%84%A0)

Packet-Switched: 패킷이 패킷에 담긴 목적지를 이용해서 여러 네트워크를 걸쳐 목적지에 도착하는 방식. Best-effort


Circuit-Switched: 호스트에서 목적지로 가는 경로가 단 하나. 전송률 100%
- Circuit을 예약하는 것이 매우 복잡해 시간이 오래 걸림 -> 효율성, 유지 관리 문제로 최근 사용 X

https://bnzn2426.tistory.com/55

PTSN: 전화망 사용
ISDN(Intergrated Service Digital Network): 통신망에서 음성, 데이터 및 비디오를 통합하여 전송하는 디지털 통신 기술 -> DSL 나오고 사장됨

Frame Relay: Frame Relay는 데이터 전송을 위한 패킷 교환 기술로, 전용 회선을 통해 데이터를 전송
ATM((Asynchronous Transfer Mode)): 데이터를 전달하는 최소 기본 단위인 Cell(53바이트 = 5바이트 헤더, 48바이트 바디) -> 고정된 53바이트의 크기로 신뢰성있고 효율성 있는 전달

Dark Fiber: 광 케이블 설치할 때 10개씩 설치 -> 2개만 사용하면, 나머지 8개는 Dark Fiber -> 나중에 수요 증가하면 이용

Ethernet WAN: 이더넷 프로토콜을 사용하여 원격 지역을 연결하는 네트워크 기술
MPLS(Multiprotocol Label Switching): 네트워크 트래픽을 label을 통해 경로별로 관리 -> 다른 프로토콜을 Label 기준으로 캡슐화

Broadband VPN: 공용 인터넷 서비스를 통해 가상 사설 네트워크(VPN)를 구축하는 기술

 

VPN(Virtual Private Networks)

  • end-to-end private network 연결을 생성하기 위한 가상 사설망 
  • private network라고는 하지만, 정보는 실제로 public network를 통해 전송된다.
  • 트래픽이 public network를 통해 전송되는 동안 -> 데이터 암호화 -> 기밀성(confidentiality) 유지 -> private이라 부르는 이유

 

VPN의 이점

  • 오늘날 최신 VPN은 IPsec(Internet Protocol Security) 및 SSL(Secure Socket Layer) VPN과 같은 암호화 기능 지원 -> 하나의 사이트와 다른 사이트 간의 네트워크 트래픽을 보호
  • 비용 절감 - 연결성 비용을 줄이는 동시에 원격 연결 대역폭을 늘릴 수 있음 (사설망을 실제로 추가하지 않았으나, 추가한 것처럼 사용 -> 인프라를 구축할 필요가 없어 물리적 연결 비용 감축)
  • 보안암호화 및 인증 프로토콜 -> 데이터를 무단 액세스로부터 보호
  • 확장성 - 조직으로 하여금 인터넷을 사용할 수 있게 해줌 -> 주요 인프라를 새롭게 추가하지 않고도 새로운 사용자 추가 가능
  • 호환성 - 일반적인 광대역 기술을 포함한 다양한 WAN 링크 옵션으로 VPN 구현 가능 -> 원격 근무자는 이런 고속 연결을 사용하여 자사 네트워크에 안전하게 액세스
IPsec VPN: 네트워크와 네트워크 연결, IP 프로토콜 이용
SSL VPN: 클라이언트와 네트워크 연결, TCP 프로토콜 이용

 

Site-to-Site VPN과 Remote-Access VPN

Site-to-Site VPN

  • 트래픽을 암호화하는 보안 터널을 구성할 수 있는 VPN 종단 장치(VPN 게이트웨이)가 설정되었을 때 만들어짐
  • 내부 host는 VPN 사용 여부를 모름

Remote-Access VPN(원격 접속)

  • 클라이언트와 VPN 종단 장치 간의 보안 연결을 구성하기 위해 동적으로 생성
  • ex) 온라인 뱅킹 정보 확인할 때 SSL VPN 사용됨

 

Enterprise 및 Service Provider VPN 

누가 서비스를 지원하느냐에 따라 분류

Enterprise VPN

  • 인터넷에서 기업 트래픽 보호를 위한 일반적 솔루션
  • 기업에서 IPsec 및 SSL VPN을 사용 -> site-to-site 및 remote-access VPN을 생성 및 관리

Service Provider VPN

  • 서비스 제공 업체가 생성 및 관리
  • Layer 2 또는 Layer 3에서 MPLS(Multiprotocol Label Switching) 기술을 사용 -> enterprise 사이트 간 보안 채널 생성, 서로 다른 고객의 트래픽을 효과적으로 분리

 

NAT(Network Address Translation)

  • 주 용도: public IPv4 주소 보존
  • private IPv4 주소를 내부적으로 사용 -> 필요할 때 public 주소로 변환
  • 일반적으로 stub network(출입구가 하나인 네트워크)의 경계에서 동작
  • stub network 내의 장치가 외부의 장치와 통신하려는 경우 -> 패킷은 nat 프로세스를 수행하는 경계 라우터로 전달됨 -> 장치의 내부 private 주소를 라우팅 가능한 외부 public 주소로 변환

 

NAT 주소 유형

  • 내부 로컬 주소(inside local address): 일반적으로 private IPv4 주소
  • 내부 글로벌 주소(inside global address): 외부에서 본 출발지 장치 주소
  • 외부 로컬 주소(outside local address): 내부에서 본 목적지 장치 주소
  • 외부 글로벌 주소(outside global address): 외부에서 본 목적지 장치 주소
  • 서버는 outside local address와 outside global address가 같은 경우가 대부분(= 외/내부에서 본 목적지(outside) address가 같다.)

 

  • inside address: NAT에서 변환될 내부 로컬 네트워크 장치의 주소
  • outside address: 목적지 장치의 주소
  • local address: 내부 네트워크에 나타나는 주소
  • global address: 외부 네트워크에 나타나는 주소

-> 서버(목적지)의 local/global address는 209.165.201.1로 같다. -> 내부 네트워크에서 보든, 외부 네트워크에서 보든 똑같다.

 

NAT 종류

정적 NAT

  • local 및 global address를 일대일로 매핑
  • 웹 서버와 같이 일관된 주소를 가져야 하는 웹 서버 혹은 장치에 유용

-> 외부에서 내부 서버에 접속하려는 특별한 경우

동적 NAT

  • 공용 주소 풀을 사용하여 선착순으로 주소를 할당(총 동시 사용자 세션 수를 충족할 수  있는 충분한 공용 주소 풀이 필요)

-> 정적 NAT는 출발지와 목적지 미리 고정

-> 동적 NAT는 유동적으로 결정 (N:1, 1:N, N:M)

 

PAT(Port Address Translation)

local network의 100명의 사용자들이 하나의 global address 하나 사용

-> 주소 고갈 문제 해결 -> 내부 호스트들은 어떻게 구분? -> port 주소 활용

 

  • NAT 오버로드라고도 함
  • 여러 private IPv4 주소 -> 단일 public IPv4 주소 또는 몇 개의 주소로 매핑
  • NAT 라우터가 client로부터 packet을 수신할 때, source port number를 사용하여 -> 특정 NAT 변환을 고유하게 식별
  • 내부 장치가 인터넷 상에 있는 서버와의 각 세션 별로 서로 다른 포트 번호를 사용하도록 함

-> 여래 host가 하나의 global 주소를 공유하지만, port 번호가 붙어서 고유하게 식별 가능 

-> port 주소는 16비트 -> 모두 사용하면 -> 다음번 사용 가능한 IP 주소로 넘어가서 포트번호 1부터 다시 시작

 

-> global 주소 209.165.200.226을 공유하나, port 번호 1555와 1331에 의해서 고유하게 식별됨

 

NAT의 장점과 단점

장점

  • 인트라넷의 사유화를 허용 -> 합법적으로 등록된 주소 지정 체계를 보존
  • application port 수준 multiplexing을 통해 주소를 보존
  • public network 연결의 유연성 향상
  • 내부 네트워크 주소 지정 체계에 일관성을 제공
  • 기존 private IPv4 주소 체계를 그대로 유지하면서 -> 새로운 public 주소 지정 체계로 쉽게 변경 가능
  • 사용자 및 장치의 IPv4 주소를 숨길 수 있음
Application port 수준 multiplexing
 예를 들어, HTTP는 80번 포트를 사용하고, HTTPS는 443번 포트를 사용합니다. SMTP는 25번 포트를 사용하고, FTP는 21번 포트를 사용
 애플리케이션 포트 수준 멀티플렉싱은 이러한 포트 번호를 사용하여 여러 애플리케이션이 하나의 IP 주소에서 동작 -> 하나의 서버가 웹 서버와 FTP 서버를 호스팅하고 있을 때, 클라이언트는 웹 브라우저를 통해 HTTP 요청을 보내고, FTP 클라이언트를 통해 FTP 요청을 보낼 수 있음
 서버는 각 요청의 포트 번호를 확인하여 해당하는 서비스로 요청을 라우팅합니다.

->> 이러한 방식으로 애플리케이션 포트 수준 멀티플렉싱은 네트워크 리소스를 효율적으로 활용하면서도 여러 애플리케이션을 동시에 호스팅할 수 있는 장점을 제공합니다.

 

단점

  • 데이터 전달 지연 시간이 증가
  • end-to-end 주소 지정 정보(addressing) 손실 -> 내부 디바이스의 실제 IP 주소 확인 어려움
  • end-to-end IPv4 주소 추적성(traceability) 손실 -> 특정 네트워크 활동의 추적 어려움
  • IPsec과 같은 터널링 프로토콜(네트워크에서 데이터를 안전하게 전송하기 위해 사용하는 프로토콜)의 사용이 상당히 복잡해짐
  • 외부 네트워크에서 TCP 연결을 시작해야 하는 서비스 or UDP를 사용하는 것과 같은 상태 비저장 프로토콜 -> 중단될 수 있음(이러한 서비스를 지원하기 위해서는 NAT 라우터에 별도의 특별한 설정을 구성해야 함)

 

'3학년 1학기 전공 > 컴퓨터 네트워크' 카테고리의 다른 글

[컴퓨터 네트워크] 13주차 : 무선 LAN  (0) 2024.06.05
[컴퓨터 네트워크] 12주차 : 리던던트 네트워크, STP 개념, 이더채널, FHRP  (1) 2024.06.03
[컴퓨터 네트워크] 11주차 : 네트워크 보안, LAN 보안 개념, 스위치 보안 기술, ACL  (0) 2024.05.28
[컴퓨터 네트워크] 10주차 : VLAN 활용, VLAN 트렁크, DTP, Inter-VLAN 라우팅  (0) 2024.05.13
[컴퓨터 네트워크] 9주차: 2계층 스위치, 스위칭 개념, VLAN 개념  (0) 2024.05.09
'3학년 1학기 전공/컴퓨터 네트워크' Related Articles more