[컴퓨터네트워크] 14주차: WAN 개념, VPN, NAT

경희대학교 유인태 교수님의 컴퓨터네트워크 강의를 기반으로 정리한 글입니다.

WAN 개념

WAN 목적

• LAN 경계를 넘는 넓은 지리적 영역을 서비스

일반적인 WAN 용어

WAN 장치

WAN 연결

VPN(Virtual Private Network)

기술 개요

• 엔드-투-엔드 프라이빗 네트워크 연결을 생성하기 위한 가상 사설 망
• 프라이빗 네트워크 내에서 정보를 전달한다는 점에서 ‘가상’이라고 하지만, 이 정보는 실제로는 공용 네트워크를 통해 전송됨
• 트래픽이 공용 네트워크를 통해 전송되는 동안 데이터를 암호화하여 **기밀성(confidentiality)**을 유지한다는 점에서 ‘사설’이라 함

이점

• 오늘날 최신 VPN은 IPsec(Internet Protocol Security) 및 SSL(Secure Socket Layer) VPN과 같은 암호화 기능을 지원하여 하나의 사이트와 다른 사이트 간의 네트워크 트래픽을 보호
• 비용 절감: 조직은 VPN을 사용하여 연결성 비용을 줄이는 동시에 원격 연결 대역폭을 늘릴 수 있음
• 보안: 암호화 및 인증 프로토콜은 데이터를 무단 액세스로부터 보호 가능
• 확장성: VPN은 조직으로 하여금 인터넷을 사용할 수 있게 해주므로 주요 인프라를 새롭게 추가하지 않고도 새로운 사용자를 쉽게 추가 가능
• 호환성: VPN은 일반적인 광대역 기술을 포함한 다양한 WAN 링크 옵션으로 구현 가능 → 원격 근무자는 이런 고속 연결을 사용하여 자사 네트워크에 안전하게 액세스 가능

Site-to-Site VPN과 Remote-Access VPN

Site-to-Site VPN

• 트래픽을 암호화하는 보안 터널을 구성할 수 있는 VPN 종단 장치(VPN 게이트웨이)가 설정되었을 때 만들어짐
• 내부 호스트는 VPN 사용 여부를 모름
• 프로토콜 이용

Remote-Access VPN

• 클라이언트와 VPN 종단 장치 간의 보안 연결을 구성하기 위해 동적으로 생성됨
• ex. 온라인 뱅킹 정보를 확인할 때 리모트 액세스 SSL VPN이 사용됨
• 애플리케이션 이용

Enterprise 및 Service Provider VPN

Enterprise VPN

• 인터넷에서의 기업 트래픽 보호를 위한 일반적인 솔루션
• 기업에서 IPsec 및 SSL VPN을 사용하여 Site-to-Site 및 리모트 액세스 VPN을 생성 및 관리

Service Provider VPN

• 서비스 제공 업체가 생성 및 관리
• Layer 2 또는 Layer 3에서 MPLS(Multiprotocol Label Switching) 기술을 사용하여 엔터프라이즈 사이트 간 보안 채널을 생성하고, 서로 다른 고객의 트래픽을 효과적으로 분리

NAT(Network Address Translation)

• NAT의 주 용도는 퍼블릭 IPv4 주소 보존
• 프라이빗 IPv4 주소를 내부적으로 사용하고 필요할 때 퍼블릭 주소로 변환
• NAT 라우터는 일반적으로 스터브 네트워크의 경계에서 동작
• 스터브 네트워크 내의 장치가 네트워크 외부의 장치와 통신하려는 경우 → 패킷은 NAT 프로세스를 수행하는 경계 라우터로 전달 → 장치의 내부 프라이빗 주소를 라우팅 가능한 외부 퍼블릭 주소로 변환

NAT 용어

NAT 주소 유형

• 내부 로컬 주소: 일반적으로 프라이빗 IPv4 주소
• 내부 글로벌 주소: 외부에서 본 출발지 장치 주소
• 외부 로컬 주소: 내부에서 본 목적지 장치 주소
• 외부 글로벌 주소: 외부에서 본 목적지 장치 주소

→ NAT 관련 용어는 주소가 변환되는 장치의 관점에서 정의

• 내부 주소: NAT 라우터에서 주소가 변환될 내부 로컬 네트워크에 있는 장치의 주소
• 외부 주소: 목적지 장치의 주소
• 로컬 주소: 내부 네트워크에 나타나는 주소
• 글로벌 주소: 외부 네트워크에 나타나는 주소

NAT 종류

정적 NAT

• 로컬 및 글로벌 주소를 일대일로 매핑
• 웹 서버와 같이 일관된 주소를 가져야 하는 웹 서버 또는 장치에 유용

동적 NAT

• 공용 주소 풀을 사용하여 선착순으로 주소를 할당
• 총 동시 사용자 세션 수를 충족할 수 있는 충분한 공용 주소 풀이 필요

PAT(Port Address Translation)

• NAT 오버로드라고도 함
• 여러 프라이빗 IPv4 주소를 단일 퍼블릭 IPv4 주소 또는 몇 개의 주소로 매핑
• NAT 라우터가 클라이언트로부터 패킷을 수신할 때 소스 포트 번호를 사용하여 특정 NAT 변환을 고유하게 식별
• 내부 장치가 인터넷 상에 있는 서버와의 각 세션 별로 서로 다른 포트 번호를 사용하도록 함

NAT 장점과 단점

장점

• 인트라넷의 사유화를 허용 → 합법적으로 등록된 주소 지정 체계를 보존
• 애플리케이션 포트 수준 멀티플렉싱을 통해 주소를 보존
• 퍼블릭 네트워크 연결의 유연성 향상
• 내부 네트워크 주소 지정 체계에 일관성 제공
• 기존 프라이빗 IPv4 주소 체계를 그대로 유지하면서 새로운 퍼블릭 주소 지정 체계로 쉽게 변경 가능
• 사용자 및 장치의 IPv4 주소를 숨길 수 있음

단점

• 데이터 전달 지연 시간 증가
• 엔드-투-엔드 주소 지정 정보(addressing) 손실
• 엔드-투-엔드 IPv4 주소 추적성(traceability) 손실
• IPsec과 같은 터널링 프로토콜의 사용이 상당히 복잡해짐
• 외부 네트워크에서 TCP 연결을 시작해야 하는 서비스 또는 UDP를 사용하는 것과 같은 상태 비저장 프로토콜은 중단될 수 있음
• 이러한 서비스를 지원하기 위해서는 NAT 라우터에 별도의 특별한 설정을 구성해야 함

정적 NAT 설정

1. ip nat inside source static 명령을 사용하여 내부 로컬 주소와 내부 글로벌 주소 간의 매핑 생성
2. 변환에 참여하는 인터페이스를 ip nat inside 및 ip nat outside 명령을 사용하여 NAT를 기준으로 내부 또는 외부로 구성

정적 NAT 설정 확인

• show ip nat translation: 활성화 되어 있는 NAT 변환을 표시

• 활성화 되어 있는 NAT 통신 세션이 있는 경우 명령을 실행하면 외부 장치의 주소도 표시

• show ip nat statistics: NAT 변환 총 수, NAT 구성 파라미터, 풀 내의 주소 수, 할당된 주소 수 등을 표시

동적 NAT 설정

1. ip nat pool 명령을 사용하여 변환에 사용할 주소 풀 정의
2. 변환할 주소를 식별(허용)하는 표준 ACL 구성
3. ip nat inside source list 명령을 사용하여 ACL을 풀에 바인딩
4. 내부 인터페이스 정의
5. 외부 인터페이스 정의

동적 NAT 분석

내부 네트워크에서 외부 네트워크로

외부 네트워크에서 내부 네트워크로

PAT 설정

단일 IPv4 주소를 사용한 PAT 구성

• ip nat inside source 명령에 overload 키워드 추가

주소 풀을 사용한 PAT 구성

• 기관/조직은 2개 이상의 퍼블릭 IPv4 주소 풀을 PAT에 사용하도록 구성 가능
• 동적 NAT 주소 풀에 PAT를 구성하려면 ip nat inside source 명령에 overload 키워드 추가

PAT 분석

PC에서 서버로

서버에서 PC로

PAT 검증