오늘날 기업의 네트워크가 점차 확대되고 본사와 지사들간의 통신이 증가하면서, 공중망을 마치 사설망처럼 사용하여 안전한 데이터 전송을 통한 보안 유지, 비용 절감 그리고 운영 및 관리에 있어서의 유연성을 지닌 가상사설망이 등장하게 되었다. 현재 진행중인 가상사설망에 대한 연구는 터널링 방식이나 구현에만 그치고 있고, 실제 가상사설망을 설치하였을 경우 설치한 네트워크에 성능면에서 얼마만큼의 영향을 미치는 지에 대한 연구가 부족한 상황이다. 따라서, 본 논문에서는 가상사설망을 설치했을 경우 네트워크에 미치는 영향을 파악하기 위해 직접 테스트베드를 구축하고, 실제 가상사설망 프로토콜들을 그 위에 설치한 후 트래픽을 생성하고 전송하여 실험해 보았다. 그 결과 2 계층 가상사설망을 설치한 경우가 3 계층 가상사설망을 설치한 경우보다 좋은 성능을 나타냈으며, L2TP와 IPSec을 혼합하여 설치한 경우가 성능과 보안 측면으로 비교할 때 IPSec만을 설치한 경우보다 더 낫다는 것이 확인되었다.
오늘날 기업의 네트워크가 점차 확대되고 본사와 지사들간의 통신이 증가하면서, 공중망을 마치 사설망처럼 사용하여 안전한 데이터 전송을 통한 보안 유지, 비용 절감 그리고 운영 및 관리에 있어서의 유연성을 지닌 가상사설망이 등장하게 되었다. 현재 진행중인 가상사설망에 대한 연구는 터널링 방식이나 구현에만 그치고 있고, 실제 가상사설망을 설치하였을 경우 설치한 네트워크에 성능면에서 얼마만큼의 영향을 미치는 지에 대한 연구가 부족한 상황이다. 따라서, 본 논문에서는 가상사설망을 설치했을 경우 네트워크에 미치는 영향을 파악하기 위해 직접 테스트베드를 구축하고, 실제 가상사설망 프로토콜들을 그 위에 설치한 후 트래픽을 생성하고 전송하여 실험해 보았다. 그 결과 2 계층 가상사설망을 설치한 경우가 3 계층 가상사설망을 설치한 경우보다 좋은 성능을 나타냈으며, L2TP와 IPSec을 혼합하여 설치한 경우가 성능과 보안 측면으로 비교할 때 IPSec만을 설치한 경우보다 더 낫다는 것이 확인되었다.
Nowadays corporation networks are growing rapidly and they are needed to communicate with branch offices. Therefore, a VPN (Virtual Private Network) appears to reduce the cost of access and facilitate to manage and operate the enterprise network. Along with this trend, many studies have been done on...
Nowadays corporation networks are growing rapidly and they are needed to communicate with branch offices. Therefore, a VPN (Virtual Private Network) appears to reduce the cost of access and facilitate to manage and operate the enterprise network. Along with this trend, many studies have been done on VPN. It is important that the performance issues should be considered when VPN protocols are applied. However, most of them are limited on the tunneling methods and implementation of VPN and a few studies are performed on how installation of VPN affects the network. Therefore, in this paper, a testbed is constructed and VPN protocols are installed on it. Real traffic is generated and transmitted on the testbed to test how installing a VPN affects the network. As a result, layer 3 VPN protocol shows lower network performance than layer 2 VPN protocols. And we realize that the combination of L2TP and IPSec is the better method to install VPN than using IPSec only in the aspects of performance and security.
Nowadays corporation networks are growing rapidly and they are needed to communicate with branch offices. Therefore, a VPN (Virtual Private Network) appears to reduce the cost of access and facilitate to manage and operate the enterprise network. Along with this trend, many studies have been done on VPN. It is important that the performance issues should be considered when VPN protocols are applied. However, most of them are limited on the tunneling methods and implementation of VPN and a few studies are performed on how installation of VPN affects the network. Therefore, in this paper, a testbed is constructed and VPN protocols are installed on it. Real traffic is generated and transmitted on the testbed to test how installing a VPN affects the network. As a result, layer 3 VPN protocol shows lower network performance than layer 2 VPN protocols. And we realize that the combination of L2TP and IPSec is the better method to install VPN than using IPSec only in the aspects of performance and security.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 본 논문의 목적은 현제 인터넷을 사용하는 대부분 외 이용자들에 의해 가장 빈번히 사용되는 트래픽을 가상사설망이 적용된 네트워크와 가상사설망이 적용되지 않은 네트워크에 종류와 양을 달리하면서 직접 전송하여, 가상사설망 설치가 네트워크에 미치는 영향을 알아보고자 한디-. 이를 위해서, 가상사설망의 실치여부와 설치된 가상사설망 프로토콜의 종류에 따라 크게 7가지의 경우로 시나리오를 구셩하고, 이에 따라 트래픽을 직접 생성하여 전송한다.
여기서는 가상사설망에서 가장 충요한 핵심기술인 보안 서비스를 가능하게 해주는 터널링 기술에 대헤 살펴본다.
여기서는 본 논문의 데스트에서 직접 적용한 2계층 프로토콜인 PPTP와 L2TP, 3계층 프로토콜인 IPSec에 대해서 자세히 살펴본다.
본 논문은 안전성을 최대화하여 테스트를 하였디-. 따라서 터널 모드와 트랜스포트 모드 중에서 보다 높은 보안을 제공해 주는 터널 모드 방식을 작용하여 테스트를 하였다.
알아본다. 본 논문에서는 네트워크의 성능 변화를 측정하기 위해서 지연 시간, 처리율, 이용률을 이용하여 비교 분석한다. 이 세 가지는 네트워크의 상황을 확인하기 위해 살펴보는 대표적인 파라미터들이기 때문이다.
따라서 본 논문에서는 Telent 트래픽을 생성하기 앞서 패킷을 수집한 결과로 본 논문에서는 64바이트를 기준으로 테스트하였다. Telnet에서는 총 패킷 수와 총 패킷 수에 대한 각 종류별 패킷이 차지하는 퍼센트를 비교하여 시나리오별로 어떠한 차이가 있는지 알아본다.
본 논문에서는 가상사설망을 설치했을 경우 네트워크에 어떠한 영향을 미치는지에 대해 알아보았다. 여기서 다루었던 데스트를 통해서 OSI의 7계층 중에서 2계층에 가상사설망을 적용한 경우보다 3계층에 가상사설망을 사용하는 경우에 오버헤드가 증가함을 알수 있었으며, 2, 3계층 가상사설망음 함께 적용한 경우가 보안을 더 철저하게 제공해주면서도 증대되는 오버헤드의 폭이 적음을 알 수 있었다.
제안 방법
이를 위해서, 가상사설망의 실치여부와 설치된 가상사설망 프로토콜의 종류에 따라 크게 7가지의 경우로 시나리오를 구셩하고, 이에 따라 트래픽을 직접 생성하여 전송한다. 사용된 가상 사설망 프로토콜은 2계층에서 적용되는 PPTP와 L2TP 그리고 3계층에서 적용되는 IPSec이다.
사용된 가상 사설망 프로토콜은 2계층에서 적용되는 PPTP와 L2TP 그리고 3계층에서 적용되는 IPSec이다. 또한 현재 IETF를 통해서 좀 더 강력한 보안 제공을 위해 활발히 논의 중인 L2TP와 IPSec을 혼합하여 적용하는 경우에 대한 테스트 결과도 다룬다.
본 논문에서는 이 두 가지 방식 중에서 강력한 보안을 제공해 추는 Voluntary 터널링을 테스트베드에 적용하여 테스트하였다.
생성한다. 네트워크 서버가 말단 사용자를 인정하고 말단에 사용자를 위한 터널을 생성할지를 결정한 후에 전송할 데이터를 ppp 패킷으로 캡슐화하여 ISP에서 할당한 터널을 통해 보낸다. 이 때 원거리 사용자가 모뎀을 통헤 LAC(L2TP Access Concentrator)에 접근하고 홈 네트워크의 LNS(L2TP Network Server)플 통해 터널링 된다[6].
네트워크 계층의 IPSec은 네트워크 계층에 보안 서비스를 제공해 주는 메커니즘으로 현재 사용되고 있는 인터넷 프로토콜 표준인 IPv4 표준과 차세대 인터넷 프로토콜로 사용될 IPv6에 모두 보안 서비스를 제공할 수 있도록 설계되었다. 또한 현대 암호학의 기술들을 사용하고 있으며, 암호화와 인증이라는 강력한 암호학직 보안 서비스를 IP 패킷 단위로 제공해준다[6, 10].
따라서 터널 모드와 트랜스포트 모드 중에서 보다 높은 보안을 제공해 주는 터널 모드 방식을 작용하여 테스트를 하였다.
Window PC_A에서 Window PCJB 와 Window PC_C 까지는 앞의 2장에서 다루었던 터널의 두 가지 방식중 좀 더 강력한 보안을 제공해 주는 Voluntary 터널을 형성하였고, 현재 인터넷상에서 가장 많이 사용하는 멀티미디어 트래픽인 FTP, Telnet, HTTP, Fing을 트래픽 생성 도구들을 이용하여 각각 생성하고 이를 통해서 실험하였다.
본 논문에서는 Telnet 패킷을 수집하여 분석한 결과를 토대로 패킷의 사이즈를 64바이트로 통일하였다. 단, 소나기에서는 트래픽을 발생할 때 전송 속도와 분포 틍을 지정해 출 수가 없어서 트래픽 발생시 네트워크 대역폭을 최대값으로 사용하여 진송하였다.
본 논문에서는 이 중 서버의 전반적인 접수를 보여주고, 테스트의 각 믹스에 대한 촌당 요청수 및 처리율 그래프를 포함한 모든 결과를 총정리해서 보여주는 테이블 1과 클라이언트 수와 발생한 연결/전송 에러 수를 포함한 테스트 전반에 대한 부가적인 정보를 제공하는 테이블 2 그리고, 클라이언트들이 workload 파일의 사용 여부를 보여주는 테이블 3을 주로 이용하여 성능을 비교 . 분석하였다.
또한 Dashboard를 통해서 현제 네트워크 상황을 살펴볼 수 있으며 Packets/s, Utilization, Octets/s, Errors/s, Drops/s 등과 같은 다양한 종류의 히스토리 샘플을 통해서 네트워크 상황을 모니터링하고 이에 대한 통계를 낼 수 있도록 해 준다. 그 외에도 트래픽에 들어갈 헤더와 내용들을임의로 결정하여 트래픽을 생성할 수 있는 기능을 제공하고 있다.
본 테스트에서는 NetXRay를 이용해서 각 시나리오에 따른 Telnet 트래픽과 FTP 트래픽을 수집하고, 시나리오마다 네트워크의 상황이 어떻게 다른지를 히스토리 샘플을 저장하여 비교. 분석하였다.
본 논문에서 2, 3계층 가상 사설망 프로토콜인 PPTP, L2TP, IPSec을 각각 테스트베드에 설치하여 결과를 도출하였다. 이 때 사용한 테스트 시나리오는 다음과 같다.
형성한다. 이렇게 각 시나리오별로 2, 3계층 가상사설망이 이루어진 가운데 FTP, Telnet, HTTP 그리고 Ping 트레픽을 생성하여 테스트한다. 특히 2, 3계층 가상사설망을 혼합한 경우는 Linux_A와 Linux_B에 L2TP와 IPSec을 동시에 이용하여 터널을 생성한 겅우이다.
이 절에서는 FTP, Telnet, HTTP 트래픽과 Ping을 각 시나리오 별로 생성한 트래픽에 대한 테스트 결과를 알아본다. 본 논문에서는 네트워크의 성능 변화를 측정하기 위해서 지연 시간, 처리율, 이용률을 이용하여 비교 분석한다.
Telnet 트래픽을 이용한 테스트에서는 일정 데이터를 전송하는 데 걸리는 시간이 너무 짧아서 이 차이를 비교하는 것이 무의미하므로 최고 처리율과 네트워크 이용률만을 이용하여 그 결과를 비교 분석한다.
HTTP 트래픽에서의 성능 차이를 알아보기 위해서 Web- Bench에서 제공하는 테이블 중에서 결과를 총정리해서 보여주는 테이블 1과 각각 클라이언트에서 발생한 연결/전송 에러 수를 포함하는 테이블 2 그리고, 클라이언트들의 work load 파일의 사용여부를 보여주는 테이블 3을 사용한다. 테스트 결과 나타난 각 시나리오별 차이는 (그림 12)와 같다.
Pmg은 네트워크를 테스트하거나 진단하는데 사용하는 간단한 프로그램으로 네트워크 성능을 평가하기 위해서도 사용된 바 있디. 따라서, 본 논문에서도 Ping에서 패킷의 크기를 32바이트부터 1024바이트까지 변화시켜가면서 네트워크의 성능 변화를 테스트하였다. 즉, 가상사설망이 설치된 경우와 그렇지 않은 경우에 어떻게 다른 수신시간이 나타나는지 앞의 (그림 6)에서 Window PC_A와 Window PC_B 사이에 Ping을 생성하여 알아보고, 이 결과를 통해 네트워크의 성능을 평가하고자 한다.
따라서, 본 논문에서도 Ping에서 패킷의 크기를 32바이트부터 1024바이트까지 변화시켜가면서 네트워크의 성능 변화를 테스트하였다. 즉, 가상사설망이 설치된 경우와 그렇지 않은 경우에 어떻게 다른 수신시간이 나타나는지 앞의 (그림 6)에서 Window PC_A와 Window PC_B 사이에 Ping을 생성하여 알아보고, 이 결과를 통해 네트워크의 성능을 평가하고자 한다. (그림 14)는 Ping을 이용하여 100개의 패킷을 각 시나리오별로 보낸 결과를 보여주고 있다.
대상 데이터
이를 위해서, 가상사설망의 실치여부와 설치된 가상사설망 프로토콜의 종류에 따라 크게 7가지의 경우로 시나리오를 구셩하고, 이에 따라 트래픽을 직접 생성하여 전송한다. 사용된 가상 사설망 프로토콜은 2계층에서 적용되는 PPTP와 L2TP 그리고 3계층에서 적용되는 IPSec이다. 또한 현재 IETF를 통해서 좀 더 강력한 보안 제공을 위해 활발히 논의 중인 L2TP와 IPSec을 혼합하여 적용하는 경우에 대한 테스트 결과도 다룬다.
따라서 본 논문에서는 Telent 트래픽을 생성하기 앞서 패킷을 수집한 결과로 본 논문에서는 64바이트를 기준으로 테스트하였다. Telnet에서는 총 패킷 수와 총 패킷 수에 대한 각 종류별 패킷이 차지하는 퍼센트를 비교하여 시나리오별로 어떠한 차이가 있는지 알아본다.
이론/모형
Telnet 트래픽을 생성하기 위해서 한국항공대에서 게발한 트래픽 발생 도구인 소나기를 사용하였다. 소나기는 트래픽의 종류에 따라 각 혜더 필드에 송신지의 MAC 주소, 수신지의 MAC 주소, 송신지외 IP 주소, 수신지의 IP 주소와 트래픽의 종류를 구별해 주는 포트 값을 입력한다.
HTTP 트래픽을 생성하고 성능을 평가하기 위해서 ZDBOp (ZD Benchmark Operation)사에서 개발한 웹 서버 소프트웨어의 성능을 측정해 주는 도구인 WebBench를 사용하였다. WebBench는 각각 관련 프로그램을 수행하는 컨트롤러, 서버 그리고 클라이언트들로 구성되며, 서버의 성능은 초당 요청 수(Requests per second)와 처리율(Throughput)로 평가되며 점수가 높을수록 서버의 성능이 우수함을 나타낸다.
성능/효과
중요하다. 따라서 본 논문에서는 다른 트래픽들의 이동 없이 대부분의 대역폭을 모두 사용하여 테스트의 정확도를 높였다. 또한 본 논문에서 나타난 결과값은 총 5번의 반복 테스트로 얻은 값들의 평균이다.
각 2, 3계층 가상사설망에서 초과 시간을 비교해 보면, PPTP와 L2TP를 설치한 경우는 약 2~5%가 증가되었고, IPSec을 설치한 네트워크는가 증가되어 2계층 가상사설망보다 3게층 가상사설망을 설치한 경우가 더 많은 시간이 걸렸다. 여기서 주목해야 하는 부분은 바로 L2TP와 IPSec을 함께 사용한 경우에 추가적으로 요구된 시간은 11.
처리율의 경우 2계층 가상사설망을 설치했을 때 약 6〜 7% 정도 감소되었고, 3계층 가상사설망을 설치했을 때는 그보다 훨씬 큰 17-18% 정도가 감소되었다. 그러나 2, 3계층 가상사설망을 함께 설치한 경우에는 18~20%로 IPSec 만 설치한 경우보다는 약간 낮은 걸과가 나왔디.
(그림 9)에서 보여주는 이용률 역시 PPTP와 L2TP를 설치한 경우 약 3-4% 정도가 감소되었고, IPSec을 설치한 경우는 그보다 훨씬 많은 22〜25% 정도가 감소되었다一 그리나 2, 3계층 가상사설망을 함께 설치한 경우에는 25~27%로 IPSec만 설치한 경우보다는 약간 낮은 결과가 나타났다.
결론적으로, 각 시나리오별로 나타난 결과 차이는 거의 미미하다. 그 이유는 Telnet을 연결하여 통신을 할때 발생하는 패킷은 크게 64마이트 이하의 것이나 128~255바이트 사이의 것으로 패킷의 크기가 작고, 많은 양의 트래픽 이동을 요구하지 않는 Telnet 트래픽의 성격 때문이디.
tst 이다. 이 테스트는 한 번에 약 82분 정도의 시간이 소요되며, 여러 가지 다양한 멀티미디어 트래픽들을 생성하여 결과를 도출하고, 생성되는 양방향 트래픽의 길이가 다양하므로 FTP나 Telnet 트레픽과는 달리 가상 사설망 설치 여부에 따라 눈에 띄는 차이가 나타났다.
앞서 언급했던 FTP 트래픽과 Telnet 트매픽과 같이 2계층 가상사설망이 3계층 가상사설망보다는 좋은전송 성능을 보여주고 있음을 확인할 수 있다. 그리고 IPSec에서 보안을 위한 헤더로 ESP만 시-용한 경우와 AH와 ESP를 함께 사용한 경우의 초당 요청 수에는 거의 차이가 없었다.
앞서 언급했던 FTP 트래픽과 Telnet 트매픽과 같이 2계층 가상사설망이 3계층 가상사설망보다는 좋은전송 성능을 보여주고 있음을 확인할 수 있다. 그리고 IPSec에서 보안을 위한 헤더로 ESP만 시-용한 경우와 AH와 ESP를 함께 사용한 경우의 초당 요청 수에는 거의 차이가 없었다. 이를 통해서 AH의 추가 사용이 HTTP 트래픽의 전송에 미치는 영향이 극히 미비함을 확인할 수 있었디.
. 마지막으로 2, 3 계층을 함께 사용한 겅우에는 다른 트래픽 전송에서 나타난 바와 같이 3계층 가상사설망만을 시-용한 경우보다 약간 저조한 결과가 나타났다.
또한 2계층 가상사설망을 설치한 경우보다 3계층 가상사설망을 설치한 경우가 낮은 처리율을 나타냈다. 초당 요청 수와는 달리 HTTP 트래픽 처리율은 IPSec에서 ESP만 사용한 경우와 AH와 E$P를 동시에 사용한 경우에 약간의 차이가 나타났다. ESP만 사용한 경우가 AH를 함께 사용한 경우보다 약 3%정도 높은 처리율을 보였다.
3계층 가상사설망을 설치한 경우와 2, 3계층 가상사설망을 혼합한 경우에 Ping을 보냈을 떼는 패킷의 크기가 커질 수 톡 그 차이가 적어짐을 알수 있으며, 2계층 가상사설망은 가상사설망이 설치되지 않은 경우와 일정한 증가폭을 가지고 있다 역시 2계층 가상사설망만 설치한 경우는 가상사설망을 설치하지 않은 경우와 격차가 적었으며, 3계층 가상사설망이 설치한 경우는 가상사설망을 설치하지 않은 경우보다 심하게는 40%이상의 시간이 더 걸렸다. 앞서 보았던 FTP, Telnet, HTTP 트래픽과 마찬가지로 2, 3계층 가상사설망을 함께 사용한 경우는 3게층 가상사설망을 사용한 경우와 비교하여 1-3% 정도밖에 걸린 시간이 차이나지 않았다.
영향을 미치는지에 대해 알아보았다. 여기서 다루었던 데스트를 통해서 OSI의 7계층 중에서 2계층에 가상사설망을 적용한 경우보다 3계층에 가상사설망을 사용하는 경우에 오버헤드가 증가함을 알수 있었으며, 2, 3계층 가상사설망음 함께 적용한 경우가 보안을 더 철저하게 제공해주면서도 증대되는 오버헤드의 폭이 적음을 알 수 있었다. 또한, 본 논문에서 다룬 FTP와 Telnet 트래픽의 결과는 거의 비슷하나 HTTP 드래픽의 경우 주고받는 데이터의 길이가 일정하지 않고 양방향 데이터 전송이어서 각 시나리오별로 결과의 차이가 나머지 트래픽에 비해서 두드러짐을 확인할 수 있었다.
여기서 다루었던 데스트를 통해서 OSI의 7계층 중에서 2계층에 가상사설망을 적용한 경우보다 3계층에 가상사설망을 사용하는 경우에 오버헤드가 증가함을 알수 있었으며, 2, 3계층 가상사설망음 함께 적용한 경우가 보안을 더 철저하게 제공해주면서도 증대되는 오버헤드의 폭이 적음을 알 수 있었다. 또한, 본 논문에서 다룬 FTP와 Telnet 트래픽의 결과는 거의 비슷하나 HTTP 드래픽의 경우 주고받는 데이터의 길이가 일정하지 않고 양방향 데이터 전송이어서 각 시나리오별로 결과의 차이가 나머지 트래픽에 비해서 두드러짐을 확인할 수 있었다. Ping의 경우에는 패킷의 길이가 길어짐에 따라 IPSec만 사용한 경우와 L2TP와 IPSec을 혼합한 경우에 걸리는 시간의 차이가 줄어들었음을 알 수 있었디.
후속연구
향후에는 각 가상 사설망 프로토콜에서 사용한 암호화 알고리즘을 알아보고, 이 암호화 알고리즘이 네트워크에 미치는 영향을 확인하여 가상사설망에 효율적이고 적합한 암호화 알고리즘을 제시할 수 있을 것이다.
Paul Ferguson and Geoff Huston, 'What is a VPN,' Cisco Systems; Telstra Internet, Mar. 1998
채기준, '가상사설망보안', 제5회 정보통신응용워크숍 차세대 네트워크 기술 발표집 II, pp.145-173
Microsoft Corporation, 'Web Workshop-Virtual Private Networking : An Overview,' http://msdn.microsoft.com/workshop/server/feature/vpnovw.asp, May, 1998
IBM, 'The Layer 2 Tunneling Protocol(L2TP) in an IBM Virtual Private Network(VPN),' IBM Networking White Papers, http ://www.networking,ibm.eom/vpn/vpnwhite. html
Dave Kosiur, 'Building and Managing Virtual Private Networks,' Wiley Computer Publishing, 1998
IBM, 'VPN Overview,' IBM Networking White Papers: Voice-Data Integration in e-business, http://www.networking.ibm.com/vpn/vpntech.html
'What is L2TP?,' http://www.postech.ac.kr/~leonardo/reseach/12tp.htm
IETF RFC 2661, Layer Two Tunneling Protocol 'L2TP,' 1999
IETF RFC 2401, Security Architecture for the Internet Protocol, 1998
IETF RFC 2402, IP Authentication Header, 1998
IETF RFC 1827, IP Authentication using Keyed MD5, 1995
IETF RFC 2406, IP Encapsulating Security Payload (ESP), 1998
※ AI-Helper는 부적절한 답변을 할 수 있습니다.