VPN이란 공중망에서의 물리적인 구성과 무관하게 논리적으로 폐쇄된 사용자 집단을 구성하여 각종 통신 서비스를 제공하는 기술이다. 이러한 VPN을 구성하기 위해 IP/IP, GRE, L2TP, MPLS 등 다양한 기술들이 제시되었고, 그 중에서 MPLS를 이용한 방식이 다른 기술에서는 제공하기 어려운 QoS, 보안, 관리 유지 등을 제공하는데 많은 장점을 갖고 있다. 본 논문에서는 기존의 라우터 제조업체들에서 제안된 Network 기반 VPN 즉, PE 라우터(Provider EdgeLabel Switch Router) 기반 MPLS VPN과는 달리 CE 라우터(Customer Edge LSR) 기반의 MPLS VPN 방식을 제시하였다. PE 라우터 기반 MPLS VPN에서의 단점을 보완하기 위해 CE 라우터 기반 MPLS VPN 제어 요소 및 동작 절차를 지역(Customer) 네트웍과 망사업자(Provider) 네트웍에서의 MPLS Edge 라우터를 기반하여 설계하였고, PE 라우터 기반의 MPLS VPN과 CE 라우터 기반의 MPLS VPN의 성능을 비교하였다.
VPN이란 공중망에서의 물리적인 구성과 무관하게 논리적으로 폐쇄된 사용자 집단을 구성하여 각종 통신 서비스를 제공하는 기술이다. 이러한 VPN을 구성하기 위해 IP/IP, GRE, L2TP, MPLS 등 다양한 기술들이 제시되었고, 그 중에서 MPLS를 이용한 방식이 다른 기술에서는 제공하기 어려운 QoS, 보안, 관리 유지 등을 제공하는데 많은 장점을 갖고 있다. 본 논문에서는 기존의 라우터 제조업체들에서 제안된 Network 기반 VPN 즉, PE 라우터(Provider Edge Label Switch Router) 기반 MPLS VPN과는 달리 CE 라우터(Customer Edge LSR) 기반의 MPLS VPN 방식을 제시하였다. PE 라우터 기반 MPLS VPN에서의 단점을 보완하기 위해 CE 라우터 기반 MPLS VPN 제어 요소 및 동작 절차를 지역(Customer) 네트웍과 망사업자(Provider) 네트웍에서의 MPLS Edge 라우터를 기반하여 설계하였고, PE 라우터 기반의 MPLS VPN과 CE 라우터 기반의 MPLS VPN의 성능을 비교하였다.
The VPN(Virtual Private Network) is a private network constructed logically on a public network infrastructure. There have been numerous studies to support the VPN services by using different technologies such as IP in IP, GRE, L2TP, MPLS and so on. Among these technologies, MPLS has shown many meri...
The VPN(Virtual Private Network) is a private network constructed logically on a public network infrastructure. There have been numerous studies to support the VPN services by using different technologies such as IP in IP, GRE, L2TP, MPLS and so on. Among these technologies, MPLS has shown many merits in aspects of QoS, security, and management, compared with other technologies. As an enhancement of the VPN that is controlled by MPLS PE(Provider Edge) routers, this paper presents the VPN controlled by MPLS CE(Customer Edge) routers. The functional architecture of the CE based VPN and operations of the CE routers are described along with the performance comparison of CE based MPLS VPN. It has been shown that the CE based VPN has more advantages than PE based VPN with respect to independency, scalability, security, and complexity.
The VPN(Virtual Private Network) is a private network constructed logically on a public network infrastructure. There have been numerous studies to support the VPN services by using different technologies such as IP in IP, GRE, L2TP, MPLS and so on. Among these technologies, MPLS has shown many merits in aspects of QoS, security, and management, compared with other technologies. As an enhancement of the VPN that is controlled by MPLS PE(Provider Edge) routers, this paper presents the VPN controlled by MPLS CE(Customer Edge) routers. The functional architecture of the CE based VPN and operations of the CE routers are described along with the performance comparison of CE based MPLS VPN. It has been shown that the CE based VPN has more advantages than PE based VPN with respect to independency, scalability, security, and complexity.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문메서 제시된 CE 라우터 기반 MPLS VPN에 서는 VPN 시스템의 유연성을 보창하기 위하여 VPN 사이트 내의 CE 라우터메 VPN을 수행하기 위한 기늠을 추가한 것이다. 이러한 ■결과旦서 PE 라우터는 VPN 서비스를 위한 최소한의 VPN membership 정보만율 갖고 있게 된다.
이러한 단점을 해결하기 위하여, 본 논문에서는 CECCustomer Edge) 라우터 기반의 MPLS VPN욜 구 성하기 위한 기본 구조를 제시하고 그에 따른 제어요소 및 동작절차를 정의하였다.
이외에도, MPLS 망뿐만 아니라 ATM과 IP 등과 갇은 다른 망에서 VPN을 구성하는 경우, 본 논문에서 제시된 방식과 연동 시의 문제점을 .보다 구체적으로 분석해야 할 것이다.
가설 설정
이와 갑은 구성을 기반으로 3개의 PE 라우터에 새로운 VPN 사이트들이 추가되거나 삭제된다. Customer 사이트 네트웍과 망사업자 네트웍 내에서 전송 오류는 없고, 각 네트웍 내에서의 전송 지연은 각각 평균 2외 값을 갖는 지수 분포를 따른다고 가정하였다. 두 가지 MPLS VPN 방식에서 CE 라우터와 PE 라우터가 VPN 계층에서 서비스를 지원하기 위해 수행되는 메시지의 처리 시간과 IP 계층에서의 메시지 처리 시간을 기준으로 각 라우터에 영향을 주는 작업 부하를 결정하였다.
CE 라우터 기반 MPLS VPNe VPN 사이트의 수가 중까함메 따라, 네트왹 기반 MPLS VPN보다 PE 라우 터외 성능을 향상시킨다. 따리-서, 앞으로 MPLS VPN 을 포함한 VPM의 시장이 급속히 확대될 것으로 많은 시장 조사 기관에서 예측한 것처럼, 제안된 모델의 적용 가능 섬몬 VPN 의 증가 속도메 따라 더욱 커질 것이다.
147)른 할당받는다. 또한, CE 라우터는 지-신이 속한 VPN 사이트의 VPN-ID(예 : A)를 알고 있다고 가정한다.
ISF내의 Edge 바우터인 PE 라우터들 사이에는 도달 정보(reachability information)를 교환하기 위하여 여러가지의 프로토콜이 사용된 수 있다. 하지만, 본 논문에서는 망사업자 네트웍내의 PE 라우터 사이에는 네트웍 도달 성보를 송수신하기 위해 BGP가 수행된다고 가정한다. 따라서, VPN membership 정보는 BGP게 piggybacking되어 다른 PE 라우터에게 전달되며, 이 VPN membership 정보는 수신된 모든 PE 라우터의 VPN infomation table메 저장된다.
제안 방법
2, 9상에서 C 언어를 이용하여 구현하였다. CE와 PE 라무터에서 VPN 서비스를 지원하기 위해 필요한 제어요소인 VPN member caching 테이블과 VFN 정보 테이쁠은 링크 리스트로 구현하였고, CE 호】- PE 사이의 메시지 전달올 위해 TCP (UDP)/IP Socket을 사용하였다. MPLS 계층은 LDP에 기반하여 연구실 메서 개발한 뿌분을 이융하였다[15].
Remote는 차신과 직접 연결되지 않은 VPN 정보를 외미한다. PE 라우터가 CE 라우터로부터 VFN 정보를 받은 후, 자신의 VPN information table욜 검색하여 이 라우터와 같은 VPN이 있는지를 확인한다.
VPN A/sitel(10.1/16)에 속한 호스트에서 VPN A/si坨2(10.2/16)에 속한 호스트로 패킷믈 천송하고자 하는 경우, VPN A/血放에 속한 CE 라우터(그림 7의 예 : 168.188, 46.147)^ 자신의 FIBfForwarding Information Base) 테이븐에 FEC(1O2)의 존재 여부를 검시-한다. 만월 FECX1Q2)가 존제한다면 FIB 테이븐 내에서 LIB(Label Information Base) 테이뷴로의 포인터가 존재하게 된다- 이 경무에는 LIB 테미븐내의 레이블 성보 에 기반하여 이미 설정된 LSF에 따라 패킷믈 전송하게 된다-
메 속한 CE 라우터는 자신의 F1B 테이블과 LIB 테이블에 해당 정보를 삽입한다. 그번 다음, VPN A*l /w에 속한 CE 라우터는 FIB 테이블을 다시 포사하여 PE 리우터의 FEC(156.188, 46.130)가 존재하는지를 검사한다. 만밀 존재하면 VPN A/蔔tel 에 속한 CE 라우터의 LIB 테이블에서 FEC (10.
다른 PE 라우터旦부터 VPN 사이트의 삭제 정보를 받은 PE 라우터는 VPN iiilbrmation table내에 Type 필드-의 값이 ”Loe1”인 엔트리중에서 삭제될 VPN과 같은 종류의 WNTD가 있는지를 검사한다. 만일 같은 VPNTD가 있다면, PE 라우터와 stub link로 연결된 CE 라우터에게 "Update" 메시지를 전송한 후, 지-신의 VPN information t가M 에서 해담 정보률 삭제한다.
다음으로, VPN 사이트의 추가 흑은 삭제 동작이 CE/PE 라우터에 미치는 영향을 살펴보았다. VPN 사이트 추가나 삭제와 같은 동작은 그 빈도가 증가함에 따라 CE/PE 라우터에서 처리하는 메시지의 수를 상당히 증가시키기 때문에 라우터의 성능에 영향을 주는 종요한 요인으로 간주할 수 있다.
Customer 사이트 네트웍과 망사업자 네트웍 내에서 전송 오류는 없고, 각 네트웍 내에서의 전송 지연은 각각 평균 2외 값을 갖는 지수 분포를 따른다고 가정하였다. 두 가지 MPLS VPN 방식에서 CE 라우터와 PE 라우터가 VPN 계층에서 서비스를 지원하기 위해 수행되는 메시지의 처리 시간과 IP 계층에서의 메시지 처리 시간을 기준으로 각 라우터에 영향을 주는 작업 부하를 결정하였다.
따라서, 본 논문에서는 Customer 사이트 내에 속한 CE 라우터(Customer Edge LER)에 기반한 MPLS VPN을 대안으로 제시하였고, Network 기반 MPLS VFN에서의 방식과 달리 CE 라우터 기반외 MPLS VPN 제어요소 및 동작 절차를 Customer 네트웍과 망 사업자 네트웍에서의 PE 라우터에 기반하여 설계하였다. 이 방식에서는 VPN 사이트에 속한 CE 라우터에 VPN을 수행하기 위한 기능이 추가되지만, PE 라우터 는 VPN 서비스를 위한 최소한의 VPN 정보만올 갖고 있게 된다.
그러나, VPN 사이트의 추가나 삭제는 실체 실험을 위해 VPN을 구축하는데 많은 이려음이 있기 때문에 성능 분석을 위해 본 논문에서는 COVERS라는 툴을 이용한 시뮬레이션 방범음 사용하였다. 또한, 시뮬레이션의 공정성올 보장하기 위해 실제 구현된 프로토콜에 기반하여 CE/PE 라우터에서의 메시지의 처리시간을 측정하였고, 해당 측정값을 시뮬레이션 모델에 적용하였디..
MPLS 계층은 LDP에 기반하여 연구실 메서 개발한 뿌분을 이융하였다[15]. 우선, 구현된 프로토콜을 이용하여 MPLS VPN 구성 방식들의 성능을 비교하였다- 성능 분석을 위해 Edge 라우터의 동작에 엉향을 주는 중요한 요인 중에서, VPN 사이트 간에 데이타 패킷을 전솜하는 경우 Edge 바■우터에서 LSP를 실정하기 위해 필요한 VPN 관련 테이블들외 lookup 시간을 측정하였다.
위의 과정까지 수행된 이후에는, 각 VPN 사이트에 속한 CE 라우터는 자신과 같은 VFN 사이트 내 CE 라우터의 목적지 IP 주소를 알게된다. 이 때, 같은 VPN에 속해 있는 CE 라우터와 CE 라무터 사이에는 각 VPN 사이트의 도달 정보(「eachabiliLy information) 등을 교환해야 하는데, 이를 위해 다양한 프로토콜을 선택할 수 있으며, 본 논문에서는 그 중 BGP를 시용하였다. BGP 를 통하여 전달되는 정보들은 CE 라우터 내의 VPN routing table에 VPN FEC 필드의 값으로 저장된다.
이 작업 부하 역시 폔티엄 II 450 MHz 사양을 갖는 컴퓨터에 리눅스 커널 버전 2.2.9를 설치한 후, MPLS VPN 프로토콜을 직접 실행하여 VPN 계층과 IP 계층에서외 메시지 처리 시간으로 측정하였다. 측정값 중에서 가장 작은 시간올 갖는 CE 라우터에서 Deregistration 메시지의 전송 처리 시간을 작업 부하 1로 설정 하고, 다른 통작들의 처리 시간의 작업 부하는 이에 대한 상대져 비율로 결정하였다.
미 때, VFN 정보를 검색하기 위해 VFN 관련 테이블들을 lookup 하는 시간은 CE 와 PE 리-우터의 수행 시간에 상당한 영향을 주는 요인이 될 것이다. 이러한 lookup 시간을 산줄하기 위해 펜티엄 II 450 MHz 사양을 갖는 컴퓨터상에서 MPLS VPN 프로토콜을 실행하여 시간을 측정하였다為
뽄 논문에서는 MPLS 도메인 내에서 VPN을 구성하기 위한 구조적 모델음 정의하였고, 제안된 모델의 제어요소 및 동작절차믈 설계하몄다. 제시된 모델몬 VPN을 구성하기 위한 단순한 미〕커니즘을 제공하며, Customer 사이트 내의 토폴로지 변회'가 망사업자 네트웍의 라우터 (PE) 메 영향을 주지 않고 사용자의 다양한 요구사항을 수용할 수 있도록 유연성을 보장해 준다.
9를 설치한 후, MPLS VPN 프로토콜을 직접 실행하여 VPN 계층과 IP 계층에서외 메시지 처리 시간으로 측정하였다. 측정값 중에서 가장 작은 시간올 갖는 CE 라우터에서 Deregistration 메시지의 전송 처리 시간을 작업 부하 1로 설정 하고, 다른 통작들의 처리 시간의 작업 부하는 이에 대한 상대져 비율로 결정하였다.
이론/모형
VPN 사이트 추가나 삭제와 같은 동작은 그 빈도가 증가함에 따라 CE/PE 라우터에서 처리하는 메시지의 수를 상당히 증가시키기 때문에 라우터의 성능에 영향을 주는 종요한 요인으로 간주할 수 있다. 그러나, VPN 사이트의 추가나 삭제는 실체 실험을 위해 VPN을 구축하는데 많은 이려음이 있기 때문에 성능 분석을 위해 본 논문에서는 COVERS라는 툴을 이용한 시뮬레이션 방범음 사용하였다. 또한, 시뮬레이션의 공정성올 보장하기 위해 실제 구현된 프로토콜에 기반하여 CE/PE 라우터에서의 메시지의 처리시간을 측정하였고, 해당 측정값을 시뮬레이션 모델에 적용하였디.
성능/효과
이러한 VPN 을 구축하는 방안으로는 IP(Intemet Protocol) 계풍에서 IP 터널링 방식과 MPLS (Multiprotocol Label Switching)을 이용한 방식이 있다.(2) [3] [4L MPLS 기반의 VPNe IP 터널링 기반의 VFN에서 제공하기 어려운 QoS나 보안 등을 제공할 수 있다는 장점이 있고, 높은 확장성, 효과적인 비용, 그리고 사용자 요구의 광범위한 핸들링을 제공하여 IP 서비스를 낮은 비용으로 제공해 준다. MPLS는 이와 같은 잇점을 바탕으로 VPN을 구성하기 위한 최적의 방안으로 간주되고 있으며, IETF메서는 MPLS VPN을 표준화하기 위해 시도굼이다.
또한, CE 라우터 기반 MPLS VPNe VFN 사이트의 추가 혹은 삭제에 따른 topology 변화가 망사업자의 PE 라우터에게 큰 영향을 주지 않기 떼문에 시스템의 확장성을 높일 수 있다. 망사업자에게 최소한의 VPN membership 정보만올 제곰하므로 시스템의 보안 즉면 에서도 많은 장점을 갖는다.
후속연구
그러나, VPN 사이트의 지속적인 증가에 따라 보안의 문제점이 발생한 가능성이 높아지게 되며, 이러한 문제 점의 해결방안으로서 CE/CE 라우터, CE/PE 라우터 사이에 높은 수준의 인증과 보안 기술 개발이 필요하다. 또한, VPN 사이트 내외 호스트가 다른 사미트로 이동할 때, 이동 호스토가 방문한 VPN 시叫트에서도 계속 VPN 서비스를 제공받기 위한 이동성 지원 기술도 햠후 연구되어야 한다.
이외에도, MPLS 망뿐만 아니라 ATM과 IP 등과 갇은 다른 망에서 VPN을 구성하는 경우, 본 논문에서 제시된 방식과 연동 시의 문제점을 .보다 구체적으로 분석해야 할 것이다.
본 논문에서 제안한 방시믄 CE/PE 라무터 내의 제어 요소들을 간단히 수정함으로써 MPLS 망메서 뿐만 아니라 기존의 IP 망에서도 VPN을 구현할 수 있으며, MFLS의 응용 서비스로서 VPN올 투명성있게 제공하는 기반이 될 수 있을 것이다
참고문헌 (15)
Ferguson, P., Huston, G., 'What is a VPN,' The Internet Protocol Journal, Volume1, Number 2, September 1998
Bleeson, B. et al, 'A Framework for IP Based Virtual Private Networks,' draft-gleeson-vpn-framewrok-01.txt, February, 1999
Callon, R. et al, 'A Framework for Multiprotocol Label Switching,' draft-ietf-mpls-framework-05.txt, September 1999
Muthukrishnan, K. et al, 'A Core MPLS IP VPN Architecture,' June, 2000
Hamzeh, K. et al, 'Point-to-Point Tunneling Protocol,' draft-ietf-pppext-pptp-10.txt, April, 1999
Townsley, W. et al, 'Layer Two Tunneling Protocol,' draft-ietf-pppext-12tp-16.txt, June 1999
Perkins, C., 'IP Encapsulation within IP,' RFC2003, October, 1996
Andersson L. et al, 'LDP Specification,' RFC3036, Jan. 2001
Jamoussi, B., 'Constraint-Based LSP Setup using LDP,' draft-ietf-mpls-cr-ldp-03.txt, September, 1999
Rosen, E., Rekhter, Y., 'BGP/MPLS VPNs,' RFC2547, March 1999
Ould-Brahim, H. et al, 'BGP/VPN:VPN Information Discovery for Network-based VPNs', July 2000
Chandra, P. et al, 'BGP Communities Attribute,' RFC1997, August 1996
Rekhter, Y. et al, 'A Border Gateway Protocol 4,' draft-ietf-idr-bgp4-12.txt, Jan. 2001
Rekhter, Y., Rosen, E., 'Carrying Label Information in BGP-4,' draft-ietf-mpls-bgp4-mpls-03.txt, September 1999
Eunah Kim, Woojik Chun, 'The LDP Implementation for a Linux-based LSR,' ICOIN 14th Proceedings, Taipei Taiwan, pp. 4D-2.1-4D-2.7, Taipei Taiwan, Jan. 2000
※ AI-Helper는 부적절한 답변을 할 수 있습니다.