안녕하세요.
시스코 코리아 네트워킹팀 SE 최우성 입니다.
오피스 네트워크의 SDN 구성을 위한 Switch 레벨의 아키텍쳐는 지난 약 7년간의 기간 동안 많은 변화가 있었습니다.
최초의 SDN의 구성 형태는 Access Level의 Switch에서 Distribution, Backbone Switch의 영역 까지 VXLAN 인프라를 어떻게 구성 할 것인가에 초점이 맞추어져 있었습니다. 이 과정에서 여러가지 구성 방안에 대한 논의가 있었습니다.
- Core-Disti-Access 전체 VXLAN 인프라
- Core-Disti 영역의 제한적인 VXLAN 인프라
- VXLAN을 사용하지 않는 제 3의 인프라
위의 3가지 예시 이외에도 오피스 SDN을 구성하기 위한 다양한 방안이 있었지만 국내 고객들의 요구 사항은 아래의 두가지로 수렴 합니다.
- 물리적인 네트워크 이동에도 단말의 IP Address의 변화가 없는 IP Address 이동성 제공
- 동일한 Switch에서 VLAN 기반이 아닌 VRF 기반의 망분리 기술 제공
위의 요구 사항을 만족 하는 SDN 프로젝트 들을 진행 하며, IP 이동성&VRF 기반의 망분리를 제공 하는 인프라의 구성과는 다른 결의 고민 사항을 만나게 되었습니다.
그것은 바로 SDN 인프라의 단말에게 IP 이동성을 제공하고 Datacenter의 VXLAN 인프라에서는 고려 되지 않는 “인증” 의 개념 입니다.
“인증”이 오피스 네트워크에서 왜 필요한 개념 인지는 아래의 그림과 함께 이해 해 볼 수 있습니다.
[ 단말의 인증 및 VLAN 할당 과정] [단말 이동시 동일 VLAN 할당 과정]
- SDN 인프라 이전의 전통적인 네트워크에서는 단말이 사용 할 VLAN은 Switch 포트에 할당 되었고, 해당 포트에 연결 되는 단말은 해당 VLAN에 연결 되었습니다.
- 따라서 단말이 지정 된 포트 이외의 다른 포트에 연결 될 경우 동일한 VLAN = IP Address를 사용 할 수 없는 경직 된 구조 였습니다.
- 하지만 SDN 인프라에서는 단말이 어떤 Switch 포트를 이용 하더라도 단말을 식별 하고 동일한 VLAN을 Switch에 동적으로 할당 하는 구조로 변경 되었습니다.
- 이때 Swich에 연결 된 단말을 식별 하고 동일한 VLAN을 제공 하기 위해 수행 되는 “인증” 이 IP Address 이동성에 중요한 요소가 된 것입니다.
- 즉 SDN 인프라의 Switch응 포트에 고정적인 VLAN을 가지지 않고, 단말이 연결 되면 인증서버에게 해당 단말의 정보를 요청 하고, 인증서버를 통해 단말의 VLAN을 동적으로 할당 받는 구조가 되었습니다.
이런 “인증”을 구현 하는 것은 새로운 고민 사항이 되었는데 그 첫번째 고민은 단말의 어떤 정보를 확인 하여 VLAN을 할당 해 줄 것인가 입니다.
크게 3가지의 방안을 고민 하게 됩니다.
- 단말의 MAC Address, 가장 단순 한 구성, 보안 수준 낮고 사용자 식별 불가능한 단점 존재, 단말 레벨의 별도의 설정이 불필요한 장점.
- 사용자 ID/PW, 가장 표준적인 구성, 보안 수준이 준수 하고 사용자 식별 가능, 단말 레벨에서 EAP를 위한 인증 추가 설정이 필요한 단점.
- 인증서, 보안적으로 가장 안전한 형태, 인증서 발급 이후 사용자 경험 측면에서 장점, 인증서의 발급 및 관리가 어려운 단점.
이중 현재 까지 가장 많이 검토되고 사용 되는 방식은 MAC Address 기반 혹은 ID/PW 기반의 인증 입니다.
하지만 인증 방식을 결정 하면 두번째 고민이 따라 옵니다.
그것은 바로 MAC Address와 ID 정보가 존재 하지 않거나, 존재 하더라도 SDN 에서 필요한 그룹화 (VLAN) 된 정보가 없다는 점 입니다.
기존 네트워크 접속이 허용 된 단말의 식별을 담당 하는 Network Access Control 시스템의 경우 해당 MAC의 접속 허용 유무에 관한 판정을 수행 할 뿐 해당 MAC이 어떤 VLAN에 속해야 하는지는 구분 하지 않습니다.
마찬 가지로 ID/PW DB의 경우에도 사내 시스템 및 어플리케이션 연결을 위해 ID/PW의 일치 여부 + 접속 가능한 시스템의 제한만을 수행 할 뿐 User가 어떤 VLAN에 위치 해야 하는지 구분 하지 않습니다.
즉, 기존 인프라가 사용 하던 MAC Address 확인 및 ID/PW 확인 절차가 스위치 레벨의 네트워크 연결과는 무관한 영역에서 이루어 졌고, 스위치가 전달 받아야 할 값을 위한 속성 값이 만들어져 있지 않습니다. 이 MAC Address 와 ID를 가진 DB는 인증서버의 정보 확인 요청에 단순히 “Yes/No”로 응답 하는 것이 아니라 어떤 그룹(VLAN)에 소속된 단말/사용자 인지를 식별 하여 그 결과를 Switch 에게 추가로 전달 해 주어야 합니다.
이를 위해 기존의 MAC, ID/PW와는 별개의 새로운 DB를 생성 할 수 있지만 이럴 경우 다음의 어려움이 있습니다.
- 두개의 DB 관리를 위한 관리상의 어려움
- 두개의 DB의 정보 동기화/무결성 검증을 위한 별도의 과정 필요
- DB의 보안성 확보를 위한 별도의 절차 마련
따라서 기존에 사용 중인 MAC, ID/PW DB와 SDN 인프라를 효율적으로 연결 하기 위한 방안들이 필요 합니다.
이후 Post 에서 3가지 방안에 대해 알아 보겠습니다.
- MAC Address를 위한 NAC(Network Access Control) 시스템과의 연결
- 어플리케이션을 위한 SSO (Single Sign On) 시스템과 네트워크 인증의 연결
- MAC, ID/PW가 아닌 컴퓨터 인증서를 활용한 인증
다음 Post 에서 먼저 “MAC Address를 위한 NAC(Network Access Control) 시스템과의 연결” 사례에 대해 알아 보겠습니다.
감사합니다.
Authors