트렌드 | Business Trends

[칼럼] 시스코의 SD-WAN 스토리(1)

Korea Blog Editor
2017-05-22

시스코를 오래전부터 알고 계신 분들께서는 아마 “네트워커스(Networkers)”라는 행사를 기억하실 것입니다. 매년
삼성동 코엑스에서 열렸던 국내 최대의 네트워크 잔치였는데요, 이 Networkers가Cisco
Live!로 이름을 바꾸고
규모도 훨씬 더 커져서 이제는 북미, 유럽, 남미, 호주에서 1년에 네 차례 열리고 있답니다.

이 Cisco Live!에서는 네트워크를 운영하시는 고객 및 네트워크
엔지니어 분들께서 다양한 기술 세션을 선택해서 들을 수도 있고 World of Solutions라고 하는 전시 부스에서 본사의 제품 담당자 및 개발 엔지니어의
설명과 함께 시스코의 솔루션을 직접 만나볼 수 있습니다.

또 한편으로 Cisco Live!는 저희 시스코의 중요한 신제품과
솔루션을 출시하는 중요한 이벤트이기도 한데요, 오늘은 최근에 열렸던 Cisco Live! Berlin 행사에서 발표된 흥미로운 솔루션 이야기를 나눠볼까 합니다.

이제는 WAN(Wide Area Network)도 “Software-Defined”되는 시대 -시스코의 SD-WAN 솔루션

Software-Defined라는 표현은 이제 더 이상 새롭게 들리지 않을 정도로 우리 곁에
가까이 다가왔고, 네트워크 뿐 아니라 IT 인프라 전반을
새롭게 정의하는 새로운 패러다임이 되었습니다. 처음에는 SDN(Software
Defined Network)이라는 보편적인 개념에서 시작되어 주로 데이터센터 분야에서 여러 접근법이 개발되었고, 이제는 SDDC(Software Defined Data Center)라는
개념 없이는 데이터센터를 논하기 힘들 정도로 기술이 성숙단계에 들어선 것 같습니다. 이 SDDC 시장에서 선두를 달리고 있는 저희 ACI(Application
Centric Infrastructure) 솔루션의 명성을 이어서 이번 Cisco Live!
Berlin에서는 시스코의 SD-WAN 솔루션이 발표 되었습니다.

WAN하면 회선이니 전용선이니 하는 단어가 먼저 떠오르는데, 이걸 어떻게 소프트웨어 기반 컨트롤러에서 제어/관리 하냐구요? 본격적으로
그 이야기를 풀어나가 보겠습니다.

WAN을 구성하는 물리적인 요소를 보면 크게 이렇게 두가지가 됩니다.

·회선

·본점과 지점단에 놓여지는 장비

이중에 오늘은 먼저 회선 부문의 변신(?)에 대해서 살펴 보도록
할게요.

다양한 WAN
회선을 마치 하나인 것처럼 가상화하는 시스코의 IWAN 솔루션

사실 이 회선 분야에서는 오래전부터 가상화 기술이
사용되고 있었어요. 바로 여러분이 잘 아시는 VPN(Virtual
Private Network)이라는 기술입니다. 한글로 가상 사설망이라고 불렀지만 그 개념은
인터넷이라는 거대한 도화지에 우리 회사의 지점들을 연결하는 회선을 살짝 덧그리는 그림이었지요. (물론
그린 것은 아니고 장비에 설정을 하는 거지만요). 요즘 말로 표현하자면 인터넷이 언더레이(Underlay)이고 그 위에 그린 VPN 터널이 바로 오버레이(Overlay)에 해당이 됩니다.

<인터넷 언더레이위에 자유롭게 그린 VPN 오버레이>

하지만 그 당시 인터넷의 품질 수준은 지금에
비하면 많이 떨어 졌었고, 인터넷 회선비도 비쌌기 때문에 기업들은 VPN으로
WAN 회선을 대체하기 보다는 기존에 전용선으로 구성된 WAN 회선은
그대로 두고 인터넷 기반의 VPN은 백업 회선 정도로 사용했어요. 아래와
같이 말이죠.

<전용선과 VPN의 이중
구성>

이런 구성에서 기업들은 중요한 트래픽은 값비싼 전용선으로 보내고 그다지 중요하지 않은 트래픽은 VPN으로 실어 보내기로 합니다. 즉 이 두개의 회선을 따로따로 관리
했다는 것이지요. 중요하거나 중요하지 않은 트래픽을 일일이 관리자가 포트 별로 구분하고 어느 회선을
통해 보낼지 수동으로 다 설정하는 것은 매우 힘든 작업이었습니다. 그러다 보니, 간단하게 전용선은 메인 회선으로 VPN은 백업 회선 정도로만 사용하게
되는 비효율성이 발생하게 되었습니다.

그런데, 지금은 인터넷 회선의 비용이 급격히 떨어지고, 인터넷의 품질 또한 과거에는 상상치 못할 정도로 좋아졌습니다. 그래서
시스코는 이런 회선 상의 비효율성을 제거할 수 있는 다른 방법이 없을까 고민을 하게 되었고, 그 결과
IWAN, 즉, Intelligent WAN 솔루션을 개발하게
되었습니다. SD-WAN이란 무엇일까요? 우리가 기존에 WAN을 사용하던 방식을 새로운 관점으로 바라보고 더 유연하고 효율적인 방법으로 사용하는 것, 이것이 SD-WAN이 지향하는 궁극적인 목표가 아닐까요?

IWAN이 우리 삶을 편리하게 해 주는 네가지 기능

먼저 IWAN은 앞서 예를 들어 설명 드린, 인터넷 도화지에 가상 WAN을 구현하는 방식을 자동화 시켜줍니다. 바로 DMVPN(Dynamic Multipoint VPN)이 그걸
가능하게 하는데요, 관리자가 일일이 수동으로 VPN 터널을
구성하지 않더라도 시스코 라우터가 목적지 주소를 파악해서 자동으로 VPN 터널을 생성해 주는 기술이지요. 즉, 운영자는 물리적으로 이미 구축 되어 있는 전용선(이건 한 번 구축되면 바꿀 수 없는, Software-Defined와
반대 격인 Hardware-Defined라고 할 수 있겠네요)과
인터넷을 기반으로 자유롭게 그렸다 지웠다(이건 Software-defined겠죠?)할 수 있는 DMVPN 이 두가지를 자유롭게 섞어서 쓸 수 있게
됩니다.

두 번째는 전용선과 VPN을 최적의 방식으로 활용하도록 하는 PfR 즉, Performance Routing입니다. 쉽게 말하면 어떤 어플리케이션이 어떤 회선을 통해 보내질지 운영자가 따로따로 고민하지 않아도 시스코 라우터가
사전에 정의된 어플리케이션의 회선 품질 요구 사항에 맞춰 전용선과 VPN을 알아서 선택해서 트래픽을
보내준다는 의미입니다. 관리자는 정책만 만들어 주면 나머지는 라우터가 알아서 하는 것입니다.

그렇게 하려면 지점의 라우터가 처리하는 트래픽이 어떤 어플리케이션의 트래픽인지 파악을 할 수 있어야 하겠죠? 그것이 바로 AVC(Application Visibility &
Control) 기능입니다. 기존의 프로토콜/포트
번호만 보고 판단하는 것이 아니라 좀 더 깊게, 즉 DPI(Deep
Packet Inspection) 기능을 이용해 똑같은 TCP 80포트를 이용하더라도, 이것이 사내 회계 시스템의 웹 트래픽인 지 트위터 트래픽인지를 판단할 수 있는 것이죠. 어떤 어플리케이션인지가 확인이 되면 그 다음에는 그 트래픽에 QoS(Quality
of Service)를 적용시켜 주거나 가속을 시켜 주거나 하는 것과 같은 컨트롤을 할 수 있는 기술이 바로 AVC입니다.

마지막이지만 매우 중요한(가끔 본사 사람들을 만나면 “Last but not least”란 표현을 쓰는데 되게 멋있어 보이더라고요),
보안 이야기를 하겠습니다. 이제 인터넷 기반의 VPN 뿐
아니라 퍼블릭 클라우드에 있는 다양한 어플리케이션을 쓰다보니 기존과 같이 전용선 연결만 하는 수준의 장비 보안만으로는 늘어가는 보안 요구 사항들을
맞출 수 없게 되었습니다. 그래서 지점 장비에도 강력한 방화벽 기능이 필요하게 되었고, 이것이 IWAN의 중요한 마지막 한 축인Zone-Based Firewall이랍니다.

<IWAN을 구성하는 네가지 주요 기능들>

이 모든 것을 가능케 하는 단일 플랫폼과
단일 컨트롤러

자 그럼 이 IWAN을
도입 하려면 몇가지 장비를 사야 할까요? 제가 위에서 네가지 기능이라고 했으니, 장비도 4개? 아닙니다. 그건 정말 옛날 Hardware-defined 발상이죠. 오늘의 주제답게 이 모든 것이 하나의 플랫폼에 다 올라간답니다. 바로
시스코의 강력한 지점 라우터 플랫폼인 ISR 4000 시리즈에 말이죠.
말그대로 ISR, Integrated Services Router가 1세대 G1, 2세대 G2를
거쳐 멀티코어 프로세스로 더욱 강력해진 ISR 4000이 되었습니다.
이제 지점 사무소에 여러 장비들 줄줄이 소시지처럼 복잡하게 구성하지 않아도 ISR 4000 하나면
이 모든 똑똑한 기능을 누리실 수 있어요.

<시스코의 통합 서비스 라우터 ISR
4000 시리즈>

그리고 더 놀라운 건 이런 기능을 예전과 같이 일일이 손으로 다 설정 할 필요 없이 Software-defined 기술답게 컨트롤러를 이용한다는 거예요. 바로
APIC-EM이 그 소프트웨어 컨트롤러인데요, Full name은
약간 길어서(Application Policy Infrastructure Controller-Enterprise
Module) 그냥 짧게 APIC-EM(“에이픽 이~엠~”)이라고 부릅니다.

앞서 설명 드렸던 4가지 기능들을 제대로 다 설정하려면 약 1,000줄 이상의 커맨드가 필요한데, APIC-EM을 이용하면 단 10번의 클릭만으로 설정이 다 마무리 된답니다.

<APIC-EM을 이용한 간단한 IWAN 설정
화면>

WAN 회선을 쓰기 위한 값비싼 비용, IWAN을 이용해서 슬림하게

지금까지 WAN에서 가장 중요하다고 볼 수 있는 회선에 대한 가상화/최적화 기능인 IWAN에 대해서 소개해 드렸습니다. 그런데 왜 회선이 가장 중요할까요? 왜냐하면 바로 회선비 때문이죠. 회선비는 일회성 투자 비용이 아니라 매달 지출 되기 때문에 이 부분에서의 효율성을 극대화 할 수 있다면 회사
입장에서 비용을 상당히 줄일 수 있거든요.

IWAN은 전용선과 인터넷회선의 품질과 대역폭을 고려하여, 가장
효과적으로 그리고 가장 안전하게 WAN을 이용할 수 있도록 해 주기 때문에 기업 입장에서는 사용자의
어플리케이션의 체감 성능 향상과 더불어 회선비를 줄일 수 있다는 두 마리의 토끼를 잡을 수 있습니다.

그럼 마지막으로 지금까지 글로 배운 시스코 IWAN, 쉽게 동영상으로
정리해 보고,다음 호에서는 시스코 SD-WAN의 두번째 솔루션인 ENFV(Enterprise Network Function Virtualization)에 대해서 알아볼게요. 자 그럼 여기를 클릭해주세요!

시스코 전문가 칼럼으로

최신 IT 트렌드를 알아보세요!