지난 시간에 SDA가 무엇인지, 그리고 탄생 배경을 알아보았습니다.
이번 시간에는 SDA를 구축하기 위해서는 어떤 구성 요소가 필요한 지 알아봅니다.
앞선 글에서 SDN은 네트워크 인프라 내의 모든 장비가 하나의 장비처럼 동작하며 이를 Fabric 이라 정의한다 말씀드렸습니다.
그럼 Fabric은 어떻게 생겼을까요?
위 그림처럼 Fabric은 네트워크 장비 간의 통신과 사용자 네트워크를 구분합니다. 네트워크 장비 간 통신을 위한 네트워크는 Underlay 네트워크라고 하며, 일반 사용자와 단말은 Overlay 네트워크에 존재합니다.
이 때, Underlay 네트워크는 장비 간 L3 통신, 다시 말해 라우팅 프로토콜을 사용한 통신입니다. Overlay 네트워크는 Underlay 네트워크 위에 동작하는 가상화 된 네트워크입니다. 비유를 하자면, L2에서 네트워크를 가상화했던 VLAN 개념과 동일하게, Overlay 네트워크는 L3 네트워크를 가상화하는 Virtual Routing and Forwarding (VRF) 을 사용합니다. 그림에서 Overlay Network A는 사무직을 위한 가상 네트워크이고, Overlay B는 빌딩 내 IoT 장비를 위한 가상 네트워크이며, Overlay C는 게스트를 위한 가상 네트워크입니다. 이처럼 하나의 물리 인프라에서 여러 개의 가상 인프라를 구성합니다. 이런 구조가 가능한 이유는 L3 장비 한 대에서 여러 가상화 네트워크를 만들 수 있기 때문입니다.
그럼 레거시 네트워크의 VLAN 기반 망분리와 동일하지 않나요?
VLAN 망분리는 L2 에서의 분리이기 때문에 각 VLAN 별로 MAC 주소 테이블은 분리되어 있습니다. 하지만 L3 기준으로는 동일한 망에 속하므로 하나의 라우팅 테이블 안에 속합니다.
일반적으로 네트워크를 분리할 때에는 방화벽을 기준으로 분리하며 이는 L3 분리를 의미합니다. 다시 말해 L3 분리가 되어야 온전한 망분리가 되었다고 판단합니다. 따라서 VLAN 기반의 L2 망분리는 완전한 네트워크 망분리라고 보기는 어렵습니다.
반면 SDA에서 사용하는 VRF 망분리는 L3 기반 망분리이기 때문에 그림 1의 Overlay A, B, C는 각각의 라우팅 테이블을 가집니다. 라우팅 테이블이 나누어져 있기 때문에 서로 다른 Overlay에 존재하는 단말 간에는 통신이 불가능합니다. 따라서 방화벽 기준의 네트워크 망분리와 동일한 수준의 완전한 망분리가 가능합니다.
그럼 Underlay, Overlay 를 구축하기 위해서는 어떤 장비로 Fabric 을 구성해야 할까요?
우선 Control Plane 장비가 필요합니다. 앞서 네트워크 내의 모든 장비가 하나의 장비처럼 동작한다고 말씀드렸습니다. 이를 위해 LAN 전체 네트워크의 경로를 관리하는 하나의 장비가 필요합니다. 이 역할을 해주는 장비가 Control Plane 장비입니다.
두번째로는 Fabric Edge 장비가 필요합니다. 레거시 네트워크로 비유하면 액세스 스위치입니다. 실제 사용자와 단말이 연결되는 가장 하단의 스위치입니다.
마지막으로 Border 장비가 필요합니다. 이 장비는 SDA 네트워크 내부와 외부를 연결하는 장비입니다. Border 장비를 통해 SDA 내부 단말이 외부에 도달할 수 있으며, 반대로 외부에서 SDA 내부의 단말까지 통신할 수 있습니다.
정리하면, 시스코 SDA Fabric을 구성하는 데에는 총 세 가지 요소가 필요합니다. 전체 네트워크 경로를 관리하는 Control Plane, 실제 단말이 연결되는 Fabric Edge, 그리고 SDA 내부와 외부를 연결하는 Border 장비입니다. 세 장비 모두 일반적으로 Catalyst 9000 시리즈 스위치 제품군을 사용합니다. 각 장비의 구체적인 스펙은 링크에서 확인하실 수 있습니다. 아래 캡쳐를 참고하여 링크에서 필요한 장비를 확인하시기 바랍니다.
이렇게 Fabric을 구성하여 필요한 네트워크를 완성했습니다. 이제 SDA의 목적인 자동화 및 모니터링을 위한 관리 장비를 알아봅시다. 시스코 SDA에서는 DNA Center (Digital Network Architecture Center) 를 관리 장비로 사용합니다.
위의 Control Plane 도 관리 장비라고 말씀드렸는데 DNA Center 와 다른 건가요?
Control Plane은 LAN 내의 경로를 관리하는 장비로써 LAN 내에 존재하는 모든 단말의 경로를 보유하고 있습니다. 반면, DNA Center는 네트워크의 실제 동작과는 관계없이 관리자가 네트워크 장비에 원하는 설정을 내리거나, 장비를 모니터링하는 목적의 관리 장비입니다.
마지막으로는, 네트워크의 보안을 위해 SDA에서는 인증을 받은 단말만 네트워크에 접속 가능합니다. 따라서 인증 서버가 중요한 축을 담당하며 시스코에서는 ISE (Identity Services Engine) 인증 서버가 SDA 환경에 맞춰 개발되었습니다. ISE에서는 네트워크에 접속하는 모든 단말의 인증 및 인가를 통해 각 단말에 맞는 네트워크 권한 (VLAN, ACL 등)을 제공합니다.
여기까지 오늘은 SDA Fabric을 구성하는 두 가지 계층 Overlay와 Underlay를 알아보았습니다. 구성 요소로는 Control Plane, Fabric Edge, Border 세 가지 장비가 필요하며, SDA를 관리하기 위한 DNA Center 장비와 인증 서버 ISE 까지 확인했습니다.
다음 시간에는 오늘 알아본 구성 요소들로 SDA 가 어떻게 동작하는 지 알아봅니다. 관련하여 VXLAN, LISP 기술 설명과 SDA 내의 패킷 통신 과정을 함께 알아보도록 합니다.
[SDA 초심자이야기 3] SDA 를 이루는 필수 기술
[SDA 초심자이야기 4] SDA 의 핵심 – 인증이란?