L2VPN이란?

L2VPN

  • 서비스 제공자(SP)dml MPLS/IP 네트워크를 활용하여 고객의 데이터 링크 계층 (Layer 2) 연결을 확장하는 가상 사설망 기술
  • 지리적으로 떨어진 여러 고객 사이트가 마치 하나의 거대한 LAN에 연결된 것처럼 투명한 Layer 2 통신을 가능하게 함.
  • 전용 임대 회선이나 ATM/프레임 릴레이 가상 회선을 사용하는 사설 네트워크의 현대적인 대안

L2VPN Pseudowire (PW)

  • L2VPN의 근간을 이루는 기술
  • PW는 IPv4, IPv6, MPLS, 이더넷 등 다양한 패킷 전달 네트워크를 통해 여러 유형의 네트워크 서비스를 전송하기 위한 공통된 중간 형식 제공
  • 'Like-to-Like' 전송(동일한 Layer 2 프로토콜 간 연결)과 '인터워킹(IW)'(다른 Layer 2 프로토콜 간 연결)을 가능하게 함
  • PW의 동작 방식:
    1. 인그레스 PE (Provider Edge) 라우터
      1. 고객 장비(CE)로부터 Layer 2 프레임 수신
      2. CE와 PE를 연결하는 회선을 AC (Attachment Circuit)라고 부름
      3. AC는 이더넷, ATM, Frame Relay, HDLC, PPP 등 다양한 물리적/가상 회로일 수 도 있음
    2. 캡슐화
      1. 인그레스 PE 라우터는 수신된 Layer 2 프레임에 MPLS 레이블을 추가해 캡슐화 진행
      2. 레이블은 해당 PW를 식별하며, 원격 PE 라우터로 전송
    3. PSN (MPLS 코어) 전송
      1. 캡슐화된 패킷은 MPLS 코어망(PSN)을 통해 전송
      2. 위 과정에서 터널 레이블이 사용되어 패킷이 두 PE 라우터 간의 레이블 스위칭 경로(LSP)를 따라 이동
    4. 이그레스 PE (Provider Edge) 라우터
      1. PSN으로부터 캡슐화된 패킷을 수신해 캡슐화 제거.
    5. 역캡슐화 및 전달
      1. 이그레스 PE는 원래의 Layer 2 프레임을 추출해 목적지 CE 장비로 전달
      2. CE 장비는 이 PW를 마치 자신에게 할당된 전용 링크나 회선처럼 인식
  • PW의 세부적인 구성 요소:
    • VC (Virtual Circuit) 레이블 / PW 레이블
      • 특정 Pseudowire를 식별하는 데 사용되는 레이블
      • PE 라우터 간에 대상 LDP(Targeted LDP) 세션을 통해 시그널링 됨.
    • 터널 레이블
      • PSN(MPLS 백본) 내에서 PE 라우터 간의 LSP(터널)를 식별하고 트래픽을 전달하는 데 사용됨.
      • LDP 또는 RSVP-TE를 통해 시그널링될 수 있음.
    • 제어 워드 (Control Word, CW)
      • 선택적으로 사용되며, 작은 패킷 패딩, Layer 2 제어 비트 전달, 프레임 시퀀스 유지, 로드 밸런싱 지원, 단편화 및 재조립 지원 등 다양한 기능 수행
    • Pseudowire Identifier (PW ID) FEC TLV
      • PW가 바인딩된 레이블을 식별하며, 제어 워 사용 여부(C-bit), PW 유형, 그룹 ID, PW ID (VC ID), 인터페이스 MTU 및 VLAN ID 등의 정보 포함
      • MTU가 일치하지 않으면 PW 설정이 되지 않음

L2VPN이 필요한 이유

  • 단일 인프라를 통한 통합
    • SP는 IP 서비스와 레거시 서비스를 모두 단일 MPLS/IP 코어 인프라에서 제공
  • 레거시 서비스 마이그레이션
    • 기존 서비스를 중단하지 않고 레거시 ATM 및 Frame Relay 서비스를 현대적인 MPLS/IP 코어로 원활하게 마이그레이션
  • 비용 효율성
    • 기존 MPLS/IP 코어에 새로운 L2VPN 서비스를 "증분적으로" 추가할 수 있으므로, 처음부터 새 네트워크를 구축하는 것에 비해 자본 및 운영 비용을 크게 절감
  • 유연한 서비스 제공
    • SP는 Point-to-Point 또는 Point-to-Multipoint와 같은 새로운 Layer 2 VPN 서비스를 제공할 수 있으며, 고객은 고유한 라우팅, QoS 정책, 보안 메커니즘 등을 자유롭게 사용 가능

L2VPN 모델 및 기술 옵션

  1. VPWS (Virtual Private Wire Service)

    • 점대점  연결을 제공
    • 두 지점 간에 마치 전용 회선이 연결된 것처럼 투명한 Layer 2 전송을 제공
    • 주로 PW 기술을 사용하여 구현

  2. VPLS (Virtual Private LAN Service)

    • 다중 지점 (Multipoint-to-Multipoint) 연결 제공
    • 여러 지점을 마치 하나의 광범위한 가상 LAN에 연결된 것처럼 만듬
    • 핵심 특징
      • 모든 L2 트래픽 (ARP, STP 등) 전송 가능.
      • 고객의 라우팅 정책(IP, IGP, BGP 등)에 SP가 관여하지 않음.
      • MAC 주소 학습 기반 포워딩 (FDB: Forwarding Database 사용).
      • 브로드캐스트 플러딩 및 STP(Spanning Tree Protocol) 연동 지원.
      • MPLS 코어망 활용 및 QoS, 트래픽 엔지니어링 적용 가능.
      • Split Horizon 기법을 통해 루프를 방지합니다.
    • 구성 요소:
      • SAP (Service Access Point)
        • 고객이 PE 라우터에 연결하는 Layer 2 인터페이스
      • SDP (Service Destination Point)
        • PE 라우터 간에 생성되는 논리적 연결 (Mesh SDP, Spoke SDP).
    • 고가용성
      • STP, Pseudowire 이중화 (Primary/Backup), LAG(Link Aggregation Group) 등을 통해 높은 가용성 제공

  3. EVPN (Ethernet VPN)

    • L2VPN의 차세대 솔루션으로, VPLS의 확장성 및 운영 복잡성 문제를 해결하기 위해 고안
    • BGP 컨트롤 플레인을 사용해 MAC 주소 배포 및 학습을 처리
    • IP VPN과 유사한 원칙 및 운영 환경을 제공
    • 기존 Pseudowire 대신 유니캐스트에는 MP2P 터널 사용
    • 다중 대상 프레임전달에는 Ingress Replication 또는 P2MP 터널(LSM) 사용
    • IETF 표준화에 따라 멀티벤더 솔루션으로 구현됩니다.

  4. PBB-EVPN (Provider Backbone Bridging - EVPN)

    • PBB (Provider Backbone Bridging)의 확장성 도구와 EVPN의 BGP 기반 MAC 학습 기능을 결합한 솔루션
    • 매우 큰 규모의 Layer 2 네트워크에 대한 MAC 주소 확장성 문제를 해결하도록 설계
    • 플로우별 이중화 및 로드 밸런싱, 간소화된 프로비저닝 및 운영, 최적 포워딩, 빠른 컨버전스 등의 이점을 제공

L2VPN 동작 (예: VPWS 트래픽 캡슐화)

  1. VC 레이블 푸시
    1. 인그레스 PE는 CE로부터 받은 프레임에 VC 레이블을 먼저 푸시하여 해당 PW를 식별
    2. 선택적으로 제어 워드(CW)가 추가
  2. 터널 레이블 푸시
    1. VC 레이블이 추가된 패킷 위에 터널 레이블을 푸시
    2. 터널 레이블은 패킷이 목적지 PE 라우터까지 MPLS 백본을 통해 전달될 경로를 알려줌
  3. MPLS 코어 전달
    1. 패킷은 터널 레이블에 따라 MPLS 코어(P 라우터)를 통해 홉 바이 홉으로 전달
  4. PHP (Penultimate Hop Popping)
    1. 최종 P 라우터는 목적지 PE로 패킷을 전달하기 전에 터널 레이블 제거
  5. VC 레이블 제거 및 전달
    1. 이그레스 PE는 수신된 패킷에서 VC 레이블을 제거하고, 남아있는 Layer 2 프레임을 올바른 AC를 통해 목적지 CE로 전달

PW 상태 시그널링 및 구성

  • PW의 두 가지 시그널 방법
    • 레이블 철회 (Label Withdraw)
      • AC가 다운되면 PE 라우터가 원격 PE에 Label Withdraw 메시지를 보내 PW가 다운되었음을 알림
      • 그룹 ID를 사용하여 하나의 메시지로 여러 PW의 상태를 알릴 수 있음
    • PW 상태 TLV (Type-Length-Value)
      • LDP 통지 메시지에 포함된 PW 상태 TLV를 사용하여 32비트 상태 코드로 PW의 상태를 나타냄
  • 기본 AToM (VPWS) 구성 단계
    1. 캡슐화 유형 선택: (예: Ethernet)
    2. xconnect 명령 활성화: CE와 연결된 PE 라우터의 인터페이스에 xconnect peer-router-id vcid encapsulation mpls 명령을 지정
      • peer-router-id: 원격 PE 라우터의 LDP 라우터 ID.
      • vcid: PW에 할당된 고유 식별자.
    3. 두 PE 라우터에서 xconnect가 구성되면 PE 라우터 간에 대상 LDP (Targeted LDP) 세션이 설정되어 Pseudowire 및 VC 레이블을 시그널링

Pseudowire 패킷 분석 (Ping 예시)

  • 에코 요청: PE1에서 PE2로 전송될 때 2개의 레이블 (VPN 및 전송)을 포함하며, 라우터 경고(Router Alert) 옵션이 포함된 IP 패킷으로 캡슐화되어 전송
  • 에코 응답: PE2에서 PE1으로 전송될 때 1개의 레이블 (전송)만 포함합니다 (PHP로 인해).


참고: https://www.cisco.com/c/ko_kr/support/docs/multiprotocol-label-switching-mpls/mpls/213238-mpls-l2vpn-pseudowire.html