L3VPN 이란?

1. 개요 및 배경

  • 개요
    • L3VPN (Layer 3 Virtual Private Network)은 통신 사업자(Service Provider, SP)의 공유된 IP/MPLS(MultiProtocol Label Switching) 인프라를 활용해 고객(Customer)에게 논리적으로 분리된 사설 네트워크 서비스를 제공하는 기술
    • 주로 기업의 지사 간 연결 또는 서로 다른 고객사의 트래픽을 공용 인프라 상에서 안전하게 격리하여 전송해야 하는 시나리오에 적용
  • 기술적 배경
    • 전통적인 전용회선(Leased Line)은 높은 비용과 낮은 확장성이라는 한계를 가짐
    • 반면, 공중망(Public Network)을 활용하는 VPN(Virtual Private Network)은 대안으로 부상했으나, 초기 IPSec 기반 VPN은 고객 장비(CE: Customer Edge)에서의 복잡한 구성 및 관리 부담 증가
    • 이를 극복하고, 대규모 네트워크 환경에서 서비스 제공자 주도형(Provider-Provisioned)의 효율적이고 확장 가능한 VPN 서비스를 제공하기 위해 MPLS 기반의 L3VPN 기술 개발
    • MPLS는 트래픽 엔지니어링, QoS(Quality of Service) 보장, 고속 전달 등의 장점을 제공하며 SP 백본망의 핵심 기술로 자리매김

2. VPN (Virtual Private Network)

  • 공중망을 통해 가상으로 구현된 사설 네트워크
    • 공중망을 사설망처럼 사용
  • 특징
    • 기존의 공중망을 통한 가상망 구성 가능
    • 망 구축 및 운용의 경제성
    • 자유로은 사적인 주소지정


3. MPLS (MultiProtocol Label Switching)

  • L3VPN의 기반이 되는 MPLS는 다양한 네트워크 프로토콜(IP, Ethernet, ATM 등)의 데이터 패킷을 효율적으로 전달하기 위한 메커니즘
  • IP 포워딩 방식의 '홉-바이-홉(hop-by-hop) 라우팅 테이블 조회' 방식과 달리, 패킷에 '레이블(Label)'이라는 짧은 고정 길이 식별자를 추가하여 전달
  • 작동 원리

    1. 레이블 할당 (Label Assignment)

      • Ingress LER(Label Edge Router)에 진입하는 패킷은 특정 FEC(Forwarding Equivalence Class)로 분류되고, 이에 해당하는 레이블이 할당

      • 해당 레이블은 패킷 헤더에 삽입

    2. 레이블 스위칭 (Label Switching)

      • MPLS 네트워크 내부의 LSR(Label Switched Router)들은 패킷의 IP 헤더를 검사하지 않고, 오직 레이블만을 기반으로 다음 홉을 결정하고 레이블을 교환(Swap)

      • 라우팅 테이블 검색 오버헤드를 줄여 고속 전달 가능

    3. 레이블 제거 (Label Removal)

      • Egress LER에 도달한 패킷은 레이블이 제거되고 원래의 IP 패킷 형태로 목적지에 전달

  • MPLS의 주요 이점
    • 고성능 포워딩
      • 레이블 기반 스위칭을 통해 라우팅 오버헤드를 줄여 빠른 패킷 전달 구현
    • 트래픽 엔지니어링 (Traffic Engineering, TE)
      • 명시적 경로(Explicit Path)를 설정해 네트워크 자원 활용을 최적화하고 혼잡 회피
    • 서비스 품질 (Quality of Service, QoS)
      • 특정 FEC에 대한 차별화된 서비스 제공 및 대역폭 보장을 용이
    • VPN 및 기타 서비스 지원
      • L3VPN뿐만 아니라 L2VPN, Any Transport over MPLS (AToM) 등 다양한 가상화 서비스의 기반


3. L3VPN 아키텍처 및 구성 요소

  • L3VPN은 RFC 4364 (BGP/MPLS IP VPNs)에 정의된 표준 기술로, 주로 다음 세 가지 유형의 라우터로 구성

    1. CE 라우터 (Customer Edge Router)

      • 고객 네트워크의 경계 라우터로, SP의 PE 라우터와 직접 연결

      • L3VPN 서비스의 존재를 인지하지 않으며, 일반 IP 라우터처럼 동작

      • PE 라우터와 EIGRP, OSPF, BGP 또는 정적 라우팅과 같은 표준 라우팅 프로토콜을 통해 라우팅 정보를 교환

    2. PE 라우터 (Provider Edge Router)

      • 서비스 제공자의 네트워크 경계에 위치한 라우터로, 고객의 CE 라우터와 연결되어 VPN 서비스를 제공

      • SP 네트워크의 경계 라우터로, CE 라우터와 연결

      • L3VPN 서비스의 핵심적인 기능을 수행

      • 각 고객 VPN에 대한 VRF(Virtual Routing and Forwarding) 인스턴스를 유지 관리

      • 고객 라우팅 정보에 Route Distinguisher (RD)를 추가하여 VPNv4 주소(IPv4 주소 + RD)로 변환 

      • VPNv4 주소는 고객의 IP 주소 공간 중복 문제를 해결

      • 다른 PE 라우터들과 MP-BGP (Multiprotocol BGP)를 통해 VPNv4 라우팅 정보를 교환

      • 수신된 VPNv4 경로를 기반으로 패킷 포워딩에 필요한 VPN 레이블(Inner Label)을 할당

    3. P 라우터 (Provider Router)

      • SP 네트워크의 코어 라우터로, PE 라우터 간의 MPLS 패킷 전달 역할

      • 고객의 라우팅 정보나 VPN 서비스에 대한 지식을 가지지 않음

      • 오직 MPLS 데이터 플레인에서 상위 레이블(Outer Label)을 기반으로 패킷을 스위칭

      • IGP(Interior Gateway Protocol, 예: OSPF, IS-IS)와 LDP(Label Distribution Protocol)를 사용해 SP 네트워크 내부의 레이블 스위칭 경로(LSP)를 설정

  • 핵심 개념
    • VRF (Virtual Routing and Forwarding)
      • PE 라우터 내에 생성되는 독립적인 라우팅 및 포워딩 테이블 인스턴스
      • 각 VRF는 특정 고객 VPN에 할당되어 해당 고객의 라우팅 정보만을 처리하고, 다른 고객의 트래픽과 완벽하게 격리
    • Route Distinguisher (RD)
      • 8바이트 값으로, 고객의 IP 프리픽스 앞에 붙어 해당 프리픽스를 고유한 VPNv4 프리픽스로 만듦
      • 이를 통해 서로 다른 VPN에서 동일한 IP 주소 공간을 사용할 때 발생하는 주소 중복 문제를 해결 (예: RD:IPv4_Prefix)
    • Route Target (RT)
      • 커뮤니티 속성으로, 특정 VPN 라우팅 정보(VPNv4 경로)를 어떤 VRF로 가져올(import) 것인지, 어떤 VRF에서 내보낼(export) 것인지를 제어
      • RT는 여러 VRF 간에 라우팅 정보를 공유하거나 완전히 격리하는 데 사용
    • VPNv4 주소
      • RD와 IPv4 주소를 결합한 형태로, MP-BGP를 통해 PE 라우터 간에 VPN 라우팅 정보를 교환할 때 사용


4. L3VPN의 작동 원리

  • 컨트롤 플레인 (Control Plane): 라우팅 정보 교환
    1. CE-PE 라우팅
      • 고객 CE 라우터는 SP PE 라우터와 IGP(OSPF, EIGRP), BGP 또는 정적 라우팅을 통해 자신의 로컬 라우팅 정보를 교환
      • PE 라우터는 이 정보를 해당 고객의 VRF에 수신 및 저장
    2. VRF-VPNv4 변환
      • PE 라우터는 VRF에 수신된 고객 라우팅 정보에 할당된 RD를 붙여 고유한 VPNv4 프리픽스 생성
    3. MP-BGP를 통한 VPNv4 전파
      • PE 라우터들은 MP-BGP 세션을 통해 생성된 VPNv4 프리픽스를 다른 PE 라우터들에게 광고
      • 이때 각 VPNv4 프리픽스에는 해당 VPN에 할당된 Route Target(RT)이 포함
    4. VRF Import
      • 수신된 VPNv4 프리픽스는 RT 값을 기반으로 수신 PE 라우터의 어떤 VRF로 가져올(import) 것인지 결정
      • 해당 RT를 import하도록 설정된 VRF는 VPNv4 프리픽스를 자신의 VRF 라우팅 테이블에 설치
  • 4.2. 데이터 플레인 (Data Plane): 패킷 전달
    1. 패킷 수신 (CE → PE)
      • CE 라우터에서 출발한 IP 패킷이 PE 라우터에 도착하면, PE 라우터는 수신 인터페이스에 연결된 VRF를 식별
    2. VRF 조회 및 레이블 할당
      • PE 라우터는 수신된 패킷의 목적지 IP 주소를 해당 VRF의 라우팅 테이블에서 조회
      • 목적지에 대한 VPNv4 경로를 찾으면, 이 경로에 연결된 VPN 레이블(Inner Label)을 패킷에 할당
      • 이 레이블은 목적지 PE 라우터가 최종적으로 패킷을 어떤 VRF로 보낼지, 그리고 VPN 내부에서 어떻게 전달할지를 알려줌
    3. MPLS 터널 레이블 할당
      • PE 라우터는 목적지 PE 라우터까지의 MPLS LSP(Label Switched Path)를 위한 터널 레이블(Outer Label)을 패킷에 추가
      • 터널 레이블은 LDP 또는 RSVP-TE 등을 통해 할당되며, P 라우터들이 사용
      • 패킷은 이제 이중 레이블 스택(Outer Label | Inner Label)을 가짐
    4. MPLS 포워딩 (P 라우터)
      • 패킷은 이중 레이블 스택과 함께 SP의 MPLS 백본망으로 진입
      • P 라우터들은 오직 터널 레이블(Outer Label)만을 보고 레이블 스위칭을 수행하며, 고객 데이터나 VPN 레이블에는 관여하지 않음
    5. 레이블 제거 및 패킷 전달 (PE → CE)
      • 목적지 PE 라우터는 패킷을 수신하면 터널 레이블(Outer Label)을 제거
      • 남은 VPN 레이블(Inner Label)을 기반으로 해당 패킷이 속한 VRF를 식별하고, VRF의 포워딩 테이블을 참조하여 최종적으로 패킷을 목적지 CE 라우터로 IP 형태로 전달


5. L3VPN의 장점

  • 확장성 (Scalability)

    • 수많은 고객 VPN을 단일 SP 인프라 상에서 효율적으로 지원 가능

    • 새로운 고객 또는 지점 추가 시, PE 라우터 설정 변경만으로 쉽게 통합 가능

  • 관리 용이성 (Ease of Management)

    • 고객은 CE 라우터만 관리하고, 복잡한 VPN 터널 설정 및 유지보수는 SP의 책임

  • 트래픽 격리 및 보안 (Traffic Isolation & Security)

    • VRF를 통한 엄격한 라우팅 분리와 RD/RT 메커니즘을 통해 고객 트래픽 간의 완벽한 논리적 격리를 보장

    • IP 주소 중복 문제 해결

  • 유연한 토폴로지 지원 (Flexible Topologies)

    • Full-Mesh, Hub-and-Spoke 등 다양한 고객 네트워크 토폴로지를 SP 망에서 효율적으로 지원

  • QoS 및 트래픽 엔지니어링 (QoS & Traffic Engineering)

    • MPLS 백본의 강력한 QoS 및 TE 기능을 활용해 고객에게 SLA(Service Level Agreement)를 보장

  • 비용 효율성 (Cost-Effectiveness)

    • 전용 회선 대비 낮은 비용으로 고품질의 사설 네트워크 서비스를 제공


참고

https://louis-j.tistory.com/entry/L3VPN-MPLS-Layer-3-VPN-%EB%8F%99%EC%9E%91%EA%B3%BC%EC%A0%95%EA%B3%BC-%EA%B5%AC%EC%84%B1

https://louis-j.tistory.com/entry/L3VPN-L3VPN%EC%9D%80-%EB%AC%B4%EC%97%87%EC%9D%B8%EA%B0%80