제3장: 제어 평면 및 데이터 평면 운영 (Control Plane and Data Plane Operations)
이 장에서는 Cisco Catalyst SD-WAN의 핵심 작동 원리인 OMP 프로토콜과 데이터 평면의 형성 및 보안 메커니즘을 다룹니다.
1. 제어 평면 운영 (Control Plane Operations)
Cisco Catalyst SD-WAN의 제어 평면은 **OMP(Overlay Management Protocol)**에 의해 실행됩니다. OMP는 전체 패브릭에서 라우팅, 보안 및 정책 정보를 전달하는 오케스트레이터 역할을 합니다.
OMP의 주요 역할:
- 네트워크 통신 촉진: 사이트 간 데이터 평면 연결, 서비스 체이닝, 다중 VPN 토폴로지 정보를 관리합니다.
- 서비스 광고: 패브릭 내에서 사용 가능한 서비스(방화벽, IPS 등)와 그 위치를 광고합니다.
- 보안 정보 배포: 암호화 키와 같은 데이터 평면 보안 정보를 배포합니다.
- 최적 경로 선택: 라우팅 정책에 따른 최적의 경로를 결정합니다.
OMP 경로 유형:
- OMP Routes (vRoutes): 서비스 쪽(LAN) 인터페이스에서 학습된 접두사(Prefix) 정보입니다.
- TLOC Routes: WAN 에지가 전송 네트워크에 연결되는 물리적 위치를 식별합니다. (System IP, Color, Encap으로 구성)
- Service Routes: 방화벽이나 로드 밸런서와 같은 특정 서비스를 패브릭에 광고하여 서비스 체이닝을 가능하게 합니다.
2. 데이터 평면 운영 (Data Plane Operations)
데이터 평면은 실제 사용자 트래픽이 흐르는 곳으로, 제어 평면에서 학습된 정보를 바탕으로 브랜치 간 연결을 구축합니다.
TLOC 및 컬러(Color):
- 컬러(Color): 전송 회선(MPLS, Internet 등)을 식별하는 특성입니다.
- Restrict 키워드: 동일한 컬러를 가진 TLOC끼리만 터널을 형성하도록 제한할 때 사용합니다.
- 터널 그룹(Tunnel Groups): 컬러에 상관없이 특정 그룹 ID가 일치하는 경우에만 데이터 평면 연결을 형성하도록 제어합니다.
네트워크 주소 변환 (NAT) 운영:
SD-WAN 에지 장비가 NAT 환경에 있을 때의 동작 방식입니다
- Static NAT (1:1 NAT): 내부 IP/포트가 항상 동일한 외부 IP/포트로 매핑됩니다.
- Dynamic NAT (Restricted Cone NAT): 내부에서 트래픽을 시작할 때만 매핑이 생성되며, 주소 또는 포트 제한 방식이 있습니다.
- Dynamic PAT (Symmetric NAT): 가장 일반적인 방식으로, 하나의 공인 IP로 여러 호스트가 통신하지만 목적지마다 포트가 달라질 수 있습니다.
3. 데이터 평면 보안 및 세그멘테이션
+2
- 네트워크 세그멘테이션: VPN(VRF와 유사)을 통해 데이터 평면을 논리적으로 분리합니다. 각 VPN은 고유한 토폴로지를 가질 수 있습니다.
- 데이터 평면 암호화: 기본적으로 IPsec을 사용하여 트래픽을 보호하며, SD-WAN 컨트롤러가 암호화 키 배포를 중앙에서 관리하여 확장성을 높입니다.
- Pairwise Keys: 각 WAN 에지 쌍 간에 고유한 키를 사용하여 보안성을 더욱 강화할 수 있습니다.
요약 (Summary)
제3장은 OMP를 통한 제어 평면 구축 방법과 IPsec을 이용한 보안 데이터 평면 형성 과정을 설명합니다. 특히 NAT 트래버설(Traversal)과 세그멘테이션을 통한 유연한 네트워크 설계가 핵심입니다.
