네트워크 가상화의 필요성
물리적인 제약을 벗어나 논리적인 네트워크(VLAN, VXLAN)를 구축하여, 서버 이동 및 네트워크 변경 시 빠르게 대응하고 유연한 서비스를 제공하기 위해 필요합니다.
VXLAN (Virtual eXtensible Local Area Network)
VXLAN은 Overlay 네트워크를 구축하는 터널링 프로토콜 중 하나입니다.
L2 프레임을 UDP 헤더와 VXLAN 헤더로 캡슐화하여 IP 네트워크(Underlay)를 통해 전송합니다.
기존 VLAN의 한계(4094개 ID)를 극복하고 1,600만 개의 가상 네트워크 ID를 지원하여 대규모 데이터 센터 가상화에 사용됩니다.
Tunneling
하나의 프로토콜(Payload)을 다른 프로토콜(Carrier)의 패킷 내부에 캡슐화하여 전송하는 기술입니다.
물리적 네트워크 제약을 우회하거나 보안성을 확보하기 위해 사용됩니다.
터널링 프로토콜의 종류에는 VXLAN, GRE (Generic Routing Encapsulation), IPsec, MPLS 등이 있습니다.
Tunneling과 VPN의 관계
VPN (Virtual Private Network)은 Tunneling 기술을 사용하여 보안성(암호화)을 추가한 것입니다.
Tunneling은 데이터를 캡슐화하여 전송 경로를 제공하는 기본적인 방법론이고,
VPN은 이 Tunneling에 데이터 기밀성을 위한 암호화 기능을 더해 가상적인 사설 네트워크를 구축하는 서비스입니다.
VXLAN 구성 시 STATIC VTEP이 아닌 Multicast, BGP를 사용하는 이유
STATIC VTEP은 새로운 호스트가 추가될 때마다 모든 VTEP에 수동으로 설정해야 하므로 확장성 및 관리 용이성이 낮습니다.
Multicast는 L2 브로드캐스트/멀티캐스트/알려지지 않은 유니캐스트 트래픽을 처리하기 위해 사용합니다.
BGP를 사용하는 이유는 Underlay 네트워크의 Multicast 기능을 활용하여 목적지 VTEP 주소를 모를 때 효율적으로 트래픽을 전달하여 VTEP의 자동 학습을 돕습니다.
EVPN (Ethernet VPN)은 BGP를 제어 평면(Control Plane)으로 사용하여 VTEP 및 호스트 MAC 주소 정보를 자동으로 분산합니다. 이는 Multicast 트래픽에 의존하지 않고도 빠르고 효율적으로 호스트 위치를 학습하여 Underlay의 부담을 줄여줍니다.
(현재 대규모 데이터센터의 표준 VXLAN 구성 방식)
VRF (Virtual Routing and Forwarding)
하나의 물리적 라우터나 L3 스위치 내부에 여러 개의 독립된 라우팅 테이블 인스턴스를 생성하는 기술입니다.
논리적인 네트워크 분리 및 보안 격리를 위해 사용합니다.
(예: 기업의 A 부서와 B 부서 트래픽이 같은 라우터를 지나더라도 서로의 경로 테이블을 볼 수 없도록 완벽히 분리)
vPC (Virtual Port Channel)
두 대의 물리적 Nexus 스위치를 하나의 논리적 스위치처럼 동작하게 하여 하위 장비에 이중화된 Etherchannel을 제공하는 기술입니다.
vPC 도메인 내의 두 스위치 간에 데이터 및 제어 정보를 교환하는 Peer-Link와 Peer-Link의 상태와 상관없이 두 스위치 간의 생존 여부를 확인하는 작은 대역폭의 전용 링크인 Peer-Keepalive Link로 구성되어 있습니다.