[Network / MPLS] MPLS VPN(MuliProtocol Label Switching)

 MPLS VPN

MPLS 는 L3(IPV4,/IPV6) 패킷 또는 L2 프레임에 라벨을 첨부하여 전송하는 기술을 말한다. MPLS가 설정되어 있는 라우터들이 MPLS 패킷을 수신하면 묵적지 IP 주소 대신 라벨을 참조하여 해당 패킷을 스위칭한다.

 

MPLS를 사용하는 가장 큰 이유는 MPLS VPN (Vitrual Private Network)가상 사설망 구성을 위해서다. isp 입장에서는 대규모 VPN을 MPLS를 통해서 쉽게 구축할 수 있어서 MPLS VPN을 선호한다. 고객 입장에서도 인터넷을 사용하는 vpn 과 달리 VPN과 외부 VPN 트래픽이 완전히 분리되어서 비교적 안전한 망을 구성할 수 있다.

 

예를 들어, 인터넷을 이용한 vpn 의  경우 isp 내부에서는 특정 목적지로 가는 패킷을 차단하지 않아 내부 사용자 뿐만 아니라 공격자의 패킷도 고객 장비에 도달할 수 있으므로 보안에 문제가 발생한다. 그러나 mpls는 통신회사 내부에서 사전에 설정된 경로 간에만 트래픽 전송을 허용하므로 트래픽이 완전히 분리된다. 고로 MPLS VPN 을 사용하면 공격자의 패킷이 목적지에 도달하는 것 자체가 불가능하다.

 

MPLS VPN  사용자가 MPLS 망 가입자로 제한되어 있으므로 아무나 다른 조직의 망으로 패킷을 전송할 수 없다. 그러나 MPLS  VPN 자체는 인증 또는 암호화 기능을 제공하지 않아 인증, 암호화, 무결성 확인 기능을 제공하는 IPSec VPN 등을 함께 사용한다. 

 

 MPLS 헤더 구조

 MPLS VPN 라우터의 종류 

R1- R4 는 MPLS VPN 서비스를 제공하는 ISP(Internet Service Provider)의 라우터이고 , R5~R8는 고객사의 라우터다.

PE(Provider Edge)  : 고객사의 라우터와 물리적으로 연결되는 mpls 라우터를 말한다.

P(Provider) : 고객사의 라우터와 물리적 연결이 없는 mpls 라우터를 말한다.

CE(Customer Edge)  : isp 의 mpls 라우터와 물리적으로 연결되는 고객사 라우터를 말한다. pe라우터와 p 라우터는  mpls 관련 설정이 필요하나 ce라우터는 mpls 설정이 필요없다. 즉, CE라우터는 자신이 MPLS 망과 접속되어 있는지 모른다.

 

 MPLS VPN에서 사용하는 프로토콜

MPLS 라우터인 R1- R4(P,PE) 라우터 사이에는 IGP 및 LDP( Label distribution Protocol) 를 동작시킨다. igp는 대부분 종류 상관없이 가능하다.

특정 주소(ip 등) 와 MPLS라벨 값의 조합을 의미하는 MPLS의 라벨 바인딩 정보 전송을 위해서 LDP를 사용한다. PE라우터간에는 MBGP(Multi Protocol BGP)를 사용하여 고객사 정보를 교환한다. ISP와  고객사 사이에는 어떠한 라우팅 프로토콜을 사용해도 무방하다. 

만약 고객사 라우터에서 OSPF를 사용한다면 CE와 PE사이의 네트워크를 모두 AREA 0으로 설정해야하며 이부분을 OSPF 슈퍼백본이라고 한다.

 

MPLS 라벨  부여 & 패킷 전송 과정

MPLS가 동작하게 되면 자신의 MPLS 라우터 id에 대해 라벨값을 부여한 다음 인접 라우터에게 부여한 라벨 값을 전송한다.