01용어 정리용어 정리

VPN(Virtual Private Network) 은 공용 인프라 위에 만드는 안전한 암호화 연결 입니다. Site-to-Site VPN 은 보통 지리적으로 다른 두 사이트의 Security Gateway 사이를 잇는 암호화 터널 이고, Remote Access VPN 은 게이트웨이와 원격 클라이언트(노트북·휴대폰 등) 사이의 터널 입니다(이 가이드는 Site-to-Site를 다룹니다).

VPN 터널은 세 가지를 보장합니다 — Authenticity(인증), Privacy(모든 데이터 암호화), Integrity(무결성) (소개).

VPN Domain(VPN 도메인) 은 한 게이트웨이가 보호하는, 터널에 연결된 내부 네트워크·IP의 묶음 입니다(Encryption Domain이라고도 함). VPN Community(VPN 커뮤니티) 는 여러 VPN 도메인을 묶은 명명된 집합 으로, 터널과 그 속성을 정의합니다. VPN Peer 는 터널로 연결되는 상대 게이트웨이 입니다.

커뮤니티는 두 가지 토폴로지 로 짭니다 — Star(성형) 는 위성(satellite) 게이트웨이가 중앙(central) 게이트웨이하고만 터널을 맺는 hub-and-spoke 이고, Mesh(망형) 는 모든 게이트웨이 쌍이 서로 터널 을 맺습니다.

VPN 트래픽을 보내는 방법이 둘입니다. Domain-Based VPN 은 SmartConsole에 정의된 VPN 도메인에 따라 라우팅 하고, Route-Based VPN 은 OS의 라우팅 설정(정적·동적)에 따라 VTI(VPN Tunnel Interface) 라는 가상 인터페이스로 라우팅 합니다(VPN 토폴로지).

터널의 바탕은 두 프로토콜입니다. IKE(Internet Key Exchange) 는 암호화 키를 관리하고 터널을 만드는 키 관리 프로토콜 이고, IPsec 은 인증·암호화된 안전한 IP 통신을 지원하는 프로토콜 입니다. IKE 협상의 결과물이 SA(Security Association) — 키와 방법에 대한 합의 — 입니다(IPsec와 IKE).

신뢰의 바탕은 인증서입니다. ICA(Internal Certificate Authority) 는 관리 서버에 내장된 인증 기관 으로 게이트웨이에 VPN 인증서를 발급하며, 외부 CA 연동은 PKI 로 다룹니다(PKI).

운영·확장을 돕는 기능이 여럿입니다. Link Selection(VPN 트래픽에 쓸 인터페이스·경로 선택), MEP(Multiple Entry Point)(VPN 고가용성·부하분산), Permanent Tunnel(상시 유지 터널), RIM(Route Injection Mechanism)(VPN 피어 도메인을 내부망에 동적 라우팅으로 전파), Wire Mode(신뢰 VPN 트래픽의 방화벽 우회), Directional VPN(트래픽 방향 강제), LSV(Large Scale VPN)(대규모 피어를 설정 없이 배포) 가 뒤 장들에서 이어집니다.