02Site-to-Site VPN 소개Site-to-Site VPN 소개
Site-to-Site VPN 은 두 사이트의 Security Gateway가 서로 협상해 암호화 터널을 만들고, 그 터널을 통해 안전하게 통신 하도록 해 주는 기술입니다. 이 장에서는 VPN이 무엇으로 이루어지는지, 자주 나오는 용어가 각각 무엇을 뜻하는지, 터널이 실제로 어떻게 만들어지고 동작하는지, 그리고 커뮤니티 토폴로지와 트래픽 라우팅 방식, 마지막으로 R82의 IPv6 지원 범위까지 큰 그림을 빠짐없이 잡아 둡니다.
IPsec VPN과 그 구성요소
IPsec VPN 솔루션은 Security Gateway가 다른 Security Gateway나 클라이언트와 주고받는 트래픽을 암호화하고 복호화 하도록 해 줍니다. 노트북이나 휴대폰 같은 원격 기기까지 포함해, Security Gateway 사이의 VPN 연결은 모두 SmartConsole 에서 손쉽게 구성합니다. Site-to-Site VPN 커뮤니티에서는 VPN 네트워크를 Star 와 Mesh 토폴로지로 짤 수 있고, 타사(third-party) 게이트웨이도 함께 묶을 수 있습니다.
VPN 터널은 다음 세 가지를 보장합니다.
| 보장 항목 | 설명 |
|---|---|
| Authenticity(인증성) | 표준 인증 방식을 사용해 상대가 진짜인지 확인합니다. |
| Privacy(기밀성) | 모든 VPN 데이터가 암호화됩니다. |
| Integrity(무결성) | 업계 표준 무결성 보장 방식을 사용해 데이터가 도중에 변조되지 않았음을 보장합니다. |
IKE와 IPsec
Check Point VPN 솔루션은 암호화 키를 관리하고 암호화된 패킷을 보내기 위해 안전한 VPN 프로토콜 두 가지를 사용합니다. IKE(Internet Key Exchange)는 VPN 터널을 만드는 데 쓰이는 표준 키 관리 프로토콜이고, IPsec 은 사설망이든 공용망이든 그 위에서 인증·암호화된 안전한 IP 통신을 지원하는 프로토콜입니다. 키 관리는 IKE가, 패킷 암호화는 IPsec이 맡는다고 기억하면 됩니다(자세한 내용은 IPsec과 IKE).
핵심 구성요소 세 가지
IPsec VPN을 이루는 핵심 구성요소는 셋입니다.
- VPN 엔드포인트(VPN endpoints) — VPN으로 통신하는 양 끝의 주체로, Security Gateway·Security Gateway 클러스터·원격 클라이언트(노트북, 휴대폰 등)가 여기에 해당합니다.
- VPN 신뢰 주체(VPN trust entities) — Check Point ICA(Internal Certificate Authority) 같은 인증 기관입니다. ICA는 Check Point 제품군의 일부로, Security Gateway 사이의 SIC 신뢰 연결을 만들고, 관리자와 타사 서버를 인증하는 데 쓰입니다. 또한 내부 Security Gateway와 원격 접속 클라이언트가 VPN 링크를 협상할 때 필요한 인증서를 발급합니다.
- VPN 관리 도구(VPN Management tools) — Security Management Server와 SmartConsole입니다.
용어 이해하기
VPN을 다루다 보면 비슷해 보이는 용어가 많아 헷갈리기 쉽습니다. 다음 표로 한 번에 정리해 둡니다.
| 용어 | 뜻 |
|---|---|
| VPN | Virtual Private Network. 공용 인프라 위에 만든 안전한 암호화 연결로, 인증된 원격 사용자와 사이트가 조직의 네트워크·자원에 안전하게 접근하게 합니다. |
| Virtual Tunnel Interface(VTI) | 이미 존재하는 Route-Based VPN 터널의 멤버가 되는 가상 인터페이스입니다. |
| VPN Peer | Virtual Tunnel Interface를 사용해 다른 VPN 게이트웨이에 연결되는 게이트웨이입니다. |
| VPN Domain | 하나의 VPN 게이트웨이가 암호화를 처리하며 보호하는, VPN 터널에 연결된 컴퓨터·네트워크의 묶음입니다. |
| VPN Community | 각각 VPN 게이트웨이로 보호되는 여러 VPN 도메인을 이름 붙여 모아 놓은 것입니다. |
| VPN Security Gateway | VPN 도메인 멤버 사이의 트래픽 암복호화를 관리하는 Security Gateway로, 보통 터널의 한쪽 끝(Remote Access VPN) 또는 양쪽 끝(Site-to-Site VPN)에 자리합니다. |
| Site-to-Site VPN | 두 Security Gateway 사이의 암호화 터널로, 보통 지리적으로 다른 사이트끼리 연결합니다. |
| Remote Access VPN | Security Gateway와 Endpoint Security VPN 같은 원격 접속 클라이언트·커뮤니티 사이의 암호화 터널입니다. |
| Remote Access Community | 물리적으로 떨어진 곳에서 인증·암호화를 거쳐 내부 보호 네트워크에 접근하는 컴퓨터·장비·기기의 묶음입니다. |
| Star Topology | "hub and spoke" 형태의 VPN 커뮤니티로, 위성(spoke)으로 정의된 Security Gateway가 중앙("hub") Security Gateway하고만 터널을 만듭니다. |
| Meshed Topology | 한 VPN 도메인이 다른 VPN 도메인들과 모두 터널을 만드는 VPN 커뮤니티입니다. |
| Domain-based VPN | Security Gateway에 정의된 파라미터에 따라 암호화 트래픽을 라우팅하는 방식입니다. |
| Route-based VPN | VPN 커뮤니티 참가자에 대해 VTI로 정의되는 라우팅 방식입니다. |
| IKE | IPsec을 보완해 추가 기능·유연성·구성 편의를 제공하는 암호화 키 관리 프로토콜입니다. |
| IPsec | 암호화 키와 암호화 패킷 트래픽을 관리해 인증·암호화 서비스의 표준을 만드는 안전한 VPN 프로토콜 모음입니다. |
Site-to-Site VPN의 동작 원리
Site-to-Site VPN의 바탕은 암호화된 VPN 터널 입니다. 두 Security Gateway가 링크를 협상해 VPN 터널을 만들며, 하나의 터널 안에는 여러 개의 VPN 연결이 담길 수 있습니다. 또한 하나의 Security Gateway가 동시에 여러 VPN 터널을 유지 할 수도 있습니다.
대표적인 배치 예시를 보면, 두 Security Gateway A 와 B 가 각자 보호하는 VPN 도메인 안에 호스트가 있습니다.
| 항목 | 설명 |
|---|---|
| A, B | Security Gateway |
| 2 | VPN 터널 |
| 3 | VPN 도메인 안의 내부 네트워크 |
| 4 | Host 4 |
| 5 | Host 5 |
이 예시에서 Host 4 와 Host 5 는 서로 데이터를 안전하게 주고받습니다. 두 Security Gateway가 IKE 협상을 수행해 VPN 터널을 만들고, IPsec 프로토콜로 Host 4와 Host 5 사이의 데이터를 암호화·복호화합니다.
VPN 동작 흐름
전체 흐름을 순서대로 보면 이렇습니다.
- Security Gateway A 와 B 가 VPN 터널을 만듭니다.
- Host 4 가 Host 5 로 보낼 패킷을 만들어 전송합니다.
- Security Gateway A 가 데이터를 암호화합니다.
- 암호화된 데이터가 VPN 터널을 통해 전달됩니다.
- Security Gateway B 가 데이터를 복호화합니다.
- Host 5 가 복호화된(원래의) 데이터를 받습니다.
VPN 커뮤니티와 토폴로지
VPN Domain 은 Security Gateway를 거쳐 VPN 트래픽을 주고받는 내부 네트워크의 묶음 입니다. Security Gateway마다 VPN 도메인에 포함될 자원을 정의한 다음, 이 Security Gateway들을 VPN Community — 즉 VPN 터널과 그 속성들의 묶음 — 로 합칩니다. 서로 다른 VPN 도메인의 네트워크 자원은, VPN 커뮤니티 안 Security Gateway에서 끝나는 VPN 터널을 통해 안전하게 통신할 수 있습니다.
VPN 커뮤니티는 Star 와 Mesh 토폴로지를 바탕으로 합니다.
- Star(성형) 커뮤니티에서는 각 위성 Security Gateway가 중앙 Security Gateway하고만 VPN 터널을 맺 고, 커뮤니티 안의 다른 Security Gateway와는 맺지 않습니다.
- Mesh(망형) 커뮤니티에서는 모든 Security Gateway 쌍 사이에 VPN 터널이 존재 합니다.


| 항목 | 설명 |
|---|---|
| 1 | Security Gateway |
| 2 | 위성(Satellite) Security Gateway |
| 3 | 중앙(Central) Security Gateway |
두 토폴로지를 섞은 예시
두 방식을 한 배치에서 섞을 수도 있습니다.

| 항목 | 설명 |
|---|---|
| 1 | London Security Gateway |
| 2 | New York Security Gateway |
| 3 | London - New York Mesh VPN 커뮤니티 |
| 4 | London 협력사(외부 네트워크) |
| 5 | London Star VPN 커뮤니티 |
| 6 | New York 협력사(외부 네트워크) |
| 7 | New York Star VPN 커뮤니티 |
이 배치는 London·New York Security Gateway가 내부 네트워크를 공유하는 Mesh 커뮤니티 와, 협력사가 자기가 일하는 사이트의 내부망에만 접근하도록 하는 Star 커뮤니티 를 함께 씁니다. 협력사 외부 네트워크용 Security Gateway는 London·New York 내부 네트워크에 직접 접근할 수 없지만, Star VPN 커뮤니티 덕분에 협력사는 자기가 협업하는 사이트의 내부 네트워크에는 접근할 수 있습니다.
VPN 트래픽 라우팅
Security Gateway는 VPN 트래픽을 VPN 도메인을 기준으로 라우팅하거나, 운영체제의 라우팅 설정을 기준으로 라우팅하도록 구성할 수 있습니다.
Domain-Based VPN
VPN 트래픽이 SmartConsole에 정의된 VPN 도메인에 따라 라우팅 됩니다. 도메인 기반 라우팅은 Star 토폴로지에서 위성 Security Gateway끼리 서로 VPN 트래픽을 주고받게 할 때 유용합니다. 이때 중앙 Security Gateway가 각 위성 Security Gateway로 VPN 터널을 만들고, 트래픽이 올바른 VPN 도메인으로 라우팅됩니다.
Route-Based VPN
VPN 트래픽이 Security Gateway 운영체제의 라우팅 설정(정적 또는 동적)에 따라 라우팅 됩니다. Security Gateway는 VTI(VPN Tunnel Interface)를 사용해 VPN 트래픽을 마치 물리 인터페이스처럼 내보냅니다. VPN 커뮤니티 안 Security Gateway들의 VTI는 서로 연결되며, 동적 라우팅 프로토콜(dynamic routing protocols)도 지원 할 수 있습니다.
정교한 라우팅 제어 — Link Selection
Link Selection 기능은 네트워크에서 VPN 트래픽을 세밀하게 제어하게 해 줍니다. 이 기능으로 Security Gateway는 다음을 할 수 있습니다(Link Selection).
- VPN 트래픽에 가장 좋은 경로를 찾기
- 내부·외부 네트워크로 가는 VPN 트래픽에 사용할 인터페이스 고르기
- VPN 트래픽에 사용할 IP 주소 구성하기
- route probing으로 사용 가능한 VPN 터널 고르기
- Link Selection용 Load Sharing으로 VPN 트래픽을 여러 VPN 터널에 균등 분배하기
IPv6 지원과 제한
R82 릴리스는 IPsec VPN 커뮤니티에 대해 제한적인 IPv6 지원 을 포함합니다.
- IPv6는 Site-to-Site VPN에서만(Main IP↔Main IP) 지원됩니다. 두 Security Gateway의 Main IP 주소가 모두 IPv6 주소로 정의되어야 하며, 그 밖의 IP 주소는 IPv4여도 IPv6여도 됩니다.
- IPv6는 IKEv2 암호화만 지원합니다. IPv6 트래픽에는 IKEv2가 자동으로 항상 사용되며, 암호화 방식은 IPv4 트래픽에 대해서만 구성할 수 있습니다.
- VPN 터널링은 IPv4 터널 안에 IPv4, IPv6 터널 안에 IPv6 만 지원합니다. IPv6 터널 안의 IPv4 트래픽은 지원되지 않 습니다.
다음 VPN 기능은 IPv6에서 지원되지 않 습니다.
- Remote Access VPN
- Internal Certificate Authority의 CRL fetch
- Multiple Entry Points (MEP)
- Route-based VPN (VTI)
- Wire Mode VPN
- 동적 IP 주소(DAIP)를 사용하는 Security Gateway
- Route Injection Mechanism (RIM)
- Traditional mode 방화벽 정책
- IKE Denial of Service 보호
- IKE Aggressive Mode
- Traditional Mode VPN
- Traditional VPN 모드에서 Simplified VPN 모드로의 마이그레이션
- Tunnel Management(영구 터널, permanent tunnels)
- Directional VPN Enforcement
- Link Selection
- GRE Tunnels
- SmartView Monitor의 Tunnel View
- VPN Overview 페이지
- vpn_route.conf 구성 파일
실제 구성은 시작하기에서 단계별로 이어집니다.