11Wire Mode·Directional VPNWire Mode·Directional VPN

VPN 커뮤니티 안의 트래픽은 이미 사설이고 안전 하므로, 거기에 방화벽 규칙을 또 적용하는 것이 불필요할 때가 많습니다. Wire Mode 는 내부 인터페이스와 커뮤니티를 "신뢰(trusted)"로 지정해 VPN 연결의 방화벽을 우회 합니다.

동작 원리는 두 질문입니다 — 이 정보가 "신뢰" 출발지에서 왔는가? "신뢰" 목적지로 가는가? 둘 다 yes이고 양쪽 게이트웨이가 속한 커뮤니티가 Wire Mode면, stateful inspection을 적용하지 않고 신뢰 인터페이스 간 트래픽이 방화벽을 우회 합니다.

핵심 이점이 둘입니다. 검사가 없으니 패킷이 버려지지 않아 기존 연결의 페일오버가 매끄럽 고, state 검증을 통과 못 하던 동적 라우팅 프로토콜을 쓸 수 있 게 됩니다. 그래서 Wire Mode는 Route-Based VPN을 가능하게 하고, MEP 구성의 연결성·성능을 높이는 데 쓰입니다.

VPN 커뮤니티를 규칙의 VPN 열에 넣으면, 출발지·목적지가 커뮤니티의 어느 게이트웨이든 될 수 있 어 트래픽이 양방향(bidirectional)입니다. 하지만 보안 정책상 한 방향만 허용하거나, 커뮤니티 밖 게이트웨이를 오가는 암호화 트래픽 을 다뤄야 할 때가 있습니다.

Directional VPN 은 출발지가 어디여야 하고 목적지가 어디여야 하는지를 명시 합니다. 그래서 한 커뮤니티 안에서, 또는 커뮤니티 사이에서 방향을 강제할 수 있습니다. 특히 Route-Based VPN을 배포하려면 Rule Base에 Directional Rule을 구성 해야 합니다.

정리하면, Wire Mode는 신뢰 VPN 트래픽의 검사를 생략해 동적 라우팅·페일오버를 돕 고, Directional VPN은 양방향이 기본인 VPN 트래픽에 방향 제약을 더하는 기능입니다.