01들어가기 — VSX란 무엇인가Introduction
VSX는 Virtual System eXtension의 약자입니다. 한 줄로 말하면 하나의 하드웨어 위에서 여러 개의 가상 방화벽을 동시에 돌리는 기술입니다. 공식 문서의 첫 설명도 바로 이것입니다.
여기서 가상 방화벽 하나하나를 Virtual System(VS) 이라고 부르는데, 각 VS는 그 자체로 완전한 Security Gateway처럼 동작하면서 보통 하나의 네트워크를 보호합니다. 패킷이 VSX Gateway에 도착하면 게이트웨이는 그 트래픽을 목적지 네트워크를 담당하는 VS에게 넘기고, 그러면 그 VS가 트래픽을 검사해 자신의 보안 정책에 따라 허용하거나 거부합니다.
물리 네트워크와 무엇이 다른가
VSX를 이해하는 가장 쉬운 방법은 기존 물리 네트워크와 견주어 보는 것입니다. 전통적인 방식에서는 보호할 네트워크마다 물리 Security Gateway를 한 대씩 따로 둡니다. 각 게이트웨이는 바깥쪽 경계 라우터와 안쪽 보호 대상 네트워크 양쪽에 인터페이스를 꽂고 동작하며, 보호할 네트워크가 늘어나면 그만큼 장비도 늘어납니다. 결국 네트워크가 셋이면 방화벽도 세 대가 필요하고, 구매비와 랙 공간과 전력과 관리 포인트가 모두 세 배가 됩니다.
VSX는 이 여러 대를 장비 한 대 안의 가상 시스템들로 합칩니다. 물리 네트워크가 여러 하드웨어로 이뤄지는 데 반해, VSX 가상 네트워크는 설정 가능한 하나의 VSX Gateway(또는 클러스터) 위에 존재하면서 그 안에서 여러 독립 네트워크와 가상 구성 요소를 함께 정의하고 보호합니다. 공식 문서는 이 대비를 다음과 같이 짚습니다.
이 그림에는 앞으로 계속 등장할 요소들이 들어 있습니다. 물리 장비 본체에 해당하는 것이 VSX Gateway이고, 그 안의 각 VS가 물리 게이트웨이와 똑같은 보안·네트워킹 기능을 가진 채 자기가 맡은 네트워크의 트래픽을 처리합니다. 여러 VS를 인터넷 라우터 같은 공용 회선에 L2로 묶어 주는 것이 Virtual Switch이고, VS와 이 Virtual Switch(또는 Virtual Router)를 잇는 내부 가상 케이블이 Warp Link입니다. 각각이 정확히 무엇인지는 VSX 아키텍처와 핵심 개념 장에서 차근차근 풀어 설명합니다.
결국 VSX의 핵심은 한 대처럼 보이지만 안에서는 여러 대처럼 동작한다는 것입니다. 그리고 그 여러 대의 VS가 서로 완전히 분리되어 있다는 점이, 다음 챕터부터 이 문서 전체를 관통하는 VSX의 본질입니다.