Download presentation
Presentation is loading. Please wait.
1
Frame Relay VPN PSINet IntraNet Technology 기술팀장 양재호
2
목차 PSINet Frame Relay Network PSINet IntraNet 소개
IntraNet Case Studies Q&A
3
PSINet Frame Relay Network
4
PSINet Network Architecture : Goals
레이어별로 구분된 구조 손쉽고 & 분명한 네트워크 디자인 Top Down 디자인 트래픽 엔지니어링 차별화된 서비스
5
PSINet Network Architecture (1)
레이어 별로 구분된 구조 “The world we’ve made as a result of the level of thinking we have done thus far creates problems that we cannot solve at the same level at which we created them” Albert Einstein IP Network Frame Relay Network Fiber Network
6
PSINet Network Architecture (2)
새로운 Needs/Policy/Technology를 구현하기 위해서는 현재 가동중인 네트워크에 영향을 주지 않는 명확한 네트워크 디자인이 필요하다. - 손쉽고 분명하게 네트워크 디자인을 하기 위해서는 IP 레이어 이하에서 지원을 해 주어야 한다. 새로운 Needs/Policy Goals: … Topology: … Condition: … Policies: …
7
PSINet Network Architecture: History
1990 G1 1992 G2 1994 G3 Generation 3: 원칙: Frame Relay – ATM Interworking 장비: BSDTX 9000, CBX500, … 백본: DS3, OC3/OC12 ATM 가입자: T1, DS3 Generation 4: 원칙: 순수 Frame Relay 장비: CISCO GSR12xxx, Lucent Nexabit 64xxx 백본: OC48, OC192 가입자: DS3, OC3 2000 G4
8
왜 프레임릴레이 인가 ? 트래픽 엔지니어링 (Mission)
[Q] A.SITE B.SITE 에서 별도의 용도로 10Mbps 의 추가 트래픽을 원한다. 40/45 B.SITE 20/45 20/45 A.SITE 37/45 15/45 20/45 C.SITE 30/45 20/45
9
왜 프레임릴레이 인가 ? 트래픽 엔지니어링 (추가 회선) (방법1) 직접 회선을 깔아서 해결하는 방법이 있다.
(장점) 여분의 회선 대역폭을 얻게 된다. (단점) 구현 비용이 비싸고, 제공하는데 시간이 많이 걸린다. A.SITE와 B.SITE사이에는 새로운 인터페이스가 필요하다. B.SITE 40/45 20/45 20/45 A.SITE 37/45 15/45 20/45 C.SITE 30/45 20/45
10
왜 프레임릴레이 인가 ? 트래픽 엔지니어링 (ATM) (방법2) ATM PVC를 이용하는 방법이 있다.
(장점) 나머지 구간의 여분의 트래픽 여유 Path를 통해 PVC를 짜서 빠르고 간편하게 제공할 수 있다. (단점) 고객측에서 고가의 ATM 인터페이스 카드가 필요하다. B.SITE 40/45 20/45 20/45 A.SITE 37/45 15/45 20/45 C.SITE 30/45 20/45
11
왜 프레임릴레이 인가 ? 트래픽 엔지니어링 (IP) (방법3) 라우팅 조절을 이용하는 방법이 있다.
(방법3) 라우팅 조절을 이용하는 방법이 있다. (단점) Topology가 복잡하고 중간 단계에서 정확한 트래픽의 조절이 거의 불가능하다. B.SITE 40/45 20/45 20/45 A.SITE 37/45 15/45 20/45 C.SITE 30/45 20/45 cf). MPLS
12
트래픽 엔지니어링 (Frame Relay)
왜 프레임릴레이 인가 ? 트래픽 엔지니어링 (Frame Relay) (방법4) Frame Relay PVC를 이용하는 방법이 있다. (장점) 나머지 구간의 여분의 트래픽 여유 Path를 통해 PVC를 짜서 빠르고 간편하게 제공할 수 있다. 그리고, 이러한 것을 별도의 인터페이스 카드없이 모든 인터페이스 에서 소프트웨어적으로 구현이 되어 있다. B.SITE 40/45 20/45 20/45 A.SITE 37/45 15/45 20/45 C.SITE 30/45 20/45
13
왜 프레임릴레이 인가 ? 차별화된 서비스 (Mission) 다양한 고객층에 대한 차별화 서비스의 제공. 나는 보안에 신경이
쓰이는데. 나는 일반적인 인터넷을 쓰고 싶어. 40/45 B.COM 20/45 20/45 A.COM 37/45 15/45 20/45 C.COM 30/45 20/45 나는 VOD서비스를 받고 싶어 대역폭 보장이 필요한데.
14
왜 프레임릴레이 인가 ? 차별화된 서비스 (Answer)
국제 인트라넷 서비스 국내 인트라넷 파이낸셜 백본 서비스 관제 목적 백본 서비스, … 인터넷 접속 서비스 (D/A) GBS 서비스 트랜지트 서비스 Megabit 서비스 일반적인 인터넷 고객 그룹 프리미엄 인터넷 사용자 그룹 보안 강화된 인트라넷 사용자 그룹 특별한 목적의 익스라넷 백본 글로벌 프레임 릴레이 네트워크
15
PSINet Korea : 국내망 현황 국내 네트워크 현황 (2001-02) 광역시를 포함한 10개 주요 POP에
일산 국내 네트워크 현황 ( ) 광역시를 포함한 10개 주요 POP에 프레임 릴레이 네트워크 구축 총 24군데 이상의 지역에 POP를 구축/운영중 Cf) 현재는 전체 국내망을 2.5 G 고속망으로 업그레이드 진행중 (2001년 7월 완료 예정) 45M (B) E1*4 강릉 서울 T1 * 2 원주 128K * 2 인천 45M 128K * 2 이천 45M 45M (B) 45M 분당 안양 안양 45M E1 * 3 45M 45M 45M 안산 안산 청주 안동 대전 T1 * 2 128K 128K 구미 대구 128K E1 * `2` 128K 포항 전주 45M Router Modem Router Modem 울산 128K* 1 군산 45M (B) 창원 E1 * 2 부산 T1 * 2 광주 T1 * 2 순천 128K* 2 목포 T1 *2 E1*1 프레임 릴레이 POP 전용회선 가능 지역 다이얼-업 가능 지역 제주 백업 라인
16
PSINet Korea : 해외망 현황 해외망 현황 (2001-02) 전세계 29개국 900개 지역의 POP을 구축 운영
글로벌 프레임 릴레이 네트워크 (현재 주요 20개국) 미국/유럽: OC48, OC192 백본 미국-유럽(대서양): 40 G * 아시아-미국(태평양): 5 G * 아시아-유럽: 155 Mbps * 이중 현재 한국-해외간 대역폭은 270Mbps (한국-미국: 180Mbps) * 는 IRU based
17
PSINet IntraNet - Frame Relay Based VPN
18
PSINet IntraNet 이란 ? 정의: PSINet의 글로벌한 프레임 릴레이 네트워크를 이용하여 두군데 이상의 지점/본점 사이에 개별적인 Secure 채널을 구성해 주고 이에 대한 전체적인 관리를 해주는 서비스 Key Words Frame Relay Based, Global, Private Channel, Managed Service
19
일반적인 전용회선 구성도 Site B Site A 가입자 수용 스위치 가입자 수용 스위치 (Tier-3) 지역 통합
지역 백본 스위치 (Tier-1) 지역 백본 라우터 (Tier-1) Circuit Data Flow via Internet Backbone
20
일반적인 전용회선의 Traceroute 결과
Site A에서 Site B로 Traceroute를 수행한 결과 IP> TRACEROUTE TRACEROUTE : 56 data bytes ms 33 ms 33 ms ms 33 ms 33 ms ms 116 ms 100 ms ms 116 ms 116 ms ms 116 ms 116 ms ms 150 ms 166 ms ms 200 ms 166 ms 중간에 많은 라우터들를 거치게 된다. IP레벨에서 다른 트래픽들과 서로 섞이게 되므로써 IP Security Hole에 노출되게 된다. 모든 트래픽이 서로 섞이게 되므로써 본사/지사만의 특별한 정책을 따로 구현할수 없게 된다.
21
IntraNet 구성도 Site B Site A 가입자 수용 스위치 가입자 수용 스위치 (Tier-3) 지역 통합
지역 백본 스위치 (Tier-1) 지역 백본 라우터 (Tier-1)
22
IntraNet 구성후 Traceroute 결과
Site A에서 Site B로 Traceroute를 수행한 결과 IP>TRACEROUTE TRACEROUTE : 56 data bytes ms 133 ms 116 ms 1 HOP으로 끝난다. 중간에는 Frame Relay 스위치만들 통해 연결된다. 다른 IP 트래픽과 완전히 분리된다. 본사/지사간의 Private 한 용도로 구성되어 있기 때문에 자신만의 네트워크 정책을 구현할 수 있다.
23
PVC를 이용한 채널의 구분 (1) 인터넷 프레임 릴레이 네트워크 전용회선 전용회선 본사 지사 1
인트라넷과 인터넷을 동시에 사용 가능 트래픽의 공유 가능 프레임 릴레이 네트워크 전용회선 전용회선 인터넷 PVC 인트라넷 PVC 본사 지사 1 여러개의 논리적 채널(PVC)로 나누어 짐
24
PVC를 이용한 채널의 구분 (2) 개별적인 트래픽의 할당이 가능하다.
인터넷 PVC 인트라넷 PVC
25
PSINet IntraNet 설치 및 운영
26
IntraNet 서비스 가능 지역 (2001-02 현재)
국내: 전체 광역시 포함 10개 지역 (5대 광역시 + 경인지역) 국제: 20개 나라 United States Canada United Kingdom France Germany Belgium Netherlandes Puerto Rico Sweden Switzerland Spain Japan Hong Kong Korea Austria (참고) 서비스 가능지역은 가입자 수용 요구에 따라 지속적으로 확장할 예정임.
27
간략화된 IntraNet 구현 과정 Pre-sales 단계: 사용자의 요구 사항에 대한 사전 협의 단계
예) 서비스 가능 지역, 설치 장소에 따른 설치비/회선료 (해외) Order 이후: 고객의 Site Profile: 각 설치지역마다의 대역폭, IP주소, 도메인, … 고객의 IntraNet PVC Profile: 기본적인 Topology의 정의 (MSG) Site 구현: Site Profile에 따른 병렬적인 사이트의 설치 만약, 사이트마다 별도의 요구 사항 (인터넷 사용, 별도 도메인 신청, Firewall 설치 지원) IntraNet PVC 구성: MSG 와 고객측과의 IntraNet 사용 목적에 따른 Topology의 디자인및 구성 사용자 요구 사항에 대한 구현 및 Managed Service: …
28
IntraNet 기본 네트워크 구성 본사 메인 라우터 PSINet POP 라우터 인트라넷 PVC 인터넷 PVC 지사의 라우터
xxx.xxx.xxx.xxx 각 지사의 네트워크 xxx.xxx.xxx.xxx/24 설명: 각 지사의 라우터(Frame Relay지원 라우터)는 인터넷을 위한 인터넷 PVC와 인트라넷 사용을 위한 인트라넷 PVC 두개로 구성되며, 인트라넷 PVC는 본사의 메인 라우터와 연결되며, 인터넷 사용을 위한 PVC는 각 지사의 가장 가까운 PSINet의 POP라우터와 연결
29
Certified CPE (1) : GT 60/70 주요기능 IPSEC 및 IKE 보안 프로토콜 지원
DRAM : 4MB FLASH : 2MB 10BaseT/10Base-2 Universal WAN I/F Async up to 115.2Kbps and sync up to 2.048Mbps Supports X.21, V.35, RS232, DTE, DCE ISDN BRI(S/T or U Interface) Network Management : SNMP, Telnet, TTPT 주요기능 IPSEC 및 IKE 보안 프로토콜 지원 DES / 3DES(56-168bit encryption)의 암호화 방식 지원 IP Tunneling 및 IP패킷 전송 RADIUS(Remote Authentication Dial-In User Service 기능 Dynamic IP filtering을 통한 Firewall 기능 Bandwidth Reservation 지원 : 우선 순위가 높은 Traffic 먼저 처리
30
Certified CPE (2) : GTX1000 주요기능 IPSEC 및 IKE 보안 프로토콜 지원
DRAM : 4MB(expandable to 8,16,24,32) FLASH : 2MB 3 modular slots : Ethernet 10Base-T, Console, RS-232 Network Management : SNMP, Telnet, TTPT 주요기능 IPSEC 및 IKE 보안 프로토콜 지원 DES / 3DES(56-168bit encryption)의 암호화 방식 지원 IP Tunneling 및 IP패킷 전송 RADIUS(Remote Authentication Dial-In User Service 기능 Dynamic IP filtering을 통한 Firewall 기능 Bandwidth Reservation 지원 : 우선 순위가 높은 Traffic 먼저 처리
31
Certified CPE (3) : 기타 기타로는 CISCO 17xx, 72xx 시리즈가 있다.
원칙적으로 Frame Relay를 지원하는 모든 장비는 모두 연동이 가능하다. 왜 Certified CPE가 존재하는가 ? 부가 서비스 (Filtering) 이것은 Managed Serviced이기 때문에 GT 60, GTX 1000과의 다른 점 Dynamic Filtering 기능의 부가 기능이 없다. 일반적인 CPE장비로 안정적이다.
32
IntraNet 기본 네트워크 구성 – 해외의 경우
각 인트라넷 PVC의 서울 센터와의 연결은 전세계에 걸쳐 구성된 PSINet Frame Relay 백본을 이용 서울 센터 New York Office PSINet World Wide Frame Relay Backbone Chicago Office Los Angeles Office 설명: 각 지사의 Office와 서울센터는 PSINet의 World-Wide한 Frame Relay 백본의 가장 가까운 POP에 연결이 되고, 각 지사와 본사사이에는 인트라넷 PVC에 의해 인터넷과 분리된 고객들만의 인트라넷을 구축하게 된다.
33
IntraNet 기본 네트워크 구성 – 백업 경로
CA 미국지사1 주 인트라넷 회선 경로 UK EU 영국 지사1 US 백업 인트라넷 회선 경로 HK BR KR JP 서울 센터 설명: 단일 PVC구성에 의해 회선에 문제가 생겼을 때를 대비하여 PSINet에서는 별도의 요구시에 여러 경로를 통해 백업 인트라넷 PVC 서비스를 제공하여 만약에 KR-US간의 자체 회선에 문제가 있을시 다른 KR-US회선 또는 KR-JP-US 회선 경로로 미리 백업회선을 구성해 놓고 각 지사/본사의 라우터에서는 OSPF 라우팅에 의해서 자동으로 백업으로 전환되어 Downtime없이 인트라넷을 사용할수 있도록 서비스를 제공
34
IntraNet 보안방법 (1) 왜. 일반 인터넷은 보안에 취약한가? 패킷1 패킷2
설명: 일반 인터넷은 다른 네트워크간의 패킷 전달을 위해서 라우터 들이 중간에서 패킷을 전달해 주는 역할을 하는데, 위와 같이 라우터에서 다른 라우터를 거칠때 보안이 보장되지 않는 구간을 통과할 수밖에 없음. 이때 위와 같은 상태에서 패킷 도청(Sniffer)을 통해 얼마든지 오고 가는 패킷을 캡쳐하여 내용이 분석 가능하므로 보안에 취약함.
35
IntraNet 보안방법 (2) PSINet Intranet은 ? 패킷1 패킷2 인트라넷 PVC 사이트 A 사이트 B
9000 9000 9000 사이트 A 사이트 B 패킷1 패킷2 인트라넷 망 인터넷 망 설명: PSINet Intranet의 보안은 Frame Relay 스위치에 별도의 Virtual Circuit를 통해서 이루어짐. 즉, 사이트 A와 사이트 B사이에는 어떤 라우터와의 연결 Path도 존재하지 않고 오직 PSINet F/R 백본만을 통과하고, Intranet 만을 놓고 보면 다른 인터넷 망과는 완전 분리됨. PSINet의 다른 라우터라도 사이트 A나 사이트 B 와 별도의 Virtual Circuit이 없는 한 절대로 침투가 불가능.
36
IntraNet 보안방법 (3) 인터넷의 보안은 ? 다이나믹 필터의 설치 현대정보기술 메인 라우터 인트라넷 PVC
PSINet POP 라우터 인터넷 PVC 지사의 라우터 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx/24 각 지사의 네트워크 설명: 각 사이트는 인트라넷뿐만 아니라 인터넷 사용을 위한 별도의 인터넷 PVC를 가질 수 있는데, 인트라넷은 보안에 문제가 없다 하더라도 인터넷 PVC를 통해서 침입이 들어오는 경우가 있음. 이를 위해서 PSINet에서는 Firewall 수준의 Dynamic Packet Filter를 통해서 각 사이트마다의 정책에 의해 다이나믹 필터를 설치하고, 이에 대한 사용 패턴의 로깅에 대한 서비스를 제공. 필터에 대한 정책의 제시 및 구현은 모두다 PSINet의 SPART라는 Security 전담팀에 의해서 진행/운영되어짐.
37
IP Address Design 비공인IP주소 공인IP주소 PSINet POP 라우터 본사 메인 라우터 인트라넷 PVC
지사의 라우터 공인IP주소 xxx.xxx.xxx.xxx 각 지사의 네트워크 xxx.xxx.xxx.xxx/24 설명: 각 지사나 본사의 사이트는 충분한 수량만큼의 공인 IP주소 블락을 할당받게 되고, 이들 공인 IP주소 블락은 연결되는 PSINet의 POP의 IP블락에 따라 좌우됨. (이는 인터넷서비스를 받기 위해서임.) 따라서 각 사이트에서 사용할 PC들의 숫자 (향후 증설 계획포함)에 따라 요청되는 숫자만큼 그리고, PSINet Addressing 정책에 따라 할당됨. PVC간의 시리얼네트워크 구간은 PSINet의 정책에 따라 비공인 IP주소가 할당됨.
38
Managed Service: IntraNet
MSG(Managed Service Group)란? : PSINet NOC(Network Operation Center)소속의 보안 전문가 그룹으로, 고객사의 보안정책수립 및 네트워크 관리를 총괄하는 조직 MSG의 역할 및 책임 고객사의 보안정책 컨설팅 24 X 7 NMS 및 Monitoring 서비스 Intranet 이나 VPN등의 Managed 서비스 구축 시 작업 전담 고객사 측 CPE(Customer Premises Equipment)에 대한 Setting 및 Maintenance 지원 Router, 인증 및 로그서버 Configuration 지원 각 IntraNet sites에 대한 장애처리, NMS 전담
39
Managed Service: 운영및 기술지원
United States Canada Korea Japan Hongkong United Kingdom Europe(ETC) Global PSINet MSG America Asia-Pacific Europe 각 Region 별, 각 국가별 MSG들의 유기적인 상호협력체계 구축 월 정기 Conference Call을 통한 네트웍 정책 수립 및 통일 범 세계 표준 인트라넷 상품 구현 각 국에 위치한 Intranet sites에 대한 상호 지원 (Cross border Support) 유기적인 협력을 통한 최상의 글로벌네트웍 환경 유지 장애처리 및 네트웍 모니터링 상호 협력 지원체계 구축
40
Managed Service: 운영및 기술지원
Call Center PSINet Korea MSG ISP사업본부 기술운영 기술지원 24X7 NMS Network Monitoring 및 Reporting 보안 정책 컨설팅 보안관련 정보 제공 장애 처리 장애 보상 하드웨어 유지 보수 각종 기술 지원 고객사 영업담당자
41
장애처리 System 및 장애처리 방안 하루 24시간, 주 7일 NOC 운영을 통한
Network Monitoring 및 장애처리 자체 장애 처리시스템을 통하여 장애 처리와 관련된 모든 부서에서 장애 확인 및 대처 Alarm System을 이용한 사전 장애 통보 및 신속대처 장애 복구 후 장애 내역을 분석하여 재발되는 장애를 최대한 억제 발생한 모든 장애에 대해서는 장애내용, 장애시간, 복구내용을 DB로 관리 및 Report
42
IntraNet Case Studies
43
CASE 0: PSINet IntraNet PSINet의 내부 NOC에서의 업무 처리를 위한 IntraNet
내부 문서/장애 처리 흐름/보안 문서 PSINet US NOC PSINet KR NOC PSINet 스탭용 IntraNet PSINet ETC PSINet JP NOC
44
CASE 1: 사이버카이스트 (참고) IP 주소및 위치 정보는 변경된 것임. 203.XXX.YYY.0
( ) Cisco 1720 WINS 1 F0 : 256 Kbps FR1 : 203.BBB.CCC.202 H 4/0/0 E0 203.XXX.YYY.30 203.HHH.KKK.64 ( ) 210.DDD.EEE.254 H 2/1.2 FR2 : 사이버카이스트 (XX동 연구소) WINS 300 256 Kbps FR1 : F0 : 512 Kbps GT 60 256 Kbps Static E0 203.HHH.KKK.94 210.AAA.BBB.0 ( ) F0 : T1 Kbps 512 Kbps FR2 : FR 1 : 7234 사이버 카이스트 (ZZ 시) Cisco 7100 WINS 200 203.FFF.GGG.202 H 4/0/0 FR 2: E0 210.CCC.DDD.129 사이버 카이스트 (YY 캠퍼스) (참고) IP 주소및 위치 정보는 변경된 것임.
45
CASE 2: 캐논 코리아 일본 본사 – 한국 지사 간의 인트라넷 인터넷 접속 라우터 Canon Japan
Intranet PVC Internet PVC GT 60 203.AAA.BBB.190 DMZ Network 203.AAA.BBB.160/27 203.AAA.BBB.189 Firewall 203.AAA.BBB.158 내부 네트워크 203AAA.BBB.128/27
46
CASE 2: 캐논 코리아 (사용자 요구사항) E-Mail 보안을 위한 설정 요구 사항 CSXX.CO.KR
MX RELAY.CS.KR.PSI.NET MX 0 POSTMAN.CSXX.CO.KR POSTMAN.CSEK.CO.KR XXX.YYY OTHER SMTP SERVER (1) Try postman directly POSTMAN.CSEK.CO.KR (2) Try relay secondly (3) Forward it postman RELAY.CS.NURI.NET PSINet Korea
47
질의 / 응답
Similar presentations
