VPN 에서 모니터링,관리란 무엇을 해주는 것인가요?
글쓴이: 1day1 / 작성시간: 화, 2006/08/01 - 10:11오후
VPN 구성을 어떻게 하느냐에 따라 상황이 달라지겠지만..
그림의 IDC 쪽의 모니터링,VPN center 은 어떤것을 모니터링 한다는 것이죠?
IDC 쪽에서 VPN server 역할을 하는 것인가요?
이 그림으로 보자면 VPN server 가 위의 그림의 "고객본사" 가 되고,
VPN client 는 지사나 물류센터/인쇄소/재택 근무자 가 되는 것이 아닌가요?
그렇게 되면, IDC 부분으로의 연결이 끊어져도 되는 것 같은데,
VPN center 라는 것이 어떤 특별한 일을 하는 것 같은데, 무엇일까요?(그쪽의 대외비 려나?)
규모가 크지 않은 경우 VPN server 역할은 제공업체의 IDC 쪽을 이용하는 경우도 있겠군요.(VPN 에 대해 잘못 이해하고 있나? ㅜㅜ)
그렇다면 IDC 쪽에서 여러 VPN 사설망들을 모니터링한다?
어떤 사설망 들이 설정되어 있고, 접속, 라우팅, 트래픽등을 모니터링?
VPN 관련 자료들이 주로 vpn 장비, 리눅스박스로 vpn 구현 등은 많은데,
위의 그림의 IDC 쪽에 해당할 만한 자료는 구하기가 어렵군요.
아마 제가 못찾아서 그럴것 같긴 합니다. (아니면 서비스 업체들의 노하우들이라 자료가 공개가 되지 않거나..)
ps. 이미지 출처
* http://www.haninternet.co.kr/business/vpn/vpn_price.php
* http://www.microsoft.com/korea/technet/network/vpntwk6.asp
File attachments:
| 첨부 | 파일 크기 |
|---|---|
 hanvpn_img_01.gif | 28.18 KB |
| inbe17.gif | 3.82 KB |
| inbe18.gif | 5.1 KB |
Forums:
일단 한인터넷 IDC의
일단 한인터넷 IDC의 Han VPN Center라는 건 보통 말하는 VPN '중앙 장비'에 해당하는 게 아닐까 싶습니다. 두 번째와 세 번째 그림은 network-to-network 연결이 아니라 network-to-host 연결을 설명하는 것인 듯하니 첫 번째 그림의 P-VPN Center가 VPN Server에 해당하고 P-VPN이 VPN Client에 해당하는 것이라고 하겠습니다.
기본적으로 VPN 연결이 장비와 장비 사이에서 이뤄지기 때문에 지사의 수가 많아지는 경우 성(star)형 구성으로 VPN을 구성하는 경우가 많습니다. 그 경우 별 모양의 가운데에 위치한 장비는 상당히 많은 수의 VPN 터널을 유지하고 지사들 사이의 트래픽 전달도 해줘야 하기 때문에 장비의 성능이 빠방해야 합니다. 그러자면 장비의 가격이 비싸질 수밖에 없고, 한인터넷이란 건 그 지점을 노린 것 같습니다. 업체에서는 고가의 고성능 장비를 IDC에 마련해 두고서 여러 고객들의 VPN 허브 역할을 해주는 대신 그에 대한 요금을 받고, 고객 입장에서는 고가 장비를 구입할 필요 없이 지사마다 저렴한 장비를 하나씩 구입하기만 하면 되니까요. 물론 올려주신 이미지 출처 페이지에서 언급한 것처럼 IDC의 VPN Center를 이용하지 않고 고객본사에 중앙 장비를 두는 구성도 가능합니다. 그렇게 하면 고객의 트래픽이 다른 회사(한인터네트웍스)를 거쳐가지 않으니 보안성이 높아진다고 할 수도 있겠지만, 대신 중앙 장비 역할을 할 고성능 장비 구입 부담이 있을 것이고, VPN 관리 부담도 늘어나지 않을까 추측해 봅니다. 자체적으로 관리를 하기도 귀찮을 것이고, 한인터넷에게서 관리 서비스를 받는다고 해도 한인터넷 입장에선 고객본사의 중앙 장비를 관리하는 게 자기네들 IDC에 있는 장비를 관리하는 것보다 힘들 테니 비용을 좀 더 쎄게 매기지 않을까... 하는 상상입니다.
VPN 서비스 제공 업체가 모니터링 하는 가장 중요한 사항은 당연히 VPN 터널의 안정적인 연결입니다. VPN 장비끼리 나름의 프로토콜로 연결 상태를 확인하거나 VPN 터널 내로 ping 패킷을 주고받는 등의 방식으로 VPN 통신 상태를 감시하다가 문제가 생기면 이를 즉시 감지하고 적절한 조치를 취해주어야 합니다. 모니터링 시스템으로 터널 상태 정보가 집중되어 운용자가 전체 터널의 상태를 시각적으로 쉽게 모니터링 할 수 있습니다. 그 외에 모니터링 시스템에서 VPN 터널을 통과하는 트래픽을 기록으로 남겼다가 이후 고객에게 분석 리포트를 보내줄 수도 있겠고, 여러 VPN 장비의 설정을 중앙집중식으로 관리하거나 VPN 장비의 펌웨어 업그레이드를 지원할 수도 있을 겁니다. 이 정도가 되면 "Monitoring System" 대신 "Management & Monitoring System"이라고 이름을 붙여야겠군요. :)
----
$PWD `date`
$PWD `date`
watchdog 에 가깝지요.
wariua 님 말씀처럼 VPN 커넥션이 안정적으로 유지되는지 점검하여 손쉽게 알아볼 수 있도록 시각적으로 표현하는 것이 모니터링 장비가 하는 가장 중요한 역할입니다. ISP에서 제공하는 VPN 허브는 트래픽 처리에 최선을 다해야 하니 모니터링 역할을 다른 시스템에 분산한 것이지요. 따라서 굳이 모니터링 시스템이 따로 없어도 VPN 연결에 문제는 없습니다.
그림에서처럼 두 곳 정도 지사가 있고 T1, E1 따위 전용선을 몇 회선씩 묶어서 사용할 여력이 있는 회사라면 굳이 ISP를 끼고 VPN을 구성할 필요는 없습니다. P-3 이상 성능을 가진 리눅스 기반 VPN 허브 시스템이라면 50Mbps 이상 트래픽을 충분히 감당할 수 있기 때문입니다. 다만 ISP에서는 대개 24시간 관제 서비스를 제공하므로 업무 시간 외에도 장애에 대한 신속한 처리를 기대할 수도 있겠지만, 실제로 새벽에 급하게 장애처리를 해야 할 일도 없고, 중소 ISP에서 새벽에 출장가서 서비스할 여력도 없습니다.
ISP에서 제공하는 VPN 서비스를 이용할 경우 1.초기비용이 적다(임대형), 2.고장시 추가비용이 없다, 3.장애시 VPN 서비스 업체 하나만 짜면 된다, 4.고정 비용이 계속 지출된다, 5.보안성이 현저하게 떨어진다.
독자걱으로 VPN 을 구성할 경우. 1. 유지비가 적게 든다, 2.보안성이 다소 높다, 3.장비가 고장나면 대개 무상으로 교환해 주지만 보증기간이 지나면 장담하지 못한다, 4.초기비용이 많이 든다, 5.장애시 장비를 판매한 업체와 회선을 임대한 ISP두 곳을 쪼아야 한다,
放下着-----
내려놓으려는 마음도 내려놓기
放下着-----
내려놓으려는 마음도 내려놓기
제가 생각한 부분이
제가 생각한 부분이 크게 틀리지는 않았군요.
요즘 VPN 장비들이 좋아져서, 독자적으로 놓고 하는 것이 더 좋을 것 같은데, 실제로는 신경써야 할 부분이 많은가요?
모니터링, 관리부분이
1. IDC 를 거치는 경우 IDC쪽에 VPN서버를 놓는 것 같고, 이에 대한 모니터링,관리를 해주는 것이겠죠.
2. 그렇지 않은 경우 VPN서버(장비)가 각 회사에 있을텐데, IDC쪽을 거치지 않기 때문에 관리라기 보다는 모니터링(연결여부) 정도 밖에 못 할 것 같은데 맞나요?
댓글 달기