IT 환경이 복잡해지면서 유연하고 효율적이며 동시에 비용 효율적인 네트워킹 솔루션이 필요해졌습니다. 그 결과, Software-Defined WAN(SD-WAN) 개념이 떠오르며 기존의 레거시 WAN에 비해 다양한 개선점을 제공하면서 시장에서 부각되기 시작했습니다.
이제 'SD-WAN이란 무엇인가'를 검색하면 다양한 벤더의 SD-WAN 솔루션을 설명하는 수많은 문서와 동영상들을 접할 수 있습니다.
하지만 SD-WAN이 실제로 어떻게 동작하는지에 대해 자세히 설명하는 아티클은 거의 없더라구요.
그래서 여기서는 SD-WAN 기술과 필요성에 대해 이해하실 수 있도록 설명해보고자 합니다.
SD-WAN은 소프트웨어로 WAN 통신을 매니징하여 기존 WAN을 혁신하고자 합니다.
SD-WAN의 핵심은 하드웨어 기반의 구성에 얽매이지 않고 중앙화된 컨트롤러를 통해 WAN 통신을 운영하고 관리할 수 있도록 하는 것입니다.
SD-WAN의 특징 :
중앙화된 컨트롤러
기존 WAN에서는 각각의 Edge 라우터에서 어떻게 통신할 지 결정합니다.
하지만 SD-WAN은 모든 Edge 라우터들을 중앙화된 컨트롤러 한곳에서 제어함으로써 효율적인 운영과 관리를 가능하게 합니다. 최근에는 SASE/SSE 개념과 결합되어 클라우드에서 운영되곤하죠.
Underlay & Overlay
Software-Defined Network, SDN에서 차용된 개념입니다.
물리적 인프라 구성 요소들 그 자체를 'Underlay'라고 하며 Mesh,Hub and Spoke,Point to point, VPN Tunnel과 같이 물리적 인프라 위에 논리적으로 구성된 개념은 'Overlay'라고 합니다.
네트워크 망 분리 운용
SD-WAN은 MPLS, 4G/5G LTE, Broadband 등 모든 망 전송 기술을 컨트롤하여 유연하게 활용할 수 있도록하여 저비용 고효율의 WAN 운영을 할 수 있도록 합니다.
네트워크 성능 최적화
SD-WAN은 네트워크 트래픽에서 애플리케이션을 인식하고 각각의 우선순위를 설정함으로써 최적의 애플리케이션 성능과 디지털 경험을 제공합니다.
심플한 운영과 관리
중앙화된 컨트롤러를 통해 복잡했던 WAN 운영관리 업무를 심플하게 만듭니다. 그리고 대부분의 SD-WAN 벤더에서는 네트워크 자동화 기능과 심플한 대시보드까지 제공합니다.
위와 같은 기존 WAN 대비 이점을 통해 SD-WAN 사용 기업은 뛰어난 네트워크 성능과 유연성을 얻게되어 운영관리에 드는 노력과 비용을 크게 줄일 수 있습니다.
SD-WAN 아키텍처에서 "Edge"라는 용어는 두 네트워크의 경계선에 위치한 디바이스들을 의미합니다.
기본적으로 "Edge"는 WAN 디바이스를 뜻하며, 내부망(LAN)과 외부망(MPLS, Internet, Cloud)을 연결하는 역할을 합니다. Edge 디바이스는 WAN Fabric에 연결을 책임지며 중앙화된 SD-WAN 컨트롤러의 정책에 따라 트래픽을 라우팅합니다.
즉, 모든 네트워크 세션은 SD-WAN 정책을 확인하기 위해 Edge 디바이스에서 SD-WAN 컨트롤러로 전송됩니다.
이때 네트워크 통신은 VPN과 같은 안전한 방법을 통해 SD-WAN의 Control plane과 연결됩니다.
그리고 Edge 디바이스는 SD-WAN 컨트롤러로부터 SD-WAN 정책에 기반하여 명령 받은 뒤 네트워크 세션이 맺어지게 됩니다.
이후 실제 네트워크 세션을 점유하는 유저의 통신은 Data plane(SD-WAN Fabric)을 통해 이뤄집니다.
요약해보자면..
Edge : WAN Fabric에 대한 네트워킹을 책임집니다. 네트워크 세션 요청이 있을 때, 중앙의 SD-WAN 컨트롤러에 해당 통신이 어떤 SD-WAN 정책에 따라야 하는지 물어보고 컨트롤러가 시키는대로 동작만 하면 되기에 기존의 WAN 라우터와는 조금 다르다고 말할 수 있습니다.
기존의 WAN : 기존의 WAN 라우터는 인터넷, 클라우드, 또는 MPLS와 같은 기업 전용망과 연결할 때 사용됩니다. WAN 라우터는 로컬에서 최적의 라우팅 경로를 선택하기 위해 프로그래밍되어 있으며, OSPF, BGP와 같은 라우팅 프로토콜을 사용하며 변동이 적은 Static한 성격을 띄고있습니다.
SD-WAN : Control Plane은 라우팅에 필요한 프로그램과 정책을 그때 그때 상황에 맞게 전달할 수 있도록 설계되어 있습니다. 모든 네트워크 Configuration은 Control plane에서 적용되고 여기서 결정된 네트워크 정책은 로컬에 있는 Edge 디바이스에서 수행됩니다.
SD-WAN 컨트롤러 : 컨트롤러는 일반적으로 클라우드에서 동작하며, Secure Tunneling을 통해 로컬에 있는 다수의 Edge 디바이스들과 통신합니다.
네트워크 관리자는 컨트롤러에서 TLD와 같은 애플리케이션 특성을 기준으로 트래픽의 우선순위를 설정하고 정책을 구성합니다. 그래서 컨트롤러는 모든 Edge 디바이스들의 중심이 되기에, 대부분의 벤더에서 장애에 대응할 수 있는 다중화 구성으로 "99.999%"의 가용성을 보장합니다.
Underlay : 물리적인 네트워크 인프라
Overlay : 통신을 위해 트래픽을 이동하는 데 사용되는 논리적인 기술들 (ex. VPN)
사실 위와 같은 용어들은 이미 많은 벤더에서 혼용되고 있으며, 그 정의가 모호해지고 있습니다. 특히 SASE/SSE 개념이 등장하면서 SD-WAN에 대한 언급은 많이 줄어들고 있는 것이 사실입니다.
하지만 SD-WAN을 모르는 상황에서 SASE/SSE의 네트워킹을 이해하기 위해서라도 SD-WAN은 꼭 알아둬야 할 지식이라고 생각합니다! 😊
SD-WAN은 컨트롤러라는 소프트웨어를 클라우드에 배포하여 서비스되기 때문에 리소스가 많이 사용되는 다이나믹한 라우팅 정책과 트래픽 관리도 비용 효율적으로 제공할 수 있습니다.
이로써 네트워크 병목 구간, 레이턴시, 로컬에서 설정한 라우팅 정책과 같은 다양한 요소들을 실시간으로 고려하여 데이터 전송을 최적의 효율로 할 수 있는 경로를 결정합니다.
어떻게 이게 가능하냐구요? SD-WAN은 Control plane과 Data plane을 분리했기 때문에, 기존 WAN보다 뛰어난 유연성과 민첩성, 그리고 효율성을 제공할 수 있습니다.
네, 저도 너무 뻔한 이야기라 와닿지 않는 것 같습니다.
SD-WAN의 사용 예시를 좀 들어볼게요.
그럼 이제 위 3가지 SD-WAN 정책들에 따라 Edge 디바이스가 동작하기 시작합니다.
따라서 Edge 디바이스는 유저 A의 salesforce.com에 대한 DNS 쿼리 트래픽을 가장 높은 우선순위로 처리하고 DNS 서버에서 응답한 IP 주소를 보내줍니다. 3번째 정책에 따라서요.
이제 유저 A는 salesforce.com IP 주소로 SYN 패킷을 전송하여 HTTPS 연결에 필요한 TCP Handshake를 시작합니다. 이에 따라 Edge 디바이스는 SD-WAN 컨트롤러가 명령한 3번째 정책에 따라 가장 높은 우선순위로 salesforce.com과 https 세션을 맺고 트래픽을 주고 받습니다.
하지만 우리의 SD-WAN Fabric과는 별개로 ISP, CSP, SaaS App 등 다양한 외부 요인으로 네트워크 레이턴시나 패킷 로스, 나아가 인터넷 다운타임과 같은 이슈가 생길 수도 있습니다.
이럴 땐 SD-WAN이 무엇을 해줄 수 있을까요?
SD-WAN 벤더에 따라 모두 다른 해결 방법을 제공하기 때문에 최대한 많은 벤더의 SD-WAN을 비교해보는게 중요할 것 같습니다.
그래도 SD-WAN이 기존 WAN보다 효율적이라는 것은 모든 벤더에서 동일합니다! 😊
SD-WAN 벤더들은 Latency, Packet Loss, Jitter와 같은 네트워킹 성능 현황을 파악하기 위해서 우선 순위가 높은 정책(여기서는 salesforce.com)의 네트워킹 성능을 주기적으로 테스트할 수 있도록 Edge 디바이스에 테스트 에이전트를 설치해둡니다. 일종의 Synthetic 모니터링이죠.
이제 Edge 디바이스는 위에서 설정한 Synthetic 모니터링에서 문제를 감지하면 다수의 인터페이스 링크들을 통해 정책 대상으로(여기서는 salesforce.com) 보내지는 Flow나 패킷을 상황에 맞게 밸런싱하여 통신할 수 있습니다.
SD-WAN 디바이스들은 대부분 Active-Active 구성을 지원하기에 가능한 일이죠.
SD-WAN은 MPLS와 같은 고가의 전용회선을 대체하여 네트워킹 비용을 절감하는데 사용할 수 있습니다.
물론 전용회선을 대체하는 것 이외에도 아래와 같은 많은 이점들을 누릴 수 있구요.
인터페이스 다중화를 통한 고가용성(High-Availability)
WAN에서 가장 이상적인 고가용성은 두 개 이상의 인터페이스에서 Active-Active 구성을 사용하는 것입니다. 이 WAN 링크는 기업전용망, 인터넷, 그리고 LTE가 될 수 있습니다.
나아가 Edge 디바이스를 이중화하여 로컬 네트워크 자체적으로 고가용성을 구현할수도 있습니다.
신속한 Fail-over
모 SD-WAN 벤더에서는 1초 미만의 Fail-over도 가능하다고 합니다.
이와 같이 신속하게 Fail-over 하는 것 뿐 아니라, SD-WAN 기능에 내장된 Traffic Shaping을 사용하면 정책에서 지정한 TLD의 네트워킹이 미리 정해진 대역폭과 우선순위를 받도록 할 수 있습니다. 이로써 장애 상황 시 중요하지 않은 TLD는 차단하거나 대역폭을 고정하여 제한할 수도 있습니다.
WAN 대역폭 최적화
모 SD-WAN 벤더에서는 트래픽 압축 기술을 구현하여 WAN에서 사용되는 대역폭 소비를 줄일 수 있습니다.
방화벽 기능 통합
모 SD-WAN 벤더에서는 Packet Duplication과 Packet loss compensation 기술을 사용하여 패킷 손실이 발생할 경우 주요 패킷의 손실을 수신 디바이스에서 복구할 수 있도록 보장합니다.
SD-WAN 컨트롤러의 고가용성
클라우드에 배포하고 운영되는 SD-WAN 컨트롤러는 다수 컨트롤러 아키텍처로 구성하여 99.999%의 고가용성을 제공합니다.
비용효율적인 고급 라우팅 기능 구현
OSPF, eBGP, NetFlow, IPFIX, SNMP, Syslog 등과 같은 고급 라우터의 기능들이 똑같이 지원됩니다.
1초 미만의 Fail-over, SD-WAN Mesh, Multi-tenancy, Multicast 모두 대단하고 좋은 기술입니다만...
하지만 SD-WAN 기술은 실제 유저의 디지털 경험을 향상시킬 수 있을 때! 그때 투자되어야 합니다.
그래서 SD-WAN에서 가장 중요한 것은 "비즈니스 크리티컬 애플리케이션이 어떠한 상황에서도 최적의 성능을 낼 수 있도록 하는 네트워킹 기능"이라고 할 수 있겠네요.
IT 벤더들이 대부분 그렇지만, 모든 SD-WAN 벤더에서 자신들의 SD-WAN 제품의 기능이 왜 필요한지, 성능은 얼마나 뛰어난지를 적극적으로 어필합니다.
하지만 이때 간과되는 것이 바로 네트워킹 성능 모니터링입니다.
그래서 대부분의 네트워크 팀은 SD-WAN을 배포하고 난 뒤에야 SD-WAN 성능에 대한 데이터를 수집하죠.
반면 Cisco, Silver Peak/HPE, VMware와 같은 기업들은 SD-WAN Edge 디바이스에서 IPFIX 데이터를 제공함으로써 네트워크 옵저버빌리티 플랫폼이 SD-WAN Fabric에 대한 성능을 분석할 수 있게 지원합니다.
이 IPFIX Flow 데이터는 SD-WAN 컨트롤러에서 제공하는 Telemetry 데이터와 연계하여 분석할 수 있습니다.
네트워크 옵저버빌리티 플랫폼, Kentik의 경우 다수 SD-WAN 벤더의 SD-WAN 정책 데이터를 수집하고 Flow, SNMP, BGP 등 다양한 네트워킹 데이터와 연계하여 비즈니스에 SD-WAN이 어떤 역할을 하고 있는지 어느 정도의 성능을 제공하고 있는지 분석해줍니다.
(ex. Viptela-VPN ID, Silver Peak-Application & Business Intent Overlay 등)
위 대시보드에서는 서브넷 간 네트워킹이 SD-WAN Overlay에서 어떻게 구현되는지 보여주고 있습니다. 따라서 네트워크 옵저버빌리티를 통해 Overlay 네트워크와 애플리케이션 간의 관계도 확인할 수 있죠.
이러한 데이터 연계분석을 통해 SD-WAN을 도입한 네트워크 팀은 클라우드, 인터넷, 데이터센터 사이에서 어떤 애플리케이션이 실행되고 있는지, 어떻게 통신하고 있는지 직관적으로 파악할 수 있습니다.
그리고 ISP/CSP/CDN 사용률, 인터페이스 사용률, 네트워크 트래픽 패턴을 이해하고 데이터에 기반하여 SD-WAN 정책 최적화를 진행할 수 있습니다.
SD-WAN Overlay와 Underlay의 개념을 이해하지 못하면 SD-WAN 인프라를 설계, 구축, 운영, 관리할 수 없습니다.
Overlay와 Underlay는 서로 연계되어 동시에 동작하며 유연하고 효율적인 네트워킹 솔루션을 만들어냅니다. 따라서 SD-WAN 네트워크를 사용하는 기업은 Overlay와 Underlay의 역할과 상호작용을 정확하게 이해할 때 그 성능과 보안성, 그리고 비용 효율성을 극대화할 수 있습니다.
SD-WAN Underlay는 데이터 전송을 위한 물리적 기반 인프라입니다. 라우터, 스위치, 케이블을 포함한 WAN의 물리적 인프라를 뜻하죠. 기존 WAN에서 Underlay 네트워크는 MPLS와 같은 기업 전용회선으로 구성되는데, MPLS와 같은 전용회선은 대부분 고비용에 유연성이 부족합니다.
그래서 SD-WAN Underlay 네트워크는 비용 효율적인 인터넷 연결과 VPN을 활용하여 안전하고 안정적인 네트워크 링크를 생성합니다. 따라서 SD-WAN을 도입하는 기업은 필요한 성능과 보안, 그리고 안정성을 유지하면서 값비싼 전용회선에 대한 의존도를 줄일 수 있습니다.
SD-WAN Overlay 네트워크는 데이터가 전송되는 방식을 명령하는 논리적인 Topology입니다.
Overlay 네트워크는 주로 VPN을 통해 안전하고 효율적인 통신을 가능하게 합니다.
SD-WAN Overlay는 네트워크 Topology를 매우 유연하게 제어할 수 있게 해줍니다. 그래서 Mesh, Hub and Spoke, Point-to-point 등 기업의 요구사항에 맞춰 손쉽게 필요한 아키텍처를 구성할 수 있죠.
SD-WAN은 Overlay를 Underlay에서 추상화하여 물리적 인프라의 제약 없이 네트워크 리소스를 관리하고 최적화할 수 있게합니다. 이로써 SD-WAN을 도입하는 기업은 네트워크 대역폭 증설, 신규 네트워크 추가, 네트워크 정책 조정 등 급변하는 수요에 맞춰 적시에 네트워크를 조정할 수 있습니다.
SD-WAN 인프라에서 Overlay와 Underlay 네트워크 간 상호 작용은 최적의 성능과 효율적인 리소스 활용을 위해 매우 중요한 요소입니다. SD-WAN 컨트롤러는 Overlay 네트워크를 관리하고 제어하여 실시간으로 네트워크 상태와 정책을 기반으로 라우팅과 트래픽의 최적화 방법을 결정합니다.
반면에 Underlay는 Overlay의 결정을 효과적으로 수행할 수 있는 물리적 기반 인프라를 제공하여 데이터를 안전하고 빠르게 전송할 수 있도록 만듭니다.
그래서 SD-WAN Overlay와 Underlay 네트워크를 모두 모니터링하고 관리할 때, 네트워크 트래픽 을 다이나믹하게 엔지니어링하여 네트워크에 병목 현상이 생기거나 불안정한 상황일 때에도 최상의 성능과 디지털 경험을 제공할 수 있습니다.
유연함과 확장성
논리적인 네트워크 Topology를 물리적인 인프라에서 분리함으로써 비용과 시간이 많이 소요되는 하드웨어 업그레이드 없이도 변화하는 수요에 맞춰 네트워크를 최적화할 수 있게 해줍니다.
비용 절감
SD-WAN은 Underlay 네트워크에 비용 효율적인 인터넷 연결과 VPN을 활용함으로써 값비싼 기업 전용회선에 대한 의존도를 줄이고 전반적인 네트워킹 비용을 절감할 수 있습니다.
성능과 안정성 향상
SD-WAN 컨트롤러는 Overlay 네트워크와 Underlay 네트워크를 실시간으로 모니터링하고 최적화하여 네네트워크에 병목 현상이 생기거나 불안정한 상황일 때에도 최적화된 애플리케이션 성능과 디지털 경험을 보장할 수 있습니다.
관리 간소화
SD-WAN의 Overlay, SD-WAN 컨트롤러는 중앙에서 모든 Edge 디바이스들과 네트워크 Topology를 관리할 수 있도록하여 네트워크 정책의 배포와 수정을 간소화합니다. 이로써 네트워크 관리에 수반되는 복잡성과 전문성을 낮춰줄 수 있습니다.
SD-WAN은 WAN의 개념에 속합니다.
하지만 아래와 같은 뚜렷한 차이점이 있습니다.
WAN
기존 WAN 환경의 제어와 관리는 OSPF, BGP, Static route와 같은 라우팅 프로토콜을 사용하여 WAN 라우터를 수동으로 설정하는 방식으로 이루어집니다. 이 작업에는 네트워킹 프로토콜에 대한 광범위한 지식이 필요하며, 휴먼 에러가 발생할 수 있고, 특히 대규모 네트워크에서는 시간과 비용이 더욱 많이 소모될 수 있습니다.
SD-WAN
반면 SD-WAN은 컨트롤러를 통해 제어와 관리를 중앙 집중화합니다. 따라서 네트워크 관리가 간편하고 네트워크 정책의 배포와 수정이 유연하고 민첩하게 이뤄질 수 있습니다. 나아가 SD-WAN 컨트롤러는 네트워크의 상태와 다양한 요구사항에 따라 자동화하된 최적의 결정을 내릴 수 있으므로 네트워크 리소스를 더 잘 제어하고 최적화할 수 있습니다.
WAN
기존 WAN은 사전에 구성된 Static Route 또는 라우팅 프로토콜에 의존하여 데이터 전송을 위한 경로를 결정합니다. 하지만 이 방식은 네트워크 리소스를 비효율적으로 사용하고 특히 네트워크 조건이 변경될 때 성능이 저하될 수 있습니다.
SD-WAN
SD-WAN은 라우팅과 트래픽 최적화에 다이나믹한 접근 방식을 사용합니다. 네트워크 상태를 실시간으로 모니터링하고 그에 따라 트래픽 라우팅을 조정하여 최적의 성능을 제공할 수 있습니다.
따라서 네트워크에 병목 현상이 생기거나 불안정한 상황 속에서도 최적의 애플리케이션 성능과 디지털 경험을 보장할 수 있습니다.
WAN
WAN 연결은 대부분 MPLS와 같은 기업 전용회선에 의존하는데, 대부분 고비용에 유연하지 못한 방식으로 평가받고 있습니다. 또한 기존 WAN 연결 내에 무언가 배포하는 것은 굉장히 복잡한 일들을 수반할 수 있으며 하드웨어, 소프트웨어, 전문 지식에 상당한 초기 투자가 필요합니다.
SD-WAN
SD-WAN은 보다 비용 효율적인 인터넷 연결과 VPN을 활용하여 안전하고 안정적인 연결을 구축합니다. 그리고 SD-WAN은 배포 프로세스를 간소화하여 새로운 네트워크를 추가하거나 기존 네트워크를 더 빠르고 쉽게 변경할 수 있도록 지원합니다.
WAN
기존 WAN에서는 방화벽, IPS, WAF와 같은 독립적인 보안 어플라이언스를 통해 보안 시스템을 구현합니다. 이런 디바이스들은 주기적으로 WAN 인프라와 별도 관리하고 유지 관리해야 하기에 복잡성과 동시에 잠재적 장애 지점이 추가됩니다.
SD-WAN
SD-WAN은 보안 기능을 Edge 디바이스와 SD-WAN 컨트롤러에 직접 통합하여 기존의 WAN보다 더 발전된 보안 접근 방식을 제공합니다. 또한 일부 SD-WAN 솔루션은 방화벽, IPS와 같은 보안 기능들이 내장되어 있어 관리를 간소화하고 공격 벡터를 줄이는데 도움을 줍니다.
WAN
기존 WAN은 일반적으로 이중화를 위해 Active-Standby 구성을 사용하며, Standby 링크는 Active 링크에 장애가 발생했을 때만 활성화됩니다. 그래서 리소스 활용도가 떨어지고 비용은 효율적이지 못하게 사용됩니다.
SD-WAN
SD-WAN은 다양한 링크를 동시에 사용하여 트래픽을 분산하고 이중화를 제공할 수 있는 Active-Active 구성을 지원합니다. 이를 통해 네트워크 리소스 활용도를 극대화하고 장애 발생 시 빠르고 원활한 Fail-over를 보장할 수 있습니다.
SD-WAN은 여러 측면에서 도움이 되는 강력한 네트워크 아키텍처이자 기술입니다. SD-WAN 사용자는 네트워크 성능 향상, 보안 강화, 비용 절감을 동시에 실현할 수 있습니다.
그러나 SD-WAN은 제대로 운영하고 관리될 때 더 많은 이점들을 제공합니다.
애플리케이션 트래픽 정책을 감사하고, SD-WAN 트래픽 경로를 파악하고, 인터페이스 사용률을 파악하는 등의 주요 네트워크 유지 관리 기능을 활용하여 네트워크 문제를 해결하고, 네트워크 대역폭을 관리하고 계획하면서, 비용은 최적화할 수 있습니다.
이때 네트워크 옵저버빌리티 솔루션이 성공적인 SD-WAN 인프라 도입과 운영/관리의 Key가 될 수 있습니다. Overlay와 Underlay를 넘나들며 SD-WAN 네트워크 환경을 가시화할 때 얻을 수 있는 인사이트는 상기 서술한 바와 같이 아주 많으니까요.
관심 있으시면, 네트워크 옵저버빌리티 kentik이 어떻게 최적의 SD-WAN 환경을 지원하고 있는지 알아보세요.
읽어주셔서 감사합니다.
네트워킹 기술과 시장에 대한 소통, 언제나 환영합니다! 🙌
Coffee chat 신청하기
메모 남겨주시면 간단한 커피챗을 통해 저희 팀의 경험을 공유해드릴게요 😊
에어키는 네트워크 옵저버빌리티 플랫폼, kentik의 파트너로 활동하고 있습니다.
문의처 - 에어키 MSP팀 김상휘 프로 (shkim0730@airquay.com, +82-10-2914-9400)
이 글은 kentik의 kentipedia 문서의 번역/수정본이며 오역이 있을 수 있습니다. (출처)