Network virtualization for the better understanding of Data Center Network

Copyright © 2017 Oracle and/or its affiliates. All rights reserved. |
Network Virtualization
For the better understanding of Data Center Network
Code Name : Cloud Bread
ID : Inho Kang
Mar 2017
Oracle Confidential – Restricted

Cloud Bread
With great power comes great responsibility.
— Voltaire (François-Marie Arouet)
Oracle Confidential – Restricted 3

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 4
https://www.youtube.com/watch?v=rSz3MOz6QR8
Network does matter !

Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
High scale, high performance network :
Non-oversubscribed flat Clos network – O(1Million) ports
Predictable low latency < 100µs RTT between hosts in same AD
5
Availability Domain 2
datacenters
Availability Domain 1 Availability Domain 3
physical
network

General Availability: Oracle Bare Metal Cloud Services
Bare Metal
Cloud Services
6
• Built on innovative next generation
infrastructure
• High scale, high performance network
─ 0rder of 1 million network ports in an AD
─ Flat, non-oversubscribed network
─ Predictable, low-latency performance
─ Storage and Compute in the same network fabric
• Comprehensive virtual networking
─ All traffic in private overlay networks
─ Off-box network virtualization supports plugging any
system into your private virtual network

Cloud Data Center
http://blog.woosum.net/archives/1524
Question :
How can communicate within VMs on the same host?

Inter VM Networking
VM<->VM

Intra VM communication
http://www.slideshare.net/HwanjuKim/5io-virtualization
H/W
Dom1 Dom2
Dom0
VMM
eth0
eth0 eth0
vif1.0
vif2.0
Bridge
Xen network architecture
 Inter VM Communication
1) Inter Host
- Xen 기반은 VM간의 I/O는 Bridge를 기반으로
통신한다.
- I/O 성능 향상하기 위한 다양한 연구와 적용
- XenSocket, XWAY, XenLoop,Fido
 참고
1) A Unix domain socket or IPC socket (inter-process
communication socket) is a data communications endpoint for
exchanging data between processes executing on the same host
operating system. Like named pipes, Unix domain sockets
support transmission of a reliable stream of bytes
(SOCK_STREAM, compare to TCP).
2) VirtualBox의 경우도 Jumbo frame을 지원하기 위해
Paravirtualized network adapter (virtio-net)을 지원 :
https://www.virtualbox.org/manual/ch06.html
Analogous to inter-process communication (IPC)
Split driver model has unnecessary path for inter-VM
communication
Dom1  Dom0 (bridge)  Dom2

Intra VM communication
http://www.cc.gatech.edu/grads/q/qzhang90/docs/YiRen-CSUR.pdf

Question : Different Host?
http://blog.woosum.net/archives/1524
Figure 5: Multi-tenant Cloud Datacenters with advanced server based capabilities

Program Agenda
Network Fundamental
Data Center Network
SDN & NFV & VM Migration
Docker Network
Overlay Network Hands-On
1
2
3
4
5
6

Network Fundamental
1. OSI 7 Layer, TCP/IP
2. Bridge, Switch, Router
3. Switch Function
4. Ethernet Switching & IP Routing
5. VLAN

OSI 7 Layer
1 상위 레이어에서 만든 데이터를 전기신호로
바꿔서 매개체를 통해 전달하는 계층
2 물리적 주소를 사용하고, 데이터의 전송
형태를 결정해주는 계층
3 논리적 주소를 사용하고 데이터의 전송
경로를 결정해주는 계층
4 데이터의 분할과 전송을 결정하고 서비스를
구분하는 계층
5 Application 계층간의 연결 담당 계층
6 컴퓨터가 인식할 수 있는 형태로 데이터를
변환하는 계층
7 사용자에게 Network Service 제공 계층
장비 : Cable, Hub
Bit 단위로 데이터 전달
물리적 주소 : MAC Address(6 byte)
장비 : Switch, Bridge
논리적 주소: IP, IPX등
장비 : Router, L3Switch
Process-to-process delivery
적절한 크기로 정해놓고 넘어가면
분할하고 전달 (MTU), TCP UDP
통신을 하기 위한 세션을
확립/유지/중단
MIME 인코딩이나 암호화 등의
동작
사용자의 입출력(I/O)부분
http://s2ecure.tistory.com/39
PDU
PDU(Protocol Data Unit)

OSI 7 Layer

OSI 7 Layer – TCP/IP Model
http://dev-ahn.tistory.com/57

TCP/IP 네트워크 처리 흐름

심화 학습 - TCP/IP 네트워크 처리 흐름
http://d2.naver.com/helloworld/47667

심화 학습 - TCP/IP 네트워크 처리 흐름 - 송신

심화 학습 - TCP/IP 네트워크 처리 흐름 - 수신
Destination MAC Address 가 일치, 브로드캐스트 (ff:ff:ff:ff:ff:ff), 또는 가입한 멀티캐스트 주소인 경우만 패킷을 처리하기 위해 CPU로
Interrupt가 발생 하여 packet을 Copy하며, 이외의 경우는 NIC의 수신 버퍼에서 frame을 버린다.

심화학습 – MAC Address

심화학습 – Ethernet Frame

심화학습 - Ethernet Header, IP Header, TCP/UDP Header

Classful IP Address
클래스 단위 주소지정의 주요 문제점
• IP 네트워크의 폭발적인 성장, 특히 글로벌 인터넷(Global
Internet)으로 인해 가용한 IP 주소 공간이 고갈되어 가고, 코어
인터넷 라우터(Core Internet Routers)들이 수용 용량에 한계를
느끼고 있는 문제점
• 낭비되는 클래스 B 대신 클래스 C 10개를 사용하면 라우터가
10배의 항목을 관리 하게 됨
http://enter.tistory.com/171
2021222324
252627
1248163264128

CIDR (Classless Inter-Domain Routing)
사이더(Classless Inter-Domain Routing, CIDR)는 클래스 없는 도메인 간 라우팅 기법으로 1993년 도입되기 시작한, 최신의 IP 주소 할당
방법이다. 사이더는 기존의 IP 주소 할당 방식이었던 네트워크 클래스를 대체하였다. 사이더는 IP 주소의 영역을 여러 네트워크 영역으로
나눌 때 기존방식에 비해 유연성을 더해준다. 특히 다음과 같은 장점이 있다.
급격히 부족해지는 IPv4 주소를 보다 효율적으로 사용하게 해준다.
접두어를 이용한 주소 지정 방식을 가지는 계층적 구조를 사용함으로써 인터넷 광역 라우팅의 부담을 줄여준다.
http://krnic.or.kr/jsp/resources/ipv4Info.jsp

CIDR (Classless Inter-Domain Routing)
https://ko.wikipedia.org/wiki/%EC%82%AC%EC%84%A4%EB%A7%9D

CIDR (Classless Inter-Domain Routing) – 블록 할당
https://ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%EB%8D%94_(%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%82%B9)
Internet Assigned Numbers Authority (IANA)
Regional Internet Registry(RIR)
Regional Internet Registries (RIRs)에게 짧은
접두어를 가지는 큰 사이더 블록을 할당해준다.
예를 들어, 1600만 개 이상의 주소를 지니는
62.0.0.0/8는 RIPE, 즉 유럽 RIR에 의해서 관리가
된다. RIR은 각각 유럽이나 북아메리카와 같은
하나의 큰 지정학적 위치를 관리하며, 할당받은
블록을 작은 블록으로 나누어 분배한다.
이러한 분배과정은 다른 수준의 레벨로 계속해서
반복된다. 대형 인터넷 서비스 공급자(Internet
Service Providers, ISPs)는 일반적으로 RIR로부터
사이더 블록을 얻어서 이를 가입자 수에 따라 지역
공급자에게 나누어 준다.
인터넷 국제 표준화 기구는 동일 인터넷 서비스
공급자에 속해있는 네트워크는 직접 주소 공간을
얻어서 사용할 것을 권장하고 있다. 반면, 여러
서비스 공급자로부터 서비스를 받는 네트워크는
해당 RIR로부터 직접 독립적인 사이더 블록을 얻는
것을 권장한다.

CIDR (Classless Inter-Domain Routing) – 블록 할당 예제
예로, 1990년대 후반, 208.130.29.33은 www.freesoft.org 웹
서버에 할당되어 있었다. 이 주소를 분석해보면, 3개의 사이더
접두어를 가지는 것을 알 수 있다.
1) 2백만 개 이상의 주소를 포함하는 큰 사이더 블록인
208.128.0.0/11이 ARIN(북미 RIR)에서 MCI에로 할당되었다.
2) 버지니아주에 있는 재공급업자인 Automation Research
Systems는 MCI로부터 인터넷 접속을 승인받아
208.130.28.0/22를 부여받았다.
3) ARS는 /24 블록을 공공 서버용으로 할당하였고,
208.130.29.33은 이 중의 하나다.
https://ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%EB%8D%94_(%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%82%B9)

CIDR (Classless Inter-Domain Routing) – Too Much Details
라우더 요약(Route Summarization)
• 라우터는 많은 네트워크들을 대표하는 하나의
공통적인 숫자를 가질 수 있을 것이다

CIDR (Classless Inter-Domain Routing) – BGP

CIDR 을 체감하기 어려운 이유
https://ko.wikipedia.org/wiki/%EC%82%AC%EC%84%A4%EB%A7%9D

Network Devices – Repeater, Hub, Bridge
 Repeater
- 전기적 신호만 증폭시켜 먼 거리까지 전달
 Hub
- 리피터와 마찬가지로 전기적 신호를 증폭시켜 LAN의
전송거리를 연장시키고 여러 장비를 LAN 에 접속할 수 있도록 해
준다.
- LAN에서 사용하는 CAT 5는 전송거리가 100m이다. 허브를
연결하면 전송거리를 연장할 수 있다.
- 프레임을 수신하면 연결된 모든 장비로 프레임을 Flooding 한다.
- PC가 많을수록 충돌위험이 많고, Half Duplex로만 동작한다.
- 허브는 하나의 Collision Domain이다.
 Bridge
- 포트는 보통 4개 이하이고, 속도가 느리다. 확장된 개념은
스위치
- 신호를 증폭시키는 것이 아니라 프레임을 재생한다. 즉 수신한
Frame을 다시 만들어 전송한다.
- MAC 주소를 보고 포트를 결정하며, Layer 2장비이다.
http://blog.pages.kr/59

Hub – Collision Domain
http://www.slideshare.net/netmanias-ko/netmanias20030811-ethernet-bridgingamplinkaggergationbasic/3
CSMA/CD (Carrier sense multiple access with collision detection)

Bridge – Collision Domain
http://www.slideshare.net/netmanias-ko/netmanias20030811-ethernet-bridgingamplinkaggergationbasic/3

Transparent Bridge

Broadcast Domain
Network Segment

Network Devices – Switch, Router
 Switch
- MAC 주소 테이블을 가지고 있고 목적지 MAC 주소를 가진
장비가 연결된 포트로만 Frame 을 전송한다.
- 각각의 포트가 하나의 Collison Domain 이다. 즉 충돌이 감소
- 스위치에 연결된 모든 장비는 하나의 Broadcast Domain 이다.
- 스위치에 연결된 장비가 많을수록 Broadcast 트래픽도 증가해
네트워크 성능저하가 심각해 진다.
- 해결책 VLAN 구성. 같은 스위치도 VLAN 이 다르면 Broadcast
Domain이 별도
 Router
- 네트워크 주소가 다른 장비들을 연결해준다.
- VLAN 이 서로 다른 장비들간의 통신은 라우터를 통해야만 가능
- WAN 구간의 장거리 통신이 가능하다
 L3 Switch
- 라우터의 속도 한계를 극복하고 VLAN 간의 고속 라우팅을 지원
- VLAN 포트간에 스위칭 기능을 제공, 다른 VLAN 포트간에는
라우팅 기능을 제공한다.
- 라우터보다 라우팅 속도가 빠르지만 장거리 통신망을 연결하는
포트가 없다.-

Switch
https://goo.gl/eiglZ0

Transparent Bridging – Too Much Details
- 라우터가 라우팅 테이블을 참조해 패킷을 라우팅 시키는 것처럼
- 스위치는 스위칭 테이블, 즉 MAC 주소 테이블을 보고 패킷을 스위칭 시킨다.
- 이처럼 테이블을 만들어 이를 참조해 프레임을 스위칭하는 방식을 트랜스패런트 브리징이라고 한다.(호스트는 브리지의 존재를 알지
못하기 때문에 Transparent)
1. Learning
이더넷 프레임을 수신하면 스위치는 자신의 MAC 주소를 확인한다. 이때 발신지 MAC 주소가 없으면 수신 포트번호와 발신지 MAC
주소를 자신의 MAC 주소 테이블에 기록한다.
2. Flooding
목적지 주소가 Broadcast 주소이거나 자신의 MAC 주소 테이블에 발신지 MAC 주소가 없을 경우 수신포트를 제외하고 모든 포트로
해당 프레임을 전송
3. Forwarding
목적지 주소가 MAC테이블에 존재하는 유니캐스트 프레임을 수신하면 목적지로 프레임을 전송한다.
4. Filtering
프레임을 수신한 포트로 다시 송신되지 않게 포트를 차단한다.
5. Aging
MAC 주소 테이블에 해당 주소가 있으면 에이징 타이머를 리셋시킨다. 기본 5분. 이 시간이 경과하면 제거한다.

Router
https://goo.gl/eiglZ0
Metaphor
배치Job을 돌고 있는 와중에
쿼리를 해는 경우

Router - Overview
1. IP 라우팅
 IP datagram을 한 번에 하나의 Hop씩 네트워크간에 이동시키는 hop-by-hop 체계
- 여기서, hop은 IP datagram이 거치게 되는 라우터의 수를 말함
2. 동작형태
 IP 패킷을 라우팅할 때,
- 사실상 전체 경로를 미리 알 수 없으며 IP datagram이 거치는 매 라우터 마다 현재 갖고
있는 라우팅 테이블에 근거하여 목적지 주소에 일치하는 다음 경로를 재계산 함
 IP 라우팅 테이블은,
- 목적지 주소와 다음 번 hop(뛰기) 할 주소로 구성되며,
- IP 라우터는 이를 정기적으로 새롭게 갱신하며 항상 현행을 유지하여야 함
3. 라우터 주요 기능 셋
 패킷 스위칭 기능 (Forwarding)
- 한 포트로 패킷을 받아서 다른 포트로 전송
 경로 설정 기능 (Routing)
- 라우터끼리 상호연결된 복잡한 망에서 경로의 배정 및 제어를
자동적으로 수행
4. 라우터의 기타 기능
 네트워크의 논리적 구조(Map)를 습득(Learning)
- 이를위해 이웃하는 라우터와 지속적으로 라우팅 정보를 서로 교신
 로드 밸런싱
- 라우터로부터 나오는 여러 케이블 선들의 Traffic량을 고루게 분산
 우회 경로
- 링크(link) 중 하나가 고장나면 우회 경로를 구성시켜줌

Router - Overview

Router– Routing Protocol
1. 정적 경로 설정 vs 동적 경로 설정
 정적 경로 설정
 동적 경로에 비해 설정이 비교적 간단
 라우팅 정보를 주고 받지 않기 때문에 네트워크 및 라우터 장치에 부담이 작다
 그러나 네트워크 토폴로지가 변경되면 관리자가 수동으로 설정
 소규모 네트워크
 동적 경로 설정
 대표적 RIP, RIP v2, OSPF등
2. RIP(Routing Information Protocol), RIP v2 – Distance Vector RP
 RIP는 거리벡터 라우팅 프로토콜(무조건 홉수가 적은 경로)로 자신의 라우팅 테이블을 30초 마다 이웃에게
브로드캐스트(255.255.255.255) 전달
 네트워크의 상태변화 여부와 관계 없이 무조건적 브로드캐스트가 일어나기 때문에 , 네트워크 규모가 커지면 사용하기 힘들다.
 RIP v1
 RIP v1은 Stateful 이다. 따라서 서브넷을 따로 기입하지 않는다.
 ip 자동 요약(summary)되며, Broadcast(255.255.255.255)로 작동한다.
 RIP v2
 v2는 Stateless이기 때문에 서브넷을 따로 기입해야 하며, ip 자동 요약기능을 켤수도 끌수도 있다.
 보안등의 기능이 좋아졌고, Multicast(244.0.0.9)로 작동한다.

3. OSPF(Open Shortest Path First) – Link State RP
 RFC 2328에 규정되어 표준화된 라우팅 프로토콜로 모든 라우터 벤더가 지원
 계층화된 라우팅 동작을 수행하기 때문에 중대규모 네트워크에 사실상 가장 많이 사용되는 라우팅 프로토콜
 라우팅 정보 업데이트시 224.0.0.5와 224.0.0.6의 멀티캐스트 주소를 사용하며, 프로토콜 번호 89번을 사용하는 라우팅 프로토콜
 경로(링크) 상태가 변화가 생기면 변경된 부분만 업데이트를 실시, 30분 간격으로 링크 상태 재생(refresh)기능으로 라우팅 정보
교환
 목적지까지 비용이 가장 적게 소요되는 경로를 최적의 경로로 설정하는 링크 상태 라우팅 프로토콜이며 최단 경로 우선
알고리즘(Dijstra 다익스트라) 사용
 링크이 비용(cost)을 메트릭으로 사용하여 목적지 네트워크로의 경로를 결정, vs RIP 은 홉수, EIGRP는 대역폭과 지연값을
메트릭으로 사용

 정적 Routing vs 동적 Routing
- RIP : hop수가 가장 적은 경로
(교차로가 가장 적은 경로)
- OSPF : 비용가 가장 적게 드는 경로
(길이 차선이 가장 넓은 경로
but 실시간 교통상황 고려 없음)
 라우팅 수렴성
ㅇ 네트워크에 어떤 변화가 일어난 후, 전체 라우터가
그 네트워크에 대하여 동일한 정보를 공유하기까지의
속도 또는 능력을 말함
ㅇ 수렴 시간
- 네트워크 내의 모든 라우터가 일관성 있는 라우팅 테이블을
갖게될 때까지의 시간
. 수렴시간 짧은 라우팅프로토콜 : EIGRP, OSPF, ISIS
. 수렴시간 긴 라우팅프로토콜 : RIP, IGRP
- 수렴시간이 짧을수록 좋음

Collision Domain

VLAN 이란?
http://www.slideshare.net/netmanias-ko/netmanias20041112-vlan-basicconcept?utm_source=slideshow02&utm_medium=ssemail&utm_campaign=share_slideshow
Ethernet Frame에는
TTL이 없다.
(Looping 시는….)

VLAN 이란
- 하나의 MAC Bridge의 여러 포트를 복수개의 Logical LAN Segment로 Grouping하는 기술
- 각각의 VLAN은 별개의 Broadcast Domain
- IEEE Std 802.1Q
TPID 또는 ETPID : Ethernet Type ID
VID : VLAN Identifier
12비트 (4096)
https://ko.wikipedia.org/wiki/IEEE_802.1Q
참고 : CRC : cyclic redundancy check (CRC) is an error-detecting code
Ethernet Type 2 Frame Format

VLAN – Port Based

VLAN – Protocol
Protocol 기준

심화학습 - Ethernet/IP/TCP-UDP Header
Sample encapsulation of application data
from UDP to a Link protocol frame
http://www.netmanias.com/ko/post/blog/5372/ethernet-ip-ip-routing-network-protocol/packet-header-ethernet-ip-tcp-ip

ARP (Address Resolution Protocol)
DA SA EType SA(IP) DA(IP)
FFFFFFFFFFFF A 0x0806 172.16.1.17 172.16.1.18

Ethernet switching and IP Routing
http://www.netmanias.com/ko/post/blog/5501/arp-bridging-ip-routing-network-protocol/switching-and-routing-part-1-ethernet-switching
FE : Fast Ethernet
GE : Giga Ethernet

Ethernet switching
ARP(Address Resolution Protocol)

Ethernet switching

IP Routing
참고 : FIB(Forwrading Information Base) 는 RIB(Routing Information Base)의 Subset
일반적으로 Dynamic/Static Routing 에 의해서 발견된 네트워크 정보가 모인것을 RIB 라 하고, 이중에서도 실제 Forwarding 에서 사용되는 정보를 FIB 라함

GRE(Generic Routing Encapsulation)
1. GRE (Generic Routing Encapsulation)
ㅇ 원격 네트워크가 마치 로컬 네트워크인 것처럼 보이게하는 터널링 프로토콜
- 임의 계층 프로토콜의 캡슐화가 가능케하여 이를 라우팅할 수 있도록 설계됨
2. GRE 특징
ㅇ Site to Site IP 터널링 프로토콜
- 원래 시스코社에서 개발된 프로토콜
ㅇ 데이터 암호화 기능은 제공하지 않음
- 보안성 확보를 위해서는, IPsec 기능을 추가적으로 적용할 수 있음
ㅇ 터널링 내 운반 가능 프로토콜
- IPv4, IPv6, IPX, IPSec 등 다양함
ㅇ GRE 헤더
- 원래 패킷에 GRE 헤더를 붙이고,
- 이 패킷을 2 이상의 라우터 간에 미리 설정된 가상의 링크 상에서 전달하며,
- 라우터 간에는 단대단 HDLC 캡슐화시킨 것 처럼 취급함
ㅇ GRE 터널을 만들기 위해서는 미리,
- 2 이상의 종단 라우터 간에 가상의 시리얼 링크 인터페이스를 설정하여야 함
http://www.ktword.co.kr/abbr_view.php?nav=2&m_temp1=1606&id=436

포괄적인 라우팅 캡슐화인데.. (굉장히 이름을 잘 지은거같다. ) 터널을
구성할때 쓰는 프로토콜이다.
이를 설명하기에 앞서 터널링의 방식으론 우리가 알아볼 gre 외에 IP in
IP 터널링 방식이 있다.
둘의 가장 큰 차이점은 바로 캡슐화 방식의 차이와 라우팅 여부이다.
터널을 통과할때 패킷들이 방식에 따라 캡슐화 되는데, GRE 터널의 경우
패킷에 새로운 gre 헤더로 캡슐화되고, IP in IP 터널의 경우 터널의 가장
기본적인 구성으로,새로운 아이피 패킷으로 캡슐화 한다. (즉, ip패킷을
ip 패킷으로 감싼다) 그렇기 때문에 패킷을 뜯어보면 아이피 헤더가
두개가 나오게 된다.
‘Simple is best’가 내 신조지만 아쉽게도 사람들은 gre 방식으로만
터널을 구성하는데, 바로 IP ip IP방식의 터널은 유니캐스트 방식의
패킷밖에 지원하지 않는다.
즉 이말은 멀티캐스트를 사용해 네이버와 라우팅 테이블을 주고받는
동적 라우팅을 사용할 수 없다는 소리다.
아.. 이 얼마나 무시무시하고 끔찍한 상황인가. 사람들은 그래서
Gre방식으로 터널을 구성한다.
http://ebong2.org/2016/05/03/ciscogre-over-ipsec/

http://blog.naver.com/PostView.nhn?blogId=cafca23&logNo=90079336378&categoryNo=157&viewDate=&currentPage=1&listtype=0
PBR(Policy base routing)

MPLS (Multi-Protocol Label Switch)
http://www.astriz.com/tech/16_MPLS.pdf
이런 MPLS에서는 짧고 고정된 길이의 레이블을 기반으로
패킷을 전송하는 레이블 교환(Label Switching) 방식을
이용 그러므로 IP 패킷을 목적지까지 전송하기 위해
필요한 IP 헤더 처리 과정이 모든 홉에서 수행될 필요
없이 MPLS 망에 진입하는 시점에서 단 한 번만 수행
기존의 IP Routing의 문제점
+ IP Header Processing
라우터에서 IP packet을 다음 hop으로 전송하기 위해서는 TTL, Checksum,
Routing Table Lookup 등 IP Header 내의 많은 처리 과정이 필요
+ Longest Prefix Matching
IP packet을 전송하기 위해 다음 hop을 찾는 과정에서 Longest Prefix
Matching 방식을 사용함으로써 등록된 Routing Table에 따라 Routing Table
Lookup 과정이 지연
+ Hop-by-Hop Forwarding
Data를 전송지부터 목적지까지 전달하기 위해 거쳐야 하는 모든 Hop에서 IP
Header 처리 및 Longest Prefix Matching 방식을 이용한 Routing Table
Lookup 정을 수행해야 하기 때문에 고속 Data 전송에 부적합
+ Best Effort Service
현재 인터넷 망에서는 모든 패킷을 Routing Protocol이 정한 경로에 따라
라우터에서 동일하게 처리하는 Best Effort Service만을 제공하고 있기 때문에
전송 지연 또는 패킷 손실에 대한 보장 처리를 수행하기 어려움
Metaphor
전체 주소 대신
우편번호활용

Longest Prefix Matching
라우더 요약(Route Summarization)
• 라우터는 많은 네트워크들을 대표하는 하나의
공통적인 숫자를 가질 수 있을 것이다
Rooter
C
Metaphor
Full Scan을 해야만 한다.

MPLS (Multi-Protocol Label Switch)
MPLS의 장점
+ Performance/Price & High Speed Data Transfer
하드웨어 Platform으로 라우터에 비해 기능이 단순한 스위치를 사용하고 단순화된 하드웨어적 packet 전송 방식과 Table Lookup 방식을 사용하기 때문에 고속 데이터
전송과 함께 가격 대비 성능 향상
+ Traffic Engineering
Routing Protocol에 의해서 결정된 전송 경로를 기반으로 LSP(Label Switching Path) 를 설정하도록 되어 있으나 네트워크 관리자가 선택적으로 Explicit Route를
설정할 수 있는 기능과 함께 LSP 설정시 망 자원을 적절히 할당할 수 있는 기능을 제공함으로써 Traffic Engineering 기능 수행 가능
+ Virtual Private Network
현재 ISP (Internet Service Provider)에 의해서 제공되는 VPN은 PPTP (Point-to-Point Tunneling Protocol), L2F (Layer 2 Forwarding), L2TP (Layer 2 Tunneling
Protocol)과 같은 별도의 터널링 프로토콜을 제공해야 함. 하지만 MPLS에서는 LSP에서 이용되는 레이블과 VPN 식별자 정보를 맵핑시킴으로써 쉽게 VPN 서비스의
제공이 가능
+ Multi-Protocol Support
MPLS에서는 Layer 3 프로토콜과 Routing Protocol을 기반으로 특정 FEC*를 식별하기 때문에 IPv4, IPv6, AppleTalk, DECnet 등 다양한 네트워크 계층 프로토콜을 지원.
또한 ATM, Frame Relay, Packet-Over-SONET, Ehternet 등 모든 Layer 2 프로토콜에서 제공될 수 있기 때문에 특정 링크 계층 프로토콜에 의존하지 않음
*FEC(Forwarding Equivalance Class)
동일한 방식으로 Forwarding 되는 IP(Layer 3) 패킷들의 그룹
- 동일 경로상으로 라우팅 되는 동일 서비스 등급에 속한 패킷들의 집합
- Destination address prefix 는 다르지만 MPLS 망 내에서 공통의 경로로 매핑되는 IP Layer
http://www.astriz.com/tech/16_MPLS.pdf

IP 라우터와 MPLS의 전송 동작
그림 기존 라우터의 데이터 전송 동작 과정

MPLS
그림 MPLS의 데이터 전송 동작 과정
MPLS 네트워크는 MPLS 네트워크의 에지에
위치하여
non-MPLS 네트워크와 연동하는 LER (Label
Edge Router)와
MPLS 네트워크의 코어에 위치하는
LSR (Label Switch Router)로 구성
LER (Label Edge Router)
LDP (Label Distribution Protocol)

MPLS
MPLS 네트워크는 MPLS 네트워크의 에지에 위치하여 non-
MPLS 네트워크와 연동하는 LER
(Label Edge Router)와 MPLS 네트워크의 코어에 위치하는 LSR
(Label Switch Router)로 구성
+ Ingress LER
- non-MPLS 네트워크로부터 전달되어 오는 패킷의 헤더(destination IP
address 등)를 분석 하여 이 패킷이 전달될 LSP (Label Switched Path)를
결정
- 해당 outgoing interface(Layer 2)에 따라 패킷을 인캡슐레이션(링크계층에
따라 다른 포맷의 레이블을 부착)
+ LSR
- LER 로부터 레이블화된 패킷이 들어오면 그 레이블만 검사하여,
레이블값을 바꾸고 정해진 Outgoing Interface 로 전달(ATM 교환기에서
VPI/VCI 테이블을 검색하여 셀을 교환 하는 과정과 동일)
- ATM에서 VPI/VCI 검색 테이블을 ATM Signaling Protocol 이 생성 하듯이
MPLS 에서는 LDP 프로토콜이 룩업 테이블(LIB: Label Information Base)를
생성
+ Egress LER
- Egress LER 에서는 도착한 패킷에서 레이블을 제거하고 그 패킷의
목적지로 패킷을 전달

Program Agenda
Network Fundamental
Data Center Network
Docker Network
1
2
3
4
5
6

1. VxLAN
2. NVGRE

VxLAN
 VxLAN 은 eXtensible VLAN을 의미
 Main Author is VMWare
 가상화 환경에서 VLAN 부족현상과 Switch에 MAC Address Table정보를 담을 수 있는 한계를 초과
1) VID = 12bit (4096), VxLAN ID = 24bit (16,777,216)
Reserve VLAN ID를 제외하면 4000여개만 가능
ex) Cloud 환경에서 VM 3개인 고객도 VLAN 요구
2) Switch 에서 MAC Address Table Learning, Aging등을 위한 관리
 VxLAN 에서는 하단의 vSwitch에서 해당 MAC Address 만 Forwarding
ex : 단일 STP 네트워크 도메인에 서버 4000대, 서버당 VM 32개, VM당 vNIC 2개
4000 * 32 * 2 = 256,000
http://youngmind.tistory.com/entry/Network-Overlay-VXLAN-%EB%B6%84%EC%84%9D-2

VxLAN Packet format
http://www.brocade.com/content/html/en/deployment-guide/brocade-vcs-gateway-vmware-dp/GUID-5A5F6C36-E03C-4CA6-9833-1907DD928842.html

Overlay Network using VxLAN

VxLAN Unicast flow
 VTEP (VxLAN Tunnel End Point)
 Unknown Mac Address learned
by IP Multicast
Metaphor
국제 탁송 화물
국제 우편 주소로 제포장

VxLAN Multicast for Unknown Mac Address
If the inner DMAC is an unknown address within this VNI, a MAC address learning process is used similar to
what is used within a layer 2 network. To do this, IP multicast addresses are used. Every VTEP associated with
a given VNI will join the same IP multicast group. Unknown addresses are flooded to all other associated
VTEPs using this multicast IP address in the outer IP destination address field. When a response is received
from a destination VTEP, the SMAC from this response frame is used to update the VTEP-A forwarding table,
just as it is done in a L2 network. In this way, the environment that the VM is exposed to behaves just like a
layer 2 network including address learning.

NVGRE
The Network Virtual Endpoint (NVE) defined in the NVGRE
specification is very similar to the VTEP defined in VXLAN. It is
part of the Hyper-V hypervisor from Microsoft and NVGRE is
sometimes referred to as Hyper-V virtual switching.
Main Author is MS

Tunnel Location
장단점 비교
 vSwitch
CPU 자원을 소비한다.
 NIC
최근의 NIC는 TCP offload, SR-IOV같은 기능이 있는데,
VxLAN 또는 NVGRE Tunneling을 방해할 수 있다. 따라서
지원 여부 확인 필요
 ToR Switch
ToR Switch가 Tunnel Endpoint인 경우에는 VM의
Identifier정보(VNI, VSID)정보를 스위치가 관리해야 하는
어려움이 있다. 그러나 한가지 장점은 같은 Rack안에
서버끼리는 Tunneling을 하지 않아도 L2 정보를 이용해서
forwarding하기 때문에 테이블 싸이즈를 줄일 수 있다.
 TCP offload Engine : NIC가 TCP의 Checksum 같은 기능을 수행함으로써 CPU의 부하를 경감해 주는 기능
http://www.solway.co.kr/bbs/board.php?bo_table=resource&wr_id=2

정리 - Tunneling 기반 Network Overlay 종류
 VXLAN(Virtual eXtensible Local Area Network)
 L2 Frame over IP/UDP, IETF Network Virtualization Over L3 (nvo3) WG
 참여기관 : Cisco, VMware, Broadcom, Citrix, Red Hat, Arista
 NVGRE(Network Virtualization using GRE)
 L2 Frame over IP/GRE, IETF Network Virtualization Over L3 (nvo3) WG
 참여기관 : Microsoft, Intel, Hewlett-Packard, Broadcom, Emulex, Arista
 STT(Stateless Transport Tunneling)
 L2 Frame over IP/TCP, IETF Network Virtualization Over L3 (nvo3) WG
 참여기관 : Nicira(VMware)
 VXLAN, NVGRE 및 STT의 프레임 구조

Ravello - Overlay Network
 SPAN Port(Switched Port Analyzer) = Port Mirroing

Ravello – Smart Network Lab
•Ravello Blueprint를 이용한 Spine Leaf 테스트 : https://www.ravellosystems.com/blog/lisp-leaf-spine-architecture-arista-veos-on
•Spine Leaf를 테스트 하기 위해서는 Physical Network 이 있어야 하는데 Ravello는 Blueprint까지 제공한다.
•
•
•위의 내용중에 3 Tier vs Spine Leaf를 잘 정리 놨다.
•3 Tier는 같은 Access Layer Switch에 있지 않는 이상, Aggregation & Core를 넘나 들면서 성능을 보장할
•위치에 따라 달라진다는 것이다.
•Spine Leaf는 equidistance endpoint(등거리)를 제공한다.

Ravello - Smart Network Lab
•MPLS Test : https://www.ravellosystems.com/blog/build-bgp-mpls-service-provider-network-part-2/
•Ravello 에서는 Cisco VM을 제공

Program Agenda
Network Fundamental
Data Center Network
Docker Network
Overlay Network hands-on
1
2
3
4
5
6

Data Center Network
1. Topology
2. 3Tier -> Fat Tree

Traditional 3-Tier  ToR Switch ( Top of Rack) (aka) Access Switch :
ex: Typically 48 Port GigE, w/ 2 port GigE uplinks
 Aggregation switch
ex: Typically 128 Port 10GigE
 Core switch/router
 문제점
 데이터 센터 네트워크는 다른 서버 까지는 적어도
2홉, 다른 랙은 4홉까지 발생
- 성능 예측 가능성이 떨어짐
(같은 Rack에 있는 경우와 다른 Rack에 위치한 경우가 다름, 따라서
트래픽의 유형에 따라서 성능이 제각각)
 West-East Traffic 증가에 대응 어려움
- 데이터센터내 : 76%, 데이터센터간:7%, 데이터센터-
사용자간:17%(Cisco, 2012)
 Oversubscription
ex) Typical ratio is 2.5:1"(400 Mbps) to 8:1 (125Mbps)
 STP, Bandwidth waste

Traditional 3-Tier
 3Tier 구조이며, Core-Dist-Agg(Access 포함)
 장애극복 디자인 (이중화)
 STP로 50% 이하 링크사용, VRRP로 1대 라우터
사용
 장애 극복 구현을 위한 network Infra의 50%만
실제 사용
 실 사용에 비해 과다 비용 필요
 East-West 트래픽 처리에 용이하지 않음
- 데이터센터내 : 76%, 데이터센터간:7%, 데이터센터-
사용자간:17%(Cisco, 2012)
-2014년 데이터 센터의 전체 트래픽중 80%가 West East
Traffic
단점
 Operational Complexity : 운영 복잡
 Configuration Complexity: 설정/구성 복잡
 Cost of Redundant Hardware : 중복 하드웨어 구매
비용
 Inefficent use of bandwitth
 데이터 센터 네트워크는 다른 서버 까지는 적어도
2홉, 다른 랙은 4홉까지 발생
- 성능 예측 가능성이 떨어짐
(같은 Rack에 있는 경우와 다른 Rack에 위치한 경우가 다름, 따라서
트래픽의 유형에 따라서 성능이 제각각)
 Oversubscription
ex) Typical ratio is 2.5:1"(400 Mbps) to 8:1 (125Mbps

Spanning Tree Protocol
 Traditional Data Center
Network

New Requirement for DCN
• 데이터센터에 요구되는 네트워크 디자인
• Flat Network : 네트워크 홉 최소화
• Fat Tree : 대규모 서버 Access 환경 및 최적 경로
• Fast Switching : 낮은 네트워크 대기 시간의 보장
• Simplicity : 구성, 운영 및 관리 용이성
• 기준 데이터 센터의 한계
• 2014년 데이터 센터의 전체 트래픽중 80%가 West East Traffic
• VM의 생성 및 이동에 따른 네트워크 설정을 수동으로 일일이 해주어야 하기 때문에 즉시성 부족
• 현행 VLAN의 한계, Mac address 및 Broadcast 처리 한계
• 데이터센터는 대규모 Layer 2 환경의 최적화된구성을 원하지만 이를 지원하는데 한계
• 대표적인 E-W 트래픽을 요구되는 빅데이터 시스템은 수천대의 노드간 연산을 위한 네트워크 구성이 필요
http://www.yes24.com/24/goods/11939851?scode=029

Flat data center networks
East-west traffic latency can impact data center
performance. Although it may take hundreds of milliseconds for
data to reach a remote client from a data center through the carrier
network, a lot of the response time can be taken up preparing the data
during server-to-server transactions, which can negatively impact the
user experience. In addition, certain data center workloads lend
themselves to server clustering configurations in which the network
latency can have a direct impact on system performance. Three tier
networks not only have higher latency, but also higher latency
variation, leading to both lower performance and unpredictable
performance, depending on the network path between the servers.
For example, if the servers are all in the same rack, the application
performance will be much higher than if the servers must communicate
to each other through a ToR, aggregation, and core switch.
Many cloud data centers are moving to a flat data center network for
these reasons. Figure 4.6 shows an example 2-tiered flat data center
network containing ToR and core switches. We will next describe these
two network components in more detail and provide additional
information on how they can be tailored for flat data center networking
http://techbus.safaribooksonline.com/book/operating-systems-and-server-administration/virtualization/9780128007280/chapter-4-cloud-data-center-networking-topologies/s0055_b9780128007280000047_xhtml?percentage=0&reader=html

Tree vs Spine Leaf
https://patelrasesh.wordpress.com/2014/09/04/spine-and-leaf-vs-traditional-hierarchical-architecture/

Spine Leaf switch
https://patelrasesh.wordpress.com/2014/09/04/spine-and-leaf-vs-traditional-hierarchical-architecture/
• Spine switches are not
interconnected
• spine leaf have multi
path(Equal Cost Multi Path)
between nodes to handle
the required bandwidth,
while provide enough cross-
connection to allow and
node to reach any other
node
• effectively placing multiple
traffic streams in parallel
Google is widely credited
with popularizing the
leaf-spine design with its
Clos architecture

Traditional 3-Tier
What does stand for “EoR”?

Traditional 3-Tier

한걸음 더 들어간 이야기
Fat-Tree, Clos Network

Topology
네트워크 토플로지 종류
http://vada.skku.ac.kr/ClassInfo/comp-arch/par-proc/ch06.ppt

Recursive DCN Architecture
• A Level-0 subnet is the basic building block. It contains inter-connected servers.
• Each level-k subnet has multiple level-(k-1) subnets.
• Ex) DCell, BCube, 4-4 1-4, etc
• Advantages:
– Highly Scalable commodity n/w
– Low CapEx and OpEx.
• Disadvantage:
– Cabling and packaging

Fat-Tree Network Topology

Fat-Tree Network Topology (a.k.a Al-Fares)
 어떤 호스트 쌍에 대해서도 Full 대역폭을 제공하기 위해 특정한 규칙을 가진 토폴로지
 Clos Topology는 Charles Clos가 전화선 연결 스위치 시절, 싼 장비를 이용해서 고가의
교환 장비의 효과를 내기 위해 고안해 낸 방식
 2008년 Al- Fares, Loukissas, Vahdat,"A Scalable, Commodity Data Center Network Architecture” 라는
논문에서 Clos Topology를 기반의 저가 1GBE Switch를 이용한 Over Subscription ratio 1:1 Fat-Tree
Network를 제안.
 이후 Amin Vahdat 교수 (ucsd, University of California, San Diego) 는 구글 (Fellow and networking
technical lead) 로 자리를 옮겨 1세대 네트워크 Firehorse 부터 5세대 네트워크 Jupiter까지 개발
(http://conferences.sigcomm.org/sigcomm/2015/pdf/papers/p183.pdf)
 Clos Topology의 일종이며 이름과는 좀 다르기 때문에 Folded Clos Topology라고
불러야 한다는 주장이 있음

Fat-Tree Network Topology - 장점
 Fat-Tree의 장점은 모든 스위칭 요소들이 동일하므로 모든
스위치를 위해 저렴한 상용 부품들을 사용할 수 있다는
점을 꼽을 수 있다.
 Fat-Tree는 “rearrangeably non-blocking”의 성질을 가진다.
즉, 임의의 통신 패턴에 대해서도 토플로지 내의
호스트들이 사용할 수 있는 모든 대역폭을 포화시킬 수
있는 경로들의 집합을 갖고 있다.
 같은 에지 스위치에 연결된 호스트들은 그것들만의
서브넷을 형성한다. 그러므로 같은 하위 계층으로 연결된
호스트로 가는 트래픽은 스위칭 되며 그 외의 트래픽 은
라우팅 된다.
 Achieving an oversubscription ratio of 1:1 in practice may be difficult because of the need to prevent packet reordering for TCP flows.
 보통은 packet 단위가 아니라 Flow 단위로 Path를 잡는데, Packet 단위로 전송하면 패킷을 순서 바뀜 현상 때문에 재전송의 문제가 발생할 수
있고, 이를 해결하기 위한 다양한 시도가 있었다.
 (http://ocean.kisti.re.kr/downfile/volume/iwitt/OTNBBE/2012/v12n6/OTNBBE_2012_v12n6_215.pdf)

Fat-Tree Network Architecture
 K- ary fat-tree: three-layer topology (edge, aggregation, core)
– k pods, each consists of (k/2)2 hosts and two layers (edge/aggregate) each with k/2 k-port switches
– Each edge switch connects to k/2 hosts and k/2 aggregate switches
– Each aggregate switch connects to k/2 edge and k/2 core switches
– (k/2)2 core switches: each connects to k pods
– Supports k3/4 hosts!
Example
 As an example instance of this topology, a fat-tree
built from 48-port GigE switches would consist
of 48 pods, each containing an edge layer and
an aggregation layer with 24 switches each.
 The edge switches in every pod are assigned 24
hosts each. The network supports 27,648 hosts,
made up of 1,152 subnets with 24 hosts each.
 There are 576 equal-cost paths between any given
pair of hosts in different pods. The cost of
deploying such a network architecture would be
$8.64M, compared to $37M for the traditional
techniques described earlier.
 약 Rack 692EA(42U Rack 기준 40 compute node)
1,152
576
Over subscription ratio 1:1
equal-cost paths (성능 예측 가능성)

Google DCN Approach
 매 12~15달에 2배의 대역폭 증가
 고가의 Commercial N/W Device
 Too Many Specs
Pain Point
 Commodity Network Device
 Cloud DC을 운영하면서 수익을
창출해야 하는 Cloud 업체 입장에서는
한 없이 비싼 장비에 기댈 수 없다.
 저가의 장비를 이용하면서도 고품질의
서비스를 제공해서 수익을 창출해야
한다.
Solution

Google DCN
 구글은 지난 10년간 5세대의 네트워크 토플로지
디자인이 진화해 왔다.
 논문 내용 정리
• Three Themes
1. multi-stage Clos Topologies with
commodity switch
2. Centralized control mechanism
3. modular H/W with S/W
 Commodity server의 scale out 에서 영감을
받아서 비슷한 접근을 네트워크에서 했다.

Google DCN – 3 Themes
1. Clos Topologies
1세대 : Firehose 1.0 Topology
Stage만 늘리면 무한정 (5세대)

Google DCN– 3 Themes
2. Merchant silicon
 비싸고 많은 기능이 들어간 상용 스위치를 사용하는 대신,
값싼 범용의 스위치 이용
 기하급수적으로 늘어나는 BW요구 사항을, 최신의
commodity switch silicon으로 가격 효율적인 방법으로 대응
ASIC(Application Specific Integrated Circuit, 주문형 반도체)
-> 범용 CPU

Google DCN– 3 Themes
3. Centralized control protocols  Clos topology에서의 대량의 스위치 때문에
관리가 더 복잡해 졌다.
 기존의 routing and management protocol은
잘 맞지 않았다.
 연구를 해보니, DC에서는 기정의된
Forwarding role에 의해서 결정된다.
 최근의 다양한 토플로지(HyperX, DCel,
BCube, Jellyfish)는 더 나은 BW를 제공한다고
하지만, cabling, management, routing
challenges and complexity등의 문제점이 있다.
 OSPF/IS-IS/ BGP가 맞지가 않았다.
 기본적으로 이런 프로토콜은
autonomous하게 Discover하는데 반해서
DCN은 정해진 Static Role이 있기 때문에
중앙에서 나눠주는 정보로 routing path등을
찾는다.

Google DCN
 Generation 별 BW
 주피터패브릭(Jupiter fabrics): 바이섹션대역폭(bisection bandwidth)으로 초당 1페타비트(Pbps) 이상 처리
 단일 데이터센터 기준으로 10년전 '파이어호스(Firehose)'라는 1세대 기술보다 100배 이상 많은 용량을 처리

Google DCN History– 참고
•참고자료
•http://www.datacenterknowledge.com/archives/
2015/06/18/custom-google-data-center-network-
pushes-1-petabit-per-second/
• http://highscalability.com/blog/2015/8/10/how-
google-invented-an-amazing-datacenter-network-
only-they.html
•

SDN
1. Openflow
2. NFV

SDN (Software Define Network) - 필요성
 지난 20년간 N/W구조는 동일했다.
 유연하지 못한 구조
 Data Plane : 패킷 송수신 기능 담당
 Control Plane : 패킷 경로 설정, 관리 및 제어하는 기능 담당
 Management Plane : 동작 상태 및 성능관리 기능 담당
 인터넷 초기 도입시기에는 인터넷 자체가 매우 불안정해서, 인터넷의
확장 보다는 여러 요인으로 발생되는 불안정한 통신 오류를 해결하는
것이 급선무
 이를 위해 개별 네트워크 장비에서 필요한 모든 기능을 다 구현
 새로운 패킷이 들어오면 해당 패킷이 어디로 가야 할지를 결정하고
경로의 정확성 유무를 판단한 후, 문제 발생 시 문제의 발생지점 파악 및
분석하는 것이 무엇보다 중요했다.
 따라서 위의 3가지 플래인이 모두 하나의 장비 안에 구성되었다.
 패킷이 장비를 거칠때마다 각 장비에서 동일한 패킷 처리 절차를 수행
 장비 출고시 이런 다양한 서비스를 구현할 수 있는 기능이 모두 올라간
상태에서 출고
 고객이 원하는 것은 10가지 기능인데도 5,400개의 RFC가 탑재되어
자원을 나눠 쓰게 된다.

4. 기존 Routing Protocol 의 문제점
 비효율성은 라우팅에서 발생
 가장 많이 사용되는 OSPF 라우팅 프로토콜의 예
 아래 그림에서 A->C로 트래픽을 보낸다고 가정
 A->B는 대역폭이 100G, B->C는 100G이기 때문에
최적은 경로는 A->B->C이다.
 만약 보내는 트래픽이 1G인 경우고 모든 회선이
충분하다면 A->E->C로 좋은 경로이지만 무조건 A-
>B->C로만 가기 때문에 회선 사용율이 매우 낮다.
 또 한가지, 만약 보내는 트래픽이 20G인데 B-
>C구간의 이미 다른 사용자로 인해 90G 가
사용중이라면, 자동으로 우회할까? 그렇지 않다.
 다른 차순위 경로에 충분한 대역폭이 남아 있음에도
처음 선택된 최적의 경로인 A->B->C를 통해서
트래픽이 전송된다.
 이를 해결하기 위해서 OER(Optimized Edge Routing)
또는 PFR(Performance Routing)같은 방안이 있지만
특정 밴더에 종속적인 기술이다.
Q : A->C로 트래픽을 보낼때 가장 최적의 경로는?

SDN – Programmable Network

SDN – Control Plane / Data Plane

SDN
SouthBound API
NorthBound API
1) 제어계층(Control Plane)과 데이터전송계층(Data Plane)을 분리
2) API를 활용하여 네트워크 구성요소를 프로그래밍을 통해 관리가 가능
3) 일반적인 구매가 가능한 범용 하드웨어에 적용
4) 전체적인 네트워크 경로 및 구성을 사용자가 원하는 대로 구성

SDN – Openflow N/W Device

SDN

SDN
Popular SDN Controller Platform

SDN
Google 네트워크 사용율 거의 100%
Openflow - 구글 지스케일 프로젝트를 통해 구축된 데이터센터 연결
http://www.oss.kr/oss_repository10/605803

Data Center SDN Implementations

NFV (Network Function Virtualization)
http://www.knom.or.kr/knom-review/v15n2/1.pdfMDEyODAwNzI4MDAwMDA5Nl94aHRtbCZxdWVyeT0=MDEyODAwNzI4MDAwMDA4NF94aHRtbCZxdWVyeT0=
NFV는 네트워크에 필요로 하는 주요 기능들(L4, 방화벽 등)을 고가의 전용장비 대신 고성능의 범용서버에
가상화 시키는 기술을 말하는데요. 기술이 발전함에 따라 범용서버의 성능과 안정성 향상되면서, 비용 절감의
일환으로 대두되고 있습니다.

NFV (Network Function Virtualization)
NFV는 주로 기능이 다른 다수의
네트워크 장비를 혼합해서 설치,
운영해야 하는 사용자들에게
희소식인데요.
특히 LG U+, KT, SKT 등 Service
Provider의 서비스망 내에 적용될 경우
큰 비용절감 효과를 기대할 수 있어
전세계적으로 Service Provider들이 큰
관심을 갖고 주도하고 있습니다.

VM Migration (Live Migration)

VM Migration
•필요성
• Cloud DataCenter는 다음과 같은 이유로 VM Migration이 필요하다.
• Load Balance
• Move VMs to a less busy host
• Make use of newly-added capacity
• Maintenance
• Move VMs off a host before it is shut down
• Recovery from host failure
• Restart VM on a different host
• Reduce Power Consumption
• Dynamic VM Consolidation(DVMC)를 이용해서 가동 Physical 서버를 최소화
• 기사내용 참조 : Xen 의 보안 패치때문에 2014년에 여러 DC가 전체 Shutdown했었다.
(http://www.datacenterknowledge.com/archives/2015/03/06/how-google-avoids-cloud-downtime-with-
vm-migration/)

VM Migration
• Type of Migration
• Cold migration
• Shutdown VM on host 1, restart on host 2
• Warm migration
• Suspend VM on host 1, copy across RAM and CPU registers, continue on host 2 (some seconds later)
• Live migration
• Copy across RAM while VM continues to run
• Mark "dirty" (changed) RAM pages & re-copy
• Brief suspension for final copy (<< 1 sec)
• 구체적인 Migration 구현 기술
• Live Migration 논문 : http://www.sersc.org/journals/IJGDC/vol8_no5/33.pdf

VM Migration
•Google의 노력
• Google reduce down time
using VM Migration :
https://goo.gl/jfTLz5
• 시사점
• OPC의 경우 초기 다운 타임이 많았다.
• 우리도 Xen 기반이다.
• 현재 Bare Metal이 이런 기술을 사용했다는 말은 없지만, 슬쩍 내 비치는건 의미가 있다.

• Super spine connects availability domains, D
WDM connects regions, bare-metal, existing
data centers
• Availability Domains are spine
and leaf topologies
• High bandwidth, deterministic number of hops
• Engineered systems, OSS, other services dep
loyed within availability domains for high thr
oughput, low-latency access from Compute
Availability Domain and Regional Network Connectivity
IBR
Fast
Connect
Inter
Region
DWDM
Inter
Geo
DWDM
Super Spine
Spine & Leaf Core Network
V1.0 (Juniper & MPLS Overlay)
Compute
Services
Compute
Services
EDCS
Services
BDCS
Services
Fusion
Apps
Shared
Infra
Legacy
Network
Application
Layer
Edge
Layer
Regional
Layer
Datacenter
Layer
AD

High scale, high performance network :
Non-oversubscribed flat Clos network – O(1Million) ports
Predictable low latency < 100µs RTT between hosts in same AD
142
Availability Domain 2
datacenters
Availability Domain 1 Availability Domain 3
physical
network

General Availability: Oracle Bare Metal Cloud Services
Bare Metal
Cloud Services
143
• Built on innovative next generation
infrastructure
• High scale, high performance network
─ 0rder of 1 million network ports in an AD
─ Flat, non-oversubscribed network
─ Predictable, low-latency performance
─ Storage and Compute in the same network fabric
• Comprehensive virtual networking
─ All traffic in private overlay networks
─ Off-box network virtualization supports plugging any
system into your private virtual network

OPC (Nimbula 1.9)
 Block Storage (ZFS)
 Object Storage (SWIFT)
 VLAN 사용 (제한)

Program Agenda
Network Fundamental
Data Center Network
Docker Network
1
2
3
4
5
6

MultiCast
The illusion and the truth

심화학습 - Unicast, BroadCast, Multicast
인터넷의 전송 방식은 전송에 참여하는 송신자와 수신자
관점에서 나누어 유니캐스트, 브로드캐스트,
멀티캐스트로 구분할 수 있다.
1. 유니캐스트
유니캐스트 전송 방식은 하나의 송신자가 다른 하나의
수신자로 데이터를 전송하는 방식으로 일반적인 인터넷
응용프로그램이 모두 유니캐스트 방식을 사용하고 있다.
2. 브로드캐스트
브로드캐스트 전송방식은 하나의 송신자가 같은
서브네트웍 상의 모든 수신자에게 데이터를 전송하는
방식이다.
3. 멀티캐스트
반면 멀티캐스트 전송방식은 하나 이상의 송신자들이
특정한 하나 이상의 수신자들에게 데이터를 전송하는
방식으로 인터넷 화상 회의 등의 응용에서 사용한다.
http://www.terms.co.kr/multicast.htm

심화학습 - Unicast, BroadCast, Multicast
멀티 캐스트 : 그룹 주소
그룹 통신을 위하여 다중 수신자들에게 동일한 데이터를 전송하고자 할 경우
유니캐스트 전송방식을 이용한다면 전송하고자 하는 데이터 패킷을 다수의
수신자에게 각각 여러 번 전송해야 하며, 이러한 동일한 패킷의 중복전송으로
인해 네트웍 효율이 저하된다. 또한 수신자 수가 증가할 경우 이러한 문제점은 더
커지게 된다.
반면 멀티캐스트 전송이 지원되면 송신자는 여러 수신자에게 한 번에 메시지가
전송되도록 하여, 데이터의 중복전송으로 인한 네트웍 자원 낭비를 최소화할 수
있게 된다.
멀티캐스트 전송이 일반적인 유니캐스트 인터넷 응용 분야와 다른 점은 우선 그
전송 패킷에 있다. 일반적으로 TCP/IP 상의 인터넷 응용 프로그램은 데이터의
송신자가 이를 수신할 수신자의 인터넷 주소를 전송 패킷의 헤더에 표시해 패킷을
전송한다. 그러나 멀티캐스트 전송을 위해서는 헤더에 수신자의 주소 대신
수신자들이 참여하고 있는 그룹 주소를 표시하여 패킷을 전송한다.
멀티캐스트 전송을 위한 그룹 주소는 D-class IP 주소
(224.0.0.0∼239.255.255.255)로 전세계 개개의 인터넷 호스트를 나타내는 A, B, C-
class IP 주소와는 달리 실제의 호스트를 나타내는 주소가 아니며, 그룹 주소를
갖는 멀티캐스트 패킷을 전송받은 수신자는 자신이 패킷의 그룹에 속해있는 가를
판단해 패킷의 수용여부를 결정하게 된다.
그러나 현재 인터넷상의 라우터들이 대부분 유니캐스트만을 지원하기 때문에
멀티캐스트 패킷을 전송하기 위하여서는 멀티캐스트 라우터
사이에 터널링이라는 개념을 사용하여 캡슐화된 패킷을 전송한다. 즉 멀티캐스트
주소를 가진 데이터 패킷 헤더 앞에 멀티캐스트 라우터간에 설정된 터널의 양
끝단의 IP 주소를 덧붙여 라우팅을 함으로써 멀티캐스트를 지원하지 않는 일반
라우터들을 거칠 때 기존의 유니캐스트 패킷과 같은 방법으로 라우팅되어
최종적으로 터널의 종착지로 전송될 수 있게 하는 것이다.
http://www.terms.co.kr/multicast.htm
IPTV 예시

Multicast more details
http://www.joinc.co.kr/w/Site/Network_Programing/Documents/MultiCast
4.1. 인터넷(IP) 프로토콜차원에서 본 멀티 캐스팅
인터넷 프로토콜(IP)상에서 어떻게 멀티 캐스팅이 이루어질 수 있는가 ?
우리는 IP프로토콜이 관리등의 이유로 여러개의 클래스(class)로 나뉘어서 관리되고 있다는 것을 알고 있다. subnetworking을
참고하하라. 참고기사를 보면 단지 A, B, C 3개의 클래스만을 생각하고 있으나 이 외에도 D클래스가 사용되고 있다. 위 문서에서는
주제를 설명하는데 있어서 D클래스가 필요 없기 때문에 제외한 것 뿐이다.
D클래스는 224.0.0.1 에서 239.255.255.254의 범위를 가지며, 멀티캐스팅을 위해서는 이들 주소범위에 있는 주소가 할당되어 있어야
한다. 네트워크 호스트 그룹에 데이터를 전송한다는 멀티캐스팅의 특징으로 보통 라우터에 멀티캐스팅 주소가 할당이 된다.
이렇게 해서 라우터까지 데이터가 도달했다면 라우터는 자신이 관리하는 여러 호스트중 데이터 수신을 원하는 호스트에만 데이터를
전송해야 할 것이다. 어떤 방식으로 원하는 호스트에게만 찝어서 데이터를 보낼 수 있는지 알아 보도록 하자.
4.2. IGMP 프로토콜을 이용한 멀티캐스팅 데이터 수신
이러한 멀티캐스팅 데이터의 수신을 위해서 IGMP프로토콜을 사용한다. IGMP는 Internet Group Management Protocol의 줄임말로
인터네트 그룹 관리 규약이라고 불리운다. IGMP패킷은 다음과 같은 형식으로 전달된다.

IP Multicast Address
224.0.0.0 ~ 239.255.255.255 , 2^28개까지 가능 (268,435,456개)

http://www.ktword.co.kr/abbr_view.php?m_temp1=1716
4. IGMP 메세지 종류 및 동작
- Membership Query (라우터 -> 호스트) . 그룹 멤버쉽 조사 (monitoring) : 멤버쉽 질의 메시지를 보내서 응답을 기다림 .. 일정 횟수
이상 응답이 없거나, 탈퇴 메세지를 주면, 라우터는 해당 호스트를 그룹에서 탈퇴 시킴
- Membership Report (호스트 -> 라우터) . 그룹 가입 (joining) : 그룹에 가입하고자 하는 요청을 라우터에 보고 . 멤버쉽 연속 (member
continuation) : 계속해서 해당 그룹에 남기를 원하는 보고
- Leave Report (호스트 -> 라우터) . 그룹 탈퇴 (leavinig) : 더이상 그룹에 남아있지 않고 탈퇴함

http://www.netmanias.com/ko/post/techdocs/4900/igmp-multicast/igmp-snooping-detailed-principles-of-operation

Multicast - IGMP
https://osrg.github.io/ryu-book/ko/html/igmp_snooping.html
IGMP (Internet Group Management Protocol) 는 서브넷 간에 멀티 캐스트 패킷의
목적지를 관리하기 위한 프로토콜입니다.
멀티 캐스트 라우터는 라우터가 연결된 모든 서브넷에 대해 멀티 캐스트 그룹 참여
호스트 가 있는지 여부를 주기적으로 요청 합니다 (IGMP Query Message).
멀티 캐스트 그룹 에 참여하는 호스트가 어떤 서브넷에 존재 하는 경우 해당
호스트는 어느 멀티 캐스트 그룹 에 참여하는지 멀티 캐스트 라우터 에 보고합니다
(IGMP Report Message) .
멀티 캐스트 라우터는 수신한 보고가 어느 서브넷에서 보내진 것인지를 기억하고
“어떤 멀티 캐스트 그룹에게 패킷을 어떤 서브넷으로 전달할지” 를 결정합니다.
질의에 대한 보고가 없거나 또는 특정 멀티 캐스트 그룹에서 탈퇴 메시지 ( IGMP
Leave Message ) 를 호스트로부터 받은 경우 멀티 캐스트 라우터는 해당 서브넷 에
대한 모든, 또는 지정된 멀티 캐스트 그룹에게 패킷을 전달 하지 않습니다 .
이 방식은 멀티 캐스트 그룹 참여 호스트가 없는 서브넷에 대해 멀티 캐스트 패킷이
전송되지 않으며 따라서 불필요한 트래픽을 줄일 수 있습니다.

Multicast – IGMP Snooping
IGMP를 사용하여 서브넷별로 불필요한 트래픽을 줄일 수 있었지만,
서브넷 내에서 여전히 불필요한 트래픽이 발생할 수 있습니다.
멀티 캐스트 패킷의 목적지 MAC 주소는 특수한 값이기 때문에 L2
스위치의 MAC 주소 테이블에서 학습되지 않고, 항상 브로드캐스트 대상이
됩니다. 따라서 예를 들어, 어느 하나의 포트에만 멀티 캐스트 그룹 참여
호스트가 연결되어 있었다고 해도, L2 스위치는 수신된 멀티 캐스트
패킷을 모든 포트로 전송하게 됩니다.
IGMP 스누핑은 멀티 캐스트 그룹 참여 호스트에서 멀티 캐스트 라우터에
전송되는 IGMP Report Message를 L2 스위치에서 스누핑(snoop)하여
멀티캐스트 패킷의 대상 포트를 학습하는 방식입니다. 이 방법은 서브넷
내에서 멀티 캐스트 그룹 참여 호스트가 존재하지 않는 포트에 멀티
캐스트 패킷이 전송되는 것은 없기에 불필요한 트래픽을 줄일 수
있습니다.

Multicast – IGMP Snooping
IGMP 스누핑을 하는 L2 스위치는 여러 호스트에서 동일한 멀티 캐스트
그룹에 참가하고 있다는 IGMP Report Message를 수신해도 쿼리는 1번
밖에 IGMP Report Message를 전송하지 않습니다. 또한 호스트에서 IGMP
Leave Message 를 수신하고, 다른 동일한 멀티 캐스트 그룹에 참여하는
호스트가 존재하는 동안에는 쿼리로 IGMP Leave Message를 전송하지
않습니다. 이렇게 하면 쿼리는 마치 하나의 호스트와 IGMP 메시지를
교환하는 것처럼 보이게 할 수 있고, 또한 불필요한 IGMP 메시지의 전송을
억제할 수 있습니다.
#Show mac-address-table multicast로 확인
*단, switch에서 이 기능을 실행하기 위해서는 모든 데이터가 IGMP데이터
인지를 확인해야 하기 때문, 장비에 부하 증가
Snoop ( 염탐하다) Snooping
네트워크상에서 남의 정보를 염탐하여 불법으로 가로채는 행위. 소프트웨어
프로그램(스누퍼)을 이용하여 원격으로 다른 컴퓨터의 정보를 엿볼 수 있어, 개인적인
메신저 내용, 로그인 정보, 전자 우편 등의 정보를 몰래 획득한다. 반면, 네트워크 트래픽을
분석하기 위해 사용되기도 한다. 스니핑(sniffing)이 유사어로 사용된다.

Multicast – CGMP
http://zigispace.net/446
Multicast Snooping이 모든 패킷을
염탐해야 하기 때문에 성능 저하가
발생하기 때문에Cisco에서 만들
프로토콜
Router에 IGMP Join Report를 통해
전달된 Multicast에 Join을 원하는 host의
Mac Address를 기억해 놨다가 CGMP
Message로 Switch에 Host의 Mac
Address를 알려줘서 CGMP Address
Table을 추가로 만든다.
CGMP Address Table에는 포트번호와
Ethernet Multicast Mac Address가 남게
된다.

Ethernet Multicast Address
http://www.ktword.co.kr/abbr_view.php?m_temp1=3607
Swtich는 Mac Address 가 ff:ff:ff:ff:ff:ff인 경우는 Broadcast로 인식하지만, Unicast와 Multicast를 구별하는 방법은?
- Unicast
- Multicast
- Broadcast : FFFF.FFFF.FFFF (all binary ones).
 Multicast
48 비트 MAC 주소에서 최상위 Octet에서 최하위 비트가 1인 경우를 멀티캐스트 주소로 정함
- 즉, *1(xxxx 0001), *3(xxxx 0011), *5(xxxx 0101), *7(xxxx 0111),
*9(xxxx 1001), *B(xxxx 1011), *D(xxxx 1101), *F(xxxx 1111) 로 시작하는 주소
특정용도로 정해진 멀티캐스트용 MAC 주소 例)
- 0180 C200 0000 : Spanning Tree Protocol (for bridges) IEEE 802.1D, RSTP, MSTP
- 0180 C200 0008 : Spanning Tree Protocol (for provider bridges) IEEE 802.1AD
- 0180 C200 0010 : All Bridge (802.1D에서 모든 브리지에게 브로드캐스트 전파용)
- 0180 C200 0003 : 802.1X
- 0180 C200 000E : 802.1ab (LLDP)

http://www.firewall.cx/networking-topics/general-networking/107-network-multicast.html
 Multicast

IP Multicast Addess -> Ethernet Multicast Address
http://www.ktword.co.kr/abbr_view.php?nav=&m_temp1=5390&id=708
1. `멀티캐스트 IP 주소` => `이더넷 주소` 주소변환
ㅇ 전반부 : (25 비트) 이더넷 상에서 IP 멀티캐스트 주소변환용으로 만 할당되는 이더넷 주소 ( IEEE 규정 )
- (0000 0001 0000 0000 0101 1110 0) 으로 시작함
. 즉, 01 00 5E 00 00 00 ~ 01 00 5E 7F FF FF
ㅇ 후반부
- (IPv4 Multicast 용) 0100 5E00 0000 ~ 0100 5E7F FFFF
. (멀티캐스트용으로 48 비트 중 23 비트 만 사용)
- (IPv6 Multicast 용) 3333 xxxx xxxx
. (멀티캐스트용으로 48 비트 중 32 비트 만 사용)
ㅇ IP 주소 => 이더넷 주소로의 주소변환 방법 (IPv4 例)
- 멀티캐스트 Ethernet 주소 `0000 0001. 0000 0000. 0101 1110. 0 (25개 비트)`을
전반부에 두고 그 바로 뒤에 다음을 붙임
- IP 멀티캐스트 주소용 26 비트 중 5 비트를 버리고 끝 23개 비트를 그대로 사용
1: 2^5 비율
IEEE 규정

http://bradhedlund.com/2007/11/21/identifying-ethernet-multicast/
The IEEE has specified that the most significant bit of the most significant byte be used for this purpose.
If its a 1, that means multicast, 0 means unicast. The most significant byte is the left most byte in the address,
and the most significant bit is the right most bit of the byte (this is counter intuitive to most binary implementations
where the left most bit usually labeled most significant).
Some quick examples of multicast MAC addresses:
•0100.CCCC.DDDD
•0900.AAAA.BBBB
Some quick examples of unicast MAC addresses:
•0001.4455.6677
•0800.2233.4455
Unicast :
Mulicast :
0

Overlay Network
Hands-On
1. VxLAN using Open vSwitch

Overlay Network Demo Scenario using Open vSwitch

VxLAN Unicast flow
 VTEP (VxLAN Tunnel End Point)
 Unknown Mac Address learned
by IP Multicast
국제 송달

Host 2Host 1
VxLAN-Test1
VxLAN Demo Scenario

Docker Network

Linux Bridge
Linux Bridge
• H/W Bridge의 Linux 기반 SW버전
• 리눅스 운영체제는 네트워크 브릿지 인터페이스를
지원한다.
브릿지는 MAC(Media Access Address) 기반으로
네트워크를 구성하는 단순한 네트워크 장비로 데이터
링크 계층(L2)에 있는 여러 개의 네트워크를 연결하는
일을 한다.
• L2 기반으로 패킷을 스위치 할 수 있기 때문에 L2
스위치로 부르기도 한다. 브릿지에 연결하는
네트워크는 NIC이 될 수도 있고 서로 다른 네트워크
세그먼트가 될 수도 있다. 네트워크 세그먼트를
연결하는 경우 두 개의 서로 다른 네트워크를 연결하는
브릿지 역할이 강조되기 때문에 브릿지라고 부른다
• 물리적인 NIC 대신에 가상NIC(Veth)
https://www.joinc.co.kr/w/man/12/docker/InfrastructureForDocker/network

Docker Network
1. docker0
virtual ethernet brige
• IP 는 자동으로 172.17.42.1 로 설정 되며 16 bit netmask(255.255.0.0) 로 설정
• 이 IP는 DHCP를 통해 할당 받는 것은 아니며, docker 내부 로직에 의해 자동 할당
• docker0 는 일반적인 interface가 아니며, virtual ethernet bridge
http://bluese05.tistory.com/15

Docker Network IP Masquerade
• 브릿지에 연결된 컨테이너들은 private ip가 할당된다. Private ip로는 인터넷 통신이
불가능 하기 때문에, 출발지 IP를 Public ip로 바꾸는 방법으로 인터넷 통신이 가능하게
한다. 이 기술을 마스커레이드(Masquerade) 라고 한다. 흔히 NAT라고 부르기도 하는 이
기술은 가정이나 소규모 회사 네트워크에서 널리 사용하는 네트워크 기술이다.
• IP가 172.17.0.2인 컨테이너가 8.8.8.8로 패킷을 보낸다고 가정해 보자. 이 패킷의 출발지
IP는 172.17.0.2다. 이 패킷을 받은 호스트 운영체제는 iptables를 이용해서 패킷의
출발지 IP를 자신의 IP로 변경을 한 다음 바깥으로 내보낸다. 이러한 Masquerade 과정을
2-3번 정도 더 거쳐서, 공인 IP를 가지고 있는 네트워크 장비에 도달하면(홈 네트워크라면
가정용 공유기가 될 것이다.) Public ip로 Masquerade 된 다음에 패킷을 목적지로 보낸다.
출발지 IP가 public ip이기 때문에 응답 패킷을 받게 될 거고, 각 네트워크 장비는 패킷을
검사해서 이번에는 도착지 IP를 바꾼다. 결국 컨테이너까지 패킷이 도착하게 되고 통신이
마무리 된다. Masquerade를 수행하는 운영체제들은 패킷을 추적하기 위한 connection
tracking기능을 가지고 있다.

Docker Network
1. Port Forwarding
Masquerade 설정으로 컨테이너는 인터넷으로 패킷을 보낼 수 있게 됐다. 반대로 인터넷에서
컨테이너로 패킷을 보내는 경우를 생각해 보자. 인터넷에서 통신을 하려면 Public ip가
필요하다. 컨테이너가 가지고 있는 IP는 인터넷에 노출되지 않기 때문에, 컨테이너로는 직접
패킷을 보낼 수 없다. 이때 사용하는 기술이 포트 포워딩(Port forwarding)이다. 특정 포트로
들어오는 패킷을 다른 네트워크로 보내는 기능이다. 아래 그림은 포트 포워딩 과정을
묘사하고 있다.
패킷포워딩은 목적지의 주소를 변경하는 NAT기술이다. 목적지(Destination) 주소를 NAT하기
때문에 DNAT라고 부른다. 보통 DNAT라는 말 대신에 이해하기 쉬운 포트포워딩이라는 말을
자주 사용한다. 위에 실행한 iptables 명령은 목적지 포트가 8888인 패킷의 경우
172.17.0.2:80으로 포트포워딩 하라는 규칙을 담고 있다. PREROUTING은 라우팅을 하기 전에
NAT를 적용하라는 의미다.

Open vSwitch
리눅스에서 제공하는 브릿지는 패킷 스위칭 기능만 가지고 있다. 다른 어떤 기능도 가지고 있지 않다. 테스트나 개발 용도로 사용
할거라면 별 상관 없을 수도 있지만, SaaS/PaaS 환경을 만들려고 한다면 리눅스 브릿지의 한계가 문제가 될 수 있다.
다양한 가상화 환경에서 유연한 네트워크 환경의 구축을 지원하기 위해서 만든 소프트웨어가 Open vSwitch(이하 OVS)다. OVS는 패킷
스위칭외에도 다양한 프로토콜과 기능들을 지원한다. 아래 주요 기능들을 설명하고 있다.
• NETFlow, sFlow, IPFIX, SPAN, RSPAN 등 다양한 프로토콜들을 지원한다.
• LACP(Link Aggregation Control Protocol). 두 개 이상의 포트를 하나의 포트로 묶는 기술이다. 대역폭을 늘이기 위해서 사용한다.
예컨데 100M 포트 2개를 묶어서 200M 대역폭으로 만들 수 있다.
• GRE(Generic Routing Encapsulation)의 지원. GRE는 멀리 떨어진 서로 다른 네트워크들을 연결하기 위해서 사용하는 터널링
프로토콜이다.
• VLAN(802.1Q). Virtual LAN의 줄임말이다. 하나의 LAN을 여러 개의 네트워크로 나누는 기술이다. 가상화나 클라우드 환경을 만들
경우, 유저나 그룹에 독립적인 네트워크를 구성해줘야 하는 경우가 있다. VLAN을 이용하면 독립적인 네트워크를 구성 할 수 있다.
보통 멀티터넌트를 구현하기 위해서 사용한다.
• VxLAN은 Virtual Extensible LAN의 줄임말이다. 이름에서 알 수 있듯이 VLAN을 확장한 기술이다. 관리 가능한 논리적인 네트워크의
수가 16백만으로 늘어났다(VLAN은 4096).
• QoS(Quality of Service) : 네트워크 인터페이스, 유저, 애플리케이션 데이터 플로우 별로 QoS를 설정 할 수 있다.
• 네트워크 인터페이스 별 Traffic policing 설정
• NIC bonding, L4 해싱, Active backup
• OpenFlow 프로토콜
• IPv6

Ubuntu Laptop
VxLAN-Test2
(VirtualBox)
VxLAN-Test1
(VirtualBox)
VxLAN Demo Scenario
Linux Bridge

VPN

VPN(Virtual Private Network) – 가상 사설망
VPN
자체적으로 정보통신망을 보유하지 않은 사용자가 공중 데이터 통신망을 이용해 마치 자체적으로 구축한 통신망과
같이 이를 직접 운용, 관리할 수 있는 네트워크를 말합니다. 전용회선의 사용료보다 훨씬 저렴한 비용으로
원거리통신망(WAN)을 구축할 수 있는 네트워크 솔루션을 의미 합니다.
http://blog.daum.net/haionnet/705

VPN의 기능
VPN 을 사용하여 공중망을 사설망처럼 안전하게 사용하려면 다음과 같은 기능이 지원 되어야 한다.
 통신 상대방 확인 – 인증(Authentication)
처음 통신을 시작할 때 상대방이 엉뚱한 사람이 아니라는 것을 확인해야 한다. 이처럼 통신 상대방을 확안하는 것을
인증(Authentication)이라고 한다. 인증 방식은 미리 양측이 동일한 암호를 지정하고 하는 PSK(pre-shared key)방식과 디지털
인증서(CA)를 사용하는 방식이 있다.
 데이터의 기밀성 유지
송수신하는 데이터의 내용을 다른 사람이 알지 못하게 암호화 시키는 것을 기밀성(confidentiality) 유지 기능이라고 한다. VPN 에서
많이 사용하는 암호화 방식으로 DES, 3DES, AES, RSA등이 있다.
 데이터의 무결성 확인
송수신하는 데이터를 도중의 공격자가 변조하는 것을 방지하는 기능을 무결성(integrity)확인이라고 한다. 많이 사용하는 무결성
확인 방식으로 MD5와 SHA-1이 있다. 패킷가 암호를 이용하여 MD5나 SHA-1알고리즘을 적용하여 만든 코드를 해시코드(hash
code)라고 한다. 이 해시코드를 패킷에 첨부하여 상대에게 전송한다. 패킷을 수신한 측에서는 동일한 패킷에 동일한 암호를
적용하여 해시코드를 계산한다. 이것이 첨부된 해시코드와 동일하면 변조가 되지 않았다고 판단한다. 해시코드는 변조방지
용도외에 인증용으로도 사용된다.
 재생방지
재생방지(antu-replay)란 공격자가 자신의 패킷을 도중에 끼워넣는 것을 방지하는 기능을 말한다. 패킷으 순서번호나 도착시간을
확인하여 사전에 지정된 범위의 것들만 받아들임으로써 재상방지의 목적을 달성할 수 있다.

암호화 구분 및 용도
VPN에서는 인증, 데이터 암호화 및 변조 방지를 위해 암호(키)가 필요하다.
 통신 상대방 확인 – 인증(Authentication)
처음 통신을 시작할 때 상대방이 엉뚱한 사람이 아니라는 것을 확인해야 한다. 이처럼 통신 상대방을 확안하는 것을
인증(Authentication)이라고 한다. 인증 방식은 미리 양측이 동일한 암호를 지정하고 하는 PSK(pre-shared key)방식과 디지털
인증서(CA)를 사용하는 방식이 있다.
 데이터의 기밀성 유지 - Confidentiality
송수신하는 데이터의 내용을 다른 사람이 알지 못하게 암호화 시키는 것을 기밀성(confidentiality) 유지 기능이라고 한다. VPN 에서
많이 사용하는 암호화 방식으로 DES, 3DES, AES, RSA등이 있다.
 데이터의 무결성 확인 - Integrity
송수신하는 데이터를 도중의 공격자가 변조하는 것을 방지하는 기능을 무결성(integrity)확인이라고 한다. 많이 사용하는 무결성
확인 방식으로 MD5와 SHA-1이 있다. 패킷가 암호를 이용하여 MD5나 SHA-1알고리즘을 적용하여 만든 코드를 해시코드(hash
code)라고 한다. 이 해시코드를 패킷에 첨부하여 상대에게 전송한다. 패킷을 수신한 측에서는 동일한 패킷에 동일한 암호를
적용하여 해시코드를 계산한다. 이것이 첨부된 해시코드와 동일하면 변조가 되지 않았다고 판단한다. 해시코드는 변조방지
용도외에 인증용으로도 사용된다.
 재생방지
재생방지(antu-replay)란 공격자가 자신의 패킷을 도중에 끼워넣는 것을 방지하는 기능을 말한다. 패킷으 순서번호나 도착시간을
확인하여 사전에 지정된 범위의 것들만 받아들임으로써 재상방지의 목적을 달성할 수 있다.

암호화 알고리즘 설명
DES(Data Encryption Standard) 대칭키 방식이며 키 길이는 56비트
3DES(Triple DES) 처음에 사용한 키와 다를 키를 사용하여 데이터를 복원함
AES(Advanced Encryption Standard) DES방식을 대체하기 위해 채택하였으며, 128, 182, 256비
트의 키 길이를 제공
RSA(Rivest, Sharmir, Adleman) 1024 또는 이보다 큰 키 길이를 제공
암호화 기술
공중망에서 사용하는 VPN장비에서 채용한 암호 알고리즘에는 DES, 3DES, AES, RSA, RC4/5, IDEA, CAST, SEED
등이 있으며, DES(Data Encryption Standard, 자료 암호화 표준으로 미국 상무부 표준국에서 공표)는 국제적으로
통용되는 대표적인 사설키 암호화 방식이며, 국내에서는 순수 국산 알고리즘인 SEED 알고리즘의 사용을 권장하고
있습니다.
참고
•대칭키 암호화(Symmetric Encryption) : 연결된 장치가 동일한 키를 사용하는
• 대표적인 방식 : PSK (Pre-Shared Key), 디피-헬먼(Diffe-Hellman)
• 비대칭키 암호화(Asymmetric Encryption) :서로다를 키를 사용할 경우
• 대표적인 방식 : 인증서(CA: Certificate Authority)

VPN(Virtual Private Network) – VPN 종류
http://www.zdnet.co.kr/news/news_view.asp?artice_id=00000039133923&type=det&re=
VPN 종류 암호화 부분 기능 참고사항
IPSec기반 Site-to-Site Layer 3 이상 인트라넷 또는 외부 네트워크 접속 제공 가장 기본적인 IPSec VPN
Remote-Access Layer 3 이상 VPN Client S/W 를 이용한 접속 집에서 회사 접속시 사용
GRE over IPSec Layer 3 이상 인트라넷 또는 외부 네트워크 접속 제공 터널링을 이용한 VPN
DMVNPN Layer 3 이상 규모가 큰 VPN 설정시 사용 본사와 다수의 지사 간의 VPN 구축시 사용
EasyVPN Layer 3 이상 라우터가 VPN 서버 역할을 수행함 Client의 설정이 간단함
SSL기반 Clientless SSL Layer 5 이상 웹브라우저 활용 전자상거래 용도
Thin Client Layer 5 이상 TCP에서만 지원 전자상거래 용도
SSL VPN Client Layer 5 이상 자바 애플릿 사용 전자상거래 용도
PPTP VPN Layer 2 이상 PC와 본사간의 통신 외부근무 사원의 내부망 접속 허용
L2TP VPN Layer 2 이상 PC와 본사간의 통신 외부근무 사원의 내부망 접속 허용
MPLS VPN 암호화 기능 없음 본사와 지사간 통신 IPSec VPN과 동시에 사용

VPN(Virtual Private Network)
IPSec VPN vs SSL VPN
IPSec VPN의 단점
Site to Client 방식인 경우 Client S/W 필요에 따른 패치 및 보안관리와
사내 접근 가능한 자원들에 대한 방화벽 단에서의 추가적인 설정이
필요하며, Client의 각종 H/W에 대한 호환성이 문제 됩니다.
IPSec VPN의 단점을 보완한 SSL VPN의 특징
SSL VPN은 App 종류에 대한 제약이 없습니다. IPSec VPN이 지원하는
대부분의 IP 기반 App 사용이 가능하며, Client S/W 설치와 관리부담이
감소합니다. SSL VPN가 웹 App인 경우 웹브라우저가 Client 역할을 합니다.
내부 자원에 대한 세밀한 접근 통제가 가능하며, 이는 ID와 역할, 접속 단말
종류, 접근 방식, 인증의 강도, 보안상태 등에 따른 통제가 가능함을
말합니다. 또한, 동적접근 권한관리 및 접근통제의 독립적 운영이 가능하며,
다계층 위험관리 구조를 통해 보안 유출 위험을 원천 차단 시킵니다.
SSL VPN
장소나 단말의 종류와 관계없이 내부 네트워크에 접속할수 있는 SSL기반의
가설사설망(VPN), SSL은 웹 브라우저와 서버간의 통신에서 정보를
암호화함으로써 도중에 해킹을 통해 정보가 유출되더라도 정보의 내용을
보호 할 수 있는 기능을 갖춘 보안 솔루션을 말합니다.
이를 기반으로 한 SSLVPN은 원격지에서 인터넷으로 내부 시스템 자원을
안전하게 사용할수 있습니다.
http://blog.daum.net/haionnet/705

VPN(Virtual Private Network) – IPSec VPN, 5 Step
Step 1. Define interesting traffic— Traffic is deemed interestin
g when the VPN device recognizes that the traffic you w
ant to send needs to be protected.
Step 2. IKE Phase 1— Between peers, a basic set of security s
ervices is negotiated and agreed on. This basic set of se
curity services protects all subsequent communications
between the peers. IKE Phase 1 sets up a secure comm
unications channel between peers.
Step 3. IKE Phase 2— IKE negotiates IPSec security associatio
n (SA) parameters and sets up matching IPSec SAs in t
he peers. These security parameters are used to protect
data and messages exchanged between endpoints.
Step 4. Data transfer— Data is transferred between IPSec peer
s based on the IPSec parameters and keys stored in the
SA database.
Step 5. IPSec tunnel termination— IPSec SAs terminate throu
gh deletion or by timing out.

Step 1: Define Interesting Traffic
You have to decide whether to encrypt, not encrypt, or drop
the packets.

Step 2: IKE Phase 1 (ISAKMP SA)
First exchange— The algorithms and hashes used to secure the IKE communications are negotiated and agreed on between peers.
Second exchange— Uses a DH exchange to generate shared secret keys and to pass nonces, which are random numbers sent to the other
party, signed, and returned to prove their identity. The shared secret key is used to generate all the other encryption and authentication keys.
Third exchange— Verifies the other side's identity. It is used to authenticate the remote peer. The main outcome of main mode is a secure
communication path for subsequent exchanges between the peers. Without proper authentication, it is possible to establish a secure
communication channel with a hacker who is now stealing all your sensitive material.

Step 3: IKE Phase 2 (IPSec SA)
 Negotiates IPSec security parameters and IPSec transform sets
 Establishes IPSec SAs
 Periodically renegotiates IPSec SAs to ensure security
 Optionally performs an additional DH exchange

Step 4: Data Transfer Step 5: IPSec Tunnel Termination
After IKE Phase 2 is complete and quick mode has
established IPSec SAs, traffic is exchanged between
Hosts A and B via a secure tunnel. Interesting traffic is
encrypted and decrypted according to the security
services specified in the IPSec SA

Network virtualization for the better understanding of Data Center Network

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Network virtualization for the better understanding of Data Center Network

Ähnlich wie Network virtualization for the better understanding of Data Center Network (20)

Network virtualization for the better understanding of Data Center Network

Hinweis der Redaktion