VPN (Virtual Private Network)
VPN 은 인터넷과 같은 공용 네트워크를 통해 개인(Pirvate) 네트워크를 안전하게 확장하거나 연결하기 위한 기술이다. 사용자 입장에서 볼 때, VPN 을 통해 개인이 외부에서 접속해도 사내 내부망에서 접속하는 것처럼 보안된 통신을 사용할 수 있다.
기본 원리는 연결 구간에 암호화된 Tunnel을 형성하여 데이터가 안전하게 오갈 수 있도록 해주는 것이다.
- VPN 의 주요 목적
1. Encryption (보안)
인터넷과 같은 공용 네트워크를 통해 데이터를 주고 받을 때, 데이터 패킷을 암호화해서 도청이나 패킷 스니핑 등을 방지합니다.
2. Authentication (인증)
VPN에 접속하려면 사용자나 장치가 정해진 인증절차 (ex: ID/PW, 인증서, MFA 등)을 거쳐야한다.
3. Integrity (무결성)
전송 중에 데이터의 위, 변조 여부를 보장한다.
4. Access (접근성)
원격으로 사내 내부망에 연결된 것처럼 네트워크에 접근 할 수 있다.
- VPN 유형
1. IPSec VPN
네트워크 계층에서 동작하며 IP 패킷 자체를 암호화하여 안전한 통신을 제공한다.
Site to Site, Remote Access 등 다양한 형태로 구성이 가능하다.
2. SSL VPN
전송계층 (주로 TCP 443)에서 동작하며 웹 브라우저를 통해 HTTPS 로 연결하는 방식이다.
별도의 VPN 클라이언트 프로그램 없이 브라우저만으로 접속이 가능해서 편의성이 높다.
3. TLS / DTLS 기반 VPN
SSL VPN 과 유사하며 TCP 와 UDP 프로토콜을 둘다 사용한다.
ex) OpenVPN
4. MPLS VPN (Layer3 VPN)
서비스 프로바이더 (MSP)가 MPLS(Multiprotocol Laber Switching) 기반의 사설망을 통해 여러 지사의 통신을 가상 전용선처럼 제공하는 방식이다.
주로 대규모 기업의 WAN 연결에서 사용된다.
- 구현 시고려 사항
1) 보안 정책 및 암호화강도
암호 알고리즘, 키 길이 등을 결정
2) 인증방식
3) 성능 및 대역폭
암호화와 복호화에 따른 CPU 부화 및 원격 사용자 수에 따른 대역폭 확보, Latency 등을 고려해야한다.
4) 관리 및 모니터링
VPN 연결 상태, 트래픽 사용량, VPN 접속 기록을 모니터링하고 장애 발생 시 대응할 수 있는 시스템 필요
Overlay Network 는 기존의 Underlay Network (물리 네트워크) 위에 가상화된 네트워크 계층을 추가로 구성하여 물리 네트워크의 구조와 독립적으로 원하는 트래픽 라우팅이나 네트워크 기능을 구현할 수 있게 해주는 기술
- Underlay Network
기업의 LAN, WAN 또는 ISP 네트워크 등. 실제 패킷이 오고 가는 물리적 인프라
- Overlay Network
Tunneling and Encapsulation 기법을 사용하여 기존 Underlay Network 의 인프라 위에 별도의 가상화된 네트워크 Layer 를 구성함
ex) VXLAN, GRE, IPSEC Tunel 등
Overlay Netowkr 는 논리저긍로 완전히 분리된 가상 네트워크 공간을 물리적 네트워크 위에 Overlay (겹쳐서) 운영할 수 있게 해준다.
- 동작 방식
1) Tuneeling & Encapsulation
Overlay Network 에서는 각 호스트 혹은 VS switch 가 특정 프로토콜(VXLAN, GRE, GENEVE 등)을 사용해 패킷을 캡슐화한다.
캡슐화된 패킷은 Underlay를 통해 전송되며 목적지에서 Decapsulation 되어 원래 패킷으로 복원된다.
2) VM Network 식별자 (VNI, VNI Tag 등)
VXLAN Netowkr Identifier (VNI) 를 통해 각 논리 네트워크를 구분한다.
여러 Overlay Network 가 동시에 운영되어도 VNI 나 Tag 등을 사용하면 서로 격리시킬 수 있다.
3) logical routing & switching
Logical Layer 위에서 IP 주소 및 subnet, routing 이 결정된다.
Underlay 에서는 단순히 IP 패킷을 목적지 IP (overlay endpoint) 로 전달만하고 상세한 Routing Policy 는 Overlay 에서 처리한다.
Overlay network 는 물리적인 인프라를 유연하게 활용하여 빠르고 간편하게 가상 네트워크를 확장 및 변경시킬 수 있는 방법이지만, 운영적인 관점에서 모니터링 및 트러블 슈팅 그리고 캡슐화 Overhead 에 따른 성능 저하 ,보안 문제 등을 종합적으로 고려해야함.
대규모 또는 멀티테넌트 환경에서는 제어 평면의 안정성과 자동화 툴 (SDN Controler 등)을 활용하는 것이 필수적이다.
Overlay Network 는 운영 편의성과 보안 요구사항 및 성능 / 확장성을 균형 있게 검토하여 도입 및 설계하는 것이 중요하다.
\
Example)
- VXLAN (Virtual eXtensible LAN)
가장 널리 사용되는 오버레이 프로토콜 중 하나.
기존 VLAN 한계를 극복하기 위해 UDP 기반으로 24비트 VNI를 사용.
- GRE (Generic Routing Encapsulation)
L3 레벨 터널링 프로토콜로, 단순한 포인트투포인트 터널 등에 사용.
단순하고 범용적으로 많이 쓰이는 캡슐화 방식.
- GENEVE (Generic Network Virtualization Encapsulation)
VXLAN, NVGRE 등 다른 오버레이 프로토콜의 장점을 결합해 확장성을 높인 신세대 프로토콜.
- IPSec 터널
보안을 최우선으로 하는 환경에서, 패킷을 암호화해 WAN이나 인터넷을 통해 안전하게 전달하는 오버레이 방식으로 활용 가능.
클라우드 데이터센터
대규모 서버팜(서버 농장)에서 각 VM이나 컨테이너, 가상 네트워크를 VXLAN 등 오버레이로 구성.
유연한 트래픽 제어, 멀티테넌트 지원에 핵심 역할.
하이브리드 클라우드 연결
온프레미스(사내 데이터센터)와 퍼블릭 클라우드 간을 안전하게 연결할 때, 오버레이 터널을 사용해 단일 네트워크처럼 운영.
SD-WAN(Software-Defined WAN)
기업 지사와 본사를 연결하는 네트워크 솔루션에서, 오버레이 방식으로 각 지점 라우터를 논리적으로 연결.
MPLS, 브로드밴드, LTE 등 다양한 Underlay 경로 위에 논리적 경로를 구성해 비용·성능을 최적화.
서비스 체이닝(Service Chaining)
방화벽, IDS, 로드밸런서 등 보안/네트워크 서비스를 논리적으로 연결하여 트래픽 흐름을 유연하게 제어.
오버레이 방식으로 네트워크 기능 가상화(NFV)와 결합 가능.
How to creat logical switches?
In the System Center Virtual Machine Manager (VMM) fabric, convert a host virtual switch to a logical switch
" A logical switch brings virtual switch extensions, port profiles, and port classifications together so that you can configure each network adapter with the settings you need and have consistent settings on network adapters across multiple hosts. You can team multiple network adapters by applying the same logical switch and uplink port profile to them."
source)
https://learn.microsoft.com/en-us/system-center/vmm/network-switch?view=sc-vmm-2025
Create logical switches
This article describes how to create logical switches in the VMM fabric
learn.microsoft.com
About Nat on Azure VPN Gateway
https://learn.microsoft.com/en-us/azure/vpn-gateway/nat-overview
About NAT (Network Address Translation) on VPN Gateway - Azure VPN Gateway
Learn about NAT (Network Address Translation) in Azure VPN to connect networks with overlapping address spaces.
learn.microsoft.com
In Azure VPN Gateway NAT supports the first scenario ton connect on premises network or branch offices to an Azure virtual network with overlapping IP addresses.
Overlapping address spaces
When two networks( From different organizations or diffent internal departments) both use the same private IP address ranges, then we can say they have overlapping address spaces. This means that an IP address in one network could refer to a completely different host in the other network. If there networks attempt to coomunicate over a VPN or other WAN link the routhers cannot figure out how to deliver traffic correctly beacuse the destination IP might exist in both netowrk.
NAT on a Gateway
On a gateway device, Network Address Translation (NAT) updates the source or destination IP addresses according to preconfigured rules, known as NAT policies.
Static NAT
A static NAT rule provides a one-to-one relationship between a specific IP address and a corresponding address from the target pool. Because each internal IP always maps to the same external IP, this type of configuration is considered stateless.
Dynamic NAT
Dynamic NAT, on the other hand, can assign an internal IP to different external addresses depending on which addresses are available or by combining the IP address with a TCP/UDP port (often referred to as Network Address and Port Translation, or NAPT). In this scenario, the NAT rules are stateful because the actual mapping is determined in real time based on current network traffic and resource availability.