engineering/Network Eng.2006. 8. 11. 13:18

Carri-Sen와Rcv-Err 정확한 의미

시스코 원문을 발췌해서 올립니다.

Rcv-Err

Number of receive errors that occurred on the port (indicating that the internal receive buffer is full).


Carri-sen

Number of times the port sensed a carrier (to determine whether the cable is currently being used).


참조 URL

Configuring and Troubleshooting Ethernet 10/100/1000Mb Half/Full Duplex Auto-Negotiation

http://www.cisco.com/en/US/tech/tk389/tk214/technologies_tech_note09186a0080094781.shtml


.

수고하세요


-------------------------------------------------------------------------------------------------

>밑에 질문한 사람입니다.

>show interface counters errors

>하면 보이는 목차중 Rcv-Err와 Carri_sen에러가 많이 떨어지는데..

>무엇을 의미하는 건지요...



출처. 네트워크전문가따라잡기 - '고공질주'님의 글

Posted by theYoungman
engineering/Network Eng.2006. 8. 11. 13:16

Router 보안 - 안전한 라우터 운영을 위한 튜닝

불필요한 Global Service 정지

Disabling service finger – Finger Service 정지
Disabling service pad – PAD(X.25) Service 정지
Disabling udp & tcp small servers – Echo,Discard,Chargen,Daytime Service 정지
Enabling service password encryption – Password 암호화 기능 구동
Enabling service tcp-keepalives-in/out – Session Keepalive Service 구동
Disabling the cdp protocol – CDP Service 정지
Disabling the bootp server – Bootp Server Service 정지
Disabling the http server – Http Server 기능 정지
Disabling source routing – IP 변조 방지를 위한 Source Routing 기능 정지
Disabling gratuitous arp – PPP connection,IP negotiation 등에 사용되는 ARP 도용 서비스 차단
Configuring aaa local authentication – AAA 생성 서비스, 외부로 부터의 접속 강화 서비스 – Telnet,Console,Aux 등…
Banner 자동 생성 기능

불필요한 Interface Service 정지

no ip redirects – icmp redirect message 차단
no ip proxy-arp – Proxy arp service 정지
no ip unreachables – ICMP unreachable service 정지
no ip directed-broadcast – Broadcast service 정지
no ip mask-reply – ICMP mask-reply 정지

성능 강화와 IP filtering

CEF Enable
Ingress Filtering – 사용하지 않는 사설 IP, IANA address
uRPF - IP 변조방지 구성

“Auto Secure” 명령어를 통한 보안 강화
  “One Touch” device lock down process – command 한줄로 라우터의 보안구성을 자동으로 실행

CPP 구성
CPP (Control Plane Policing) 구성 예제

##Access-list 작성##
Router(config)# access-list 141 permit icmp any any port-unreachable

##Class-Map 작성##
Router(config)# class-map icmp-class 
Router(config-cmap)# match access-group 141

##Policy-Map 작성##
Router(config)# policy-map control-plane-out-policy
Router(config-pmap)# class icmp-class
Router(config-pmap-c)# police 80000 conform transmit exceed drop

##Control Plane 에 적용##
Router(config)# control-plane
Router(config-cp)# service-policy output control-plane-policy

Port Security – MAC 변조 방지 기능

Switch(config)# interface fastethernet 5/12
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 5  - 최대 허용 MAC Address
Switch(config-if)# switchport port-security mac-address 1000.2000.3000   - 허용 MAC address
Switch(config-if)# switchport port-security violation [protect/restrict/shutdown]
                         - 규칙 위반 시 Action

Port Security – MAC flooding 방어

Console> (enable) set port security 2/1 enable
Console> (enable) set port security 2/1 enable 00-90-2b-03-34-08    - 허용 MAC address
Console> (enable) set port security 2/1 maximum 20                   - 최대 허용 MAC Address
Console> (enable) set port security 2/1 violation [restrict/shutdown]  - 규칙 위반 시 Action

Port Security – 공격자 MAC 제어 기술

Attacker로 의심이 되는 특정 MAC Address 만을 Filtering
4500(config)# mac-address-table static 0050.3e8d.4444 vlan (해당vlan) drop
                     - 해당 Vlan Interface에 올라오는 MAC Address Filtering
4500(config)# show mac-address-table dynamic
                     - 현재 Switch로 올라오는 CAM Table 조회 명령

Console> (enable) set cam static filter 00-02-03-04-05-06 12(해당 Vlan 번호)
                     - 해당 Vlan Interface에 올라오는 MAC Address Filtering
Console> (enable) clear cam 00-02-03-04-05-06 12(해당 Vlan 번호)
                     - filtering 해제
Console> show cam static       - 현재 Switch로 올라오는 CAM Table 조회 명령

Multi/Broadcast Flooding 제어기술 : Storm Control (Bandwidth 대비 Percentage 적용)

Router# configure terminal
Router(config)# interface gigabitethernet 3/16
Router(config-if)# storm-control multicast level 70.5
                   - Multicast 70.5% 이상이면 억제

Console> (enable) set port broadcast 2/1 80% multicast enable
                   - Multicast 70.5% 이상이면 억제 : default packet drop
Console> (enable) clear port broadcast 2/1
                   - 구성 해제
Console> (enable) set port broadcast 4/6 90% violation errdisable
                   - Broadcast 90% 이상 이면 Interface errdisable로 만듦 

공격자 MAC 추적 기술 : L2 Trace

(Cat OS, Native IOS 지원 : 특정 MAC이 연결된 장비 및 포트 현황 추적 기능 지원)
Cat OS Layer 2 Trace를 통한 MAC address 추적
의심이 가는 Switch에서 Layer 2 trace 명령을 통한 추적

6509> (enable) l2trace 00-00-e8-34- 00-01-e6-27- detail
l2trace vlan number is 222.
Attention: Source 00-00-e8-34-d2-96 is not directly attached to this system.
Source 00-00-e8-34- found in WS-C4006 : 100.248.2.254
WS-C4006 : cat4006 : 100.248.2.254:  4/27 10MB half duplex -> 2/1-2 1000MB full duplex
WS-C6509 : cat6509 : 100.248.117.78: 3/14,4/14 1000MB full duplex
->  8/44 10MB half duplex
Destination 00-01-e6-27- found in WS-C6509 named BB_6509
on port  8/44 10MB half duplex
DHCP사용환경, IP Spoofing 시 유용한 추적

Cisco IOS Layer 2 Trace를 통한 MAC address 추적
의심이 가는 Switch에서 Layer 2 trace 명령을 통한 추적

Switch# traceroute mac 0000.0201.0601 0000.0201.0201 detail
Source 0000.0201.0601 found on con6[WS-C3750-12T] (2.2.6.6)
con6 / WS-C3750-12T / 2.2.6.6 :
Gi0/0/2 [auto, auto] => Gi0/0/3 [auto, auto]
con5 / WS-C2950G-24-EI / 2.2.5.5 :
Fa0/3 [auto, auto] => Gi0/1 [auto, auto]
con1 / WS-C3550-12G / 2.2.1.1 :
Gi0/1 [auto, auto] => Gi0/2 [auto, auto]
con2 / WS-C3550-24 / 2.2.2.2 :
Gi0/2 [auto, auto] => Fa0/1 [auto, auto]
Destination 0000.0201.0201 found on con2[WS-C3550-24] (2.2.2.2)
Layer 2 trace completed.
DHCP사용환경, IP Spoofing 시 유용한 추적

Snooping 방지 : Private VLAN

Private Vlan : 동일 Vlan 내부에서의 불필요한 Traffic 제어
Community Vlan : C-vlan 간 Host만 통신이 가능
Isolated Vlan : I-Vlan 간 Host도 통신 불가
Promiscuous Port : 모든 Pvlan Host는 P-port를 통한 외부 통신 가능

Private VLAN 생성 및  Sub VLAN 역할 담당
vlan 65
  private-vlan primary
  private-vlan association 651-653
vlan 651
  private-vlan community
vlan 652
  private-vlan isolated
vlan 653
  private-vlan community

Primary VLAN과 Secondary VLAN Association 구성
vlan 65
  private-vlan association 651,652,653
interface vlan 65
private-vlan mapping add 651,652,653

물리적 포트에 secondary vlan 할당
Router(config)# interface fastethernet 9/1
Router(config-if)# switchport mode private-vlan host
Router(config-if)# switchport private-vlan host-association 65 651

Layer 2 장비로 운용시 promiscuous port 할당
Router(config)# interface fast  9/48
Router(config-if)# switchport mode private-vlan promiscuous
Router(config-if)# switchport private-vlan mapping 65,651,652,653
※ Catalyst 4000 / 4500 series 는 Isolated VLAN 만 구성가능 / Community VLAN 구성 불가

Cat OS에서의 PVLAN 구성 방법
set vlan 65 pvlan-type primary        : Pvlan Primary Vlan 생성
set vlan 651 pvlan-type community        : Pvlan Secondary Vlan 생성 – Community Vlan
set vlan 652 pvlan-type isolated               : Pvlan Secondary Vlan 생성 – Isolated Vlan
set vlan 65 651 9/1                        : 물리적 Port에 Secondary Vlan 할당
set vlan 65 652 9/2                                 : 물리적 Port에 Secondary Vlan 할당
set vlan mapping 7 651 5/11                : Promiscuous 생성 및 할당
set vlan mapping 7 652 5/11       

Private Vlan Edge 기능
Isolated Vlan : Protected기능을 통한 특정 Host 보호간 상호 독립 기능
Protected와 설정되지 않은 Port간, G/W를 통한 외부 통신 가능

Private VLAN edge 기능 구성 예제
3550(config)# interface gigabitethernet0/3
3550(config-if)# switchport protected
3550(config-if)# end
3550# show interfaces gigabitethernet0/3 switchport
Name: Gi0/3
Switchport: Enabled
<output truncated>
Protected: True
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Broadcast Suppression Level: 100
Multicast Suppression Level: 100

IP 변조 방지 기능 : uRPF(Unicast Reverse Path Forwarding)

DHCP request flooding 공격 방어 : DHCP snooping rate limit 기능
-> DHCP Scope Size 전체에 IP 할당을 요청하여, DHCP Server 과부하 발생 시킴

DHCP Request Flooding 공격 방어 구성 예제.
Switch(config)# ip dhcp snooping                         - DHCP Snooping enable
Switch(config)# ip dhcp snooping vlan 10                 - DHCP Snooping 적용 Vlan 정의
Switch(config-if)# ip dhcp snooping limit rate 100(pps)    - DHCP Request 허용 수치 제한

DHCP Server 위조 공격 방어 : DHCP snooping Trust 기능
-> DHCP Request 에 대해, 공격자가 거짓된 정보를 전달함

DHCP Request Flooding 공격 방어 구성 예제.
Switch(config)# ip dhcp snooping          - DHCP Snooping enable
Switch(config)# ip dhcp snooping vlan 10  - DHCP Snooping 적용 Vlan 정의
Switch(config-if)# ip dhcp snooping trust  - DHCP discover, request 등 메시지를 해당 Port만 수용

DHCP Snooping을 통한 MAC 변조 방지 기능 – ARP Inspection
DHCP Snooping을 통한 IP 변조 방지 기능 – IP Source Guard

-> ARP Inspection
S1(config)# ip arp inspection vlan 1
S1(config-if)# ip arp inspection trust
S1# show ip dhcp snooping binding
MacAddress       IpAddress     Lease(sec)     Type            VLAN       Interface
------------   ---------   ----------   ----------      ----      -------------
01:01:01:11        1.1.1.11         4993      dhcp-snooping      1          FastEthernet6/4
00:12:08: %SW_DAI-4-DHCP_SNOOPING_DENY: 2 Invalid ARPs (Req) on Fa6/4, vlan
1.([01.01.01.11/1.1.1.22/0000.0000.0000/0.0.0.0/02:42:35 UTC Tue Jul 10 2001])

-> IP Source Guard 구성
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10 20
Switch(config-if)# no ip dhcp snooping trust
Switch(config-if)# ip verify source vlan dhcp-snooping port-security
Switch(config)# ip source binding ip-addr ip vlan number interface interface
Switch# sh ip verify source interface f6/1
Interface     Filter-type    Filter-mode    IP-address     Mac-address      Vlan
-------     --------    -----------  -----------  -------------  -------
Fa6/1          ip-mac          active     10.0.0.1 10
Fa6/1          ip-mac          active       deny-all                         11-20

Packet filtering을 위한 ACL의 이해 – Nachi Worm 취약점 Blocking

일반적인 ACL 정의
Switch(config)#ip access-list extended worm_block
Switch(config)# deny tcp any any 135
Switch(config)# deny tcp any any 139
Switch(config)# deny tcp any any 445
Switch(config)# deny tcp any any 4444
Switch(config)# deny tcp any any 707
Switch(config)# deny udp any any 69
Switch(config)# deny icmp any any echo  
Switch(config)# deny icmp any any echo-reply
Switch(config)# permit ip any any
- ICMP Echo Service 막을 경우 network 진단 방법이 어려워지므로,  PBR을 권고

Vlan AccessMap 정의
Switch(config) #vlan access-map worm_vacl 10
Switch(config)#match ip address worm_block - 앞서 정의된 일반적인 ACL을 불러들임
Switch(config)#action forward
- 일반적인 ACL에 정의된 내용에 대한 부분은 모두 Drop 해당 Vlan Interface에 적용
Switch(config)#vlan filter worm_vacl vlan-list 100 - 150
- VACL이 적용될 해당 Vlan을 선언해 주는 부분

-> Catalyst OS를 통한 VACL 구성 방법
Vlan 기반 ACL 정의
set security acl ip VACL deny udp any eq 4444 any
set security acl ip VACL deny udp any any eq 4444
set security acl ip VACL deny tcp any eq 135 any
set security acl ip VACL deny tcp any any eq 135
- Blaster Worm 관련 config
set security acl ip VACL deny tcp any eq 707 any
set security acl ip VACL deny tcp any any eq 707
- Nachi worm 관련 config
set security acl ip VACL permit ip any any
- Worm을 제외한 모든 traffic permit
정의된 VACL을 해당 Vlan에 적용
commit security acl VACL
set security acl map VACL <적용하고자 하는 VLAN번호>
VACL 해제 방법
clear security acl VACL
commit secuirty acl VACL

유연한 ACL 구성 – Time Based ACL

“ MSN Messenger 를 Work Time에만 사용토록 설정 “
“ 주말에는 모든 시간대에 사용토록 설정 “

Router#sh clock       <- 현재 라우터 또는 스위치의 시간 설정 확인
16:58:53.719 KST Sat Nov 1 2003
Time-Based ACL 구성 방법
access-list 101 deny   ip any 207.46.104.0 0.0.0.255  time-range msn
access-list 101 deny   tcp any any eq 1863 time-range msn
access-list 101 deny   tcp any any range 6891 6900 time-range msn
access-list 101 deny   udp any any eq 6901 time-range msn
access-list 101 permit ip any any 

ACL 적용
interface fastethernet 0 --> 내부 이더넷
ip access-group 101 in
Time Rule 설정
Router(config)#time-range msn
Router(config-time-range)#periodic weekdays 09:00 to 18:00 
                      --> 월요일 부터 금요일 까지 매일 아침 9시 부터 저녁 6시 까지만 적용
  정상 작동 확인
Router#sh access-lists
Extended IP access list 101
deny ip any 207.46.104.0 0.0.0.255 time-range msn (inactive)
--> 현재 시각이 토요일 이므로 자동 비활성
deny tcp any any eq 1863 time-range msn (inactive)
deny tcp any any range 6891 6900 time-range msn (inactive)
deny udp any any eq 6901 time-range msn (inactive)
permit ip any any

Catalyst 4500 에서의 QoS를 통한 TCP Synflood Attack 방어 요령

qos aggregate-policer limit 32000 bps 4000 byte conform-action transmit exceed-action drop
qos
!
class-map match-all c_syn
match access-group 101
!
policy-map p_syn
  class c_syn
   police aggregate limit
!
interface FastEthernet4/34
switchport access vlan 45
switchport mode access
qos vlan-based
!
interface Vlan45
ip address 10.10.45.2 255.255.255.0
service-policy input p_syn
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.45.1
no ip http server
!
!
ip access-list extended syn_acl
permit tcp any any syn
!
access-list 101 permit tcp any any syn

잠재적인 공격 대비 QoS 구성 : Cat6500 Policing

mls qos
-> mls QoS enable
access-list 113 permit icmp any any echo
access-list 113 permit icmp any any echo-reply
-> icmp attack marking
access-list 111 permit tcp any any eq 135
access-list 111 permit tcp any any eq 4444
access-list 111 permit tcp any any eq 707
access-list 111 permit udp any any eq 69
-> Blaster worm,Nachi worm marking
access-list 112 permit tcp any any syn
-> syn flooding attack 방어 marking
access-list 101 permit tcp any any syn
-> syn flooding attack 방어 marking

해당 Class-map 정의
class-map match-all icmp_attack
  match access-group 113
class-map match-all Blaster_0815_attack
  match access-group 112
class-map match-all Blaster_Nachi
  match access-group 111
각 Class에 해당되는 ACL 포함시킴

policy-map QoS
  class icmp_attack
   police 32000 1000 1000 conform-action transmit exceed-action drop violate-action drop
  class Blaster_0815_attack
   police 32000 1000 1000 conform-action transmit exceed-action drop violate-action drop
  class Blaster_Nachi
   police 32000 1000 1000 conform-action transmit exceed-action drop violate-action drop
-> 각 Class 모두 32Kbps 이상이면 모두 Drop 시킴

set qos enable
 - QoS 활성화 시키기
set qos policer aggregate policer_worm rate 32 policed-dscp erate 32 drop burst 4 eburst 4
 - 32Kbps 이상 worm에 관련된 ACL이 들어올 경우 Drop 시킨다.
set qos acl ip worm dscp 8 aggregate policer_worm tcp any  any  eq 135
set qos acl ip worm dscp 8 aggregate policer_worm tcp any  any  eq 4444
set qos acl ip worm dscp 8 aggregate policer_worm tcp any  any  eq 707
set qos acl ip worm dscp 8 aggregate policer_worm udp any  any  eq 69
set qos acl ip worm dscp 8 aggregate policer_worm icmp any  any  echo
set qos acl ip worm dscp 8 aggregate policer_worm icmp any  any  echo-reply
- Blaster worm, Nachi worm,ICMP Attack 관련 정의

활성화 및 적용/해제/Monitoring
commit qos acl worm           - QoS ACL 활성화
set qos acl map worm 100          - 적용하고자 하는 Vlan or Interface 적용

Clear qos acl worm
Commit qos acl worm         - QoS 해제
Cat6500> (enable) sh qos statistics aggregate-policer policer_worm
QoS aggregate-policer statistics:
Aggregate policer               Allowed packet Packets exceed Packets exceed
                               count          normal rate    excess rate
------------------------------- -------------- -------------- --------------
policer_worm                               268             11             11
- 해당 QoS 에 적용되어 Drop 되는 packet monitoring

NBAR(Network Based Application Recognition) – 어플리케이션 레벨의 특정 서비스 인지

Virus Pattern 인식 –  Code Red, Nimda
-> 인지 후 DSCP Marking을 통해 Drop Action 가능
다양한 Service Protocol 인식을 통한 통계 분석 가능
Core Router/Switch 구간의 NBAR Enable을 통한 P2P 통계치 분석 가능
-> MIB 지원, QPM, QDM 을 통한 GUI 환경의 사용자 기반 관리 도구 제공

DoS 방어를 위한 CAR Rate Limiting

※ Limit outbound ping to 256 Kbps
interface xy
rate-limit output access-group 102 256000 8000 8000
conform-action transmit exceed-action drop
!
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply
※ Limit inbound TCP SYN packets to 8 Kbps
interface xy
rate-limit input access-group 103 8000  8000 8000
conform-action transmit exceed-action drop
!
access-list 103 permit tcp any any syn

Posted by theYoungman
engineering/Network Eng.2006. 8. 11. 12:37

MPLS

MPLS?
# 1
MPLS는 Multiprotocol Label Switching으로 데이터 패킷에 IP 주소 대신 별도의 라벨을 붙여 스위칭하며 기존 IP 주소 대신 Lable로 라우팅을 하는 것입니다.
MPLS는 다양한 프로토콜을 수용하기 때문에 IP 망은 물론 ATM, 프레임 릴레이에도 적용할 수 있습니다.
일반망은 데이타 패킷이 Layer 3까지 올라간다음 라우팅을 하는반면 MPLS망에서는 Layer 2에서 라벨을 참조로 바로 고속으로 스위칭을 해버리는거죠.
장점이라면 트래픽분리기술로 주로 VPN에 적용되며 기존 IP가 지원하기 힘든 QoS를 지원하고 확장성이 뛰어나고
단점이라면 MPLS를 적용하기위해서는 모든백본망의 라우터을 고가의 최상위기종으로 업그레이드해야한다는거죠.

# 2
MPLS는 Layer3 Packet을 Layer2에서 처리하는 기술입니다.
ATM이나 Frame-relay의 경우에 Virtual Circuit상에서 작동하므로 QOS나 접속망의 효율은 굉장히 좋으나 수십대의 라우터를 VC(Virtual Circuit..이하 VC)상에서 작동시키려면 개개의 VC를 유지하기 위한 오버헤드가 커지게 됩니다. 그래서 기존의 라우팅 테이블을 작성하는 프로토콜을 사용해서 라우팅 테이블을 작성하고 이것을 L2 상의 VC와 매핑해서 라벨을 생성합니다.
그래서 패킷이 발생하면 기존의 라우터기반의 백본에서는 라우터가 IP header를 보고 패킷을 포워딩했으나 MPLS기반의 네트워크에서는 IP를 보고 포워딩하지 않고 Layer2기반의 라벨을 보고 스위칭합니다.(이것의 차이는 아주 큽니다. IP를 읽으면 소프트웨어 기반의 처리를 하여야 하나 라벨을 읽는 경우는 하드웨어 기반의 처리를 합니다. 비교가 불가능할 정도의 고속스위칭이 가능합니다.) 이 기술의 시초는 입실론이라는 회사의 IP스위치라는 제품이었던 걸로 압니다. 그이후에 태그 스위칭또는 ARIS등이 나왔는데 표준화를 위해서 IETF에서 표준화를 시작해서 MPLS로 표준화되기에 이르렀습니다
출처 - http://rainly.com/zb41/zboard.php?id=main
Posted by theYoungman
engineering/Network Eng.2006. 8. 11. 12:24

MPLS 에 대해 설명하라.

MPLS[각주]

1) 네트웤속도를 높이고 관리적 용이성을 위한 IETF 표준기술임.
2) 데이타정보를 나타내는 라벨을 부착하여 최적경로를 선택함.
3) 레이블스위칭으로 고속전송이 가능하고 부가서비스도 가능함.
4) LER(종단라우터), LSR(스위칭라우터)로 망구성됨.
5) LER에서 IP패킷을 수신하여 라벨을 부착 LSP를 결정함.
6) LSR에서 부착된 라벨 패킷을 받아 라우팅 처리함.
7) 다양한 종류의 링크계층 프레임 헤더 다음에 삽입이 가능함.
8) 프레임릴레이는 헤더에 있는 DLCI영역을 레이블로 사용 가능함.
9) ATM은 VPI/VCI영역을 레이블로 사용이 가능함.
10) 다양한종류의 링크계층 활용이 가능하여 멀티프로토콜이라 함.

[/각주]

Posted by theYoungman
engineering/Network Eng.2006. 8. 10. 16:25

MPLS의 등장배경

Multiprotocol Label Switching (MPLS)의 등장 배경과 장점

이글은 IETF의 "A Framework for MPLS"를 토대로 작성된 문서입니다.
MPLS의 등장 배경과 순수라우터기반 네트워크 및 IP over ATM 오버레이 네트워크와 비교를 통해 MPLS의 장점을 기술하고 있습니다.
이중에서 IP over ATM 오버레이 네트워크와 비교는 다음 문서에서 올리겠습니다. 화일이 커져서 화면뜰 때 갑갑하니까요.


여기서는 기존의 방식들에 대한 MPLS의 장점과 잠재적인 가치를 기술한다. 특히, 코어 네트워크(예를 들어, ISP 백본망)를 구성할 때 MPLS의 장점을 주로 기술한다. 학내망(Campus)이나 LAN에서 MPLS를 적용해도 역시 이득은 있지만 여기서는 이것에 대해서는 설명하지 않는다.

현재 코어 IP 네트워크를 구성하는 방법은 크게 두 가지가 있다. (1) 기존의 IP 데이타그램 라우터들로 구성-코어와 에지 모두 라우터로 구성 (순수 라우터 기반 구조)  (2) ATM 교환기로 코어 네트워크를 구성하고 그 위에(또는 에지에) 데이타그램 라우터를 두는 오버레이 모델로 구성하는 하는 것이다.

기존의 IP 백본 네트워크(대략, 1996년까지)은 (1)의 구조로 이루어져 있었으며, 여기서의 라우팅 파라다임은 네트워크내의 모든 라우터에서 매 패킷마다 Layer 3 packet forwarding (LPM) 기능을 수행하였다. 기존의 라우터는 소프웨어 기반으로 패킷의 Next-hop을 찾으므로, 네트워크 링크 속도가 증가하면서 이 포워딩 기능이 전체 네트워크의 성능 저하의 주된 요소가 되었다.

그래서, 대안으로 출현한 구조가 총 세 가지이다.

첫번째는 제일 먼저 나온 구조로 IP over ATM 오버레이 구조이다(대략, 1997-98년). 위의 (2).
(IP/ATM/SONET)

두번째는 (1)구조를 그대로 가면서(즉, 모든 라우터가 매 패킷마다 Layer 3 packet forwarding 수행), 문제가 되었던 라우터의 성능을 대폭 향상시키는 방안이다. 즉, 라우터의 패킷 포워딩 성능을 향상시키기 위해서 고속의 프러세서, 메모리, 스위칭 패브릭을 사용하고, 효율적인 LPM 알고리즘을 적용하고, 포워딩 엔진을 ASIC화하여 라우터의 포워딩 및 교환 능력을 몇 order 정도 향상시키는 방안이다. 98년부터 이러한 고속 라우터가 출시되기 시작하였으며 99년에는 많은 상용 ISP 네트워크에 설치되고 있다.
(IP/L2, or IP/SONET)

세번째는 바로 MPLS로 IP 백본 네트워크의 코어 라우터의 기능을 단순화시키는 접근 방법이다. 즉, 비연결-지향형 IP 네트워크에 연결-지향적인 미케니즘을 도입한 것이다.
(IP/MPLS/L2)
                        < Data forwarding >                          < Core Signaling >
---------------------------------------------------------------------------------------------
                  Edge                      Core
---------------------------------------------------------------------------------------------
IP over ATM       L3(IP)              L2(ATM, PVC/SVC, 연결지향)     PVC or ATM signaling
고속 라우터       L3(IP)              L3(IP, per-hop 라우팅)              -
MPLS               L3(IP)                L2(LSP, 연결지향)                   LDP
---------------------------------------------------------------------------------------------


그림 1. 순수 라우터기반 인터넷 백본 구조


그림 2. IP over ATM overlay 구조

그림 3. 고속 라우터의 등장



MPLS의 장점을 기술하기 위해서 먼저 MPLS의 대안(경쟁) 기술에 대해 알아보고, 이들과 MPLS를 상대적으로 비교함으로써 MPLS가 가져다주는 여러가지 이득에 관해 알아본다. 따라서, 이 글은 두 부분으로 나누어 지는 데, 첫번째는 순수 라우터 기반 네트워크(pure datagram routed network)와 비교했을 때 MPLS의 장점을 기술하고 두번째는 IP over ATM 오버레이 네트워크와 비교했을 때 MPLS의 장점에 대해 알아본다. 두번째 내용은 MPLS의 등장 배경과 장점 (2)에서 기술한다.

들어가기전에 MPLS네트워크의 라우팅 파라다임을 간단하게 알아보자. (후에 자세히 기술함.)


그림 4. MPLS 네트워크 구조



그림 4에서 보이듯이, MPLS 네트워크는 MPLS 네트워크의 에지에 위치하여 non-MPLS 네트워크와 연동하는 LER (Label Edge Router)와 MPLS 네트워크의 코어에 위치하는 LSR (Label Switch Router)로 이루어 진다.

Ingress LER은
(1) non-MPLS 네트워크로부터 전달되어 오는 패킷의 헤더(destination IP address, 등)를 분석하여 이 패킷이 전달될 LSP (Label Switched Path)를 결정한다.
(2) 해당 outgoing interface(Layer 2)에 따라 패킷을 인캡슐레이션한다(링크계층에 따라 다른 포맷의 레이블을 부착).

LSR은 LER로부터 레이블화된 패킷이 들어오면 그 레이블만 검사하여, 레이블값을 바꾸고 정해진 outgoing interface로 전달한다. 이 과정은 ATM 교환기에서 VPI/VCI 테이블을 룩업하여 셀을 교환하는 과정과 동일하다. (또한 ATM에서 VPI/VCI 룩업 테이블을 ATM signaling protocol이 생성하듯이 MPLS에서는 LDP 프로토콜이 룩업 테이블 (LIB: Label Information Base)를 생성한다.

Egress LER에서는 도착한 패킷에서 레이블을 제거하고 그 패킷의 목적지로 패킷을 전달한다.

이같은 과정에서 알 수 있듯이, MPLS 네트워크에서는 LSP의 종단점에 해당하는 LER에서는 Layer 3 apcket forwarding이 수행되고 코어의 LSR에서는 Layer 2 forwarding (스위칭) 기능을 수행하게 된다.

이 때, LER과 LSR에서 룩업 테이블은 LDP (Label Distribution Protocol) 프로토콜이 생성해준다. 이 과정은 추후 자세히 기술한다.



순수 라우터 기반 네트워크(pure datagram routed network)에 대한 MPLS의 장점
(Benefits Relative to Use of a Router Core)


 

/포워딩 구조의 단순화 (Simplified Forwarding)

기존의 라우터에서는 도착 패킷마다 도착 패킷의 Next-hop(근까, 목적지로 가기 위해 경유해야 하는 다음 라우터)를 알아내기 위해, IP address lookup을 수행하는 데, 이 때 각 패킷의 destination address prefix의 길이가 제각각 다르므로(CIDR의 사용으로 인해), 라우팅 테이블의 엔트리중에서 prefix가 가장 길게 매칭되는 엔트리를 찾아야 한다. 이 과정을 Longest Prefix Matching이라고 하며 긴 시간이 소요된다.
그러나 레이블 교환 방식은 가변길이의 긴 prefix로 LPM을 수행할 필요없이, 짧고 고정된 길이의 레이블에 대한 Exact match를 찾으면 되므로 패킷 포워딩 파라다임이 지극히 단순하고(마치 ATM과 똑같이 되고) 지극히 짧은 시간(보통, nsec)에 수행된다.
또한 MPLS에서 사용되는 레이블 헤더는 IP 헤더보다 훨씬 단순하다. 이로인해 기존의 라우터의 경우에 존재하던 IP 헤더 처리에 소요되는 시간을 없애준다.

/Efficient Explicit Routing

Explicit routing(Source Routing이라고도 함: source-여기서는 ingress LER-에서 destination-egress LER까지 망내 경로를 명시적/인위적으로 지정해줄 수 있는 기능)은 앞으로 다양한 목적으로 사용될 수 있는 매우 강력한 기술이다. 물론 순수한 데이타그램 라우팅에서도 이러한 기능은 지원된다. 이러기 위해서는, 각 패킷에 도착지까지의 모든 라우트를 실어야 하는 데 이는 아래 그림에서 보듯이 오버헤드가 너무 크다.


그림 5. IP packet format: IP 헤더 + route

MPLS에서는 이 explicit route(명시 경로)를 LSP를 설정할 때 한번 전달하면 되고 명시된 대로 LSP가 설정되면 그 다음부터는 IP 패킷을 그대로 보내면 되므로 실질적으로 의미있는 explicit routing을 구현할 수 있다.


(a)

(b)

(c)
그림 6. Explicit Routing의 좋은 점

/Traffic Engineering

트래픽 엔지니어링이란 트래픽을 네트워크상-많은 링크, 스위치, 라우터들-에 골고루 분산시키도록 트래픽을 경로를 제어해주는 기술을 의미한다. 특히, 네트워크내의 두 지점간에 복수개의 경로(또는 대체 경로)가 존재하는 경우 트래픽 엔지니어링은 큰 의미를 갖는다.
인터넷의 급속한 성장으로, 몇몇 코어 네트워크(ISP 백본망)는 이 급증하는 IP 트래픽에 대처하기 위해 자신들의 망내에 라우터와 전송 링크를 증설하고 있다. 이로 인해 ISP 백본망은 노드와 링크 측면에서 확장되고 있으며 따라서 망내에 수 많은 대체 경로가 존재하게 되었다. 이런 측면이 트래픽 엔지니어링의 필요성과 중요성을 더욱 부각시키고 있다.

그렇다면, 지금까지는 트래픽 엔지니어링 기술이 상용서비스망에서 적용되지 않았던 새로운 기술인가? 그렇지 않다. 오늘날 많은 ISP망이 IP over ATM 오버레이 모델을 취하고 있다. 즉, 코어에 고속 ATM 교환기를 배치하고 에지에(또는 위에) IP 라우터를 두는 구조이다. 이 라우터간에 연결성은 ATM PVC로 제공되며, 각 에지 라우터는 ATM PVC full-mesh의 형태로 연결되며 모든 라우터가 다른 라우터와 1-hop(layer 3)으로 연결된다.
ISP 네트워크 설계자/관리자는 각 라우터간에 ATM PVC를 설정할 때 ATM 네트워크에 부하가 골고루 분산되도록 (많이) 신경써서 설정한다. 근까, 현재도 트래픽 엔지니어링 기술은 적용되고 있는 것이다.

순수 라우터 기반 네트워크에서는 트래픽 엔지니어링을 구현하기란 여간 어려운게 아니다. 어느 정도의 부하 균등화 (load balancing)는 네트워크 링크와 관련된 메트릭(라우팅 알고리즘에서 사용됨.)을 조절하여 제공될 수는 있다. 그러나, 이런 식으로 트래픽을 다양한 링크로 분산시키기에는 한계가 있고, 특히, 대체 경로가 무지 많은 대규모 네트워크에서, 어느 두 지점간에 이러한 메트릭값을 조절하여 부하 균등 분산 효과를 얻는 것을 매우 어렵다. (이게 다 라우팅 알고리즘때문에 그렇다. 근까, OSPF처럼 최단 경로로 무조건 패킷을 포워딩하는 비지능성때문!) 이 예가 그림 7에 나타나 있다.


(a)

(b)

그림 7 IGP의 문제점


그림 8. Explicit LSP 설정을 통한 트래픽 엔지니어링 예

근데, MPLS에서는 그림6에서처럼 Explicit routing기능을 갖고 있어 홉수는 더 많더라도 다른 대체 경로를 선택할 수 있다. 그림 8처럼 LSP를 ingress LER이 설정하여 네트워크 자원은 효율적으로 쓰면서 사용자에게는 더 좋은 서비스(delay,loss 등의 측면에서, 근까, 한마디로 빠르게 해준다.)를 제공해줄 수 있게 된다.

/IP 패킷과 FEC의 매핑(Mappings from IP Packet to Forwarding Equivalence Class)

MPLS에서는 IP 패킷을 FEC로 딱 한번만, MPLS망의 유입부(ingress LER)에서, 매핑해주면 된다.
이 것이 얼마나 편한 건지 한 번 예를 들어 생각해 보자. 어떤 ISP가 차등화 서비스(differentiated services)에 가입한 고객에게 그렇지 않은 'best effort service'를 쓰는 사용자와 어떻게 서비스를 차별화 시켜줄 것인가? ISP 망이 순수 라우터 기반 네트워크인 경우에 차별화 서비스를 제공하려면, 일단 라우터가 도착하는 패킷들이 차등화 서비스에 가입한 고객이 보낸 패킷인지 아닌지를 구분해낼 수 있어야 한다. 알아야 서비스를 해주니까. 이를 위해서 도착 패킷의 source and destination IP address(L3), incoming interface, 또 필요하면 source and destination port number(L4) 등을 살펴봐야 되고 그럴려면 엄청난 량의 패킷 필터(packet filter or classifier)가 필요하다. 근데, 중요한 것은 이 패킷 필터링 기능(도착 패킷이 중요한 패킷인지 아니지를 식별해내는 기능)이 네트워크내의 모든 라우터에서 필요하다는 것이다. 라우터는 hop-by-hop개념으로 패킷을 포워딩하니까, 이전 라우터에서 그 패킷이 특별 대접을 받았다고 해도 다음 라우터에서는 이 패킷이 특별 대접을 해줘야 할 놈인지 아닌지는 모른다. 근까, 모든 라우터에 패킷 필터링 기능이 포함되어 있어야 종단간에 서비스 품질이 보장될 수 있다.
 
 


 
 

그림 9. 순수 라우터 기반 망과 MPLS망에서 필터링 기능의 차이


Posted by theYoungman
engineering/Network Eng.2006. 8. 10. 16:24

DiffServ란?

DiffServ, or DS (differentiated services) ; 차등화 서비스

DiffServ는 음성 등과 같이 데이터의 흐름이 끊어지면 안 되는 비교적 특별한 형식의 트래픽들에 대해, 다른 종류의 일반 트래픽에 비해 우선권을 갖도록 네트웍 트래픽을 등급별로 지정하고, 제어하기 위한 프로토콜이다. DiffServ는 서비스의 등급, 즉 CoS (Class of Service)라고 불리는 형태로 트래픽을 관리하는 가장 진보된 방식이다. DiffServ는 802.1p에서의 태그 이용 그리고 ToS (Type of Service) 등과 같은 초창기 방식과는 달리, 주어진 네트웍 패킷을 어떻게 전달할 것인지를 결정하기 위해 단순히 우선 순위를 위한 태그를 붙이는 대신, 좀더 복잡한 정책이나 규칙문을 사용한다. DiffServ는 사람이 여행을 할 때 안락함, 여정 중의 들르는 회수, 대기 상태, 여행에 소요되는 시간 등을 모두 고려하여, 기차, 버스, 비행기 등 여러 가지 교통 수단 중 하나를 선택하는 것과 유사한 방식이다. 주어진 패킷 이동 규칙에서, 패킷은 홉당 움직임, 즉 PHB (per hop behaviors)라고 불리는 64개의 가능한 전달 움직임 중 하나가 적용된다. IP 헤더 내 DSCP (DiffServ code point)라는 여섯 비트 길이의 필드가 주어진 패킷의 흐름에 대해 홉당 움직임을 지정한다.

DiffServ와 CoS 접근방식은 트래픽의 제어에 있어, QoS 방식에 비해 보다 유연하고 더 큰 범위성을 제공한다.

Posted by theYoungman
engineering/Network Eng.2006. 8. 10. 16:20

MPLS란?

[IT키워드] MPLS

[전자신문 2004-12-21 09:23]

MPLS는 ‘Multiprotocol Label Switching’의 약자로 데이터 패킷에 IP 주소 대신 별도의 라벨을 붙여 스위칭 및 라우팅하는 기술이다.


패킷이 발생하면 기존 라우터 기반의 백본에서는 라우터가 IP를 보고 패킷을 전달했으나, MPLS 네트워크에서는 레이어2 기반의 라벨을 보고 스위칭한다. 즉 소프트웨어 기반 처리를 라벨을 읽음으로써 하드웨어 기반 처리로 바꾸면서 고속 스위칭을 가능케 했다.

MPLS는 다양한 프로토콜을 수용하기 때문에 IP망은 물론 ATM, 프레임 릴레이에도 적용할 수 있다. 이로써 각 네트워크에서 오는 트래픽을 융합해 단일 네트워크로 결합함으로써 운영비를 절감할 수 있다.

주로 가상사설망(VPN)에 적용되며 기존 IP가 지원하기 힘든 서비스품질(QoS) 지원 및 확장성도 뛰어나다. 반면 MPLS를 적용하려면 모든 백본망의 라우터를 최상위 기종으로 업그레이드해야 한다는 점이 단점으로 지적된다.

MPLS란 무엇인가?

1 MPLS의 등장 배경

기존의 IP 백본 네트워크는 IP 데이터그램 라우터들로 구성(코어와 에지 모두 라우터로 구성)하여 순수 라우터 기반 구조로 이루어져 있었으며, 여기에서의 라우팅 구조는 네트워크 내의 모든 라우터에서 매 패킷 마다 Layer 3 packet forwarding 기능을 수행. 기존의 라우터는 소프트웨어 기반으로 패킷의 Next-hop을 찾으므로, 네트워크 링크 속도가 증가하면서 이 포워딩 기능이 전체 네트워크 성능 저하의 주된 요소가 됨 .

MPLS(Multi-Protocol Label Switch, IETF) 기술은 기존의 라우팅 방식을 기반으로 ATM의 고속 멀티 서비스 교환 기능을 결합하여 IP 패킷을 전달하는 방식으로 대규모의 망에서 고속의 데이터 전송과 QoS(Quality of Service) 등의 기능 제공을 목적으로 제시패킷 전달을 고속화하기 위해 ATM이나 Frame Relay와 같은 Layer 2의 교환 기술을 사용하고, 망의 확장성을 제공하기 위해서 Layer 3의 라우팅 기능을 접목한 Layer 3 스위칭 기술의 일종. 이런 MPLS에서는 짧고 고정된 길이의 레이블을 기반으로 패킷을 전송하는 레이블 교환(Label Switching) 방식을 이용 그러므로 IP 패킷을 목적지까지 전송하기 위해 필요한 IP 헤더 처리 과정이 모든 홉에서 수행될 필요 없이 MPLS 망에 진입하는 시점에서 단 한 번만 수행된다. 그리고 이 시점에서 IP 패킷이 하나의 레이블로 매핑됨으로써 스위칭 기술을 이용한 고속의 Layer 2 데이터 전송이 이루어지며, 경우에 따라서 Traffic Engineering이나 VPN(Virtual Private Network)과 같은 다양한 부가 서비스도 제공 .

▣ 기존의 IP Routing과 MPSL

◎ IP Header Processing

라우터에서 IP packet을 다음 hop으로 전송하기 위해서는 TTL, Checksum, Routing Table Lookup 등 IP Header 내의 많은 처리 과정이 필요

◎ Longest Prefix Matching

IP packet을 전송하기 위해 다음 hop을 찾는 과정에서 Longest Prefix Matching 방식을 사용함으로써 등록된 Routing Table에 따라 Routing Table Lookup 과정이 지연

◎ Hop-by-Hop Forwarding

Data를 전송지부터 목적지까지 전달하기 위해 거쳐야 하는 모든 Hop에서 IP Header 처리 및 Longest Prefix Matching 방식을 이용한 Routing Table Lookup 과정을 수행해야 하기 때문에 고속 Data 전송에 부적합

◎ Best Effort Service

현재 인터넷 망에서는 모든 패킷을 Routing Protocol이 정한 경로에 따라 라우터에서 동일하게 처리하는 Best Effort Service만을 제공하고 있기 때문에 전송 지연 또는 패킷 손실에 대한 보장 처리를 수행하기 어려움

◎ Traffic Engineering

Routing Protocol에 의해서 결정된 전송 경로를 기반으로 LSP(Label Switching Path)를 설정하도록 되어 있으나 네트워크 관리자가 선택적으로 Explicit Route를 설정할 수 있는 기능과 함께 LSP 설정시 망 자원을 적절히 할당할 수 있는 기능을 제공함으로써 Traffic Engineering 기능 수행 가능


◎ Virtual Private Network
현재 ISP (Internet Service Provider)에 의해서 제공되는 VPN은 PPTP (Point-to-Point Tunneling Protocol), L2F (Layer 2 Forwarding), L2TP (Layer 2 Tunneling Protocol)과 같은 별도의 터널링 프로토콜을 제공해야 함. 하지만 MPLS에서는 LSP에서 이용되는 레이블과 VPN 식별자 정보를 맵핑시킴으로써 쉽게 VPN 서비스의 제공이 가능
◎ Multi-Protocol Support
MPLS에서는 Layer 3 프로토콜과 Routing Protocol을 기반으로 특정 FEC*를 식별하기 때문에 IPv4, IPv6, AppleTalk, DECnet 등 다양한 네트워크 계층 프로토콜을 지원. 또한 ATM, Frame Relay, Packet-Over-SONET, Ehternet 등 모든 Layer 2 프로토콜에서 제공될 수 있기 때문에 특정 링크 계층 프로토콜에 의존하지 않음
◎ FEC(Forwarding Equivalance Class)
동일한 방식으로 Forwarding 되는 IP(Layer 3) 패킷들의 그룹
- 동일 경로상으로 라우팅 되는 동일 서비스 등급에 속한 패킷들의 집합 Destination address prefix는 다르지만 MPLS 망 내에서 공통의 경로로 매핑되는 IP(Layer 3) 패킷들의 집합

그림 MPLS 네트워크 구조

◎ MPLS의 네트워크 구조와 패킷 전달


MPLS 네트워크는 MPLS 네트워크의 에지에 위치하여 non-MPLS 네트워크와 연동하는 LER (Label Edge Router)와 MPLS 네트워크의 코어에 위치하는 LSR (Label Switch Router)로 구성
◎ Ingress LER.
- non-MPLS 네트워크로부터 전달되어 오는 패킷의 헤더(destination IP address등)를 분석하여 이 패킷이 전달될 LSP (Label Switched Path)를 결정
- 해당 outgoing interface(Layer 2)에 따라 패킷을 인캡슐레이션(링크계층에 따라 다른 포맷의 레이블을 부착)
◎ LSR
- LER로부터 레이블화된 패킷이 들어오면 그 레이블만 검사하여, 레이블값을 바꾸고 정해진 Outgoing Interface로 전달(ATM 교환기에서 VPI/VCI 테이블을 검색하여 셀을 교환 하는과정과 동일)
- ATM에서 VPI/VCI 검색 테이블을 ATM Signaling Protocol이 생성 하듯이 MPLS에서는 LDP 프로토콜이 룩업 테이블(LIB: Label Information Base)를 생성
◎ Egress LER
- Egress LER에서는 도착한 패킷에서 레이블을 제거하고 그 패킷의 목적지로 패킷을 전달
MPLS 네트워크에서는 LSP의 종단점에 해당하는 LER에서는 Layer 3 packet forwarding이 수행되고 코어의 LSR에서는 Layer 2 forwarding (스위칭) 기능을 수행. 이 때, LER과 LSR에서 검색 테이블은 LDP (Label Distribution Protocol) 프로토콜이생성
▣ Label 패킷 전달
1. MPLS 도메인 내에서 각 노드들은 OSPF (Open Shortest Path First)나 BGP (Border Gateway Protocol)을 이용 LER과 LSR은 라우팅 테이블을 유지
2. MPLS signaling Protocol의 하나인 LDP (Label Distribution Protocol)는 도메인 내 인접 라우터 간에 레이블을 설정하기 위한 정보를 주고 받거나 (FEC)스트림과 레이블 간 매핑 정보를 인접된 라우터 간에 공유하는데 이용
3. MPLS 도메인의 ingress LER에 패킷이 도착하면, LER은 착신지, QoS 등에 기반을 두고 패킷 헤더에 레이블을 붙여, LSP를 설정하고 LSP를 통해 LSR로 패킷을 forwarding
4. 레이블을 부착한 패킷은 egress LER에 도착할 때까지 네트워크 계층의 패킷 헤더를 해석할 필요가 없으며, 레이블을 통해 forwarding. 즉, ingress와 egress LER에서만 L3 정보를 이용하고, LSR에서는 단순히 부착된 레이블에 따라 계층 2에서 패킷을 전달
5. 코어인 LSR에서는 각 패킷의 레이블을 읽고 자신이 유지하고 있는 라우팅 테이블의 목록에 따라 레이블을 새로운 레이블로 변환하여 패킷을 다음 노드로 전달. 이와 같은 과정이 LSR간에 반복되며 LSR에서 forwarding된 패킷을 수신한 egress LER은 레이블을 제거한 후, 패킷의 헤더를 읽고 최종 착신지에 패킷을 전달
▣ MPLS의 구성 기능
Forwarding Component
MPLS에서 레이블은 특정 전송 경로로 전송되는 패킷들의 집합을 나타내는 FEC와 맵핑되며, 이러한 패킷들의 집합은 라우팅 프로토콜에 의해서 생성된 라우팅 테이블의 항목으로 구분된다. 짧고 고정된 길이의 레이블을 기반으로 고속 데이터 전송 기능을 수행하는 MPLS의 전송 요소 (Forwarding Component)는 다음의 두 가지 요소로 나뉘어진다.
◎ Short Exact Matching
MPLS에서는 데이터 전송시 다음 홉을 찾는 과정에서 기존의 longest prefix matching 방식 대신 짧고 고정된 길이의 레이블을 인덱스로 이용하는 short exact matching 방식을 사용함으로써 테이블 룩업 과정을 하드웨어적으로 구현할 수 있도록 한다. 그러므로 고속의 테이블 룩업을 가능하도록 한다.
◎ Label Swapping
특정 전송 경로를 통해서 전달될 데이터에 붙어 있는 입력 레이블을 출력 레이블로 교환하고 전송하는 방식을 레이블 교환 방식이라고 하며, 고속의 제 2 계층 스위칭 기술을 이용함으로써 고속의 데이터 전송을 가능하도록 한다. MPLS에서는 레이블을 이용한 데이터 전송 기능을 수행할 수 있는 시스템을 LSR (Label Switch Router), 그리고 특정 FEC로 전송되기 위한 경로를 LSP (Label Switched Path)라 한다.
Control Component
MPLS의 전송 경로는 RIP (Routing Information Protocol), OSPF (Open Shortest Path First), BGP (Boarder Gateway Protocol)와 같은 기존의 라우팅 프로토콜에 의해서 생성된 라우팅 정보에 따라서 결정된다. 이렇게 결정된 전송 경로를 통해서 LSP를 생성/유지/해제하는 기능을 수행하는 MPLS의 제어 요소 (Control Component)는 다음의 두 가지 요소로 나뉘어진다.
◎ Label Assignment
라우팅 프로토콜에 의해서 결정된 전송 경로를 특정 레이블로 맵핑시키는 과정을 레이블 할당이라고 한다. 레이블 할당은 크게 다음의 두 가지 방식으로 나뉘어진다
- Traffic driven Label Assignment 특정 FEC에 속한 첫 번째 패킷이 도착하는 시점에서 레이블을 할당하는 경우로써 레이블의 할당 및 분배가 데이트 트래픽의 특성에 의존한다.
- Control driven Label Assignmen 특정 FEC에 속한 패킷이 도착하기 전에 레이블을 할당하는 경우로써 라우팅 프로토콜에 의해서 패킷이 전달되는 경로를 결정하고 이 경로에 대해서 레이블을 할당하는 방식이다.
◎ Label Distribution
특정 전송 경로에 할당된 레이블을 이웃한 LSR이 인식하여야만 레이블 교환 방식에 의해서 고속 데이터 전송을 수행할 수 있기 때문에 레이블과 전송 경로를 함께 알려주어야 하며, 이와 같이 특정 방법에 의해서 할당된 레이블을 이웃 LSR에게 알려주는 일련의 과정을 레이블 분배라고 한다. 레이블 분배는 크게 다음의 두 가지 방식으로 나뉘어진다.
- Explicit Label Distribution 레이블 분배를 위해 새로운 프로토콜을 정의하는 방식으로써 현재 IETF에서 표준화가 진행중인 LDP (Label Distribution Protocol)가 본 방식에 속한다.
- Piggybacking on other control Message 레이블 분배를 위해 새로운 프로토콜을 정의하는 대신 현재 망에서 사용하고 있는 OSPF, BGP, PIM(Protocol Independent Multicast)과 같은 라우팅 프로토콜이나 RSVP(Resource ReSerVation Protocol)와 같은 신호 프로토콜의 일부를 수정하여 제어 정보와 함께 레이블 정보를 분배할 수 있도록 하는 방식이다. 현재 IETF에서 표준화가 진행중인 RSVP extension이 본 방식에 속한다.
Posted by theYoungman
engineering/Network Eng.2006. 8. 10. 15:59

통신업계의 미래 식량으로 주목받는MPLS

출처 블로그 > History repeats itself
원본 http://blog.naver.com/reddesi/3142008
통신업계의 미래 식량으로 주목받는MPLS | 슈마 IT뉴스2004/02/23 10:06
http://blog.naver.com/airbag1/80001003274

통신업계의 미래 식량으로 주목받는「MPLS」

Marguerite Reardon (ZDNet Korea)
2004/02/11
원문보기  

멀티 프로토콜 레이블 스위칭(MPLS)이란 이름으로 알려진 기술은 지난 수년간 기대를 모았으며

마침내 주류시장에 진입했다. 이는 음성, 비디오, 데이터를 단일 네트워크에서 결합하려는 수요가

점차 늘어나면서 생기는 현상이기도 하다.

네트워크 장비 업체들은 MPLS가 통신산업의 차세대 신기술이라며 오랜 기간 떠들어왔다. 단순성,

비용절감, 새로운 수익원 기회를 제공한다는 것이었다. 이제야 고객들이 이러한 목소리에 귀를 기울

이기 시작한 것으로 보인다. 이 기술은 부분적으로 VoIP와 같은 애플리케이션에서 파생된 것으로

점차 기존 전화 네트워크의 중요성을 감소시키고 있다.

MPLS에 대한 업계 관심이 높아지고 있는 가운데 최근 스프린트는 이 기술을 이용한 VPN 서비스

제공을 발표했다. 또한 버라이즌 커뮤니케이션즈는 2004년 예산의 대부분이 전통적인 회선교환 통신

장비가 아닌 MPLS 기능을 갖춘 장비에 투입될 것이라고 밝혔다.

장비업체들도 MPLS에 대해 떠들기 시작했다. 알카텔, 시스코 시스템즈, 주피터 네트웍스, 노텔

네트웍스와 같은 업체들은 이번주 파리에서 열린 MPLS 세계회의 2004에서 최신 개발품을 전시할

준비를 하고 있다. MPLS와 프레임 릴레이 연합(FRA)가 지원하는 이번 전시회에서 업체들은 다양한 MPLS 장비들 간의 호환성을 시연할 예정이다.

버튼 그룹의 시니어 컨설턴트 어윈 라자는 "MPLS VPN 들은 모든 대기업 고객의 로드맵 에 포함돼

있다. 사업자들은 이들을 잡기 위해서라도 MPLS 기능을 제공해야 한다"라고 말했다.

대부분의 사업자는 데이터를 위한 하나의 IP 네트워크와 음성을 위한 별도의 회선교환 네트워크를

사용한다. 그러나 이러한 구분은 점점 깨지고 있다. ‘융합된(converged)’ 네트워크 애플리케이션에

대한 수요가 커질수록 사업자들과 기업들은 서로 다른 기술들 간의 차이점을 극복하여 최신 애플리케이션과 서비스를 모두 지원할 기능을 갖춘 매끄러운 백엔드를 제공하려 하기 때문이다.

MPLS는 전통적인 회선교환 네트워크에서 인터넷과 같은 IP 기반 네트워크로 애플리케이션을

이전시키는데 있어서 발생하는 많은 문제점을 완화시켜준다. MPLS는 모든 종류의 트래픽을 다룰

수 있기 때문에 사업자들은 핵심 인프라스트럭처에 이를 이용해 모든 네트워크로 부터 오는 트래픽을 융합해 단일 네트워크로 결합하는 것이 가능해지기 때문에 운영비가 절감된다.

그러나 대규모 인프라스트럭처를 재구성하는 것은 단시간에 이뤄지는 것이 아니며 특히 대형업체들에 있어서는 더욱 그렇다. 이들 대기업들은 전통적인 전화 네트워크 구축에 이미 수십억 달러를 투자했으며 현재 네트워크 기능을 포기하지 않겠다는 완강한 태도를 유지하고 있다. 따라서 MPLS 융합으로

가는 길은 느릴 수밖에 없었다. 한편 MPLS를 사용하는 사업자들은 새로운 VPN 서비스를 통한 매출을 추진하고 있다.

과연 누가 사용하게 될 것인가
AT&T, 브리티시 텔레콤, 벨사우스, 이퀀트, 레벨 3, MCI, NTT 커뮤니케이션즈를 비롯한 업체들은

이미 MPLS VPN 서비스를 사용하기 시작했다. 버라이즌은 4분기 컨퍼런스 콜을 통해 2004년 2분기

부터 서비스를 시작할 예정이라고 밝혔다. 전통적으로 MPLS에 부정적이던 스프린트도 2주전 새로운 MPLS VPN 서비스를 발표했다.

이퀀트나 레벨 3와 같은 새로운 사업자들은 기본적으로 백본을 MPLS로 구축하고 있으며 AT&T와 MCI와 같은 기존 업체들은 별도의 음성 및 데이터 네트워크를 완전히 융합된 MPLS 인프라스트럭처로

결합시키고 있다. 벨에서 분사한 관계사들인 ‘베이비 벨’ 가운데 가장 규모가 큰 버라이즌은 2004년

4분기부터 IP/MPLS 인프라스트럭처를 갖춘 음성 및 데이터 네트워크를 사용하기 시작할 것이라고

말했다. IP 백본이 MPLS보다 훨씬 간단하다고 주장해온 스프린트는 융합을 위해 MPLS를 고려중이다. 그러나 스프린트는 아직도 선택에 신중한 입장을 취하고 있다.

스프린트의 제품관리 디렉터 배리 디쉬가트는 "최근 2년간 MPLS 분야에 진화가 있었으며 이는 우리가 직접 눈으로 목도하고 있는 현상이다. 낮은 단가로 높은 성능을 제공한다는 결론을 얻는다면 기꺼이

그 방향으로 나갈 것이다. 하지만 아직 입증되지 않았다"라고 말했다.

애널리스트들은 MPLS에 대한 기업들의 이러한 신중한 입장은 정당한 것이며 아직 이 기술이 발전중이라는 점을 지적했다. 이 기술에 대한 수용은 증가하고 있지만 아직 할일이 많이 남아있다. 아직 MPLS 단일 ‘표준’이 없으며 이 기술의 다양한 측면을 정의하는 다양한 표준이 아직도 발전하고 있는 중이기 때문이다.

예를 들어 MPLS는 단일 사업자 네트워크에서는 잘 동작한다. 하지만 공학 및 표준 단체들은 MPLS를 이용한 사업자 네트워크 연결방식을 이해할 필요가 있다. 문제는 이러한 네트워크들을 연결해 양질의 종점간 서비스를 보장하는 것이다.

버튼 그룹의 라자는 "MPLS VPN을 적용하는 사업자들에 있어서 가장 큰 이슈의 하나는 사업지역이다. 어떤 사업자도 전세계 모든 곳에 존재하지는 않는다. 고객 트래픽이 한 사업자 네트워크에서 다른 사업자 네트워크로 많은 문제없이 갈 수 있는 것이 중요하다"라고 말했다.

현장에서는 어떤 일을 맡게 될 것인가
MPLS 개발은 10년 전부터 시작됐다. 이때 연구자들은 소프트웨어 라우팅을 하드웨어 기반 스위칭의 속도로 끌어올리는데 관심을 뒀다. MPLS는 시스코의 ‘태그 스위칭’, IBM의 ‘ARIS’, 도시바의 ‘셀교환 라우터’ 등 수많은 기존 기술에서 진화했다. MPLS에 대한 공식표준작업은 1997년 IETF에서 시작됐다.

레이블 스위칭에 관한 주요 이점은 소위 목적지 IP 주소라 불리는 복잡한 테이블 참조절차 없이 간단한 레이블의 내용에 따라 전달하도록 결정한다는 것이다.

MPLS 네트워크에서 들어오는 패킷은 라우터에 의해 ‘레이블’이 할당된다. 레이블 스위치 내부에서

패킷 포워딩은 레이블의 내용에만 의존한 포워딩 결정에 따라 이뤄진다. 각 홉에서 레이블은 벗겨지며 새로운 레이블이 추가되고 이는 다음 라우터에게 패킷 포워딩 정보를 제공하게 된다.

많은 면에서 MPLS의 레이블 교환 경로는 ATM이나 프레임 릴레이 네트워크와 같은 전통적인 전화

기술에서 사용된 회선교환경로와 같은 것이다. 중요한 차이점은 MPLS 경로가 특정 전송 기술에 의존적이지 않다는 점이다. 이는 ATM, 프레임릴레이, 이더넷을 포함하는 어떠한 전송 기술에도 MPLS가 사용될 수 있다는 점이다. 따라서 MPLS의 진정한 약속은 어떠한 전송 매체에서도 종단간 회선을 만들어낼 수 있다는 것으로 오버레이 네트워크의 필요성을 제거하게 된다.

사업자들은 이미 MPLS를 다양한 목적으로 사용중이다. 특정 수준의 성능 만족, 네트워크 혼잡의

우회, 네트워크 기반 VPN에 있어서 IP 터널의 구축 등이 여기에 포함된다.

MPLS는 다양한 터널로 트래픽을 분산시킬 수 있어서 사업자들이 VPN 서비스 제공에 이용할 수 있다. 사업자들은 이미 프레임릴레이, ATM, IPSec을 사용한 포인트-투-포인트 VPN을 제공하고 있다. MPLS를 이용하면 새로운 그물망 서비스를 제공할 수 있다.

MPLS VPN은 VoIP와 같은 새로운 서비스 출범을 준비중인 다국적 기업에게 알맞다. 허브에서 설정되고 바퀴살 모양으로 설정되는 프레임 릴레이와는 달리 MPLS VPN은 직접 연결을 가능하게 한다.

MPLS VPN으로 음성전화가 연결되면 패킷은 장소간에 직접 라우팅 되어 지연시간이 줄어든다.

따라서 통화품질이 좋으며 기업에 할당된 대역폭 사용도 효율적이 된다.

MPLS VPN의 사용이 계속되고 사업자들이 백본을 MPLS로 교체함에 따라 시스코와 쥬피터와 같은 IP 라우팅 업체들이 재미를 볼 수 있다. 시스코 CEO 존 체임버스는 애널리스트들과 투자가들과 가진

최근의 실적 컨퍼런스 콜에서 고사양 IP 라우터의 수요가 이미 증가하고 있음을 볼 수 있다며 이는

기존의 통신장비에서 IP 제품으로 사업자들이 이전하기 때문이라고 전했다. 시스코 고사양 MPLS

라우터에 대한 판매는 2004 회계 연도 2분기에 전년 동기 대비 50% 증가했다.

기존 통신 업체들은 기존 제품 라인에 MPLS를 포함해야할 필요성을 절감하고 있다. 일부 대기업들은 MPLS 전문 중소기업을 인수했다. 예를 들어 2003년 봄 알카텔은 IP 에지 라우팅 벤처업체 타이메트라를 인수했으며 텔랩스는 MPLS 스위칭 벤처 비바체 네트웍스를 인수했다. 다른 통신장비업체들은 MPLS 업체와 제휴를 체결했다. 루슨트 테크놀러지즈는 쥬피터와 제휴했으며 노텔은 IP 라우팅 업체 아비치 시스템과 제휴했다.

사업자들은 이러한 서비스를 고객수요에 따라 제공하고 있다고 전문가들은 전했다.

AT&T의 MPLS VPN 제품 디렉터 짐 도허티는 "고객들은 사업자와의 연결방식에 많은 유연성을 원한다. 자체 네트워크에 보다 많은 서비스를 융합하려는 욕구 그리고 다대다 연결을 원하는 욕구의 결합에 의한 것이며 운영비용 절감을 가져온다"라고 말했다. @


[슈마생각]===============================================================

판매동향을 보면 스위치는 호조이며, 라우터는 침쳬라고 할 수 있습니다. 라우터도 살아남기위해

MPLS,보안, QoS 등 다양한 기능을 수용해야 합니다

Multiprotocol Label Switching는 데이터 패킷에 IP 주소 대신 별도의 라벨을 붙여 스위칭하므로써

다양한 프로토콜을 수용할수 있으며 ATM, 프레임 릴레이에도 적용할 수 있습니다


또한 라우터(Layer 3)까지 3계층을 올라가야 하는데 MPLS는 2계층의 라벨을 참조하여 스위치단에서

전달하니 속도도 더 빨라 집니다

Posted by theYoungman
engineering/Network Eng.2006. 8. 10. 15:50

DWDM(Dense Wavelength Division Multiplexing)

2000년대 이후에는 xDSL은 초고속 가입자망을 Gigabit Ethernet 및 DWDM은 기업망 Backbone을 구축하는 주요기술로 각광 받고 대세적인 흐름을 주도하고 있습니다.
현재 당사에서도 DR애 DWDM을 사용하고  있는것으로 알고 그럼  이 DWDM이란 무엇인가 한번 고찰할 기회를 가져봄니다.


DWDM(Dense Wavelength Division Multiplexing)


1. 개요

인터넷 사용자의 급증으로 인터넷 사용자의 대역폭에 대한 요구가 증가함에 따라 보다 큰 대역폭을 제공해 줄 새로운 기술이 필요하게 되었다. 이런 요구에 부응하여 현재 네트워크 인프라 시장에서 가장 뜨거운 화제로 DWDM(Dense Wavelength DivisionMultiplexing) 기술을 들 수 있다. DWDM은 기존 구리선 기반에서 폭발적으로 증가하고 있는 트래픽을 해결하는 수단으로서, ATM,IP,ADSL과 또 다른 기술을 통합하여 활용할 수 있는 기술이라는 점에서 더욱 부각되고 있다



2. DWDM이란?

DWDM은 8채널 또는 그 이상 다수의 파장을 단일한 광도파를 통해 전송, 각각의 파장을 하나의 채널화 함으로써 광섬유의 용량을 극대화하여 싣는 기술로서 각 신호들은 분리된 고유의 광 파장으로 전송된다. 현 시점에서 통상적인 다중화 기술인 TDM방식을 이용한 광선로 코어별 전송용량을 10Gbps 이상으로 높이는 데는 기술적 한계가 있었으나, DWDM은 실험실 수준으로 2.6Tbps까지 구현되고 있으며 상용화 수준도 80Gbps에 달하고 있다.

최근 DWDM이 차세대 네트워크의 핵심기술이라 불릴 정도로 인기를 끌고 있는 것은 전송용량을 즉시 몇 배 이상으로 늘릴 수 있는 확장성과 새로운 광케이블의 추가 설치 없이 기존 네트워크 망을 그대로 사용하여 속도의 고도화가 가능하며 높은 수준의 보안 및 가용성 등의 장점을 갖추고 있기 때문이다. 이런 이유로 몇 해 전부터 기간망 사업자나 지역회선 사업자들 사이에서는 DWDM이 장거리 대용량 트래픽을 처리할 수 있는 솔루션으로 인식되어 왔다.



3. DWDM 구성요소

광링크 기술의 목적은 보다 큰 전송용량의 광신호를 보다 먼 거리로 전송하는 것이며 이러한 목적을 이루기 위해서는 광원부터 변조기, 다중화기, 광증폭기, 광선로, 역다중화기, 수신기에 이르기까지 광통신 전반에 걸쳐 모든 것들이 유기적으로 연결하여 좋은 성능을 얻도록 하여야 한다.

광원은 파장과 파워가 안정적이고 대역폭이 좁아야 하는데 파장이 불안정하면 다중화/역다중화가 어렵고, 파워가 불안정하면 수신단에서 잡음으로 나타나고 대역폭이 넓으면 분산으로 인해 광펄스가 퍼저 장거리 전송이 어려워지기 때문이다.

단일 채널 시스템에서는 LED(Light mission Diode) 또는 LD(Laser Diode)가 쓰였으나 WDM으로 발전하면서 1,550nm 대역 파장의 대역폭이 좁은 DFB-LD(Distributed Feed Back Laser Diode)를 보편적으로 사용하고 있다.

WDM 초창기에는 수 채널의 파장을 광결합기로 다중화할 수 있었지만, 광결합기는 채널이 증가할수록 삽입 손실이 커져 DWDM시스템에선 사용하지 않고 배열 도파로 격자(Arrayed Waveguide Grating: AWG)라는 소자가 개발되어 5dB정도의 적은 삽입 손실로 수 십 개의 파장을 다중화할 수 있다.

광링크의 송신단에서 신호를 전송할 때 광섬유로 이루어진 광선로의 손실로 인해 구간마다 신호를 증폭하는 기술이 필요한데, 최근에 전송 속도, 전송 방식, 채널 수에 관계없이 광신호를 증폭할 수 있는 어븀 첨가 광섬유 증폭기(Erbium Doped FiberAmplifier: EDFA)가 개발되어 널리 쓰이고 있다.



4. 결론

지금까지 DWDM전송의 개념 및 기술, 현재의 수준 등에 관해 살펴보았다. 이런 여러가지 이유로 DWDM전송은 전세계적으로 통신 회선의 비용을 절감하는 가장 적절한 방법으로 인식되고 있으며, 많은 연구가 진행되고 및 속속 개발되고 있다.

Posted by theYoungman
engineering/Network Eng.2006. 8. 10. 15:47

CMTS 란?

CMTS ?

CMTS (cable modem termination system) 케이블 모뎀(Cable Modem) 데이터를 인터넷으로 전송하기 위한 데이터용 패킷으로 바꾸어주는 장비이다.  MCNS 스펙에 따라 RF Return 시스템에서 CMTS 하향 시스템(Downstream System) 상향(Upstream System)으로 구성한다. CPE(Customer Premise Equipment) 목적지로 가지는 하향 데이타 패킷은 CMTS-NSI(Cable Modem Termination System Network Side Interface) 거쳐서 CMTS 거쳐 케이블 TV망을 이용하여CM(Cable Modem)으로 전송된 CMCI(Cable Modem CPE Interface) 통해 CPE 전송되어야 한다. 상향 데이타 패킷은 역으로 패킷 전송이 이루어 진다.
CMTS 데이터 네트워크에서 RF케이블 네트워크로 라우팅 기능을 제공하는 CAR(Cable Access Router)카드와 하향 데이타를 위한 64/256QAM 처리할 있는 QAM Modulator, 상향 데이타를 위한 QPSK/QAM Modulator 구성 가능하다.

케이블모뎀종단치(CMTS) HFC 망이 끝나는 분배센터 내에 위치하여 양방향 HFC망을 통해 케이블 모뎀장비와 인터페이스를 수행하여 외부망과 연결된다. CMTS 케이블 모뎀과 인터페이스를 위해 다양한 종류의 케이블 모뎀 카드 지원 케이블 모뎀 인증을 담당하며, 하양 채널의 주파수를 지정하고 채널에 대한 데이터를 암호호한다. CMTS 대게 라우터,변조기,라인카드가 조합된 형태로 구성이 되며, 인터넷/인트라넷 백본 데이터 네트워크와 지역 액세스 케이블 네트워크 간에 고속 통신을 가능하게 한다. 일부 벤더들은 L#라우터 대신에 L2 브리징과 스위칭 기술을 사용하여 CMTS 분산된 라우터를 연결한다.




CMTS 구성도




Posted by theYoungman

티스토리툴바