873. NSH (Network Service Header) - 패킷 경로 체인 메타데이터 포워딩 명세 인캡슐레이션 규약

핵심 인사이트: 872번에서 가상의 방화벽과 IPS들을 징검다리(서비스 체인)처럼 차례로 밟고 지나간다고 했다. 그런데 패킷이 방화벽을 빠져나왔을 때, 다음 스위치 입장에서 "이 놈이 1단계를 거치고 온 놈인지, 아직 시작도 안 한 놈인지, 다음은 어디로 던져야 하는지" 어떻게 알 수 있을까? 패킷 겉면(IP)에는 최종 목적지(네이버)만 적혀있을 뿐 징검다리 여정은 적혀있지 않다. 그래서 패킷 이마에 "나는 지금 33번 체인 코스를 밟고 있고, 방금 1단계 끝냈음!"이라고 적힌 노란색 포스트잇(메타데이터)을 딱 붙여준다. 이 놀이공원 통과 팔찌가 바로 NSH 규약이다.

Ⅰ. 기존 체이닝 라우팅의 한계 (PBR의 무식함)

  • 과거에 억지로 체인을 엮을 때는 PBR(정책 기반 라우팅)이나 VLAN 꼼수를 썼습니다.
  • 한계: 스위치가 매번 패킷의 본문(IP, 포트)을 샅샅이 까보고 "아, 얜 방화벽 거친 애구나" 하고 수동으로 판단해야 했습니다. 트래픽이 몰리면 스위치가 뇌정지가 왔고, 가상 앱(VNF) 10개를 거치는 복잡한 체인은 길을 잃어버리기 일쑤였습니다.

Ⅱ. NSH (Network Service Header)의 개념 🌟

  • 개념: IETF(국제 인터넷 표준화 기구)에서 제정한 공식 SFC(서비스 기능 체이닝) 전용 프로토콜 규약입니다.
  • 원래 패킷 겉면에 '이 패킷이 어떤 징검다리 코스(체인)를 밟아야 하며, 지금 현재 몇 번째 징검다리를 밟았는지(경로와 상태)'를 적어놓은 꼬리표(헤더 데이터)를 추가로 씌워서(인캡슐레이션) 전송하는 기술입니다.

Ⅲ. NSH 꼬리표의 3대 핵심 구성 정보 (메타데이터) 🌟

이마에 붙인 포스트잇(NSH)을 현미경으로 들여다보면 3가지 글씨가 적혀 있습니다.

1. SPI (Service Path Identifier) - "너 무슨 코스 타니?"

  • 클라우드에 수만 개의 징검다리 코스(체인)가 있습니다.
  • SPI는 패킷이 배정받은 전체 코스의 고유 ID 번호입니다.
  • (예: SPI=100번방화벽 ➜ IPS ➜ 로드밸런서 코스, SPI=200번방화벽 ➜ 필터링 코스) 스위치들은 SPI 100번을 보면 묻지도 따지지도 않고 그 코스 설계도대로 쳐냅니다.

2. SI (Service Index) - "지금 몇 번째 징검다리 밟았니?" 🌟

  • 가장 중요한 내비게이션(상태 추적) 정보입니다. 코스의 남은 단계 수를 거꾸로 셉니다.
  • 동작 예시:
    • 처음에 출발할 때 SI=255 (가득 찬 상태) 도장이 찍혀있습니다.
    • 1번 방화벽(VNF)을 통과하고 나올 때, 방화벽이 노란색 포스트잇의 숫자를 하나 깎아서 SI=254로 고쳐 적습니다.
    • 다음 스위치가 이 패킷을 받으면 패킷 이마를 봅니다. "어? SI=254네? 1단계 끝났다는 뜻이군! 엑셀 장부를 보니 254번 상태일 땐 2번 IPS로 던지라네!" 하고 정확하게 2단계로 패스해 줍니다.
    • 앱을 거칠 때마다 SI가 -1씩 깎이면서(Decrement), 징검다리의 무한 루핑(뺑뺑이)을 막고 완벽한 순서를 보장해 냅니다.

3. 메타데이터 (Metadata) - "앞사람이 남긴 메모"

  • 1번 방화벽이 패킷을 검사해 보니 "이거 살짝 해킹 의심되는데?" 싶으면, 패킷 본문은 안 건드리고 이 NSH 포스트잇 공간에 "해킹 의심도 80%"라고 몰래 텍스트(Context)를 끄적여서(메타데이터) 2번 IPS에게 넘겨줍니다.
  • 2번 IPS는 포스트잇 메모를 읽고 더 빡세게 패킷을 찢어서 정밀 검사합니다. 가상 앱들끼리 패킷의 뒷담화(정보)를 실시간으로 공유하는 텔레파시 채널이 됩니다.

Ⅳ. NSH의 패킷 구조와 오버레이 연계

  • NSH 자체는 박스에 붙이는 송장(스티커)이지, 박스 그 자체(운반 수단)가 아닙니다.
  • 그래서 817번에서 배운 **VXLAN 박스(오버레이 터널) 안에 NSH 스티커가 붙은 패킷을 통째로 밀어 넣어서 배달(VXLAN-GPE 등)**하는 것이 현대 클라우드 체이닝 배관의 절대 표준입니다.

📢 섹션 요약 비유: NSH는 놀이공원(데이터센터) 입구에서 손님(패킷)의 손목에 채워주는 **'스마트 칩 자유이용권 팔찌'**입니다. 팔찌 안에는 두 가지가 들어있습니다. 첫째, **SPI(코스 번호)**입니다. "이 손님은 바이킹 ➜ 롤러코스터 ➜ 귀신의 집 순서로 도는 VIP 코스(SPI 100) 손님이다!" 둘째, **SI(남은 티켓 횟수)**입니다. 손님이 바이킹을 타고 나오면 출구 직원이 팔찌를 찍어 횟수를 3에서 2(SI=2)로 깎습니다. 다음 길목에 서 있는 안내원(스위치)은 손님이 누군지 물어보지도 않고 팔찌만 딱 스캔합니다. "오! SPI 100번 코스인데 SI가 2가 남았군! 바이킹 탔으니 이제 롤러코스터 탈 차례네. 이쪽으로 가세요!" 스위치나 방화벽 장비가 골치 아프게 라우팅 장부를 머리 싸매고 고민할 필요 없이, 손목 팔찌(NSH)만 띡띡 스캔해서 0.1초 만에 다음 코스로 착착 돌려보내는 기적의 무인 릴레이 패스 시스템입니다.