1091. GRE 일반 캡슐화 포맷 오버헤드 - Generic Routing Encapsulation 시스코 터널링 비보안 IP in IP 멀티캐스트 전송 이기종 프로토콜 지원

핵심 인사이트: (1085번 IPsec 복습) 회사 지사와 본사를 인터넷으로 이을 때 IPsec VPN을 쓴다고 했다. 그런데 IPsec은 보안에 너무 미쳐 있어서, 라우팅 정보(OSPF 헬로 패킷)나 방송(멀티캐스트) 패킷은 "이거 데이터 아니잖아!"라며 암호 터널에 안 태워주는 끔찍한 단점이 있었다. "야! 우리가 인터넷 허공에 다리를 하나 놓을 건데, 거기다가 IP 패킷이든 구닥다리 IPX 패킷이든 멀티캐스트든 가리지 않고 다 태워 보낼 수 있는 '만능 비닐봉지'를 하나 만들어라! 봉지 겉면에 진짜 IP를 적어놓고, 내용물은 묻지도 따지지도 말고 포장해버려!" 시스코가 만든 가장 멍청하고 포용력 넓은 만능 포장지 터널, GRE다.

Ⅰ. 기존 터널링(IPsec)의 맹점

  • IPsec의 철벽: 오직 1:1 유니캐스트 IP 패킷만 암호화해서 보낼 수 있습니다.
  • 재앙: 서울 본사와 부산 지사의 라우터가 서로 OSPF(라우팅 프로토콜, 994번)로 길 정보를 주고받으려면 멀티캐스트 패킷을 쏴야 합니다. 근데 IPsec은 멀티캐스트를 버려버리므로, VPN 터널은 뚫렸는데 길 찾기(동적 라우팅)가 안 돼서 수동으로 길을 다 적어줘야(Static Route) 하는 최악의 노가다가 발생했습니다.

Ⅱ. GRE (Generic Routing Encapsulation)의 개념 🌟

  • 개념: 시스코(Cisco)가 개발하고 IETF 표준이 된 기술로, 어떤 네트워크 프로토콜(IPv4, IPv6 심지어 애플톡, 멀티캐스트까지) 패킷이든 상관없이 'GRE 헤더'라는 비닐봉지로 한 번 씌우고, 그 겉면에 새로운 '외부 IP 헤더'를 덧붙여서(캡슐화) 라우터 사이의 허공을 뚫고 지나가는 범용 가상 터널 기술입니다.

Ⅲ. GRE 패킷의 3단 샌드위치 구조 (오버헤드) 🌟 핵심 기출 🌟

패킷을 까보면 마트료시카 인형처럼 3겹으로 되어 있습니다.

  1. 페이로드 패킷 (오리지널): 철수가 부산 지사로 보내는 진짜 데이터 (20바이트 IP 헤더 + 데이터).
  2. GRE 헤더 (비닐봉지): 오리지널 패킷을 감쌉니다. 고작 4바이트로 깃털처럼 가볍습니다. "내 안에 든 내용물이 IPv4 프로토콜이야"라고 종류만 살짝 적어놓습니다.
  3. 외부 IP 헤더 (택배 송장): 제일 바깥 껍데기입니다. 인터넷망 라우터들을 뚫고 가기 위해 서울 라우터 IP(출발지)와 부산 라우터 IP(도착지)를 적은 20바이트 껍데기입니다.
  • 결론적 오버헤드: GRE 터널을 뚫으면 원래 패킷보다 **최소 24바이트(GRE 4 + 외곽 IP 20)**가 더 뚱뚱해집니다. MTU(최대 전송 크기)를 넘어가면 패킷이 찢어지므로(Fragmentation) 라우터에 엄청난 CPU 부하가 오기 때문에, 관리자는 MTU 값을 1476 정도로 살짝 깎아줘야 쾌적하게 날아갑니다.

Ⅳ. 왜 IPsec과 GRE는 영혼의 단짝인가? (GRE over IPsec) 🌟

둘 다 완벽하지 않아서 서로의 똥을 치워주는 구조입니다.

  • GRE의 한계 (쌩얼 전송): GRE 비닐봉지는 투명합니다. 캡슐화만 했지 '암호화'를 1도 안 하기 때문에 해커가 가로채면 안의 기밀문서가 평문으로 싹 다 보입니다.
  • 환상의 콜라보 (GRE over IPsec):
    1. 먼저 OSPF 멀티캐스트나 온갖 잡동사니 패킷을 멍청한 GRE 비닐봉지에 담습니다. (멀티캐스트 해결!)
    2. 그 비닐봉지 전체를 이번엔 IPsec이라는 강력한 검은색 철가방(ESP 암호화) 안에 집어넣습니다. (암호화 해결!)
  • 이 콤보는 전 세계 99%의 기업 망이 지사와 본사를 연결할 때 쓰는 가장 교과서적이고 완벽한 무결점 VPN 아키텍처입니다.

📢 섹션 요약 비유: 기존 IPsec VPN 터널은 **'규격에 맞는 네모난 상자(유니캐스트 IP 패킷)만 싣고, 밖이 안 보이게 철갑을 두른 현금 수송차'**입니다. 안전하긴 우주 최강이지만, 모양이 안 맞는 커다란 크리스마스트리(OSPF 멀티캐스트 등)는 실어주지 않아 통신이 반쪽짜리가 됐습니다. GRE 터널은 모양 상관없이 크리스마스트리든 코끼리든 다 쑤셔 넣을 수 있는 **'거대하고 신축성 좋은 투명 비닐봉지(Generic Encapsulation)'**입니다. 멀티캐스트든 뭐든 봉지에 담아 인터넷 고속도로를 달릴 수 있지만, 비닐이 투명해서 길거리 해커들이 내용물(기밀)을 다 볼 수 있는 최악의 약점이 있습니다. 그래서 실무에선 이 트리를 'GRE 비닐봉지로 먼저 묶은 다음(포용력 확보), 그 봉지 전체를 IPsec 현금 수송차의 철갑 안에 던져 넣는(보안성 확보)' 이중 포장(GRE over IPsec) 기법을 사용하여, 어떤 형태의 화물이든 100% 안전하게 본사와 지사 사이를 날려 보냅니다.