1093. MPLS VPN L3 경로 격리 라벨 스위치 - Multi-Protocol Label Switching 가상 사설망 VRF MP-BGP PE 라우터 라벨 스와핑 통신사 백본망

핵심 인사이트: (984번 MPLS 복습 및 심화) KT 통신사의 거대한 라우터 백본망 안에는 삼성전자 패킷도 다니고 LG전자 패킷도 다닌다. 만약 삼성(10.0.0.x)과 LG(10.0.0.x)가 우연히 똑같은 사설 IP를 쓰고 있다면, KT 라우터는 미쳐버린다. "어? 10.0.0.1이 목적지인데, 이거 삼성 패킷이야 LG 패킷이야?!" 라우터가 꼬여서 삼성 기밀문서가 LG로 배달되는 대참사가 터질 수 있다. "야! 통신사 라우터(PE) 입구에서, 삼성 패킷이 들어올 땐 '삼성 전용 가상 라우터(VRF) 방'으로 받아서 처리하고, 패킷 이마에다가 삼성 고유 번호(라벨)를 딱지처럼 붙여버려! 그럼 KT 망 한가운데서는 IP 안 보고 그 딱지(라벨)만 보고 길을 찾으니까, IP가 똑같아도 절대 섞이지 않는 완벽한 전용선(VPN)이 완성되잖아!" 통신사가 돈을 쓸어 담는 궁극의 B2B 가상 전용선, MPLS L3 VPN이다.

Ⅰ. 통신사(ISP) 백본 라우터의 IP 충돌 딜레마

  • 수많은 기업(고객)들이 통신사의 망 하나를 공유(Multi-Tenancy)해서 씁니다.
  • IP 오버랩 (Overlap)의 공포: 회사들은 내부망으로 공짜 IP인 '사설 IP(10.0.0.0/8, 192.168.x.x)'를 씁니다. 통신사 라우터 뱃속 1개의 라우팅 테이블(장부)에, 삼성도 10.0.0.0/8 길을 뚫어달라 하고, LG도 10.0.0.0/8 길을 뚫어달라고 하니 뇌가 꼬여버립니다.

Ⅱ. MPLS L3 VPN의 탄생 🌟

  • 개념: 통신사의 엣지 라우터(PE) 내부에 **가상의 라우터 방(VRF)**들을 수십 개 쪼개어 고객별로 IP 주소를 완벽히 격리하고, 통신사 망 내부(Core)를 지나갈 때는 984번에서 배운 **MPLS 라벨(딱지)**을 붙여 고속으로 스위칭하여, 물리적인 선을 깔지 않고도 '완벽한 사설 전용선(VPN)'을 제공해 주는 통신사 밥줄 기술입니다.
  • 인터넷 터널(IPsec)을 쓰지 않고도, 통신사 내부 망(안전함)을 타기 때문에 암호화 없이도 100% 해킹 안전성을 보장받습니다.

Ⅲ. 고객을 완벽하게 격리하는 3대 핵심 컴포넌트 🌟 핵심 🌟

KT 라우터가 어떻게 삼성과 LG 패킷을 안 섞이게 나를까요?

1. VRF (Virtual Routing and Forwarding) - "라우터 방 쪼개기"

  • KT의 입구 라우터(PE 라우터)의 뇌를 칼로 수십 조각으로 도려냅니다.
  • "1번 뇌(VRF A)는 오직 삼성 포트에서 올라오는 패킷만 처리하는 라우팅 장부야! 2번 뇌(VRF B)는 LG 전용 장부야!"
  • 하나의 기계 안에 수십 개의 완벽히 독립된 꼬마 라우터가 도는 가상화 기술입니다. 이 덕분에 삼성과 LG가 똑같이 10.0.0.1 IP를 부르짖어도 방이 다르므로 절대 충돌이 일어나지 않습니다.

2. RD (Route Distinguisher)와 MP-BGP - "이름표 붙여서 소문내기"

  • 삼성의 10.0.0.0/8 패킷을 부산 지사로 보내려면, KT 망 안의 라우터들끼리(MP-BGP) 이 길을 소문내야 합니다.
  • 똑같은 IP 소문을 내면 헷갈리니까, KT 서울 라우터는 IP 앞에 64비트짜리 특수한 고객 고유 번호(RD, 예: 100:1)를 강제로 이어 붙입니다.
  • [100:1]:10.0.0.0/8. "이건 삼성(100:1)의 10번 대역이야!"라고 전국에 뿌리므로 라우터들이 헷갈리지 않습니다. (VPNv4 주소의 탄생)

3. 2중 라벨 스위칭 (Double Labeling) 🌟

실제 패킷이 통신사 코어 망을 날아갈 때 포장지(라벨)를 2장 겹쳐 붙입니다.

  1. Outer Label (바깥 딱지, 길 찾기용): 서울 라우터에서 부산 라우터(도착지 PE)까지 가는 일반적인 고속도로 길 안내 딱지(LDP)입니다.
  2. Inner Label (안쪽 딱지, 문패용): 부산 라우터에 도착했을 때, 이 패킷이 삼성 방(VRF)으로 가야 하는지, LG 방으로 가야 하는지 알려주는 VPN 전용 식별 딱지입니다.
  • 코어 망의 라우터들(P 라우터)은 바깥 딱지만 보고 광속으로 스위칭(Swap)해서 릴레이를 뜁니다. 안에 든 게 삼성 엑셀 파일인지 IP인지 1도 모릅니다. 안전하게 부산에 도착하면 딱지를 다 뜯어내고 삼성 지사로 쏙 들어갑니다.

Ⅳ. 왜 기업들이 비싼 돈을 주고 쓰는가?

  • 1041번 SD-WAN (인터넷망)이 뜨고 있지만, 은행이나 관공서의 메인 트래픽은 여전히 MPLS VPN을 씁니다.
  • 공용 인터넷의 트래픽 폭주에 영향을 받지 않고, 통신사 내부 망에서 1089번 DiffServ(QoS)를 적용받아 100% 무결점의 속도와 지연 시간을 절대 보장받기 때문입니다. 인터넷 바깥세상을 타지 않아 해커의 디도스(DDoS)로부터도 완벽하게 격리됩니다.

📢 섹션 요약 비유: 기존 라우터는 전국에서 날아오는 편지들을 **'하나의 거대한 우체국 분류함(단일 라우팅 테이블)'**에 쏟아놓고 분류합니다. 삼성이 보낸 10번지 편지와 LG가 보낸 10번지 편지가 섞이면 우체부는 누구에게 줄지 몰라 미쳐버립니다. MPLS VPN은 KT 통신사가 돈을 받고 '우체국 건물 안에 삼성 전용 VIP 분류방(VRF)과 LG 전용 방'을 벽돌로 아예 격리해서 지어준 것입니다. 삼성 직원이 편지를 들고 오면 무조건 삼성 전용 방으로만 안내하여 편지를 까봅니다(IP 충돌 제로). 그리고 이 편지를 부산 지사로 보낼 때, IP를 까보지 못하게 겉면에 **'삼성 VVIP 배송 딱지(Inner Label)'**와 **'부산행 고속도로 딱지(Outer Label)'**를 두 겹으로 철썩 붙여버립니다(2중 라벨링). 배달 트럭(코어 라우터)은 편지 내용을 보지 않고 오직 겉 딱지만 보고 부산까지 미친 속도로 달립니다. 물리적인 1:1 구리선(전용선)을 깔지 않고도, 소프트웨어 딱지와 격리된 방을 통해 남들과 1%도 섞이지 않는 궁극의 보안 가상 전용차로를 제공하는 통신망입니다.