225. VRF (Virtual Routing and Forwarding) - 경로 격리

⚠️ 이 문서는 한 대의 비싼 라우터(Router, L3 장비) 기계 안에 **논리적으로 완전히 독립된 여러 개의 '가상 라우팅 테이블(길 찾기 지도)'을 만들어, 서로 다른 부서나 다른 고객사의 트래픽이 섞이거나 IP가 충돌하는 것을 완벽하게 격리해 내는 네트워크 가상화 핵심 기술인 'VRF'**를 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: L2(스위치 계층)를 쪼개는 가상화 기술이 VLAN이라면, L3(네트워크/IP 계층)의 심장인 라우터 자체를 소프트웨어적으로 여러 대처럼 쪼개어 버리는 기술이 바로 VRF다.
  2. 가치: 통신사나 데이터센터에서 서로 다른 회사(A사, B사)가 똑같은 사설 IP 대역(10.0.0.0/24)을 쓰더라도, 라우터 하나로 두 회사의 통신을 혼선 없이 독립적으로 서비스할 수 있게 하여 막대한 장비 투자 비용을 아껴준다.
  3. 기술 체계: 라우터 내부에 기본 전역 라우팅 테이블(Global Routing Table) 외에 VRF-A, VRF-B라는 별도의 비밀 지도를 만들고, 스위치의 VLAN 포트를 이 VRF 지도와 1:1로 매핑하여 길을 안내한다.

Ⅰ. 단일 라우팅 테이블의 비극: 겹치는 사설 IP

우체부가 지도 한 장만 가지고 있으면 같은 이름의 동네를 구분할 수 없다.

  1. 전역 라우팅 테이블 (Global Routing Table):
    • 일반적인 물리 라우터는 단 1장의 웅장한 세계 지도(라우팅 테이블)를 가진다. 들어오는 모든 패킷은 이 한 장의 지도를 보고 목적지 문으로 나간다.
  2. 사설 IP (Private IP) 중복 충돌의 문제:
    • 클라우드 임대 사업을 하는데, A 회사(고객)가 들어오면서 "우린 내부망 IP로 192.168.1.x 대역을 씁니다"라고 했다.
    • 다음날 B 회사도 입주하면서 "저희도 내부망 IP로 192.168.1.x 를 쓰는데요?"라고 했다.
    • 사업자의 라우터 하나에 두 회사의 랜선을 꽂았다. 라우터가 목적지 192.168.1.10으로 가는 패킷을 받으면, 이게 A 회사로 가야 할 패킷인지 B 회사로 가야 할 패킷인지 1장의 지도만으로는 죽었다 깨어나도 구별할 수 없어 대형 배달 사고가 터진다.

📢 섹션 요약 비유: 우체부(라우터)가 '서울시 중앙로 10번지(192.168.1.10)'라고 적힌 편지를 받았습니다. 그런데 알고 보니 편지를 보낸 곳이 평행우주 A와 평행우주 B 두 곳이었고, 두 우주 모두 똑같은 이름의 '중앙로 10번지'가 있었습니다. 우체부가 수첩(지도)을 한 권만 들고 있으면 어느 우주로 배달해야 할지 멘붕에 빠지는 끔찍한 IP 주소 충돌 상황입니다.

Ⅱ. VRF의 등장: 라우터 머릿속에 다중 자아 심기

물리적 라우터는 하나지만, 그 안에 뇌를 여러 개로 쪼갠다.

  1. 가상 라우팅 테이블 (Virtual Routing Table) 생성:
    • 장비 관리자는 라우터 안에 VRF-AVRF-B 라는 두 개의 독립적인 가상 지도를 만든다.
    • 그리고 라우터의 1번 구멍(인터페이스)은 VRF-A 지도에 매핑하고, 2번 구멍은 VRF-B 지도에 매핑한다.
  2. 완벽한 분리와 통신 격리:
    • 1번 구멍으로 패킷이 들어오면 라우터는 무조건 VRF-A라는 비밀 지도책만 꺼내서 보고 길을 찾는다.
    • 2번 구멍으로 패킷이 들어오면 VRF-B 지도책만 본다.
    • 따라서 두 지도책에 똑같은 192.168.1.10 이라는 도착지가 적혀 있어도, 라우터는 절대로 헷갈리지 않고 A 회사의 패킷은 A 회사망으로, B 회사의 패킷은 B 회사망으로 완벽하게 격리(Isolation) 배송한다.
  3. 보안적 격벽 (Security Boundaries):
    • 이 가상 지도들은 서로 간에 데이터를 넘겨주거나 교환(Leaking)할 수 없도록 철저히 막혀있다. 해커가 A 회사를 털고 라우터까지 기어 올라왔더라도, B 회사의 라우팅 테이블(지도)을 볼 수 없기 때문에 B 회사로 넘어갈(수평 확산) 길이 원천적으로 존재하지 않는다.

📢 섹션 요약 비유: 영리해진 우체부(라우터)는 이제 왼쪽 주머니에 A 우주 지도책(VRF-A)을, 오른쪽 주머니에 B 우주 지도책(VRF-B)을 따로 넣고 다닙니다. 왼쪽 문으로 편지가 들어오면 무조건 왼쪽 주머니의 지도책만 펼쳐보기 때문에, 똑같은 '중앙로 10번지'라도 100% 실수 없이 각자의 평행우주에 정확히 배달할 수 있는 '다중 자아(가상화)'의 마법입니다.

Ⅲ. VLAN과 VRF의 찰떡궁합 콤보 (L2 + L3 격리)

현대 기업 인프라는 이 두 가상화 기술을 짬짜면처럼 섞어 쓴다.

  1. 계층 간 완벽한 수직 가상화:
    • 바닥(L2 스위치)에서는 VLAN으로 부서별 트래픽을 논리적으로 쪼개어 가둔다 (VLAN 10=영업, VLAN 20=회계).
    • 이 트래픽이 위로 올라와 윗선(L3 라우터)에 도착하면, 라우터는 VRF를 통해 길(경로)조차도 완벽히 쪼개버린다.
    • 즉, 바닥부터 지붕까지 논리적으로 완벽한 독립 터널(End-to-End Segmentation)이 완성된다. 물리적인 선과 기계는 한 덩어리인데 소프트웨어적으로 수십 개의 독립 회사가 돌아가는 것과 같다.
  2. VRF Lite와 통신망 (MPLS VPN):
    • 일반 기업에서는 단일 라우터 내에서만 쪼개는 VRF Lite를 주로 쓰며, 통신사(KT, SKT)는 전국망 라우터 100대에 VRF 지도를 뿌려서 고객사 전용 사설망(VPN)을 깔아주는 MPLS VPN이라는 거대한 상용 서비스로 진화시켜 팔아먹는다.

📢 섹션 요약 비유: 1층 안내데스크(L2 스위치)에서 방문객에게 '빨간 명찰(VLAN 10)'과 '파란 명찰(VLAN 20)'을 채워서 엘리베이터에 태워 보냅니다. 엘리베이터가 고층(L3 라우터)에 도착하면, 경호원(VRF)이 명찰 색깔을 보고 아예 빨간색 전용 비밀통로와 파란색 전용 비밀통로로 밀어 넣어버려, 두 부류의 사람은 퇴근할 때까지 건물 내에서 영원히 마주칠 수 없는 극강의 철통 보안 격리망이 완성됩니다.