 VPN 작동 방법을 이해하려면 원격 액세스 VPN과 라우터간 VPN을 만들 때 주소 지정과 라우팅에 미치는 영향을 이해해야 합니다. VPN 연결이 해당 IP 주소를 지정해야 하는 가상 인터페이스를 만들고 해당 소통을 공유 또는 공용 통과 네트워크 대신 보안된 VPN 연결을 통해 보내기 위해 경로를 변경하거나 추가해야 합니다. 원격 액세스 VPN 연결 원격 액세스 VPN 연결의 경우 컴퓨터가 VPN 서버에 대한 원격 액세스 연결을 만듭니다. 연결 과정에서 VPN 서버가 원격 액세스 VPN 클라이언트의 IP 주소를 할당하고 가상 인터페이스로 기본 경로 소통을 보낼 수 있게 원격 클라이언트에서 기본 경로를 변경합니다. IP 주소 및 전화 접속 VPN 클라이언트 VPN 서버에서 인터넷으로 VPN 연결을 만들기 전에 인터넷에 연결하는 전화 접속 VPN 클라이언트의 경우 IP 주소가 두 개 할당됩니다.
VPN 클라이언트에 할당된 IP 주소는 인트라넷에서 호스트에 도달할 수 있어야 하며 또한 호스트에서 인트라넷에 도달할 수 있어야 합니다. VPN 서버의 라우팅 테이블에는 인트라넷의 모든 호스트를 연결하기 위한 항목이 들어 있어야 하며 인트라넷 라우터의 라우팅 테이블에는 VPN 클라이언트를 연결하기 위한 항목이 들어 있어야 합니다. VPN으로 보낸 터널링된 데이터의 주소는 VPN 클라이언트의 VPN 서버가 할당한 주소에서 인트라넷 주소로 지정됩니다. 외부 IP 머리글의 주소는 ISP가 할당한 VPN 클라이언트 IP 주소와 VPN 서버의 공용 주소 사이에서 지정됩니다. 인터넷 라우터가 외부 IP 머리글만 처리하므로 인터넷 라우커가 터널링된 데이터를 VPN 서버의 공용 IP 주소로 전달합니다. 그림 10은 전화 접속 클라이언트의 주소를 지정하는 예입니다. 이때 회사 인트라넷에서는 개인 주소를 사용하고 터널링된 데이터는 IP 데이터그램입니다.
그림 10 PPTP 터널링된 데이터의 공용/개인 주소 기본 경로 및 전화 접속 클라이언트 일반 전화 접속 클라이언트가 ISP로 전화를 걸면 ISP가 ISP NAS에서 공용 IP 주소를 받습니다. IPCP 협상 과정에서 기본 게이트웨이 주소가 할당되지 않습니다. 따라서 모든 인터넷 주소에 도달하기 위해 전화 접속 클라이언트가 ISP에 연결된 전화 접속 인터페이스를 사용하여 기본 경로를 라우팅 테이블에 추가합니다. 결과적으로 클라이언트가 IP 데이터그램을 인터넷 위치로 라우팅하는 ISP NAS로 전달할 수 있습니다. 다른 TCP/IP 인터페이스가 없는 전화 접속 클라이언트는 이 동작이 필요합니다. 그러나 이 동작은 이미 LAN을 기반으로 인트라넷에 연결한 전화 접속 클라이언트을 혼돈시킬 수 있습니다. 이 시나리오에는 로컬 인트라넷 라우터를 가리키는 기본 경로가 이미 존재합니다. 전화 접속 클라이언트가 ISP에서 연결을 만들 때 초기 기본 경로가 라우팅 테이블에 남아있지만 더 높은 메트릭을 갖도록 변경됩니다. 새 기본 경로는 ISP 연결을 사용하여 낮은 메트릭으로 추가됩니다. 결과적으로 전화 접속 클라이언트가 직접 연결된 네트워크에 없는 인트라넷 위치는 ISP에 연결되는 동안 도달할 수 없습니다. 새 기본 경로를 만들지 않으면 모든 인트라넷 위치에는 도달할 수 있지만 인터넷 위치는 도달할 수 없습니다. 기본적으로 Windows NT 4.0 기반 전화 접속 클라이언트가 기본 경로를 만듭니다. 기본 경로를 만들지 않도록 하려면 전화 접속 네트워킹 전화 번호부 항목의 [서버] 탭에서 [PPP TCP/IP 설정] 대화 상자의 [원격 네트워크에 기본 게이트웨이 사용] 확인란 선택을 취소하십시오. ISP 연결이 활성화될 때 인트라넷과 인터넷 위치의 연결성을 모두 유지하려면 [원격 네트워크에 기본 게이트웨이 사용] 옵션을 선택하고 인트라넷 경로를 전화 접속 클라이언트의 라우팅 테이블에 추가합니다. 인트라넷 경로는 고정 영구 경로를 통해 추가할 수 있습니다. ISP에 연결되면 인트라넷 경로를 사용하여 모든 인트라넷 위치에 도달할 수 있으며 기본 경로를 사용하여 모든 인터넷 위치에 도달할 수 있습니다. 인터넷에서 기본 경로 및 VPN 전화 접속 클라이언트가 ISP에 전화를 걸면 그림 11과 같이 ISP가 ISP 연결을 사용하여 기본 경로를 추가합니다. 이때 ISP NAS에서 라우터를 통해 모든 인터넷 주소를 연결할 수 있습니다.
그림 11 ISP에 전화를 걸 때 만들어지는 기본 경로 VPN 클라이언트가 VPN 연결을 만들면 그림 12와 같이 터널 서버의 IP 주소에 대한 다른 기본 경로와 호스트 경로가 추가됩니다. 이전의 기본 경로가 저장되지만 더 높은 메트릭을 갖게 됩니다. 새 기본 경로를 추가하면 VPN 연결 시 터널 서버의 IP 주소를 제외한 모든 인터넷 위치에 도달할 수 없습니다.
그림 12 VPN 초기화 시 만들어지는 기본 경로 전화 접속 클라이언트가 인터넷에 연결하는 경우처럼 전화 접속 VPN 클라이언트가 임의의 터널링을 사용하여 인터넷으로 개인 인트라넷의 VPN 연결을 만들면 다음 중 하나가 발생합니다.
인터넷에 연결된 VPN 클라이언트는 대부분 인트라넷이나 인터넷 통신 중 하나에만 사용되므로 문제가 발생하지 않습니다. VPN이 연결되었을 때 VPN 클라이언트가 인트라넷과 인터넷 리소스를 동시에 액세스하기 위한 솔루션은 인트라넷 IP 주소 지정 특성에 따라 다릅니다. 모든 경우에 VPN 연결 개체가 기본 게이트웨이를 추가하지 않도록 설정합니다. VPN 연결이 만들어지면 모든 인터넷 주소를 액세스할 수 있게 기본 경로가 지정된 ISP NAS를 가리킵니다. 사용하는 인트라넷 주소 지정 종류에 따라 다음과 같이 인트라넷과 인터넷 리소스를 동시에 액세스할 수 있습니다. 공용 주소 VPN 서버의 가상 인터페이스 IP 주소를 게이트웨이 IP 주소로 사용하여 고정 영구 경로를 인트라넷의 공용 네트워크 ID로 추가합니다. 개인 주소 VPN 서버의 가상 인터페이스 IP 주소를 게이트웨이 IP 주소로 사용하여 고정 영구 경로를 인트라넷의 사설 네트워크 ID로 추가합니다. 겹치거나 잘못된 주소 인트라넷에서 겹치거나 잘못된 주소(개인이 아닌 IP 네트워크 ID가 InterNIC에 등록되지 않거나 ISP에서 받지 않음)를 사용하면 이러한 IP 주소는 인터넷의 공용 주소와 중복될 수 있습니다. 인트라넷의 네트워크 ID가 겹치는 VPN 클라이언트에 고정 영구 경로를 추가하면 겹치는 주소의 인터넷 위치는 도달할 수 없습니다. 이러한 경우마다 인트라넷 네트워크 ID의 고정 영구 경로를 VPN 클라이언트에 추가해야 합니다. 영구 경로를 추가하면 레지스트리에 저장됩니다. Microsoft_ Windows NT_ 버전 4.0 서비스 팩 3 이상과 Windows NT 4.0에서는 게이트웨이의 IP 주소에 도달할 수 있을 때까지 영구 경로가 실제로 IP 라우팅 테이블에 추가되지 않습니다(또한 Windows NT 4.0 명령 프롬프트에서 route print 명령으로 볼 수 없습니다). VPN 연결이 만들어지면 게이트웨이의 IP 주소에 도달할 수 있습니다. 경로마다 Windows NT 4.0 명령 프롬프트에 다음과 같이 경로 유틸리티 구문을 입력합니다. ROUTE ADD <인트라넷 네트워크 >ID MASK <NetMask> <VPN 서버의 가상 인터페이스 IP 주소> 인트라넷 경로마다 route 명령의 게이트웨이 IP 주소는 VPN 서버의 인터넷 인터페이스 IP 주소가 아니라 VPN 서버의 가상 인터페이스에 지정된 IP 주소입니다. Windows NT 4.0 명령 프롬프트에서 실행되는 ipconfig 명령으로 VPN 서버의 가상 인터페이스 IP 주소를 결정할 수 있습니다. DHCP를 사용하여 전화 접속 네트워킹과 VPN 클라이언트의 IP 주소를 얻는 경우 DHCP 주소를 요청하여 얻는 첫째 IP 주소는 VPN 서버의 가상 인터페이스 IP 주소입니다. 고정 IP 주소 풀을 구성하면 VPN 서버의 가상 인터페이스 IP 주소가 고정 IP 주소 풀의 첫째 IP가 됩니다. VPN 클라이언트에서 활성 VPN 연결의 세부 정보를 조사하여 VPN 서버의 가상 인터페이스 IP 주소를 결정할 수도 있습니다. 주의 이러한 경우에는 모두 VPN 연결을 사용하여 개인 소통은 인트라넷으로 전달되고 PPP 연결은 ISP로 전달되지 않도록 주의하여 경로를 추가해야 합니다. 다른 경로를 추가하면 암호화된 형식으로 VPN을 통해 전달하려던 소통이 암호화되지 않고 인터넷을 통해 보내집니다. 예를 들어 인트라넷에서 공용 네트워크 ID 207.46.130.0/24(서브넷 마스크 255.255.255.0)를 사용할 때 실수로 영구 고정 경로에 207.46.131.0/24를 추가하면 인트라넷 네트워크 207.46.130.0/24의 모든 소통이 암호화되어 VPN 연결을 통해 전달되지 않고 인터넷을 통해 일반 텍스트로 전달됩니다. 라우터간 VPN 연결 라우팅 및 원격 액세스 서비스(RRAS)를 사용하는 라우터간 VPN에서 패킷을 전달하기 위해 사용되는 라우팅 인터페이스는 다음과 같이 설정한 요구 시 전화 접속 인터페이스입니다.
요구 시 전화 접속 인터페이스는 [필요 시 전화 접속 인터페이스] 마법사에서 자동으로 만들어집니다. 라우터간 VPN를 연결하려면 요구 시 전화 접속 인터페이스와 호출 라우터 자격 이름이 정확하게 일치해야 합니다. 임시 및 영구 라우터간 VPN 라우터간 VPN 연결은 임시이거나 영구적일 수 있습니다. 임시 라우터간 VPN 연결은 VPN 요구 시 전화 접속 인터페이스로 라우팅할 패킷이 있을 때 만들어지며 지정된 유휴 시간이 지나면 종료됩니다. VPN 클라이언트(호출 라우터)에 유휴 시간이 설정됩니다. VPN 클라이언트에서 요구 시 전화 접속 인터페이스의 기본 유휴 시간은 제한이 없습니다. 로컬 ISP로 전화 접속 연결을 사용하는 지사에는 임시 라우터간 VPN 연결을 사용합니다. 영구 라우터간 VPN 연결은 라우터가 시작하면 만들어지며 소통이 전달되는 것과 관계없이 연결된 상태로 있습니다. VPN 연결이 종료되면 자동으로 연결을 다시 시도합니다. 인터넷에 영구 연결된 사무실을 연결하려면 영구 라우터간 VPN 연결을 사용합니다. 연결이 끊어지는 유휴 시간은 [요구 시 전화 접속 연결] 속성의 [전화 걸기] 탭에 지정됩니다. 전화 접속 ISP 연결을 사용하는 VPN VPN 서버와 VPN 클라이언트가 모두 T1이나 프레임 릴레이와 같은 영구 WAN 링크를 사용하여 인터넷에 직접 연결될 때 VPN 연결은 영구가 될 수 있으며 하루 종일 사용할 수 있습니다. 그러나 영구 WAN 링크가 불가능하거나 실현하기 어려우면 전화 접속 ISP를 사용하여 필요시 라우터간 VPN 연결을 설정할 수 있습니다. 전화 접속 ISP 연결을 사용하는 필요시 라우터간 VPN 연결은 두 개의 요구 시 전화 접속 인터페이스로 구성됩니다.
필요시 라우터간 VPN 연결은 VPN 연결을 통해 전달되는 소통을 지사 라우터에서 받을 때 자동으로 만들어집니다. 예를 들어 회사 사무실로 라우팅되는 패킷을 받을 때 지사 라우터가 먼저 전화 접속 링크를 사용해 로컬 ISP에 연결합니다. 인터넷 연결이 만들어지면 지사 라우터인 VPN 클라이언트가 회사 사무실 라우터인 VPN 서버에서 라우터간 VPN 연결을 만듭니다. 지사 라우터에서 필요시 VPN 연결을 구성하는 방법
회사 사무실 라우터를 구성하는 방법
라우터간 VPN 연결은 다음과 같이 지사 라우터에서 자동으로 초기화됩니다.
고정 및 동적 라우팅 요구 시 전화 접속 인터페이스를 만들고 임시 연결이나 영구 연결을 선택하면 다음과 같이 라우팅 테이블에 라우팅 정보를 추가할 수 있는 방법 중 하나를 선택해야 합니다.
참고 직접 물리적 연결을 사용하는 요구 시 전화 접속 라우팅과는 달리 VPN에서 사용할 수 있는 모든 인트라넷 경로를 요약할 수 있게 VPN 요구 시 전화 접속 인터페이스에 지정된 기본 IP 경로를 사용할 수 없습니다. 라우터가 인터넷에 연결되므로 모든 인터넷 경로를 요약하여 인터넷 인터페이스를 사용하도록 구성하려면 기본 경로를 사용해야 합니다.
최종 수정일 : 2000.4.15 | |
