Arista UCN Design Guide (5) - Segmenting and Securing the UCN-C

Network Based Overlay in the Campus
네트워크 기반 Overlay는 VXLAN과 같은 Overlay 프로토콜을 사용하여 네트워크의 두 끝점 간에 가상 터널을 만드는 방법입니다. VTEP(Virtual Tunnel EndPoint)는 물리적 스위치에 상주하는 것이 일반적입니다.
표준 기반 VXLAN과 BGP EVPN을 활용하여 캠퍼스 내에서 안전한 Segment를 제공합니다. 다음 그림에서는 Overlay를 위해 VXLAN 및 EVPN과 결합했을 때 3계층에 연결된 캠퍼스 스플라인의 구성을 보여 줍니다.

데이터 센터와 마찬가지로 Underlay에서 라우팅 프로토콜을 선택하데도 많은 고려 사항이 있습니다. 해당 가이드에서는 Overlay 및 EVPN 주소 패밀리에서 BGP를 활용하는데 초점을 맞춥니다.

BGP EVPN

EVPN은 MAC, IP 바인딩 및 IP 접두사를 알리는 표준 기반 BGP 제어부입니다. 이 표준은 MPLS 데이터 평면에 대한 RFC 7432에서 처음 정의되었습니다. 이후 해당 작업은 BESS(BGP Enabled ServiceS) 작업 그룹에서 확장되었습니다.

결과적으로 RFC 8365(Ethernet VPN을 사용하는 네트워크 가상화 Overlay 솔루션)가 생성됩니다.

EVPN에서 원격 VTEP를 검색하고 VXLAN Overlay에 MAC 주소와 MAC/IP 바인딩을 알리는 데 표준 기반 제어 Plane으로 MP-BGP(Multi-Protocol BGP)가 사용됩니다. 표준 기반 접근 방식으로, EVPN 서비스 모델의 발견 및 광고는 여러 공급업체 간에 상호 작용할 수 있습니다.

Terminology

EVPN은 Underlay에 사용되는 터널 캡슐화 메커니즘과 독립되도록 설계되었습니다. 예를 들어 EVPN은 터널 캡슐화 메커니즘으로 VXLAN 및 MPLS를 모두 지원합니다. EVPN 표준은 EVPN 도메인의 구성 요소를 설명하는 몇 가지 새로운 용어를 정의합니다. 아래 목록에 구성 요소를 설명하는 데 사용되는 용어를 요약합니다.

* Virtual Network Identifier (VNI) – 숫자로 식별
* Network Virtualization Overlay (NVO) - Overlay 도메인, 하나 이상의 VNI 도 가능
* Network Virtualization End-Point (NVE) - EVPN 지원 네트워크 장치입니다. VTEP(Virtual Tunnel Endpoint)을 의미
* EVPN Instance (EVI) - NVE/VTEP의 EVPN 인스턴스를 나타내는 논리적 컨테이너
* Tenant - 테넌트라는 용어는 non-vxlan을 의미합니다. 인터페이스, VLAN 또는 VLAN 집합과 같은 EVPN 도메인의 LAN 측입니다.  EVPN 도메인 전체에 걸쳐 확장됩니다.

EVPN Implementations
L2 Virtual Private Network (VXLAN Bridging)
L3 네트워크를 통해 L2 도메인을 확장하는 것을 VXLAN 브리징이라고 합니다. VXLAN 브리징에서 NVE/VTEP은 표준 소스 MAC 학습을 사용하여 로컬 테넌트 인터페이스에서 MAC 주소를 학습합니다. NVE가 테넌트 네트워크에서 MAC 주소를 인식하면 다음과 같이 됩니다.
NVE는 MP-BGP를 통해 EVPN Type 2 Route 업데이트 메시지를 사용하여 원격 NVE에 MAC 주소를 알립니다. NVE가 원격 VTEP의 대상이 있는 프레임을 수신하면 NVE는 필요한 VXLAN 헤더를 추가하고 패킷을 해당 VTEP로 라우팅합니다.
NVE에서 VXLAN 프레임을 수신하면 NVE는 VXLAN 패킷을 잘라내고 프레임을 필요한 VLAN에 브리지합니다.

아래 그림과 같이 VXLAN을 사용하면 Campus를 통해 연결된 Campus POD에서 계층 2 세그먼트를 확장할 수 있습니다.
따라서 계층 2 장애 도메인을 확장하지 않고도 캠퍼스 전체에서 공통 엔드 호스트 서브넷을 사용할 수 있습니다. 이 접근 방식은 엔드 호스트에 대해 공통 VLAN이 정의될 수 있는 운영 복잡성을 줄이는 데도 도움이 됩니다. 

Integrated Routing and Bridging (IRB)
라우팅 계층을 EVPN 도메인에 추가하는 방법에는 여러 가지가 있습니다. 가장 확장성이 뛰어난 솔루션은 Campus POD MLAG 쌍에서 각 NVE/VTEP에 L3 라우팅을 구현하는 것입니다.
액세스 계층에서 EVPN 트래픽을 라우팅하는 것을 통합 라우팅 및 브리징이라고 합니다. IRB는 VNI에 참여하는 모든 NVE의 각 VLAN에 IP anycast 주소를 할당하는 방식으로 작동합니다. Anycast IP 주소는 L2 세그먼트의 호스트에 대한 기본 게이트웨이로 사용됩니다.
Anycast 주소를 정의하면 도메인의 모든 NVE에서 동일한 IP 주소를 정의할 수 있습니다. 즉, EVPN 도메인의 모든 호스트가 EVPN 도메인의 위치에 관계없이 동일한 기본 게이트웨이를 사용할 수 있습니다.
Anycase 주소를 사용하면 첫 번째 홉 중복 프로토콜을 실행할 필요가 없습니다. 
Asymmetric IRB
비대칭 IRB는 EVPN의 기본 IRB 모드입니다. 서브넷 간 라우팅 기능은 수신 VTEP에 의해 수행된 후 패킷이 대상 VLAN(VNI)에서 대상 VTEP로 브리지됩니다. 그런 다음 송신 VTEP에서 VXLAN 헤더를 제거해야 합니다.
VLAN에 대한 VNI 매핑을 기반으로 패킷을 로컬 계층 2 도메인으로 전달합니다. 반환 경로에서 라우팅 기능이 대상 VTEP에서 수신 라우팅 및 VXLAN 브리징 작업을 수행할 때 반대로 적용되므로 Asymmetric IRB라는 용어가 사용됩니다.

Symmetric IRB
Symmetric IRB는 직접 연결된 네트워크를 구성하여 Asymmetric IRB와 관련된 스케일 문제를 해결합니다.
원격 VTEP의 로컬이 아닌 서브넷에 대한 연결은 중간 IP-VRF를 통해 이루어집니다. 이 모델에서, 수신 VTEP는 로컬 서브넷과 IP-VRF 사이의 트래픽을 라우팅하며, 두 VTEP가 모두 멤버입니다. 그런 다음 송신 VTEP가 프레임을 라우팅합니다.
IP-VRF에서 대상 서브넷으로 이동합니다. 전달 모델은 두 VTEP 모두 라우팅 함수를 수행하게 되므로 대칭 IRB라는 용어를 사용합니다.

L3 EVPN
L2 EVPN을 사용하면 정의된 브리징 및 라우팅 계층이 있습니다. 테넌트 인터페이스는 MAC-VRF에 연결됩니다. 그런 다음 MAC-VRF는 IRB 인터페이스를 통해 IP-VRF에 연결됩니다. 이렇게 하면 테넌트 네트워크의 호스트에서 EVPN 브리지를 사용하여 원격에 연결할 수 있습니다. 동일한 VLAN의 호스트 또는 IRB를 사용하여 패킷을 다른 VLAN의 호스트로 라우팅합니다. L3 VPN은 MAC-VRF를 제거하고 테넌트 인터페이스를 IP-VRF에 직접 연결합니다. 이렇게 하면 EVPN 브리징은 지원되지 않지만 IP-VRF는 테넌트 네트워크에 대한 L3 연결을 설정할 수 있습니다. 캠퍼스에서 이 메커니즘은 캠퍼스 POD에서 사내 DC 또는 퍼블릭 클라우드 환경으로 시큐어 멀티 테넌시(Multi-tenancy)를 제공합니다.
L3 EVPN은 IP-VRF와 테넌트 네트워크에서 실행 중인 라우터 간의 동적 라우팅 프로토콜을 지원합니다. 이를 통해 테넌트 라우터는 EVPN 도메인에 경로를 보급하고 EVPN 도메인은 테넌트 라우터에 경로를 보급할 수 있습니다. 
IP-VRF는 EVPN 도메인 전체에 걸쳐 확장되어야 합니다. IP-VRF를 늘린다는 것은 단순히 EVPN Type 5 경로 업데이트가 테넌트 라우터에서 학습한 L3 서브넷을 원격 NVE/VTEP에 알리는 데 사용된다는 의미입니다.

캠퍼스 네트워크를 설계하고 VXLAN 및 EVPN을 활용하는 방법은 여러가지가 있지만, 이 가이드에서는 다음 사항에 초점을 맞춥니다.
 
* VXLAN Between Campus PODs * VXLAN From Campus POD to DC or Public Cloud
  
VXLAN Between Campus PODs
이전 Campus POD 설계 섹션에서 설명한 것처럼 VLAN은 클라이언트 서브넷 기본 게이트웨이가 종료되는 Campus POD MLAG 쌍 계층까지 확장됩니다. 일부 시나리오에서는 L2 VLAN을 다른 Campus POD로 확장해야 합니다.
서비스 확장 또는 레거시 계층 2 애플리케이션용입니다. VXLAN은 이 L2 확장 기능을 계층 3 경계에서 사용하도록 설정하는 메커니즘을 제공합니다. Campus POD MLAG 쌍 스위치는 VTEP 역할을 하며 로컬 VLAN과 VXLAN, VNI맵핑을 수행합니다.  L2 프레임을 L3 패킷으로 캡슐화하고 패킷을 대상 VTEP로 라우팅합니다.
Arista 스위치는 하드웨어에서 VXLAN 캡슐화를 지원하며 계층 2 LAN 네트워크를 에뮬레이트할 수 있습니다. 즉, 지점간 및 지점간 논리적 계층 2 토폴로지는 브로드캐스트, 알 수 없는 유니캐스트 및 멀티캐스트(BUM) 트래픽의 전달을 완벽하게 지원합니다. 각 VTEP는 스패닝 트리 프로토콜 BPDU를 필터링하여 각 액세스 스위치 또는 MLAG 쌍이 독립적인 스패닝 트리 도메인임을 보장하므로 잠재적인 장애를 격리하고 계층 2 장애 도메인을 제한할 수 있습니다.

위의 그림에서 Blue 서브넷 내의 엔드 호스트인 VLAN 100은 캠퍼스 POD 내에 있거나 여러 POD에 걸쳐 있을 수 있습니다.
이로 인해 호스트는 계층 2 인접 네트워크에서 동일한 브로드캐스트 도메인에 속하지만 계층 3에서 POD 간에 분리됩니다. 이 설계의 이점은 VLAN 100을 Blue 서브넷이 필요한 Campus POD로만 확장하면 된다는 것입니다.
계층 2 도메인은 세그먼트가 필요한 Campus POD에만 포함됩니다. 기존 캠퍼스 설계에서 이 서브넷은 캠퍼스 내의 배포 계층으로 다시 확장되어야 하므로 호스트가 잘못 동작하여 광범위한 영향을 미칠 수 있는 큰 계층 2 장애 도메인이 됩니다.
VXLAN From Campus POD to DC or Public Cloud
멀티 테넌시(Multi-tenancy)를 제공하기 위한 수단으로 EVPN VXLAN을 활용하여 테넌트 네트워크를 Campus POD에서 데이터 센터 내 TOP OF Rack으로 확장할 수도 있습니다. 또한 이를 활용하여 테넌트를 퍼블릭 클라우드 환경으로 확장할 수도 있습니다. 요구 사항이 있는 경우 Layer 2를 캠퍼스에서 데이터 센터로 확장하는 데에도 EVPN VXLAN을 사용할 수 있지만, 사용 사례는 제한적입니다.

아래 그림에서는 VXLAN을 사용하여 VRF로 표시되는 테넌트를 여러 환경으로 확장하는 기능을 보여 줍니다. 이러한 모든 물리적 및 가상 환경에서 공통 EOS 운영 체제를 사용하는 경우 일관된 운영 관행 및 인증을 제공하는 단일 바이너리 이미지를 활용할 수 있습니다. 이는 중앙 집중식 프로비저닝, 업그레이드 및 네트워크 원격 측정 기능을 관리하기 위한 CloudVision으로도 확장됩니다. 

Securing the Campus UCN
802.1X – Port Security
What is 802.1X?
802.1X 프로토콜은 개별 스위치 포트 또는 무선 액세스 지점에서 트래픽을 송수신할 수 있는 엔드포인트를 제어하기 위해 개발된 표준입니다. 캠퍼스 LAN 환경에 배포할 경우 각 엔드포인트가 성공적으로 인증되어야 합니다.
네트워크 액세스 권한이 부여됩니다.

목적은 승인되지 않은 엔드포인트가 네트워크에 액세스하지 못하도록 하는 것입니다. 권한 부여는 Radius 서버에 대한 인증 시도를 통해 이루어집니다.

Why use in Campus LAN?
802.1X는 오늘날의 Campus LAN 환경에서 중요한 보안 제어입니다. 모든 설계의 일부로 포함시켜야 하는 여러 가지 이유가 있지만 아래에 두 가지 사용 사례가 나와 있습니다.
Use Case #1: Wired LAN
캠퍼스 LAN은 데이터 센터와 달리 일반적으로 제어되지 않는 위치에 있는 네트워크에 물리적으로 액세스할 수 있습니다. 예를 들어,
물리적 액세스 포트는 사무실 내의 각 워크스테이션에서 액세스할 수 있습니다. 많은 환경에서 물리적 액세스 포트는 방문자가 도착 시 또는 비상 시 사용할 수 있도록 VoIP 핸드셋을 연결하기 위해 사무실 로비처럼 공개적으로 액세스할 수 있는 영역에 있을 수 있습니다.
보안되지 않은 네트워크에서 사용자는 간단히 핸드셋이나 단말기의 플러그를 뽑고 네트워크에 액세스하기 위해 자신의 개인 악성 단말기를 연결할 수 있습니다.

아래에는 유선 게스트 액세스에 대한 엔드 투 엔드 트래픽 경로의 특정 예가 나와 있습니다. 로컬 인터넷 액세스가 있는 경우 캠퍼스 내에서 터널이 종료되거나 DC로 터널링되어 DMZ 서브넷에 착륙할 수 있습니다.

Use Case #2: Wireless LAN
또 다른 예는 게스트를 위해 제공되는 무선 액세스입니다. 많은 조직에서 게스트가 WiFi 네트워크를 통해 인터넷에 액세스할 수 있도록 제공하려고 합니다. 전용 인프라가 필요하지 않도록 회사 액세스와 동일한 WiFi 액세스 지점에 게스트 액세스를 제공하는 것이 가장 좋습니다. 이를 허용하려면 회사 정책을 충족하는 장치만 회사 네트워크에 액세스할 수 있도록 하는 동시에 게스트의 인터넷 액세스를 허용하는 방법이 필요합니다. 그렇지 않으면 악의적인 엔드포인트를 사용하여 회사 리소스에 연결할 수 있습니다.

802.1X 표준은 액세스를 허용하기 전에 모든 엔드포인트가 네트워크에 대해 자신을 인증하도록 강제하여 이러한 위협으로부터 보호하기 위해 작성되었습니다. 그런 다음 허가되지 않은 디바이스는 네트워크에 아예 액세스하지 못하도록 차단되거나 게스트 액세스의 경우 인터넷 액세스만 허용됩니다.

무선 게스트 액세스를 위한 엔드 투 엔드 트래픽 경로의 예가 아래에 나와 있습니다. 유선 예와 마찬가지로 로컬 인터넷 액세스가 있는 경우 Campus 내에서 터널이 종료되거나 DC로 터널링되어 DMZ 서브넷에 착륙할 수 있습니다.