SD-WAN은 기업에게, 특히 대기업에게 수많은 혜택을 제시한다. 비용 절감은 물론 생산성 및 보안성 향상, 사용자 경험 증대에 이르는 것들이다. 오늘날 이미 수많은 벤더들이 다수의 솔루션을 제시하고 있으며 이를 검토하는 기업은 올해 더욱 늘어날 전망이다. SD-WAN의 주요 혜택과 업계 상황을 진단한다.
엔터프라이즈 WAN은 전용 TDM 서킷과 프레임 릴레이(Frame Relay), ATM에서 PoS(Packet-over-SONET) 및 MPLS로 변화했으며, 이제 이더넷(Ethernet) 액세스 서비스로 이동하고 있다. 그러나 두 가지는 변하지 않았다. WAN 대역폭이 여전히 비싸고, WAN 서비스 프로비저닝에는 오랜 시간이 걸리기 십상이라는 점이다.
이뿐만이 아니다. 백업 링크 활용, 원격 사이트 보안, 트래픽 엔지니어링, QoS(Quality of Service), 무접촉 프로비저닝, 트래픽 가시성 측면에서 해결해야 할 과제들이 산재해 있다. 오늘날 기업들이 WAN 디자인(설계) 및 배포를 재평가, 개선 기회를 찾아 나서고 있는 이유인 동시에 소프트웨어 정의 WAN(SD-WAN)이 부상하고 있는 이유다.
SD-WAN은 뭘까?
많은 이들은 SD-WAN이란 단어에 접할 때 데이터센터 패브릭 구축과 마이크로 세그멘테이션(Micro-segmentation)에 초점이 맞춰진 소프트웨어 정의 네트워킹(SDN)을 떠올린다. 완전히는 아닐지라도 유사한 개념이 많다.
실제로 총체적 네트워크 가시성을 갖춘 중앙화된 컨트롤러라는 SDN의 개념을 SD-WAN에도 적용할 수 있다. 네트워크 관리자는 컨트롤러 아키텍처를 이용해 정책을 만들고, 시스템이 수동 변경 관리 없이 작업을 하도록 할 수 있다. 컨트롤러 플랫폼은 현재 WAN의 상태와 기업 애플리케이션의 우선순위를 바탕으로 정책에 기반해 포워딩 처리한다. 각 라우터에 수동 로그인을 하지 않아도 즉시, 그리고 동시에 변경을 할 수 있다. SD-WAN이 기업 환경에 가져다줄 수 있는 5가지 장점과 시장 상황을 좀더 자세히 정리하면 다음과 같다.
1. 독립적 네트워크 구성 (Transport independence)
휘발유, 디젤유, 전기, CNG, 수소 등을 모두 연료로 사용하는 하이브리드 자동차를 상상해보라. SD-WAN은 이런 특징을 갖고 있다. 즉 여러 독립적인 ‘교통(전송)’망을 구현한다. 3G/4G, LET, MPLS, 인터넷, 이더넷, 시리얼, 와이파이(WiFi) 서비스를 결합해 WAN을 구성할 수 있다는 의미다. WAN이 이렇게 모든 서비스를 사용하면, 설치가 빨라지고, 대역폭의 선택지가 넓어진다.
지난 10년 동안 비즈니스 등급(기업에서 사용할 수 있는) 인터넷 서비스의 신뢰도와 성능이 크게 높아졌다. 또 인터넷 대역폭의 가격이 거리에 따라 가격이 책정되는 장거리 전용 사설 WAN 링크보다 저렴한 상황이다. SD-WAN을 이용함으로써 MPLS 서킷에 몇 주가 아닌 며칠 만에 고대역 폭의 인터넷 서버를 설치할 수 있다.
2. 보안
과거 기업들은 사용하고 있는 WAN이 안전하다고 가정해야 했다. 외부 통신 사업자의 링크에 자사의 정책을 적용할 방법이 없었기 때문이다. 또 통신 사업자가 고객의 트래픽을 조사하지 않고, 우체국처럼 정직하게 행동할 것이라고 가정해야 했다. 그리고 사용하고 있는 WAN을 신뢰해야 했다. 이를 직접 안전하게 만들 방법이 없었기 때문이다.
또 각 지점(Branch office)마다 여러 보안 어플라이언스를 구입해야 했다. 문제는 구형 라우터들의 경우 방화벽, IPS, 맬웨어 방어를 처리할 CPU 성능이 부족했다는 점이다. 이에 지점의 트래픽이 1차 데이터 센터를 통과하도록 강제하곤 했다다. 애플리케이션을 보안 처리할 수 있는 장소이기 때문이었다.
그러나 SD-WAN 솔루션에는 이런 보안 기능 가운데 상당수가 탑재돼 있으며, 이로 인해 WAN에 필요한 비용을 낮출 수 있다. 이를테면 SD-WAN 시스템과 클라우드 웹 콘텐츠 필터링 서비스를 통합, 각 지점의 라우터가 웹 프록시 서버처럼 기능하도록 만들 수 있다. 또 SD-WAN 시스템은 모든 지점 및 원격 장치에 맬웨어 방어, 봇넷 C&C(Command and Control) 기능을 수행할 수 있다.
이 밖에 SD-WAN 시스템은 IPsec 또는 TLS/DTLS를 이용한 암호화로 이동 중인 데이터를 암호화하면서 기밀성을 유지할 수 있으며, SD-WAN 장치에는 고속 암호화를 처리할 수 있는 충분한 컴퓨팅 리소스가 내장돼 있다. 손쉽게 풀-메시 연결성을 구현할 수 있는 멀티포인트 GRE(MGRE) 및 NHRP(Next-Hop Resolution Protocol)를 통해서다.
보안은 가용성을 의미하기도 한다. 이와 관련해 SD-WAN 시스템은 WAN 서비스와는 별개로 가변적인 장애조치 작업을 처리할 수 있는 역량을 갖췄다. 보안은 이와 동시에 무결성(integrity)을 의미하는데, 각 지점의 장치를 수동으로 구성할 경우, 구성이 일치하지 않는 문제가 발생할 수 있다. 반면 SD-WAN은 각 지점에 동일한 보안 정책과 구성을 적용할 수 있다. 구성이 잘못되었을 경우, 이를 쉽게 시정할 수 있다. 즉 SD-WAN 시스템은 구성, 완전한 구성 관리, 자동 변경 롤백을 지원하면서 모든 원격 장소의 구성을 무결하게 유지할 수 있도록 지원한다.
3. 지능적 경로 관리
네트워크와 네트워크 가용성은 기업에게 아주 중요하다. 네트워크가 끊기면, 직원들은 업무를 중단하고 퇴근을 해야 한다. 한편으로는 대부분의 시간 동안 사용하지 않는 네트워크를 낭비를 무릅쓰고 유지해야 할 경우가 있다.
이 측면에서 SD-WAN의 또다른 강점이 있다. SD-WAN의 중요한 특징 중 하나는 경로를 지능적으로 관리하는 것이다. SD-WAN 시스템은 애플리케이션 기반의 트래픽 조정 기능을 이용함으로써 전송 옵션 중 어느 하나에 직접 연결을 구축할 수 있게 한다.
중앙화된 컨트롤러 시스템에서 이런 트래픽 포워딩 정책을 수립해 모든 SD-WAN 정치에 적용할 수 있다. IP 주소, 애플리케이션 프로필이나 포트 번호, 시간, QoS 마킹, IP SLA 측정치 근실시간 링크 사용량, 지연, 패킷 손실량, 성능 등을 기준으로 정책을 수립할 수 있다.
이를 통해 WAN 서비스의 종류와 특징을 평가, 트래픽 포워딩을 조정할 수 있다. SD-WAN 솔루션은 또 PfRv3(Performance Routing)이나 독자 개발한 알고리즘을 이용해 본사, 다른 데이터 센터, 클라우드 서비스 공급업체 등으로 트래픽을 조정하는 포워딩 우선순위를 적용할 수 있도록 해준다.
4. 최종 사용자의 경험 증대
지점/원격 사무소의 직원들에게 빠른 연결성을 제공해 생산성을 유지할 수 있도록 만드는 것은 아주 중요하다. 이와 관련해 SD-WAN의 독립적인 전송과 지능적인 경로 관리는 부수적인 이점 하나를 전달한다. 지점 직원들이 생산성을 유지하고, 최고의 애플리케이션 성능을 경험할 수 있다는 것이다.
SD-WAN은 메시 토폴로지를 전체 또는 부분적으로 자동 생성, 지연이 미치는 영향을 경감하고, 애플리케이션 응답 시간을 높여줄 수 있다. 가령 최종 사용자가 퍼블릭 클라우드 애플리케이션을 이용한다고 가정하자. 이때 인터넷 링크와 보안 터널을 이용, 기업 WAN으로 본사 허브를 거치지 않고 직접 액세스하도록 설정할 수 있다.
수 많은 지점의 QoS 설정을 수동으로 유지관리하기가 쉽지 않으며 이로 인해 많은 기업들이 QoS를 제대로 도입해 활용하고 있지 않다. WAN 서비스 공급자는 자신의 네트워크를 통과하는 고객 애플리케이션의 트래픽에 대한 정보가 없다. 이들은 (DSCP 등)패킷 QoS 마킹을 통해 이를 파악할 수 있을 뿐이다.
반면 SD-WAN 솔루션은 NBAR(Network Based Application Recognition)과 애플리케이션 지문채취(fingerprinting) 등의 기법으로 네트워크를 경유하는 애플리케이션을 인식할 수 있다. 예를 들어, SD-WAN 환경에서은 사용된 비디오 코덱의 종류를 판단, 이 애플리케이션에 가장 좋은 트래픽 경로를 선택하도록 할 수 있다.
또 SD-WAN 시스템에서는 중앙에서 정밀하게 QoS 정책을 수립, 이를 곳곳에 배포할 수 있다. 수동으로 구성하는 기존의 라우터 기반 QoS 정책과 달리 SD-WAN QoS 정책은 쉽게 역동적으로 변경할 수 있다. 또 SD-WAN 시스템에 로컬 캐싱, 스토리지 복제, WAN 최적화 및 가속화, 압축, 트래픽 성형(shaping)을 통합시킬 수 있다. 트래픽 차단 기법으로 원하지 않는 애플리케이션을 차단하고, 종류 별로 애플리케이션을 제한하는 것도 가능하다.
5. 자동 프로비저닝 및 관리
원격으로 WAN을 유지관리 할 수 있는 것도 장점이다. 새 지점을 설치할 때를 제외하고, IT 직원들의 방문을 최소화 할 수 있는 것이다. 이는 관리 부담과 비용을 줄이는 결과로 이어진다. 또 WAN 트래픽 패턴에 대한 가시성을 높일 수 있다.
아울러 SD-WAN 솔루션은 무접촉 자동 프로비저닝을 지원하기 때문에 출장 없이도 손쉽게 장치만 보내 운영할 수 있다. 구성이 끝나지 않은 장소에 SD-WAN 장치를 보낸다. 장치를 연결하고, DHCP, PXE, 또는 ONIE 가운데 하나를 이용해 부팅을 한다. 그러면 IP 주소를 획득하고, DNS 쿼리를 수행하고, 중앙화된 컨트롤러 또는 가상 컨트롤러에 액세스를 한다. 이후 정책을 다운로드 받고, 인증서와 키를 암호화하고, 인접 프로그램을 구현하고, 트래픽 패턴을 학습하기 시작한다.
SD-WAN 솔루션에 인터넷의 프로비저닝을 촉진하는 클라우드 기반 컨트롤러 시스템을 활용할 수도 있다. 장애 문제에 큰 개선을 가져올 수 있는 방법이다. 이느ㄴ 하드웨어 구성을 분리, 장치를 손쉽게 교체할 수 있도록 만든다.
오늘날 기업 환경에서는 WAN 애플리케이션 트래픽에 대한 가시성이 부족한 때가 많다. SLA와 좋은 서비스를 제공하는 WAN 사업자조차 서비스에 대해 충분한 통계를 제공하지 않는다. 그러나 기업 입장에서는 가동/중단, 타임 스탬프가 있는 중앙화된 로깅, 용량 계획에 대한 통계, 애플리케이션 성능 매트릭스를 효과적으로 모니터링 할 필요가 있다.
SD-WAN에서는 이런 데이터를 NetFlow/IPFIX/sFlow 또는 SNMP로 수집할 수 있다. SD-WAN 시스템은 상세한 애플리케이션 통계를 제공하고, 종합적인 테스트 트래픽 측정치를 제시한다. 일부 SD-WAN 시스템에는 APM(Application Performance Management) 기능이 탑재돼 있기도 하다.
주요 벤더 및 시장 상황
기존의 라우터는 전용 CPU와 운영 체제로 구성된 전용 컴퓨터 장치다. 그러나 SD-WAN은 전용 장치가 아닐 수도 있다. 정책 적용을 위한 컴퓨터 리소스와 소수 1GE NIC, x86 서버로 구성할 수 있다.
단 x86 하드웨어와 일반 운영 체제로는 실시간 OS가 필요한 TDM-기반의 동기화 인터페이스를 연결하지 못할 수도 있다. 예를 들어, 클라우드제닉스(CloudGenix)의 SD-WAN 장치는 이더넷 인터페이스만 지원한다. 가장 많이 쓰이는 WAN 인터페이스가 이더넷이기 때문이다.
기존의 라우터 기반 솔루션이 발전하면서, SD-WAN 기능이 더 많이 추가되고 있다. 가장 주목할만한 시스코의 인텔리전트 웬(Intelligent WAN ; IWAN) 라우터에는 필수 SD-WAN기능이 모두 내장되어 있다. 그러나 더 많이 필요한 작업을 처리하기 위해서는 ISR G2 2900/3900, ISR 4000, ASR1000 등 CPU 성능이 더 빠른 라우터가 필요하다.
일부 SD-WAN 솔루션은 범용 서버를 이용해 기존 라우터를 대체하거나, 함께 사용할 수 있게 한다. 풀리버스(Pluribus Networks)와 탈라리(Talari) 등의 회사는 수퍼 마이크로(Super Micro)의 x86 하드웨어를 사용한다. 또 VIPtela, 클라우드제닉스, 소너스 네트웍스(Sonus Networks)는 독자 개발한 하드웨어를 사용한다.
벨로클라우드(VeloCloud) 등의 벤더는 클라우드 트래픽을 특정 클라우드 서비스 공급자에게 직접 전송, 퍼블릭 클라우드 애플리케이션을 사용하는 최종 사용자의 경험을 증대시키도록 하고 있다. 팻파이프(FatPipe)와 같이 기존에 WAN 본딩 및 WAN 링크 통합 솔루션을 제공했던 회사에서 비롯된 SD-WAN 벤더도 있다.
기존 WAN 최적화 벤더 가운데 일부는 기존 제품을 SD-WAN 제품으로 판매하고 있다. 리버베드(RIverbed), 시트릭스 클라우드브릿지(Citrix CloudBridge), 실버피크(SilverPeak) 등이 SD-WAN 기능을 구현한 WAN 최적화 회사들이다.
SD-WAN 벤더들의 라이선싱 모델도 다양하다. 시스코는 IWAN 라우터에 시스코 원(Cisco One) 라이선싱 옵션을 채택하고 있다. 기타 SD-WAN 벤더는 연간, 장소의 수, 인터페이스 대역폭의 양을 기준으로 라이선스한다. 또 리스 서비스를 제공하는 벤더도 있다.
중앙 컨트롤러 및 정책 저장소로 기능을 하면서, 기존 NMS의 기능 다수를 지원하는 SD-WAN 관리 시스템들도 있다. 시스코 IWAN 솔루션에는 CPI(Cisco Prime Infrastructure) 버전 3.0이나 APIC-EM(Application Policy Infrastructure Controller-Enterprise Module)을 이용할 수 있다. 기타 라이브액션(LiveAction)과 글루 네트웍스(Glue Networks)가 인기 있는 SD-WAN 관리 플랫폼이다.
SD-WAN으로의 이전을 추진하는 방법은 다양할 수 있다. ‘점진적으로’, 또는 ‘꾸준히’, ‘빠르게’, ‘공격적’으로 등 다양한 방법이 가능하다. 자본력이 풍부한 회사라도 한 번에 모든 WAN 하드웨어를 즉시 교체할 가능성은 아주 낮다. 구형 하드웨어를 퇴역시키면서, 한 번에 몇 장소에서 업그레이드를 할 가능성이 높다. 기존 라우터와 함께 이용할 수 있는 SD-WAN 솔루션들도 있으니 검토할 만하다.
일부 SD-WAN 벤더는 기존 IP 네트워크를 기반 네트워크로 처리하면서, 하이브리드 배포 방식을 구현할 수 있다. 또 (IDS처럼)모니터 전용 모드로 배포할 수 있는 SD-WAN 솔루션도 있다. 이 솔루션에 적응을 한 후 (IPS처럼)활용을 하는 방식이다.
간단 정리
비용 절감에 대한 압력이 거세지면서 WAN 비용을 줄이려는 노력 또한 강화될 전망이다. 오늘날 SD-WAN 분야는 이미 다수의 벤더들이 공격적으로 눈독들이고 있는 시장이다. 2016년은 SD-WAN에 주목하고 도입하는 대기업이 크게 늘어나는 해로 기록될 가능성이 크다. 비용절감 및 생산성 증대, 업무 효율성 향상, 보안성 증대 등 수많은 혜택을 제시하고 있기 때문이다. 복잡다단한 SD-WAN 솔루션을 검토하고 기업별 제품별 장단점을 미리 확인해둘 필요가 있다.
*스콧 호그는 글로벌 테크놀로지 리소스(GTRI)의 CTO다. 그는 코어 네트워킹 앤 시큐리티 블로그를 운영하고 있다. dl-ciokorea@foundryco.com
