VXLAN 게이트웨이에 대해 논의하려면 먼저 VXLAN 자체에 대해 살펴봐야 합니다. 기존 VLAN(가상 근거리 통신망)은 12비트 VLAN ID를 사용하여 네트워크를 분할하고 최대 4096개의 논리적 네트워크를 지원합니다. 이러한 방식은 소규모 네트워크에서는 효과적이지만, 수천 개의 가상 머신, 컨테이너, 멀티테넌트 환경으로 구성된 최신 데이터 센터에서는 VLAN만으로는 부족합니다. VXLAN은 IETF(Internet Engineering Task Force)가 RFC 7348에 정의한 표준으로 탄생했습니다. VXLAN의 목적은 UDP 터널을 사용하여 2계층(이더넷) 브로드캐스트 도메인을 3계층(IP) 네트워크로 확장하는 것입니다.
간단히 말해, VXLAN은 UDP 패킷 내에 이더넷 프레임을 캡슐화하고 24비트 VXLAN 네트워크 식별자(VNI)를 추가하여 이론적으로 1,600만 개의 가상 네트워크를 지원합니다. 이는 각 가상 네트워크에 "신분증"을 부여하는 것과 같아, 서로 간섭하지 않고 물리적 네트워크에서 자유롭게 이동할 수 있도록 합니다. VXLAN의 핵심 구성 요소는 패킷 캡슐화 및 캡슐 해제를 담당하는 VXLAN 터널 엔드포인트(VTEP)입니다. VTEP는 소프트웨어(예: Open vSwitch) 또는 하드웨어(예: 스위치의 ASIC 칩)로 구성될 수 있습니다.
VXLAN이 왜 그렇게 인기가 있을까요? 클라우드 컴퓨팅과 SDN(소프트웨어 정의 네트워킹)의 요구 사항에 완벽하게 부합하기 때문입니다. AWS나 Azure와 같은 퍼블릭 클라우드에서 VXLAN은 테넌트의 가상 네트워크를 원활하게 확장할 수 있도록 지원합니다. 프라이빗 데이터 센터에서는 VMware NSX나 Cisco ACI와 같은 오버레이 네트워크 아키텍처를 지원합니다. 각각 수십 개의 VM(가상 머신)을 실행하는 수천 대의 서버가 있는 데이터 센터를 상상해 보세요. VXLAN은 이러한 VM들이 자신을 동일한 레이어 2 네트워크의 일부로 인식하도록 하여 ARP 브로드캐스트와 DHCP 요청의 원활한 전송을 보장합니다.
하지만 VXLAN이 만병통치약은 아닙니다. L3 네트워크에서 작동하려면 L2-L3 변환이 필요하며, 이때 게이트웨이가 필요합니다. VXLAN 게이트웨이는 VXLAN 가상 네트워크를 외부 네트워크(예: 기존 VLAN 또는 IP 라우팅 네트워크)와 연결하여 가상 세계에서 현실 세계로의 데이터 흐름을 보장합니다. 전달 메커니즘은 게이트웨이의 핵심으로, 패킷 처리, 라우팅 및 배포 방식을 결정합니다.
VXLAN 포워딩 프로세스는 마치 섬세한 발레처럼 출발지에서 목적지까지 모든 단계가 긴밀하게 연결되어 있습니다. 단계별로 자세히 살펴보겠습니다.
먼저, 소스 호스트(예: VM)에서 패킷이 전송됩니다. 이 패킷은 소스 MAC 주소, 대상 MAC 주소, VLAN 태그(있는 경우), 그리고 페이로드를 포함하는 표준 이더넷 프레임입니다. 이 프레임을 수신한 소스 VTEP는 대상 MAC 주소를 확인합니다. 대상 MAC 주소가 MAC 테이블(학습 또는 플러딩을 통해 얻은)에 있으면 패킷을 어떤 원격 VTEP로 전달해야 할지 알 수 있습니다.
캡슐화 과정은 매우 중요합니다. VTEP는 VXLAN 헤더(VNI, 플래그 등 포함)를 추가한 후, 외부 UDP 헤더(내부 프레임의 해시 기반 소스 포트와 4789의 고정 대상 포트 포함), IP 헤더(로컬 VTEP의 소스 IP 주소와 원격 VTEP의 대상 IP 주소 포함), 마지막으로 외부 이더넷 헤더를 추가합니다. 이제 전체 패킷은 UDP/IP 패킷으로 표시되고, 일반 트래픽처럼 보이며, L3 네트워크로 라우팅될 수 있습니다.
물리적 네트워크에서 패킷은 라우터 또는 스위치를 통해 목적지 VTEP에 도달할 때까지 전달됩니다. 목적지 VTEP는 외부 헤더를 제거하고 VXLAN 헤더를 확인하여 VNI가 일치하는지 확인한 다음, 내부 이더넷 프레임을 목적지 호스트로 전달합니다. 패킷이 알려지지 않은 유니캐스트, 브로드캐스트 또는 멀티캐스트(BUM) 트래픽인 경우, VTEP는 멀티캐스트 그룹 또는 유니캐스트 헤더 복제(HER)를 기반으로 플러딩을 사용하여 모든 관련 VTEP에 패킷을 복제합니다.
포워딩 원리의 핵심은 제어 플레인과 데이터 플레인의 분리입니다. 제어 플레인은 이더넷 VPN(EVPN) 또는 플러드 앤 러닝(Flood and Learn) 메커니즘을 사용하여 MAC 및 IP 매핑을 학습합니다. EVPN은 BGP 프로토콜을 기반으로 하며, VTEP가 MAC-VRF(Virtual Routing and Forwarding) 및 IP-VRF와 같은 라우팅 정보를 교환할 수 있도록 합니다. 데이터 플레인은 효율적인 전송을 위해 VXLAN 터널을 사용하여 실제 포워딩을 담당합니다.
그러나 실제 배포에서는 전달 효율성이 성능에 직접적인 영향을 미칩니다. 기존의 플러딩은 특히 대규모 네트워크에서 브로드캐스트 스톰을 쉽게 유발할 수 있습니다. 따라서 게이트웨이 최적화가 필요합니다. 게이트웨이는 내부 및 외부 네트워크를 연결할 뿐만 아니라 프록시 ARP 에이전트 역할을 하고, 경로 누수를 처리하며, 최단 전달 경로를 보장합니다.
중앙화된 VXLAN 게이트웨이
중앙 집중형 VXLAN 게이트웨이(중앙 집중형 게이트웨이 또는 L3 게이트웨이라고도 함)는 일반적으로 데이터 센터의 엣지 또는 코어 계층에 구축됩니다. 모든 VNI 또는 서브넷 간 트래픽이 통과해야 하는 중앙 허브 역할을 합니다.
원칙적으로 중앙 집중식 게이트웨이는 기본 게이트웨이 역할을 하며 모든 VXLAN 네트워크에 레이어 3 라우팅 서비스를 제공합니다. VNI 10000(서브넷 10.1.1.0/24)과 VNI 20000(서브넷 10.2.1.0/24)이라는 두 VNI를 생각해 보겠습니다. VNI 10000의 VM A가 VNI 20000의 VM B에 액세스하려는 경우, 패킷은 먼저 로컬 VTEP에 도달합니다. 로컬 VTEP는 대상 IP 주소가 로컬 서브넷에 없음을 감지하고 이를 중앙 집중식 게이트웨이로 전달합니다. 게이트웨이는 패킷의 캡슐화를 해제하고 라우팅 결정을 내린 다음, 패킷을 다시 캡슐화하여 대상 VNI로 향하는 터널을 만듭니다.
장점은 분명합니다.
○ 간편한 관리모든 라우팅 구성은 하나 또는 두 대의 장치에 중앙 집중화되므로 운영자는 전체 네트워크를 커버하는 데 필요한 게이트웨이를 몇 개만 유지 관리할 수 있습니다. 이러한 접근 방식은 VXLAN을 처음 구축하는 중소 규모 데이터 센터 또는 환경에 적합합니다.
○자원 효율성게이트웨이는 일반적으로 Cisco Nexus 9000이나 Arista 7050과 같은 고성능 하드웨어로, 대량의 트래픽을 처리할 수 있습니다. 제어 플레인은 중앙 집중화되어 NSX Manager와 같은 SDN 컨트롤러와의 통합을 용이하게 합니다.
○강력한 보안 관리트래픽은 게이트웨이를 통과해야 하므로 ACL(액세스 제어 목록), 방화벽, NAT 구현이 용이해집니다. 중앙 집중식 게이트웨이가 테넌트 트래픽을 쉽게 격리할 수 있는 멀티 테넌트 환경을 상상해 보세요.
하지만 단점도 무시할 수 없습니다.
○ 단일 장애 지점게이트웨이에 장애가 발생하면 전체 네트워크의 L3 통신이 마비됩니다. VRRP(Virtual Router Redundancy Protocol)를 사용하여 중복성을 확보할 수 있지만, 여전히 위험을 수반합니다.
○성능 병목 현상모든 동서 트래픽(서버 간 통신)은 게이트웨이를 우회해야 하므로 최적 경로가 아닙니다. 예를 들어, 1000개 노드 클러스터에서 게이트웨이 대역폭이 100Gbps인 경우, 최대 트래픽 시간에 혼잡이 발생할 가능성이 높습니다.
○확장성이 좋지 않음네트워크 규모가 커짐에 따라 게이트웨이 부하도 기하급수적으로 증가합니다. 실제 사례로, 중앙 집중식 게이트웨이를 사용하는 금융 데이터 센터를 본 적이 있습니다. 처음에는 원활하게 작동했지만, VM 수가 두 배로 늘어나면서 지연 시간이 마이크로초에서 밀리초로 급등했습니다.
적용 시나리오: 엔터프라이즈 프라이빗 클라우드 또는 테스트 네트워크와 같이 높은 관리 편의성이 요구되는 환경에 적합합니다. 시스코의 ACI 아키텍처는 핵심 게이트웨이의 효율적인 운영을 보장하기 위해 리프-스파인 토폴로지와 결합된 중앙 집중식 모델을 사용하는 경우가 많습니다.
분산 VXLAN 게이트웨이
분산형 VXLAN 게이트웨이(분산 게이트웨이 또는 애니캐스트 게이트웨이라고도 함)는 게이트웨이 기능을 각 리프 스위치 또는 하이퍼바이저 VTEP로 오프로드합니다. 각 VTEP는 로컬 게이트웨이 역할을 하며 로컬 서브넷의 L3 포워딩을 처리합니다.
원리는 더욱 유연합니다. 각 VTEP는 Anycast 메커니즘을 사용하여 기본 게이트웨이와 동일한 가상 IP(VIP)로 구성됩니다. VM에서 전송된 교차 서브넷 패킷은 중앙 지점을 거치지 않고 로컬 VTEP에서 직접 라우팅됩니다. EVPN은 특히 유용합니다. BGP EVPN을 통해 VTEP는 원격 호스트의 경로를 학습하고 MAC/IP 바인딩을 사용하여 ARP 플러딩을 방지합니다.
예를 들어, VM A(10.1.1.10)가 VM B(10.2.1.10)에 액세스하려고 합니다. VM A의 기본 게이트웨이는 로컬 VTEP(10.1.1.1)의 VIP입니다. 로컬 VTEP는 대상 서브넷으로 라우팅하고, VXLAN 패킷을 캡슐화하여 VM B의 VTEP로 직접 전송합니다. 이 프로세스는 경로 및 지연 시간을 최소화합니다.
뛰어난 장점:
○ 높은 확장성모든 노드에 게이트웨이 기능을 분산하면 네트워크 크기가 증가하여 대규모 네트워크에 유리합니다. Google Cloud와 같은 대규모 클라우드 제공업체는 수백만 개의 VM을 지원하기 위해 유사한 메커니즘을 사용합니다.
○뛰어난 성능동서 트래픽은 병목 현상을 방지하기 위해 로컬에서 처리됩니다. 테스트 데이터에 따르면 분산 모드에서 처리량이 30%~50% 증가할 수 있습니다.
○빠른 오류 복구단일 VTEP 장애는 로컬 호스트에만 영향을 미치며 다른 노드는 영향을 받지 않습니다. EVPN의 빠른 컨버전스와 결합되어 복구 시간은 몇 초밖에 걸리지 않습니다.
○자원의 효과적인 활용기존의 Leaf 스위치 ASIC 칩을 하드웨어 가속에 활용하고, 전달 속도를 Tbps 수준에 도달합니다.
단점은 무엇인가요?
○ 복잡한 구성각 VTEP에는 라우팅, EVPN 및 기타 기능 구성이 필요하므로 초기 구축에 많은 시간이 소요됩니다. 운영팀은 BGP와 SDN에 대한 지식이 있어야 합니다.
○높은 하드웨어 요구 사항분산 게이트웨이: 모든 스위치가 분산 게이트웨이를 지원하는 것은 아닙니다. Broadcom Trident 또는 Tomahawk 칩이 필요합니다. 소프트웨어 구현(예: KVM의 OVS)은 하드웨어만큼 성능이 좋지 않습니다.
○일관성 문제분산형은 상태 동기화가 EVPN에 의존한다는 것을 의미합니다. BGP 세션이 변동하면 라우팅 블랙홀이 발생할 수 있습니다.
애플리케이션 시나리오: 하이퍼스케일 데이터 센터 또는 퍼블릭 클라우드에 적합합니다. VMware NSX-T의 분산 라우터가 대표적인 예입니다. Kubernetes와 결합하면 컨테이너 네트워킹을 원활하게 지원합니다.
중앙 집중식 VxLAN 게이트웨이 대 분산형 VxLAN 게이트웨이
이제 핵심으로 넘어가겠습니다. 어느 쪽이 더 나을까요? 정답은 "상황에 따라 다릅니다"입니다. 하지만 여러분을 설득하려면 데이터와 사례 연구를 심층적으로 살펴봐야 합니다.
성능 측면에서 분산 시스템은 분명히 더 뛰어납니다. 일반적인 데이터 센터 벤치마크(스파이런트 테스트 장비 기반)에서 중앙 집중형 게이트웨이의 평균 지연 시간은 150μs인 반면, 분산 시스템의 평균 지연 시간은 50μs에 불과했습니다. 처리량 측면에서 분산 시스템은 스파인-리프 등가 다중 경로(ECMP) 라우팅을 활용하기 때문에 회선 속도(line-rate) 포워딩을 쉽게 달성할 수 있습니다.
확장성은 또 다른 난관입니다. 중앙 집중식 네트워크는 100~500개의 노드가 있는 네트워크에 적합하며, 이 규모를 넘어서면 분산 네트워크가 우위를 점합니다. 알리바바 클라우드를 예로 들어 보겠습니다. 알리바바 클라우드의 VPC(가상 사설 클라우드)는 분산형 VXLAN 게이트웨이를 사용하여 전 세계 수백만 명의 사용자를 지원하며, 단일 리전 지연 시간은 1ms 미만입니다. 중앙 집중식 접근 방식은 오래전에 무너졌을 것입니다.
비용은 어떨까요? 중앙 집중형 솔루션은 초기 투자 비용이 낮고, 고급 게이트웨이 몇 개만 필요합니다. 분산형 솔루션은 모든 리프 노드가 VXLAN 오프로드를 지원해야 하므로 하드웨어 업그레이드 비용이 높아집니다. 하지만 장기적으로 분산형 솔루션은 Ansible과 같은 자동화 도구를 통해 일괄 구성이 가능하므로 O&M 비용이 낮습니다.
보안 및 안정성: 중앙 집중식 시스템은 중앙 집중식 보호를 용이하게 하지만 단일 공격 지점 발생 위험이 높습니다. 분산 시스템은 복원력이 더 뛰어나지만 DDoS 공격을 차단하기 위해 강력한 제어 평면이 필요합니다.
실제 사례 연구: 한 전자상거래 회사는 중앙 집중식 VXLAN을 사용하여 사이트를 구축했습니다. 트래픽이 가장 많은 시간대에는 게이트웨이 CPU 사용량이 90%까지 치솟아 사용자들이 지연 시간에 대한 불만을 제기했습니다. 분산 모델로 전환하여 문제가 해결되었고, 회사는 규모를 쉽게 두 배로 늘릴 수 있었습니다. 반대로, 한 소규모 은행은 규정 준수 감사를 우선시하고 중앙 관리가 더 편리하다고 판단하여 중앙 집중식 모델을 고집했습니다.
일반적으로 극한의 네트워크 성능과 확장성을 원한다면 분산형 방식이 적합합니다. 예산이 부족하고 경영진의 경험이 부족하다면 중앙 집중형 방식이 더 실용적입니다. 앞으로 5G와 엣지 컴퓨팅의 등장으로 분산형 네트워크가 더욱 보편화되겠지만, 중앙 집중형 네트워크는 지점 간 상호 연결과 같은 특정 상황에서는 여전히 유용할 것입니다.
Mylinking™ 네트워크 패킷 브로커VxLAN, VLAN, GRE, MPLS 헤더 스트리핑 지원
원본 데이터 패킷에서 제거된 VxLAN, VLAN, GRE, MPLS 헤더를 지원하고 출력을 전달합니다.
게시 시간: 2025년 10월 9일
