VXLAN 게이트웨이에 대해 논의하려면 먼저 VXLAN 자체에 대해 알아야 합니다. 기존의 VLAN(가상 근거리 통신망)은 12비트 VLAN ID를 사용하여 네트워크를 분할하고 최대 4096개의 논리 네트워크를 지원합니다. 이는 소규모 네트워크에는 적합하지만, 수천 대의 가상 머신, 컨테이너, 멀티테넌트 환경으로 구성된 최신 데이터 센터에서는 VLAN으로는 부족합니다. 이러한 문제를 해결하기 위해 인터넷 엔지니어링 태스크 포스(IETF)에서 RFC 7348을 통해 VXLAN이 정의되었습니다. VXLAN의 목적은 UDP 터널을 사용하여 레이어 3(IP) 네트워크를 통해 레이어 2(이더넷) 브로드캐스트 도메인을 확장하는 것입니다.
간단히 말해, VXLAN은 이더넷 프레임을 UDP 패킷으로 캡슐화하고 24비트 VXLAN 네트워크 식별자(VNI)를 추가하여 이론적으로 1,600만 개의 가상 네트워크를 지원합니다. 이는 각 가상 네트워크에 "신분증"을 부여하는 것과 같으며, 물리적 네트워크 상에서 서로 간섭 없이 자유롭게 이동할 수 있도록 합니다. VXLAN의 핵심 구성 요소는 패킷의 캡슐화 및 역캡슐화를 담당하는 VXLAN 터널 종단점(VTEP)입니다. VTEP는 소프트웨어(예: Open vSwitch) 또는 하드웨어(예: 스위치의 ASIC 칩)일 수 있습니다.
VXLAN이 왜 그렇게 인기가 많을까요? 클라우드 컴퓨팅과 SDN(소프트웨어 정의 네트워킹)의 요구 사항에 완벽하게 부합하기 때문입니다. AWS나 Azure 같은 퍼블릭 클라우드에서 VXLAN은 테넌트의 가상 네트워크를 원활하게 확장할 수 있도록 지원합니다. 프라이빗 데이터 센터에서는 VMware NSX나 Cisco ACI와 같은 오버레이 네트워크 아키텍처를 지원합니다. 수천 대의 서버와 각 서버에서 수십 개의 VM(가상 머신)이 실행되는 데이터 센터를 상상해 보세요. VXLAN을 사용하면 이러한 VM들이 동일한 레이어 2 네트워크의 일부로 인식되어 ARP 브로드캐스트와 DHCP 요청을 원활하게 전송할 수 있습니다.
하지만 VXLAN이 만능 해결책은 아닙니다. L3 네트워크에서 작동하려면 L2에서 L3로의 변환이 필요한데, 바로 이 부분에서 게이트웨이가 중요한 역할을 합니다. VXLAN 게이트웨이는 VXLAN 가상 네트워크를 외부 네트워크(기존 VLAN이나 IP 라우팅 네트워크 등)와 연결하여 데이터가 가상 세계에서 현실 세계로 원활하게 흐르도록 합니다. 포워딩 메커니즘은 게이트웨이의 핵심이며, 패킷이 어떻게 처리되고, 라우팅되고, 배포될지를 결정합니다.
VXLAN 포워딩 과정은 마치 섬세한 발레와 같으며, 출발지에서 목적지까지 각 단계가 긴밀하게 연결되어 있습니다. 단계별로 자세히 살펴보겠습니다.
먼저, 소스 호스트(예: 가상 머신)에서 패킷이 전송됩니다. 이 패킷은 소스 MAC 주소, 대상 MAC 주소, VLAN 태그(있는 경우) 및 페이로드를 포함하는 표준 이더넷 프레임입니다. 소스 VTEP는 이 프레임을 수신하면 대상 MAC 주소를 확인합니다. 대상 MAC 주소가 (학습 또는 플러딩을 통해 얻은) MAC 테이블에 있으면, 패킷을 어떤 원격 VTEP로 전달해야 하는지 알 수 있습니다.
캡슐화 과정은 매우 중요합니다. VTEP는 VXLAN 헤더(VNI, 플래그 등 포함), 외부 UDP 헤더(내부 프레임의 해시값을 기반으로 한 소스 포트와 고정된 대상 포트 4789 포함), IP 헤더(로컬 VTEP의 소스 IP 주소와 원격 VTEP의 대상 IP 주소 포함), 그리고 마지막으로 외부 이더넷 헤더를 추가합니다. 이제 전체 패킷은 UDP/IP 패킷처럼 보이며 일반 트래픽처럼 인식되어 L3 네트워크에서 라우팅될 수 있습니다.
물리적 네트워크에서 패킷은 라우터 또는 스위치를 거쳐 목적지 VTEP에 도달할 때까지 전달됩니다. 목적지 VTEP는 외부 헤더를 제거하고 VXLAN 헤더를 검사하여 VNI가 일치하는지 확인한 후 내부 이더넷 프레임을 목적지 호스트로 전달합니다. 패킷이 알 수 없는 유니캐스트, 브로드캐스트 또는 멀티캐스트(BUM) 트래픽인 경우, VTEP는 멀티캐스트 그룹 또는 유니캐스트 헤더 복제(HER)를 사용하여 플러딩 방식으로 관련 VTEP 모두에 패킷을 복제합니다.
포워딩 원칙의 핵심은 제어 평면과 데이터 평면의 분리입니다. 제어 평면은 이더넷 VPN(EVPN) 또는 플러드 앤 런(Flood and Learn) 메커니즘을 사용하여 MAC 주소와 IP 주소 매핑을 학습합니다. EVPN은 BGP 프로토콜을 기반으로 하며, VTEP(가상 라우팅 및 포워딩 프로토콜) 간에 MAC-VRF(가상 라우팅 및 포워딩) 및 IP-VRF와 같은 라우팅 정보를 교환할 수 있도록 합니다. 데이터 평면은 효율적인 전송을 위해 VXLAN 터널을 사용하여 실제 포워딩을 담당합니다.
하지만 실제 구축 환경에서는 포워딩 효율성이 성능에 직접적인 영향을 미칩니다. 기존의 플러딩 방식은 특히 대규모 네트워크에서 브로드캐스트 스톰을 쉽게 유발할 수 있습니다. 따라서 게이트웨이 최적화가 필요합니다. 게이트웨이는 내부 네트워크와 외부 네트워크를 연결할 뿐만 아니라 프록시 ARP 에이전트 역할을 하고, 경로 누출을 처리하며, 최단 포워딩 경로를 보장해야 합니다.
중앙 집중식 VXLAN 게이트웨이
중앙 집중식 VXLAN 게이트웨이(중앙 집중식 게이트웨이 또는 L3 게이트웨이라고도 함)는 일반적으로 데이터 센터의 에지 또는 코어 계층에 구축됩니다. 이는 모든 VNI 간 또는 서브넷 간 트래픽이 통과해야 하는 중앙 허브 역할을 합니다.
원칙적으로 중앙 집중식 게이트웨이는 기본 게이트웨이 역할을 하며 모든 VXLAN 네트워크에 레이어 3 라우팅 서비스를 제공합니다. 두 개의 VNI, VNI 10000(서브넷 10.1.1.0/24)과 VNI 20000(서브넷 10.2.1.0/24)을 생각해 보겠습니다. VNI 10000의 VM A가 VNI 20000의 VM B에 액세스하려고 하면 패킷은 먼저 로컬 VTEP에 도달합니다. 로컬 VTEP는 대상 IP 주소가 로컬 서브넷에 없음을 감지하고 패킷을 중앙 집중식 게이트웨이로 전달합니다. 게이트웨이는 패킷을 디캡슐화하고 라우팅 결정을 내린 다음 패킷을 다시 캡슐화하여 대상 VNI로 향하는 터널을 생성합니다.
장점은 명백합니다.
○ 간편한 관리모든 라우팅 구성은 하나 또는 두 개의 장치에 중앙 집중화되어 있으므로 운영자는 전체 네트워크를 커버하기 위해 몇 개의 게이트웨이만 유지 관리하면 됩니다. 이 방식은 소규모 및 중규모 데이터 센터 또는 VXLAN을 처음 구축하는 환경에 적합합니다.
○자원 효율적인게이트웨이는 일반적으로 대규모 트래픽을 처리할 수 있는 고성능 하드웨어(예: Cisco Nexus 9000 또는 Arista 7050)입니다. 제어 평면은 중앙 집중식으로 설계되어 NSX Manager와 같은 SDN 컨트롤러와의 통합이 용이합니다.
○강력한 보안 통제트래픽은 게이트웨이를 통과해야 하므로 ACL(접근 제어 목록), 방화벽 및 NAT 구현이 용이해집니다. 중앙 집중식 게이트웨이를 통해 테넌트별 트래픽을 손쉽게 격리할 수 있는 멀티 테넌트 환경을 상상해 보세요.
하지만 이러한 단점들을 무시할 수는 없습니다.
○ 단일 실패 지점게이트웨이에 장애가 발생하면 전체 네트워크의 L3 통신이 마비됩니다. VRRP(가상 라우터 이중화 프로토콜)를 사용하여 이중화를 구현할 수 있지만, 여전히 위험이 따릅니다.
○성능 병목 현상모든 동서 방향 트래픽(서버 간 통신)은 게이트웨이를 우회해야 하므로 최적화되지 않은 경로가 사용됩니다. 예를 들어, 1000개 노드로 구성된 클러스터에서 게이트웨이 대역폭이 100Gbps인 경우, 피크 시간대에 혼잡이 발생할 가능성이 높습니다.
○확장성이 떨어짐네트워크 규모가 커짐에 따라 게이트웨이 부하는 기하급수적으로 증가합니다. 실제 사례로, 중앙 집중식 게이트웨이를 사용하는 금융 데이터 센터를 본 적이 있습니다. 처음에는 원활하게 작동했지만, 가상 머신(VM) 수가 두 배로 늘어나자 지연 시간이 마이크로초에서 밀리초로 급증했습니다.
적용 시나리오: 기업 프라이빗 클라우드 또는 테스트 네트워크와 같이 관리의 간편성이 요구되는 환경에 적합합니다. 시스코의 ACI 아키텍처는 코어 게이트웨이의 효율적인 운영을 보장하기 위해 중앙 집중식 모델과 리프-스파인 토폴로지를 결합하여 사용하는 경우가 많습니다.
분산형 VXLAN 게이트웨이
분산형 VXLAN 게이트웨이(분산 게이트웨이 또는 애니캐스트 게이트웨이라고도 함)는 게이트웨이 기능을 각 리프 스위치 또는 하이퍼바이저 VTEP로 오프로드합니다. 각 VTEP는 로컬 서브넷에 대한 L3 포워딩을 처리하는 로컬 게이트웨이 역할을 합니다.
이 원리는 더욱 유연합니다. 각 VTEP는 애니캐스트 메커니즘을 사용하여 기본 게이트웨이와 동일한 가상 IP(VIP)로 구성됩니다. VM에서 전송되는 서브넷 간 패킷은 중앙 지점을 거치지 않고 로컬 VTEP에서 직접 라우팅됩니다. EVPN은 특히 유용합니다. BGP EVPN을 통해 VTEP는 원격 호스트의 경로를 학습하고 MAC/IP 바인딩을 사용하여 ARP 플러딩을 방지합니다.
예를 들어, VM A(10.1.1.10)가 VM B(10.2.1.10)에 액세스하려고 합니다. VM A의 기본 게이트웨이는 로컬 VTEP(10.1.1.1)의 VIP입니다. 로컬 VTEP는 대상 서브넷으로 라우팅하고 VXLAN 패킷을 캡슐화하여 VM B의 VTEP로 직접 전송합니다. 이 과정을 통해 경로와 지연 시간을 최소화할 수 있습니다.
탁월한 장점:
○ 높은 확장성게이트웨이 기능을 모든 노드에 분산시키면 네트워크 규모가 커지는데, 이는 대규모 네트워크에 유리합니다. 구글 클라우드와 같은 대형 클라우드 제공업체는 수백만 개의 가상 머신을 지원하기 위해 유사한 메커니즘을 사용합니다.
○탁월한 성능동서 방향 트래픽은 병목 현상을 방지하기 위해 로컬에서 처리됩니다. 테스트 데이터에 따르면 분산 모드에서 처리량이 30~50% 증가할 수 있습니다.
○빠른 오류 복구VTEP 장애는 로컬 호스트에만 영향을 미치고 다른 노드에는 영향을 주지 않습니다. EVPN의 빠른 수렴 속도와 결합하면 복구 시간은 몇 초에 불과합니다.
○자원의 효율적인 활용기존 리프 스위치 ASIC 칩을 하드웨어 가속에 활용하여 Tbps 수준의 포워딩 속도를 구현합니다.
단점은 무엇인가요?
○ 복잡한 구성각 VTEP는 라우팅, EVPN 및 기타 기능 구성이 필요하므로 초기 구축에 시간이 많이 소요됩니다. 운영팀은 BGP 및 SDN에 대한 지식이 있어야 합니다.
○높은 하드웨어 요구 사항분산 게이트웨이: 모든 스위치가 분산 게이트웨이를 지원하는 것은 아닙니다. Broadcom Trident 또는 Tomahawk 칩이 필요합니다. 소프트웨어 구현(예: KVM의 OVS)은 하드웨어 구현만큼 성능이 좋지 않습니다.
○일관성 문제분산 환경은 상태 동기화가 EVPN에 의존함을 의미합니다. BGP 세션이 불안정해지면 라우팅 블랙홀이 발생할 수 있습니다.
적용 시나리오: 하이퍼스케일 데이터 센터 또는 퍼블릭 클라우드에 적합합니다. VMware NSX-T의 분산 라우터가 대표적인 예입니다. Kubernetes와 결합하면 컨테이너 네트워킹을 원활하게 지원합니다.
중앙 집중식 VxLAN 게이트웨이 vs. 분산형 VxLAN 게이트웨이
자, 이제 클라이맥스로 넘어가 보겠습니다. 어느 쪽이 더 나을까요? 정답은 "상황에 따라 다릅니다"이지만, 여러분을 설득하기 위해서는 데이터와 사례 연구를 자세히 살펴봐야 합니다.
성능 측면에서 분산 시스템은 확실히 우월합니다. 일반적인 데이터 센터 벤치마크(Spirent 테스트 장비 기준)에서 중앙 집중식 게이트웨이의 평균 지연 시간은 150μs였지만, 분산 시스템의 평균 지연 시간은 50μs에 불과했습니다. 처리량 측면에서도 분산 시스템은 ECMP(Spine-Leaf Equal Cost Multi-Path) 라우팅을 활용하여 회선 속도 수준의 포워딩을 손쉽게 달성할 수 있습니다.
확장성 또한 중요한 경쟁 요소입니다. 중앙 집중식 네트워크는 100~500개 노드 규모의 네트워크에 적합하며, 그 이상 규모에서는 분산형 네트워크가 우위를 점합니다. 알리바바 클라우드를 예로 들면, 이 회사의 VPC(가상 사설 클라우드)는 분산형 VXLAN 게이트웨이를 사용하여 전 세계 수백만 명의 사용자를 지원하며, 단일 지역 지연 시간은 1ms 미만입니다. 중앙 집중식 접근 방식으로는 오래전에 한계에 부딪혔을 것입니다.
비용은 어떨까요? 중앙 집중식 솔루션은 고성능 게이트웨이 몇 대만 있으면 되므로 초기 투자 비용이 낮습니다. 분산형 솔루션은 모든 리프 노드가 VXLAN 오프로드를 지원해야 하므로 하드웨어 업그레이드 비용이 더 많이 듭니다. 하지만 장기적으로는 Ansible과 같은 자동화 도구를 사용하여 일괄 구성이 가능하므로 분산형 솔루션이 운영 및 유지 관리 비용을 절감할 수 있습니다.
보안 및 신뢰성: 중앙 집중식 시스템은 중앙 집중식 보호에 유리하지만 단일 공격 지점에 취약하여 위험이 높습니다. 분산 시스템은 복원력이 뛰어나지만 DDoS 공격을 방지하기 위해 강력한 제어 시스템이 필요합니다.
실제 사례 연구: 한 전자상거래 회사는 중앙 집중식 VXLAN을 사용하여 웹사이트를 구축했습니다. 피크 시간대에는 게이트웨이 CPU 사용률이 90%까지 치솟아 사용자들이 지연 현상에 대한 불만을 제기했습니다. 분산형 모델로 전환하자 문제가 해결되었고, 회사는 손쉽게 규모를 두 배로 확장할 수 있었습니다. 반대로, 한 소규모 은행은 규정 준수 감사를 우선시하고 중앙 집중식 관리가 더 쉽다고 판단하여 중앙 집중식 모델을 고집했습니다.
일반적으로, 극한의 네트워크 성능과 확장성을 원한다면 분산형 접근 방식이 적합합니다. 하지만 예산이 제한적이고 관리팀의 경험이 부족하다면 중앙 집중식 접근 방식이 더 실용적입니다. 향후 5G와 엣지 컴퓨팅의 등장으로 분산형 네트워크가 더욱 보편화되겠지만, 지점 간 연결과 같은 특정 시나리오에서는 중앙 집중식 네트워크가 여전히 유용할 것입니다.
Mylinking™ 네트워크 패킷 브로커VxLAN, VLAN, GRE, MPLS 헤더 스트리핑을 지원합니다.
원본 데이터 패킷에서 VxLAN, VLAN, GRE, MPLS 헤더를 제거하고 출력합니다.
게시 시간: 2025년 10월 9일
